LLEI 5/2002, de 19 d'abril, de l’Agència Catalana de Protecció de Dades.



LLEI 5/2002, de 19 d'abril, de l’Agència Catalana de Protecció de Dades.

El President

de la Generalitat de Catalunya

Sia notori a tots els ciutadans que el Parlament de Catalunya ha aprovat i jo, en nom del Rei i d'acord amb el que estableix l'article 33.2 de l'Estatut d'autonomia de Catalunya, promulgo la següent

LLEI

Preàmbul

La generalització de les tecnologies de la informació, tant en el sector públic com en el sector privat, fa possible la recollida i l’emmagatzematge d’una gran quantitat de dades amb una gran eficàcia i un cost baix. Però, a més, el desenvolupament progressiu de les tecnologies de la comunicació en facilita en gran manera l’accés de forma remota i gairebé instantània. En conseqüència, és evident que la potència assolida per les noves tecnologies comporta desafiaments per als drets fonamentals relatius a la intimitat de les persones que en un altre temps eren impensables o pràcticament irrellevants. Així, en un escenari que tendeix a una socialització creixent de la informació per mitjà de la tecnologia, cal tenir una clara consciència dels riscos que implica un mal ús d’aquesta informació i els eventuals efectes no desitjats en les llibertats i els drets fonamentals de la persona. D’aquí prové la necessitat de desplegar un marc legal adequat per afrontar la problemàtica que, per a l’exercici efectiu d’aquests drets, planteja el nou context social.

Aquests drets fonamentals, que en l’ordenament jurídic de l’Estat són reconeguts per l’article 18 de la Constitució espanyola com a garanties del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge, els incorpora l’Estatut d’autonomia de Catalunya a l’article 8.1 i correspon a la Generalitat, com a poder públic i en el seu àmbit de competència, promoure les condicions per a llur exercici correcte.

El manament constitucional de l’article 18.4 de limitar per llei l’ús de la informàtica a fi de garantir aquests drets i llur exercici efectiu, es va recollir inicialment en la disposició transitòria primera de la Llei orgànica 1/1982, del 5 de maig, de protecció civil del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge, com a norma aplicable en aquesta matèria mentre no es promulgués la llei específica prevista per la Constitució. Posteriorment, la promulgació de la Llei orgànica 5/1992, del 29 d’octubre, sobre tractament automatitzat de dades de caràcter personal (Lortad), ja derogada, va incloure una regulació general sobre aquesta matèria, posteriorment substituïda per la que estableix la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal (LOPD), que ha adaptat a l’ordenament jurídic de l’Estat espanyol la Directiva 95/46/CE del Parlament europeu i del Consell, del 24 d’octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes.

La Lortad va establir el règim jurídic dels fitxers, que va diferenciar atenent a llur titularitat pública o privada, va crear l’Agència de Protecció de Dades com a òrgan administratiu independent, al qual s’encomanen funcions de registre administratiu dels fitxers i de policia administrativa sectorial, i va establir un règim sancionador. Finalment, va establir que les comunitats autònomes creessin òrgans equivalents a l’esmentada Agència per a tutelar llurs propis fitxers.

La LOPD defineix de manera més genèrica el seu àmbit material, en aplicar-se a les dades de caràcter personal enregistrades en suport físic i no només les que s’integren en fitxers automatitzats. Pel que fa als òrgans autonòmics, la LOPD reconeix també la competència d’aquests òrgans respecte als fitxers dels ens locals (article 41.1).

L’alt grau d’informatització assolit per l’Administració de la Generalitat de Catalunya, i altres administracions públiques de Catalunya fa que sigui especialment oportuna la creació de l’Agència Catalana de Protecció de Dades. D’altra banda, el Pla estratègic per a la societat de la informació "Catalunya en xarxa", presentat al Parlament de Catalunya el 14 d’abril de 1999, és una clara mostra de com la tecnologia, lluny d’esclavitzar els individus, n’accentua les potencialitats per a la construcció d’una societat més solidària, més transparent i més democràtica. En conseqüència, cal desplegar el marc regulador de la societat de la informació a Catalunya amb plenes garanties pel que fa a la protecció de les dades de caràcter personal. És això, doncs, el que justifica l’existència d’un ens específic que, amb plena independència i objectivitat, vetlli pel respecte dels drets dels ciutadans en aquest àmbit.

Capítol I

Disposicions Generals

Article 1

Creació de l’Agència Catalana de Protecció de Dades

Es crea l’autoritat Agència Catalana de Protecció de Dades amb l’objecte de vetllar pel respecte dels drets fonamentals i les llibertats públiques dels ciutadans en tot allò que concerneix les operacions fetes mitjançant processos automatitzats o manuals de dades personals, dins l’àmbit d’actuació que aquesta Llei li reconeix, i d’acord amb les competències i funcions que se li encomanen.

Article 2

Naturalesa jurídica

1. L’Agència Catalana de Protecció de Dades és una institució de dret públic, amb personalitat jurídica pròpia i plena capacitat d’obrar per al compliment dels seus fins, que actua amb objectivitat i plena independència de les administracions públiques en l’exercici de les seves funcions.

2. L’Agència Catalana de Protecció de Dades es relaciona amb el Govern per mitjà del departament que es determini per reglament.

Article 3

Àmbit d’actuació

1. L’Agència Catalana de Protecció de Dades exerceix la seva autoritat de control sobre els tractaments de dades personals duts a terme per la Generalitat de Catalunya, pels ens que integren l’Administració local, i per les universitats en l’àmbit territorial de Catalunya, pels organismes i les entitats autònomes que depenen de l’Administració de la Generalitat o dels ens locals i pels consorcis dels quals formen part, de conformitat amb el que estableixen la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal, i les disposicions que la desenvolupen.

2. L’Agència Catalana de Protecció de Dades també exerceix les seves competències en relació amb els fitxers creats per les administracions, els organismes i les entitats a què es refereix l’apartat 1 quan siguin gestionats per entitats públiques o privades en la prestació de serveis públics, siguin o no concessionàries d’aquests, o per associacions o fundacions, o per les societats civils o mercantils en les quals la Generalitat o els ens locals tinguin la participació majoritària del capital, quan porten a terme activitats per compte d’una administració pública

Capítol II

Competències i funcions

Article 4

Competències

1. Per al compliment de les finalitats que aquesta Llei li assigna i dins del seu àmbit d’actuació, corresponen a l’Agència Catalana de Protecció de Dades les competències de registre, control, inspecció, sanció i resolució, i també l’adopció de propostes i instruccions.

2. Per a exercir les seves competències, l’Agència Catalana de Protecció de Dades pot subscriure convenis de col·laboració amb altres organismes similars d’àmbit autonòmic o estatal o amb els òrgans de les administracions públiques que tinguin encomanades competències en matèria estadística i de tractament de dades personals.

Article 5

Funcions

1. Corresponen a l’Agència Catalana de Protecció de Dades les funcions següents:

a) Vetllar pel compliment de la legislació vigent sobre protecció de dades de caràcter personal i controlar-ne l’aplicació, especialment en allò que fa referència als drets d’informació, accés, rectificació, cancel·lació i oposició.

b) Vetllar pel compliment de les disposicions que la Llei d’estadística de Catalunya estableix respecte a la recollida de dades estadístiques i al secret estadístic, i adoptar les mesures corresponents per a garantir les condicions de seguretat dels fitxers constituïts amb finalitats exclusivament estadístiques, llevat d’allò que fa referència a les transferències internacionals de dades. A aquests efectes, l’Agència, dins del seu àmbit de competències, pot adoptar instruccions i resolucions adreçades als òrgans administratius i pot sol·licitar la col·laboració de l’Institut d’Estadística de Catalunya, quan s’escaigui.

c) Dictar, si escau i sens perjudici de les competències d’altres òrgans, les instruccions necessàries per a adequar els tractaments de dades personals als principis de la legislació vigent en matèria de protecció de dades de caràcter personal.

