LOPD Protección de datos

Si pueden admitirse excepciones a la regla general que predica el desfase de las normas de derecho positivo respecto de las manifestaciones de la realidad social que regulan, estamos frente a una de ellas, y no tanto porque la materia objeto de regulación, la aplicación de la informática al tratamiento de los datos personales por la Comunidad de Madrid, sea un fenómeno reciente, que a este respecto se cumple la regla general, como por la ausencia de una demanda social de legislación en relación a la materia.

En efecto, los fenómenos que en esta ocasión aconsejan legislar ocupan en la escala de las preocupaciones de la sociedad un bajísimo lugar: la amenaza que objetivamente constituyen las tecnologías de la información y, particularmente, la informática para la privacidad de los ciudadanos no origina más que un estado de indiferencia social sólo quebrado ocasionalmente por noticias de tráfico de información de carácter personal, presentadas de modo alarmista y orwelliano, que abandonan rápidamente la cabecera de la actualidad.

Los expertos y profesionales de estas técnicas de tratamiento de la información, conscientes, por el propio ejercicio de su oficio, de los riesgos en presencia, son precisamente quienes han estado en el origen de la denuncia de los problemas derivados de la aplicación de las tecnologías de la información a los datos de carácter personal y de la exigencia de un sistema de límites a la utilización de las mismas. Nacida de este segundo movimiento, es la presente, en ese sentido, una Ley ilustrada, uno de cuyos valores esenciales debe precisamente buscarse en su contribución a promover un adecuado nivel de información y conciencia social sobre la amenaza, en absoluto de ficción científica, a la que se ha hecho mención.

La Ley se inscribe en el bloque de constitucionalidad tanto a través de la Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal como del Estatuto de Autonomía de Madrid, siendo los principios y garantías contenidos en la Ley Orgánica de directa aplicación a la Comunidad de Madrid a través de los procedimientos e instituciones que, con arreglo al principio de autogobierno, regula la presente Ley para mejor adaptar su ejercicio a las peculiaridades de la organización de la Comunidad de Madrid.

El contenido positivo de la Ley exige una aclaración previa acerca de la técnica legislativa empleada en su elaboración. Se ha considerado que la inserción de la Ley en el marco señalado en el apartado anterior tenía su mejor expresión en la no reproducción de normas o mandatos contenidos en la Ley Orgánica 5/1992, de 29 de octubre (ni tan siquiera para precisar aquellas definiciones, procedimientos o, instituciones que han sido duramente criticados por la doctrina con posterioridad a la entrada en vigor de la Ley Orgánica y de su normativa de desarrollo) manteniendo así la unicidad de los conceptos de los textos.

La voluntad de garantizar de esta forma el engarce de la Ley madrileña con la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter personal permanece constante a lo largo del texto y sólo se altera donde el valor didáctico de la reproducción supera el de la nitidez de la remisión al texto orgánico, como ocurre, respecto de los empleados públicos, en el caso del deber de secreto de quienes acceden en virtud del legítimo ejercicio de sus funciones al conocimiento de los datos personales cedidos por los ciudadanos.

La Comunidad de Madrid pretende dar auténtica virtualidad, en el campo competencial que le corresponde, a los derechos que se postulan en la legislación orgánica del Estado.

Así, la Comunidad de Madrid se implica activamente en la defensa de los principios de tratamiento de datos personales y del sistema de garantías definidos en la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de carácter personal, reforzando el ejercicio de los derechos de los ciudadanos, bien mediante la agilización de los procedimientos para hacerlos efectivos, bien mediante el establecimiento de instituciones directamente encaminadas a facilitarlos.

En el ámbito de aplicación de la Ley, desde el punto de vista material, se incluyen todas las actividades de tratamiento automatizado de datos de carácter personal, incluidas las accesorias o preparatorias, lo que es de especial trascendencia pues extiende las garantías de la Ley a, por ejemplo, los trabajos de desarrollo de aplicaciones informáticas que vayan a contener ficheros de datos personales, extensión que incluye, como es obvio, el deber de secreto o la aplicación de las medidas de seguridad en la realización de dichos trabajos.

De otro lado, bajo el ámbito de aplicación de la Ley quedan comprendidas la totalidad de las Instituciones de la Comunidad u Órganos, Organismos y Entidades Institucionales de su Administración, cualquiera que sea su grado de personificación, de conformidad con la normativa específica de regulación de la materia.

El establecimiento de obligaciones de refuerzo de la eficacia de las garantías establecidas en la Ley Orgánica 5/1992, de 29 de octubre, se manifiesta, además de en otros episodios de la Ley, en el régimen jurídico de los datos, en la regulación de los ficheros, en las medidas de seguridad, y en los procedimientos de ejercicio de los derechos reconocidos.

En el régimen de los datos, se refuerzan los deberes de información (bien desde la perspectiva de la ampliación del contenido de la información, verbi gratia, del carácter facultativo o no de la cesión de datos a la Comunidad, bien desde la perspectiva de la transmisión de la información, como por ejemplo la exposición en las oficinas públicas de modo claro y visible de los aspectos sobre los que los ciudadanos deben ser informados); las posibilidades de defensa de los ciudadanos ante la imposibilidad de negarse a facilitar datos (mediante la facultad de formular alegaciones sobre adecuación de los datos solicitados a los principios de pertinencia o racionalidad, alegación que puede determinar que, de estimarse fundada por los órganos de protección, se proceda a la cancelación de oficio de los datos); las garantías de confidencialidad e integridad de los datos (sometiendo todo tratamiento o almacenamiento al cumplimiento de las especificaciones de seguridad que se determinen reglamentariamente, incluidos los terceros que presten servicios de tratamiento, con el derecho del ciudadano a solicitar la certificación de seguridad y subsiguiente acción en demanda del bloqueo cautelar de los ficheros); y se someten las cesiones de datos no previstas en la norma de creación a un régimen de especial garantía, al exigirse que sea la Asamblea de Madrid, los representantes de los ciudadanos, y no el Gobierno, los que mediante Ley suplan la falta de consentimiento de los ciudadanos para la cesión de los datos que les fueron recogidos en su día sin esa previsión.

En el régimen de los ficheros, la Ley establece el rango normativo que deben tener las disposiciones de regulación de los ficheros, Decreto del Consejo de Gobierno, y refuerza la participación de los ciudadanos en su elaboración al recoger una fase de alegaciones relativas a la adecuación, pertinencia o proporcionalidad de los datos en función de la finalidad del fichero.

En materia de seguridad, la Ley compromete al Gobierno de la Comunidad de Madrid en la adopción de las medidas precisas para garantizar la confidencialidad, integridad y disponibilidad de la información, no sólo mediante el establecimiento de los requisitos mínimos o el derecho de los ciudadanos a las medidas de seguridad, sino fundamentalmente por el establecimiento de un plazo para el dictado de la normativa que dé virtualidad a las previsiones de la Ley.

En el ámbito de las responsabilidades, y sin menoscabo de las que le incumben al responsable de fichero, se vincula en la protección de los datos personales tanto a los administradores de sistemas de tratamiento automatizado como a los usuarios de los mismos.

En lo que se refiere al procedimiento de ejercicio de los derechos de acceso, rectificación y cancelación, se establecen plazos breves para su materialización (quince días en el caso del derecho de acceso y un mes en el resto), se articula una única forma para su terminación expresa, la certificación de si existen o no datos y de cuáles en su caso que, aunque pudiera parecer restrictiva, dota al ciudadano de plena seguridad sobre el contenido de los ficheros, y se establece una tasa disuasoria del ejercicio abusivo e injustificado del derecho de acceso.

En el Capítulo VIII de la presente Ley se establecen los órganos que ejercitarán las funciones que se establecen en el texto legal, así como las que se derivan de los artículos 40 y concordantes de la Ley Orgánica 5/1992, de 29 de octubre, estableciéndose determinadas adaptaciones a la legislación básica aprobada por el Estado con posterioridad a la Ley 13/1995, de 21 de abril, en particular la Ley 13/1995, de 18 de mayo, de Contratos de las Administraciones Públicas. Asimismo se han tenido en cuenta los criterios recogidos en la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Se crea la Agencia de Protección de Datos de la Comunidad de Madrid como Ente de Derecho Público, cuyo funcionamiento y actuación se sujetarán a los principios de independencia, objetividad, eficacia y austeridad en el gasto público.

Se parte, asimismo, no sólo de los principios enunciados en el párrafo anterior, sino también de los de racionalidad y economía organizativa en orden al adecuado dimensionamiento de la estructura del nuevo Ente, sobre la base de la proporcionalidad entre los medios presupuestarios, orgánicos y de recursos humanos de los que se dota a la Agencia y las funciones a desempeñar.

La Agencia se crea como Ente de Derecho Público, con personalidad jurídica propia y plena capacidad, si bien, se precisa que se trata de un Ente Público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid, a fin de evitar dudas acerca de la naturaleza de la misma y, por otro lado, porque se trata de la fórmula idónea para hacer efectiva la "total independencia" que la Ley le reconoce respecto de la Administración de la Comunidad de Madrid.

Asimismo se precisa con mayor intensidad su régimen jurídico, caracterizado fundamentalmente por la sujeción de la Agencia al Derecho Público en materia de personal, contratación (Ley de Contratos de las Administraciones Públicas), patrimonio y, en general, en el ejercicio de las funciones públicas que tiene encomendadas.

En materia presupuestaria se establece que la Agencia elaborará un Anteproyecto de Presupuestos que se incorporará con la debida independencia a los Presupuestos Generales de la Comunidad de Madrid, recogiéndose algunas particularidades en orden a garantizar la independencia referida. Así se precisa que el Presupuesto de la Agencia tendrá carácter limitativo por su importe global y estimativo para la distribución en categorías económicas de los créditos de los programas del mismo. Asimismo, se atribuye al Consejero de Hacienda la competencia para autorizar las variaciones en la cuantía global de su presupuesto, y al Director de la Agencia se le atribuyen competencias para efectuar las variaciones internas que no alteren la cuantía global del Presupuesto de la misma.

En relación a las funciones de la Agencia se mantienen en esencia las atribuidas por la Ley 13/1995, de 21 de abril, de acuerdo con el artículo 40 de la Ley Orgánica 5/1992, de 29 de octubre, si bien, se suprime la competencia referida a la "potestad reglamentaria en todo aquello que se refiera al ejercicio y desarrollo de los derechos contemplados en la presente Ley", por tratarse de una competencia que ha de corresponder al Consejo de Gobierno de la Comunidad de Madrid conforme a lo dispuesto en el artículo 21.1 del Estatuto de Autonomía.

Por otro lado, y considerando que la Agencia de Protección de Datos ve limitada su actuación a los ficheros de titularidad de la Administración de la Comunidad de Madrid y de sus Organismos Autónomos, Entes y Empresas Públicas, su competencia sancionadora ha de quedar circunscrita a la propuesta de iniciación de los procedimientos disciplinarios contra quienes estime responsables de las infracciones al régimen de protección de datos.

Respecto al Registro de Ficheros de Datos de carácter personal y de la función atribuida a éste de facilitar a los ciudadanos información sobre los ficheros en que se contengan datos personales de su titularidad, se mantiene la regulación contenida en la Ley 13/1995, de 21 de abril, si bien, se suprimen las referencias a "órganos" y "unidades" recogidas en esa Ley al fin de no condicionar la futura organización y estructura de la Agencia.

Junto a sus órganos ejecutivos, la Agencia se dota del órgano consultivo, en el que quedarán representados los Grupos Parlamentarios de la Asamblea de Madrid, el Consejo de Gobierno, el Consejo Económico y Social y la introducción de la figura de un "experto en la materia" en sustitución del "representante de las asociaciones legalmente constituidas que tengan entre sus finalidades principales la defensa de intereses y derechos protegidos por esta Ley", por considerarse que la representación social está debidamente cubierta a través de los representantes designados por el Consejo Económico y Social, a fin de potenciar el carácter técnico de ese órgano.

La Ley prevé, por otra parte, que el ejercicio de las funciones de la Agencia se realice con plena independencia y objetividad, no tanto por la reiteración del mandato ya contenido en el artículo 103 de la Constitución, cuanto por la configuración del Consejo, fundamentalmente por su composición plural ya descrita, y por el nombramiento por parte de éste del Director de la Agencia.

Finalmente, en un deseo de hacer extensivas a otras Administraciones de la Comunidad de Madrid las garantías y facilidades que esta Ley proporciona a los ciudadanos, y sin perjuicio de las obligaciones que para aquéllas puedan derivarse de la Ley Orgánica 5/1992, de 29 de octubre, se articula la posibilidad, previa la suscripción del oportuno convenio, de inscribir en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid los ficheros de las Corporaciones Locales, con el único requisito previo de que éstas apliquen a sus sistemas de tratamiento automatizado unas condiciones de seguridad equiparables a las establecidas en el ámbito de aplicación de la Ley.

Esta Ley tiene por objeto la limitación del uso de las tecnologías de la información y singularmente de la informática, en su aplicación al tratamiento automatizado de los datos personales de los ciudadanos por parte de las Instituciones y de la Administración de la Comunidad de Madrid, en los términos establecidos por la presente Ley y por la Ley Orgánica 5/1992, de 29 de octubre.

1. Están sujetas a las determinaciones de esta Ley cualesquiera actividades de tratamiento automatizado de datos personales, ya sea de naturaleza principal o accesoria e incluso las previas o posteriores al tratamiento automatizado propiamente dicho.

Igualmente, quedan sujetas a esta Ley cualesquiera actividades de tratamiento no automatizado de datos de carácter personal cuando los datos a los que se refiera se encuentren contenidos en un archivo estructurado según criterios específicos referidos a las personas que permita acceder fácilmente a los datos de carácter personal de que se trate.

2. Las disposiciones de esta Ley son de aplicación a las Instituciones de la Comunidad de Madrid así como a la totalidad de los Órganos, Organismos, Entes y Empresas integrantes de su Administración Pública.

3. Los ficheros regulados por la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, se regirán por dicha disposición en defecto de la legislación estadística de que pueda dotarse la Comunidad de Madrid, pero estarán sometidos al control de la Agencia de Protección de Datos.

Las definiciones de los conceptos empleados en la presente Ley serán las contenidas en el artículo 3 de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, sin perjuicio de las peculiaridades señaladas en esta Ley.

1. La titularidad sobre sus datos personales faculta al ciudadano con los límites establecidos en la presente Ley para consentir sobre la cesión de los mismos a la Comunidad de Madrid cuando vayan a ser objeto de tratamiento automatizado.

2. La Comunidad de Madrid ampara la titularidad de cada ciudadano respecto de los datos cedidos a la misma, viniendo obligadas sus Instituciones y Administración a custodiarlos con la diligencia precisa para garantizar su confidencialidad y a adoptar las medidas necesarias para facilitar el ejercicio de los derechos reconocidos en la Ley Orgánica 5/1992, de 29 de octubre, de acuerdo con los procedimientos establecidos en el presente texto legal.

1. Los ciudadanos, con carácter previo a la prestación del consentimiento, deberán ser informados de si, en razón de su causa, la cesión de datos a la Comunidad de Madrid, tiene carácter obligatorio, facultativo o constituye una carga, así como la posibilidad de ejercitar los derechos de rectificación y cancelación, junto a los demás extremos contenidos en el artículo 5 de la Ley Orgánica 5/1992.

2. Cuando la cesión constituya una obligación o una carga, los ciudadanos podrán alegar lo que estimen oportuno en relación con la pertinencia de los datos solicitados en el acto de la recogida o en el plazo que reglamentariamente se determine, debiendo ser expresamente advertidos de tal facultad. Las alegaciones serán estudiadas por la Agencia de Protección de Datos que informará al respecto.

3. Todas las oficinas públicas donde se proceda a la recogida de datos personales que vayan a ser objeto de tratamiento automatizado deberán tener expuesta, en lugar visible y de modo claro, una advertencia expresiva de las obligaciones de información que, en función del contenido del artículo 5 de la Ley Orgánica 5/1992 y de los apartados anteriores del presente artículo, tiene la Comunidad de Madrid frente al ciudadano en el momento de la recogida de los datos.

4. Igualmente, si la recogida de datos se realiza mediante cuestionarios o impresos éstos deberán contener en lugar visible y de modo claro, la relación de derechos del presente artículo y del artículo 5 de la Ley Orgánica 5/1992.

1. Los sistemas de almacenamiento de datos personales deberán permitir en todo caso el ejercicio de los derechos que la Ley Orgánica 5/1992 y la presente norma reconocen a los afectados y posibilitar el ejercicio de la potestad de inspección por los órganos competentes.

2. Queda prohibido todo almacenamiento de datos no sujeto a las medidas de seguridad que se establezcan conforme a lo dispuesto en el Capítulo V de la presente Ley.

1. El tratamiento automatizado se sujetará a las medidas de seguridad que se establezcan conforme a lo dispuesto en el Capítulo V de la presente Ley.

2. Quienes presten servicios de tratamiento automatizado de datos de carácter personal a la Comunidad de Madrid vendrán obligados a aplicar, al menos, las mismas medidas de seguridad que las que se establezcan conforme a lo dispuesto en la presente Ley.

