EL PRESIDENTE DE LA COMUNIDAD DE MADRID
Hago saber que la Asamblea de Madrid ha aprobado la siguiente Ley, que yo, en nombre del Rey, promulgo.
PREAMBULO
I
Si pueden admitirse excepciones a la regla general que predica el desfase de las normas de derecho positivo respecto de las manifestaciones de la realidad social que regulan, estamos frente a una de ellas, y no tanto porque la materia objeto de regulación, la aplicación de la informática al tratamiento de los datos personales por la Comunidad de Madrid, sea un fenómeno reciente, que a este respecto se cumple la regla general, como por la ausencia de una demanda social de legislación en reclamación a la materia.
En efecto, los fenómenos que en esta ocasión aconsejan legislar ocupan en la escala de las preocupaciones de la sociedad un bajísimo lugar: La amenaza que objetivamente constituyen las tecnologías de la información y, particularmente, la informática para la privacidad de los ciudadanos no origina más que un estado de indiferencia social sólo quebrado ocasionalmente por noticias de tráfico de información de carácter personal, presentadas de modo alarmista y «orwelliano», que abandonan rápidamente la cabecera de la actualidad.
Los expertos y profesionales de estas técnicas de tratamiento de la información, conscientes, por el propio ejercicio de su oficio, de los riesgos en presencia, son precisamente quienes han estado en el origen de la denuncia de los problemas derivados de la aplicación de las tecnologías de la información a los datos de carácter personal y de la exigencia de un sistema de límites a la utilización de las mismas. Nacida de este segundo movimiento, es la presente, en ese sentido, una Ley ilustrada, uno de cuyos valores esenciales debe precisamente buscarse en su contribución a promover un adecuado nivel de información y conciencia social sobre la amenaza, en absoluto de ficción científica, a la que se ha hecho mención.
La Ley se inscribe en el bloque de constitucionalidad tanto a través de la Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal como del Estatuto de Autonomía de Madrid, siendo los principios y garantías contenidos en la Ley Orgánica de directa aplicación a la Comunidad de Madrid a través de los procedimientos e instituciones que, con arreglo al principio de autogobierno, regula la presente Ley para mejor adaptar su ejercicio a las peculiaridades de la organización de la Comunidad de Madrid.
II
El contenido positivo de la Ley exige una aclaración previa acerca de la técnica legislativa empleada en su elaboración. Se ha considerado que la inserción de la Ley en el marco señalado en el apartado anterior tenía su mejor expresión en la no reproducción de normas o mandatos contenidos en la Ley Orgánica 5/1992, de 29 de octubre (ni tan siquiera para precisar aquellas definiciones, procedimientos o instituciones que han sido duramente criticados por la doctrina con posterioridad a la entrada en vigor de la Ley Orgánica y de su normativa de desarrollo), manteniendo así la unicidad de los conceptos de los textos.
La voluntad de garantizar de esta forma el engarce de la Ley madrileña con la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal permanece constante a lo largo del texto y sólo se altera donde el valor didáctico de la reproducción supera el de la nitidez de la remisión al texto orgánico, como ocurre, respecto de los empleados públicos, en el caso del deber de secreto de quienes acceden en virtud del legítimo ejercicio de sus funciones al conocimiento de los datos personales cedidos por los ciudadanos.
III
La Comunidad de Madrid pretende dar auténtica virtualidad, en el campo competencial que le corresponde, a los derechos que se postulan en la legislación orgánica del Estado.
Así, la Comunidad de Madrid se implica activamente en la defensa de los principios de tratamiento de datos personales y del sistema de garantías definidos en la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, reforzando el ejercicio de los derechos de los ciudadanos bien mediante la agilización de los procedimientos para hacerlos efectivos, bien mediante el establecimiento de instituciones directamente encaminadas a facilitarlos.
IV
En el ámbito de aplicación de la Ley, desde el punto de vista material, se incluyen todas las actividades de tratamiento automatizado de datos de carácter personal, incluidas las accesorias o preparatorias, lo que es de especial trascendencia pues extiende las garantías de la Ley a, por ejemplo, los trabajos de desarrollo de aplicaciones informáticas que vayan a contener ficheros de datos personales, extensión que incluye, como es obvio, el deber de secreto o la aplicación de las medidas de seguridad en la realización de dichos trabajos.
De otro lado, bajo el ámbito de aplicación de la Ley quedan comprendidas la totalidad de las instituciones de la Comunidad u órganos, organismos y entidades institucionales de su Administración, cualquiera que sea su grado de personificación, de conformidad con la normativa específica de regulación de la materia.
V
El establecimiento de obligaciones de refuerzo de la eficacia de las garantías establecidas en la Ley Orgánica 5/1992, de 29 de octubre, se manifiesta, además de en otros episodios de la Ley, en el régimen jurídico de los datos, en la regulación de los ficheros, en las medidas de seguridad y en los procedimientos de ejercicio de los derechos reconocidos.
En el régimen de los datos, se refuerzan los deberes de información (bien desde la perspectiva de la ampliación del contenido de la información, «verbi gratia», del carácter facultativo o no de la cesión de datos a la Comunidad, bien desde la perspectiva de la transmisión de la información, como, por ejemplo, la exposición en las oficinas públicas de modo claro y visible de los aspectos sobre los que los ciudadanos deben ser informados); las posibilidades de defensa de los ciudadanos ante la imposibilidad de negarse a facilitar datos (mediante la facultad de formular alegaciones sobre adecuación de los datos solicitados a los principios de pertinencia o racionalidad, alegación que puede determinar que, de estimarse fundada por los órganos de protección, se proceda a la cancelación de oficio de lo datos); las garantías de confidencialidad e integridad de los datos (sometiendo todo tratamiento o almacenamiento al cumplimiento de las especificaciones de seguridad que se determinen reglamentariamente, incluidos los terceros que presten servicios de tratamiento, con el derecho del ciudadano a solicitar la certificación de seguridad y subsiguiente acción en demanda del bloque cautelar de los ficheros); y se someten las cesiones de datos no previstas en la norma de creación a un régimen de especial garantía, al exigirse que sea la Asamblea de Madrid, los representantes de los ciudadanos, y no el Gobierno, los que mediante Ley suplan la falta de consentimiento de los ciudadanos para la cesión de los datos que les fueron recogidos en su día sin esa previsión.
