LEY 5/2002, de 19 de abril, de la Agencia Catalana de Protección de Datos

SecciónDisposiciones Generales
Rango de LeyLey

LEY

5/2002, de 19 de abril, de la Agencia Catalana de Protección de Datos

El Presidente

de la Generalidad de Cataluña

Sea notorio a todos los ciudadanos que el Parlamento de Cataluña ha aprobado y yo, en nombre del Rey y de acuerdo con lo que establece el artículo 33.2 del Estatuto de autonomía de Cataluña, promulgo la siguiente

LEY

Preámbulo

La generalización de las tecnologías de la información, tanto en el sector público como en el sector privado, hace posible la recogida y el almacenamiento de una gran cantidad de datos con una gran eficacia y un bajo coste. Pero, además, el desarrollo progresivo de las tecnologías de la comunicación facilita en gran manera el acceso a los mismos de forma remota y casi instantánea. En consecuencia, es evidente que la potencia conseguida por las nuevas tecnologías comporta desafíos para los derechos fundamentales relativos a la intimidad de las personas que en otros tiempos eran impensables o prácticamente irrelevantes. Así, en un escenario que tiende a una socialización creciente de la información mediante la tecnología, hay que tener una clara conciencia de los riesgos que implica un mal uso de esta información y los eventuales efectos no deseados en las libertades y los derechos fundamentales de la persona. De ahí proviene la necesidad de desarrollar un marco legal adecuado para afrontar la problemática que, para el ejercicio efectivo de estos derechos, plantea el nuevo contexto social.

Estos derechos fundamentales, que en el ordenamiento jurídico del Estado están reconocidos en el artículo 18 de la Constitución española como garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen, los incorpora el Estatuto de autonomía de Cataluña en el artículo 8.1 y corresponde a la Generalidad, como poder público y en su ámbito de competencia, promover las condiciones para su ejercicio correcto.

El mandato constitucional del artículo 18.4 de limitar por ley el uso de la informática a fin de garantizar estos derechos y su ejercicio efectivo se recogió inicialmente en la disposición transitoria primera de la Ley orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, como norma aplicable en esta materia mientras no se promulgase la ley específica prevista por la Constitución. Posteriormente, la promulgación de la Ley orgánica 5/1992, de 29 de octubre, sobre tratamiento automatizado de datos de carácter personal (Lortad), ya derogada, incluyó una regulación general sobre esta materia, posteriormente sustituida por la que establece la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), que ha adaptado al ordenamiento jurídico del Estado español la Directiva 95/46/CE del Parlamento europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas por lo que respecta al tratamiento de datos personales y a su libre circulación.

La Lortad estableció el régimen jurídico de los ficheros, que diferenció atendiendo a su titularidad pública o privada, creó la Agencia de Protección de Datos como órgano administrativo independiente, al cual se encomiendan funciones de registro administrativo de los ficheros y de policía administrativa sectorial, y estableció un régimen sancionador. Finalmente, estableció que las comunidades autónomas creasen órganos equivalentes a la mencionada Agencia para tutelar sus propios ficheros.

La LOPD define de manera más genérica su ámbito material, al aplicarse a los datos de carácter personal registrados en soporte físico y no sólo a los que se integran en ficheros automatizados. Por lo que respecta a los órganos autonómicos, la LOPD reconoce también la competencia de dichos órganos respecto a los ficheros de los entes locales (artículo 41.1).

El alto grado de informatización conseguido por la Administración de la Generalidad de Cataluña y otras administraciones públicas de Cataluña hace que sea especialmente oportuna la creación de la Agencia Catalana de Protección de Datos. Por otra parte, el Plan estratégico para la sociedad de la información "Cataluña en red", presentado al Parlamento de Cataluña el 14 de abril de 1999, es una clara muestra de como la tecnología, lejos de esclavizar a los individuos, acentúa sus potencialidades para la construcción de una sociedad más solidaria, más transparente y más democrática. En consecuencia, hay que desarrollar el marco regulador de la sociedad de la información en Cataluña con plenas garantías por lo que respecta a la protección de los datos de carácter personal. Esto es, pues, lo que justifica la existencia de un ente específico que, con plena independencia y objetividad, vele por el respeto de los derechos de los ciudadanos en este ámbito.

