Archivo del autor: Oscar Gamarra Rodirguez

Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en esta Ley Orgánica.

La duración del mandato del primer nombramiento de la persona titular de la Dirección de Supervisión y Control de Protección de datos del Consejo General del Poder Judicial será de tres años no renovable.

Las referencias contenidas en normas vigentes en relación a las disposiciones que se derogan expresamente, deberán entenderse efectuadas a los artículos de esta Ley Orgánica que regulan la misma materia que aquellas.

1. Las autoridades competentes podrán solicitar al Instituto Nacional de Estadística y a los órganos estadísticos de ámbito autonómico, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del documento de identidad, nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en el padrón municipal de habitantes y en el censo electoral correspondiente a los territorios donde ejerzan sus competencias. Esta solicitud deberá estar motivada en base a cualquiera de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

2. Los datos obtenidos tendrán como único propósito el cumplimiento de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como de protección y de prevención frente a las amenazas contra la seguridad pública y la comunicación de estas autoridades con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas.

Los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial que impliquen la transferencia de datos personales a Estados que no sean miembros de la Unión Europea u organizaciones internacionales y que hubieran sido celebrados por España antes del 6 de mayo de 2016, cumpliendo lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean objeto de modificación, enmienda o terminación.

El intercambio de datos personales por parte de las autoridades competentes españolas en el interior de la Unión Europea, cuando el Derecho de la Unión Europea o la legislación española exijan dicho intercambio, no estará limitado ni prohibido por motivos relacionados con la protección de las personas físicas respecto al tratamiento de sus datos personales.

1. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, para los fines previstos en al artículo 1, se regirá por esta Ley Orgánica, sin perjuicio de los requisitos establecidos en regímenes legales especiales que regulan otros ámbitos concretos como el procesal penal, la regulación del tráfico o la protección de instalaciones propias.

2. Fuera de estos supuestos, dichos tratamientos se regirán por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y por la Ley Orgánica 3/2018, de 5 de diciembre.

1. No podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente cuando se aprecie identidad de sujeto, de hecho y de fundamento.

2. En los supuestos en que las conductas pudieran ser constitutivas de delito, el órgano administrativo pasará el tanto de culpa a la autoridad judicial o al Ministerio Fiscal y se abstendrá de seguir el procedimiento sancionador mientras la autoridad judicial no dicte sentencia firme o resolución que de otro modo ponga fin al procedimiento penal, o el Ministerio Fiscal no acuerde la improcedencia de iniciar o proseguir las actuaciones en vía penal, quedando hasta entonces interrumpido el plazo de prescripción.

La autoridad judicial y el Ministerio Fiscal comunicarán al órgano administrativo la resolución o acuerdo que hubieran adoptado.

3. De no haberse estimado la existencia de ilícito penal, o en el caso de haberse dictado resolución de otro tipo que ponga fin al procedimiento penal, podrá iniciarse o proseguir el procedimiento sancionador. En todo caso, el órgano administrativo quedará vinculado por los hechos declarados probados en vía judicial.

4. Las medidas cautelares adoptadas antes de la intervención judicial podrán mantenerse mientras la autoridad judicial no resuelva otra cosa.

1. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de este.

2. La resolución que declare la caducidad se notificará al interesado y pondrá fin al procedimiento, sin perjuicio de que la administración pueda acordar la incoación de un nuevo procedimiento en tanto no haya prescrito la infracción. Los procedimientos caducados no interrumpirán el plazo de prescripción.

Son infracciones graves:

a) El tratamiento de los datos de carácter personal cuando se incumplan los principios del artículo 6 o las condiciones de licitud del tratamiento del artículo 11, siempre que no constituya una infracción muy grave.

b) El tratamiento de datos personales de las categorías especiales sin que concurra alguna de las circunstancias previstas en el artículo 13 o sin garantizar las medidas de seguridad adecuadas, siempre que no constituya una infracción muy grave.

c) La adopción de decisiones individuales automatizadas sin las garantías señaladas en el artículo 14, siempre que no constituya una infracción muy grave.

d) La falta de designación de un delegado de protección de datos en los términos previstos en el artículo 40 o no posibilitar la efectiva participación del mismo en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

e) El incumplimiento de la puesta a disposición al interesado de la información prevista en el artículo 21 o del deber de comunicación al mismo, o a la autoridad de protección de datos competente, de una violación de la seguridad de los datos, que entrañe un grave perjuicio para los derechos y libertades del interesado.

f) La ausencia de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos, incluidas las medidas oportunas desde el diseño y por defecto, así como para integrar las garantías necesarias en el tratamiento.

g) El impedimento, la falta de atención o la obstaculización de los derechos del interesado de acceso, rectificación, supresión de sus datos o limitación del tratamiento, siempre que no constituya infracción muy grave.

h) El incumplimiento de la obligación de llevanza de los registros de actividades de tratamiento o del registro de operaciones de tratamiento, si se causan perjuicios de carácter grave a los interesados.

i) El incumplimiento de las estipulaciones recogidas en el contrato u acto jurídico que vincula al responsable y al encargado del tratamiento, salvo en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento, así como el incumplimiento de las obligaciones impuestas en el artículo 30.

j) La falta de colaboración diligente con las autoridades competentes en el cumplimiento de las obligaciones establecidas en el artículo 7, cuando no constituya una infracción muy grave.

k) La falta de cooperación, la actuación negligente o el impedimento de la función inspectora de las autoridades de protección de datos competentes, cuando no constituya infracción muy grave.

l) El incumplimiento de la evaluación de impacto en la protección de los datos de carácter personal, si se derivan perjuicios o riesgos de carácter grave para los interesados.

m) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos competente, en los casos en que dicha consulta resulte preceptiva conforme al artículo 36.

1. Los hechos susceptibles de ser calificados con arreglo a dos o más preceptos de esta u otra Ley, siempre que no constituyan infracciones al Reglamento General de Protección de Datos, ni a la Ley Orgánica 3/2018, de 5 de diciembre, se sancionarán observando las siguientes reglas:

a) El precepto especial se aplicará con preferencia al general.

b) El precepto más amplio o complejo absorberá el que sancione las infracciones subsumidas en aquel.

c) En defecto de los criterios anteriores, se aplicará el precepto que sancione los hechos con la sanción mayor.

2. En el caso de que un solo hecho constituya dos o más infracciones, o cuando una de ellas sea medio necesario para cometer la otra, la conducta será sancionada por aquella infracción que conlleve una mayor sanción.

1. La responsabilidad por las infracciones cometidas recaerá directamente en los sujetos obligados que, por acción u omisión, realizaran la conducta en que consista la infracción.

2. Están sujetos al régimen sancionador:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.

c) Los representantes de los encargados no establecidos en el territorio de la Unión Europea.

d) El resto de las personas físicas o jurídicas obligadas por el contenido del deber de colaboración establecido en el artículo 7.

3. No será de aplicación el régimen sancionador establecido en este capítulo al delegado de protección de datos.

1. Sin perjuicio de cualquier otro recurso administrativo o reclamación, toda persona física o jurídica tendrá derecho a recurrir ante la jurisdicción contencioso-administrativa, de acuerdo con su legislación reguladora, contra los actos y resoluciones dictadas por la autoridad de protección de datos competente.

2. El interesado podrá conferir su representación a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que ejerza los derechos contemplados en el apartado anterior.

Las autoridades de protección de datos tendrán atribuidas, en el ámbito de esta Ley Orgánica, las siguientes potestades:

a) De investigación, incluyendo el acceso a todos los datos que estén siendo tratados por el responsable o el encargado del tratamiento, en los términos previstos por la legislación vigente.

b) De advertencia y control de lo exigido en esta Ley Orgánica, incluida la sanción de las infracciones cometidas, la elaboración de recomendaciones, órdenes de rectificación, supresión o limitación del tratamiento de datos personales o de limitación temporal o definitiva del tratamiento, incluida su prohibición, así como la orden a los responsables del tratamiento de comunicar las vulneraciones de seguridad de los datos a los interesados.

c) De asesoramiento, que comprende la consulta previa prevista en el artículo 36 y la emisión, por propia iniciativa o previa solicitud, de dictámenes destinados a las Cortes Generales o al Gobierno, a otras instituciones u organismos, así como al público en general, acerca de todo asunto relacionado con la protección de datos personales sujeto a esta Ley Orgánica.

1. Las autoridades de protección de datos ejercerán, respecto de los tratamientos sometidos a esta Ley Orgánica, las siguientes funciones:

a) Supervisar y hacer cumplir las disposiciones adoptadas con arreglo a esta Ley Orgánica.

b) Promover la sensibilización y la comprensión de la ciudadanía acerca de los riesgos, normas, garantías y derechos relativos al tratamiento.

c) Asesorar a las Cortes Generales, al Gobierno de la Nación y a los organismos dependientes o vinculados a la Administración General del Estado, así como, de acuerdo con su ámbito competencial, a las Asambleas Legislativas de las comunidades autónomas, los Consejos de Gobierno y los organismos dependientes o vinculados a la Administración de las comunidades autónomas, acerca de las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

d) Promover la sensibilización de los responsables y encargados del tratamiento en relación con las obligaciones que les incumben.

e) Facilitar la información solicitada por los interesados sobre el ejercicio de sus derechos en virtud de esta Ley Orgánica y, en su caso, cooperar a tal fin con las autoridades de protección de datos de otros Estados miembros de la Unión Europea.

f) Tramitar y responder las reclamaciones presentadas por un interesado o por una entidad, organización o asociación de conformidad con el artículo 55, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable.

g) Controlar, de acuerdo con lo dispuesto en el artículo 25, la licitud del tratamiento e informar al interesado en un plazo razonable sobre el resultado del control o sobre los motivos por los que no se ha llevado a cabo.

h) Cooperar, en particular compartiendo información, con otras autoridades de protección de datos y prestarse asistencia mutua.

i) Llevar a cabo investigaciones sobre la aplicación de esta Ley Orgánica, en particular basándose en la información recibida de otra autoridad de protección de datos u otra autoridad pública.

j) Realizar un seguimiento de acontecimientos que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, de manera concreta sobre el desarrollo de las tecnologías de la información y la comunicación.

k) Prestar asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36.

l) Contribuir a las actividades del Comité Europeo de Protección de Datos.

m) Informar todas las disposiciones legales o reglamentarias que afecten a tratamientos sometidos a esta Ley Orgánica.

2. Las autoridades de protección de datos adoptarán medidas tendentes a facilitar la formulación de las reclamaciones incluidas en el párrafo 1f), tales como proporcionar formularios que puedan cumplimentarse electrónicamente, sin excluir otros medios.

3. El desempeño de las funciones de las autoridades de control no implicará coste alguno para el interesado ni para el delegado de protección de datos.

4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de protección de datos podrá negarse a actuar respecto de la solicitud. La carga de la demostración del carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de protección de datos.

A los efectos de esta Ley Orgánica son autoridades de protección de datos independientes:

a) La Agencia Española de Protección de Datos.

b) Las autoridades autonómicas de protección de datos, exclusivamente en relación a aquellos tratamientos de los que sean responsables en su ámbito de competencia, y conforme a lo dispuesto en el artículo 57.1 de la Ley Orgánica 3/2018, de 5 de diciembre, y en la normativa autonómica aplicable.

Dichas autoridades se regirán por esta Ley Orgánica respecto de los tratamientos sometidos a la misma, de acuerdo con los principios de cooperación institucional, coordinación de criterios e información mutua, y por lo establecido en el Título VII de la Ley Orgánica 3/2018, de 5 de diciembre, y en sus normas de creación, así como por lo que establezcan sus normas de desarrollo.

La Agencia Española de Protección de Datos actuará como representante de las autoridades de protección de datos en el Comité Europeo de Protección de Datos.

1. Excepcionalmente, en casos particulares y específicos y sin perjuicio de la existencia de un acuerdo internacional entre España y un Estado que no sea miembro de la Unión Europea en el ámbito de la cooperación judicial penal o de la cooperación policial, las autoridades competentes españolas podrán transferir datos personales directamente a destinatarios que no tengan la condición de autoridad competente, establecidos en Estados que no sean miembros de la Unión Europea, siempre que se cumplan las disposiciones de esta Ley Orgánica y se satisfagan todas las condiciones siguientes:

a) Que la transferencia sea estrictamente necesaria para la realización de una función de la autoridad competente que lleva a cabo la transferencia conforme al Derecho de la Unión Europea o a la legislación española, con cualquiera de los fines del artículo 1.

b) Que la autoridad competente que realiza la transferencia determine que ninguno de los derechos y libertades fundamentales del interesado son superiores al interés público que precise de la transferencia de que se trate.

c) Que la autoridad competente que realiza la transferencia considere que la transferencia a una autoridad competente del Estado en el que está establecido el destinatario, con cualquiera de los fines del artículo 1, resultaría ineficaz o inadecuada, en particular porque la transferencia no pueda efectuarse dentro de plazo.

d) Que se informe sin dilación indebida a la autoridad competente para los fines que contempla el artículo 1 de dicho Estado, salvo que esto resulte ineficaz o inadecuado.

e) Que la autoridad competente que realiza la transferencia informe al destinatario de la finalidad o finalidades específicas para las que puede tratar los datos personales, siempre y cuando dicho tratamiento sea necesario.

2. La autoridad competente que realiza la transferencia informará a la autoridad de protección de datos competente acerca de las transferencias efectuadas a tenor de este artículo.

3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse.

1. En ausencia de una decisión de adecuación de la Comisión Europea o de garantías apropiadas de acuerdo con los artículos 44 y 45, podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando la transferencia sea necesaria por concurrir alguna de las siguientes circunstancias:

a) Para proteger los intereses vitales o los derechos y libertades fundamentales del interesado o de otra persona.

b) Para salvaguardar intereses legítimos del interesado reconocidos por la legislación española.

c) Para prevenir una amenaza grave e inmediata para la seguridad pública de un Estado, tanto miembro de la Unión Europea como no perteneciente a la misma.

d) En casos individuales, a efectos del artículo 1.

e) Para el ejercicio, en un caso individual, de acciones legales o para la defensa frente a ellas en relación con los fines incluidos en el artículo 1.

2. Los datos personales no se transferirán, si la autoridad competente de la transferencia determina que los derechos y libertades fundamentales del interesado prevalecen sobre el interés público en la transferencia, establecido en las letras d) y e) del apartado anterior.

3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse. Esta documentación quedará a disposición de la autoridad de protección de datos competente, con inclusión de la fecha y la hora de la transferencia, la información sobre la autoridad competente destinataria, la justificación de la transferencia y los datos personales transferidos.

1. En ausencia de una decisión de adecuación de la Comisión Europea conforme al artículo 44 podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando concurra alguna de las siguientes circunstancias:

a) Se hayan aportado garantías apropiadas respecto a la protección de datos personales en un instrumento jurídicamente vinculante.

b) Se hayan evaluado, por parte del responsable del tratamiento, todas las circunstancias que concurren en la transferencia de datos personales y se haya concluido que existen garantías apropiadas respecto a la protección de datos personales.

2. El responsable del tratamiento informará a la autoridad de protección de datos competente acerca de las categorías de transferencias a tenor del párrafo 1.b).

3. Cuando las transferencias se basen en lo dispuesto en el párrafo 1.b) deberán documentarse. La documentación se pondrá a disposición de la autoridad de protección de datos competente, previa solicitud, con inclusión de la siguiente información: fecha, hora de la transferencia, información sobre la autoridad competente destinataria, justificación de la transferencia y datos personales transferidos.