3. Los contratos de prestación de servicios de tratamiento automatizado de datos deberán ser comunicados a la Agencia de Protección de Datos con anterioridad a su perfeccionamiento.

4. El incumplimiento de las determinaciones contenidas en el apartado 2 del presente artículo será causa de resolución del contrato, incautación de fianzas e indemnización a la Comunidad de Madrid por un importe no inferior al 50 por 100 de la cuantía del contrato, todo ello sin perjuicio de las sanciones que eventualmente correspondan conforme a la Ley Orgánica 5/1992, de 29 de octubre.

1. La Comunidad de Madrid no cederá datos de carácter personal objeto de tratamiento automatizado más que en los siguientes casos:

3. Los datos de carácter personal recogidos o elaborados por cualesquiera órganos de la Administración Pública de la Comunidad de Madrid para el desempeño de sus atribuciones no serán cedidos a otros órganos de la misma para el ejercicio de competencias distintas o que versen sobre materias diferentes salvo los supuestos previstos en los apartados 1 y 2.

No tendrá la consideración de cesión la entrega de datos de carácter personal que un órgano de la Administración Pública de la Comunidad de Madrid obtenga o elabore con destino a otro, siempre que conste así en el Decreto de creación del fichero.

Trimestralmente el órgano de la Administración Pública de la Comunidad de Madrid que haya realizado alguna cesión de datos, conforme a las previsiones de esta Ley, comunicará a la Agencia de Protección de datos de dicha Comunidad el número de cesiones que haya efectuado, la identificación del cesionario y el carácter de la información cedida.

4. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, conforme a lo previsto en esta Ley, independientemente del medio o tecnología que se use para la misma, deberá informar de ello a los afectados, indicando asimismo la finalidad del fichero, la naturaleza de los datos que han sido cedidos y la identificación del cesionario. Igual obligación incumbirá a los responsables de los ficheros cesionarios en ulteriores cesiones autorizadas, los cuales se obligan, por el solo hecho de la cesión, a la observancia de las disposiciones de esta Ley.

5. Será nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.

6. Los órganos de la Administración Pública de la Comunidad de Madrid no procederán a la cesión de datos a menos que los sistemas automatizados del cesionario cuenten con medidas de seguridad en el tratamiento y almacenamiento de los datos que garanticen la confidencialidad e integridad al mismo nivel que en la Comunidad de Madrid.

7. El consentimiento para la cesión de los datos de carácter personal tiene el carácter de revocable.

8. En ningún caso podrán cederse los datos de carácter personal sobre ideología, religión y creencias a que se refiere el artículo 7 de la Ley Orgánica de Regulación del Tratamiento Automatizado de los datos de Carácter Personal, salvo en los casos previstos por ella o por esta misma Ley.

Sólo la Ley podrá autorizar las cesiones de datos de carácter personal que se hicieran precisas con posterioridad a la recogida de datos y no hubieran sido autorizadas expresamente en la norma de creación del fichero.

Los datos serán cancelados de conformidad con las previsiones de la Ley Orgánica 5/1992, de 29 de octubre, y de la destrucción de los datos conforme a la forma que se prevea en la normativa de seguridad sólo podrán ser excluidos aquellos que, en atención a su necesidad para el desarrollo de la función estadística pública, sean previamente sometidos a procedimiento de disociación o aquellos otros cuya conservación, en atención a su valor histórico y previos informes de la Consejería de Educación y Cultura y de la Agencia de Protección de Datos de la Comunidad de Madrid, sea expresamente autorizada por el Consejo de Gobierno.

1. Junto con las disposiciones de la presente Ley o de sus normas de desarrollo, así como de la legislación estatal aplicable, las disposiciones de carácter general a las que se refiere el presente Capítulo constituyen el régimen jurídico específico de los ficheros automatizados de datos de carácter personal de las Instituciones y Administración de la Comunidad de Madrid.

2. La creación, modificación, sin perjuicio de lo establecido en el artículo 9, o supresión de ficheros automatizados de datos de carácter personal incluidos en el ámbito de aplicación de la presente Ley se realizará mediante Decreto del Consejo de Gobierno, salvo los ficheros automatizados de titularidad de la Asamblea de Madrid, que se regularán por Acuerdo de la Mesa que se publicará en el Boletín Oficial de la Comunidad de Madrid, con el informe favorable del Consejo de Protección de Datos.

3. Las Disposiciones de creación, modificación o supresión de ficheros se inscribirán de oficio en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid.

4. Las disposiciones de creación o modificación de ficheros automatizados de datos de carácter personal deberán indicar en todo caso:

5. Las disposiciones que regulen la supresión de ficheros se regirán por las determinaciones contenidas en la Ley Orgánica 5/1992, de 29 de octubre, sin perjuicio de lo establecido en el artículo 10 de esta Ley.

Procedimiento de elaboración de las disposiciones de creación, modificación o supresión de ficheros.

1. La iniciativa en la tramitación del procedimiento de elaboración de las disposiciones de carácter general corresponderá al órgano titular de la función específica en que se concrete la competencia sobre la materia a cuyo ejercicio sirva instrumentalmente el fichero.

2. Si la iniciativa fuera de un Organismo Autónomo o Empresa Pública, la propuesta corresponderá a su Consejo de Administración, quien lo elevará para su aprobación al Consejo de Gobierno de la Comunidad de Madrid a través de la Consejería a la que esté adscrita la Entidad Institucional o por conducto de la Consejería de Presidencia en el caso del Ente Público "Radio Televisión Madrid".

3. Elaborado el proyecto de disposición de carácter general, se dará apertura, en la forma en que reglamentariamente se determine, a una fase de alegaciones relativas a la adecuación, pertinencia o proporcionalidad de los datos de carácter personal que pretendan solicitarse en relación con la finalidad del fichero.

A tal fin el proyecto de disposición será trasladado a las organizaciones y asociaciones legalmente constituidas cuyo objeto estatutario tenga como finalidad principal la defensa de intereses y derechos relacionados con los protegidos mediante esta Ley o cuyos miembros resulten especialmente afectados por los datos cuya recogida se pretenda.

4. Con carácter previo a su aprobación el proyecto de disposición, junto con las alegaciones formuladas, se remitirá a la Agencia de Protección de Datos para informe preceptivo.

De la seguridad de los sistemas de tratamiento
automatizado de datos de carácter personal

Reglamentariamente se determinarán las condiciones de seguridad que deben reunir los sistemas de tratamiento automatizado de la información en los que se integren los ficheros de datos personales a fin de preservar la confidencialidad, integridad y uso legítimo de los datos.

Los titulares de datos personales contenidos en ficheros automatizados podrán solicitar del responsable de fichero la certificación de que los sistemas de tratamiento están sujetos a las condiciones de seguridad reglamentariamente establecidas. Producida la certificación negativa o transcurrido el plazo que reglamentariamente se establezca para su expedición sin acto expreso, los interesados podrán instar de la Agencia de Protección de Datos el bloqueo de los ficheros hasta tanto sean adoptadas las medidas de seguridad.

La normativa de seguridad que reglamentariamente se dicte, atendiendo al estado de la tecnología, diferenciará las medidas a adoptar en función de la condición de especialmente protegidos o no de los datos, el análisis de los riesgos en presencia y la proporcionalidad entre el coste y la efectividad de las medidas.

A tal fin, deberá contener las medidas organizativo-administrativas y de protección técnica, sean lógicas o físicas, que permitan prever, detectar y recuperar las alteraciones o pérdidas de datos de carácter personal.

En todo caso, definirá medidas de identificación y autenticación de usuarios y registros de acceso a ficheros, así como procedimientos de auditoría de los sistemas de información afectados.

1. Responsable del fichero es el órgano administrativo designado en la disposición de creación del fichero.

2. Cuando no sea posible la determinación del responsable de fichero de conformidad con el concepto definido en el artículo 3.d) de la Ley Orgánica 5/1992, de 29 de octubre, por estar atribuidas a diferentes órganos administrativos las distintas operaciones y procedimientos técnicos en que consiste el tratamiento de datos, se entenderá por responsable de fichero al órgano titular de la función específica en que se concrete la competencia material a cuyo ejercicio sirva instrumentalmente el fichero.

3. En el caso de las Entidades de la Administración Institucional, y salvo que la disposición de creación disponga otra cosa, el responsable de fichero será el Gerente de la Entidad.

1. Los responsables de fichero podrán atribuir la responsabilidad derivada de la ejecución material de las distintas operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, elaboración, cesión, modificación, bloqueo y cancelación de datos, así como de la tramitación administrativa del ejercicio de los derechos que esta Ley reconoce a los ciudadanos, a los titulares de las unidades que las tengan encomendadas.

2. Cuando las operaciones y procedimientos señalados en el apartado anterior sean encomendados a otros órganos administrativos o entidades de la Administración Institucional de la Comunidad de Madrid, podrá atribuirse la responsabilidad a que se refiere el apartado anterior al órgano o persona jurídica que tenga asignada la gestión de la operación o procedimiento que se trate.

Son usuarios el personal al servicio de las Instituciones o de la Administración de la Comunidad de Madrid que tenga acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de los sistemas de información en los que se integran los ficheros de datos.

Los usuarios vienen obligados al cumplimiento de las medidas de seguridad que se establezcan y están sujetos al deber de secreto profesional en los términos que establece el artículo siguiente.

1. El deber de secreto profesional sobre los datos de carácter personal que sean objeto de tratamiento automatizado en el ámbito de aplicación de la presente Ley, alcanzará tanto al responsable del fichero como a los administradores y usuarios que tengan conocimiento de dichos datos.

2. El deber de secreto subsistirá en todo caso, aun con posterioridad a la desaparición del ejercicio de las funciones del que dependa el conocimiento de los datos.

1. La inobservancia de las prescripciones de la presente Ley y normas concordantes en materia de ejercicio de derechos, medidas de seguridad o deber de secreto en el tratamiento automatizado de datos de carácter personal por los usuarios y administradores de los sistemas en el ejercicio de sus cometidos funcionales, dará lugar a responsabilidad disciplinaria conforme a la legislación específica aplicable.

2. El responsable de fichero instará de los órganos competentes en materia de personal la instrucción de los procedimientos disciplinarios que correspondan como consecuencia de lo señalado en el apartado anterior.

3. Los responsables de ficheros y demás intervinientes en el tratamiento automatizado de datos de carácter personal estarán sujetos al régimen de infracciones previsto en el Título VII de la Ley Orgánica 5/1992, de 29 de octubre, excepto en lo que se refiere al procedimiento y al régimen de sanciones aplicable, que será el previsto en la legislación de régimen disciplinario de las Administraciones Públicas.

Del procedimiento de ejercicio de los derechos de acceso,
cancelación y rectificación

1. En cualquier momento podrá ser consultado el Registro de Ficheros de Datos Personales de la Comunidad de Madrid por quienes resulten interesados, al objeto de verificar la existencia de ficheros con datos de carácter personal. La Agencia de Protección de Datos contestará expresamente en el plazo que se determine por vía reglamentaria.

2. A efecto de facilitar el ejercicio del derecho de acceso todo ciudadano tendrá derecho a recibir una vez al año y en el domicilio que señale una relación de los ficheros en los que consten datos personales de su titularidad. Este derecho se ejercitará en la forma establecida en el artículo 32.

Los derechos de acceso, cancelación o rectificación se ejercitarán ante el responsable del fichero que corresponda mediante solicitud dirigida al mismo presentada en cualquier Registro Público de la Comunidad de Madrid o en las formas previstas en la Ley 30/1992.

1. Todo ciudadano podrá en cualquier momento ejercitar su derecho de acceso ante los órganos y con las condiciones establecidas en la presente Ley o en sus normas de desarrollo.

2. El ejercicio de este derecho respecto de cada fichero tendrá carácter gratuito la primera vez que se ejercite y, posteriormente, una vez al año. Si el afectado ejercitase su derecho con menor periodicidad, deberá satisfacer una tasa por el aprovechamiento especial de los servicios públicos, cuya regulación se realizará por Ley.

1. En cualquier momento podrá el afectado solicitar la rectificación o cancelación de los datos incompletos o inexactos, así como de los que fueren recogidos o registrados contra los principios de adecuación, pertinencia o proporcionalidad.

Igualmente, se podrá solicitar la cancelación de datos transcurridos los plazos fijados en la norma de creación del fichero o en los supuestos previstos en el artículo 5 y concordantes de la Ley 5/1992, de 29 de octubre, todo ello sin perjuicio de lo establecido en el artículo 10 de la presente Ley.

2. No se exigirá contraprestación alguna por la cancelación o rectificación de los datos incompletos, inexactos o contrarios a los principios de adecuación, pertinencia y proporcionalidad.

En el plazo de quince días siguientes a la recepción de la solicitud del interesado, el responsable de fichero remitirá al mismo al domicilio indicado en la solicitud certificación comprensiva de si existen o no datos personales de su titularidad y en este último supuesto del contenido de los mismos.

Alternativamente en ese mismo plazo el responsable de fichero remitirá al interesado resolución motivada denegando el ejercicio del derecho de acceso cuando, ponderados los intereses en presencia, prevaleciesen razones de interés público o de tercero con mejor derecho. En dicha resolución se pondrá de manifiesto al afectado su derecho a invocar la actuación de la Agencia de Protección de Datos de la Comunidad de Madrid, que será informado en todo caso por el responsable de fichero.

De no dictarse resolución expresa en el plazo establecido en cualquiera de los supuestos a que se refieren los párrafos precedentes, el interesado podrá reproducir su petición ante la Agencia de Protección de Datos, que resolverá en el mismo plazo y con arreglo al mismo procedimiento.

De la terminación del procedimiento de ejercicio de los derechos de rectificación y cancelación.

En el plazo de un mes contado desde la recepción de la solicitud del interesado, el responsable de fichero remitirá al mismo al domicilio indicado en la solicitud certificación comprensiva de los datos modificados a su instancia así como del contenido de los datos personales de su titularidad que quedan en el fichero.

Alternativamente en ese mismo plazo el responsable del fichero remitirá al interesado resolución motivada desestimando las peticiones vinculadas al ejercicio de los derechos a que se refiere este artículo. En dicha resolución se pondrá de manifiesto al interesado su derecho a invocar la actuación de la Agencia de Protección de Datos de la Comunidad de Madrid, que será informada en todo caso por el responsable del fichero.

De no dictarse resolución expresa en el plazo establecido en cualquiera de los supuestos a que se refieren los párrafos precedentes, o de haberse desestimado la petición, el interesado podrá reproducir la misma ante la Agencia de Protección de Datos, que resolverá en el mismo plazo y con arreglo al mismo procedimiento.

1. Se crea la Agencia de Protección de Datos de la Comunidad de Madrid como Ente de Derecho Público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid, con personalidad jurídica propia y plena capacidad de obrar.

La Agencia de Protección de Datos actúa en el ejercicio de sus funciones con plena independencia de la Administración de la Comunidad de Madrid y se relaciona con el Consejo de Gobierno a través de la Consejería de Hacienda.

2. La Agencia de Protección de Datos se regirá por lo dispuesto en la presente Ley y en su Estatuto propio que será aprobado por el Consejo de Gobierno, así como por las disposiciones de la Ley reguladora de la Hacienda de la Comunidad de Madrid, que le resulten de aplicación conforme al artículo 6 de la misma.

En el ejercicio de sus funciones públicas, y en defecto de lo que dispongan la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

En sus relaciones patrimoniales y contratación estará sujeta al Derecho Público.

3. Los actos administrativos dictados por el Director de la Agencia de Protección de Datos agotan la vía administrativa y podrán ser objeto de recurso contencioso-administrativo.

Su representación y defensa en juicio estará a cargo de los Servicios Jurídicos de la Comunidad de Madrid conforme a lo dispuesto en sus normas reguladoras.

4. Los puestos de trabajo de los órganos y servicios que integran la Agencia de Protección de Datos serán desempeñados por personal funcionario o laboral de acuerdo con la naturaleza de las funciones asignadas a cada puesto de trabajo.

En materia de personal la Agencia se regirá por las disposiciones normativas que en materia de función pública resulten de aplicación al personal al servicio de la Administración de la Comunidad de Madrid.

Corresponde a la Agencia de Protección de Datos determinar el régimen de acceso a sus puestos de trabajo, así como los requisitos y características de las pruebas para acceder a los mismos de acuerdo con sus necesidades, las vacantes existentes y sus disponibilidades presupuestarias.

Corresponderá a la Agencia de Protección de Datos la elaboración, convocatoria, gestión y resolución de los sistemas de provisión de puestos de trabajo y promoción profesional ajustando sus bases a los criterios generales de provisión de puestos de trabajo establecidos en la Ley 30/1984, de 2 de agosto, y en la normativa de la Comunidad de Madrid.

5. La Agencia de Protección de Datos contará para el cumplimiento de sus fines con los siguientes bienes y recursos económicos:

6. La Agencia elaborará y aprobará con carácter anual el correspondiente Anteproyecto de Presupuesto que refleje los costes necesarios para la consecución de sus objetivos, con la estructura que señale el Consejero de Hacienda, y lo remitirá a éste para su elevación al Consejo de Gobierno, y posterior remisión a la Asamblea, formando parte del Proyecto de los Presupuestos Generales de la Comunidad de Madrid y consolidándose con los de la Administración General y sus Organismos Autónomos.

Este Presupuesto tendrá carácter limitativo por su importe global y carácter estimativo para la distribución en categorías económicas de los créditos de los programas del mismo.

Las variaciones en la cuantía global de este presupuesto serán autorizadas por el Consejero de Hacienda. Las variaciones internas que no alteren la cuantía global del Presupuesto de la Agencia serán acordadas por el Director de la misma.

La Agencia estará sometida a control financiero que se ejercerá por la Intervención General de la Comunidad de Madrid en los términos del artículo 17 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid.

1. El Consejo de Protección de Datos de la Comunidad de Madrid es el órgano consultivo de la Agencia, designa al Director, le asesora y emite sus dictámenes, que serán vinculantes en las materias que regulan esta Ley y el Estatuto de la Agencia.

3. Los miembros del Consejo serán nombrados mediante Decreto del Presidente de la Comunidad de Madrid, a propuesta de los respectivos grupos, órganos, entidades y organizaciones citadas en el apartado anterior, por un período de cuatro años. Podrán ser sustituidos, por el mismo procedimiento, a solicitud de los mismos grupos, órganos, organizaciones o entidades proponentes.

4. En su sesión constitutiva el Consejo designará al Director de la Agencia por mayoría absoluta de sus miembros. La designación deberá recaer en una persona de acreditada independencia, elevado conocimiento de las materias de su competencia y probada capacidad de gestión. Una vez nombrado, y en cuanto miembro del Consejo de Protección de Datos, ejercerá la presidencia del mismo.

1. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid dirige la Agencia, ostenta su representación y preside el Consejo. Será nombrado mediante Decreto del Presidente de la Comunidad de Madrid, a propuesta del Consejo de Protección de Datos, por un período de cuatro años.

2. El Director tendrá la consideración de alto cargo y el desempeño del mismo será incompatible con cualquier otro de la Administración Pública y con el ejercicio de toda actividad profesional o mercantil. Ejercerá sus funciones con plena independencia y objetividad, sin estar sujeto a instrucción alguna en el desempeño de aquéllas.

3. El Director sólo cesará antes de la expiración de su mandato a petición propia o por separación acordada por el Presidente de la Comunidad de Madrid a solicitud del Consejo de Protección de Datos de la Comunidad. Dicha solicitud deberá ser aprobada por el voto de tres cuartas partes de sus miembros en reunión extraordinaria convocada al efecto y sólo por alguna de las causas siguientes: incumplimiento grave de sus obligaciones, incompatibilidad, incapacidad sobrevenida para el ejercicio de sus funciones o condena por delito doloso.

1. La Agencia de Protección de Datos llevará un Registro de Ficheros de Datos de carácter personal.

2. Serán objeto de inscripción en el Registro de Ficheros de Datos de carácter personal:

3. La inscripción en el Registro de Ficheros de Datos Personales tendrá lugar de oficio, una vez publicadas las disposiciones de creación de ficheros, anotándose las incidencias de cualquier naturaleza que concurran en los mismos, singularmente las que afecten al ejercicio por los ciudadanos de los derechos referidos en la letra b) del apartado anterior.

1. El Registro de Ficheros de Datos Personales llevará una Sección de Interesados con la función de facilitar a los ciudadanos información sobre los ficheros en que se contengan datos personales de su titularidad.

2. Cuando los ciudadanos expresamente lo soliciten podrán ser inscritos en la Sección de Interesados, en las condiciones que se establezcan reglamentariamente. Esta inscripción dará derecho al interesado a obtener la información a la que se refiere el apartado anterior.

3. Los responsables de fichero vendrán obligados a la comunicación al Registro de Ficheros de las variaciones experimentadas en los ficheros en cuanto a los afectados inscritos, con la periodicidad que reglamentariamente se establezca.

1. La Agencia de Protección de Datos de la Comunidad de Madrid dispondrá de los medios de investigación y del poder efectivo de intervenir frente a la explotación y creación de ficheros que no se ajusten a las disposiciones de esta Ley.

A tal efecto, tendrá acceso a los ficheros, podrá inspeccionarlos y recabar toda la información necesaria para el cumplimiento de su misión de control, podrá solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los dispositivos físicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.

2. El personal al servicio de la Agencia de Protección de Datos que ejerza la inspección a que se refiere el apartado anterior, tendrá la consideración de autoridad pública en el desempeño de sus cometidos y las actas que levanten gozarán de la presunción de veracidad en los términos establecidos en el artículo 137.3 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

1. La Agencia de Protección de Datos de la Comunidad de Madrid iniciará las acciones oportunas para la colaboración y cooperación con otras Administraciones Públicas en orden a la creación de las condiciones adecuadas para el ejercicio de los derechos y el cumplimiento de las garantías establecidas para la protección de datos personales, así como para favorecer la participación de los interesados y la adopción de medidas para el desarrollo de los sistemas de seguridad.

2. Se atenderá especialmente al establecimiento de Convenios de colaboración en las materias a las que se refiere la presente Ley con las Corporaciones Locales de la Comunidad de Madrid.

Al objeto de facilitar el ejercicio de los derechos reconocidos en materia de protección de datos de carácter personal, las Corporaciones que tengan unas condiciones de seguridad equiparables a las establecidas en el ámbito de aplicación de la presente Ley, y previo Convenio de Cooperación que deberá ser informado por la Agencia de Protección de Datos, podrán inscribir sus ficheros en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid.

Por la Comunidad de Madrid se prestará asistencia técnica a las Corporaciones Locales que lo soliciten con el fin de conseguir las condiciones a que se refiere el párrafo anterior.

3. Trimestralmente, la Agencia de Protección de Datos remitirá a la Agencia Estatal de Protección de Datos el contenido del Registro de Ficheros de Datos Personales de la Comunidad de Madrid.

Las previsiones contenidas en el artículo 5 de la Ley 13/1995, de 21 de abril, en lo que se refiere a la información a exponer en oficinas públicas y en los impresos o cuestionarios que se utilicen en la recogida de datos serán adoptadas en un plazo máximo de seis meses desde la entrada en vigor de la presente Ley.

En el plazo de tres meses, desde la entrada en vigor de la presente Ley, el Consejo de Gobierno dictará un Decreto adaptando las normas reguladoras de los ficheros existentes a las determinaciones de la Ley 13/1995, de 21 de abril.

1. Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en la presente Ley.

2. Quedan expresamente derogadas la Disposición Adicional Segunda, la Disposición Transitoria y las Disposiciones Finales Primera y Segunda de la Ley 13/1995, de 21 de abril.

En el plazo de tres meses desde la entrada en vigor de la presente Ley, el Consejo de Gobierno dictará las disposiciones necesarias para el desarrollo y aplicación de la misma en lo que se refiere a la Agencia de Protección de Datos.

La normativa de seguridad a que se refiere el artículo 14 de la Ley 13/1995, de 21 de abril, será dictada en el plazo máximo de seis meses a partir de la entrada en vigor de esta Ley.

Se autoriza al Consejo de Gobierno a dictar cuantas disposiciones de aplicación y desarrollo de la presente Ley sean necesarias.

La presente Ley entrará en vigor el día de su publicación en el Boletín Oficial de la Comunidad de Madrid.

Por tanto, ordeno a todos los ciudadanos a los que sea de aplicación esta Ley que la cumplan, y a los Tribunales y Autoridades que corresponda, la guarden y hagan guardar.

La Ley 13/1995, de 21 de abril, reguladora del uso de la informática en el tratamiento de datos personales por la Comunidad de Madrid, creó, en su artículo 27, la Agencia de Protección de Datos de la Comunidad de Madrid como Ente de Derecho público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, Reguladora de la Hacienda de la Comunidad de Madrid. Dicho artículo fue objeto de modificación posterior por la Ley 13/1997, de 16 de junio.

Las funciones de la Agencia establecidas en esa Ley y desarrolladas por el Decreto 22/1998, de 12 de febrero, por el que se aprueba su Estatuto, sitúan a este Ente público como la pieza clave en la protección de los derechos de los ciudadanos en un sector en el que la sociedad civil se encuentra enormemente sensibilizada, como es la defensa de la esfera de la intimidad y de la privacidad frente al constante desarrollo de las tecnologías de la información. Por ello, la transparencia en su gestión, el respeto escrupuloso de los procedimientos administrativos de gestión con el objeto de conseguir la mayor objetividad, eficacia y eficiencia posibles en el cumplimiento de sus relevantes funciones, ponen de relieve la necesidad de extremar los mecanismos de control interno del Ente por la Administración a la que se adscribe.

Las anteriores consideraciones determinan la necesidad de establecer un régimen excepcional en relación con el control de este ente público, que se separe del régimen general de control financiero no permanente dispuesto, para los entes públicos del artículo 6 de la Ley de Hacienda, por dicha Ley y por el Decreto 45/1997, de 20 de marzo, por el que se desarrolla el régimen del control interno y contable ejercido por la Intervención General de la Comunidad de Madrid.

Las especiales características del sector de actuación pública sobre el que ejerce sus competencias la Agencia de Protección de Datos justifica la aplicación a la misma del régimen de control previsto para la Administración autonómica y sus Organismos autónomos administrativos, esto es, la función interventora, con las características definidas en el artículo 83 de la Ley de Hacienda y el alcance previsto en el Decreto 210/1995, de 27 de julio, por el que se restablece la modalidad de intervención plena en la Comunidad de Madrid.

Modificación del Párrafo cuarto del Artículo 27.6 de la Ley 13/1995, de 21 de abril.

Se modifica el párrafo cuarto del artículo 27.6 de la Ley 13/1995, de 21 de abril, de regulación del uso de la informática de la Comunidad de Madrid, en la redacción dada por la Ley 13/1997, de 16 de junio, quedando redactado en los siguientes términos:

"La Agencia estará sometida a la función interventora, que se ejercerá por la Intervención General de la Comunidad de Madrid en los términos establecidos en el artículo 83 de la Ley 9/1990, de 8 de noviembre, Reguladora de la Hacienda de la Comunidad de Madrid y desarrollados por el Título II del Decreto 45/1997, de 20 de marzo, por el que se desarrolla el régimen del control interno y contable ejercido por la Intervención General de la Comunidad de Madrid".

Quedan derogadas todas las disposiciones de igual o inferior rango en lo que contradigan o se opongan a lo previsto en la presente Ley.
Queda expresamente derogada el apartado 2 del artículo 19 del Estatuto de la Agencia de Protección de Datos aprobado mediante Decreto 22/1998, de 12 de febrero.

Primera

Habilitación al Gobierno

Se habilita al Consejo de Gobierno de la Comunidad de Madrid para dictar y, en su caso, modificar cuantas disposiciones resulten necesarias para el desarrollo y aplicación de la presente Ley.

Segunda

Entrada en vigor

La presente Ley entrará en vigor al día siguiente de su publicación en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.

Por tanto, ordeno a todos los ciudadanos a los que sea de aplicación esta Ley que la cumplan, y a los Tribunales y Autoridades que corresponda, la guarden y la hagan guardar.

Madrid, 30 de marzo de 1999.
El Presidente,
ALBERTO RUIZ-GALLARDÓN