Real
Decreto 1332/94 de 20 de junio, por el que se desarrollan algunos preceptos de
la Ley Orgánica.
MINISTERIO
DE JUSTICIA E INTERIOR
REAL
DECRETO 1332/1994, de 20 de junio, por el que se desarrolla determinados
aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del
tratamiento automatizado de los datos de carácter personal.
La Ley
Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado
de los datos de carácter personal, habilita al Gobierno, en su disposición
final primera, para dictar las disposiciones necesarias para la aplicación y
desarrollo de la referida Ley, a la par que contiene en diferentes preceptos
unos concretos mandatos al Gobierno para que por vía reglamentaria regule
determinados aspectos, en su mayoría de orden procedimental, referentes al
ejercicio de los derechos de acceso, rectificación y cancelación, a la forma de
reclamar ante la Agencia de Protección de Datos por actuaciones contrarias a la
Ley, a la notificación e inscripción de los ficheros automatizados de datos y
al procedimiento para la determinación de las infracciones y la imposición de
las sanciones.
En uso de
dicha habilitación, y cumplimentando el mandato conferido en los artículos
15.1, 16.1, 17.1, 24.2, 38.3, y 47.1 de la citada Ley Orgánica, se dicta la
presente disposición.
En su
virtud, a propuesta del Ministro de Justicia e Interior, con la aprobación del
Ministro para las Administraciones Públicas, previo informe de la Agencia de
Protección de Datos, de acuerdo con el Consejo de Estado y previa deliberación
del Consejo de Ministros en su reunión del día 17 de junio de 1994,
DISPONGO:
CAPITULO I
Disposiciones
Generales
Artículo
1. Definiciones.
A efectos
de lo dispuesto en el presente Real Decreto se entenderá por:
Bloqueo de
datos: la identificación y reserva de datos con el fin de impedir su
tratamiento.
Cesión de
datos: toda obtención de datos resultante de la consulta de un fichero, su
interconexión con otros ficheros y la comunicación de datos realizada por una
persona distinta de la afectada.
Datos
accesibles al público: los datos que se encuentran a disposición del público en
general, no impedida por cualquier norma limitativa, y están recogidos en
medios tales como censos, anuarios, bases de datos públicas, repertorios de
jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así
como los datos publicados en forma de listas de personas pertenecientes a
grupos profesionales que contengan únicamente los nombres, títulos, profesión,
actividad, grados académicos, dirección e indicación de su pertenencia al grupo.
Datos de
carácter personal: toda información numérica, alfabética, gráfica, fotográfica,
acústica o de cualquier otro tipo, susceptible de recogida, registro,
tratamiento o transmisión concerniente a una persona física identificada o
identificable.
Identificación
del afectado: cualquier elemento que permita determinar directa o
indirectamente la identidad física, fisiológica, psíquica, económica, cultural
o social de la persona física afectada.
Transferencia
de datos: el transporte de datos entre sistemas informáticos por cualquier
medio de transmisión, así como el transporte de soportes de datos por correo o
por cualquier otro medio convencional.
Artículo
2. Regímenes
especiales.
De
conformidad con lo dispuesto en el artículo 2.3 de la Ley Orgánica 5/1992 se
regirán por las disposiciones que, en materia de protección de datos, contienen
las leyes y reglamentos respectivos, los ficheros siguientes:
El censo
electoral, el fichero de electores y ficheros complementarios, regulados por la
legislación de régimen electoral.
Los
ficheros automatizados creados con fines exclusivamente estadísticos y
amparados en cuanto a protección de datos por la normativa reguladora de la
función estadística pública, sin perjuicio de lo prevenido en el artículo 36,
m) de la Ley Orgánica 5/1992.
Los
ficheros automatizados de estado civil, amparados por la Ley del Registro Civil
y su Reglamento.
Los
ficheros automatizados de antecedentes penales.
Los
ficheros automatizados creados o gestionados al amparo de la normativa sobre
protección de materias clasificadas.
Los
ficheros automatizados cuyo objeto sea el almacenamiento de los datos
contenidos en los informes personales regulados en el artículo 68 de la Ley
17/1989, de 19 de julio, reguladora del Régimen del personal militar
profesional.
La
remisión al Derecho nacional, contenida en los Títulos IV y VI del Convenio de
19 de junio de 1990, de aplicación del Acuerdo de Schengen de 14 de junio de
1985, así como cualquier otra remisión hecha a disposiciones nacionales de
protección de datos personales contenida en convenios internacionales, se
entenderá referida a la Ley Orgánica 5/1992, de 29 de octubre, de regulación
del tratamiento automatizado de los datos de carácter personal, y a las
disposiciones reglamentarias de desarrollo.