d) Requerir als responsables i als encarregats del tractament l’adopció de les mesures necessàries per a l’adequació del tractament de dades personals objecte d’investigació a la legislació vigent en matèria de protecció de dades de caràcter personal i, si s’escau, ordenar el cessament dels tractaments i la cancel·lació dels fitxers, excepte el que fa referència a les transferències internacionals de dades.

e) Proporcionar informació sobre els drets de les persones en matèria de tractament de dades personals.

f) Atendre les peticions i les reclamacions formulades per les persones afectades.

g) Obtenir dels responsables dels fitxers l’ajuda i la informació que consideri necessàries per a l’exercici de les seves funcions

h) Exercir la potestat d’inspecció en els termes establerts per l’article 8, excepte el que fa referència a les transferències internacionals de dades.

i) Exercir la potestat sancionadora en els termes establerts pel capítol V.

j) Informar, amb caràcter preceptiu, sobre els projectes de disposicions de caràcter general de la Generalitat de Catalunya en matèria de protecció de dades de caràcter personal.

k) Respondre les consultes que l’Administració de la Generalitat, els ens locals i les universitats de Catalunya li formulin sobre l’aplicació de la legislació de protecció de dades de caràcter personal i col·laborar amb aquestes administracions públiques en la difusió de les obligacions derivades de la dita legislació.

l) Totes les altres que li siguin atribuïdes d’acord amb les lleis.

2. L’Agència ha de col·laborar amb el Síndic de Greuges i també amb l’Agència de Protecció de Dades de l’Estat i la resta d’institucions i organismes de defensa dels drets de les persones.

3. Les Administracions, els organismes, les entitats autònomes, els consorcis i les societats compresos dins l’àmbit d’aplicació d’aquesta Llei tenen l’obligació d’auxiliar, amb caràcter preferent i urgent, l’Agència Catalana de Protecció de Dades en les seves investigacions, si aquesta els ho demana.

Article 6

Memòria anual

1. L’Agència Catalana de Protecció de Dades ha d’elaborar una memòria anual que reflecteixi les seves activitats, i també les conclusions dels seus treballs i dels expedients que hagi tramitat.

2. La memòria anual s’ha de presentar davant el Parlament. La memòria també s’ha de remetre al Govern, al Síndic de Greuges i al director o directora de l’Agència de Protecció de Dades de l’Estat.

Article 7

Tutela dels drets

1. Qualsevol persona pot conèixer l’existència dels tractaments de dades personals inclosos dins l’àmbit d’aplicació d’aquesta Llei, i també les finalitats i la identitat dels responsables dels dits tractaments, mitjançant la corresponent consulta gratuïta al Registre de Protecció de Dades de Catalunya.

2. Les persones interessades a les quals es denegui, en part o totalment, l’exercici dels drets d’oposició, d’accés, de rectificació o de cancel·lació, ho poden posar en coneixement de l’Agència Catalana de Protecció de Dades, que ha de resoldre expressament sobre la procedència o improcedència de la denegació en el termini de tres mesos.

3. L’Agència Catalana de Protecció de Dades resta obligada a garantir el secret de les consultes i reclamacions de les quals tingui coneixement.

Article 8

Potestat d’inspecció

1. L’Agència Catalana de Protecció de Dades pot inspeccionar els fitxers de dades personals als quals fa referència aquesta Llei, a fi d’obtenir totes les informacions necessàries per a l’exercici de les seves funcions. Amb aquesta finalitat, pot sol·licitar la presentació o la tramesa de documents i de dades o examinar-los en el lloc on estiguin dipositats, i també inspeccionar els equips físics i lògics utilitzats, per a la qual cosa pot accedir als locals on estiguin instal·lats.

2. Els funcionaris que exerceixen aquesta funció inspectora tenen la consideració d’autoritat pública en el desenvolupament de la llur activitat i resten obligats a mantenir el secret sobre les informacions que coneguin en l’exercici de les funcions inspectores, fins i tot després d’haver cessat en aquestes.

Capítol III

Règim jurídic, econòmic i de personal

Article 9

Règim jurídic

1. En l’exercici de les seves funcions, l’Agència Catalana de Protecció de Dades actua de conformitat amb el que disposa aquesta Llei, les disposicions que la desenvolupen i la legislació que regula el règim jurídic de les administracions públiques i el procediment administratiu aplicable a la Generalitat.