Capítulo I Disposiciones generales Artículos 1 a 3
Artículo 1

Creación de la Agencia Catalana de Protección de Datos

Se crea la autoridad Agencia Catalana de Protección de Datos con el objeto de velar por el respeto de los derechos fundamentales y las libertades públicas de los ciudadanos en todo lo que concierne a las operaciones realizadas mediante procesos automatizados o manuales de datos personales, dentro del ámbito de actuación que la presente Ley le reconoce, y de acuerdo con las competencias y funciones que le sean encomendadas.

Artículo 2

Naturaleza jurídica

  1. La Agencia Catalana de Protección de Datos es una institución de derecho público, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines, que actúa con objetividad y plena independencia de las administraciones públicas en el ejercicio de sus funciones.

  2. La Agencia Catalana de Protección de Datos se relaciona con el Gobierno mediante el departamento que se determine por reglamento.

Artículo 3

Ámbito de actuación

  1. La Agencia Catalana de Protección de Datos ejerce su autoridad de control sobre los tratamientos de datos personales llevados a cabo por la Generalidad de Cataluña, por los entes que integran la Administración local y por las universidades en el ámbito territorial de Cataluña, por los organismos y las entidades autónomas que dependen de la Administración de la Generalidad o de los entes locales y por los consorcios de los cuales forman parte, de conformidad con lo que establecen la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y las disposiciones que la desarrollan.

  2. La Agencia Catalana de Protección de Datos también ejerce sus competencias con relación a los ficheros creados por las administraciones, los organismos y las entidades a que se refiere el apartado 1 cuando sean gestionados por entidades públicas o privadas en la prestación de servicios públicos, sean o no concesionarias de éstos, o por asociaciones o fundaciones, o por las sociedades civiles o mercantiles en las cuales la Generalidad o los entes locales tengan la participación mayoritaria del capital, cuando llevan a cabo actividades por cuenta de una administración pública

Capítulo II Artículos 4 a 8

Competencias y funciones

Artículo 4

Competencias

  1. Para el cumplimiento de las finalidades que la presente Ley le asigna y dentro de su ámbito de actuación, corresponden a la Agencia Catalana de Protección de Datos las competencias de registro, control, inspección, sanción y resolución, así como la adopción de propuestas e instrucciones.

  2. Para ejercer sus competencias, la Agencia Catalana de Protección de Datos puede suscribir convenios de colaboración con otros organismos similares de ámbito autonómico o estatal o con los órganos de las administraciones públicas que tengan encomendadas competencias en materia estadística y de tratamiento de datos personales.

Artículo 5

Funciones

  1. Corresponden a la Agencia Catalana de Protección de Datos las funciones siguientes:

    a) Velar por el cumplimiento de la legislación vigente sobre protección de datos de carácter personal y controlar su aplicación, especialmente en lo que se refiere a los derechos de información, acceso, rectificación, cancelación y oposición.

    b) Velar por el cumplimiento de las disposiciones que la Ley de estadística de Cataluña establece respecto a la recogida de datos estadísticos y al secreto estadístico, y adoptar las medidas correspondientes para garantizar las condiciones de seguridad de los ficheros constituidos con finalidades exclusivamente estadísticas, salvo lo que se refiere a las transferencias internacionales de datos. A tales efectos, la Agencia, dentro de su ámbito de competencias, puede adoptar instrucciones y resoluciones dirigidas a los órganos administrativos y puede solicitar la colaboración del Instituto de Estadística de Cataluña, cuando proceda.

    c) Dictar, si procede y sin perjuicio de las competencias de otros órganos, las instrucciones necesarias para adecuar los tratamientos de datos personales a los principios de la legislación vigente en materia de protección de datos de carácter personal.

    d) Requerir a los responsables y a los encargados del tratamiento la adopción de las medidas necesarias para la adecuación del tratamiento de datos personales objeto de investigación a la legislación vigente en materia de protección de datos de carácter personal y, en su caso, ordenar el cese de los tratamientos y la cancelación de los ficheros, excepto en lo que se refiere a las transferencias internacionales de datos.

