Mª Del Mar Alonso Almeida, Abogada.
??ndice:
1.- Introducción
1.1 Introducción
1.2 Alcance del Trabajo
2.- Artículo 41 y 42 LODP
2.1 Introducción
2.2 Autoridades de Control en las CCAA
2.3 Funciones de la Agencia Estatal susceptibles de ser ejercidas por las CCAA
2.4 Ficheros sobre los que se puede ejercer las funciones
2.5 Ficheros de las Sociedades Mercantiles participadas mayoritariamente por una CA o una Corporación Local
2.6 Ficheros de las CCAA para el ejercicio de sus competencias
2.7 Colaboración y coordinación con la Agencia de Protección de Datos Estatal
2.8 La supremacía de la Agencia de Protección de Datos Estatal en perjuicio de los órganos autonómicos
***
1.- INTRODUCCIÓN
1.1.- Introducción
El artículo 18 de la Constitución española tiene como objeto la regulación del derecho al honor, a la intimidad personal y familiar y a la propia imagen, así como la inviolabilidad del domicilio y el secreto de las comunicaciones.
Su apartado 4 contiene previsiones específicas para garantizar el honor y la intimidad personal y familiar frente al uso de la informática.
La jurisprudencia del Tribunal Constitucional ha reforzado la configuración constitucional del derecho reconocido en el artículo 18.4 afirmando que se trata de un derecho fundamental autónomo que obliga a todos los poderes públicos y que reviste el carácter de un auténtico derecho subjetivo, origen inmediato de derechos y obligaciones y no el de un mero principio programático.
La protección constitucional de este derecho se encuentra recogida, fundamentalmente, en la Ley Orgánica 15/1999, de 13 de diciembre, que desarrolla el artículo 18.4 de la Constitución.
El órgano encargado de dicha protección es la Agencia de Protección de Datos (APD). La Ley Orgánica configura a la Agencia como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.
La independencia de la APD se articula en torno a un triple orden de elementos.
Por una parte, previendo que el Director de la Agencia, una vez nombrado, tendrá un mandato de cuatro años, sin que pueda producirse su cese por decisión del Ejecutivo, salvo que concurra alguna de las circunstancias tasadas normativamente:
Ø Incumplimiento grave de las obligaciones del cargo, incapacidad sobrevenida para el ejercicio de sus funciones, incompatibilidad o condena por delito doloso.
De este modo la actuación del Director de la Agencia se sustrae a una posible remoción por parte del Gobierno, cualquiera que sea aquélla.
Ø En segundo lugar, estableciendo que ejerce sus funciones con plena independencia y objetividad, no estando sujeto a instrucción alguna en el desempeño de aquéllas.
Ø Finalmente, contemplando que sus resoluciones no puedan ser objeto de revocación por autoridad administrativa alguna, sino por órganos jurisdiccionales independientes y, en particular, por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
La Ley Orgánica 5/1992 de 29 de Octubre de regulación del tratamiento automatizado de los datos de carácter personal (en adelante LORTAD, hoy derogada y sustituida por la Ley Orgánica15 /1999, de 13 de diciembre, DE PROTECCIÓN DE DATOS DE CAR??CTER PERSONAL en adelante LOPD), creadora de la Agencia de Protección de Datos en su Capítulo VI artículos del 34 al 41, establecía en su artículo 40 la posibilidad de que las Comunidades Autónomas (en adelante CCAA) crearan su propios organismos de protección de datos:
?Art 40.- Órganos correspondientes de las Comunidades Autónomas
1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 36, a excepción de las mencionadas en los apartados j), k) y l) y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 45 y 48, en relación con sus específicas competencias, serán ejercidas, cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las Comunidades Autónomas, por los órganos correspondientes de cada Comunidad, a los que se garantizará plena independencia y objetividad en el ejercicio de su cometido.
2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros públicos para el ejercicio de las competencias que se les reconoce sobre los mismos, respecto de los archivos informatizados de datos personales cuyos titulares sean los órganos de las respectivas Comunidades Autónomas o de sus Territorios Históricos.
