Artículo 6. Notificación de ficheros de titularidad
privada.
La persona o entidad que pretenda crear un fichero de datos de
carácter personal lo notificará
previamente a la Agencia de Protección de Datos mediante escrito o
soporte informático en
modelo normalizado que al efecto elabore la Agencia, en el que se
especificarán los siguientes
extremos:
a) Nombre, denominación o razón social, documento nacional
de identidad o código de
identificación fiscal, dirección y actividad u objeto social del
responsable del fichero.
b) Ubicación del fichero.
c) Identificación de los datos que se pretendan tratar, individualizando
los supuestos de datos
especialmente protegidos.
d) Dirección de la oficina o dependencia en la cual puedan ejercerse los
derechos de acceso,
rectificación y cancelación.
e) Origen o procedencia de los datos.
f) Finalidad del fichero.
g) Cesiones de datos previstas.
h) Transferencias temporales o definitivas que se prevean realizar a otros
países, con expresión
de los mismos.
i) Destinatarios o usuarios previstos para las cesiones o transferencias.
j) Sistemas de tratamiento automatizado que se vayan a utilizar.
k) Medidas de seguridad.
Artículo 7. Inscripción de los ficheros.
1. Los ficheros de titularidad pública serán inscritos de
oficio por la Agencia de Protección de
Datos, una vez haya recibido la copia de la disposición de
creación del fichero.
2. El Director de la Agencia de Protección de Datos, a propuesta del
Registro General de
Protección de Datos, acordará la inscripción de los
ficheros de titularidad privada si la
notificación contuviera la información preceptiva y se cumplen
las restantes exigencias legales,
requiriendo, en caso contrario, al responsable del fichero para que la complete o
subsane en el
plazo de diez días, con indicación de que, si así no lo
hiciera, se le tendrá por desistido de su
petición, archivándose sin más trámite.
3. La inscripción contendrá, en el supuesto de ficheros de
titularidad pública, las indicaciones
previstas en el artículo 18.2 de la Ley Orgánica 5/1992, con
especificación de la disposición
general de creación y del diario oficial de su publicación, y, en
el supuesto de ficheros de
titularidad privada, los extremos relacionados en el artículo 6 del
presente Real Decreto, con
excepción de las medidas de seguridad.
4. La inscripción será notificada al responsable del fichero por
el Registro General de Protección
de Datos.
Artículo 8. Modificación y cancelación de la
inscripción.
1. La modificación o, en su caso, cancelación de la
inscripción de los ficheros de titularidad
pública se producirá de oficio por la Agencia de
Protección de Datos, previo traslado por el
órgano de la Administración responsable del fichero de una
copia de la disposición general que
modifique o suprima aquél.
2. Cuando se trate de ficheros de titularidad privada, cualquier
modificación posterior en el
contenido de los extremos a que se refiere el artículo 6 del presente
Real Decreto se comunicará,
a efectos de inscripción, en su caso, a la Agencia de Protección
de Datos dentro del mes siguiente
a la fecha en que aquélla se hubiera producido. En igual plazo se
comunicará la decisión de
supresión del fichero a efectos de la cancelación del
correspondiente asiento de inscripción.
Artículo 9. Inscripción y publicidad de los códigos
tipo.
1. Los códigos tipo se depositarán, para su
inscripción, en el Registro General de Protección de
Datos.
2. El Director de la Agencia de Protección de Datos podrá
denegar la inscripción si el código tipo
no se ajusta a las disposiciones de la Ley Orgánica 5/1992 y del
presente Real Decreto, sin
perjuicio de requerir a los solicitantes para que subsanen las deficiencias.
3. Los particulares podrán obtener copias de los códigos tipo
depositados e inscritos en el
Registro General de Protección de Datos.
4. En caso de incumplimiento de las normas contenidas en los códigos
tipo se estará a lo
dispuesto al efecto en los acuerdos o decisiones que los formulen.
Artículo 10. Recursos.
Contra las resoluciones del Director de la Agencia de Protección
de Datos relativas a la
inscripción o, en su caso, a la modificación o
cancelación de la inscripción de un fichero o código
tipo, procederá el recurso contencioso-administrativo.
CAPÍTULO IV: EJERCICIO Y TUTELA DE LOS DERECHOS DEL
AFECTADO
Artículo 11. Carácter personal de los derechos.
Los derechos de acceso a los ficheros automatizados, así como los
de rectificación y cancelación
de datos son personalísimos y serán ejercidos por el afectado
frente al responsable del fichero,
sin otras limitaciones que las que prevén la Ley Orgánica
5/1992 y el presente Real Decreto.
Podrá, no obstante, actuar el representante legal del afectado cuando
éste se encuentre en
situación de incapacidad o minoría de edad que le imposibilite
el ejercicio personal de los
mismos.
Artículo 12. Derecho de acceso.
1. El derecho de acceso se ejercerá mediante petición o
solicitud dirigida al responsable del
fichero, formulada por cualquier medio que garantice la identificación
del afectado y en la que
conste el fichero o ficheros a consultar.
2. El afectado podrá optar por uno o varios de los siguientes sistemas de
consulta del fichero,
siempre que la configuración e implantación material del
fichero lo permita:
a) Visualización en pantalla.
b) Escrito, copia o fotocopia remitida por correo.
c) Telecopia.
d) Cualquier otro procedimiento que sea adecuado a la configuración e
implantación material del
fichero, ofrecido por el responsable del mismo.
3. El responsable del fichero resolverá sobre la petición de
acceso en el plazo máximo de un mes,
a contar de la recepción de la solicitud. Transcurrido este plazo sin que
de forma expresa se
responda a la petición de acceso, ésta podrá entenderse
desestimada a los efectos de la
interposición de la reclamación prevista en el artículo
17.1 de la Ley Orgánica 5/1992.
4. Si la resolución fuera estimatoria, el acceso se hará efectivo
en el plazo de los diez días
siguientes a la notificación de aquélla.
Artículo 13. Contenido de la información.
1. La información, cualquiera que sea el soporte en que fuere
facilitada, se dará en forma legible
e inteligible, previa transcripción en claro de los datos del fichero, en su
caso.
2. La información comprenderá los datos de base del afectado y
los resultantes de cualquier
elaboración o proceso informático, así como el origen
de los datos, los cesionarios de los mismos
y la especificación de los concretos usos y finalidades para los que se
almacenaron los datos.
Artículo 14. Denegación del acceso.
1. Se denegará el acceso a los datos de carácter personal
registrados en ficheros de titularidad
pública cuando se dé alguno de los supuestos contemplados en
los artículos 14.3, 21.1 y 2 y 22.2
de la Ley Orgánica 5/1992.
2. Tratándose de datos de carácter personal registrados en
ficheros de titularidad privada,
únicamente se denegará el acceso cuando la solicitud sea
formulada por persona distinta del
afectado.
Artículo 15. Derecho de rectificación o
cancelación.
1. Cuando el acceso a los ficheros revelare que los datos del afectado son
inexactos o
incompletos, inadecuados o excesivos, podrá éste solicitar del
responsable del fichero la
rectificación o, en su caso, cancelación de los mismos.
No obstante, cuando se trate de datos que reflejen hechos constatados en un
procedimiento
administrativo, aquéllos se considerarán exactos siempre que
coincidan con éste.
2. La rectificación o cancelación se hará efectiva por el
responsable del fichero dentro de los
cinco días siguientes al de la recepción de la solicitud. En
idéntico plazo se efectuará la
notificación a que se refiere el artículo 15.3 de la Ley
Orgánica 5/1992.
3. En el supuesto de que el responsable del fichero considere que no procede
acceder a lo
solicitado por el afectado, se lo comunicará motivadamente y dentro del
plazo señalado en el
apartado anterior, a fin de que por éste se pueda hacer uso de la
reclamación prevista en el
artículo 17.1 de la Ley Orgánica 5/1992.
4. Transcurrido el plazo previsto en el apartado 2 sin que de forma expresa se
responda a la
solicitud de rectificación o cancelación, ésta
podrá entenderse desestimada a los efectos de la
interposición de la reclamación que corresponda.
Artículo 16. Bloqueo de los datos.
1. En los casos en que, siendo procedente la cancelación de los
datos, no sea posible su extinción
física, tanto por razones técnicas como por causa del
procedimiento o soporte utilizado, el
responsable del fichero procederá al bloqueo de los datos, con el fin de
impedir su ulterior
proceso o utilización.
Se exceptúa, no obstante, el supuesto en el que se demuestre que los
datos han sido recogidos o
registrados por medios fraudulentos, desleales o ilícitos, en cuyo caso
la cancelación de los
mismos comportará siempre la destrucción del soporte en el
que aquéllos figuren.
2. Contra la resolución por la que el responsable del fichero acuerde el
bloqueo de los datos
procederá reclamación ante el Director de la Agencia de
Protección de Datos.
Artículo 17. Tutela de los derechos.
1. Las reclamaciones de los afectados ante la Agencia de
Protección de Datos, a que se refiere el
artículo 17.1 de la Ley Orgánica 5/1992, se sustanciarán
en la forma prevista en el presente
artículo.
2. El procedimiento se iniciará a instancia del afectado o afectados,
expresando con claridad el
contenido de su reclamación y de los preceptos de la Ley
Orgánica 5/1992 que se consideran
vulnerados.
3. Recibida la reclamación en la Agencia de Protección de
Datos, se dará traslado de la misma al
responsable del fichero, para que, en el plazo de quince días, formule
las alegaciones que estime
pertinentes.
4. Recibidas las alegaciones o transcurrido el plazo previsto en el apartado
anterior, la Agencia
de Protección de Datos, previos los informes, pruebas y otros actos de
instrucción pertinentes,
incluida la audiencia del afectado y nuevamente del responsable del fichero,
resolverá sobre la
reclamación formulada, dando traslado de la misma a los
interesados.
5. Contra la resolución del Director procederá recurso
contencioso-administrativo.
CAPÍTULO V: PROCEDIMIENTO SANCIONADOR
Artículo 18. Iniciación e instrucción.
1. El procedimiento sancionador previsto en el artículo 47 de la
Ley Orgánica 5/1992, se iniciará
siempre de oficio, bien por propia iniciativa o en virtud de denuncia de un
afectado o afectados,
por acuerdo del Director de la Agencia de Protección de Datos, en el
cual se designará instructor
y, en su caso, secretario, con expresa indicación del régimen de
recusación de los mismos.
En el referido acuerdo se identificará a la persona o personas
presuntamente responsables y se
concretarán los hechos imputados, con expresión de la
infracción presuntamente cometida y de la
sanción o sanciones que pudieran imponerse, así como de las
medidas provisionales que, en su
caso, se adopten.
2. El acuerdo de incoación del expediente se notificará al
presunto responsable y en el mismo se
informará a éste de su derecho a formular alegaciones y utilizar
los medios de defensa
procedentes y que la autoridad competente para imponer, en su caso, la
sanción es el Director de
la Agencia de Protección de Datos, con cita expresa del presente
artículo y del artículo 36, g), en
relación con el artículo 35, ambos de la Ley Orgánica
5/1992.
3. Dentro de los quince días siguientes a la notificación del
acuerdo de incoación, el instructor
ordenará, de oficio, la práctica de cuantas pruebas y actos de
instrucción sean adecuados para
esclarecer los hechos y determinar las responsabilidades susceptibles de
sanción. En idéntico
plazo, el presunto responsable podrá formular las alegaciones y
proponer las pruebas que
considere convenientes.
4. Transcurrido el plazo previsto en el apartado anterior, el instructor
acordará la práctica de las
pruebas que estime pertinentes, a cuyo efecto concederá un plazo de
treinta días, transcurrido el
cual el expediente se pondrá de manifiesto al presunto responsable para
que, en el plazo de
quince días, formule alegaciones y aporte cuantos documentos estime
de interés.
Artículo 19. Resolución.
1. Cumplimentados los trámites previstos en el artículo
anterior, el instructor formulará
propuesta de resolución motivada en la cual se fijarán de modo
claro y preciso los hechos, se
razonará, en su caso, la denegación y de la práctica
probatoria propuesta por el presunto
responsable, se valorarán jurídicamente aquéllos a fin
de determinar la infracción cometida y se
señalará la sanción a imponer, determinando su
cuantía con arreglo a los criterios establecidos en
el artículo 44.4 de la Ley Orgánica 5/1992, o bien, se
propondrá la declaración de no existencia
de responsabilidad.
2. La propuesta de resolución se notificará al presunto
responsable para que, en el plazo de
quince días, pueda formular nuevas alegaciones si lo considera
oportuno.
3. Notificada la propuesta de resolución o expirado el plazo de
alegaciones previsto en el
apartado anterior, el instructor elevará el expediente completo al
Director de la Agencia de
Protección de Datos.
4. El Director podrá, antes de dictar resolución, ordenar al
instructor la práctica de cuantas
actuaciones considere necesarias, lo que se llevará a efecto en un plazo
máximo de quince días.
5. La resolución, que se dictará dentro de los diez días
siguientes, determinará con la necesaria
precisión los hechos imputados, la infracción cometida, con
expresión del precepto que la
tipifique, el responsable de la misma y la sanción impuesta; o bien, la
declaración de no
existencia de responsabilidad. Contendrá, asimismo, la
declaración pertinente en orden a las
medidas provisionales adoptadas durante la tramitación del
procedimiento.
6. La resolución se notificará al responsable, con
expresión de su derecho a interponer recurso
contencioso-administrativo, el plazo de interposición, y el
órgano ante el cual deba ser
presentado.
7. Si el procedimiento se hubiera iniciado como consecuencia de denuncia de
un afectado, la
resolución deberá ser notificada al firmante de la misma.
Disposición adicional primera. Comunicación de ficheros
preexistentes.
Los ficheros automatizados de datos de carácter personal que se
hubiesen creado con
posterioridad a la entrada en vigor de la Ley Orgánica 5/1992 y antes
de la vigencia del presente
Real Decreto se deberán comunicar a la Agencia de Protección
de Datos antes del 31 de julio de
1994.
Disposición adicional segunda. Ficheros de las Comunidades
Autónomas.
Corresponde a las Comunidades Autónomas, respecto de sus
propios ficheros, la regulación del
ejercicio y tutela de los derechos del afectado y del procedimiento sancionador
en los términos y
con los límites establecidos en la Ley Orgánica 5/1992 y de
acuerdo con las normas del
procedimiento administrativo común.
Disposición adicional tercera. Ficheros de las Administraciones
Tributarias.
Los ficheros creados por las Administraciones Tributarias para la
gestión de los tributos que se
les encomienden, se regirán por las disposiciones del presente Real
Decreto y por las demás
disposiciones reglamentarias que, en desarrollo y con sujeción a lo
dispuesto en la Ley Orgánica
5/1992, específicamente se aprueben para los mismos.
Disposición final primera. Lista de países con equiparable
protección.
Se faculta al Ministro de Justicia e Interior para que, previo informe del
Director de la Agencia
de Protección de Datos, apruebe la relación de países
que, a efectos de lo dispuesto en el artículo
32 de la Ley Orgánica 5/1992, se entiende que proporcionan un nivel
de protección equiparable
al de dicha Ley.
Disposición final segunda. Entrada en vigor.
El presente Real Decreto entrará en vigor el día siguiente
al de su publicación en el Boletín
Oficial del Estado .