    e) Proporcionar información sobre los derechos de las personas en materia de tratamiento de datos personales.

    f) Atender las peticiones y las reclamaciones formuladas por las personas afectadas.

    g) Obtener de los responsables de los ficheros la ayuda y la información que considere necesarias para el ejercicio de sus funciones.

    h) Ejercer la potestad de inspección en los términos establecidos por el artículo 8, excepto en lo que se refiere a las transferencias internacionales de datos.

    i) Ejercer la potestad sancionadora en los términos establecidos por el capítulo V.

    j) Informar, con carácter preceptivo, sobre los proyectos de disposiciones de carácter general de la Generalidad de Cataluña en materia de protección de datos de carácter personal.

    k) Responder a consultas que la Administración de la Generalidad, los entes locales y las universidades de Cataluña le formulen sobre la aplicación de la legislación de protección de datos de carácter personal y colaborar con estas administraciones públicas en la difusión de las obligaciones derivadas de dicha legislación.

    l) Todas las demás que le sean atribuidas de acuerdo con las leyes.

  2. La Agencia ha de colaborar con el Síndic de Greuges así como con la Agencia de Protección de Datos del Estado y las demás instituciones y organismos de defensa de los derechos de las personas.

  3. Las Administraciones, los organismos, las entidades autónomas, los consorcios y las sociedades comprendidas dentro del ámbito de aplicación de la presente Ley tienen la obligación de auxiliar, con carácter preferente y urgente, a la Agencia Catalana de Protección de Datos en sus investigaciones, si ésta se lo pide.

Artículo 6

Memoria anual

  1. La Agencia Catalana de Protección de Datos ha de elaborar una memoria anual que refleje sus actividades, así como las conclusiones de sus trabajos y de los expedientes que haya tramitado.

  2. La memoria anual se ha de presentar ante el Parlamento. La memoria también se ha de remitir al Gobierno, al Síndic de Greuges y al director o directora de la Agencia de Protección de Datos del Estado.

Artículo 7

Tutela de los derechos

  1. Cualquier persona puede conocer la existencia de los tratamientos de datos personales incluidos dentro del ámbito de aplicación de la presente Ley, así como las finalidades y la identidad de los responsables de dichos tratamientos, mediante la correspondiente consulta gratuita al Registro de Protección de Datos de Cataluña.

  2. Las personas interesadas a las cuales se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, de acceso, de rectificación o de cancelación, pueden ponerlo en conocimiento de la Agencia Catalana de Protección de Datos, que ha de resolver expresamente sobre la procedencia o improcedencia de la denegación en el plazo de tres meses.

  3. La Agencia Catalana de Protección de Datos queda obligada a garantizar el secreto de las consultas y reclamaciones de las cuales tenga conocimiento.

Artículo 8

Potestad de inspección

  1. La Agencia Catalana de Protección de Datos puede inspeccionar los ficheros de datos personales a los cuales se refiere la presente Ley, a fin de obtener todas las informaciones necesarias para el ejercicio de sus funciones. Con esta finalidad, puede solicitar la presentación o la remisión de documentos y de datos o examinarlos en el lugar donde estén depositados, así como inspeccionar los equipos físicos y lógicos utilizados, para lo cual puede acceder a los locales donde estén instalados.

  2. Los funcionarios que ejercen esta función inspectora tienen la consideración de autoridad pública en el desarrollo de su actividad y quedan obligados a mantener el secreto sobre las informaciones que conozcan en el ejercicio de las funciones inspectoras, incluso después de haber cesado en las mismas.

Capítulo III Artículos 9 a 11

Régimen jurídico, económico y de personal

Artículo 9

Régimen jurídico

  1. En el ejercicio de sus funciones, la Agencia Catalana de Protección de Datos actúa de conformidad con lo que dispone la presente Ley, las disposiciones que la desarrollan y la legislación que regula el régimen jurídico de las administraciones públicas y el procedimiento administrativo aplicable a la Generalidad.

