¡Disfruta de SmartLeges Premium!

Suscríbete a SmartLeges Premium y disfruta de estas ventajas:

  • Consulta tantas leyes como necesites, gratuitas o de pago, sin coste adicional
  • Consulta casi cualquier ley en varios países gracias al nuevo buscador avanzado. ¡Toda la legislación a tu alcance!
  • Disfruta de todas las características de SmartLeges sin restricciones
Ver los planes

Una aplicación imprescindible y gratuita para profesionales y estudiantes del sector jurídico

Leer más
 

¡Regístrate gratis!

¿Quieres consultar esta y otras leyes completas?

Regístrate gratis y podrás consultar las leyes en tu móvil o tablet, además de subrayar textos, añadir notas...

¡Regístrate gratis!

Compartir esta ley Otras leyes de España
Email Facebook Twitter Google Linkedin Tumblr

LEY 2/2004, DE 25 DE FEBRERO, DE FICHEROS DE DATOS DE CARÁCTER PERSONAL DE TITULARIDAD PÚBLICA Y DE CREACIÓN DE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS.

Comunidad Autónoma del País Vasco

BOE 279 de 19/11/2011

Redacción publicada el 04/03/2004


  • TÍTULO I. Disposiciones generales
  • TÍTULO II. La Agencia Vasca de Protección de Datos
  • TÍTULO III. Régimen sancionador
  • Disposiciones Adicionales
  • Versión 04/03/2004
Se hace saber a todos los ciudadanos y ciudadanas de Euskadi que el Parlamento Vasco ha aprobado la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.

EXPOSICIÓN DE MOTIVOS

Los avances de la técnica se han acelerado en los últimos tiempos. Actualmente, el uso de la informática permite tratar gran cantidad de datos relativos a las personas físicas, pudiendo llegar a conocer aspectos relacionados con las mismas que suponen una intromisión en su intimidad. Los ordenamientos jurídicos no pueden permanecer insensibles ante la eventualidad de usos perversos de las posibilidades tecnológicas, en detrimento de espacios que deben quedar reservados a la intimidad personal.

Esta tensión entre tecnología, especialmente en el campo de la informática, e intimidad de las personas apela a una actuación legislativa que procure un equilibrio satisfactorio entre dos bienes dignos de protección jurídica. Por un lado, no es bueno para la sociedad poner freno al desarrollo tecnológico, cuyas potencialidades son inmensas y deben contribuir a un mayor bienestar de la comunidad; pero, por otro, los ciudadanos tienen derecho a que se les proteja su intimidad personal, evitando que las posibilidades que ofrece la tecnología informática actual reduzcan aquélla más allá de lo deseable. Para ello es preciso limitar el uso de la informática y, de este modo, garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Es éste un mandato que el artículo 18.4 de la Constitución impone al legislador, y que éste recoge en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La preocupación por la protección de la intimidad personal y familiar de los ciudadanos, con la consiguiente limitación del uso de la informática a tal fin, no es exclusiva del legislador estatal. También las instituciones de la Unión Europea han mostrado su sensibilidad en este sentido.

El Tratado de Amsterdam de 17 de junio de 1997 ha incorporado al tratado constitutivo de la Comunidad Europea su actual artículo 286, que requiere que se apliquen a las instituciones y organismos comunitarios los actos comunitarios relativos a la protección de las personas respecto al tratamiento de datos personales y a la libre circulación de estos datos.

Ya anteriormente, el Parlamento Europeo y el Consejo habían adoptado la Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, donde se recoge el principio de que los sistemas de tratamiento de datos están al servicio del hombre y que deben respetar las libertades y derechos fundamentales de las personas físicas, en particular la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios y al bienestar de los individuos.

Según esta directiva, las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los citados derechos y libertades, particularmente el derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario, y considera que la aproximación de dichas legislaciones debe tener por objeto asegurar un alto nivel de protección.

Para la citada directiva, un elemento esencial de la protección de las personas, en lo que respecta a la protección de los datos personales, es la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros, la cual debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención.

La directiva da a los estados miembros un plazo de tres años para la adopción de las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la misma.

