LEY 8/2001, de 13 de julio, de Protección de Datos de
Carácter Personal en la Comunidad de Madrid.
El Presidente de la Comunidad de Madrid.
Hago saber que la Asamblea de Madrid ha aprobado la presente Ley, que yo, en
nombre del Rey, promulgo.
PREÁMBULO
I
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, establece un conjunto de medidas para garantizar y proteger,
en lo que concierne al tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las personas físicas, y especialmente
de su honor e intimidad personal y familiar.
Entre esas medidas contempla la existencia de la Agencia de Protección de
Datos, Ente de Derecho Público, al que corresponde, entre otras funciones,
velar por el cumplimiento de la legislación de protección de datos y controlar
su aplicación.
Las funciones atribuidas por la Ley Orgánica a la Agencia de Protección de
Datos serán ejercidas, cuando afecten a ficheros de datos de carácter personal
creados o gestionados por las Comunidades Autónomas y por la Administración
Local de su ámbito territorial, por los órganos correspondientes de cada
Comunidad Autónoma, que tendrán, a igual que aquélla, la consideración de
autoridades de control, a las que se garantizarán plena independencia y
objetividad en el ejercicio de su cometido.
Esta habilitación a las Comunidades Autónomas para crear sus propias
autoridades de control en materia de protección de datos de carácter personal
ya se contenía en la Ley Orgánica 5/1992, de 29 de octubre, y al amparo de la
misma la Comunidad de Madrid creó su propia Agencia de Protección de Datos
mediante la Ley 13/1995, de 21 de abril, de regulación del uso de informática
en el tratamiento de datos personales por la Comunidad de Madrid ¾modificada parcialmente por la Ley 13/1997,
de 16 de junio, y por la Ley 6/1999, de 30 de marzo¾. No obstante, la Ley Orgánica 15/1999, de 13 de diciembre,
amplía el ámbito de actuación de estas autoridades de control autonómicas al
extender su actuación sobre los ficheros de datos de carácter personal creados
o gestionados por la Administración Local del ámbito territorial de la
Comunidad Autónoma de que se trate.
De este modo, en primer lugar, se hace preciso modificar la Ley 13/1995, de
21 de abril, a fin de extender el ámbito de actuación de la Agencia de
Protección de Datos de la Comunidad de Madrid al control de los ficheros de
datos de carácter personal de las Entidades Locales del territorio de esta
Comunidad, de modo que aquélla actuará como autoridad de control respecto de
los tratamientos y usos de los datos de carácter personal por dichas entidades.
En segundo lugar, se ha optado por circunscribir el contenido de esta Ley a
aquellas materias para las cuales encontramos una habilitación concreta en la
propia Ley Orgánica 15/1999, de 13 de diciembre, que son básicamente: La
regulación del procedimiento de elaboración de las disposiciones que creen,
modifiquen o supriman ficheros de titularidad de la Comunidad de Madrid; la
delimitación de las funciones, organización y régimen jurídico básico de la
Agencia de Protección de Datos de la Comunidad de Madrid; cooperación
interadministrativa y otros aspectos relacionados con la seguridad.
Con ello se suprimen todas las referencias contenidas en la Ley 13/1995, de
21 de abril, en relación a cuestiones como recogida de datos de carácter
personal, derechos de los ciudadanos y principio del consentimiento, ejercicio
de los derechos de acceso, cancelación y rectificación, cesión de datos,
etcétera, que ya están reguladas en la Ley Orgánica, pues son aspectos
esenciales que delimitan el sistema de protección de las libertades públicas y
los derechos fundamentales de las personas físicas, especialmente el derecho al
honor y a la intimidad personal y familiar, en el tratamiento de los datos
personales.
II
De acuerdo con lo expresado, el Capítulo I contiene una serie de
disposiciones generales en las que se delimitan el objeto y el ámbito de
aplicación de la Ley, y una relación de definiciones de expresiones y términos
que aun cuando se encuentran recogidos en el artículo 3 de la Ley Orgánica
15/1999, se reproducen en su totalidad a fin de facilitar la comprensión del
texto de la Ley sin necesidad de acudir a la Ley Orgánica para precisar el
significado de esos términos y expresiones.
El Capítulo II contiene el régimen de los ficheros de datos de carácter
personal estableciéndose que la creación, modificación y supresión de los
mismos se hará mediante disposición de carácter general, que se publicará en el
BOLETÍN OFICIAL
DE LA
COMUNIDAD DE
MADRID o en los Diarios Oficiales que
corresponda y se inscribirán de oficio en el Registro correspondiente de la
Agencia de Protección de Datos de la Comunidad de Madrid.