  2. Las resoluciones del director o directora de la Agencia Catalana de Protección de Datos ponen fin a la vía administrativa y son susceptibles de recurso contencioso administrativo.

  3. El personal de la Agencia Catalana de Protección de Datos tiene el deber de secreto sobre las informaciones que conozca en el ejercicio de sus funciones, incluso después de haber dejado de ejercerlas.

Artículo 10

Régimen de personal

  1. Los puestos de trabajo de los órganos y los servicios que integran la Agencia Catalana de Protección de Datos han de ser ocupados por personal sujeto a derecho administrativo o laboral.

  2. Los puestos de trabajo que comportan el ejercicio de potestades públicas se reservan a personal funcionario.

  3. Los puestos de trabajo que comportan el ejercicio de la función de asesoramiento en derecho, representación y defensa judicial en el interior de la Agencia se reservan a funcionarios del Cuerpo de Abogados de la Generalidad de Cataluña.

Artículo 11

Régimen económico y de contratación

  1. Para el cumplimiento de sus finalidades, la Agencia Catalana de Protección de Datos cuenta con los bienes y los recursos económicos siguientes:

    a) Las asignaciones anuales de los presupuestos de la Generalidad.

    b) Los bienes y los derechos que constituyen su patrimonio, y sus productos y rentas.

    c) Cualesquiera otros que legalmente se le puedan atribuir.

  2. La Agencia ha de elaborar y aprobar anualmente su anteproyecto de presupuesto, que ha de ser remitido al Gobierno para su integración, en una sección específica, en los presupuestos de la Generalidad.

  3. La Agencia está sometida al control financiero de la Intervención General de la Generalidad y al régimen de contabilidad pública.

  4. El régimen jurídico de contratación de la Agencia es el que establece la legislación sobre contratos de las administraciones públicas.

  5. El régimen patrimonial de la Agencia es el establecido para el patrimonio de la Administración de la Generalidad.

Capítulo IV Artículos 12 a 15

Los órganos de la Agencia Catalana de Protección de Datos

Artículo 12

Los órganos de gobierno

Los órganos de gobierno de la Agencia Catalana de Protección de Datos son el director o directora y el Consejo Asesor sobre Protección de Datos de Cataluña. La estructura de la Agencia se ha de determinar por reglamento.

Artículo 13

El director o directora

  1. El director o directora de la Agencia Catalana de Protección de Datos dirige la Agencia, ejerce su representación y tiene atribuidas las funciones que por reglamento se determinen. Es nombrado por el Gobierno, a propuesta de los miembros del Consejo Asesor sobre Protección de Datos de Cataluña, por un período de cuatro años, y puede ser renovado.

  2. El director o directora de la Agencia ejerce sus funciones con plena independencia y objetividad sin sujeción a ningún mandado imperativo ni a instrucción. Sin embargo, ha de oír las propuestas que le haga el Consejo Asesor relativas al ejercicio de sus funciones y en el supuesto de que no las tenga en cuenta lo ha de motivar.

  3. El director o directora cesa por las causas siguientes:

    a) Por expiración del plazo del mandato.

    b) A petición propia.

    c) Por separación acordada por el Gobierno, previa instrucción del correspondiente expediente, a propuesta de las tres cuartas partes de los miembros del Consejo Asesor, por incumplimiento de sus obligaciones, incompatibilidad, incapacidad sobrevenida para el ejercicio de sus funciones o condena por delito doloso.

  4. El director o directora de la Agencia tiene la consideración de alto cargo, asimilado al de secretario general, y está sometido al régimen de incompatibilidades de los altos cargos de la Generalidad de Cataluña.

  5. Anualmente, el director o directora de la Agencia ha de comparecer ante la comisión pertinente para informar al Parlamento de su actuación.

Artículo 14

El Consejo Asesor de Protección de Datos de Cataluña

  1. El director o directora de la Agencia es asesorado por el Consejo Asesor de Protección de Datos de Cataluña, el cual tiene las funciones de asesoramiento, consulta, fijación de criterios y estudio, de acuerdo con lo que se determine por vía reglamentaria.

  2. El Consejo Asesor de Protección de Datos está constituido por los miembros siguientes:

    a) Tres vocales designados por el Parlamento, por una mayoría de dos tercios al inicio de cada legislatura.

    b) Tres representantes de la Administración de la Generalidad, designados por el Gobierno.

    c) Dos representantes de la Administración local de Cataluña, propuestos por las entidades asociativas de entes locales.

    d) Una persona experta en el ámbito de los derechos fundamentales, propuesta por el Consejo Interuniversitario de Cataluña.

    e) Una persona experta en informática, propuesta por el Consejo Interuniversitario de Cataluña.

    f) Un vocal en representación del Instituto de Estudios Catalanes.

    g) Un vocal en representación de los consumidores y usuarios, propuesto por las organizaciones de consumidores más representativas.

    h) El director o directora del Instituto de Estadística de Cataluña.

  3. El presidente o presidenta del Consejo es nombrado por el presidente o presidenta de la Generalidad, a propuesta del titular del departamento con el cual se relaciona la Agencia, de entre una terna presentada por el Consejo Asesor entre sus miembros. Actúa de secretario un funcionario de la Agencia Catalana de Protección de Datos.

  4. El director o directora de la Agencia asiste a las reuniones del Consejo Asesor, con voz y sin voto

  5. El Consejo Asesor se rige por las normas que se establecen por reglamento y, supletoriamente, por las disposiciones vigentes sobre funcionamiento de órganos colegiados.

Artículo 15

El Registro de Protección de Datos de Cataluña

  1. El Registro de Protección de Datos de Cataluña es un órgano integrado en la Agencia Catalana de Protección de Datos.

  2. Son objeto de inscripción en el Registro de Protección de Datos de Cataluña:

    a) Los ficheros de datos personales incluidos en el ámbito de aplicación de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que sean de titularidad de la Generalidad de Cataluña, de los entes que integran la Administración local en el ámbito territorial de Cataluña y de los demás organismos y entidades a que se refiere el artículo 3, así como las datos relativos a estos ficheros que sean necesarios para el ejercicio de los derechos de información, de acceso, de rectificación, de cancelación y de oposición.

    b) Los códigos tipo definidos por el artículo 32 de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, formulados por la Generalidad de Cataluña o por los entes que integran la Administración local en el ámbito territorial de Cataluña.

  3. Se ha de establecer por reglamento el procedimiento de inscripción en el Registro de Protección de Datos de Cataluña, su contenido, la modificación, la cancelación, las reclamaciones, los recursos y los demás aspectos pertinentes.

  4. El Registro de Protección de Datos de Cataluña ha de establecer los acuerdos de cooperación necesarios con el Registro General de Protección de Datos del Estado a efectos de integrar la información registral y de mantenerla actualizada.

Capítulo V Artículos 16 a 18

Infracciones y sanciones

Artículo 16

Responsabilidades

  1. Los responsables de los ficheros de datos personales incluidos dentro del ámbito de aplicación de la presente Ley y los encargados de los tratamientos correspondientes están sujetos al régimen sancionador que establece el Título VII de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

  2. En caso de comisión de alguna de las infracciones que establece el artículo 44 de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, el director o directora de la Agencia Catalana de Protección de Datos ha de dictar una resolución para establecer las medidas a adoptar a fin de corregir los efectos de la infracción. Esta resolución ha de notificarse al responsable y al encargado del fichero de datos personales, al órgano del cual dependan y a las personas afectadas, si las hay. Además, el director o directora de la Agencia, a iniciativa propia o a propuesta del Consejo Asesor de Protección de Datos, puede proponer, si procede, la iniciación de actuaciones disciplinarias de acuerdo con lo que establece la legislación vigente sobre régimen disciplinario de las administraciones públicas.

  3. Los responsables y los encargados de los ficheros de datos personales han de comunicar a la Agencia las resoluciones adoptadas consiguientes a las medidas y las actuaciones a que se refiere el apartado 2.

  4. El director o directora de la Agencia ha de comunicar al Síndic de Greuges las actuaciones que haga y las resoluciones que dicte al amparo de lo que disponen los apartados anteriores.

Artículo 17

Procedimiento sancionador

  1. El procedimiento para la determinación de las infracciones y la imposición de sanciones es el establecido por el Decreto 278/1993, de 9 de noviembre, sobre procedimiento sancionador de aplicación a los ámbitos de competencia de la Generalidad.

  2. Las resoluciones del director o directora de la Agencia Catalana de Protección de Datos en materia sancionadora agotan la vía administrativa.

Artículo 18

Potestad de inmovilización

En los supuestos, constitutivos de infracción muy grave, de utilización o de comunicación ilícita de datos personales con que se atente gravemente contra los derechos fundamentales y las libertades públicas de los ciudadanos o se impida su ejercicio, el director o directora de la Agencia Catalana de Protección de Datos puede, además de ejercer la potestad sancionadora, exigir a los responsables de los ficheros de datos personales el cese de la utilización o la comunicación ilícita de datos personales. Si este requerimiento no es atendido también puede, mediante una resolución motivada, inmovilizar los ficheros de datos personales, con la única finalidad de restaurar los derechos de las personas afectadas.

Disposiciones adicionales

Primera

Ficheros automatizados de datos personales

En el plazo de tres meses a partir de la constitución del Consejo Asesor de Protección de Datos de Cataluña, ha de formalizarse la inscripción en el Registro de Protección de Datos de Cataluña de los ficheros automatizados de datos personales de titularidad de la Generalidad de Cataluña y de titularidad de los entes que integran la Administración local dentro del ámbito territorial de Cataluña que existían antes de la promulgación de la presente Ley.

Segunda

Ficheros y tratamientos de datos personales no automatizados

Los ficheros y los tratamientos de datos personales no automatizados de titularidad de la Generalidad de Cataluña y de los entes que integran la Administración local dentro del ámbito territorial de Cataluña han de formalizar su inscripción en el Registro de Protección de Datos de Cataluña en el plazo de dos años a contar desde la entrada en vigor de la presente Ley, sin perjuicio de que las personas interesadas puedan ejercer los derechos de acceso, rectificación y cancelación.

Tercera

Creación, modificación y supresión de ficheros

Los consejeros de la Generalidad, dentro del ámbito de sus competencias respectivas, quedan habilitados para la creación, la modificación y la supresión, mediante orden, de los ficheros que sean pertinentes.

Cuarta

Competencias del Síndic de Greuges

El ejercicio de las funciones de la Agencia Catalana de Protección de Datos se entiende que es sin perjuicio de las competencias del Síndic de Greuges.

Quinta

Ficheros inscritos en el Registro del Estado

En el plazo de tres meses a partir de la constitución del Consejo Asesor, la Agencia Catalana de Protección de Datos ha de solicitar a la Agencia de Protección de Datos del Estado toda la información respecto a los ficheros inscritos en el su Registro General que sean de titularidad de las entidades que integran la Administración local de Cataluña.

Disposiciones finales

Primera

Estatuto de la Agencia

En el plazo de tres meses a contar desde la entrada en vigor de la presente Ley, el Gobierno ha de dictar las disposiciones necesarias para la aprobación de un estatuto de la Agencia Catalana de Protección de Datos.

Segunda

Constitución del Consejo Asesor de Protección de Datos

El Consejo Asesor de Protección de Datos ha de constituirse en el plazo de cuatro meses, a contar desde la entrada en vigor de la presente Ley.

Tercera

Entrada en vigor

La presente Ley entra en vigor al día siguiente de su publicación en el Diari Oficial de la Generalitat de Catalunya

Por tanto, ordeno que todos los ciudadanos a los que sea de aplicación esta Ley cooperen en su cumplimiento y que los tribunales y autoridades a los que corresponda la hagan cumplir.

Palacio de la Generalidad, 19 de abril de 2002

Jordi Pujol

Presidente de la Generalidad de Cataluña

Núria de Gispert i Català

Consejera de Gobernación y

Relaciones Institucionales

(02.107.065)

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR