En fecha 14 de diciembre de 1999 se publicó en el «Boletín Oficial del Estado» la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, que vino a derogar la anterior Ley Orgánica 5/1992, de 29 de octubre, de Tratamiento Automatizado de Datos de Carácter Personal, trasponiendo a nuestro Derecho lo establecido en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
La nueva Ley regula la inscripción de los ficheros de titularidad pública y privada, respectivamente, en los artículos 20 y 26, estableciendo los requisitos que deberán incorporarse a las solicitudes de inscripción en el Registro General de Protección de Datos. Asimismo, la nueva Ley introduce nuevas definiciones, tales como las referentes al encargado del tratamiento y fuentes accesibles al público y modifica, entre otros, los supuestos legales que amparan la comunicación o cesión de datos, establecidos por los artículos 11 y 21, o los relativos al movimiento internacional de datos que disponen los artículos 33 y 34.
Hasta la fecha, el procedimiento de notificación e inscripción de ficheros de datos de carácter personal en el Registro General de Protección de Datos se regulaba fundamentalmente en el Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la Ley Orgánica 5/1992, cuyos artículos 5 y 6 habilitan a la Agencia de Protección de Datos para elaborar modelos normalizados de solicitud de inscripción para los ficheros de titularidad pública o privada, respectivamente.
La disposición transitoria tercera de la Ley Orgánica 15/1999 declara expresamente la vigencia del Real Decreto 1332/1994. Ello no obstante, el régimen previsto en los artículos 20 y 26, ya citados, en el que se introduce la obligación de notificar las medidas de seguridad exigibles al fichero, con indicación del nivel básico, medio o alto que haya de adoptarse, así como la necesaria adaptación de dichos preceptos al régimen general establecido en la Ley, hacen necesario un nuevo modelo de notificación de ficheros, reemplazando al establecido en la Resolución de la Agencia de Protección de Datos, de 22 de junio de 1994, por la que se aprobaron los modelos normalizados en soporte papel y magnético a través de los que debían efectuarse las correspondientes inscripciones en el Registro General de Protección de Datos, publicada en el «Boletín Oficial del Estado» del 23.
El artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, insta a las Administraciones Públicas a promover la incorporación de técnicas electrónicas, informáticas y telemáticas en el desarrollo de su actividad y el ejercicio de sus competencias.
El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado, desarrolla dicho artículo, delimitando, en el ámbito de la Administración General del Estado, las garantías, requisitos y supuestos de utilización de las técnicas electrónicas, informáticas y telemáticas.
Por todo lo anterior, se hace necesaria la aprobación de nuevos modelos de solicitud de inscripción, para que los titulares de los ficheros, tanto públicos como privados, puedan llevar a cabo las distintas notificaciones previstas en la Ley a efectos de su inscripción en el Registro General de Protección de Datos.
Los modelos podrán cumplimentarse indistintamente en soporte papel, magnético o telemático, gozando las declaraciones de la misma validez en Derecho, siempre y cuando sea debidamente cumplimentada y firmada la hoja de solicitud de inscripción a la que se refiere la Resolución. En caso de que la declaración se efectúe a través de Internet, queda garantizada la seguridad de los datos notificados a la Agencia de Protección de Datos, dado que la utilización del programa aprobado por la Resolución supone el cifrado de aquéllos, así como que los mismos se alojarán en un servidor web seguro.
Debe recordarse que la inscripción de los ficheros en el Registro General de Protección de Datos tiene un carácter meramente declarativo, sin perjuicio de la obligación de notificar los mismos en los términos establecidos y de que la información contenida en la notificación se ajuste a la realidad.
Por último, a fin de facilitar la implantación y comprensión de la norma, la Resolución establece un período transitorio, que se extiende hasta el 1 de septiembre de 2000, durante el cual será posible la presentación ante la Agencia de Protección de Datos de declaraciones cumplimentadas conforme a los modelos que preveía la Resolución de 22 de junio de 1994, sin perjuicio de que, al haber entrado en vigor la presente Resolución, sea también posible la presentación en los modelos que la misma establece.
En su virtud, esta Agencia de Protección de Datos ha resuelto:
Aprobar los modelos normalizados en soporte papel de notificación de ficheros o tratamientos de datos de carácter personal de titularidad pública o privada, que figuran en el anexo I de la presente Resolución.
Dichos modelos se componen de una hoja de solicitud de inscripción y de hojas interiores de detalle de la notificación.
Aprobar los modelos en soporte magnético y telemático de notificación de ficheros o tratamientos de datos de carácter personal de titularidad pública o privada, cuyo diseño normalizado se encuentra definido en el anexo II.
A tal efecto, la información contenida en el soporte directamente legible por ordenador deberá haber sido validada con carácter previo a su presentación. Dicha validación se realizará de acuerdo a las normas que se relacionan en el anexo II. Si se utiliza el programa informático al que se refiere el apartado tercero, no será preciso realizar dicha validación.