Asimismo, para el ámbito de la Administración de la Comunidad de Madrid, se
establece el procedimiento de elaboración de dichas disposiciones que será
iniciado por el órgano competente sobre la materia a que se refiera el
contenido del fichero o tratamiento. El proyecto se acompañará de un informe
sobre la necesidad y oportunidad del mismo, y de una memoria económica que
contenga la estimación del coste a que dará lugar, teniendo en cuenta el nivel
de las medidas de seguridad que tengan que adoptarse respecto del fichero. El
Proyecto puede someterse a cuantas consultas se estimen convenientes, sin
perjuicio de los dictámenes preceptivos que procedan, como el de la Agencia de
Protección de Datos, y también a una fase de alegaciones en la que podrán
participar las organizaciones o asociaciones legalmente constituidas cuyo
objeto estatutario tenga como finalidad principal la defensa de derechos e
intereses relacionados con los protegidos en esta Ley, y aquellas
organizaciones o asociaciones cuyos miembros resulten especialmente afectados
por los datos cuya recogida se pretenda.
El Capítulo III recoge una serie de disposiciones respecto de los
responsables de ficheros, estableciendo que los responsables de los ficheros y
demás intervinientes en el tratamiento de datos de carácter personal están
sujetos al régimen de infracciones previstas en la Ley Orgánica 15/1999, de 13
de diciembre, si bien, considerando que esos responsables son siempre empleados
públicos, en el supuesto de comisión de dichas infracciones serán sancionados
de acuerdo con el procedimiento y sanciones previstas en la legislación de
régimen disciplinario de las Administraciones Públicas. En estos casos, se
habilita al Director de la Agencia para que adopte las medidas que procedan
para que cesen o se corrijan los efectos de la infracción; para que proponga,
en su caso, el inicio del correspondiente procedimiento disciplinario; y, en
determinados casos a que inmovilice aquellos ficheros cuando se den las
circunstancias previstas en el artículo 49 de la Ley Orgánica 15/1999.
III
El Capítulo IV delimita la naturaleza, el régimen jurídico, y organización
de la Agencia de Protección de Datos de la Comunidad de Madrid.
El contenido de este Capítulo viene a reproducir en esencia la regulación de
la Ley 13/1995, con algunas modificaciones de escaso alcance cuya finalidad es
aclarar o precisar algunas cuestiones que la aplicación de esa Ley ha
planteado.
Así, la Agencia es configurada como un Ente de Derecho público, actúa en el
ejercicio de sus funciones con plena independencia de la Administración de la
Comunidad de Madrid y se relaciona con el Gobierno a través de la Consejería de
Presidencia y Hacienda.
En cuanto a su régimen jurídico, se precisa que el mismo será en todo caso
de Derecho público y, en particular, se establecen algunas normas respecto de
sus relaciones patrimoniales y de contratación, actos administrativos y
recursos, representación y defensa en juicio, personal y hacienda.
Cuestión trascendental es la delimitación de las funciones de la Agencia, y
por ello se ha seguido el criterio establecido en el artículo 41 de la Ley
Orgánica 15/1999, que indica que las funciones de la Agencia de Protección de
Datos del Estado previstas en el artículo 37, con excepción de algunas que se
reservan a la Agencia estatal, serán ejercidas por las autoridades de control
de las Comunidades Autónomas. En cumplimiento de esta disposición las funciones
que se atribuye a la Agencia Autonómica vienen a ser las mismas que las
atribuidas por esa Ley Orgánica a la Agencia estatal con las excepciones
apuntadas.
La Agencia cuenta para el cumplimiento de sus funciones con los siguientes
órganos: Director, Consejo de Protección de Datos y el Registro de Ficheros de
Datos Personales.
IV
El Capítulo V se refiere a las relaciones de cooperación de la Agencia de
Protección de Datos de la Comunidad de Madrid con otras Administraciones
Públicas en orden a la creación de las condiciones adecuadas para el ejercicio
de los derechos y el cumplimiento de garantías establecidas para la protección
de datos personales, así como para favorecer la participación de los
interesados y la adopción de medidas para el desarrollo de los sistemas de
seguridad.
CAPITULO I
Disposiciones generales
Artículo 1
Objeto
La presente Ley tiene por objeto regular los ficheros de datos de carácter
personal y la Agencia de Protección de Datos de la Comunidad de Madrid de
acuerdo con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
Artículo 2
Ámbito de aplicación
1. La Agencia de Protección de Datos de la Comunidad de Madrid ejerce sus
funciones de control sobre los ficheros de datos de carácter personal creados o
gestionados por las Instituciones de la Comunidad de Madrid y por los Órganos,
Organismos, Entidades de Derecho público y demás Entes públicos integrantes de
su Administración Pública, exceptuándose las sociedades mercantiles a que se
refiere el artículo 2.2.c).1 de la Ley 1/1984, de 19 de enero, reguladora de la
Administración Institucional de la Comunidad de Madrid.
Asimismo, dichas funciones se ejercerán sobre los ficheros de datos de
carácter personal creados o gestionados por los Entes que integran la
Administración Local del ámbito territorial de la Comunidad de Madrid, de
conformidad con lo previsto en el artículo 41 de la Ley Orgánica 15/1999, de 13
de diciembre, así como sobre los ficheros creados o gestionados por las
Universidades públicas y por las Corporaciones de derecho público
representativas de intereses económico y profesionales de la Comunidad de
Madrid, en este último caso siempre y cuando dichos ficheros sean creados o
gestionados para el ejercicio de potestades de derecho público.
