Departamento de Gobernanza, Administración Digital y Autogobierno

Normativa

Imprimir

DECRETO 308/2005, de 18 de octubre, por el que se desarrolla la Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos.

Identificación

  • Ámbito territorial: Autonómico
  • Rango normativo: Decreto
  • Órgano emisor: Vicepresidencia del Gobierno
  • Estado vigencia: Vigente

Boletín oficial

  • Boletín oficial: BOPV (País Vasco)
  • Nº boletín: 218
  • Nº orden: 5667
  • Nº disposición: 308
  • Fecha de disposición: 18/10/2005
  • Fecha de publicación: 16/11/2005

Ámbito temático

  • Materia: Organización administrativa; Actividades Económicas
  • Submateria: Gobierno y Administración Pública; Información y comunicaciones

Texto legal

Por Ley 2/2004, de 25 de febrero, se regulan aspectos relacionados con los ficheros de datos de carácter personal creados o gestionados por los Entes públicos de la Comunidad Autónoma del País Vasco y se crea la Agencia Vasca de Protección de Datos. Es preciso completar la regulación legal para una protección más eficaz de la intimidad personal y familiar de los ciudadanos, más concretamente, lo que la doctrina ha venido en denominar el derecho a la autodeterminación informativa; aunque, en este caso, la protección sólo se hace operativa en relación con ficheros vinculados, por su creación o por su gestión, a los Entes públicos de la Comunidad Autónoma del País Vasco. La misma Ley 2/2004, en su disposición final, autoriza al Gobierno Vasco para su desarrollo y aplicación. Pero, además de esta habilitación de carácter general, la Ley 2/2004 contiene diversas llamadas al reglamento, de entre las que debemos destacar la relativa a la regulación del procedimiento para el ejercicio de los derechos de oposición, acceso, rectificación, cancelación y cualesquiera otros que les reconozca la ley. Bien es cierto que el legislador ha querido que cada Ente público de la Comunidad Autónoma del País Vasco regule este procedimiento en relación con los ficheros de su titularidad (es decir, de los creados o gestionados por el mismo), por lo que este Decreto se limita a establecer reglas procedimentales para el ejercicio de tales derechos respecto de los ficheros creados o gestionados por la propia Administración autonómica. La Ley 2/2004 también remite al reglamento la regulación de las reclamaciones que los ciudadanos, a quienes se deniegue los derechos a que se refiere dicha Ley, pueden interponer ante la Agencia Vasca de Protección de Datos.

No aborda este Decreto los aspectos orgánicos de la Agencia Vasca de Protección de Datos, que son materia propia del Estatuto de este Ente, de acuerdo con el artículo 14 de la Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos.

El Decreto consta de 19 artículos y una disposición final que habilita a la Vicepresidenta para el desarrollo del Decreto, previo informe del Consejo Consultivo de la Agencia Vasca de Protección de Datos. Aquéllos están distribuidos en cuatro capítulos.

El Capítulo I, de disposiciones generales, concreta el ámbito de aplicación del Decreto y regula aspectos relacionados con la notificación de los ficheros a la Agencia Vasca de Protección de Datos y los códigos tipo.

El Capítulo II se refiere al ejercicio de los derechos en que se concreta la autodeterminación informativa, en la fase inicial; es decir, ante el responsable del fichero. Es de destacar que el ámbito de aplicación de este Capítulo se limita a los ficheros creados o gestionados por la Administración de la Comunidad Autónoma del País Vasco y Entes públicos vinculados o dependientes de la misma.

En el Capítulo III se regula el bloqueo de datos y la tutela de los derechos que integran el de autodeterminación informativa, en la fase de reclamación ante la Agencia Vasca de Protección de Datos, una vez que el ciudadano afectado ha visto desestimada su pretensión ante el responsable del fichero. Se regulan, asimismo, las diversas posibilidades de actuación inmediata de la Agencia Vasca de Protección de Datos, ante los responsables de los ficheros que incumplen los preceptos legales o reglamentarios, para proteger los derechos de los ciudadanos.

El Capítulo IV contiene preceptos relativos al procedimiento sancionador que ha de seguir la Agencia Vasca de Protección de Datos en relación con los ficheros que entran en su ámbito de aplicación. Es necesario completar la regulación contenida en la Ley 2/2004, de acuerdo con la que se establece en la Ley 2/1998, de 20 de febrero, de la potestad sancionadora de las Administraciones Públicas de la Comunidad Autónoma del País Vasco. En este sentido, conviene recordar que la misma disposición adicional segunda del Real Decreto 1332/1994, de 20 de junio, de desarrollo de determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (vigente, al amparo de la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal), atribuye a las Comunidades Autónomas, respecto de sus propios ficheros, la regulación del procedimiento sancionador, así como la del ejercicio y tutela de los derechos del afectado.

