Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos

Artículo 1 Objeto

La presente ley tiene por objeto:

• 1.- La regulación de los ficheros de datos de carácter personal creados o gestionados por la Comunidad Autónoma del País Vasco, los órganos forales de los territorios históricos y las administraciones locales de la Comunidad Autónoma del País Vasco.
• 2.- La creación y regulación de la Agencia Vasca de Protección de Datos.

Artículo 2 Ámbito de aplicación

1.- La presente ley será aplicable a los ficheros de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por:

• a) La Administración General de la Comunidad Autónoma, los órganos forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público.
• b) El Parlamento Vasco.
• c) El Tribunal Vasco de Cuentas Públicas.
• d) El Ararteko.
• e) El Consejo de Relaciones Laborales.
• f) El Consejo Económico y Social.
• g) El Consejo Superior de Cooperativas.
• h) La Agencia Vasca de Protección de Datos.
• i) La Comisión Arbitral.
• j) Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco.
• k) Cualesquiera otros organismos o instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario.

2.- No obstante lo dispuesto en el número anterior, esta ley no será de aplicación a los ficheros:

• a) Sometidos a la normativa sobre protección de materias clasificadas.
• b) Establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
• c) Regulados por la legislación de régimen electoral.
• d) Procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por los cuerpos de Policía del País Vasco, de conformidad con la legislación sobre la materia.

3.- Se regirán por sus disposiciones específicas y, en su caso, por lo especialmente previsto en esta ley los tratamientos de datos personales que sirvan a fines exclusivamente estadísticos y estén amparados por la legislación sobre la función estadística pública.

4.- Las instituciones y centros sanitarios de carácter público y los profesionales a su servicio podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratadas en los mismos, de acuerdo con lo dispuesto en la legislación sectorial sobre sanidad, sin perjuicio de la aplicación de lo dispuesto en esta ley en todo lo que no sea incompatible con aquella legislación.

5.- La aplicación de lo dispuesto en esta ley a los ficheros de datos de carácter personal, distintos de los citados en el número 2 de este artículo, creados o gestionados por los cuerpos de Policía del País Vasco se efectuará sin perjuicio de las especificidades de su régimen jurídico previstas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en la Ley 4/1992, de 17 de julio, de Policía del País Vasco.

Artículo 3 Definiciones

A los efectos de esta ley se entenderá por:

• a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. Se considerará identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
• b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso.
• c) Tratamiento de datos: operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
• d) Responsable del fichero o tratamiento: persona, institución, entidad, corporación u órgano administrativo al que está adscrito el fichero y que decide sobre la finalidad, contenido y uso del tratamiento. La disposición por la que se cree el fichero determinará el responsable del mismo. Sus funciones serán las establecidas en el documento de seguridad.
• e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere la letra c) de este artículo.
• f) Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
• g) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que la conciernen.
• h) Cesión o comunicación de datos: toda revelación de datos realizada a persona distinta del interesado.

Artículo 4 Creación, modificación y supresión de ficheros

1.- La creación, modificación y supresión de ficheros de la Administración de la Comunidad Autónoma se realizará por orden del titular del departamento al que esté adscrito el fichero, la cual deberá contener todas las menciones exigidas por la legislación en vigor y será objeto de publicación en el Boletín Oficial del País Vasco. El procedimiento de elaboración de la citada orden será el previsto para la elaboración de disposiciones de carácter general.

2.- En el caso de ficheros de datos de carácter personal de otras administraciones, instituciones o corporaciones, el acuerdo o disposición por la que se cree, modifique o suprima deberá contener todas las menciones exigidas y será publicada en el Boletín Oficial del País Vasco o del territorio histórico, según sea el ámbito territorial al que se extienden sus funciones o competencias.

Artículo 5 Recogida de datos de carácter personal

Las administraciones públicas y demás instituciones, corporaciones y entidades a que se refiere el artículo 2.1 de esta ley sólo podrán recoger datos de carácter personal para su tratamiento cuando sean adecuados, pertinentes y no excesivos para el ejercicio de las respectivas competencias que tienen atribuidas. Salvo precepto legal en sentido contrario, para la obtención de dichos datos no será preciso recabar el consentimiento de los afectados, pero sólo podrán utilizarse para las finalidades determinadas, explícitas y legítimas para las que se hubieran obtenido, sin perjuicio de su posible tratamiento posterior para fines históricos, estadísticos o científicos, de acuerdo con la legislación aplicable.

Artículo 6 Información a los interesados

Los interesados a los que se soliciten datos de carácter personal serán previamente informados, de conformidad con la legislación sobre protección de dichos datos. No obstante, cuando los datos no hayan sido recabados del propio interesado y la información a éste resulte imposible o exija esfuerzos desproporcionados, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias, el director de la Agencia Vasca de Protección de Datos, de acuerdo con la susodicha legislación, podrá dispensar al responsable del fichero de la obligación de informar a los interesados.

Artículo 7 Aprobación del contenido mínimo del documento de seguridad

En el ejercicio de sus potestades de autoorganización, los órganos de gobierno de las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta ley podrán aprobar, en aplicación de los preceptos relativos a la seguridad de los datos y para aplicar a todos o parte de los ficheros de los que son titulares sus respectivas administraciones, instituciones o corporaciones, el contenido mínimo del documento de seguridad que, en todo caso, deberán elaborar e implantar los responsables de fichero para garantizar la seguridad de los datos de carácter personal contenidos en los citados ficheros.

Artículo 8 Procedimiento para el ejercicio de los derechos de los interesados

1.- Los interesados podrán ejercitar los derechos de oposición, acceso, rectificación, cancelación y cualesquiera otros que les reconozca la ley. El contenido material de los mismos será el determinado en la ley.

2.- Cada administración, institución o corporación regulará reglamentariamente el procedimiento para el ejercicio de los derechos señalados en el número anterior, en relación con los ficheros de su titularidad a los que es de aplicación esta ley. No se exigirá contraprestación alguna por ello.

Artículo 9 Reclamaciones ante la Agencia Vasca de Protección de Datos

1.- Las actuaciones contrarias a lo dispuesto en esta ley pueden ser objeto de reclamación por los interesados ante la Agencia Vasca de Protección de Datos, en la forma que reglamentariamente se determine.

2.- El interesado al que se deniegue, total o parcialmente, el ejercicio del derecho de oposición, acceso, rectificación, cancelación o cualquier otro que le reconozca la legislación sobre protección de datos de carácter personal, podrá ponerlo en conocimiento de la Agencia Vasca de Protección de Datos, que deberá asegurarse de la procedencia o improcedencia de la denegación.

3.- El plazo máximo en que se debe dictar y notificar la resolución expresa de tutela de derechos es de seis meses, entendiéndose el silencio administrativo como desestimatorio de la tutela pedida.

4.- Contra las resoluciones de la Agencia Vasca de Protección de Datos procederá recurso contencioso-administrativo. Podrá interponerse con carácter previo, potestativamente, recurso de reposición.