2. Los ficheros regulados por la Ley estatal 12/1989, de 9 de mayo, de la Función
Estadística Pública, creados o gestionados por las entidades y empresas de la
Comunidad de Madrid y Entidades Locales referidos en el apartado anterior, para
fines no estatales, se regirán por dicha disposición en defecto de la
legislación estadística de que pueda dotarse la Comunidad de Madrid, pero
estarán sometidos al control de la Agencia de Protección de Datos de la
Comunidad de Madrid.
Artículo 3
Definiciones
A los efectos de la presente Ley, y de conformidad con lo previsto en el
artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, se entenderá por:
a) Datos de carácter personal: Cualquier información concerniente a personas
físicas identificadas o identificables.
b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera
que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso.
c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
d) Responsable del fichero o tratamiento: Persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: Persona física titular de los datos que sean
objeto del tratamiento a que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: Todo tratamiento de datos personales de
modo que la información que se obtenga no pueda asociarse a persona
identificada o identificable.
g) Encargado del tratamiento: La persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento.
h) Consentimiento del interesado: Toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos: Toda revelación de datos realizada a una
persona distinta del interesado.
j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser
realizada, por cualquier persona, no impedida por una norma limitativa o sin
más exigencia que, en su caso, el abono de una contraprestación. Tienen
consideración de fuentes de acceso público, exclusivamente, el censo promocional,
los repertorios telefónicos en los términos previstos por su normativa
específica y las listas de personas pertenecientes a grupos de profesionales
que contengan únicamente los datos de nombre, título, profesión, actividad,
grado académico, dirección e indicación de su pertenencia al grupo. Asimismo,
tienen el carácter de fuentes de acceso público los diarios y boletines
oficiales y los medios de comunicación.
CAPITULO II
Del Régimen de los ficheros de datos de carácter personal
Artículo 4
Disposiciones de regulación de ficheros
1. La creación, modificación o supresión de ficheros de datos de carácter
personal incluidos en el ámbito de aplicación de la presente Ley se realizará
mediante disposición de carácter general que será publicada en el BOLETÍN
OFICIAL DE LA COMUNIDAD DE MADRID o en el Diario Oficial que corresponda.
Corresponde a la Asamblea de Madrid, a través del órgano que ésta determine,
la competencia para la creación, modificación y supresión de sus ficheros.
En el ámbito de la Administración de la Comunidad de Madrid la aprobación de
aquella disposición se hará mediante Orden del Consejero respectivo. No
obstante, en los Entes dotados de especial autonomía o independencia de la
Administración de la Comunidad de Madrid esa competencia corresponderá a éstos.
2. Las disposiciones de creación o modificación de ficheros de datos de
carácter personal deberán indicar en todo caso:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos de
carácter personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter personal.
d) La estructura básica del fichero y la descripción de los tipos de datos
de carácter personal incluidos en el mismo.
e) Las cesiones de datos de carácter personal.
f) Los órganos de la Administración responsables del fichero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos
de acceso, rectificación, cancelación y oposición.
h) Las medidas de seguridad con indicación del nivel básico, medio o alto
exigible.
3. En las disposiciones que se dicten para la supresión de los ficheros, se
establecerá el destino de los datos contenidos en los mismos o, en su caso, las
previsiones que se adopten para su destrucción.
4. De la destrucción de los datos sólo podrán ser excluidos aquéllos que, en
atención a su necesidad para el desarrollo de la función estadística pública,
sean previamente sometidos a procedimiento de disociación.
5. Los ficheros se inscribirán en el Registro de Ficheros de Datos
Personales de la Agencia de Protección de Datos de la Comunidad de Madrid, sin
perjuicio de lo previsto en el artículo 39 de la Ley Orgánica 15/1999, de 13 de
diciembre.
Artículo 5
Procedimiento para la aprobación de disposiciones de ficheros de datos de
carácter personal de los Órganos, Organismos, Entidades de Derecho público y
demás Entes públicos de la Comunidad de Madrid
1. La iniciativa en la tramitación del procedimiento de elaboración de las
disposiciones de carácter general de creación, modificación o supresión de
ficheros de datos de carácter personal corresponderá al órgano titular de la
función específica en que se concrete la competencia sobre la materia a cuyo
ejercicio sirva instrumentalmente el fichero.
2. Si la iniciativa fuera de un Organismo Autónomo, de una Entidad de
Derecho público o de un Ente público la propuesta corresponderá a su Consejo de
Administración.
3. El proyecto de disposición se acompañará de un informe sobre la necesidad
y oportunidad del mismo, así como de una memoria económica que contenga la
estimación del coste a que dará lugar.
4. A lo largo del proceso de elaboración se recabará, además de los informes
y dictámenes previos preceptivos, cuantos estudios y consultas se estimen
convenientes para garantizar la oportunidad y legalidad del texto del proyecto.
5. Elaborado el proyecto de disposición de carácter general, se abrirá una
fase de alegaciones, durante un plazo no inferior a quince días hábiles, relativas
a la adecuación, pertinencia o proporcionalidad de los datos de carácter
personal que pretendan solicitarse en relación con la finalidad del fichero.