CAPITULO
II
Transferencia
internacional de datos
Artículo
3. Régimen de las
transferencias.
Si la
transferencia de los datos de carácter personal tuviera como destinatario un
país que no proporciona un nivel de protección equiparable al que presta la Ley
Orgánica 5/1992, el Director de la Agencia de Protección de Datos autorizará la
transferencia de los mismos, siempre que el cedente de los datos acredite haber
cumplido lo dispuesto en los preceptos de la referida Ley y otorgue las
garantías que al efecto le sean exigidas. A tal fin, la autorización deberá ser
sometida al cumplimiento de las condiciones o cargas modales que se consideren
necesarias para que de la transferencia no se deriven perjuicios a los derechos
de los afectados y se respeten los principios contenidos en el Título II de la
Ley Orgánica 5/1992.
En caso de
incumplimiento de los términos de la autorización el cedente y el cesionario de
los datos responderán solidariamente a efectos de lo previsto en el artículo
17.3 de la Ley Orgánica 5/1992.
Artículo
4. Excepciones.
Se
exceptúan, en todo caso, de la autorización previa del Director de la Agencia
de Protección de Datos las transferencias de datos de carácter personal que
resulten de la aplicación de tratados o convenios de los que sea parte España
y, en particular:
Las
transmisiones de datos registrados en ficheros creados por las Fuerzas y
Cuerpos de Seguridad en función de una investigación concreta, hechas por
conducto Interpola u otras vías previstas en convenios en los que España sea
parte, cuando las necesidades de la investigación en curso exijan la
transmisión a servicios policiales de otros Estados.
Las
transmisiones de datos registrados en la parte nacional española del Sistema de
Información Schengen, con destino a la unidad de apoyo del sistema, a los solos
efectos de una investigación policial en curso que requiera la utilización de
datos del sistema.
Las
transmisiones de datos previstas en el sistema de intercambios de información
contemplado en el Título VI del Tratado de la Unión Europea.
Las
transmisiones de los datos registrados en los ficheros creados por las
Administraciones tributarias, en favor de los demás Estados miembros de la
Unión Europea o en favor de otros Estados terceros, en virtud de lo dispuesto
en los convenios internacionales de asistencia mutua en materia tributaria.
Se
exceptúan, asimismo, de la autorización previa del Director de la Agencia de
Protección de Datos, cualquiera que sea el Estado destinatario de los datos,
las transmisiones de datos que se efectúen para cumplimentar exhortas, cartas
órdenes, comisiones rotatorias u otras peticiones de auxilio judicial
internacional, y los demás supuestos previstos en el artículo 33 de la Ley
Orgánica 5/1992.
CAPITULO
III
Notificación
e inscripción de ficheros
Artículo
5. Notificación de
ficheros de titularidad pública.
Todo
fichero de datos de carácter personal, de titularidad pública, será notificado
a la Agencia de Protección de Datos por el órgano competente de la
Administración responsable del fichero para su inscripción en el Registro
General de Protección de Datos, mediante el traslado, a través del modelo
normalizado que al efecto elabore la Agencia, de una copia de la disposición de
creación del fichero.
Artículo
6. Notificación de
ficheros de titularidad privada.
La persona
o entidad que pretenda crear un fichero de datos de carácter personal lo
notificará previamente a la Agencia de Protección de Datos mediante escrito o
soporte informático en modelo normalizado que al efecto elabore la Agencia, en
el que se especificarán los siguientes extremos:
Nombre,
denominación o razón social, documento nacional de identidad o código de
identificación fiscal, dirección y actividad u objeto social del responsable
del fichero.
Ubicación
del fichero.
Identificación
de los datos que se pretendan tratar, individualizando los supuestos de datos
especialmente protegidos.
Dirección
de la oficina o dependencia en la cual puedan ejercerse los derechos de acceso,
rectificación y cancelación.
Origen o
procedencia de los datos.
Finalidad
del fichero.
Cesiones
de datos previstas.
Transferencias
temporales o definitivas que se prevean realizar a otros países, con expresión
de los mismos.
Destinatarios
o usuarios previstos para las cesiones o transferencias.
Sistemas
de tratamiento automatizado que se vayan a utilizar.
Medidas de
seguridad.
Artículo
7. Inscripción de
los ficheros.
Los
ficheros de titularidad pública serán inscritos de oficio por la Agencia de
Protección de Datos, una vez haya recibido la copia de la disposición de
creación del fichero.
