Artículo 21 Responsables

Los responsables de los ficheros a los que se refiere el artículo 2.1 de esta ley y los encargados de los tratamientos de los mismos estarán sujetos al régimen de infracciones y sanciones establecido en esta ley.

Artículo 22 Tipos de infracciones

1.- Las infracciones se calificarán como leves, graves o muy graves.

2.- Son infracciones leves:

• a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento, cuando legalmente proceda.
• b) No proporcionar la información que solicite la Agencia Vasca de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
• c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro de Protección de Datos, cuando no sea constitutivo de infracción grave.
• d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información legalmente exigida.
• e) Incumplir el deber de secreto legalmente establecido, salvo que constituya infracción grave.

3.- Son infracciones graves:

• a) Proceder a la creación de ficheros, o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general publicada en el Boletín Oficial del País Vasco o en el del territorio histórico correspondiente.
• b) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigido.
• c) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías legalmente establecidos o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
• d) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
• e) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente proceda cuando resulten afectados los derechos de las personas amparadas por la legislación de protección de datos de carácter personal.
• f) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales o a Hacienda pública, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
• g) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad.
• h) No remitir a la Agencia Vasca de Protección de Datos las comunicaciones previstas en las leyes y reglamentos, así como no proporcionar a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquélla a tales efectos.
• i) La obstrucción al ejercicio de la función inspectora.
• j) No inscribir el fichero de datos de carácter personal en el Registro de Protección de Datos, cuando haya sido requerido para ello por el director de la Agencia Vasca de Protección de Datos.
• k) Incumplir el deber de información legalmente establecido, cuando los datos hayan sido recabados de persona distinta del afectado.

4.- Son infracciones muy graves:

• a) La recogida de datos en forma engañosa y fraudulenta.
• b) La comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas.
• c) Recabar y tratar datos de carácter personal que revelen ideología, afiliación sindical, religión o creencias, cuando no medie consentimiento expreso del afectado.
• d) Recabar y tratar datos referidos al origen racial, a la salud o a la vida sexual, cuando no lo disponga una ley o el afectado no haya consentido expresamente.
• e) Crear ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico o vida sexual.
• f) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el director de la Agencia Vasca de Protección de Datos o por los titulares del derecho de acceso.
• g) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
• h) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hace referencia la letra e) de este mismo apartado, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
• i) No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
• j) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

5.- La tipificación de infracciones que contiene este artículo se entiende sin perjuicio de las tipificadas en la legislación estatal sobre protección de datos, en aquellos aspectos sobre los que la Comunidad Autónoma del País Vasco carece de competencia.

Artículo 23 Tipos de sanciones

1.- Las infracciones leves serán sancionadas con multa de 601,01 a 60.101,21 euros.

2.- Las infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 euros.

3.- Las infracciones muy graves serán sancionadas con multa de 300.506,05 a 601.012,1 euros.

4.- La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5.- Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquélla en que se integra la considerada en el caso de que se trate.

6.- En ningún caso podrá imponerse una sanción más grave que la fijada en la ley para la clase de infracción en la que se integre la que se pretenda sancionar.

7.- El Gobierno Vasco actualizará periódicamente la cuantía de las sanciones, de acuerdo con las variaciones que experimenten los índices de precios.

Artículo 24 Infracciones cometidas por las administraciones públicas, instituciones y corporaciones de Derecho público

1.- Cuando, instruido el correspondiente procedimiento, se llegue a la conclusión de que se ha cometido alguna o algunas de las infracciones a que se refiere el artículo anterior, en relación con los ficheros a que se refiere el artículo 2.1 de esta ley, el director de la Agencia Vasca de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados, si los hubiera, y la misma agota la vía administrativa.

2.- El director de la Agencia Vasca de Protección de Datos podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán los establecidos en la legislación reguladora del régimen disciplinario de los funcionarios y personal al servicio de las administraciones públicas, instituciones y corporaciones a las que se refiere el artículo 2.1 de esta ley. A estos efectos, las infracciones tipificadas en esta ley completarán el régimen disciplinario que sea de aplicación.

3.- En el supuesto de que haya que seguir un procedimiento sancionador, se estará a lo dispuesto en la Ley 2/1998, de 20 de febrero, de la Potestad Sancionadora de las Administraciones Públicas de la Comunidad Autónoma del País Vasco.

4.- Se deberán comunicar a la Agencia Vasca de Protección de Datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los números anteriores.

5.- El director de la Agencia Vasca de Protección de Datos comunicará al Ararteko las actuaciones que efectúe y las resoluciones que dicte al amparo de los números anteriores.

Artículo 25 Inmovilización de ficheros

En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el director de la Agencia Vasca de Protección de Datos podrá requerir a los responsables de ficheros de datos de carácter personal la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.

Primera Comunicación de ficheros a la Agencia Vasca de Protección de Datos

Las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1) de esta ley comunicarán a la Agencia Vasca de Protección de Datos, en el plazo de tres meses a partir de la entrada en vigor de esta ley, los ficheros de datos de carácter personal señalados en aquel precepto que sean de su titularidad. Previamente deberán tener aprobada y publicada la disposición reguladora del correspondiente fichero.

Segunda Comunicación de datos del padrón

1.- Las administraciones general y forales de la Comunidad Autónoma del País Vasco podrán solicitar al Euskal Estatistika-Erakundea/Instituto Vasco de Estadística, en los términos que se establecen en la disposición adicional segunda de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y artículo 17.3 de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en los padrones municipales de habitantes correspondientes a los territorios donde ejerzan sus competencias, para la creación de ficheros o registros de población. Estos ficheros o registros de población tendrán como finalidad la comunicación de los distintos órganos de cada administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas de las administraciones públicas.

2.- A los efectos de lo dispuesto en el párrafo anterior, se modifica el artículo 29 de la Ley 4/1986, de 28 de abril, de Estadística de la Comunidad Autónoma de Euskadi, en los siguientes términos: la redacción actual del citado precepto queda como número 1 del mismo, al que se añade un número 2 con el siguiente texto:

Tercera Competencias del Ararteko y de la Agencia de Protección de Datos del Estado

Lo dispuesto en esta ley se entiende sin perjuicio de las competencias que tengan atribuidas el Ararteko y la Agencia de Protección de Datos del Estado.

DISPOSICIÓN FINAL Desarrollo y aplicación

1.- Se autoriza al Gobierno Vasco para el desarrollo y aplicación de lo dispuesto en esta ley.

2.- Se autoriza al Departamento de Hacienda y Administración Pública para crear la sección presupuestaria correspondiente y para realizar, de acuerdo con la legislación reguladora del régimen presupuestario de la Comunidad Autónoma del País Vasco, las modificaciones presupuestarias precisas para la aplicación de lo dispuesto en esta ley.