A tal fin el proyecto de disposición será trasladado a las organizaciones o asociaciones
legalmente constituidas cuyo objeto estatutario tenga como finalidad principal
la defensa de derechos e intereses relacionados con los protegidos mediante
esta Ley o cuyos miembros resulten especialmente afectados por los datos cuya
recogida se pretenda.
No será necesario este trámite, si las organizaciones o asociaciones
mencionadas hubieran participado por medio de informes o consultas en el
proceso de elaboración indicado en el apartado anterior.
6. Con carácter previo a su aprobación el proyecto de disposición, junto con
las alegaciones formuladas, se remitirá a la Agencia de Protección de Datos de
la Comunidad de Madrid para informe preceptivo.
7. Con posterioridad al informe preceptivo de la Agencia, se enviará a la
Secretaría General Técnica de la Consejería a la que corresponda la aprobación
del proyecto para informe igualmente preceptivo.
En el caso de los Entes públicos dotados de especial autonomía o
independencia de la Administración de la Comunidad de Madrid dicho informe será
emitido por la Dirección General de los Servicios Jurídicos.
Artículo 6
Derecho de información en la recogida de datos de carácter personal
Los interesados cuyos datos personales sean objeto de tratamiento deberán
ser previamente informados de modo expreso, preciso e inequívoco de los
extremos señalados en el artículo 5 de la Ley Orgánica 15/1999, de 13 de
diciembre, en la forma y condiciones establecidas en ese mismo artículo.
CAPITULO III
De las responsabilidades sobre los ficheros de datos de carácter personal y su
uso
Artículo 7
Responsable del fichero
1. Responsable del fichero es el órgano administrativo designado en la
disposición de creación del fichero al que corresponde decidir sobre la
finalidad, contenido y uso del tratamiento.
2. Cuando no sea posible la determinación del responsable del fichero, por
estar atribuidas a diferentes órganos administrativos la competencia para
decidir sobre la finalidad, contenido y uso del tratamiento, se entenderá por
responsable del fichero al órgano titular de la función específica en que se
concrete la competencia material a cuyo ejercicio sirva instrumentalmente el
fichero.
3. En el caso de los Organismos Autónomos, Entidades de Derecho público y
demás Entes públicos, y salvo que las normas fundacionales de los mismos
dispongan otra cosa, el responsable del fichero será el Gerente o Director de
aquellos.
Artículo 8
Funciones del responsable del fichero
Corresponde al responsable del fichero:
a) La resolución sobre el ejercicio de los derechos de oposición, acceso,
rectificación y cancelación por los ciudadanos.
b) La atribución de responsabilidades sobre la ejecución material de las
diferentes operaciones y procedimientos en que consista el tratamiento de datos
referente a los ficheros de su responsabilidad.
c) La adopción de las medidas de seguridad a que se encuentre sometido el
fichero de acuerdo con la normativa vigente.
d) Dar cuenta de forma motivada a la Agencia de Protección de Datos de la
Comunidad de Madrid de la aplicación de las excepciones al régimen general
previsto para el acceso, rectificación, cancelación u oposición conforme a lo
previsto en el artículo 23 de la Ley Orgánica 15/1999, de 13 de diciembre.
e) Comunicar a la Agencia de Protección de Datos de la Comunidad de Madrid las
variaciones experimentadas en los ficheros y los tratamientos.
Artículo 9
Tratamiento de datos
1. El tratamiento de datos de carácter personal se sujetará a las medidas de
seguridad establecidas en la correspondiente normativa del Estado.
2. Quienes presten servicios de tratamiento de datos de carácter personal a
la Comunidad de Madrid y a las Entidades Locales de su ámbito territorial
vendrán obligados a cumplir lo previsto en el artículo 12 de la Ley Orgánica
15/1999, de 13 de diciembre.
3. Los contratos de prestación de servicios de tratamiento de datos de
carácter personal deberán ser comunicados a la Agencia de Protección de Datos
de la Comunidad de Madrid con anterioridad a su perfeccionamiento.
4. El incumplimiento de las determinaciones indicadas en el apartado 2 del
presente artículo será causa de resolución del contrato, sin perjuicio de las
sanciones que eventualmente correspondan conforme a la Ley Orgánica 15/1999, de
13 de diciembre, y de las responsabilidades que pudieran derivarse por los
daños y perjuicios que se ocasionen.
Artículo 10
Usuarios de sistemas de tratamiento de datos de carácter personal
Son usuarios el personal al servicio de las Instituciones o de la
Administración de la Comunidad de Madrid y de las Entidades Locales en su
ámbito territorial que tengan acceso a los datos de carácter personal como
consecuencia de tener encomendadas tareas de utilización material de los
sistemas de información en los que se integran los ficheros de datos.
Los usuarios vienen obligados al cumplimiento de las medidas de seguridad
establecidos y están sujetos al deber de secreto profesional en los términos
que establece el artículo siguiente.