Los soportes directamente legibles por ordenador para la presentación de notificaciones en la Agencia de Protección de Datos deberán ajustarse a las especificaciones técnicas relacionadas en el anexo III.
En todo caso, el soporte se presentará debidamente etiquetado, en los términos previstos en el anexo III, acompañándose de la hoja de solicitud de inscripción, debidamente cumplimentada y firmada por persona habilitada a tal efecto.
Aprobar el programa informático de generación de notificaciones de creación, modificación o supresión de ficheros, de acuerdo con el modelo normalizado, con la finalidad de facilitar la notificación de ficheros o tratamientos.
Este programa se podrá obtener de la página web de la Agencia de Protección de Datos, de acuerdo a las especificaciones que figuran en el anexo III.
Este programa permitirá generar notificaciones de inscripción, dando lugar a un fichero. Este fichero se remitirá a la Agencia, bien directamente a través de Internet, bien mediante un disquete. En ambos casos deberá cumplimentarse y firmarse la hoja de solicitud de inscripción generada por el programa, que habrá de presentarse en la Agencia de Protección de Datos o en cualquiera de los Registros y oficinas a que se refiere el artículo 38.4 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
Cada remisión en soporte papel podrá incluir varias declaraciones, siempre y cuando las mismas se refieran a un mismo responsable.
Cada remisión en soporte magnético o telemático podrá incluir varias declaraciones, siempre que las mismas se refieran a un mismo responsable, no pudiendo exceder dichas declaraciones de 50.
A los efectos previstos en el artículo 39 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no se entenderá recibida la declaración efectuada mediante su envío por medios telemáticos sino desde la fecha en que tenga entrada en la Agencia de Protección de Datos la hoja de solicitud de inscripción, debidamente cumplimentada y firmada.
En todo caso, carecerán de efecto alguno las declaraciones si la hoja de solicitud de inscripción, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia de Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992, transcurridos diez días desde la recepción de la declaración por la Agencia de Protección de Datos.
Todas las recepciones de soportes legibles por ordenador serán provisionales, a resultas de su proceso y comprobación. Cuando no se ajusten al diseño y demás especificaciones establecidas en la presente Resolución, se requerirá al declarante para que, en el plazo de diez días hábiles, subsane los defectos de que adolezca la declaración, transcurridos los cuales y de persistir anomalías sustanciales que impidan a la Agencia de Protección de Datos el acceso a los datos exigidos por esta Resolución, se le tendrá por desistido de su petición, archivándose sin más trámite.
La presente Resolución entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado», pero serán válidas las solicitudes cumplimentadas con arreglo a los modelos establecidos en la Resolución de 22 de junio de 1994, que tengan entrada en la Agencia de Protección de Datos con anterioridad a 1 de septiembre de 2000.
Madrid, 30 de mayo de 2000.–El Director de la Agencia, Juan Manuel Fernández López.
Este anexo comprende los siguientes documentos:
1. Modelo normalizado de notificación de ficheros de titularidad pública.
2. Instrucciones para cumplimentar el modelo de notificación de ficheros de titularidad pública.
3. Modelo normalizado de notificación de ficheros de titularidad privada.
4. Instrucciones para cumplimentar el modelo de notificación de ficheros de titularidad privada.
Este anexo comprende los siguientes documentos:
1. Formato de registro para la notificación de ficheros de datos de carácter personal de titularidad pública.
2. Formato de registro para la notificación de ficheros de datos de carácter personal de titularidad privada.
3. Tablas de codificación.
Primero. Definiciones.
Navegador: Programa informático que permite el acceso a servidores web a través de redes de datos basadas en TCP/IP, como Internet, así como la presentación de la información que dichos servidores contienen.
TCP/IP (Transmission Control Protocol/Internet Protocol): Conjunto de protocolos que hace posible la interconexión y tráfico de red en Internet.
Secure Socket Layer (SSL): Es un protocolo de seguridad, situado entre el protocolo de transporte TCP y los protocolos del nivel de aplicación (tales como HTTP, Telnet o FTP), que proporciona cifrado de los datos, autenticación del servidor, integridad del mensaje.
Cifrado: Transformación de un mensaje en otro utilizando una clave para impedir que el mensaje transformado pueda ser interpretado por aquellos que no conocen la clave.
Certificado de autenticación: Certificado expedido por una entidad de certificación independiente que garantiza que la dirección Internet a la que se quiere conectar corresponde realmente a la entidad o persona que dice ser.
Servidor web: Es el sistema informático que, utilizando el protocolo de comunicaciones HTTP, es capaz de recibir peticiones de información de un programa cliente (navegador), recuperar la información solicitada y enviarla al programa cliente para su visualización por el usuario.
Conexión segura: Conexión establecida con un servidor web, utilizando un protocolo de seguridad, como el SSL. Este protocolo de seguridad utiliza técnicas de cifrado y autenticación como medios para incrementar la confidencialidad y la fiabilidad de las transacciones.