El
Director de la Agencia de Protección de Datos, a propuesta del Registro General
de Protección de Datos, acordará la inscripción de los ficheros de titularidad
privada si la notificación contuviera la información preceptiva y se cumplen
las restantes exigencias legales, requiriendo, en caso contrario, al
responsable del fichero para que la complete o subsane en el plazo de diez
días, con indicación de que, si así no lo hiciera, se le tendrá por desistido
de su petición, archivándose sin más trámite.
La
inscripción contendrá, en el supuesto de ficheros de titularidad pública, las
indicaciones previstas en el artículo 18.2 de la Ley Orgánica 5/1992, con
especificación de la disposición general de creación y del diario oficial de su
publicación, y, en el supuesto de ficheros de titularidad privada, los extremos
relacionados en el artículo 6 del presente Real Decreto, con excepción de las
medidas de seguridad.
La
inscripción será notificada al responsable del fichero por el Registro General
de Protección de Datos.
Artículo
8. Modificación y
cancelación de la inscripción.
La
modificación o, en su caso, cancelación de la inscripción de los ficheros de
titularidad pública se producirá de oficio por la Agencia de Protección de
Datos, previo traslado por el órgano de la Administración responsable del
fichero de una copia de la disposición general que modifique o suprima aquél.
Cuando se
trata de ficheros de titularidad privada, cualquier modificación posterior en
el contenido de los extremos a que se refiere el artículo 6 del presente Real
Decreto se comunicará, a efectos de inscripción, en su caso, a la Agencia de
Protección de Datos dentro del mes siguiente a la fecha en que aquélla se
hubiera producido. En igual plazo se comunicará la decisión de supresión del
fichero a efectos de la cancelación del correspondiente asiento de inscripción.
Artículo
9. Inscripción y
publicidad de los códigos tipo.
Los
códigos tipo se depositarán, para su inscripción, en el Registro General de
Protección de Datos.
El
Director de la Agencia de Protección de Datos podrá denegar la inscripción si
el código tipo no se ajusta a las disposiciones de la Ley Orgánica 5/1992 y del
presente Real Decreto, sin perjuicio de requerir a los solicitantes para que
subsanen las deficiencias.
Los
particulares podrán obtener copias de los códigos tipo depositados e inscritos
en el Registro General de Protección de Datos.
En caso de
incumplimiento de las normas contenidas en los códigos tipo se estará a lo
dispuesto al efecto en los acuerdos o decisiones que los formulen.
Artículo
10. Recursos.
Contra las
resoluciones del Director de la Agencia de Protección de Datos relativas a la
inscripción o, en su caso, a la modificación o cancelación de la inscripción de
un fichero o código tipo, procederá el recurso contencioso-administrativo.
CAPITULO
IV
Ejercicio
y tutela de los derechos del afectado
Artículo
11. Carácter
personal de los derechos.
Los
derechos de acceso a los ficheros automatizados, así como los de rectificación
y cancelación de datos son personalísimos y serán ejercidos por el afectado
frente al responsable del fichero, sin otras limitaciones que las que prevén la
Ley Orgánica 5/1992 y el presente Real Decreto.
Podrá, no
obstante, actuar el representante legal del afectado cuando éste se encuentre
en situación de incapacidad o minoría de edad que le imposibilite el ejercicio
personal de los mismos.
Artículo
12. Derecho de
acceso.
El derecho
de acceso se ejercerá mediante petición o solicitud dirigida al responsable del
fichero, formulada por cualquier medio que garantice la identificación del
afectado y en la que conste el fichero o ficheros a consultar.
El
afectado podrá optar por uno o varios de los siguientes sistemas de consulta
del fichero, siempre que la configuración e implantación material del fichero
lo permita:
Visualización
en pantalla.
Escrito,
copia o fotocopia remitida por correo.
Telecopia.
Cualquier
otro procedimiento que sea adecuado a la configuración e implantación material
del fichero, ofrecido por el responsable del mismo.
El
responsable del fichero resolverá entre la petición de acceso en el plazo
máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este
plazo sin que de forma expresa se responda a la petición de acceso, éste podrá
entenderse desestimada a los efectos de la interposición de la reclamación
prevista en el artículo 17.1 de la Ley Orgánica 5/1992.
Si la
resolución fuera estimatoria, el acceso se hará efectivo en el plazo de los
diez días siguientes a la notificación de aquélla.
Artículo
13. Contenido de la
información.
La
información, cualquiera que sea el soporte en que fuere facilitada, se dará en
forma legible e inteligible, previa transcripción en claro de los datos del
fichero, en su caso.
La
información comprenderá los datos de base del afectado y los resultantes de
cualquier elaboración o proceso informático, así como el origen de los datos,
los cesionarios de los mismos y la especificación de los concretos usos y
finalidades para los que se almacenaron los datos.
Artículo
14. Denegación del
acceso.
Se
denegará el acceso a los datos de carácter personal registrados en ficheros de
titularidad pública cuando se dé alguno de los supuestos contemplados e los
artículos 14.3, 21.1 y 2 y 22.2 de la Ley Orgánica 5/1992.
Tratándose
de datos de carácter personal registrados en ficheros de titularidad privada,
únicamente se denegará el acceso cuando la solicitud sea formulada por persona
distinta del afectado.
Artículo
15. Derecho de
rectificación o cancelación.
Cuando el
acceso a los ficheros revelare que los datos del afectado son inexactos o
incompletos, inadecuados o excesivos, podrá éste solicitar del responsable del
fichero la rectificación o, en su caso, cancelación de los mismos.
No
obstante, cuando se trate de datos que reflejen hechos constatados en un
procedimiento administrativo, aquéllos se considerarán exactos siempre que
coincidan con éste.
La
rectificación o cancelación se hará efectiva por el responsable del fichero
dentro de los cinco días siguientes al de la recepción de la solicitud. En
idéntico plazo se efectuará la notificación a que se refiere el artículo 15.3
de la Ley Orgánica 5/1992.
En el
supuesto de que el responsable del fichero considere que no procede acceder a
lo solicitado por el afectado, se lo comunicará motivadamente y dentro del
plazo señalado en el apartado anterior, a fin de que por éste se pueda hacer
uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992.
Transcurrido
el plazo previsto en el apartado 2 sin que de forma expresa se responda a la
solicitud de rectificación o cancelación, ésta podrá entenderse desestimada a
los efectos de la interposición de la reclamación que corresponda.
Artículo
16. Bloqueo de los
datos.
En los
casos en que, siendo procedente la cancelación de los datos, no sea posible su
extinción física, tanto por razones técnicas como por causa del procedimiento o
soporte utilizado, el responsable del fichero procederá al bloqueo de los
datos, con el fin de impedir su ulterior proceso o utilización.
Se
exceptúa, no obstante, el supuesto de que se demuestre que los datos han sido
recogidos o registrados por medios fraudulentos, desleales o ilícitos, en cuyo
caso la cancelación de los mismos comportará siempre la destrucción del soporte
en el que aquéllos figuren.
Contra la
resolución por la que el responsable del fichero acuerde el bloqueo de los
datos procederá reclamación ante el Director de la Agencia de Protección de
Datos.
Artículo
17. Tutela de los
derechos.
Las
reclamaciones de los afectados ante la Agencia de Protección de Datos, a que se
refiere el artículo 17.1 de la Ley Orgánica 5/1992, se sustanciarán en la forma
prevista en el presente artículo.
El
procedimiento se iniciará a instancia del afectado o afectados, expresando con
claridad el contenido de su reclamación y de los preceptos de la Ley Orgánica
5/1992 que se consideran vulnerados.
Recibida
la reclamación en la Agencia de Protección de Datos, se dará traslado de la
misma al responsable del fichero, para que, en el plazo de quince días, formule
las alegaciones que estime pertinentes.
Recibidas
las alegaciones o transcurrido el plazo previsto en el apartado anterior, la
Agencia de Protección de Datos, previos los informes, pruebas y otros actos de
instrucción pertinentes, incluida la audiencia del afectado y nuevamente del
responsable del fichero, resolverá sobre la reclamación formulada, dando
traslado de la misma a los interesados.
Contra la
resolución del Director procederá recurso contencioso-administrativo.
CAPITULO V
Procedimiento
sancionador
Artículo
18. Iniciación e
instrucción.
El
procedimiento sancionador previsto en el artículo 47 de la Ley Orgánica 5/1992,
se iniciará siempre de oficio, bien por propia iniciativa o en virtud de
denuncia de un afectado o afectados, por acuerdo del Director de la Agencia de
Protección de Datos, en el cual se designará instructor y, en su caso,
secretario, con expresa indicación del régimen de recusación de los mismos.
En el
referido acuerdo se identificará a la persona o personas presuntamente
responsables y se concretarán los hechos imputados, con expresión de la
infracción presuntamente cometida y de la sanción o sanciones que pudieran
imponerse, así como de las medidas provisionales que, en su caso, se adopten.
El acuerdo
de incoación del expediente se notificará al presunto responsable y en el mismo
se informará a éste de su derecho a formular alegaciones y utilizar los medios
de defensa procedentes y que la autoridad competente para imponer, en su caso,
la sanción es el Director de la Agencia de Protección de Datos, con cita
expresa del presente artículo y del artículo 36, g) en relación con el artículo
35, ambos de la Ley Orgánica 5/1992.