En su virtud, a propuesta de la Vicepresidenta del Gobierno, de conformidad con la Comisión Jurídica Asesora de Euskadi, y previa deliberación y aprobación del Consejo de Gobierno en su reunión celebrada el día 18 de octubre de 2005,

  1. – El presente Decreto, salvo lo dispuesto en su Capítulo II que tendrá el ámbito de aplicación previsto en el mismo, será de aplicación a los siguientes ficheros:

    1. Los creados por las Administraciones Públicas, Instituciones, Entidades y Corporaciones a las que se refiere el artículo 2.1 de la Ley 2/2004 (a las que, en adelante, se denominará Entes públicos de la Comunidad Autónoma del País Vasco) para el ejercicio de potestades de derecho público, que sean gestionados por las mismas o por personas, físicas o jurídicas, privadas.

    2. Los creados por otras personas, físicas o jurídicas, públicas o privadas, en tanto sean gestionados por los Entes públicos de la Comunidad Autónoma del País Vasco para el ejercicio de potestades de derecho público.

  2. – Lo dispuesto en este Decreto no será de aplicación a los ficheros a que se refiere el artículo 2.2 de la Ley 2/2004.

  3. – Los ficheros de datos personales que sirvan para fines exclusivamente estadísticos, amparados por la legislación sobre función pública estadística, se regirán por sus disposiciones específicas, sin perjuicio de la aplicación de lo especialmente dispuesto para los mismos en este Decreto.

  4. – Los ficheros de datos relativos a la salud de las personas, de la titularidad de instituciones y centros sanitarios de carácter público y de los profesionales a su servicio, se regirán por lo dispuesto en la legislación sectorial sobre sanidad, sin perjuicio de la aplicación de lo dispuesto en este Decreto en todo lo que no sea incompatible con dicha legislación.

  5. – La aplicación de lo dispuesto en este Decreto a los ficheros de datos de carácter personal, distintos de los citados en el artículo 2.2 de la Ley 2/2004, creados o gestionados por los Cuerpos de Policía del País Vasco, se efectuará sin perjuicio de las especialidades de su régimen jurídico previstas en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en la Ley 4/1992, de 17 de julio, de Policía del País Vasco, y en las disposiciones que las desarrollen.

  1. – Los Entes públicos de la Comunidad Autónoma del País Vasco notificarán a la Agencia Vasca de Protección de Datos toda creación, modificación o supresión de ficheros de datos de carácter personal, para su inscripción en el Registro de Protección de Datos, mediante el traslado, a través del modelo normalizado que al efecto elabore la Agencia Vasca de Protección de Datos, de una copia de la disposición o acuerdo de creación, modificación o supresión.

  2. – Los Entes públicos de la Comunidad Autónoma del País Vasco notificarán a la Agencia Vasca de Protección de Datos, utilizando el modelo que al efecto elabore ésta, los ficheros a que se refiere el artículo 1.1.b de este Decreto que gestionen para el ejercicio de potestades de derecho público.

  1. – Los códigos tipo se depositarán, para su inscripción, en el Registro de Protección de Datos, de acuerdo con lo dispuesto en el Estatuto de la Agencia Vasca de Protección de Datos.

  2. – Cualquier persona podrá obtener copias de los códigos tipo depositados e inscritos en el Registro de Protección de Datos.

  3. – En caso de incumplimiento de las normas contenidas en los códigos tipo se estará a lo dispuesto al efecto en los acuerdos o disposiciones que los formulen.

  1. – El derecho de oposición y el de acceso a los ficheros de datos de carácter personal creados o gestionados por la Administración de la Comunidad Autónoma del País Vasco y por los Entes públicos, de cualquier tipo, dependientes o vinculados a la misma, así como los derechos de rectificación y cancelación de datos, son personalísimos y serán ejercidos por el afectado frente al responsable del fichero, sin más limitaciones que las expresamente previstas en la Ley Orgánica 15/1999 y demás disposiciones en vigor. No obstante, podrá actuar el representante legal del afectado, cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los derechos.

  2. – Para el ejercicio de los derechos a que se refiere este artículo, por medio de representante voluntario, deberá acreditarse la representación, para cada actuación concreta, por cualquier medio válido en derecho que deje constancia fidedigna o mediante declaración en comparecencia personal del interesado ante el responsable del fichero.

  1. – Cuando el tratamiento de datos de carácter personal requiere el consentimiento inequívoco del afectado, el derecho de oposición se ejerce tanto mediante la no manifestación de dicho consentimiento como mediante la manifestación de la negativa a concederlo.

  2. – En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de datos de carácter personal, y siempre que la ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal, mediante escrito dirigido al responsable del fichero. En tal supuesto, éste excluirá del tratamiento o tratamientos a que se refiera la petición, los datos relativos al afectado y le notificará a éste, en un plazo no superior a diez días, los términos en los que se ha efectuado la exclusión.

  1. – El derecho de acceso, a los ficheros de la Administración de la Comunidad Autónoma del País Vasco y Entes públicos dependientes o vinculados a la misma, se ejercerá mediante solicitud dirigida al responsable del fichero. Podrá formularse por cualquier medio que garantice la identificación del afectado y la constancia del fichero o ficheros a consultar.

  2. – El afectado podrá optar por uno o varios de los siguientes sistemas de consulta del fichero, siempre que la configuración e implantación material del fichero lo permita:

    1. Visualización en pantalla.

    2. Escrito, copia o fotocopia remitida por correo.

    3. Telecopia.

    4. Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del fichero.

  3. – El responsable del fichero resolverá sobre la petición de acceso en el plazo de un mes, a contar desde el día de la recepción de la solicitud. Transcurrido dicho plazo sin resolución expresa, el interesado podrá interponer la reclamación prevista en el artículo 9 de la Ley 2/2004.

  4. – Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de los diez días siguientes al de la notificación de aquélla.

  1. – La información, cualquiera que sea el soporte en que fuera facilitada, se dará de forma legible o inteligible sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

  2. – La información podrá comprender, de acuerdo con los términos de la petición, los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

Sólo podrá denegarse el acceso cuando la solicitud sea formulada por persona distinta de la afectada o de su representante en los términos del artículo 4 de este Decreto, o se dé alguno de los supuestos de denegación previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

  1. – Cuando el interesado considere que sus datos son inexactos o incompletos, inadecuados o excesivos podrá solicitar del responsable del fichero la rectificación o, en su caso, cancelación de los mismos. No obstante, cuando se trate de datos que reflejen hechos constatados en un procedimiento administrativo, aquéllos se considerarán exactos siempre que coincidan con éste.

  2. – La rectificación o cancelación se hará efectiva, por el responsable del fichero, dentro de los diez días siguientes al de la recepción de la solicitud. Si los datos hubieran sido comunicados a un tercero, el responsable del fichero le notificará, en el mismo plazo, la rectificación o cancelación efectuada, para que, en el caso de que aquél mantenga el tratamiento por cuenta de éste, proceda también a la misma rectificación o cancelación.

  3. – En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente, dentro del plazo señalado en el número anterior, a fin de que éste pueda hacer uso de la reclamación prevista en el artículo 9 de la Ley 2/2004 ante la Agencia Vasca de Protección de Datos.

  4. – Transcurrido el plazo de diez días sin que se haya notificado expresamente la resolución, el interesado podrá formular la reclamación que corresponda ante la Agencia Vasca de Protección de Datos.

  1. – La cancelación de los datos dará lugar al bloqueo de los mismos, con el fin de impedir su ulterior proceso o utilización, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.

  2. – Cumplido el citado plazo se procederá a la supresión de los datos. No obstante, cuando los datos a cancelar hayan sido recogidos o registrados por medios fraudulentos, desleales o ilícitos, la cancelación de los mismos comportará siempre la destrucción del soporte en el que aquéllos figuren.

  3. – Contra la resolución por la que el responsable del fichero acuerda el bloqueo de los datos podrá interponerse, ante el Director de la Agencia Vasca de Protección de Datos, la reclamación prevista en el artículo 9 de la Ley 2/2004.

  4. – A los efectos de lo dispuesto en este artículo, se entiende por bloqueo de datos la identificación y reserva de datos con el fin de impedir su tratamiento.

  1. – Las reclamaciones ante la Agencia Vasca de Protección de Datos, a que se refiere el artículo 9 de la Ley 2/2004, se sustanciarán en la forma prevista en este artículo.

  2. – El procedimiento se iniciará a instancia del afectado o afectados, que deberá expresar, con claridad y por escrito, el contenido de la reclamación y los preceptos legales o reglamentarios que consideran vulnerados.

  3. – Recibida la reclamación en la Agencia Vasca de Protección de Datos, se dará traslado de la misma al responsable del fichero, para que, en el plazo de 15 días, formule las alegaciones que estime pertinentes.

  4. – Recibidas las alegaciones o transcurrido el plazo para formularlas, el Director de la Agencia Vasca de Protección de Datos, previos los informes, pruebas y otros actos de instrucción pertinentes, incluida la audiencia del responsable del fichero y de los afectados, en los supuestos en que proceda, de acuerdo con el artículo 84 de la Ley 30/1992, resolverá sobre la reclamación formulada, dando traslado de la resolución a los interesados.

  5. – Transcurridos seis meses, desde la presentación del escrito de reclamación, sin que se haya notificado resolución expresa, se entenderá que aquélla ha sido desestimada.

  6. – Contra la resolución del Director de la Agencia Vasca de Protección de Datos o la desestimación por silencio administrativo de la tutela solicitada podrá interponerse recurso contencioso-administrativo, de acuerdo con la Ley reguladora de esta Jurisdicción. No obstante, podrá interponerse con carácter previo y potestativo recurso de reposición.

  1. – Cuando el Director de la Agencia Vasca de Protección de Datos constate que el mantenimiento o uso de un determinado fichero creado o gestionado por un Ente público de la Comunidad Autónoma del País Vasco contraviene un precepto legal o reglamentario podrá requerir al responsable del fichero que adopte las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento. Dentro de este plazo, si fuera igual o superior a cinco días, y en este último plazo si fuera inferior a él, el responsable del fichero podrá presentar las alegaciones que estime convenientes, vistas las cuales, en su caso, el Director de la Agencia Vasca de Protección de Datos adoptará la resolución que proceda, en un plazo no superior a otros cinco días.

  2. – El requerimiento contendrá las medidas cautelares necesarias para garantizar los derechos de los ciudadanos afectados, así como también contendrá el acuerdo de inicio del procedimiento sancionador que corresponda. En este caso, el responsable del fichero podrá presentar alegaciones en el plazo de cinco días posteriores a la adopción de la medida cautelar.

  3. – Si el responsable del fichero requerido incumpliera el requerimiento formulado o, en su caso, la resolución posterior al trámite de alegaciones, el Director de la Agencia Vasca de Protección de Datos podrá recurrir, la resolución o la actitud omisiva del responsable del fichero, ante la Jurisdicción Contencioso-Administrativa, de acuerdo con la Ley reguladora de esta Jurisdicción.

  4. – Si el requerimiento se produce en el marco de un procedimiento sancionador y es para que cese una utilización o cesión ilícita de datos de carácter personal, constitutiva de infracción muy grave, en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las Leyes garantizan, el Director de la Agencia Vasca de Protección de Datos podrá adoptar las medidas cautelares a que se refiere este artículo. Además, si el requerimiento no fuera atendido en el plazo que se establezca, nunca superior a dos días, el Director de la Agencia Vasca de Protección de Datos podrá, mediante resolución motivada, inmovilizar los ficheros a los solos efectos de restaurar los derechos de las personas afectadas.

  1. – Excepcionalmente, si para evitar la continuidad o la repetición de hechos de igual o similar significación que otros ya sancionados como muy graves; para evitar el mantenimiento de los daños que aquéllos hayan ocasionado, o para mitigar dichos daños, se requiere la asunción inmediata de medidas cautelares, éstas podrán ser impuestas, sin audiencia de los interesados, por funcionarios que en el ejercicio de las funciones de inspección atribuidas a la Agencia Vasca de Protección de Datos constaten los hechos eventualmente ilícitos. Dichas medidas cautelares, así como la causa y finalidad concreta de las mismas, deberán expresarse en el acta de inspección.

  2. – Cuando se adopten las medidas cautelares a que se refiere el número anterior, el inspector actuante las pondrá inmediatamente en conocimiento del Director de la Agencia Vasca de Protección de Datos, el cual procederá a la incoación del correspondiente procedimiento sancionador. En el acto de iniciación se determinará, motivadamente, la revocación, mantenimiento o modificación de las citadas medidas cautelares, y se dará un plazo de cinco días, al responsable del fichero, para que formule las alegaciones que estime conveniente.

  3. – Las medidas cautelares a que se refiere este artículo se extinguirán una vez transcurridos cuatro días desde su adopción sin que se haya iniciado el correspondiente procedimiento sancionador.

  1. – El procedimiento sancionador se iniciará de oficio por acuerdo del Director de la Agencia Vasca de Protección de Datos, bien por propia iniciativa, por petición razonada de una Administración Pública u otro Ente público o por denuncia.

  2. – El acuerdo de iniciación contendrá, al menos: a) la identificación de la persona o personas presuntamente responsables; b) la descripción de los hechos que motivan la incoación del procedimiento, su posible calificación jurídica y las sanciones que pudieran corresponder; c) la designación del instructor del procedimiento, con expresa indicación del régimen de recusación; y d) la indicación de que el órgano competente para la resolución del procedimiento es el Director, con mención del precepto del Estatuto de la Agencia Vasca de Protección de Datos que le atribuye la competencia.

  3. – El instructor será un funcionario Letrado de la Agencia Vasca de Protección de Datos, designado siguiendo un sistema objetivo de turno en el supuesto de que hubiera más de uno. No estará sujeto a dependencia funcional alguna en el cumplimiento de su labor instructora.

  1. – El acuerdo de iniciación del expediente sancionador se comunicará al instructor y se notificará al presunto responsable y demás interesados, dándoles un plazo de quince días para aportar cuantas alegaciones, documentos o informaciones estimen convenientes, para solicitar la apertura de un período probatorio y proponer los medios de prueba que consideren adecuados.

  2. – Se abrirá un período probatorio en los siguientes supuestos:

    1. Cuando, en el trámite de alegaciones, lo solicite cualquiera de los interesados, con proposición de medios de prueba concretos, siempre que alguno de éstos sea considerado pertinente por el instructor. Éste deberá motivar, en su caso, la desestimación de la solicitud de apertura del período probatorio y el rechazo de pruebas concretas; actos que serán recurribles de acuerdo con el artículo 41 de la Ley 2/1998, de 20 de febrero, de la potestad sancionadora de las Administraciones Públicas de la Comunidad Autónoma del País Vasco.

    2. Cuando, en ausencia de solicitud de parte interesada, el instructor lo considere necesario para el esclarecimiento de los hechos y determinación de los responsables. En este caso, dará un plazo de cinco días a los interesados para que propongan los medios de prueba que estimen oportunos.

  3. – El período probatorio durará treinta días hábiles, sin perjuicio de la posibilidad de reducir o prorrogar dicho plazo en los supuestos legalmente previstos.

  4. – La práctica de las pruebas se realizará de acuerdo con lo establecido en la Ley 30/1992.

  1. – Concluido, en su caso, el período probatorio, el instructor formulará la propuesta de resolución, de acuerdo con el artículo 38 de la Ley 2/1998, de 20 de febrero, de la potestad sancionadora de las Administraciones Públicas de la Comunidad Autónoma del País Vasco.

  2. – La propuesta de resolución se notificará a los interesados, indicándoles que disponen de un plazo de quince días para formular alegaciones y que, en dicho plazo, se les pondrá de manifiesto el expediente, a fin de que puedan consultarlo y obtener copias de los documentos que obren en el mismo.

  3. – Concluido el trámite de audiencia, el instructor cursará inmediatamente la propuesta de resolución al Director de la Agencia Vasca de Protección de Datos, junto con los documentos, alegaciones e informaciones que obren en el expediente.

Antes de dictar resolución, el Director de la Agencia Vasca de Protección de Datos podrá decidir, mediante acuerdo motivado, la realización de las actuaciones complementarias que considere necesarias para la resolución del procedimiento, de acuerdo con el artículo 42 de la Ley 2/1998.

Cuando, en cualquier fase del procedimiento sancionador, el Director de la Agencia Vasca de Protección de Datos considere que los hechos son constitutivos de una infracción cuya sanción no le compete, lo comunicará al órgano que considere competente, trasladándole todo lo actuado.

  1. – El Director de la Agencia Vasca de Protección de Datos dictará resolución motivada, que decidirá sobre todas las cuestiones planteadas por los interesados y aquellas otras derivadas del procedimiento, de acuerdo con el artículo 43 de la Ley 2/1998 y artículo 24 de la Ley 2/2004. Asimismo, contendrá la declaración pertinente en orden a las medidas provisionales o cautelares adoptadas durante la tramitación del procedimiento.

  2. – Si no hubiera sido notificada la resolución en el plazo de seis meses desde la iniciación del procedimiento, se producirá la caducidad de éste, en los términos y con las consecuencias que establece la Ley 30/1992. No obstante, el referido plazo quedará interrumpido mientras el procedimiento se encuentre paralizado por causas imputables a los interesados, así como en el resto de los supuestos previstos en la Ley 2/1998.

Se faculta a la Vicepresidenta del Gobierno Vasco para, previo informe del Consejo Consultivo de la Agencia Vasca de Protección de Datos, desarrollar lo dispuesto en este Decreto.

Dado en Vitoria-Gasteiz, a 18 de octubre de 2005.

El Lehendakari,

JUAN JOSÉ IBARRETXE MARKUARTU.

La Vicepresidenta del Gobierno,

IDOIA ZENARRUTZABEITIA BELDARRAIN.