La actuación de las instituciones comunitarias en materia de protección de datos no se ha limitado a las directivas destinadas a los estados miembros, sino que también han adoptado medidas destinadas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios, mediante el Reglamento (CE) número 45/2001, del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, el cual incluso instituye una autoridad de control independiente (el Supervisor Europeo de Protección de Datos).

Podría decirse que la garantía de un elevado nivel de protección de los datos personales y de la intimidad es un principio inspirador de la normativa comunitaria, que tiene su proyección incluso en propuestas de directiva cuya finalidad no es propiamente la regulación de la protección de los datos de carácter personal, como es el caso de la propuesta de directiva del Parlamento Europeo y del Consejo relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Diario Oficial núm. C 365 E de 19/12/2000).

En el Derecho interno, la protección de datos de carácter personal se halla regulada, como decíamos antes, en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que, además de otras materias vinculadas con el derecho fundamental al que se refiere el artículo 18.4 de la Constitución, regula los aspectos básicos del régimen jurídico de la Agencia de Protección de Datos, que es la que se configura como la autoridad de control independiente a la que se refiere la Directiva 95/46/CE.

La ley orgánica establece que la mayor parte de las funciones asignadas a la citada agencia, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las comunidades autónomas y por la Administración local de su ámbito territorial, serán ejercidas por los órganos correspondientes de cada comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido. Criterio legal que es acorde con el artículo 28 de la Directiva 95/46/CE, según el cual los estados miembros dispondrán de una o más autoridades públicas que se encargarán de vigilar la aplicación, en su territorio, de las disposiciones adoptadas por ellos de acuerdo con la citada directiva, y añade que dichas autoridades ejercerán las funciones que les son atribuidas con total independencia.

Desde el punto de vista de su ordenación sistemática, la ley se halla dividida en tres títulos.

En el título I, de disposiciones generales, se concretan el objeto y el ámbito de aplicación de la ley, delimitando los ficheros que quedan bajo su regulación atendiendo a la Administración pública, institución o corporación que los crea o gestiona. La citada delimitación se completa con la enumeración de los ficheros a los que no se aplicará la ley y de aquellos en los que ésta será de aplicación limitada, por tener regímenes específicos. Contiene también una lista de definiciones muy útil para precisar y unificar la terminología específica de la materia objeto de regulación; se regulan aspectos relacionados con la creación, modificación y supresión de ficheros, limitaciones a la recogida de datos de carácter personal, información a los interesados y seguridad de los ficheros de datos, así como el procedimiento de reclamación ante la Agencia Vasca de Protección de Datos. Se trata de un título necesario para dar coherencia sistemática e integridad a la ley, que requerirá de un desarrollo posterior.

En el título II se crea la Agencia Vasca de Protección de Datos y se regulan los aspectos fundamentales de su régimen jurídico. Contiene preceptos relativos al régimen del personal a su servicio, recursos económicos, régimen presupuestario, órganos de gobierno, funciones y potestades. Es de resaltar la creación del Registro de Protección de Datos como órgano necesario de la agencia.

El título III está dedicado al régimen sancionador. En él se delimitan los sujetos responsables, se tipifican las infracciones y se establecen las sanciones correspondientes. Como dice el Reglamento (CE) número 45/2001, antes citado, un sistema de protección de datos personales requiere establecer derechos y obligaciones, pero también sanciones apropiadas para los infractores. En nuestro caso, dadas las características especiales de los titulares de los ficheros, se presta especial atención al supuesto de infracciones cometidas por el personal al servicio de las administraciones, instituciones y corporaciones a cuyos ficheros se aplica la ley.

La ley contiene tres disposiciones adicionales, relativas a la necesaria comunicación de los ficheros existentes a la Agencia Vasca de Protección de Datos, a la utilización de los datos del padrón municipal por las administraciones autonómica y forales para el ejercicio de sus competencias, y al necesario respeto de las competencias del Ararteko y de la Agencia de Protección de Datos del Estado.

Concluye con una disposición final, en la que se autoriza al Gobierno Vasco para su desarrollo y aplicación.

TÍTULO I
Disposiciones generales

Artículo 1. Objeto.

La presente ley tiene por objeto:

1. La regulación de los ficheros de datos de carácter personal creados o gestionados por la Comunidad Autónoma del País Vasco, los órganos forales de los territorios históricos y las administraciones locales de la Comunidad Autónoma del País Vasco.

2. La creación y regulación de la Agencia Vasca de Protección de Datos.

Artículo 2. Ámbito de aplicación.

1. La presente ley será aplicable a los ficheros de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por:

a) La Administración General de la Comunidad Autónoma, los órganos forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público.

b) El Parlamento Vasco.

c) El Tribunal Vasco de Cuentas Públicas.

d) El Ararteko.

e) El Consejo de Relaciones Laborales.

f) El Consejo Económico y Social.

g) El Consejo Superior de Cooperativas.

h) La Agencia Vasca de Protección de Datos.

i) La Comisión Arbitral.

j) Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco.

k) Cualesquiera otros organismos o instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario.

2. No obstante lo dispuesto en el número anterior, esta ley no será de aplicación a los ficheros:

a) Sometidos a la normativa sobre protección de materias clasificadas.

b) Establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

c) Regulados por la legislación de régimen electoral.

d) Procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por los cuerpos de Policía del País Vasco, de conformidad con la legislación sobre la materia.

3. Se regirán por sus disposiciones específicas y, en su caso, por lo especialmente previsto en esta ley los tratamientos de datos personales que sirvan a fines exclusivamente estadísticos y estén amparados por la legislación sobre la función estadística pública.

4. Las instituciones y centros sanitarios de carácter público y los profesionales a su servicio podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratadas en los mismos, de acuerdo con lo dispuesto en la legislación sectorial sobre sanidad, sin perjuicio de la aplicación de lo dispuesto en esta ley en todo lo que no sea incompatible con aquella legislación.

5. La aplicación de lo dispuesto en esta ley a los ficheros de datos de carácter personal, distintos de los citados en el número 2 de este artículo, creados o gestionados por los cuerpos de Policía del País Vasco se efectuará sin perjuicio de las especificidades de su régimen jurídico previstas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en la Ley 4/1992, de 17 de julio, de Policía del País Vasco.

Artículo 3. Definiciones.

A los efectos de esta ley se entenderá por:

a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. Se considerará identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos: operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento: persona, institución, entidad, corporación u órgano administrativo al que está adscrito el fichero y que decide sobre la finalidad, contenido y uso del tratamiento. La disposición por la que se cree el fichero determinará el responsable del mismo. Sus funciones serán las establecidas en el documento de seguridad.

e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere la letra c) de este artículo.

f) Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

g) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que la conciernen.

h) Cesión o comunicación de datos: toda revelación de datos realizada a persona distinta del interesado.

Artículo 4. Creación, modificación y supresión de ficheros.

1. La creación, modificación y supresión de ficheros de la Administración de la Comunidad Autónoma se realizará por orden del titular del departamento al que esté adscrito el fichero, la cual deberá contener todas las menciones exigidas por la legislación en vigor y será objeto de publicación en el «Boletín Oficial del País Vasco». El procedimiento de elaboración de la citada orden será el previsto para la elaboración de disposiciones de carácter general.

2. En el caso de ficheros de datos de carácter personal de otras administraciones, instituciones o corporaciones, el acuerdo o disposición por la que se cree, modifique o suprima deberá contener todas las menciones exigidas y será publicada en el «Boletín Oficial del País Vasco» o del territorio histórico, según sea el ámbito territorial al que se extienden sus funciones o competencias.

Artículo 5. Recogida de datos de carácter personal.

Las administraciones públicas y demás instituciones, corporaciones y entidades a que se refiere el artículo 2.1 de esta ley sólo podrán recoger datos de carácter personal para su tratamiento cuando sean adecuados, pertinentes y no excesivos para el ejercicio de las respectivas competencias que tienen atribuidas. Salvo precepto legal en sentido contrario, para la obtención de dichos datos no será preciso recabar el consentimiento de los afectados, pero sólo podrán utilizarse para las finalidades determinadas, explícitas y legítimas para las que se hubieran obtenido, sin perjuicio de su posible tratamiento posterior para fines históricos, estadísticos o científicos, de acuerdo con la legislación aplicable.

Artículo 6. Información a los interesados.

Los interesados a los que se soliciten datos de carácter personal serán previamente informados, de conformidad con la legislación sobre protección de dichos datos. No obstante, cuando los datos no hayan sido recabados del propio interesado y la información a éste resulte imposible o exija esfuerzos desproporcionados, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias, el director de la Agencia Vasca de Protección de Datos, de acuerdo con la susodicha legislación, podrá dispensar al responsable del fichero de la obligación de informar a los interesados.

Artículo 7. Aprobación del contenido mínimo del documento de seguridad.

En el ejercicio de sus potestades de autoorganización, los órganos de gobierno de las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta ley podrán aprobar, en aplicación de los preceptos relativos a la seguridad de los datos y para aplicar a todos o parte de los ficheros de los que son titulares sus respectivas administraciones, instituciones o corporaciones, el contenido mínimo del documento de seguridad que, en todo caso, deberán elaborar e implantar los responsables de fichero para garantizar la seguridad de los datos de carácter personal contenidos en los citados ficheros.

Artículo 8. Procedimiento para el ejercicio de los derechos de los interesados.

1. Los interesados podrán ejercitar los derechos de oposición, acceso, rectificación, cancelación y cualesquiera otros que les reconozca la ley. El contenido material de los mismos será el determinado en la ley.

2. Cada administración, institución o corporación regulará reglamentariamente el procedimiento para el ejercicio de los derechos señalados en el número anterior, en relación con los ficheros de su titularidad a los que es de aplicación esta ley. No se exigirá contraprestación alguna por ello.

Artículo 9. Reclamaciones ante la Agencia Vasca de Protección de Datos.

1. Las actuaciones contrarias a lo dispuesto en esta ley pueden ser objeto de reclamación por los interesados ante la Agencia Vasca de Protección de Datos, en la forma que reglamentariamente se determine.

2. El interesado al que se deniegue, total o parcialmente, el ejercicio del derecho de oposición, acceso, rectificación, cancelación o cualquier otro que le reconozca la legislación sobre protección de datos de carácter personal, podrá ponerlo en conocimiento de la Agencia Vasca de Protección de Datos, que deberá asegurarse de la procedencia o improcedencia de la denegación.

3. El plazo máximo en que se debe dictar y notificar la resolución expresa de tutela de derechos es de seis meses, entendiéndose el silencio administrativo como desestimatorio de la tutela pedida.

4. Contra las resoluciones de la Agencia Vasca de Protección de Datos procederá recurso contencioso-administrativo. Podrá interponerse con carácter previo, potestativamente, recurso de reposición.

TÍTULO II
La Agencia Vasca de Protección de Datos

Artículo 10. Creación y régimen jurídico.

1. Se crea la Agencia Vasca de Protección de Datos como ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en esta ley y en su estatuto propio, que será aprobado por decreto del Gobierno Vasco a propuesta de la Vicepresidencia.

2. La Agencia Vasca de Protección de Datos sujetará su actividad a la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, cuando ejerza potestades administrativas. En el resto de su actividad se someterá a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en esta ley y en las disposiciones de desarrollo de las mismas.

3. La Agencia Vasca de Protección de Datos estará sujeta al derecho público vigente en materia de adquisiciones patrimoniales y contratación. Sus bienes y derechos pertenecerán al patrimonio de la Comunidad Autónoma del País Vasco.

4. La representación y defensa en juicio de la Agencia Vasca de Protección de Datos estará a cargo de los servicios jurídicos de la Administración de la Comunidad Autónoma del País Vasco, conforme a lo dispuesto en sus normas reguladoras.

Artículo 11. Personal.

1. Los puestos de trabajo de la Agencia Vasca de Protección de Datos serán desempeñados por funcionarios de las administraciones públicas e instituciones a que se refiere el artículo 2.1 de esta ley y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal estará obligado a guardar secreto respecto a los datos de carácter personal que conozca en el desarrollo de su función.

2. El personal al servicio de la Agencia Vasca de Protección de Datos estará sometido a la normativa reguladora de la función pública en la Administración General de la Comunidad Autónoma. De conformidad con la misma, corresponde a la Agencia Vasca de Protección de Datos determinar el régimen de acceso a sus puestos de trabajo, los requisitos y las características de las pruebas de selección, así como la convocatoria, gestión y resolución de los procedimientos de provisión de puestos de trabajo y promoción profesional.

3. Los puestos de trabajo que comporten el ejercicio de potestades públicas estarán reservados a personal funcionario.