3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios y procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.?
Las CCAA podían ejercer las competencias de la Agencia de Protección de Datos Estatal en relación de los propios ficheros creados o gestionados por cada Comunidad. En la LOPD cambia el alcance de las competencias de las Comunidades Autónomas en este ámbito. Además, comentaremos la Sentencia Constitucional 290/2000, a este respecto y el nuevo derecho fundamental que esta configura.
1.2.- Alcance del Trabajo
Vamos a analizar cuales son estas nuevas competencias que la LOPD otorga a las CCAAs y cuales han implantado una Agencia de Protección de Datos propia de la Comunidad.
2.- ART??CULO 41 y 42 LODP
2.1.- Introducción.
El artículo 40 de la ya derogada Ley Orgánica 5/1992 de 29 de Octubre de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal dice:
?Art 40.- Órganos correspondientes de las Comunidades Autónomas
1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 36, a excepción de las mencionadas en los apartados j), k) y l) y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 45 y 48, en relación con sus específicas competencias, serán ejercidas, cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las Comunidades Autónomas, por los órganos correspondientes de cada Comunidad, a los que se garantizará plena independencia y objetividad en el ejercicio de su cometido.
2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros públicos para el ejercicio de las competencias que se les reconoce sobre los mismos, respecto de los archivos informatizados de datos personales cuyos titulares sean los órganos de las respectivas Comunidades Autónomas o de sus Territorios Históricos.
3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios y procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.?
Por lo tanto las CCAA podían tener sus propios órganos equivalentes a la Agencia de Protección de Datos Central, pero limitados a sus propios ficheros.
El artículo 41 [1] de la LOPD ha ampliado las competencias de los órganos equivalentes a la Agencia de Protección de Datos Central en las CCAA.
A continuación vamos a analizar en detalle este artículo.
2.2.- Autoridades de Control en las CCAA
El artículo 28.1 de la Directiva 95/46 de 24 de octubre de 1995 relativa a la Protección de las Personas Físicas en lo que respecta a los datos personales y a la libre circulación de estos datos dice en el artículo 28.1:
?Artículo 28. Autoridad de control.
1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.
Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.?
En este artículo se prevé que los Estados Miembros dispondrán de una o más Autoridades de Control para vigilar la aplicación en su territorio de las disposiciones adoptadas por ellas en la aplicación de la propia Directiva.
La Autoridad de Control con competencia a nivel de todo el Estado sobre ficheros de titularidad pública y privada es la Agencia de Protección de Datos Estatal pero como hemos visto en el artículo 41 LOPD prevé que determinadas funciones de la Agencia será ejercidas por los órganos correspondientes en cada Comunidad Autónoma.
La redacción del artículo 41.1 LOPD [2] es difícil de entender y se aparta en algún importante extremo del articulo 40 de la LORTAD.
Una novedad de este artículo es que atribuye a las Agencias de Protección de Datos de las CCAA la condición de Autoridades de Control mencionadas en la Directiva.
Este artículo presenta dos problemas a nuestro entender que son, por una parte delimitar las funciones de la Agencia de Protección de Datos que pretenden ser ejercidas por los órganos correspondientes de la Comunidad Autónoma y sobre que ficheros o tratamientos estas funciones se proyectan.
Igualmente, merece al menos una aclaración el hecho de que el articulo se refiera ?…a los órganos correspondientes de cada comunidad….? como receptores de estas atribuciones, aunque el término se encuentre en plural entendemos que hace referencia ?al órgano o Entidad que se cree? a nivel de CA. No parece muy lógico que exista un único órgano a nivel Estatal y se permitan varios a nivel territorial. Por lo tanto, para garantizarse la autonomía e independencia del Ente territorial se exige una unidad en la Entidad Pública creada a tal efecto.
2.3.- Funciones de la Agencia Estatal susceptibles de ser ejercidas por las CCAA
La ley literalmente dice en el artículo 41:
? 1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad,….?
Esta claro que no pueden ejercitarse por los órganos de las CCAA las funciones de los apartados j), k) y l) del artículo 37 [3] de la LOPD.
También se incluyen en la excepción y por tanto son competencia exclusiva de la Agencia de Protección de Datos Estatal las funciones de los apartados f) y g) [4] del mismo artículo en lo que se refiere a las transferencias internacionales de datos.
Puede llevar a malentendidos la parte final del precepto aludido cuando dice ?así como en los artículos 46 y 49?. La doctrina opina que la expresión ?así como? no debe conectarse con la excepción que aparece inmediatamente encima referida a las atribuciones del artículo 37 sino con el término ?reguladas? con el propósito de que las funciones de los artículos 46 y 49 puedan ser ejercidas por los órganos de las Comunidades.
En resumen, según el artículo puede entenderse que las funciones de la Agencia reguladas en el artículo 37 excepto las excepciones comentadas, así como las reguladas en los artículos 46 y 49 pueden ser ejercidas por el órganos que se cree a tal efecto.
Las funciones que a tenor del artículo 37 se pueden asumir, son las siguientes:
Ø Velar por el cumplimiento de la legislación, en especial en relación con los derechos de los afectados.
Ø Emitir autorizaciones.
Ø Dictar instrucciones.
Ø Atender peticiones y reclamaciones de los afectados.
Ø Proporcionar información.
Ø Requerir a los responsables y encargados para que adecuen sus tratamientos a lo previsto en la ley excepto en lo relativo a la transferencia internacional datos, competencia exclusiva de la Agencia de Protección de Datos Estatal.
Ø Ejercer potestad sancionadora con la misma salvedad del caso anterior.
Ø Informar proyectos de disposiciones que desarrollen la ley.
Ø Recabar de los responsables de los ficheros la ayuda e información que necesiten.
Ø Velar por el cumplimiento de las disposiciones en materia estadística.
Ø Cualesquier otras atribuciones que les competan por normas legales o reglamentarias.
Según los artículos 46 y 49 [5] LOPD pueden ejercer facultades en materia sancionadora y potestades de inmovilización de ficheros.
Como hemos visto el ámbito de atribuciones es muy amplio.
2.4.- Ficheros sobre los que se puede ejercer las funciones
Estas funciones se ejercerán sobre ?ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad?
Existe en este punto una importante novedad respecto al artículo 40.1 de la LORTAD. En esta los ficheros de las Administraciones Públicas locales no estaban incluidos entre las atribuciones de los órganos correspondientes de las Comunidades Autónomas, de modo que el ámbito competencial quedaba reducido a los ficheros y tratamientos creados y gestionados por las respetivas comunidades.
El artículo 40.1 ha extendido esta posible competencia a los ficheros y tratamientos creados y/o gestionados por las Corporaciones Locales ubicadas en el territorio de la CCAA. En consecuencia, quedan excluidos de la competencia del órgano autonómico los ficheros de la Administración General del Estado, de los organismos públicos de ella dependientes o vinculados de cualquier Organismo o Entidad Pública que no dependa de la Comunidad, o de la que no se halla asumido competencias.
La pregunta que surge es ¿qué ocurre con los ficheros privados?. Pues bien, cualquier fichero o tratamiento de titularidad privada está excluido del precepto porqué las funciones que la ley ha contemplado respecto a las CCAA sólo puede ser ejercidas por la Agencia de Protección de Datos Estatal.
La cuestión en la ley es clara pero la opinión de la doctrina no es pacífica a este respecto. Antonio Ruiz Carrillo [6] critica severamente la ley y postula mayores competencias de las CCAA en la materia. El Parlamento y el Gobierno de Cataluña también presentaron recurso de inconstitucionalidad contra distintos artículos de la LORTAD por entender que dichos preceptos vulneran lo establecido en la Constitución Española y en el Estatuto en materia de Competencias de la Generalitat recurso resuelto por el Tribunal Constitucional en la Sentencia 290/2000 que después analizaremos donde veremos lo que el Tribunal decide a este respecto. Ana Garriga [7] dice que si bien el órgano autonómico puede garantizar con éxito el cumplimiento de los principios de la Ley y la protección de los derechos de los afectados respecto a los ficheros creados o mantenidos por las CCAA sería prácticamente imposible llevar a cabo un control de los ficheros de titularidad privada que operan de forma nacional e internacional.