2. Les resolucions del director o directora de l’Agència Catalana de Protecció de Dades posen fi a la via administrativa i són susceptibles de recurs contenciós administratiu.

3. El personal de l’Agència Catalana de Protecció de Dades té el deure de secret sobre les informacions que conegui en l’exercici de les seves funcions, fins i tot després d’haver cessat d’exercir-les.

Article 10

Règim de personal

1. Els llocs de treball dels òrgans i els serveis que integren l’Agència Catalana de Protecció de Dades han d’ésser ocupats per personal subjecte a dret administratiu o laboral.

2. Els llocs de treball que comporten l’exercici de potestats públiques es reserven a personal funcionari.

3. Els llocs de treball que comporten l’exercici de la funció d’assessorament en dret, representació i defensa judicial al si de l’Agència es reserven a funcionaris del Cos d’Advocats de la Generalitat de Catalunya.

Article 11

Règim econòmic i de contractació

1. Per al compliment de les seves finalitats, l’Agència Catalana de Protecció de Dades compta amb els béns i els recursos econòmics següents:

a) Les assignacions anuals dels pressupostos de la Generalitat.

b) Els béns i els drets que constitueixen el seu patrimoni, i llurs productes i rendes.

c) Qualssevol altres que legalment se li puguin atribuir.

2. L’Agència ha d’elaborar i aprovar anualment el seu avantprojecte de pressupost, que ha d’ésser tramès al Govern per a la seva integració, en una secció específica, en els pressupostos de la Generalitat.

3. L’Agència està sotmesa al control financer de la Intervenció General de la Generalitat i al règim de comptabilitat pública.

4. El règim jurídic de contractació de l’Agència és el que estableix la legislació sobre contractes de les administracions públiques.

5. El règim patrimonial de l’Agència és l’establert per al patrimoni de l’Administració de la Generalitat.

Capítol IV

Els òrgans de l’Agència Catalana de Protecció de Dades

Article 12

Els òrgans de govern

Els òrgans de govern de l’Agència Catalana de Protecció de Dades són el director o directora i el Consell Assessor sobre Protecció de Dades de Catalunya. L’estructura de l’Agència s’ha de determinar per reglament.

Article 13

El director o directora

1. El director o directora de l’Agència Catalana de Protecció de Dades dirigeix l’Agència, n’exerceix la representació i té atribuïdes les funcions que per reglament es determinin. És nomenat pel Govern, a proposta dels membres del Consell Assessor sobre Protecció de Dades de Catalunya, per un període de quatre anys, i pot ésser renovat.

2. El director o directora de l’Agència exerceix les seves funcions amb plena independència i objectivitat sense subjecció a cap mandat imperatiu ni a instrucció. Tanmateix, ha d’escoltar les propostes que li faci el Consell Assessor relatives a l’exercici de les seves funcions i en el supòsit que no les tingui en compte ho ha de motivar.

3. El director o directora cessa per les causes següents:

a) Per expiració del termini del mandat.

b) A petició pròpia.

c) Per separació acordada pel Govern, amb la instrucció prèvia del corresponent expedient, a proposta de les tres quartes parts dels membres del Consell Assessor, per incompliment de les seves obligacions, incompatibilitat, incapacitat sobrevinguda per a l’exercici de les seves funcions o condemna per delicte dolós.

4. El director o directora de l’Agència té la consideració d’alt càrrec, assimilat al de secretari general, i està sotmès al règim d’incompatibilitats dels alts càrrecs de la Generalitat de Catalunya.

5. Anualment, el director o directora de l’Agència ha de comparèixer davant la comissió pertinent per a informar el Parlament de la seva actuació.

Article 14

El Consell Assessor de Protecció de Dades de Catalunya

1. El director o directora de l’Agència és assessorat pel Consell Assessor de Protecció de Dades de Catalunya, el qual té les funcions d’assessorament, consulta, fixació de criteris i estudi, d’acord amb el que es determini per via reglamentària.

2. El Consell Assessor de Protecció de Dades és constituït pels membres següents:

a) Tres vocals designats pel Parlament, per una majoria de dos terços a l’inici de cada legislatura.

b) Tres representants de l’Administració de la Generalitat, designats pel Govern.

c) Dos representants de l’Administració local de Catalunya, proposats per les entitats associatives d’ens locals.

d) Una persona experta en l’àmbit dels drets fonamentals, proposada pel Consell Interuniversitari de Catalunya.

e) Una persona experta en informàtica, proposada pel Consell Interuniversitari de Catalunya.

f) Un vocal en representació de l’Institut d’Estudis Catalans.

g) Un vocal en representació dels consumidors i usuaris, proposat per les organitzacions de consumidors més representatives.

h) El director o directora de l’Institut d’Estadística de Catalunya.

3. El president o presidenta del Consell és nomenat pel president o presidenta de la Generalitat, a proposta del titular del departament amb el qual es relaciona l’Agència, d’entre una terna presentada pel Consell Assessor entre els seus membres. Actua de secretari un funcionari de l’Agència Catalana de Protecció de Dades.

4. El director o directora de l’Agència assisteix a les reunions del Consell Assessor, amb veu i sense vot.

5. El Consell Assessor es regeix per les normes que s’estableixin per reglament i, supletòriament, per les disposicions vigents sobre funcionament d’òrgans col·legiats.

Article 15

El Registre de Protecció de Dades de Catalunya

1. El Registre de Protecció de Dades de Catalunya és un òrgan integrat a l’Agència Catalana de Protecció de Dades.

2. Són objecte d’inscripció al Registre de Protecció de Dades de Catalunya:

a) Els fitxers de dades personals inclosos en l’àmbit d’aplicació de la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal, que siguin de titularitat de la Generalitat de Catalunya, dels ens que integren l’Administració local en l’àmbit territorial de Catalunya i de la resta d’organismes i entitats a què es refereix l’article 3, i també les dades relatives a aquests fitxers que siguin necessàries per a l’exercici dels drets d’informació, d’accés, de rectificació, de cancel·lació i d’oposició.

b) Els codis tipus definits per l’article 32 de la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal, formulats per la Generalitat de Catalunya o pels ens que integren l’Administració local en l’àmbit territorial de Catalunya.

3. S’ha d’establir per reglament el procediment d’inscripció en el Registre de Protecció de Dades de Catalunya, el seu contingut, la modificació, la cancel·lació, les reclamacions, els recursos i els altres aspectes pertinents.

4. El Registre de Protecció de Dades de Catalunya ha d’establir els acords de cooperació necessaris amb el Registre General de Protecció de Dades de l’Estat als efectes d’integrar la informació registral i de mantenir-la actualitzada.

Capítol V

Infraccions i sancions

Article 16

Responsabilitats

1. Els responsables dels fitxers de dades personals inclosos dins l’àmbit d’aplicació d’aquesta Llei i els encarregats dels tractaments corresponents estan subjectes al règim sancionador que estableix el Títol VII de la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal.

2. En cas de comissió d’alguna de les infraccions que estableix l’article 44 de la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal, el director o directora de l’Agència Catalana de Protecció de Dades ha de dictar una resolució per a establir les mesures a adoptar a fi de corregir els efectes de la infracció. Aquesta resolució s’ha de notificar al responsable i a l’encarregat del fitxer de dades personals, a l’òrgan del qual depenguin i a les persones afectades, si n’hi ha. A més, el director o directora de l’Agència, a iniciativa pròpia o a proposta del Consell Assessor de Protecció de Dades, pot proposar, si escau, la iniciació d’actuacions disciplinàries d’acord amb el que estableix la legislació vigent sobre règim disciplinari de les administracions públiques.

3. Els responsables i els encarregats dels fitxers de dades personals han de comunicar a l’Agència les resolucions adoptades consegüents a les mesures i les actuacions a què es refereix l’apartat 2.

4. El director o directora de l’Agència ha de comunicar al Síndic de Greuges les actuacions que faci i les resolucions que dicti a l’empara del que disposen els apartats anteriors.

Article 17

Procediment sancionador

1. El procediment per a la determinació de les infraccions i la imposició de sancions és l’establert pel Decret 278/1993, del 9 de novembre, sobre procediment sancionador d’aplicació als àmbits de competència de la Generalitat.

2. Les resolucions del director o directora de l’Agència Catalana de Protecció de Dades en matèria sancionadora exhaureixen la via administrativa.

Article 18

Potestat d’immobilització

En els supòsits, constitutius d’infracció molt greu, d’utilització o de comunicació il·lícita de dades personals amb què s’atempti greument contra els drets fonamentals i les llibertats públiques dels ciutadans o se n’impedeixi l’exercici, el director o directora de l’Agència Catalana de Protecció de Dades pot, a més d’exercir la potestat sancionadora, exigir als responsables dels fitxers de dades personals el cessament de la utilització o la comunicació il·lícita de dades personals. Si aquest requeriment no és atès també pot, mitjançant una resolució motivada, immobilitzar els fitxers de dades personals, amb l’única finalitat de restaurar els drets de les persones afectades.

Disposicions addicionals

Primera

Fitxers automatitzats de dades personals

En el termini de tres mesos a partir de la constitució del Consell Assessor de Protecció de Dades de Catalunya, s’ha de formalitzar la inscripció en el Registre de Protecció de Dades de Catalunya dels fitxers automatitzats de dades personals de titularitat de la Generalitat de Catalunya i de titularitat dels ens que integren l’Administració local dins l’àmbit territorial de Catalunya que existien abans de la promulgació d’aquesta Llei.

Segona

Fitxers i tractaments de dades personals no automatitzats

Els fitxers i els tractaments de dades personals no automatitzats de titularitat de la Generalitat de Catalunya i dels ens que integren l’Administració local dins l’àmbit territorial de Catalunya han de formalitzar llur inscripció en el Registre de Protecció de Dades de Catalunya en el termini de dos anys a comptar de l’entrada en vigor d’aquesta Llei, sens perjudici que les persones interessades puguin exercir-hi dels drets d’accés, rectificació i cancel·lació.

Tercera

Creació, modificació i supressió de fitxers

Els consellers de la Generalitat, dins l’àmbit de les competències respectives, resten habilitats per a la creació, la modificació i la supressió, mitjançant ordre, dels fitxers que siguin pertinents.

Quarta

Competències del Síndic de Greuges

L’exercici de les funcions de l’Agència Catalana de Protecció de Dades s’entén que és sens perjudici de les competències del Síndic de Greuges.

Cinquena

Fitxers inscrits al Registre de l’Estat

En el termini de tres mesos a partir de la constitució del Consell Assessor, l’Agència Catalana de Protecció de Dades ha de sol·licitar a l’Agència de Protecció de Dades de l’Estat tota la informació respecte els fitxers inscrits en el seu Registre General que siguin de titularitat de les entitats que integren l’Administració local de Catalunya.

Disposicions finals

Primera

Estatut de l’Agència

En el termini de tres mesos a comptar des de l’entrada en vigor d’aquesta Llei, el Govern ha de dictar les disposicions necessàries per a l’aprovació d’un estatut de l’Agència Catalana de Protecció de Dades.

Segona

Constitució del Consell Assessor de Protecció de Dades

El Consell Assessor de Protecció de Dades s’ha de constituir en el termini de quatre mesos, a comptar des de l’entrada en vigor d’aquesta Llei.

Tercera

Entrada en vigor

Aquesta Llei entra en vigor l’endemà d’haver estat publicada al Diari Oficial de la Generalitat de Catalunya.

Per tant, ordeno que tots els ciutadans als quals sigui d'aplicació aquesta Llei cooperin al seu compliment i que els tribunals i les autoritats als quals pertoqui la facin complir.

Palau de la Generalitat, 19 d'abril de 2002

Jordi Pujol

President de la Generalitat de Catalunya

Núria de Gispert i Català

Consellera de Governació i

Relacions Institucionals

Date: 
Monday, 29 April, 2002