En el régimen de los ficheros, la Ley establece el rango normativo que deben tener las disposiciones de regulación de los ficheros, Decreto del Consejo de Gobierno, y refuerza la participación de los ciudadanos en su elaboración al recoger una fase de alegaciones relativas a la adecuación, pertinencia o proporcionalidad de los datos en función de la finalidad del fichero.
En materia de seguridad, la Ley compromete al Gobierno de la Comunidad de Madrid, en la adopción de las medidas precisas para garantizar la confidencialidad, integridad y disponibilidad de la información, no sólo mediante el establecimiento de los requisitos mínimos o el derecho de los ciudadanos a las medidas de seguridad, sino fundamentalmente por el establecimiento de un plazo para el dictado de la normativa que dé virtualidad a las previsiones de la Ley.
En el ámbito de las responsabilidades, y sin menoscabo de las que le incumben al responsable de fichero, se vincula en la protección de los datos personales tanto a los administradores de sistemas de tratamiento automatizado como a los usuarios de los mismos.
En lo que se refiere al procedimiento de ejercicio de los derechos de acceso, rectificación y cancelación, se establecen plazos breves para su materialización (quince días en el caso del derecho de acceso y un mes en el resto), se articula una única forma para su terminación expresa, la certificación de si existen o no datos y de cuáles, en su caso, que, aunque pudiera parecer restrictiva, dota al ciudadano de plena seguridad sobre el contenido de los ficheros, y se establece una tasa disuasoria del ejercicio abusivo e injustificado del derecho de acceso.
VI
En el capítulo VIII de la presente Ley se establecen los órganos que ejercitarán las funciones que se establecen en el texto legal, así como las que se derivan de los artículos 40 y concordantes de la Ley Orgánica 5/1992, de 29 de octubre.
Se crea la Agencia de Protección de Datos de la Comunidad de Madrid como ente de Derecho público, cuyo funcionamiento y actuación se sujetarán a los principios de independencia, objetividad, eficacia y austeridad en el gasto público.
Se parte, asimismo, no sólo de los principios enunciados en el párrafo anterior, sino también de los de racionalidad y economía organizativa en orden al adecuado dimensionamiento de la estructura del nuevo ente, sobre la base de la proporcionalidad entre los medios presupuestarios, orgánicos y de recursos humanos de los que se dota a la Agencia y las funciones a desempeñar.
Junto a sus órganos ejecutivos, la Agencia se dota del órgano consultivo, en el que quedarán representados los Grupos Parlamentarios de la Asamblea de Madrid, el Consejo de Gobierno, el Consejo Económico y Social y las asociaciones cuyo objeto sea la defensa de los derechos que se protegen por medio de la presente Ley.
La Ley prevé, por otra parte, que el ejercicio de las funciones de la Agencia se realice con plena independencia y objetividad, no tanto por la reiteración del mandato ya contenido en el artículo 103 de la Constitución, cuando por la configuración del Consejo, fundamentalmente por su composición plural ya descrita, y por el nombramiento por parte de éste del Director de la Agencia.
VII
Finalmente, en un deseo de hacer extensivas a otras Administraciones de la Comunidad de Madrid las garantías y facilidades que esta Ley proporciona a los ciudadanos, y sin perjuicio de las obligaciones que para aquéllas puedan derivarse de la Ley Orgánica 5/1992, de 29 de octubre, se articula la posibilidad, previa la suscripción del oportuno Convenio, de inscribir en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid los ficheros de las Corporaciones Locales, con el único requisito previo de que éstas apliquen a sus sistemas de tratamiento automatizado unas condiciones de seguridad equiparables a las establecidas en el ámbito de aplicación de la Ley.
CAPITULO I
Disposiciones generales
Artículo 1. Objeto.
Esta Ley tiene por objeto la limitación del uso de las tecnologías de la información y singularmente de la informática, en su aplicación al tratamiento automatizado de los datos personales de los ciudadanos por parte de las instituciones y de la Administración de la Comunidad de Madrid, en los términos establecidos por la presente Ley y por la Ley Orgánica 5/1992, de 29 de octubre.
Artículo 2. Ambito de aplicación.
1. Están sujetas a las determinaciones de esta Ley cualesquiera actividades de tratamiento automatizado de datos personales, ya sea de naturaleza principal o accesoria e incluso las previas o posteriores al tratamiento automatizado propiamente dicho.
2. Las disposiciones de esta Ley son de aplicación a las instituciones de la Comunidad de Madrid, así como a la totalidad de los órganos, organismos, entes y empresas integrantes de su Administración Pública.
3. Los ficheros regulados por la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, se regirán por dicha disposición en defecto de la legislación estadística de que pueda dotarse la Comunidad de Madrid, pero estarán sometidos al control de la Agencia de Protección de Datos.
Artículo 3. Definiciones.
Las definiciones de los conceptos empleados en la presente Ley serán las contenidas en el artículo 3 de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, sin perjuicio de las peculiaridades señaladas en esta Ley.
CAPITULO II
De los derechos de los ciudadanos
Artículo 4. De los datos personales de los ciudadanos y el principio de consentimiento.
1. La titularidad sobre sus datos personales faculta al ciudadano, con los límites establecidos en la presente Ley, para consentir sobre la cesión de los mismos a la Comunidad de Madrid cuando vayan a ser objeto de tratamiento automatizado.
2. La Comunidad de Madrid ampara la titularidad de cada ciudadano respecto de los datos cedidos a la misma, viniendo obligadas sus instituciones y Administración a custodiarlos con la diligencia precisa para garantizar su confidencialidad y a adoptar las medidas necesarias para facilitar el ejercicio de los derechos reconocidos en la Ley Orgánica 5/1992, de 29 de octubre, de acuerdo con los procedimientos establecidos en el presente texto legal.
CAPITULO III
Régimen de los datos de carácter personal
Artículo 5. De la recogida de datos de carácter personal.
1. Los ciudadanos, con carácter previo a la prestación del consentimiento, deberán ser informados de si, en razón de su causa, la cesión de datos a la Comunidad de Madrid tiene carácter obligatorio, facultativo o constituye una carga, así como la posibilidad de ejercitar los derechos de rectificación y cancelación, junto a los demás extremos contenidos en el artículo 5 de la Ley Orgánica 5/1992.
2. Cuando la cesión constituya una obligación o una carga, los ciudadanos podrán alegar lo que estimen oportuno en relación con la pertinencia de los datos solicitados en el acto de la recogida o en el plazo que reglamentariamente se determine, debiendo ser expresamente advertidos de tal facultad. Las alegaciones serán estudiadas por la Agencia de Protección de Datos que informará al respecto.
3. Todas las oficinas públicas donde se proceda a la recogida de datos personales que vayan a ser objeto de tratamiento automatizado deberán tener expuesta, en lugar visible y de modo claro, una advertencia expresiva de las obligaciones de información que, en función del contenido del artículo 5 de la Ley Orgánica 5/1992 y de los apartados anteriores del presente artículo, tiene la Comunidad de Madrid frente al ciudadano en el momento de la recogida de los datos.
4. Igualmente, si la recogida de datos se realiza mediante cuestionarios o impresos, éstos deberán contener, en lugar visible y de modo claro, la relación de derechos del presente artículo y del artículo 5 de la Ley Orgánica 5/1992.
Artículo 6. Del almacenamiento de datos.
1. Los sistemas de almacenamiento de datos personales deberán permitir, en todo caso, el ejercicio de los derechos que la Ley Orgánica 5/1992 y la presente norma reconocen a los afectados y posibilitar el ejercicio de la potestad de inspección por los órganos competentes.
2. Queda prohibido todo almacenamiento de datos no sujeto a las medidas de seguridad que se establezcan conforme a lo dispuesto en el capítulo V de la presente Ley.
Artículo 7. Del tratamiento de datos.
1. El tratamiento automatizado se sujetará a las medidas de seguridad que se establezcan conforme a lo dispuesto en el capítulo V de la presente Ley.
2. Quienes presten servicios de tratamiento automatizado de datos de carácter personal a la Comunidad de Madrid vendrán obligados a aplicar, al menos, las mismas medidas de seguridad que las que se establezcan conforme a lo dispuesto en la presente Ley.
3. Los contratos de prestación de servicios de tratamiento automatizado de datos deberán ser comunicados a la Agencia de Protección de Datos con anterioridad a su perfeccionamiento.
4. El incumplimiento de las determinaciones contenidas en el apartado del presente artículo será causa de resolución del contrato, incautación de fianzas e indemnizaciones a la Comunidad de Madrid por un importe no inferior al 50 por 100 de la cuantía del contrato, todo ello sin perjuicio de las sanciones que eventualmente correspondan conforme a la Ley Orgánica 5/1992, de 29 de octubre.
Artículo 8. De las cesiones de datos.
1. La Comunidad de Madrid no cederá datos de carácter personal objeto de tratamiento automatizado más que en los siguientes casos:
a) Cuando la persona afectada haya dado consentimiento previo expreso.
b) Cuando se trate de datos recogidos en fuentes accesibles al público.
2. El consentimiento exigido en el apartado anterior no será preciso:
a) Cuando esta Ley prevea otra cosa.
b) Cuando la cesión se efectúe previo procedimiento de disociación.
c) Cuando la cesión que deba efectuarse tenga por destinatario el órgano correspondiente al Defensor del Pueblo, el Ministerio Fiscal o los Jueces y Tribunales en el ejercicio de las funciones que tienen atribuidas.
d) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sanitaria.
3. Los datos de carácter personal recogidos o elaborados por cualesquiera órganos de la Administración Pública de la Comunidad de Madrid para el desempeño de sus atribuciones no serán cedidos a otros órganos de la misma para el ejercicio de competencias distintas o que versen sobre materias diferentes, salvo los supuestos previstos en los apartados 1 y 2.
No tendrá la consideración de cesión la entrega de datos de carácter personal que un órgano de la Administración Pública de la Comunidad de Madrid obtenga o elabore con destino a otro, siempre que conste así en el Decreto de creación del fichero.
Trimestralmente el órgano de la Administración Pública de la Comunidad de Madrid que haya realizado alguna cesión de datos, conforme a las previsiones de esta Ley, comunicará a la Agencia de Protección de Datos de dicha Comunidad el número de cesiones que haya efectuado, la identificación del cesionario y el carácter de la información cedida.
4. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, conforme a lo previsto en esta Ley, independientemente del medio o tecnología que se use para la misma, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y la identificación del cesionario. Igual obligación incumbirá a los responsables de los ficheros cesionarios en ulteriores cesiones autorizadas, los cuales se obligan, por el solo hecho de la cesión, a la observancia de las disposiciones de esta Ley.
5. Será nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.
6. Los órganos de la Administración Pública de la Comunidad de Madrid no procederán a la cesión de los datos a menos que los sistemas automatizados del cesionario cuenten con medidas de seguridad en el tratamiento y almacenamiento de los datos que garanticen la confidencialidad e integridad al mismo nivel que en la Comunidad de Madrid.
7. El consentimiento para la cesión de los datos de carácter personal tiene el carácter de revocable.
8. En ningún caso podrán cederse los datos de carácter personal sobre ideología, religión y creencias a que se refiere el artículo 7 de la Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, salvo en los casos previstos por ella o por esta misma Ley.
Artículo 9. De las cesiones de datos no previstas.
Sólo la Ley podrá autorizar las cesiones de datos de carácter personal que se hicieran precisas con posterioridad a la recogida de datos y no hubieran sido autorizadas expresamente en la norma de creación del fichero.
Artículo 10. De la destrucción de datos.
Los datos serán cancelados de conformidad con las previsiones de la Ley Orgánica 5/1992, de 29 de octubre, y de la destrucción de los datos conforme a la forma que se prevea en la normativa de seguridad sólo podrán ser excluidos aquéllos que, en atención a su necesidad para el desarrollo de la función estadística pública, sean previamente sometidos a procedimiento de disociación o aquéllos otros cuya conservación, en atención a su valor histórico y previos informes de la Consejería de Educación y Cultura y de la Agencia de Protección de Datos de la Comunidad de Madrid, sea expresamente autorizada por el Consejo de Gobierno.
CAPITULO IV
Régimen de los ficheros automatizados de datos
de carácter personal
Artículo 11. Disposiciones de regulación de ficheros automatizados.
1. Junto con las disposiciones de la presente Ley o de sus normas de desarrollo, así como de la legislación estatal aplicable, las disposiciones de carácter general a las que se refiere el presente capítulo constituyen el régimen jurídico específico de los ficheros automatizados de datos de carácter personal de las instituciones y Administración de la Comunidad de Madrid.
2. La creación, modificación, sin perjuicio de lo establecido en el artículo 9, o supresión de ficheros automatizados de datos de carácter personal incluidos en el ámbito de aplicación de la presente Ley se realizará mediante Decreto del Consejo de Gobierno, salvo los ficheros automatizados de titularidad de la Asamblea de Madrid, que se regularán por Acuerdo de la Mesa, que se publicará en el «Boletín Oficial de la Comunidad de Madrid», con el informe favorable del Consejo de Protección de Datos.
3. Las disposiciones de creación, modificación o supresión de ficheros se inscribirán de oficio en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid.
4. Las disposiciones de creación o modificación de ficheros automatizados de datos de carácter personal deberán indicar, en todo caso:
a) Denominación del fichero.
b) Finalidad.
c) Carácter voluntario u obligatorio de la cesión.
d) Sistema de información a que pertenece.
e) Datos de carácter personal que se incluirán.
f) Organo responsable.
g) Organos o entidades destinatarias de las cesiones previstas.
h) Plazo de cancelación de los datos de carácter personal.
5. Las disposiciones que regulen la supresión de ficheros se regirán por las determinaciones contenidas en la Ley Orgánica 5/1992, de 29 de octubre, sin perjuicio de lo establecido en el artículo 10 de esta Ley.
Artículo 12. Procedimiento de elaboración de las disposiciones de creación, modificación o supresión de ficheros.
1. La iniciativa en la tramitación del procedimiento de elaboración de las disposiciones de carácter general corresponderá al órgano titular de la función específica en que se concrete la competencia sobre la materia a cuyo ejercicio sirva instrumentalmente el fichero.
2. Si la iniciativa fuera de un organismo autónomo o empresa pública, la propuesta corresponderá a su Consejo de Administración, quien lo elevará para su aprobación al Consejo de Gobierno de la Comunidad de Madrid a través de la Consejería a la que esté adscrita la entidad institucional o por conducto de la Consejería de Presidencia en el caso del ente público Radio Televisión Madrid.
3. Elaborado el proyecto de disposición de carácter general, se dará apertura, en la forma en que reglamentariamente se determine, a una fase de alegaciones relativas a la adecuación, pertinencia o proporcionalidad de los datos de carácter personal que pretendan solicitarse en relación con la finalidad del fichero.
A tal fin el proyecto de disposición será trasladado a las organizaciones y asociaciones legalmente constituidas cuyo objeto estatutario tenga como finalidad principal la defensa de intereses y derechos relacionados con los protegidos mediante esta Ley o cuyos miembros resulten especialmente afectados por los datos cuya recogida se pretenda.
4. Con carácter previo a su aprobación, el proyecto de disposición, junto con las alegaciones formuladas, se remitirá a la Agencia de Protección de Datos para informe preceptivo.
CAPITULO V
De la seguridad de los sistemas de tratamiento
automatizado de datos de carácter personal
Artículo 13. De las condiciones de seguridad.
Reglamentariamente se determinarán las condiciones de seguridad que deben reunir los sistemas de tratamiento automatizado de la información en los que se integren los ficheros de datos personales a fin de preservar la confidencialidad, integridad y uso legítimo de los datos.
Los titulares de datos personales contenidos en ficheros automatizados podrán solicitar del responsable del fichero la certificación de que los sistemas de tratamiento están sujetos a las condiciones de seguridad reglamentariamente establecidas. Producida la certificación negativa o transcurrido el plazo que reglamentariamente se establezca para su expedición sin acto expreso, los interesados podrán instar de la Agencia de Protección de Datos el bloqueo de los ficheros hasta tanto sean adoptadas las medidas de seguridad.