Artículo 11
Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aún después de finalizar sus relaciones con el titular del fichero
o, en su caso, con el responsable del mismo.
Artículo 12
Responsabilidad disciplinaria
1. Los responsables de ficheros y los encargados de los tratamientos de
datos de carácter personal estarán sujetos al régimen de infracciones previsto
en el Título VII de la Ley Orgánica 15/1999, de 13 de diciembre, excepto en lo
que se refiere al procedimiento y al régimen de sanciones aplicable, que será
el previsto en la legislación de régimen disciplinario de las Administraciones
Públicas.
2. En caso de comisión de alguna de las infracciones previstas en el
artículo 44 de la Ley Orgánica 15/1999, de 13 de diciembre, el Director de la
Agencia de Protección de Datos de la Comunidad de Madrid dictará resolución
estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos
de la infracción. Dicha resolución se comunicará al responsable del fichero, al
órgano del que depende jerárquicamente y a los afectados, si los hubiese.
Dicha atribución se entiende sin perjuicio de la competencia atribuida a la
Agencia de Protección de Datos del Estado en el artículo 46 de la Ley Orgánica
15/1999, de 13 de diciembre.
3. El Director de la Agencia de Protección de Datos de la Comunidad de
Madrid también podrá proponer, si procede, el inicio de las correspondientes
actuaciones disciplinarias.
4. Se deberá comunicar a la Agencia de Protección de Datos de la Comunidad
de Madrid las resoluciones que recaigan en relación con las medidas y
actuaciones a que se refieren los apartados anteriores.
Artículo 13
Potestad de inmovilización de ficheros
En los supuestos, constitutivos de infracción muy grave, de utilización o
cesión ilícita de los datos de carácter personal en que se impida gravemente o
se atente de igual modo contra el ejercicio de derechos de los ciudadanos y el
libre desarrollo de la personalidad que la Constitución y las leyes garantizan,
el Director de la Agencia de Protección de Datos de la Comunidad de Madrid
podrá requerir a los responsables de ficheros de datos de carácter personal, la
cesación en la utilización o cesión ilícita de los datos. Si el requerimiento
fuera desatendido la Agencia podrá, mediante resolución motivada, inmovilizar
tales ficheros a los solos efectos de restaurar los derechos de las personas
afectadas.
Lo dispuesto en el apartado anterior ha de entenderse sin perjuicio de la
potestad atribuida a la Agencia de Protección de Datos del Estado en el
artículo 49 de la Ley Orgánica 15/1999.
CAPITULO IV
De la Agencia de Protección de Datos de la Comunidad de Madrid
Artículo 14
Naturaleza y Régimen Jurídico
1. La Agencia de Protección de Datos de la Comunidad de Madrid es un Ente de
Derecho público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de
noviembre, reguladora de la Hacienda de la Comunidad de Madrid, con
personalidad jurídica propia y plena capacidad de obrar.
La Agencia de Protección de Datos actúa en el ejercicio de sus funciones con
plena independencia de la Administración de la Comunidad de Madrid.
2. La Agencia de Protección de Datos se regirá por lo dispuesto en la presente
Ley y en su Estatuto propio que será aprobado por el Gobierno, así como por las
disposiciones de la Ley reguladora de la Hacienda de la Comunidad de Madrid,
que le resulten de aplicación conforme al artículo 6 de la misma.
En el ejercicio de sus funciones públicas, y en defecto de lo que dispongan
la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de
Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo
Común.
En sus relaciones patrimoniales y contratación estará sujeta al Derecho
Público.
3. Los actos administrativos dictados por el Director de la Agencia de
Protección de Datos agotan la vía administrativa y podrán ser objeto de recurso
de reposición potestativo y de recurso contencioso-administrativo.
Su representación y defensa en juicio estará a cargo de los Servicios
Jurídicos de la Comunidad de Madrid conforme a lo dispuesto en sus normas
reguladoras.
Igualmente el asesoramiento jurídico a la Agencia corresponderá a la
Dirección General de los Servicios Jurídicos que destinará en la misma a un
Letrado para el cumplimiento de esa función.
4. Los puestos de trabajo de los órganos y servicios que integran la Agencia
de Protección de Datos serán desempeñados por personal funcionario o laboral de
acuerdo con la naturaleza de las funciones asignadas a cada puesto de trabajo.
En materia de personal la Agencia se regirá por las disposiciones normativas
que en materia de función pública resulten de aplicación al personal al
servicio de la Administración de la Comunidad de Madrid.
Corresponde a la Agencia de Protección de Datos determinar el régimen de
acceso a sus puestos de trabajo, así como los requisitos y características de
las pruebas para acceder a los mismos de acuerdo con sus necesidades, las
vacantes existentes y sus disponibilidades presupuestarias, ajustando el
régimen de selección a lo establecido en la Ley 30/1984, de 2 de agosto, de
Medidas para la Reforma de la Función Pública, y en la legislación
correspondiente de la Comunidad de Madrid.