Por lo tanto el sistema de la Ley es adecuado para los fines de la misma.
La atribución de competencias entre unos Entes y otros están muy claramente definidos en cuanto a los ficheros y tratamientos públicos creados o gestionados por las CCAA o por la Administración Territorial ubicada en su territorio. En el caso de admitirse otro sistema habría un número tan grande de casos de conflictos de competencia que la inseguridad reinaría.
El artículo 24 del Estatuto de la Agencia de Protección de Datos establece que ejercerá todas sus competencias sobre todo tipo de ficheros públicos y privados, por tanto aquellas competencias que se hallan asumido en el marco del articulo 41.1 LOPD se ejercerán por el órgano de la CCAA con plena independencia sin coparticipación alguna, pero en otras se requerirán tratamientos más concretos.
En materia de inscripción, aún cuando se trate de ficheros de las CCAA o de las Administraciones Locales en que aquellas hallan asumido competencias habrán de inscribirse en el Registro de la Agencia de Protección de Datos y en el de la Comunidad de que se trata. Esto está de acuerdo con el artículo 24 de la Agencia de Protección de Datos que en su apartado e) considera inscribibles en el Registro de esta última los ficheros de la Administración de la Comunidad Autónoma, así como sus Entes y organismos de pendientes ? sin perjuicio de que se inscriban además en los Registros a que se refiere el artículo 40.2 de la Ley Orgánica 5/1992? . Esta referencia la entendemos referenciada al vigente artículo 41 de la Ley 1999.
2.5.- Ficheros de las Sociedades Mercantiles participadas mayoritariamente por una Comunidad Autónoma o una Corporación Local
No está claro en el texto y contexto de la Ley si los ficheros de las Sociedades Mercantiles mayoritariamente participadas por una Comunidad Autónoma o Corporación Local, salen de la órbita de la Agencia de Protección de Datos y entran dentro de las atribuciones de la Comunidad en caso de que las hubiera asumido.
Siendo puristas, se trata e ficheros de titularidad privada y como tales quedarían fuera de la aplicación del artículo 41.1. Parecería confirmarlo aunque fuera sólo de pasada el artículo 24.1 e) antes citado del Estatuto de la Agencia de Protección de Datos, cuando se refiere a la inscripción en el Registro de las CCAA ?así como sus entes y organismos dependientes?, que son objeto de la doble inscripción que antes se hablaba.
En el ámbito de la Administración General del Estado, las Sociedades mercantiles estatales se regulan en la disposición adicional duodécima de la Ley 6/1997, sobre Organización y Funcionamiento de la Administración General del Estado diciendo que se regirán integramente, cualquiera que sea su forma jurídica por el ordenamiento jurídico privado salvo en las materias en las que sea de aplicación la normativa presupuestaria, contable, de control financiero y contratación.
Por tanto parece claro que un fichero de una Sociedad mercantil, sea estatal, autónoma o municipal está regulada por los artículos 25 y siguientes [8] de la LOPD y no en el artículo 20 [9] que requiere para la creación, modificación o supresión de los ficheros públicos una disposición general publicada en el Boletín Oficial correspondiente. La sentencia del Tribunal Supremo 290/2000, tambien resuelve sobre este tema.
2.6.- Ficheros de las CCAA para el ejercicio de sus competencias
El artículo 41.2 LOPD, dispone que las CCAA podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se le reconocen sobre los mismos. No obliga a ello, permite que cada una de ellas pueda ejercer algunas de las funciones de la Agencia de Protección de Datos.
Si la Comunidad hace uso de esa posibilidad podrá actuar dentro de los límites del precepto respecto a sus ficheros y los de las Entidades Locales. Aún así será la Agencia de Protección de Datos Estatal, y no la respectiva de la Comunidad quien ejerza las funciones de los apartados j), k) y l) del artículo 37 LOPD y en los apartados f) y g) del 41 en lo que se refiere a la transferencia internacional de datos.
Si la Comunidad no hace uso de la posibilidad de actuación que le abre el artículo 41, los artículos 37, 46 y 49 y todas las competencias de los artículos 37, 46, 49 y otros respecto de cualquier fichero público y privado de la Comunidad se ejercerá por la Agencia de Protección Estatal.
2.7.- Colaboración y coordinación con la Agencia de Protección de Datos Estatal
El epígrafe 3 del artículo 41 dice que ?El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.?
A esto mismo se refiere el artículo 40.3 de la LORTAD y el artículo 13 e) del Estatuto e la Agencia. Esta previsión debe entenderse en el contexto del precepto y va referido a aquellas CCAA que hallan asumido las funciones previstas en el artículo 41 que son las únicas que pueden tener el órgano correspondiente a convocar.
El mismo precepto establece que la Agencia de Protección de Datos y los órganos correspondientes de las CCAA podrán solicitarse mutuamente información necesaria para el cumplimiento de sus funciones.
El artículo 12 g) del Estatuto de la Agencia encomienda al Director de la Agencia solicitar de los órganos correspondientes de las CCAA información así como facilitar a aquellos la información que le soliciten a idénticos efectos.
2.8.- La supremacía de la Agencia de Protección de Datos Estatal en perjuicio de los órganos autonómicos
Hemos visto hasta ahora las competencias que ejercerían las CCAA, en materia de protección de datos, pero el artículo 42 LOPD establece un procedimiento que refleja un control estatal contundente. Dice:
?………….
1. Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia podrá requerir a la Administración correspondiente que se adopten las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento.
2. Si la Administración Pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos podrá impugnar la reso-lución adoptada por aquella Administración.?
Así, cuando el Director de la Agencia de Protección de Datos Estatal constate que por parte de una CCAA se infringe algún precepto de la LOPD podrá requerirla para que se adopten las medidas oportunas correctoras en el plazo que se determine en el procedimiento. En el supuesto en que la CCAA hiciese caso omiso al requerimiento, el Director de la Agencia podrá impugnar la resolución adoptada por la CCAA requerida. Aunque la norma no lo especifica, entendemos que se impugna ante la jurisdicción Contencioso-Administrativa de acuerdo con el artículo 2 de la Ley 29/1998 de 13 de julio.
El artículo 41.3, visto anteriormente, prevé la posibilidad de crear comisiones de cooperación entre las CCAA y la Agencia de Protección de Datos, pero será el Director de la Agencia quien tendrá la potestad de convocar regularmente a los miembros de dicha comisión.
——————————————————————————–
[1] Artículo 41. órganos correspondientes de las Comunidades Autónomas.
1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.
2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos.
3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.
[2] Artículo 41. órganos correspondientes de las Comunidades Autónomas.
1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.
[3] ?Artículo 37. Funciones. …………
j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.?
[4] ?f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley?.
[5] Artículo 46. Infracciones de las Administraciones Públicas.
1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.
3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.
Artículo 49. Potestad de inmovilización de ficheros.
En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.
[6] RUIZ CARRILLO, A. ?Los datos de carácter personal?, Editorial Bosch, 1999
[7] GARRIGA DOM??NGUEZ, A. ?La protección de los datos personales en el Derecho Español?, Editorial Dickinson, 1999
[8] CAP??TULO II
Ficheros de titularidad privada
Artículo 25. Creación.
Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.
Artículo 26. Notificación e inscripción registral.
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesaria-mente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.
En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.
5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.
Artículo 27. Comunicación de la cesión de datos.
1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.
La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por Ley.
[9] Artículo 20. Creación, modificación o supresión.
1. La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el ?Boletín Oficial del Estado? o diario oficial correspondiente.
2. Las disposiciones de creación o de modificación de ficheros deberán indicar:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter personal.
d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo.
e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.
f) Los órganos de las Administraciones responsables del fichero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.
h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
3. En las disposiciones que se dicten para la supresión de los ficheros se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.
Disculpa, debes iniciar sesión para escribir un comentario.