Artículo 14. De los requisitos mínimos de seguridad.
La normativa de seguridad que reglamentariamente se dicte, atendiendo al estado de la tecnología, diferenciará las medidas a adoptar en función de la condición de especialmente protegidos o no de los datos, el análisis de los riesgos en presencia y la proporcionalidad entre el coste y la efectividad de las medidas.
A tal fin, deberá contener las medidas organizativo-administrativas y de protección técnica, sean lógicas o físicas, que permitan prever, detectar y recuperar las alteraciones o pérdidas de datos de carácter personal.
En todo caso, definirá medidas de identificación y autenticación de usuarios y registros de acceso a ficheros, así como procedimientos de auditoría de los sistemas de información afectados.
CAPITULO VI
Responsabilidades sobre los ficheros automatizados de datos y su uso
Artículo 15. Del responsable del fichero
1. Responsable del fichero es el órgano administrativo designado en la disposición de creación del fichero.
2. Cuando no sea posible la determinación del responsable de fichero de conformidad con el concepto definido en el artículo 3.d) de la Ley Orgánica 5/1992, de 29 de octubre, por estar atribuidas a diferentes órganos administrativos las distintas operaciones y procedimientos técnicos en que consiste el tratamiento de datos, se entenderá por responsable de fichero al órgano titular de la función específica en que se concrete la competencia material a cuyo ejercicio sirva instrumentalmente el fichero.
3. En el caso de las entidades de la Administración institucional, y salvo que la disposición de creación disponga otra cosa, el responsable de fichero será el Gerente de la entidad.
Artículo 16. De las funciones del responsable de fichero.
Corresponde a los responsables de fichero:
a) La resolución sobre el ejercicio de los derechos de acceso, rectificación y cancelación por los ciudadanos.
b) La atribución de responsabilidades sobre la ejecución material de las diferentes operaciones y procedimientos en que consista el tratamiento de datos referente a los ficheros de su responsabilidad.
c) La verificación del cumplimiento de las medidas de seguridad a que se encuentre sometido el fichero de acuerdo con la normativa aprobada y la emisión de las certificaciones a que se refiere el artículo 13.
d) Dar cuenta a la Agencia de Protección Datos de la aplicación de las excepciones al régimen general de protección previstas en el artículo 22.3 de la presente Ley, en el ejercicio de sus derechos por los afectados.
e) Comunicar periódicamente a la Sección de Interesados del Registro de Ficheros de Datos Personales las variaciones experimentadas en los ficheros en cuanto a titulares de datos afectados.
Artículo 17. De los administradores de sistemas de tratamiento automatizado.
1. Los responsables de fichero podrán atribuir la responsabilidad derivada de la ejecución material de las distintas operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, elaboración, cesión, modificación, bloqueo y cancelación de datos, así como de la tramitación administrativa del ejercicio de los derechos que esta Ley reconoce a los ciudadanos, a los titulares de las Unidades que las tengan encomendadas.
2. Cuando las operaciones y procedimientos señalados en el apartado anterior sean encomendados a otros órganos administrativos o entidades de la Administración institucional de la Comunidad de Madrid, podrá atribuirse la responsabilidad a que se refiere el apartado anterior al órgano o persona jurídica que tenga asignada la gestión de la operación o procedimiento de que se trate.
Artículo 18. De los usuarios de sistemas de tratamiento automatizado.
Son usuarios el personal al servicio de las instituciones o de la Administración de la Comunidad de Madrid que tenga acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de los sistemas de información en los que se integran los ficheros de datos.
Los usuarios vienen obligados al cumplimiento de las medidas de seguridad que se establezcan y están sujetos al deber de secreto profesional en los términos que establece el artículo siguiente.
Artículo 19. Del deber de secreto.
1. El deber de secreto profesional sobre los datos de carácter personal que sean objeto de tratamiento automatizado en el ámbito de aplicación de la presente Ley alcanzará tanto al responsable del fichero como a los administradores y usuarios que tengan conocimiento de dichos datos.
2. El deber de secreto subsistirá, en todo caso, aun con posterioridad a la desaparición del ejercicio de las funciones del que dependa el conocimiento de los datos.
Artículo 20. De la responsabilidad disciplinaria.
1. La inobservancia de las prescripciones de la presente Ley y normas concordantes en materia de ejercicio de derechos, medidas de seguridad o deber de secreto en el tratamiento automatizado de datos de carácter personal por los usuarios y administradores de los sistemas en el ejercicio de sus cometidos funcionales dará lugar a responsabilidad disciplinaria conforme a la legislación específica aplicable.
2. El responsable de fichero instará de los órganos competentes en materia de personal la instrucción de los procedimientos disciplinarios que correspondan como consecuencia de lo señalado en el apartado anterior.
CAPITULO VII
Del procedimiento de ejercicio de los derechos
de acceso, cancelación y rectificación
Artículo 21. Del derecho de información sobre los ficheros de datos.
1. En cualquier momento podrá ser consultado el Registro de Ficheros de Datos Personales de la Comunidad de Madrid por quienes resulten interesados, al objeto de verificar la existencia de ficheros con datos de carácter personal. La Agencia de Protección de Datos contestará expresamente en el plazo que se determine por vía reglamentaria.
2. A efecto de facilitar el ejercicio del derecho de acceso, todo ciudadano tendrá derecho a recibir una vez al año y en el domicilio que señale una relación de los ficheros en los que consten datos personales de su titularidad. Este derecho se ejercitará en la forma establecida en el artículo 32.
Artículo 22. De la iniciación de los procedimientos de ejercicio de los derechos.
Los derechos de acceso, cancelación o rectificación se ejercitarán ante el responsable del fichero que corresponda, mediante solicitud dirigida al mismo, presentada en cualquier Registro público de la Comunidad de Madrid o en las formas previstas en la Ley 30/1992.
Artículo 23. Del derecho de acceso.
1. Todo ciudadano podrá en cualquier momento ejercitar su derecho de acceso ante los órganos y con las condiciones establecidas en la presente Ley o en sus normas de desarrollo.
2. El ejercicio de este derecho respecto de cada fichero tendrá carácter gratuito la primera vez que se ejercite y, posteriormente, una vez al año. Si el afectado ejercitase su derecho con menor periodicidad, deberá satisfacer una tasa por el aprovechamiento especial de los servicios públicos, cuya regulación se realizará por Ley.
Artículo 24. De los derechos de rectificación y cancelación.
1. En cualquier momento podrá el afectado solicitar la rectificación o cancelación de los datos incompletos o inexactos, así como de los que fueren recogidos o registrados contra los principios de adecuación, pertinencia o proporcionalidad.
Igualmente, se podrá solicitar la cancelación de datos transcurridos los plazos fijados en la norma de creación del fichero o en los supuestos previstos en los artículos 5 y concordantes de la Ley 5/1992, de 29 de octubre, todo ello sin perjuicio de lo establecido en el artículo 10 de la presente Ley.
2. No se exigirá contraprestación alguna por la cancelación o rectificación de los datos incompletos, inexactos o contrarios a los principios de adecuación, pertinencia y proporcionalidad.
Artículo 25. De la terminación del procedimiento de ejercicio del derecho de acceso.
En el plazo de quince días siguientes a la recepción de la solicitud del interesado, el responsable de fichero remitirá al mismo domicilio indicado en la solicitud certificación comprensiva de si existen o no datos personales de su titularidad y en este último supuesto del contenido de los mismos.
Alternativamente, en ese mismo plazo, el responsable de fichero remitirá al interesado resolución motivada denegando el ejercicio del derecho de acceso cuando, ponderados los intereses en presencia, prevaleciesen razones de interés público o de tercero con mejor derecho. En dicha resolución se pondrá de manifiesto al afectado su derecho a invocar la actuación de la Agencia de Protección de Datos de la Comunidad de Madrid, que será informado, en todo caso, por el responsable de fichero.
De no dictarse resolución expresa en el plazo establecido en cualquiera de los supuestos a que se refieren los párrafos precedentes, el interesado podrá reproducir su petición ante la Agencia de Protección de Datos, que resolverá en el mismo plazo y con arreglo al mismo procedimiento.
Artículo 26. De la terminación del procedimiento de ejercicio de los derechos de rectificación y cancelación.
En el plazo de un mes, contado desde la recepción de la solicitud del interesado, el responsable de fichero remitirá al mismo, al domicilio indicado en la solicitud, certificación comprensiva de los datos modificados a su instancia, así como del contenido de los datos personales de su titularidad que quedan en el fichero.
Alternativamente, en ese mismo plazo, el responsable del fichero remitirá al interesado resolución motivada desestimando las peticiones vinculadas al ejercicio de los derechos a que se refiere este artículo. En dicha resolución se pondrá de manifiesto al interesado su derecho a invocar la actuación de la Agencia de Protección de Datos de la Comunidad de Madrid, que será informada, en todo caso, por el responsable del fichero.
De no dictarse resolución expresa en el plazo establecido en cualquiera de los supuestos a que se refieren los párrafos precedentes, o de haberse desestimado la petición, el interesado podrá reproducir la misma ante la Agencia de Protección de Datos, que resolverá en el mismo plazo y con arreglo al mismo procedimiento.
CAPITULO VIII
De los órganos de protección de datos
de la Comunidad de Madrid
Artículo 27. Naturaleza y régimen jurídico.
1. Se crea la Agencia de Protección de Datos de la Comunidad de Madrid, integrada por su Director, como órgano superior de la misma, y por el Consejo de Protección de Datos, como órgano consultivo.
2. La Agencia de Protección de Datos de la Comunidad de Madrid es un ente de Derecho público, con personalidad jurídica propia y plena capacidad, que actúa con total independencia de la Administración de la Comunidad de Madrid en el ejercicio de sus funciones. Se regulará por lo dispuesto en esta Ley y en su propio Estatuto, que será aprobado por el Consejo de Gobierno de la Comunidad de Madrid, así como por las disposiciones que le sean de aplicación, en virtud de lo dispuesto en la Ley reguladora de la Hacienda de la Comunidad de Madrid, así como en la de Administración institucional.
3. La estructura orgánica de la Agencia se limitará a una Secretaría General y una Secretaría Técnica, ambas con nivel orgánico de servicio, que dependerán directamente del Director de la Agencia.
4. Tanto en el ejercicio de sus funciones como en su organización interna, el régimen jurídico de sus actos estará sujeto a las prescripciones de la Ley 30/1992, de 26 de noviembre, contra los cuales podrá interponerse recurso contencioso-administrativo ante el Tribunal Superior de Justicia de la Comunidad de Madrid. Su representación y defensa en juicio estará a cargo de los Servicios Jurídicos de la Comunidad de Madrid, conforme a lo dispuesto en sus normas reguladoras.
5. Los puestos de trabajo de la Agencia de Protección de Datos serán cubiertos, conforme al régimen ordinario de provisión de puestos de la Comunidad de Madrid, por funcionarios de los Cuerpos y Escalas de ésta o por personal laboral de las plantillas de su Administración central o institucional, según la naturaleza de las funciones asignadas a cada puesto de trabajo. En todo caso, los puestos de Director y de los Secretarios se desempeñarán por funcionarios de carrera de la Comunidad de Madrid.