Corresponderá a la Agencia de Protección de Datos la elaboración,
convocatoria, gestión y resolución de los sistemas de provisión de puestos de
trabajo y promoción profesional ajustando sus bases a los criterios generales
de provisión de puestos de trabajo establecidos en la Ley 30/1984, de 2 de
agosto, de Medidas para la Reforma de la Función Pública, y en la normativa
correspondiente de la Comunidad de Madrid.
5. La Agencia de Protección de Datos contará para el cumplimiento de sus
fines con los siguientes bienes y recursos económicos:
a) Las asignaciones que se establezcan anualmente con cargo a los
Presupuestos Generales de la Comunidad de Madrid.
b) Los bienes y valores que constituyen su patrimonio, así como los
productos y rentas del mismo.
c) Cualesquiera otros que legalmente puedan serle atribuidos.
6. La Agencia elaborará y aprobará con carácter anual el correspondiente
Anteproyecto de Presupuesto que refleje los créditos necesarios para la
consecución de sus objetivos, con la estructura que señale la Consejería
competente en materia de Presupuestos de la Comunidad, y lo remitirá a ésta
para su elevación al Gobierno, y posterior remisión a la Asamblea, formando
parte del Proyecto de los Presupuestos Generales de la Comunidad de Madrid y
consolidándose con los de la Administración General y sus Organismos Autónomos.
Este Presupuesto tendrá carácter limitativo por su importe global. Las
variaciones en la cuantía global serán aprobadas por la Asamblea de Madrid, el
Gobierno o el Consejero de Presidencia y Hacienda, según lo dispuesto en la Ley
9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid.
Las variaciones de los créditos de la Agencia que no alteren la cuantía
global del Presupuesto de la Agencia serán acordadas por el Director de la
misma. En todo caso, se respetarán las normas aplicables a la Administración de
la Comunidad de Madrid en cuanto a la tramitación y documentación de las
modificaciones presupuestarias y otras operaciones sobre los presupuestos.
La Agencia está sometida a la función interventora, control financiero y
control de eficacia, que se ejercerá por la Intervención General en los
términos establecidos en los artículos 16 y 17 de la Ley 9/1990, de 8 de
noviembre, reguladora de la Hacienda de la Comunidad de Madrid y artículo 12 de
la Ley 2/1995, de 8 de marzo, de Subvenciones de la Comunidad de Madrid.
El Gobierno, previo informe de la Intervención General de la Comunidad de
Madrid, determinará el control a ejercer sobre la actividad
económico-financiera de la Agencia y, en su caso, la modalidad y alcance del
mismo.
La Agencia estará sometida al régimen de Contabilidad Pública.
Artículo 15
Funciones
La Agencia de Protección de Datos de la Comunidad de Madrid ejercerá las
funciones que a continuación se relacionan en el ámbito de actuación que le
atribuye el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal:
a) Velar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación, en especial en lo relativo a los derechos de
información, acceso, oposición, rectificación y cancelación de datos, así como
en lo relativo a la comunicación de datos personales entre las Administraciones
Públicas a las que se refiere el artículo 2 de la presente Ley.
b) Proporcionar a las personas información acerca de los derechos
reconocidos en la normativa vigente en materia de protección de datos de
carácter personal.
c) Atender las peticiones y resolver las reclamaciones formuladas por los
interesados para la protección de sus derechos de acceso, rectificación,
cancelación y oposición en relación con los ficheros sometidos al ámbito de
aplicación de esta Ley.
d) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos,
las instrucciones precisas para adecuar los tratamientos de datos de carácter
personal a los principios contenidos en la Ley Orgánica 15/1999, de 13 de diciembre,
y en la presente Ley.
e) Requerir a los responsables y los encargados de los tratamientos sujetos
al ámbito de aplicación de esta Ley, previa audiencia de éstos, la adopción de
las medidas necesarias para la adecuación del tratamiento de datos al
ordenamiento jurídico vigente y, en su caso, ordenar la cesación de los
tratamientos y la cancelación de los ficheros cuando no se ajusten a las
disposiciones que les resulten de aplicación, todo ello sin perjuicio de las
competencias exclusivas de la Agencia de Protección de Datos del Estado en
materia de transferencias internacionales.
f) Inscribir los códigos tipo efectuados en el ámbito de aplicación de esta
Ley en el Registro de ficheros, previamente inscritos en el Registro General de
Protección de Datos de la Agencia de Protección de Datos del Estado.
g) Informar, con carácter preceptivo, los proyectos de disposiciones
generales que desarrollen esta Ley, así como las disposiciones de creación,
modificación y supresión de ficheros de datos de carácter personal sujetos al
ámbito de aplicación de esta Ley.
h) Recabar de los responsables de los ficheros cuanta ayuda e información
estime necesaria para el desempeño de sus funciones.
i) Velar por la publicidad de la existencia de los ficheros de datos de
carácter personal, a cuyo efecto publicará anualmente una relación de los
mismos con la información adicional que el Director de la Agencia determine,
sin perjuicio de las competencias atribuidas al respecto a la Agencia de
Protección de Datos del Estado.
j) Velar por el cumplimiento de las disposiciones que las leyes sobre
estadística pública de la Comunidad de Madrid establezcan respecto de la
recogida de datos estadísticos y del secreto estadístico, así como dictar las
instrucciones precisas y dictaminar sobre las condiciones de seguridad de los
ficheros constituidos con fines exclusivamente estadísticos.
k) Redactar una memoria anual de sus actividades que será remitida al
Gobierno y a la Asamblea de Madrid.
l) Colaborar con la Agencia de Protección de Datos del Estado y con los
órganos correspondientes de las Comunidades Autónomas en cuantas actividades
sean necesarias para aumentar la protección de los derechos de los ciudadanos
respecto a los ficheros de datos de carácter personal.
m) Proponer la iniciación de procedimientos disciplinarios contra quienes
estime responsables de las infracciones al régimen de protección de datos
personales sujetos al ámbito de aplicación de esta Ley, sin perjuicio de la
adopción de las medidas cautelares previstas en el apartado e) de este artículo
y de las competencias de la Agencia de Protección de Datos del Estado en
materia de transferencias internacionales.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Artículo 16
El Director de la Agencia de Protección de Datos
1. El Director de la Agencia de Protección de Datos dirige la Agencia,
ostenta su representación y preside el Consejo. Será nombrado mediante Decreto
del Presidente de la Comunidad de Madrid, previa designación por el Consejo de
Protección de Datos, por un período de cuatro años.
2. Ejercerá sus funciones con plena independencia y objetividad, sin estar
sujeto a mandato imperativo o instrucción alguna en el desempeño de aquéllas.
No obstante, el Director deberá oír al Consejo de Protección de Datos sobre
aquellos asuntos que le someta a su consideración o sobre aquellos asuntos en
que el Consejo estime conveniente pronunciarse en el ejercicio de sus
funciones.
3. El Director sólo cesará antes de la expiración de su mandato a petición
propia o por separación acordada por el Presidente de la Comunidad de Madrid a
solicitud del Consejo de Protección de Datos de la Comunidad. Dicha solicitud
deberá ser aprobada por el voto de tres cuartas partes de sus miembros en
reunión extraordinaria convocada al efecto y sólo por alguna de las causas
siguientes: Incumplimiento grave de sus obligaciones, incompatibilidad,
incapacidad sobrevenida para el ejercicio de sus funciones o condena por delito
doloso.
4. El Director tendrá la consideración de alto cargo resultándole de
aplicación la Ley 14/1995, de 21 de abril, de Incompatibilidades de Altos
Cargos de la Comunidad de Madrid.
5. El Director de la Agencia de Protección de Datos representará a la Comunidad
de Madrid en el Consejo Consultivo regulado en el artículo 38 de la Ley
Orgánica 15/1999, de 13 de diciembre.
Artículo 17
El Consejo de Protección de Datos
1. El Consejo de Protección de Datos de la Comunidad de Madrid es el órgano
consultivo de la Agencia, designa al Director, le asesora en el ejercicio de
sus funciones y emite sus dictámenes que serán vinculantes en las materias que
regulan esta Ley y el Estatuto de la Agencia.
2. El Consejo estará compuesto por los siguientes miembros:
a) Un representante de cada Grupo Parlamentario de la Asamblea de Madrid.
b) Cinco representantes de la Administración de la Comunidad de Madrid,
designados por el Presidente.
c) Dos representantes de las Entidades Locales de la Comunidad de Madrid,
designados por la Federación de Municipios de Madrid.
d) Un representante de las organizaciones sindicales, elegido por el Consejo
Económico y Social de la Comunidad de Madrid.
e) Un representante de las organizaciones empresariales, elegido por el
Consejo Económico y Social de la Comunidad de Madrid.
f) Un experto en la materia, designado por la Asamblea de Madrid.
3. Los miembros del Consejo serán nombrados mediante Decreto del Presidente
de la Comunidad de Madrid, a propuesta de los respectivos grupos, órganos,
entidades y organizaciones citados en el apartado anterior, por un período de
cuatro años. Podrán ser sustituidos, por el mismo procedimiento, a solicitud de
los mismos grupos, órganos, organizaciones o entidades proponentes.
4. En su sesión constitutiva el Consejo designará al Director de la Agencia
por mayoría absoluta de sus miembros. La designación deberá recaer en una
persona de acreditada independencia, elevado conocimiento de las materias de su
competencia y probada capacidad de gestión. Una vez nombrado, y en cuanto
miembro del Consejo de Protección de Datos, ejercerá la presidencia del mismo.
Artículo 18
Registro de Ficheros de Datos Personales
1. La Agencia de Protección de Datos de la Comunidad de Madrid llevará un
Registro de Ficheros de Datos de carácter personal.
2. Serán objeto de inscripción en el Registro de Ficheros de Datos de
carácter personal:
a) Los ficheros de datos de carácter personal de que sean titulares las
Instituciones, Órganos, Organismos y Empresas referidas en el artículo 2 de la
presente Ley.
b) Los datos relativos a los ficheros que sean necesarios para el ejercicio
de los derechos de información, acceso, rectificación, cancelación y oposición.
c) Los códigos tipo a los que se refiere el artículo 32 de la Ley Orgánica
15/1999, de 13 de diciembre, una vez inscritos en el Registro General de
Protección de Datos de la Agencia de Protección de Datos del Estado.
3. Por vía reglamentaria se regulará el procedimiento de inscripción de los
ficheros en el Registro de Ficheros de Datos Personales, el contenido de la
inscripción, su modificación, cancelación, reclamaciones y recursos contra las
resoluciones correspondientes y demás extremos pertinentes.
4. Cualquier persona podrá conocer, recabando a tal fin la información oportuna
del Registro de Ficheros de Datos Personales, la existencia de tratamientos de
datos de carácter personal, sus finalidades y la identidad del responsable del
tratamiento. El Registro será de consulta pública y gratuita.
Artículo 19
Potestad de inspección
1. La Agencia de Protección de Datos de la Comunidad de Madrid dispondrá de
los medios de investigación y del poder efectivo de intervenir frente a la
explotación y creación de ficheros sujetos al ámbito de aplicación de esta Ley,
que no se ajusten a las disposiciones de la Ley Orgánica 15/1999, de 13 de
diciembre, de la presente Ley, y de las demás disposiciones que resulten de
aplicación.
A tal efecto, tendrá acceso a los ficheros, podrá inspeccionarlos y recabar
toda la información necesaria para el cumplimiento de su misión de control,
podrá solicitar la exhibición o el envío de documentos y datos y examinarlos en
el lugar en que se encuentren depositados, así como inspeccionar los
dispositivos físicos y lógicos utilizados para el tratamiento de los datos
accediendo a los locales donde se hallen instalados.
2. El personal que ejerza la inspección a que se refiere el apartado
anterior, tendrá la consideración de autoridad pública en el desempeño de sus
cometidos y las actas que levanten gozarán de la presunción de veracidad en los
términos establecidos en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo
Común.
CAPITULO V
De la Cooperación Interadministrativa
Artículo 20
Cooperación interadministrativa
1. La Agencia de Protección de Datos de la Comunidad de Madrid iniciará las
acciones oportunas para la colaboración y cooperación con otras
Administraciones Públicas en orden a la creación de las condiciones adecuadas
para el ejercicio de los derechos y el cumplimiento de las garantías
establecidas para la protección de datos personales, así como para favorecer la
participación de los interesados y la adopción de medidas para el desarrollo de
los sistemas de seguridad.
2. Periódicamente, la Agencia de Protección de Datos remitirá a la Agencia
de Protección de Datos del Estado el contenido del Registro de Ficheros de
Datos Personales de la Comunidad de Madrid.
DISPOSICIÓN TRANSITORIA PRIMERA
Ficheros de las Entidades Locales
En el plazo de tres meses a partir de la entrada en vigor de la presente
Ley, la Agencia de Protección de Datos de la Comunidad de Madrid solicitará a
la Agencia de Protección de Datos del Estado toda la información respecto de
los ficheros inscritos en su Registro General y que sean de titularidad de las
entidades que integran la Administración Local del ámbito territorial de la
Comunidad de Madrid.
DISPOSICIÓN TRANSITORIA SEGUNDA
Procedimientos sancionadores
Los procedimientos a los que se refiere el artículo 46.1 de la Ley 15/1999,
de 13 de diciembre, iniciados con anterioridad a la entrada en vigor de esta
Ley, por la Agencia de Protección de Datos del Estado, contra las Entidades
Locales incluidas en el ámbito de aplicación de esta Ley, se tramitarán hasta
su resolución por dicha Agencia estatal.
Asimismo, corresponderá a ésta la resolución de los recursos administrativos
que contra dichas resoluciones pudieran interponer las entidades referidas.
DISPOSICIÓN DEROGATORIA ÚNICA
Derogación normativa
Quedan derogadas todas las normas de igual o inferior rango en lo que
contradigan o se opongan a lo dispuesto en la presente Ley y, en particular, la
Ley 13/1995, de 21 de abril, de regulación del uso de informática en el
tratamiento de datos personales por la Comunidad de Madrid.
Asimismo, se deroga el Capítulo VI del Título III de la Ley 27/1997, de 26
de diciembre, de Tasas y Precios Públicos de la Comunidad de Madrid, integrada
por los artículos 96 a 99, ambos inclusive.
DISPOSICIÓN FINAL PRIMERA
Habilitación de desarrollo reglamentario
Se autoriza al Gobierno a dictar cuantas disposiciones de aplicación y
desarrollo de la presente Ley sean necesarias.
DISPOSICIÓN FINAL SEGUNDA
Entrada en vigor
La presente Ley entrará en vigor al mes siguiente de su publicación en el
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.
Por tanto, ordeno a todos los ciudadanos a los que sea de aplicación esta
Ley que la cumplan, y a los Tribunales y Autoridades que corresponda, la
guarden y la hagan guardar.
Madrid, 13 de julio de 2001.
El Presidente,
ALBERTO RUIZ-GALLARDÓN
(03/16.679/01)