Segundo. Especificaciones para la obtención del programa de ayuda de generación de notificaciones de creación, modificación o supresión de ficheros en la dirección Internet de la Agencia de Protección de Datos.
Los responsables de ficheros que quieran obtener el programa de generación de notificaciones de creación, modificación o supresión de ficheros a través de Internet deberán seguir los siguientes pasos:
1. Conexión a la Web de la Agencia de Protección de Datos: Conectarse a la dirección Internet: https://www.agenciaprotecciondatos.org. en la opción de Registro General de Protección de Datos.
2. Descarga del programa: Dependiendo de la titularidad del responsable del fichero o tratamiento, hacer doble clic sobre el botón Programa de Inscripción de Ficheros de Titularidad Pública o sobre Programa de Inscripción de Ficheros de Titularidad Privada, según corresponda. El programa tiene un tamaño aproximado de 5 Mb.
3. Descompresión de los archivos: Ejecute el archivo publico.exe o privado.exe que ha descargado. El programa incluye el software para descomprimir los ficheros necesarios para la instalación del programa.
4. Instalación: El programa está preparado para realizar la instalación una vez que termine la descompresión de los archivos. Si no quiere realizar la instalación en este momento, elija la opción Salir. Para instalar la aplicación en otro momento deberá ejecutar el archivo setup.exe en el directorio dónde lo haya descargado y descomprimido.
5. Ayuda: Se recomienda, para una mejor comprensión y utilidad del programa, leer la información que se incluye en la ayuda del programa.
Requerimientos mínimos de hardware y software para la descarga del programa de generación de notificaciones:
• 1 línea telefónica.
• 1 módem de velocidad superior a 14.400 bps (aconsejable 33.600) si el acceso se hace vía red telefónica conmutada (RTC), o 1 tarjeta RDSI si el acceso se hace por esta vía.
Los requerimientos mínimos del PC son:
• Procesador 486 o superior .
• Memoria RAM mínima de 16 Mb.
• Dispositivo gráfico VGA o SVGA de 256 colores. Configuración de pantalla 800x600 pixeles, fuentes pequeñas.
• Disco duro con capacidad mínima de 20 Mb.
• Windows 95 o superior.
• Disponer de alguno de los siguientes navegadores de Internet:
Navegador Netscape Navigator versión 4.6 o superior que actúe sobre un sistema operativo de 32 bits.
Navegador Microsoft Internet Explorer versión 4 o posterior sobre Win 32 (Windows 95, Windows 98, Windows NT).
Tercero. Especificaciones para el envío a través de Internet de notificaciones de creación, modificación o supresión de ficheros obtenidas con el programa de ayuda para la generación de notificaciones.
Una vez cumplimentadas correctamente las notificaciones de ficheros a presentar en la Agencia de Protección de Datos, el programa le permite enviarlas a través de Internet mediante una conexión segura.
Durante el proceso de transmisión se desencadenarán automáticamente las siguientes operaciones:
• Autenticación del sitio web de la Agencia de Protección de Datos siguiendo los estándares del protocolo de seguridad SSL.
• Cifrado de la información que se transmite hasta el sitio web de la Agencia de Protección de Datos.
• Recepción en el sitio web de la Agencia de Protección de Datos de las notificaciones enviadas.
• A la llegada de un envío se le asigna un nombre, a través de un algoritmo diseñado al efecto, que permite la identificación unívoca de cada envío con el responsable del fichero y el momento de la transmisión.
Requerimientos mínimos de hardware y software para el envío de notificaciones a la Agencia de Protección de Datos:
• Los requerimientos mínimos son los mismos que los señalados para la descarga del programa.
• Si realiza la conexión a Internet a través de un servidor proxy, deberá indicar en la opción Utilidades/Opciones Internet del programa de generación de notificaciones, la dirección y el puerto del servidor proxy a través del cual realiza la conexión a Internet.
Cuarto. Especificaciones para el envío mediante soporte magnético de notificaciones de creación, modificación o supresión de ficheros obtenidas con el programa de ayuda para la generación de notificaciones.
Una vez cumplimentadas correctamente las notificaciones de ficheros a presentar en la Agencia de Protección de Datos, el programa permite generar un soporte magnético con el contenido de las mismas.
El soporte magnético deberá ser un disquete de 3,5” DS, HD 1,44 Mb.
El disquete llevará adherida una etiqueta en la que se indicará la siguiente información:
• Identificación del responsable del fichero mediante su nombre o razón social,
• NIF/CIF,
• Domicilio a efectos de notificación.
Estos datos deberán coincidir con los indicados en la hoja de solicitud de inscripción.
En todo caso, el soporte se presentará correctamente etiquetado, acompañándose de la hoja de solicitud de inscripción, debidamente cumplimentada y firmada por persona habilitada a tal efecto.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid