EL PRESIDENTE DE LA COMUNIDAD DE MADRID
Hago saber que la Asamblea de Madrid ha aprobado la presente Ley, que yo, en nombre del Rey, promulgo.
PREÁMBULO
Con la Ley 13/1995, de 21 de abril, de Regulación del Uso de la Informática en el Tratamiento de Datos Personales por la Comunidad de Madrid, ésta vino a desarrollar, en el ámbito de sus competencias, la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, reforzando el ejercicio de los derechos de los ciudadanos, bien mediante la agilización de los procedimientos para hacerlos efectivos, bien mediante el establecimiento de instituciones directamente encaminadas a facilitarlos.
En relación a esto último, la Ley crea la Agencia de Protección de Datos de la Comunidad de Madrid como Entidad de Derecho Público independiente a la que se encomienda, entre otras, la función de velar por el cumplimiento de la legislación sobre protección de datos, controlar su aplicación, y atender las peticiones y reclamaciones formuladas por las personas afectadas. Es decir, se crea la Agencia como institución independiente y especializada en la protección de los derechos de los ciudadanos en el tratamiento automatizado de datos personales por la Administración de la Comunidad de Madrid.
Las modificaciones que mediante la presente Ley se tratan de introducir en la Ley 13/1995, de 21 de abril, se centran fundamentalmente en las disposiciones referentes a esa institución, aunque en esencia se mantiene la naturaleza y funciones de la misma, a fin de facilitar su puesta en marcha, precisándose su naturaleza y definiéndose con mayor detalle su régimen jurídico, estableciéndose determinadas adaptaciones a la legislación básica aprobada por el Estado con posterioridad a esa Ley, en particular la Ley de Contratos de las Administraciones Públicas. Asimismo, se han tenido en cuenta los criterios recogidos en la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
La Agencia se crea como Ente de Derecho Público, con personalidad jurídica propia y plena capacidad, si bien, se precisa que se trata de un Ente Público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid, a fin de evitar dudas acerca de la naturaleza de la misma y, por otro lado, porque se trata de la fórmula idónea para hacer efectiva la «total independencia» que la Ley le reconoce respecto de la Administración de la Comunidad de Madrid.
Asimismo se precisa con mayor intensidad su régimen jurídico, caracterizado fundamentalmente por la sujeción de la Agencia al Derecho Público en materia de personal, contratación, patrimonio y, en general, en el ejercicio de las funciones públicas que tiene encomendadas.
La sujeción al Derecho Público en materia de contratación viene derivada de la normativa básica recogida en la Ley 13/1995, de 18 de mayo, de Contratos de las Administraciones Públicas.
En materia presupuestaria se establece que la Agencia elaborará un Anteproyecto de Presupuestos que se incorporará con la debida independencia a los Presupuestos Generales de la Comunidad de Madrid, recogiéndose algunas particularidades en orden a garantizar la independencia referida. Así se precisa que el Presupuesto de la Agencia tendrá carácter limitativo por su importe global y estimativo para la distribución en categorías económicas de los créditos de los programas del mismo. Asimismo, se atribuye al Consejero de Hacienda la competencia para autorizar las variaciones en la cuantía global de su presupuesto, y al Director de la Agencia se le atribuyen competencias para efectuar las variaciones internas que no alteren la cuantía global del Presupuesto de la misma.
En relación a las funciones de la Agencia se mantienen en esencia las atribuidas por la Ley 13/1995, de 21 de abril, de acuerdo con el artículo 40 de la Ley Orgánica 5/1992, de 29 de octubre, si bien, se suprime la competencia referida al ejercicio de la «potestad reglamentaria en todo aquello que se refiera al ejercicio y desarrollo de los derechos contemplados en la presente Ley», por tratarse de una competencia que ha de corresponder al Consejo de Gobierno de la Comunidad de Madrid conforme a lo dispuesto en el artículo 21.1 del Estatuto de Autonomía.
Por otro lado, y considerando que la Agencia de Protección de Datos ve limitada su actuación a los ficheros de titularidad de la Administración de la Comunidad de Madrid y de sus organismos autónomos, entes y empresas públicas, su competencia sancionadora ha de quedar circunscrita a la propuesta de iniciación de los procedimientos disciplinarios contra quienes estime responsables de las infracciones al régimen de protección de datos.
Respecto del Registro de Ficheros de Datos de carácter personal y de la función atribuida a éste de facilitar a los ciudadanos información sobre los ficheros en que se contengan datos personales de su titularidad, se mantiene la regulación contenida en la Ley 13/1995, de 21 de abril, si bien, se suprimen las referencias a «órganos» y «unidades» recogidas en esa Ley al fin de no condicionar la futura organización y estructura de la Agencia.
En relación al Consejo de Protección de Datos, se trata de introducir a un experto en la materia en sustitución del «representante de las asociaciones legalmente constituidas que tengan entre sus finalidades principales la defensa de intereses y derechos protegidos por esta Ley», por considerarse que la representación social está debidamente cubierta a través de los representantes designados por el Consejo Económico y Social, a fin de potenciar el carácter técnico de ese órgano.
Artículo único.
Se modifican los siguientes artículos de la Ley 13/1995, de 21 de abril, de Regulación del Uso de la Informática en el Tratamiento de Datos Personales por la Comunidad de Madrid:
Uno. El apartado primero del artículo 2 queda redactado con el siguiente tenor literal:
«1. Están sujetas a las determinaciones de esta Ley cualesquiera actividades de tratamiento automatizado de datos personales, ya sea de naturaleza principal o accesoria e incluso las previas o posteriores al tratamiento automatizado propiamente dicho.
Igualmente, quedan sujetas a esta Ley cualesquiera actividades de tratamiento no automatizado de datos de carácter personal cuando los datos a los que se refiera se encuentren contenidos en un archivo estructurado según criterios específicos referidos a las personas que permita acceder fácilmente a los datos de carácter personal de que se trate.»
Dos. Se añade un apartado tercero en el artículo 20:
«3. Los responsables de ficheros y demás intervinientes en el tratamiento automatizado de datos de carácter personal estarán sujetos al régimen de infracciones previsto en el Título VII de la Ley Orgánica 5/1992, de 29 de octubre, excepto en lo que se refiere al procedimiento y al régimen de sanciones aplicable, que será el previsto en la legislación de régimen disciplinario de las Administraciones Públicas.»
Tres. El artículo 27 queda redactado con el siguiente tenor literal:
«Artículo 27. Naturaleza y régimen jurídico.
1. Se crea la Agencia de Protección de Datos de la Comunidad de Madrid como Ente de Derecho Público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid, con personalidad jurídica propia y plena capacidad de obrar.
La Agencia de Protección de Datos actúa en el ejercicio de sus funciones con plena independencia de la Administración de la Comunidad de Madrid y se relaciona con el Consejo de Gobierno a través de la Consejería de Hacienda.
2. La Agencia de Protección de Datos se regirá por lo dispuesto en la presente Ley y en su Estatuto propio que será aprobado por el Consejo de Gobierno, así como por las disposiciones de la Ley reguladora de la Hacienda de la Comunidad de Madrid que le resulten de aplicación conforme al artícu lo 6 de la misma.
En el ejercicio de sus funciones públicas, y en defecto de lo que dispongan la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
En sus relaciones patrimoniales y contratación estará sujeta al Derecho Público.
3. Los actos administrativos dictados por el Director de la Agencia de Protección de Datos agotan la vía administrativa y podrán ser objeto de recurso contencioso-administrativo.
Su representación y defensa en juicio estará a cargo de los Servicios Jurídicos de la Comunidad de Madrid conforme a lo dispuesto en sus normas reguladoras.
4. Los puestos de trabajo de los órganos y servicios que integran la Agencia de Protección de Datos serán desempeñados por personal funcionario o laboral, de acuerdo con la naturaleza de las funciones asignadas a cada puesto de trabajo.
En materia de personal, la Agencia se regirá por las disposiciones normativas que en materia de función pública resulten de aplicación al personal al servicio de la Administración de la Comunidad de Madrid.
Corresponde a la Agencia de Protección de Datos determinar el régimen de acceso a sus puestos de trabajo, así como los requisitos y características de las pruebas para acceder a los mismos de acuerdo con sus necesidades, las vacantes existentes y sus disponibilidades presupuestarias.
Corresponderá a la Agencia de Protección de Datos la elaboración, convocatoria, gestión y resolución de los sistemas de provisión de puestos de trabajo y promoción profesional ajustando sus bases a los criterios generales de provisión de puestos de trabajo establecidos en la Ley 30/1984, de 2 de agosto, y en la normativa de la Comunidad de Madrid.
5. La Agencia de Protección de Datos contará para el cumplimiento de sus fines con los siguientes bienes y recursos económicos:
a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales de la Comunidad de Madrid.
b) Los bienes y valores que constituyen su Patrimonio, así como los productos y rentas del mismo.
c) Cualesquiera otros que legalmente puedan serle atribuidos.
6. La Agencia elaborará y aprobará con carácter anual el correspondiente Anteproyecto de Presupuesto que refleje los costes necesarios para la consecución de sus objetivos, con la estructura que señale el Consejero de Hacienda, y lo remitirá a éste para su elevación al Consejo de Gobierno, y posterior remisión a la Asamblea, formando parte del Proyecto de los Presupuestos Generales de la Comunidad de Madrid y consolidándose con los de la Administración General y sus organismos autónomos.
Este Presupuesto tendrá carácter limitativo por su importe global y carácter estimativo para la distribución en categorías económicas de los créditos de los programas del mismo.
Las variaciones en la cuantía global de este presupuesto serán autorizadas por el Consejero de Hacienda. Las variaciones internas que no alteren la cuantía global del Presupuesto de la Agencia serán acordadas por el Director de la misma.
La Agencia estará sometida a control financiero, que se ejercerá por la Intervención General de la Comunidad de Madrid en los términos del artícu lo 17 de la Ley 9/1990, de 8 de noviembre, reguladora de la Hacienda de la Comunidad de Madrid.
La Agencia estará sometida al régimen de Contabilidad Pública.»
Cuatro. El artículo 28 queda redactado con el siguiente tenor literal:
«Artículo 28. Funciones de la Agencia.
Son funciones de la Agencia de Protección de Datos:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de los datos, así como en lo relativo a la cesión de datos personales entre las Administraciones Públicas.
b) Proporcionar a las personas información acerca de los derechos reconocidos en esta Ley.
c) Atender las peticiones y relaciones formuladas por las personas afectadas.
d) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de esta Ley.
e) ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros, cuando no se ajusten a las disposiciones de la presente Ley.
f) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
g) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
h) Velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, a cuyo efecto publicará anualmente una relación de los mismos.
i) Velar por el cumplimiento de las disposiciones que las leyes sobre estadística pública de la Comunidad de Madrid establezcan respecto de la recogida de datos estadísticos y del secreto estadístico, así como dictar las instrucciones precisas y dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos.
j) Redactar una memoria anual de sus actividades que será remitida al Consejo de Gobierno y a la Asamblea de Madrid.
k) Colaborar con la Agencia de Protección de Datos del Estado y con los órganos correspondientes de las Comunidades Autónomas en cuantas actividades sean necesarias para aumentar la protección de los derechos de los ciudadanos respecto a sus datos personales automatizados.
l) Proponer la iniciación de procedimientos disciplinarios contra quienes estimen responsables de las infracciones al régimen de protección de datos personales, sin perjuicio de la adopción de las medidas cautelares previstas en el apartado e) de este artículo.
m) Cuantas otras le sean atribuidas por normas legales o reglamentarias.»
Cinco. Se introducen las siguientes modificaciones al artículo 29:
«1. La letra e) del apartado segundo queda redactada con el siguiente tenor literal: "Un experto en la materia, designado por la Asamblea de Madrid".
2. El apartado cuarto queda redactado con el siguiente tenor literal: "En su sesión constitutiva el Consejo designará al Director de la Agencia por mayoría absoluta de sus miembros. La designación deberá recaer en una persona de acreditada independencia, elevado conocimiento de las materias de su competencia y probada capacidad de gestión. Una vez nombrado, y en cuanto miembro del Consejo de Protección de Datos, ejercerá la presidencia del mismo".»
Seis. El artículo 31 queda redactado con el siguiente tenor literal:
«Artículo 31. Registro de Ficheros de Datos Personales de la Comunidad de Madrid.
1. La Agencia de Protección de Datos llevará un Registro de Ficheros de Datos de carácter personal.
2. Serán objeto de inscripción en el Registro de Ficheros de Datos de carácter personal:
a) Los ficheros automatizados de datos de carácter personal sujetos a la presente Ley.
b) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación.
3. La inscripción en el Registro de Ficheros de Datos Personales tendrá lugar de oficio, una vez publicadas las disposiciones de creación de ficheros, anotándose las incidencias de cualquier naturaleza que concurran en los mismos, singularmente las que afecten al ejercicio por los ciudadanos de los derechos referidos en la letra b) del apartado anterior.»
Siete. El artículo 32 queda redactado con el siguiente tenor literal:
«Artículo 32. Sección de Interesados del Registro de Ficheros de Datos de carácter personal.
1. El Registro de Ficheros de Datos Personales llevará una Sección de Interesados con la función de facilitar a los ciudadanos información sobre los ficheros en que se contengan datos personales de su titularidad.
2. Cuando los ciudadanos expresamente lo soliciten podrán ser inscritos en la Sección de Interesados en las condiciones que se establezcan reglamentariamente. Esta inscripción dará derecho al interesado a obtener la información a la que se refiere el apartado anterior.
3. Los responsables de fichero vendrán obligados a la comunicación al Registro de Ficheros de las variaciones experimentadas en los ficheros en cuanto a los afectados inscritos, con la periodicidad que reglamentariamente se establezca.»
Ocho. El artículo 33 queda redactado con el siguiente tenor literal:
«Artículo 33. Potestad de inspección.
1. La Agencia de Protección de Datos de la Comunidad de Madrid dispondrá de los medios de investigación y del poder efectivo de intervenir frente a la explotación y creación de ficheros que no se ajusten a las disposiciones de esta Ley.
A tal efecto, tendrá acceso a los ficheros, podrá inspeccionarlos y recabar toda la información necesaria para el cumplimiento de su misión de control, podrá solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los dispositivos físicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.
2. El personal al servicio de la Agencia de Protección de Datos que ejerza la inspección a que se refiere el apartado anterior, tendrá la consideración de autoridad pública en el desempeño de sus cometidos y las actas que levanten gozarán de la presunción de veracidad en los términos establecidos en el artículo 137.3 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.»
Disposición adicional única. Adaptaciones de oficinas públicas e impresos.
Las previsiones contenidas en el artículo 5 de la Ley 13/1995, de 21 de abril, en lo que se refiere a la información a exponer en oficinas públicas y en los impresos o cuestionarios que se utilicen en la recogida de datos serán adoptadas en un plazo máximo de seis meses desde la entrada en vigor de la presente Ley.
Disposición transitoria única. Ficheros automatizados existentes a la entrada en vigor de esta Ley.
En el plazo de tres meses, desde la entrada en vigor de la presente Ley, el Consejo de Gobierno dictará un Decreto adaptando las normas reguladoras de los ficheros existentes a las determinaciones de la Ley 13/1995, de 21 de abril.
Disposición derogatoria única.
1. Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en la presente Ley.
2. Quedan expresamente derogadas la disposición adicional segunda, la disposición transitoria y las disposiciones finales primera y segunda de la Ley 13/1995, de 21 de abril.
Disposición final primera. Desarrollo del régimen de la Agencia de Protección de Datos.
En el plazo de tres meses desde la entrada en vigor de la presente Ley, el Consejo de Gobierno dictará las disposiciones necesarias para el desarrollo y aplicación de la misma en lo que se refiere a la Agencia de Protección de Datos.
Disposición final segunda. Normativa de seguridad.
La normativa de seguridad a que se refiere el artícu lo 14 de la Ley 13/1995, de 21 de abril, será dictada en el plazo máximo de seis meses desde la entrada en vigor de la presente Ley.
Disposición final tercera. Habilitación de desarrollo reglamentario.
Se autoriza al Consejo de Gobierno a dictar cuantas disposiciones de aplicación y desarrollo de la presente Ley sean necesarias.
Disposición final cuarta. Entrada en vigor.
La presente Ley entrará en vigor el día de su publicación en el «Boletín Oficial de la Comunidad de Madrid».
Por tanto, ordeno a todos los ciudadanos a los que sea de aplicación esta Ley que la cumplan, y a los Tribunales y Autoridades que corresponda, la guarden y la hagan guardar.
Madrid, 16 de junio de 1997.
ALBERTO RUIZ-GALLARDÓN,
El Presidente
(Publicada en el «Boletín Oficial de la Comunidad de Madrid» núme ro 148, de 24 de junio de 1997; corrección de errores, «Boletín Oficial de la Comunidad de Madrid» número 185, de 6 de agosto)
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid