Principal

Ley Orgánica 15/1999 - Título II. Principios de la protección de datos.

Sáb, 23/08/2003 - 12:47 — webmaster

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Título II. Principios de la protección de datos.

Artículo 4. Calidad de los datos.

1.- Los datos de carácter personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados,
pertinentes y no excesivos en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que se hayan obtenido.

2.- Los datos de carácter personal objeto de tratamiento no podrán usarse para
finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos. No se considerará incompatible el tratamiento posterior de éstos con
fines históricos, estadísticos o científicos.

3.- Los datos de carácter personal serán exactos y puestos al día de forma
que respondan converacidad a la situación actual del afectado.

4.- Si los datos de carácter personal registrados resultaran ser inexactos,
en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por
los correspondientes datos rectificados o completados sin perjuicio de las
facultades que a los afectados reconoce el artículo 16.

5.- Los datos de carácter personal serán cancelados cuando hayan dejado de
ser necesarios o pertinentes para la finalidad para la cual hubieran sido
recabados o registrados.

No serán conservados en forma que permita la identificación del interesado
durante un período superioral necesario para los fines en base a los cuales
hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que,
por excepción, atendidos los valores históricos, estadísticos o científicos de
acuerdo con la legislación específica, se decida el mantenimiento íntegro de
determinados datos.

6.- Los datos de carácter personal serán almacenados de
forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente
cancelados.

7.- Se prohibe la recogida de datos por medios fraudulentos, desleales o
ilícitos.

Artículo 5. Derecho de información en la recogida de datos.

1.- Los interesados a los que se soliciten datos personales deberán
ser previamente informados de modo expreso, preciso e inequívoco:

a.- De la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de éstos y de los destinatarios de la
información.

b.- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c.- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d.- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.

e.- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2.- Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3.- No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

4.- Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su
representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5.- No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo
prevea, cuando el tratamiento tenga fines históricos, estadísticos o
científicos, o cuando la información al interesado resulte imposible o exija
esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o
del organismo autonómico equivalente, en consideración al número de interesados,
a la antigüedad de los datos y a las posibles medidas
compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior
cuando los datos procedan de fuentes accesibles al público y se destinen a la
actividad de publicidad o prospección comercial, en cuyo caso, en cada
comunicación que se dirija al interesado se le informará del origen de los datos
y de la identidad del responsable del tratamiento así como de los derechos que
le asisten.

Artículo 6. Consentimiento del afectado.

1.- El tratamiento de los datos de carácter personal requerirá el
consentimientoinequívoco del afectado, salvo que la ley disponga otra cosa.

2.- No será preciso el consentimiento cuando los datos de carácter personal
se recojan parael ejercicio de las funciones propias de las Administraciones
públicas en elámbito de sus competencias; cuando se refieran a las partes de un
contrato oprecontrato de una relación negocial, laboral o administrativa y sean
necesariospara su mantenimiento o cumplimiento; cuando el tratamiento de los
datos tengapor finalidad proteger un interés vital del interesado en los
términos delartículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren enfuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o
por el del tercero a quien se comuniquen los datos, siempre que no se vulneren
los derechos y libertades fundamentales del interesado.

3.- El consentimiento a que se refiere el artículo podrá ser revocado cuando
exista causa justificadapara ello y no se le atribuyan efectos retroactivos.

4.- En los casos en los que no sea necesario el consentimiento deL afectado
para el tratamiento de losdatos de carácter personal, y siempre que una ley no
disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una concreta situación personal. En tal
supuesto, el responsable del fichero excluirá del tratamiento los datos
relativos al afectado.

Artículo 7. Datos especialmente protegidos.

1.- De acuerdo con lo establecido en el
apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a
declarar sobre su ideología, religión o creencias.

Cuando en relación con
estos datos se proceda a recabar el consentimiento a que se refiere el apartado
siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

2.- Sólo con el consentimiento expreso y por escrito del afectado podrán ser
objeto de tratamiento los datos de carácter personal que revelen la ideología,
afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos
por los partidos políticos, sindicatos, iglesias, confesiones o comunidades
religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro,
cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los
datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de
dichos datos precisará siempre el previo consentimiento del afectado.

3.- Los datos de carácter personal que hagan referencia al origen racial, a
la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos
cuando, por razones de interés general, así lo disponga una ley o el afectado
consienta expresamente.

4.- Quedan prohibidos los ficheros creados con la finalidad
exclusiva de almacenar datos de carácter personal que revelen la ideología,
afiliación sindical, religión, creencias, origen racial o étnico, o vida
sexual.

5.- Los datos de carácter personal relativos a la comisión de
infracciones penales o administrativas sólo podrán ser incluidos en ficheros de
las Administraciones públicas competentes en los supuestos previstos en las
respectivas normas reguladoras.

6.- No obstante lo dispuesto en los apartados
anteriores, podrán ser objeto de tratamiento los datos de carácter personal a
que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento
resulte necesario para la prevención o para el diagnóstico médicos, la
prestación de asistencia sanitaria o tratamientos médicos o la gestión de
servicios sanitarios, siempre que dicho tratamiento de datos se realice por un
profesional sanitario sujeto al secreto profesional o por otra persona sujeta
asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el
párrafo anterior cuando el tratamientosea necesario para salvaguardar el interés
vital del afectado o de otra persona,en el supuesto de que el afectado esté
física o jurídicamente incapacitado paradar su consentimiento.

Artículo 8. Datos relativos a la salud.

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión,
las instituciones y los centros sanitarios públicos y privados y los
profesionales correspondientes podrán proceder al tratamiento de los datos de
carácter personal relativos a la salud de las personas que a ellos acudan o
hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la
legislación estatal o autonómica sobre sanidad.

Artículo 9. Seguridad de los datos.

1.- El responsable del fichero, y, en su caso, el encargado del tratamiento
deberán adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del
estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a
que están expuestos, ya provengan de la acción humana o del medio físico o
natural.

2.- No se registrarán datos de carácter personal en ficheros que no reúnan
las condicionesque se determinen por vía reglamentaria con respecto a su
integridad y seguridad y a las de los centros de tratamiento, locales, equipos,
sistemas y programas.

3.- Reglamentariamente se establecerán los requisitos y
condiciones que deban reunir los ficheros y las personas que intervengan en el
tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero
o, en su caso, con el responsable del mismo.

Artículo 11. Comunicación de datos.

1.- Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente relacionados
con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado.

2.- El consentimiento exigido en el apartado anterior no será preciso:

a.- Cuando la cesión está autorizada en una ley.

b.- Cuando se trate de datos recogidos de fuentes accesibles al
público.

c.- Cuando el tratamiento responda a la libre y
legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y
control implique necesariamente la conexión de dicho tratamiento con ficheros de
terceros. En este caso la comunicación sólo será legítima en cuanto se limite a
la finalidad que la justifique.

d.- Cuando la comunicación que deba efectuarse
tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces
o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que
tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación
tenga como destinatario a instituciones autonómicas con funciones análogas al
Defensor del Pueblo o al Tribunal de Cuentas.

e.- Cuando la cesión se produzca entre Administraciones públicas y
tenga por objeto el tratamiento posterior delos datos con fines históricos,
estadísticos o científicos.

f.- Cuando la cesión de datos de carácter personal relativos a la
salud sea necesaria parasolucionar una urgencia que requiera acceder a un
fichero o para realizar losestudios epidemiológicos en los términos establecidos
en la legislación sobre sanidad estatal o autonómica.

3.- Será nulo el consentimiento para la comunicación de los datos de carácter
personal a un tercero, cuando lainformación que se facilite al interesado no le
permita conocer la finalidad aque destinarán los datos cuya comunicación se
autoriza o el tipo de actividad deaquel a quien se pretenden comunicar.

4.- El consentimiento para la
comunicación de los datos de carácter personal tiene también un carácter de
revocable.

5.- Aquel a quien se comuniquen los datos de carácter personal se
obliga, por el solo hecho de la comunicación, a la observancia de las
disposiciones de la presente Ley.

6.- Si la comunicación se efectúa previo
procedimiento de disociación, no será aplicable lo establecido en los apartados
anteriores.

Artículo 12. Acceso a los datos por cuenta de terceros.

1.- No se considerará comunicación de datos el acceso de un
tercero a los datos cuando dicho acceso sea necesario para la prestación de un
servicio al responsable del tratamiento.

2.- La realización de tratamientos
por cuenta de terceros deberá estar regulada en un contrato que deberá constar
por escrito o en alguna otra forma que permita acreditar su celebración y
contenido, estableciéndose expresamente que el encargado del tratamiento
únicamente tratará los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figure en
dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras
personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a
que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está
obligado a implementar.

3.- Una vez cumplida la prestación contractual los
datos de carácter personal deberán ser destruido, devueltos al responsable del
tratamiento, al igual que cualquier soporte o documentos en que conste algún
dato de carácter personal objeto del tratamiento.

4.- En el caso de que el encargado del tratamiento destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del
contrato, será considerado también responsable del tratamiento, respondiendo de
las infracciones en que hubiera incurrido personalmente.