Dentro de
los quince días siguientes a la notificación del acuerdo de incoación, el
instructor ordenará, de oficio, la práctica de cuantas pruebas y actos de
instrucción sean adecuados para esclarecer los hechos y determinar las
responsabilidades susceptibles de sanción. En idéntico plazo, el presunto
responsable podrá formular las alegaciones y proponer las pruebas que considere
convenientes.
Transcurrido
el plazo previsto en el apartado anterior, el instructor acordará la práctica
de las pruebas que estime pertinentes, a cuyo efecto concederá un plazo de
treinta días, transcurrido el cual el expediente se pondrá de manifiesto al
presunto responsable para que, en el plazo de quince días, formule alegaciones
y aporte cuantos documentos estime de interés.
Artículo
19. Resolución.
Cumplimentados
los trámites previstos en el artículo anterior, el instructor formulará
propuesta de resolución motivada en la cual se fijarán de modo claro y preciso
los hechos, se razonará, en su caso, la denegación y de la práctica probatoria
propuesta por el presunto responsable, se valorarán jurídicamente aquéllos a
fin de determinar la infracción cometida y se señalará la sanción a imponer,
determinando su cuantía con arreglo a los criterios establecidos en el artículo
44.4 de la Ley Orgánica 5/1992, o bien, se propondrá la declaración de no
existencia de responsabilidad.
La
propuesta de resolución se notificará al presunto responsable para que, en el
plazo de quince días, pueda formular nuevas alegaciones si lo considera
oportuno.
Notificada
la propuesta de resolución o expirado el plazo de alegaciones previsto en el
apartado anterior, el instructor elevará el expediente completo al Director de
la Agencia de Protección de Datos.
El
Director podrá, antes de dictar resolución, ordenar al instructor la práctica
de cuantas actuaciones considere necesarias, lo que se llevará a efecto en un
plazo máximo de quince días.
La
resolución, que se dictará dentro de los diez días siguientes, determinará con
la necesaria precisión los hechos imputados, la infracción cometida, con
expresión del precepto que la tipifique, el responsable de la misma y la
sanción impuesta; o bien, la declaración de no existencia de responsabilidad.
Contendrá, asimismo, la declaración pertinente en orden a las medidas
provisionales adoptadas durante la tramitación del procedimiento.
La
resolución se notificará al responsable con expresión de su derecho a
interponer recurso contencioso-administrativo, el plazo de interposición, y el
órgano ante el cual deba ser presentado.
Si el
procedimiento se hubiera iniciado como consecuencia de denuncia de un afectado,
la resolución deberá ser notificada al firmante de la misma.
Disposición
adicional primera.
Comunicación de ficheros preexistentes.
Los
ficheros automatizados de datos de carácter personal que se hubiesen creado con
posterioridad a la entrada en vigor de la Ley Orgánica 5/1992 y antes de la
vigencia del presente Real Decreto se deberán comunicar a la Agencia de
Protección de Datos antes del 31 de julio de 1994.
Disposición
adicional segunda.
Ficheros de las Comunidades Autónomas.
Corresponde
a las Comunidades Autónomas, respecto de sus propios ficheros, la regulación
del ejercicio y tutela de los derechos del afectado y del procedimiento
sancionador en los términos y con los límites establecidos en la Ley Orgánica
5/1992 y de acuerdo con las normas del procedimiento administrador común.
Disposición
adicional tercera.
Ficheros de las Administraciones Tributarias.
Los
ficheros creados por las Administraciones Tributarias para la gestión de los
tributos que se les encomienden, se regirán por las disposiciones del presente
Real Decreto y por las demás disposiciones reglamentarias que, en desarrollo y
con sujeción a lo dispuesto en la Ley Orgánica 5/1992, específicamente se
aprueben para los mismos.
Disposición
final primera. Lista
de países con equiparable protección.
Se faculta
al Ministro de Justicia e Interior para que, previo informe del Director de la
Agencia de Protección de Datos, apruebe la relación de países que, a efectos de
lo dispuesto en el artículo 32 de la Ley Orgánica 5/1992, se entiende que
proporcionan un nivel de protección equiparable al de dicha Ley.
Disposición
final segunda.
Entrada en vigor.
El
presente Real Decreto entrará en vigor el día siguiente al de su publicación en
el "Boletín Oficial del Estado".
Dado en
Madrid a 20 de junio de 1994.
JUAN
CARLOS R.
El
Ministro de Justicia e Interior,
JUAN ALBERTO BELLOCH JULBE