6. La Agencia de Protección de Datos de la Comunidad de Madrid contará para el cumplimiento de sus fines con las asignaciones que anualmente se establezcan con cargo a los Presupuestos Generales de la Comunidad de Madrid.
El Director de la Agencia elaborará anualmente su anteproyecto de presupuestos.
Las contrataciones de la Agencia se regirán conforme al Derecho privado.
Artículo 28. Atribuciones y funciones de la Agencia.
1. La Agencia de Protección de Datos de la Comunidad de Madrid dispondrá de los medios de investigación y del poder efectivo de intervenir contra la explotación y creación de ficheros que no se ajusten a las disposiciones de esta Ley. A tal fin tendrá acceso a los ficheros, podrá inspeccionarlos y recabar toda la información necesaria para el cumplimiento de su misión de control, podrá solicitar la exhibición o el envío de documentos y datos, y examinarlos en el lugar que se encuentren depositados, así como inspeccionar los dispositivos físicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.
2. Son funciones de la Agencia de Protección de Datos de la Comunidad de Madrid:
a) Ejercer la potestad reglamentaria en todo aquello que se refiera al ejercicio y desarrollo de los derechos contemplados en la presente Ley.
b) Velar por el cumplimiento de la legislación sobre protección de datos, controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de datos de carácter personal, proporcionar a las personas información acerca de los derechos reconocidos en esa Ley y atender las peticiones y reclamaciones formuladas por las personas afectadas.
c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de esta Ley.
d) Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se ajusten a las disposiciones de la presente Ley.
e) Ejercer la potestad sancionadora.
f) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
g) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
h) Velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, a cuyo efecto publicará anualmente una relación de los mismos.
i) Velar por el cumplimiento de las disposiciones que las leyes sobre estadística pública de la Comunidad de Madrid establezcan respecto de la recogida de datos estadísticos y del secreto estadístico, así como dictar las instrucciones precisas y dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos.
j) Redactar una Memoria anual de sus actividades y remitirla al Presidente de la Asamblea de Madrid.
k) Colaborar con la Agencia de Protección de Datos estatal y con las demás agencias de protección de datos de las Comunidades Autónomas en cuantas actividades sean necesarias para aumentar la protección de los derechos de los ciudadanos respecto a sus datos personales automatizados.
l) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Artículo 29. El Consejo de Protección de Datos.
1. El Consejo de Protección de Datos de la Comunidad de Madrid es el órgano consultivo de la Agencia, designa al Director, le asesora y emite sus dictámenes, que serán vinculantes en las materias que regulan esta Ley y el Estatuto de la Agencia.
2. El Consejo estará compuesto por los siguientes miembros:
a) Un representantes de cada Grupo Parlamentario de la Asamblea de Madrid.
b) Tres representantes de la Administración de la Comunidad de Madrid, designados por el Presidente.
c) Un representante de las organizaciones sindicales, elegido por el Consejo Económico y Social de la Comunidad de Madrid.
d) Un representante de las organizaciones empresariales, elegido por el Consejo Económico y Social de la Comunidad de Madrid.
e) Un representante de las asociaciones legalmente constituidas que tengan entre sus finalidades principales la defensa de intereses y derechos protegidos por esta Ley, designado por la Asamblea de Madrid.
3. Los miembros del Consejo serán nombrados mediante Decreto del Presidente de la Comunidad de Madrid, a propuesta de los respectivos grupos, órganos, entidades y organizaciones citadas en el apartado anterior, por un período de cuatro años. Podrán ser sustituidos, por el mismo procedimiento, a solicitud de los mismos grupos, órganos, organizaciones o entidades proponentes.
4. En su sesión constitutiva, el Consejo designará al Director de la Agencia, por mayoría absoluta de sus miembros. La designación deberá recaer en una persona de acreditada independencia, elevado conocimiento de las materias de su competencia y probada capacidad de gestión. El nombramiento de Director se efectuará por Decreto del Presidente de la Comunidad de Madrid.
Artículo 30. El Director de la Agencia de Protección de Datos.
1. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid dirige la Agencia, ostenta su representación y preside el Consejo. Será nombrado mediante Decreto del Presidente de la Comunidad de Madrid, a propuesta del Consejo de Protección de Datos, por un período de cuatro años.
2. El Director tendrá la consideración de alto cargo y el desempeño del mismo será incompatible con cualquier otro de la Administración Pública y con el ejercicio de toda actividad profesional o mercantil. Ejercerá sus funciones con plena independencia y objetividad, sin estar sujeto a instrucción alguna en el desempeño de aquéllas.
3. El Director sólo cesará antes de la expiración de su mandato a petición propia o por separación acordada por el Presidente de la Comunidad de Madrid a solicitud del Consejo de Protección de Datos de la Comunidad. Dicha solicitud deberá ser aprobada por el voto de tres cuartas partes de sus miembros, en reunión extraordianria convocada al efecto, y sólo por alguna de las causas siguientes: Incumplimiento grave de sus obligaciones, incompatibilidad, incapacidad sobrevenida para el ejercicio de sus funciones o condena por delito doloso.
Artículo 31. Registro de Ficheros de Datos Personales de la Comunidad de Madrid.
1. Como órgano integrado en la Agencia se crea el Registro de Ficheros de Datos Personales. En él se inscribirán los ficheros sujetos a la presente Ley y podrá ser consultado, con carácter gratuito, al objeto de verificar la existencia de ficheros con datos de carácter personal.
2. La inscripción en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid tendrá lugar de oficio, una vez publicadas las disposiciones de creación de ficheros, anotándose las incidencias de cualquier naturaleza que concurran en los mismos, singularmente las que afecten al ejercicio de derechos por los ciudadanos, cesiones de datos y modificaciones y supresiones de ficheros.
Artículo 32. De la Sección de Interesados del Registro de Ficheros de la Comunidad de Madrid.
1. Como Unidad integrante del Registro de Ficheros de Datos Personales de la Comunidad de Madrid se crea la Sección de Interesados, con la función de facilitar a los ciudadanos información sobre los ficheros en que se contengan datos personales de su titularidad.
2. Cuando los ciudadanos expresamente lo soliciten podrán ser inscritos en la Sección de Interesados, en las condiciones que se establezcan reglamentariamente. Esta inscripción dará derecho al intereasdo a obtener la información a la que se refiere el apartado anterior.
3. Los responsables de fichero vendrán obligados a la comunicación a la Sección de Interesados de las variaciones experimentadas en los ficheros, en cuanto a los afectados inscritos, con la periodicidad que reglamentariamente se establezca.
Artículo 33. De la potestad de inspección y sanción.
1. Los funcionarios de la Agencia que ejerzan la inspección tendrán la consideración de autoridad en el ejercicio de sus funciones y las actas que levanten gozarán de la presunción de veracidad en los términos establecidos en el artículo 137.3 de la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
2. Los responsables de ficheros y demás intervinientes en el tratamiento automatizado de datos de carácter personal estarán sujetos al régimen de infracciones previsto en el título VII de la Ley 5/1992, de 29 de octubre, excepto en lo que se refiere al procedimiento y al régimen de sanciones aplicable, que será el previsto en la legislación de régimen disciplinario.
3. La Agencia de Protección de Datos propondrá la iniciación de procedimientos disciplinarios contra quienes estime responsables de las infracciones al régimen de protección de datos personales, sin perjuicio de la adopción de las medidas cautelares previstas en el artículo 36.f) de la Ley Orgánica 5/1992, de 29 de octubre.
CAPITULO IX
De la cooperación interadministrativa
Artículo 34. De la cooperación interadministrativa.
1. La Agencia de Protección de Datos de la Comunidad de Madrid iniciará las acciones oportunas para la colaboración y cooperación con otras Administraciones Públicas en orden a la creación de las condiciones adecuadas para el ejercicio de los derechos y el cumplimiento de las garantías establecidas para la protección de datos personales, así como para favorecer la participación de los interesados y la adopción de medidas para el desarrollo de los sistemas de seguridad.
2. Se atenderá especialmente al establecimietno de Convenios de colaboración en las materias a las que se refiere la presente Ley con las Corporaciones Locales de la Comunidad de Madrid.
Al objeto de facilitar el ejercicio de los derechos reconocidos en materia de protección de datos de carácter personal, las Corporaciones que tengan una condiciones de seguridad equiparables a las establecidas en el ámbito de aplicación de la presente Ley, y previo Convenio de cooperación, que deberá ser informado por la Agencia de Protección de Datos, podrán inscribir sus ficheros en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid.
Por la Comunidad de Madrid se prestará asistencia técnica a las Corporaciones Locales que lo soliciten con el fin de conseguir las condiciones a que se refiere el párrafo anterior.
3. Trimestralmente, la Agencia de Protección de Datos remitirá a la Agencia Estatal de Protección de Datos el contenido del Registro de Ficheros de Datos Personales de la Comunidad de Madrid.
Disposición adicional primera. Adaptaciones técnicas.
Por la Consejería de Hacienda se establecerán las características técnicas que deben reunir los ficheros automatizados de datos de carácter personal y la aplicación informática de soporte de la Sección de Interesados del Registro de Ficheros de Datos Personales para posibilitar la comunicación de las variaciones de los ficheros a que se refieren los artículos 16 y 32 de la Ley. Disposición adicional segunda. Adaptaciones de oficinas públicas e impresos.
Las previsiones contenidas en el artículo 5 en lo que se refiere a la información a exponer en oficinas públicas y en los impresos o cuestionarios que se utilicen en la recogida de datos serán adoptadas en un plazo máximo de tres meses.
Disposición transitoria única. Ficheros automatizados existentes a la entrada en vigor de la Ley.
En el plazo de tres meses, el Consejo de Gobierno dictará un Decreto adaptando las normas reguladoras de los ficheros existentes a las determinaciones de la presente Ley.
Disposición final primera. Desarrollo del régimen de la Agencia de Protección de Datos.
En el plazo de tres meses desde la entrada en vigor de la presente Ley, el Consejo de Gobierno dictará las disposiciones necesarias para el desarrollo y aplicación de la presente Ley en lo que se refiere a la Agencia de Protección de Datos y al régimen de funcionamiento del Consejo de Protección de Datos.
Disposición final segunda. Normativa de seguridad.
La normativa de seguridad a que se refiere el artículo 14 será dictada en el plazo máximo de un año a partir de la entrada en vigor de esta Ley.
Disposición final tercera. Habilitación de desarrollo reglamentario.
El Consejo de Gobierno dictará las disposiciones necesarias para el desarrollo y aplicación de la presente Ley.
Disposición final cuarta. Entrada en vigor.
La presente Ley entrará en vigor el día de su publicación en el «Boletín Oficial de la Comunidad de Madrid».
Por tanto, ordeno a todos los ciudadanos a los que sea de aplicación esta Ley, que la cumplan, y a los Tribunales y autoridades que corresponda, la guarden y la hagan guardar.
Madrid, 21 de abril de 1995.
JOAQUIN LEGUINA,
Presidente
(Publicada en el «Boletín Oficial de la Comunidad de Madrid» número 105, de 4 de mayo de 1995. Corrección de errores en el «Boletín Oficial de la Comunidad de Madrid» número 141, de 15 de junio de 1995)
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid