Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2018-16673

Ley Orgnica 3/2018, de 5 de diciembre, de Proteccin de Datos Personales y garanta de los derechos digitales.

TEXTO

FELIPE VI

REY DE ESPAA

A todos los que la presente vieren y entendieren.

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley orgnica.

NDICE

Prembulo.

Ttulo I. Disposiciones generales.

Artculo 1. Objeto de la ley.

Artculo 2. mbito de aplicacin de los ttulos I a IX y de los artculos 89 a 94.

Artculo 3. Datos de las personas fallecidas.

Ttulo II. Principios de proteccin de datos.

Artculo 4. Exactitud de los datos.

Artculo 5. Deber de confidencialidad.

Artculo 6. Tratamiento basado en el consentimiento del afectado.

Artculo 7. Consentimiento de los menores de edad.

Artculo 8. Tratamiento de datos por obligacin legal, inters pblico o ejercicio de poderes pblicos.

Artculo 9. Categoras especiales de datos.

Artculo 10. Tratamiento de datos de naturaleza penal.

Ttulo III. Derechos de las personas.

Captulo I. Transparencia e informacin.

Artculo 11. Transparencia e informacin al afectado.

Captulo II. Ejercicio de los derechos.

Artculo 12. Disposiciones generales sobre ejercicio de los derechos.

Artculo 13. Derecho de acceso.

Artculo 14. Derecho de rectificacin.

Artculo 15. Derecho de supresin.

Artculo 16. Derecho a la limitacin del tratamiento.

Artculo 17. Derecho a la portabilidad.

Artculo 18. Derecho de oposicin.

Ttulo IV. Disposiciones aplicables a tratamientos concretos.

Artculo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

Artculo 20. Sistemas de informacin crediticia.

Artculo 21. Tratamientos relacionados con la realizacin de determinadas operaciones mercantiles.

Artculo 22. Tratamientos con fines de videovigilancia.

Artculo 23. Sistemas de exclusin publicitaria.

Artculo 24. Sistemas de informacin de denuncias internas.

Artculo 25. Tratamiento de datos en el mbito de la funcin estadstica pblica.

Artculo 26. Tratamiento de datos con fines de archivo en inters pblico por parte de las Administraciones Pblicas.

Artculo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas.

Ttulo V. Responsable y encargado del tratamiento.

Captulo I. Disposiciones generales. Medidas de responsabilidad activa.

Artculo 28. Obligaciones generales del responsable y encargado del tratamiento.

Artculo 29. Supuestos de corresponsabilidad en el tratamiento.

Artculo 30. Representantes de los responsables o encargados del tratamiento no establecidos en la Unin Europea.

Artculo 31. Registro de las actividades de tratamiento.

Artculo 32. Bloqueo de los datos.

Captulo II. Encargado del tratamiento.

Artculo 33. Encargado del tratamiento.

Captulo III. Delegado de proteccin de datos.

Artculo 34. Designacin de un delegado de proteccin de datos.

Artculo 35. Cualificacin del delegado de proteccin de datos.

Artculo 36. Posicin del delegado de proteccin de datos.

Artculo 37. Intervencin del delegado de proteccin de datos en caso de reclamacin ante las autoridades de proteccin de datos.

Captulo IV. Cdigos de conducta y certificacin.

Artculo 38. Cdigos de conducta.

Artculo 39. Acreditacin de instituciones de certificacin.

Ttulo VI. Transferencias internacionales de datos.

Artculo 40. Rgimen de las transferencias internacionales de datos.

Artculo 41. Supuestos de adopcin por la Agencia Espaola de Proteccin de Datos.

Artculo 42. Supuestos sometidos a autorizacin previa de las autoridades de proteccin de datos.

Artculo 43. Supuestos sometidos a informacin previa a la autoridad de proteccin de datos competente.

Ttulo VII. Autoridades de proteccin de datos.

Captulo I. La Agencia Espaola de Proteccin de Datos.

Seccin 1. Disposiciones generales.

Artculo 44. Disposiciones generales.

Artculo 45. Rgimen jurdico.

Artculo 46. Rgimen econmico presupuestario y de personal.

Artculo 47. Funciones y potestades de la Agencia Espaola de Proteccin de Datos.

Artculo 48. La Presidencia de la Agencia Espaola de Proteccin de Datos.

Artculo 49. Consejo Consultivo de la Agencia Espaola de Proteccin de Datos.

Artculo 50. Publicidad.

Seccin 2. Potestades de investigacin y planes de auditora preventiva.

Artculo 51. mbito y personal competente.

Artculo 52. Deber de colaboracin.

Artculo 53. Alcance de la actividad de investigacin.

Artculo 54. Planes de auditora.

Seccin 3. Otras potestades de la Agencia Espaola de Proteccin de Datos.

Artculo 55. Potestades de regulacin. Circulares de la Agencia Espaola de Proteccin de Datos.

Artculo 56. Accin exterior.

Captulo II. Autoridades autonmicas de proteccin de datos.

Seccin 1. Disposiciones generales.

Artculo 57. Autoridades autonmicas de proteccin de datos.

Artculo 58. Cooperacin institucional.

Artculo 59. Tratamientos contrarios al Reglamento (UE) 2016/679.

Seccin 2. Coordinacin en el marco de los procedimientos establecidos en el Reglamento (UE) 2016/679.

Artculo 60. Coordinacin en caso de emisin de dictamen por el Comit Europeo de Proteccin de Datos.

Artculo 61. Intervencin en caso de tratamientos transfronterizos.

Artculo 62. Coordinacin en caso de resolucin de conflictos por el Comit Europeo de Proteccin de Datos.

Ttulo VIII. Procedimientos en caso de posible vulneracin de la normativa de proteccin de datos.

Artculo 63. Rgimen jurdico.

Artculo 64. Forma de iniciacin del procedimiento y duracin.

Artculo 65. Admisin a trmite de las reclamaciones.

Artculo 66. Determinacin del alcance territorial.

Artculo 67. Actuaciones previas de investigacin.

Artculo 68. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

Artculo 69. Medidas provisionales y de garanta de los derechos.

Ttulo IX. Rgimen sancionador.

Artculo 70. Sujetos responsables.

Artculo 71. Infracciones.

Artculo 72. Infracciones consideradas muy graves.

Artculo 73. Infracciones consideradas graves.

Artculo 74. Infracciones consideradas leves.

Artculo 75. Interrupcin de la prescripcin de la infraccin.

Artculo 76. Sanciones y medidas correctivas.

Artculo 77. Rgimen aplicable a determinadas categoras de responsables o encargados del tratamiento.

Artculo 78. Prescripcin de las sanciones.

Ttulo X. Garanta de los derechos digitales.

Artculo 79. Los derechos en la Era digital.

Artculo 80. Derecho a la neutralidad de Internet.

Artculo 81. Derecho de acceso universal a Internet.

Artculo 82. Derecho a la seguridad digital.

Artculo 83. Derecho a la educacin digital.

Artculo 84. Proteccin de los menores en Internet.

Artculo 85. Derecho de rectificacin en Internet.

Artculo 86. Derecho a la actualizacin de informaciones en medios de comunicacin digitales.

Artculo 87. Derecho a la intimidad y uso de dispositivos digitales en el mbito laboral.

Artculo 88. Derecho a la desconexin digital en el mbito laboral.

Artculo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabacin de sonidos en el lugar de trabajo.

Artculo 90. Derecho a la intimidad ante la utilizacin de sistemas de geolocalizacin en el mbito laboral.

Artculo 91. Derechos digitales en la negociacin colectiva.

Artculo 92. Proteccin de datos de los menores en Internet.

Artculo 93. Derecho al olvido en bsquedas de Internet.

Artculo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes.

Artculo 95. Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.

Artculo 96. Derecho al testamento digital.

Artculo 97. Polticas de impulso de los derechos digitales.

Disposicin adicional primera. Medidas de seguridad en el mbito del sector pblico.

Disposicin adicional segunda. Proteccin de datos y transparencia y acceso a la informacin pblica.

Disposicin adicional tercera. Cmputo de plazos.

Disposicin adicional cuarta. Procedimiento en relacin con las competencias atribuidas a la Agencia Espaola de Proteccin de Datos por otras leyes.

Disposicin adicional quinta. Autorizacin judicial en relacin con decisiones de la Comisin Europea en materia de transferencia internacional de datos.

Disposicin adicional sexta. Incorporacin de deudas a sistemas de informacin crediticia.

Disposicin adicional sptima. Identificacin de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

Disposicin adicional octava. Potestad de verificacin de las Administraciones Pblicas.

Disposicin adicional novena. Tratamiento de datos personales en relacin con la notificacin de incidentes de seguridad.

Disposicin adicional dcima. Comunicaciones de datos por los sujetos enumerados en el artculo 77.1.

Disposicin adicional undcima. Privacidad en las comunicaciones electrnicas.

Disposicin adicional duodcima. Disposiciones especficas aplicables a los tratamientos de los registros de personal del sector pblico.

Disposicin adicional decimotercera. Transferencias internacionales de datos tributarios.

Disposicin adicional decimocuarta. Normas dictadas en desarrollo del artculo 13 de la Directiva 95/46/CE.

Disposicin adicional decimoquinta. Requerimiento de informacin por parte de la Comisin Nacional del Mercado de Valores.

Disposicin adicional decimosexta. Prcticas agresivas en materia de proteccin de datos.

Disposicin adicional decimosptima. Tratamientos de datos de salud.

Disposicin adicional decimoctava. Criterios de seguridad.

Disposicin adicional decimonovena. Derechos de los menores ante Internet.

Disposicin adicional vigsima. Especialidades del rgimen jurdico de la Agencia Espaola de Proteccin de Datos.

Disposicin adicional vigsima primera. Educacin digital.

Disposicin adicional vigsima segunda. Acceso a los archivos pblicos y eclesisticos.

Disposicin transitoria primera. Estatuto de la Agencia Espaola de Proteccin de Datos.

Disposicin transitoria segunda. Cdigos tipo inscritos en las autoridades de proteccin de datos conforme a la Ley Orgnica 15/1999, de 13 de diciembre.

Disposicin transitoria tercera. Rgimen transitorio de los procedimientos.

Disposicin transitoria cuarta. Tratamientos sometidos a la Directiva (UE) 2016/680.

Disposicin transitoria quinta. Contratos de encargado del tratamiento.

Disposicin transitoria sexta. Reutilizacin con fines de investigacin en materia de salud y biomdica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley.

Disposicin derogatoria nica. Derogacin normativa.

Disposicin final primera. Naturaleza de la presente ley.

Disposicin final segunda. Ttulo competencial.

Disposicin final tercera. Modificacin de la Ley Orgnica 5/1985, de 19 de junio, del Rgimen Electoral General.

Disposicin final cuarta. Modificacin de la Ley Orgnica 6/1985, de 1 de julio, del Poder Judicial.

Disposicin final quinta. Modificacin de la Ley 14/1986, de 25 de abril, General de Sanidad.

Disposicin final sexta. Modificacin de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdiccin Contencioso-administrativa.

Disposicin final sptima. Modificacin de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

Disposicin final octava. Modificacin de la Ley Orgnica 6/2001, de 21 de diciembre, de Universidades.

Disposicin final novena. Modificacin de la Ley 41/2002, de 14 de noviembre, bsica reguladora de la autonoma del paciente y de derechos y obligaciones en materia de informacin y documentacin clnica.

Disposicin final dcima. Modificacin de la Ley Orgnica 2/2006, de 3 de mayo, de Educacin.

Disposicin final undcima. Modificacin de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la informacin pblica y buen gobierno.

Disposicin final duodcima. Modificacin de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas.

Disposicin final decimotercera. Modificacin del texto refundido de la Ley del Estatuto de los Trabajadores.

Disposicin final decimocuarta. Modificacin del texto refundido de la Ley del Estatuto Bsico del Empleado Pblico.

Disposicin final decimoquinta. Desarrollo normativo.

Disposicin final decimosexta. Entrada en vigor.

PREMBULO

I

La proteccin de las personas fsicas en relacin con el tratamiento de datos personales es un derecho fundamental protegido por el artculo 18.4 de la Constitucin espaola. De esta manera, nuestra Constitucin fue pionera en el reconocimiento del derecho fundamental a la proteccin de datos personales cuando dispuso que la ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Se haca as eco de los trabajos desarrollados desde finales de la dcada de 1960 en el Consejo de Europa y de las pocas disposiciones legales adoptadas en pases de nuestro entorno.

El Tribunal Constitucional seal en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante un derecho fundamental a la proteccin de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el trfico ilcito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la proteccin de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justific su obtencin. Por su parte, en la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autnomo e independiente que consiste en un poder de disposicin y de control sobre los datos personales que faculta a la persona para decidir cules de esos datos proporcionar a un tercero, sea el Estado o un particular, o cules puede este tercero recabar, y que tambin permite al individuo saber quin posee esos datos personales y para qu, pudiendo oponerse a esa posesin o uso.

A nivel legislativo, la concrecin y desarrollo del derecho fundamental de proteccin de las personas fsicas en relacin con el tratamiento de datos personales tuvo lugar en sus orgenes mediante la aprobacin de la Ley Orgnica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos personales, conocida como LORTAD. La Ley Orgnica 5/1992 fue reemplazada por la Ley Orgnica 15/1999, de 5 de diciembre, de proteccin de datos personales, a fin de trasponer a nuestro derecho a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos. Esta ley orgnica supuso un segundo hito en la evolucin de la regulacin del derecho fundamental a la proteccin de datos en Espaa y se complement con una cada vez ms abundante jurisprudencia procedente de los rganos de la jurisdiccin contencioso-administrativa.

Por otra parte, tambin se recoge en el artculo 8 de la Carta de los Derechos Fundamentales de la Unin Europea y en el artculo 16.1 del Tratado de Funcionamiento de la Unin Europea. Anteriormente, a nivel europeo, se haba adoptado la Directiva 95/46/CE citada, cuyo objeto era procurar que la garanta del derecho a la proteccin de datos personales no supusiese un obstculo a la libre circulacin de los datos en el seno de la Unin, estableciendo as un espacio comn de garanta del derecho que, al propio tiempo, asegurase que en caso de transferencia internacional de los datos, su tratamiento en el pas de destino estuviese protegido por salvaguardas adecuadas a las previstas en la propia directiva.

II

En los ltimos aos de la pasada dcada se intensificaron los impulsos tendentes a lograr una regulacin ms uniforme del derecho fundamental a la proteccin de datos en el marco de una sociedad cada vez ms globalizada. As, se fueron adoptando en distintas instancias internacionales propuestas para la reforma del marco vigente. Y en este marco la Comisin lanz el 4 de noviembre de 2010 su Comunicacin titulada Un enfoque global de la proteccin de los datos personales en la Unin Europea, que constituye el germen de la posterior reforma del marco de la Unin Europea. Al propio tiempo, el Tribunal de Justicia de la Unin ha venido adoptando a lo largo de los ltimos aos una jurisprudencia que resulta fundamental en su interpretacin.

El ltimo hito en esta evolucin tuvo lugar con la adopcin del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de sus datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de proteccin de datos), as como de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevencin, investigacin, deteccin o enjuiciamiento de infracciones penales o de ejecucin de sanciones penales, y a la libre circulacin de dichos datos y por la que se deroga la Decisin Marco 2008/977/JAI del Consejo.

III

El Reglamento general de proteccin de datos pretende con su eficacia directa superar los obstculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de esos datos. La transposicin de la directiva por los Estados miembros se ha plasmado en un mosaico normativo con perfiles irregulares en el conjunto de la Unin Europea lo que, en ltimo extremo, ha conducido a que existan diferencias apreciables en la proteccin de los derechos de los ciudadanos.

Asimismo, se atiende a nuevas circunstancias, principalmente el aumento de los flujos transfronterizos de datos personales como consecuencia del funcionamiento del mercado interior, los retos planteados por la rpida evolucin tecnolgica y la globalizacin, que ha hecho que los datos personales sean el recurso fundamental de la sociedad de la informacin. El carcter central de la informacin personal tiene aspectos positivos, porque permite nuevos y mejores servicios, productos o hallazgos cientficos. Pero tiene tambin riesgos, pues las informaciones sobre los individuos se multiplican exponencialmente, son ms accesibles, por ms actores, y cada vez son ms fciles de procesar mientras que es ms difcil el control de su destino y uso.

El Reglamento general de proteccin de datos supone la revisin de las bases legales del modelo europeo de proteccin de datos ms all de una mera actualizacin de la vigente normativa. Procede a reforzar la seguridad jurdica y transparencia a la vez que permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. As, el Reglamento general de proteccin de datos contiene un buen nmero de habilitaciones, cuando no imposiciones, a los Estados miembros, a fin de regular determinadas materias, permitiendo incluso en su considerando 8, y a diferencia de lo que constituye principio general del Derecho de la Unin Europea que, cuando sus normas deban ser especificadas, interpretadas o, excepcionalmente, restringidas por el Derecho de los Estados miembros, estos tengan la posibilidad de incorporar al derecho nacional previsiones contenidas especficamente en el reglamento, en la medida en que sea necesario por razones de coherencia y comprensin.

En este punto hay que subrayar que no se excluye toda intervencin del Derecho interno en los mbitos concernidos por los reglamentos europeos. Al contrario, tal intervencin puede ser procedente, incluso necesaria, tanto para la depuracin del ordenamiento nacional como para el desarrollo o complemento del reglamento de que se trate. As, el principio de seguridad jurdica, en su vertiente positiva, obliga a los Estados miembros a integrar el ordenamiento europeo en el interno de una manera lo suficientemente clara y pblica como para permitir su pleno conocimiento tanto por los operadores jurdicos como por los propios ciudadanos, en tanto que, en su vertiente negativa, implica la obligacin para tales Estados de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho nacional incompatibles con el europeo. De esta segunda vertiente se colige la consiguiente obligacin de depurar el ordenamiento jurdico. En definitiva, el principio de seguridad jurdica obliga a que la normativa interna que resulte incompatible con el Derecho de la Unin Europea quede definitivamente eliminada mediante disposiciones internas de carcter obligatorio que tengan el mismo valor jurdico que las disposiciones internas que deban modificarse (Sentencias del Tribunal de Justicia de 23 de febrero de 2006, asunto Comisin vs. Espaa; de 13 de julio de 2000, asunto Comisin vs. Francia; y de 15 de octubre de 1986, asunto Comisin vs. Italia). Por ltimo, los reglamentos, pese a su caracterstica de aplicabilidad directa, en la prctica pueden exigir otras normas internas complementarias para hacer plenamente efectiva su aplicacin. En este sentido, ms que de incorporacin cabra hablar de desarrollo o complemento del Derecho de la Unin Europea.

La adaptacin al Reglamento general de proteccin de datos, que ser aplicable a partir del 25 de mayo de 2018, segn establece su artculo 99, requiere, en suma, la elaboracin de una nueva ley orgnica que sustituya a la actual. En esta labor se han preservado los principios de buena regulacin, al tratarse de una norma necesaria para la adaptacin del ordenamiento espaol a la citada disposicin europea y proporcional a este objetivo, siendo su razn ltima procurar seguridad jurdica.

IV

Internet, por otra parte, se ha convertido en una realidad omnipresente tanto en nuestra vida personal como colectiva. Una gran parte de nuestra actividad profesional, econmica y privada se desarrolla en la Red y adquiere una importancia fundamental tanto para la comunicacin humana como para el desarrollo de nuestra vida en sociedad. Ya en los aos noventa, y conscientes del impacto que iba a producir Internet en nuestras vidas, los pioneros de la Red propusieron elaborar una Declaracin de los Derechos del Hombre y del Ciudadano en Internet.

Hoy identificamos con bastante claridad los riesgos y oportunidades que el mundo de las redes ofrece a la ciudadana. Corresponde a los poderes pblicos impulsar polticas que hagan efectivos los derechos de la ciudadana en Internet promoviendo la igualdad de los ciudadanos y de los grupos en los que se integran para hacer posible el pleno ejercicio de los derechos fundamentales en la realidad digital. La transformacin digital de nuestra sociedad es ya una realidad en nuestro desarrollo presente y futuro tanto a nivel social como econmico. En este contexto, pases de nuestro entorno ya han aprobado normativa que refuerza los derechos digitales de la ciudadana.

Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances tecnolgicos provocaran en nuestra sociedad y, en particular, en el disfrute de los derechos fundamentales. Una deseable futura reforma de la Constitucin debera incluir entre sus prioridades la actualizacin de la Constitucin a la era digital y, especficamente, elevar a rango constitucional una nueva generacin de derechos digitales. Pero, en tanto no se acometa este reto, el legislador debe abordar el reconocimiento de un sistema de garanta de los derechos digitales que, inequvocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artculo 18 de la Constitucin Espaola y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea.

V

Esta ley orgnica consta de noventa y siete artculos estructurados en diez ttulos, veintids disposiciones adicionales, seis disposiciones transitorias, una disposicin derogatoria y diecisis disposiciones finales.

El Ttulo I, relativo a las disposiciones generales, comienza regulando el objeto de la ley orgnica, que es, conforme a lo que se ha indicado, doble. As, en primer lugar, se pretende lograr la adaptacin del ordenamiento jurdico espaol al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de proteccin de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas fsicas a la proteccin de datos personales, amparado por el artculo 18.4 de la Constitucin, se ejercer con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgnica. Las comunidades autnomas ostentan competencias de desarrollo normativo y ejecucin del derecho fundamental a la proteccin de datos personales en su mbito de actividad y a las autoridades autonmicas de proteccin de datos que se creen les corresponde contribuir a garantizar este derecho fundamental de la ciudadana. En segundo lugar, es tambin objeto de la ley garantizar los derechos digitales de la ciudadana, al amparo de lo dispuesto en el artculo 18.4 de la Constitucin.

Destaca la novedosa regulacin de los datos referidos a las personas fallecidas, pues, tras excluir del mbito de aplicacin de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, as como su rectificacin o supresin, en su caso con sujecin a las instrucciones del fallecido. Tambin excluye del mbito de aplicacin los tratamientos que se rijan por disposiciones especficas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previndose en la disposicin transitoria cuarta la aplicacin a estos tratamientos de la Ley Orgnica 15/1999, de 13 de diciembre, hasta que se apruebe la citada normativa.

En el Ttulo II, Principios de proteccin de datos, se establece que a efectos del Reglamento (UE) 2016/679 no sern imputables al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilacin, la inexactitud de los datos obtenidos directamente del afectado, cuando hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad, o cuando el responsable los obtuviese del mediador o intermediario cuando las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervencin de un intermediario o mediador o cuando los datos hubiesen sido obtenidos de un registro pblico. Tambin se recoge expresamente el deber de confidencialidad, el tratamiento de datos amparado por la ley, las categoras especiales de datos y el tratamiento de datos de naturaleza penal, se alude especficamente al consentimiento, que ha de proceder de una declaracin o de una clara accin afirmativa del afectado, excluyendo lo que se conoca como consentimiento tcito, se indica que el consentimiento del afectado para una pluralidad de finalidades ser preciso que conste de manera especfica e inequvoca que se otorga para todas ellas, y se mantiene en catorce aos la edad a partir de la cual el menor puede prestar su consentimiento.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligacin legal exigible al responsable, en los trminos previstos en el Reglamento (UE) 2016/679, cuando as lo prevea una norma de Derecho de la Unin Europea o una ley, que podr determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo as como las cesiones que procedan como consecuencia del cumplimiento de la obligacin legal, Este es el caso, por ejemplo, de las bases de datos reguladas por ley y gestionadas por autoridades pblicas que responden a objetivos especficos de control de riesgos y solvencia, supervisin e inspeccin del tipo de la Central de Informacin de Riesgos del Banco de Espaa regulada por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, o de los datos, documentos e informaciones de carcter reservado que obren en poder de la Direccin General de Seguros y Fondos de Pensiones de conformidad con lo previsto en la Ley 20/2015, de 14 de julio, de ordenacin, supervisin y solvencia de las entidades aseguradoras y reaseguradoras.

Se podrn igualmente imponer condiciones especiales al tratamiento, tales como la adopcin de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades pblicas o del cumplimiento de una obligacin legal y solo podr considerarse fundado en el cumplimiento de una misin realizada en inters pblico o en el ejercicio de poderes pblicos conferidos al responsable, en los trminos previstos en el reglamento europeo, cuando derive de una competencia atribuida por la ley. Y se mantiene la prohibicin de consentir tratamientos con la finalidad principal de almacenar informacin identificativa de determinadas categoras de datos especialmente protegidos, lo que no impide que los mismos puedan ser objeto de tratamiento en los dems supuestos previstos en el Reglamento (UE) 2016/679. As, por ejemplo, la prestacin del consentimiento no dar cobertura a la creacin de listas negras de sindicalistas, si bien los datos de afiliacin sindical podrn ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artculo 9.2.b) del Reglamento (UE) 2016/679 o por los propios sindicatos en los trminos del artculo 9.2.d) de la misma norma europea.

Tambin en relacin con el tratamiento de categoras especiales de datos, el artculo 9.2 consagra el principio de reserva de ley para su habilitacin en los supuestos previstos en el Reglamento (UE) 2016/679. Dicha previsin no slo alcanza a las disposiciones que pudieran adoptarse en el futuro, sino que permite dejar a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica especficamente, respecto de la legislacin sanitaria y aseguradora, en la disposicin adicional decimosptima. El Reglamento general de proteccin de datos no afecta a dichas habilitaciones, que siguen plenamente vigentes, permitiendo incluso llevar a cabo una interpretacin extensiva de las mismas, como sucede, en particular, en cuanto al alcance del consentimiento del afectado o el uso de sus datos sin consentimiento en el mbito de la investigacin biomdica. A tal efecto, el apartado 2 de la Disposicin adicional decimosptima introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigacin en materia de salud, y en particular la biomdica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantas del derecho fundamental a la proteccin de datos.

El Ttulo III, dedicado a los derechos de las personas, adapta al Derecho espaol el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento y recoge la denominada informacin por capas ya generalmente aceptada en mbitos como el de la videovigilancia o la instalacin de dispositivos de almacenamiento masivo de datos (tales como las cookies), facilitando al afectado la informacin bsica, si bien, indicndole una direccin electrnica u otro medio que permita acceder de forma sencilla e inmediata a la restante informacin.

Se hace uso en este Ttulo de la habilitacin permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su rgimen, garantizando la adecuada estructura sistemtica del texto. A continuacin, la ley orgnica contempla los derechos de acceso, rectificacin, supresin, oposicin, derecho a la limitacin del tratamiento y derecho a la portabilidad.

En el Ttulo IV se recogen Disposiciones aplicables a tratamientos concretos, incorporando una serie de supuestos que en ningn caso debe considerarse exhaustiva de todos los tratamientos lcitos. Dentro de ellos cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una presuncin iuris tantum de prevalencia del inters legtimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deber llevar a cabo la ponderacin legalmente exigible, al no presumirse la prevalencia de su inters legtimo. Junto a estos supuestos se recogen otros, tales como la videovigilancia, los ficheros de exclusin publicitaria o los sistemas de denuncias internas en que la licitud del tratamiento proviene de la existencia de un inters pblico, en los trminos establecidos en el artculo 6.1.e) del Reglamento (UE) 2016/679. Finalmente, se hace referencia en este Ttulo a la licitud de otros tratamientos regulados en el Captulo IX del reglamento, como los relacionados con la funcin estadstica o con fines de archivo de inters general. En todo caso, el hecho de que el legislador se refiera a la licitud de los tratamientos no enerva la obligacin de los responsables de adoptar todas las medidas de responsabilidad activa establecidas en el Captulo IV del reglamento europeo y en el Ttulo V de esta ley orgnica.

El Ttulo V se refiere al responsable y al encargado del tratamiento. Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolucin de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoracin por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoracin, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgnica mantiene la misma denominacin del Captulo IV del Reglamento, dividiendo el articulado en cuatro captulos dedicados, respectivamente, a las medidas generales de responsabilidad activa, al rgimen del encargado del tratamiento, a la figura del delegado de proteccin de datos y a los mecanismos de autorregulacin y certificacin. La figura del delegado de proteccin de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y as lo recoge la ley orgnica, que parte del principio de que puede tener un carcter obligatorio o voluntario, estar o no integrado en la organizacin del responsable o encargado y ser tanto una persona fsica como una persona jurdica. La designacin del delegado de proteccin de datos ha de comunicarse a la autoridad de proteccin de datos competente. La Agencia Espaola de Proteccin de Datos mantendr una relacin pblica y actualizada de los delegados de proteccin de datos, accesible por cualquier persona. Los conocimientos en la materia se podrn acreditar mediante esquemas de certificacin. Asimismo, no podr ser removido, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de proteccin de datos permite configurar un medio para la resolucin amistosa de reclamaciones, pues el interesado podr reproducir ante l la reclamacin que no sea atendida por el responsable o encargado del tratamiento.

El Ttulo VI, relativo a las transferencias internacionales de datos, procede a la adaptacin de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos a travs de los cuales las autoridades de proteccin de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorizacin de una determinada transferencia, o informacin previa.

El Ttulo VII se dedica a las autoridades de proteccin de datos, que siguiendo el mandato del Reglamento (UE) 2016/679 se han de establecer por ley nacional. Manteniendo el esquema que se vena recogiendo en sus antecedentes normativos, la ley orgnica regula el rgimen de la Agencia Espaola de Proteccin de Datos y refleja la existencia de las autoridades autonmicas de proteccin de datos y la necesaria cooperacin entre las autoridades de control. La Agencia Espaola de Proteccin de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, que se relaciona con el Gobierno a travs del Ministerio de Justicia.

El Ttulo VIII regula el Procedimientos en caso de posible vulneracin de la normativa de proteccin de datos. El Reglamento (UE) 2016/679 establece un sistema novedoso y complejo, evolucionando hacia un modelo de ventanilla nica en el que existe una autoridad de control principal y otras autoridades interesadas. Tambin se establece un procedimiento de cooperacin entre autoridades de los Estados miembros y, en caso de discrepancia, se prev la decisin vinculante del Comit Europeo de Proteccin de Datos. En consecuencia, con carcter previo a la tramitacin de cualquier procedimiento, ser preciso determinar si el tratamiento tiene o no carcter transfronterizo y, en caso de tenerlo, qu autoridad de proteccin de datos ha de considerarse principal.

La regulacin se limita a delimitar el rgimen jurdico; la iniciacin de los procedimientos, siendo posible que la Agencia Espaola de Proteccin de Datos remita la reclamacin al delegado de proteccin de datos o a los rganos o entidades que tengan a su cargo la resolucin extrajudicial de conflictos conforme a lo establecido en un cdigo de conducta; la inadmisin de las reclamaciones; las actuaciones previas de investigacin; las medidas provisionales, entre las que destaca la orden de bloqueo de los datos; y el plazo de tramitacin de los procedimientos y, en su caso, su suspensin. Las especialidades del procedimiento se remiten al desarrollo reglamentario.

El Ttulo IX, que contempla el rgimen sancionador, parte de que el Reglamento (UE) 2016/679 establece un sistema de sanciones o actuaciones correctivas que permite un amplio margen de apreciacin. En este marco, la ley orgnica procede a describir las conductas tpicas, estableciendo la distincin entre infracciones muy graves, graves y leves, tomando en consideracin la diferenciacin que el Reglamento general de proteccin de datos establece al fijar la cuanta de las sanciones. La categorizacin de las infracciones se introduce a los solos efectos de determinar los plazos de prescripcin, teniendo la descripcin de las conductas tpicas como nico objeto la enumeracin de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea. La ley orgnica regula los supuestos de interrupcin de la prescripcin partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemtica derivada de los procedimientos establecidos en el reglamento europeo, en funcin de si el procedimiento se tramita exclusivamente por la Agencia Espaola de Proteccin de Datos o si se acude al procedimiento coordinado del artculo 60 del Reglamento general de proteccin de datos.

El Reglamento (UE) 2016/679 establece amplios mrgenes para la determinacin de la cuanta de las sanciones. La ley orgnica aprovecha la clusula residual del artculo 83.2 de la norma europea, referida a los factores agravantes o atenuantes, para aclarar que entre los elementos a tener en cuenta podrn incluirse los que ya aparecan en el artculo 45.4 y 5 de la Ley Orgnica 15/1999, y que son conocidos por los operadores jurdicos.

Finalmente, el Ttulo X de esta ley acomete la tarea de reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitucin. En particular, son objeto de regulacin los derechos y libertades predicables al entorno de Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y educacin digital as como los derechos al olvido, a la portabilidad y al testamento digital. Ocupa un lugar relevante el reconocimiento del derecho a la desconexin digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el mbito laboral y la proteccin de los menores en Internet. Finalmente, resulta destacable la garanta de la libertad de expresin y el derecho a la aclaracin de informaciones en medios de comunicacin digitales.

Las disposiciones adicionales se refieren a cuestiones como las medidas de seguridad en el mbito del sector pblico, proteccin de datos y transparencia y acceso a la informacin pblica, cmputo de plazos, autorizacin judicial en materia de transferencias internacionales de datos, la proteccin frente a prcticas abusivas que pudieran desarrollar ciertos operadores, o los tratamientos de datos de salud, entre otras.

De conformidad con la disposicin adicional decimocuarta, la normativa relativa a las excepciones y limitaciones en el ejercicio de los derechos que hubiese entrado en vigor con anterioridad a la fecha de aplicacin del reglamento europeo y en particular los artculos 23 y 24 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, seguir vigente en tanto no sea expresamente modificada, sustituida o derogada. La pervivencia de esta normativa supone la continuidad de las excepciones y limitaciones que en ella se contienen hasta que se produzca su reforma o abrogacin, si bien referida a los derechos tal y como se regulan en el Reglamento (UE) 2016/679 y en esta ley orgnica. As, por ejemplo, en virtud de la referida disposicin adicional, las Administraciones tributarias responsables de los ficheros de datos con trascendencia tributaria a que se refiere el artculo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, podrn, en relacin con dichos datos, denegar el ejercicio de los derechos a que se refieren los artculos 15 a 22 del Reglamento (UE) 2016/679, cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado est siendo objeto de actuaciones inspectoras.

Las disposiciones transitorias estn dedicadas, entre otras cuestiones, al estatuto de la Agencia Espaola de Proteccin de Datos, el rgimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680. Se recoge una disposicin derogatoria y, a continuacin, figuran las disposiciones finales sobre los preceptos con carcter de ley ordinaria, el ttulo competencial y la entrada en vigor.

Asimismo, se introducen las modificaciones necesarias de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdiccin Contencioso-administrativa, la Ley Orgnica, 6/1985, de 1 de julio, del Poder Judicial, la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la informacin pblica y buen gobierno, la Ley Orgnica 5/1985, de 19 de junio, del Rgimen Electoral General, la Ley 14/1986, de 25 de abril, General de Sanidad, la Ley 41/2002, de 14 de noviembre, bsica reguladora de la autonoma del paciente y de derechos y obligaciones en materia de informacin y documentacin clnica y la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas.

Finalmente, y en relacin con la garanta de los derechos digitales, tambin se introducen modificaciones en la Ley Orgnica 2/2006, de 3 de mayo, de Educacin, la Ley Orgnica 6/2001, de 21 de diciembre, de Universidades, as como en el Texto Refundido de la Ley del Estatuto de los Trabajadores y en el Texto Refundido de la Ley del Estatuto Bsico del Empleado Pblico.

TTULO I
Disposiciones generales
Artculo 1. Objeto de la ley.

La presente ley orgnica tiene por objeto:

a) Adaptar el ordenamiento jurdico espaol al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de sus datos personales y a la libre circulacin de estos datos, y completar sus disposiciones.

El derecho fundamental de las personas fsicas a la proteccin de datos personales, amparado por el artculo 18.4 de la Constitucin, se ejercer con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgnica.

b) Garantizar los derechos digitales de la ciudadana conforme al mandato establecido en el artculo 18.4 de la Constitucin.

Artculo 2. mbito de aplicacin de los Ttulos I a IX y de los artculos 89 a 94.

1. Lo dispuesto en los Ttulos I a IX y en los artculos 89 a 94 de la presente ley orgnica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, as como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Esta ley orgnica no ser de aplicacin:

a) A los tratamientos excluidos del mbito de aplicacin del Reglamento general de proteccin de datos por su artculo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artculo.

b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artculo 3.

c) A los tratamientos sometidos a la normativa sobre proteccin de materias clasificadas.

3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el mbito de aplicacin del Derecho de la Unin Europea, se regirn por lo dispuesto en su legislacin especfica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgnica. Se encuentran en esta situacin, entre otros, los tratamientos realizados al amparo de la legislacin orgnica del rgimen electoral general, los tratamientos realizados en el mbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.

4. El tratamiento de datos llevado a cabo con ocasin de la tramitacin por los rganos judiciales de los procesos de los que sean competentes, as como el realizado dentro de la gestin de la Oficina Judicial, se regirn por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgnica, sin perjuicio de las disposiciones de la Ley Orgnica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.

Artculo 3. Datos de las personas fallecidas.

1. Las personas vinculadas al fallecido por razones familiares o de hecho as como sus herederos podrn dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificacin o supresin.

Como excepcin, las personas a las que se refiere el prrafo anterior no podrn acceder a los datos del causante, ni solicitar su rectificacin o supresin, cuando la persona fallecida lo hubiese prohibido expresamente o as lo establezca una ley. Dicha prohibicin no afectar al derecho de los herederos a acceder a los datos de carcter patrimonial del causante.

2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrn tambin solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificacin o supresin.

Mediante real decreto se establecern los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.

3. En caso de fallecimiento de menores, estas facultades podrn ejercerse tambin por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podr actuar de oficio o a instancia de cualquier persona fsica o jurdica interesada.

En caso de fallecimiento de personas con discapacidad, estas facultades tambin podrn ejercerse, adems de por quienes seala el prrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

TTULO II
Principios de proteccin de datos
Artculo 4. Exactitud de los datos.

1. Conforme al artculo 5.1.d) del Reglamento (UE) 2016/679 los datos sern exactos y, si fuere necesario, actualizados.

2. A los efectos previstos en el artculo 5.1.d) del Reglamento (UE) 2016/679, no ser imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilacin, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:

a) Hubiesen sido obtenidos por el responsable directamente del afectado.

b) Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervencin de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisin al responsable. El mediador o intermediario asumir las responsabilidades que pudieran derivarse en el supuesto de comunicacin al responsable de datos que no se correspondan con los facilitados por el afectado.

c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artculo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley orgnica.

d) Fuesen obtenidos de un registro pblico por el responsable.

Artculo 5. Deber de confidencialidad.

1. Los responsables y encargados del tratamiento de datos as como todas las personas que intervengan en cualquier fase de este estarn sujetas al deber de confidencialidad al que se refiere el artculo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligacin general sealada en el apartado anterior ser complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrn aun cuando hubiese finalizado la relacin del obligado con el responsable o encargado del tratamiento.

Artculo 6. Tratamiento basado en el consentimiento del afectado.

1. De conformidad con lo dispuesto en el artculo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestacin de voluntad libre, especfica, informada e inequvoca por la que este acepta, ya sea mediante una declaracin o una clara accin afirmativa, el tratamiento de datos personales que le conciernen.

2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades ser preciso que conste de manera especfica e inequvoca que dicho consentimiento se otorga para todas ellas.

3. No podr supeditarse la ejecucin del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relacin con el mantenimiento, desarrollo o control de la relacin contractual.

Artculo 7. Consentimiento de los menores de edad.

1. El tratamiento de los datos personales de un menor de edad nicamente podr fundarse en su consentimiento cuando sea mayor de catorce aos.

Se exceptan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebracin del acto o negocio jurdico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de catorce aos, fundado en el consentimiento, solo ser lcito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.

Artculo 8. Tratamiento de datos por obligacin legal, inters pblico o ejercicio de poderes pblicos.

1. El tratamiento de datos personales solo podr considerarse fundado en el cumplimiento de una obligacin legal exigible al responsable, en los trminos previstos en el artculo 6.1.c) del Reglamento (UE) 2016/679, cuando as lo prevea una norma de Derecho de la Unin Europea o una norma con rango de ley, que podr determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo as como las cesiones que procedan como consecuencia del cumplimiento de la obligacin legal. Dicha norma podr igualmente imponer condiciones especiales al tratamiento, tales como la adopcin de medidas adicionales de seguridad u otras establecidas en el captulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podr considerarse fundado en el cumplimiento de una misin realizada en inters pblico o en el ejercicio de poderes pblicos conferidos al responsable, en los trminos previstos en el artculo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.

Artculo 9. Categoras especiales de datos.

1. A los efectos del artculo 9.2.a) del Reglamento (UE) 2016/679,a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastar para levantar la prohibicin del tratamiento de datos cuya finalidad principal sea identificar su ideologa, afiliacin sindical, religin, orientacin sexual, creencias u origen racial o tnico.

Lo dispuesto en el prrafo anterior no impedir el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artculo 9.2 del Reglamento (UE) 2016/679, cuando as proceda.

2. Los tratamientos de datos contemplados en las letras g), h) e i) del artculo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho espaol debern estar amparados en una norma con rango de ley, que podr establecer requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podr amparar el tratamiento de datos en el mbito de la salud cuando as lo exija la gestin de los sistemas y servicios de asistencia sanitaria y social, pblica y privada, o la ejecucin de un contrato de seguro del que el afectado sea parte.

Artculo 10. Tratamiento de datos de naturaleza penal.

1. El tratamiento de datos personales relativos a condenas e infracciones penales, as como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevencin, investigacin, deteccin o enjuiciamiento de infracciones penales o de ejecucin de sanciones penales, solo podr llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unin, en esta ley orgnica o en otras normas de rango legal.

2. El registro completo de los datos referidos a condenas e infracciones penales, as como a procedimientos y medidas cautelares y de seguridad conexas a que se refiere el artculo 10 del Reglamento (UE) 2016/679, podr realizarse conforme con lo establecido en la regulacin del Sistema de registros administrativos de apoyo a la Administracin de Justicia.

3. Fuera de los supuestos sealados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, as como a procedimientos y medidas cautelares y de seguridad conexas solo sern posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la informacin facilitada por sus clientes para el ejercicio de sus funciones.

TTULO III
Derechos de las personas
CAPTULO I
Transparencia e informacin
Artculo 11. Transparencia e informacin al afectado.

1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podr dar cumplimiento al deber de informacin establecido en el artculo 13 del Reglamento (UE) 2016/679 facilitando al afectado la informacin bsica a la que se refiere el apartado siguiente e indicndole una direccin electrnica u otro medio que permita acceder de forma sencilla e inmediata a la restante informacin.

2. La informacin bsica a la que se refiere el apartado anterior deber contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboracin de perfiles, la informacin bsica comprender asimismo esta circunstancia. En este caso, el afectado deber ser informado de su derecho a oponerse a la adopcin de decisiones individuales automatizadas que produzcan efectos jurdicos sobre l o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artculo 22 del Reglamento (UE) 2016/679.

3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podr dar cumplimiento al deber de informacin establecido en el artculo 14 del Reglamento (UE) 2016/679 facilitando a aquel la informacin bsica sealada en el apartado anterior, indicndole una direccin electrnica u otro medio que permita acceder de forma sencilla e inmediata a la restante informacin.

En estos supuestos, la informacin bsica incluir tambin:

a) Las categoras de datos objeto de tratamiento.

b) Las fuentes de las que procedieran los datos.

CAPTULO II
Ejercicio de los derechos
Artculo 12. Disposiciones generales sobre ejercicio de los derechos.

1. Los derechos reconocidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, podrn ejercerse directamente o por medio de representante legal o voluntario.

2. El responsable del tratamiento estar obligado a informar al afectado sobre los medios a su disposicin para ejercer los derechos que le corresponden. Los medios debern ser fcilmente accesibles para el afectado. El ejercicio del derecho no podr ser denegado por el solo motivo de optar el afectado por otro medio.

3. El encargado podr tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si as se estableciere en el contrato o acto jurdico que les vincule.

4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaer sobre el responsable.

5. Cuando las leyes aplicables a determinados tratamientos establezcan un rgimen especial que afecte al ejercicio de los derechos previstos en el Captulo III del Reglamento (UE) 2016/679, se estar a lo dispuesto en aquellas.

6. En cualquier caso, los titulares de la patria potestad podrn ejercitar en nombre y representacin de los menores de catorce aos los derechos de acceso, rectificacin, cancelacin, oposicin o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgnica.

7. Sern gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artculos 12.5 y 15.3 del Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artculo 13 de esta ley orgnica.

Artculo 13. Derecho de acceso.

1. El derecho de acceso del afectado se ejercitar de acuerdo con lo establecido en el artculo 15 del Reglamento (UE) 2016/679.

Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podr solicitarle, antes de facilitar la informacin, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.

2. El derecho de acceso se entender otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicacin por el responsable al afectado del modo en que este podr acceder a dicho sistema bastar para tener por atendida la solicitud de ejercicio del derecho.

No obstante, el interesado podr solicitar del responsable la informacin referida a los extremos previstos en el artculo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.

3. A los efectos establecidos en el artculo 12.5 del Reglamento (UE) 2016/679 se podr considerar repetitivo el ejercicio del derecho de acceso en ms de una ocasin durante el plazo de seis meses, a menos que exista causa legtima para ello.

4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud ser considerada excesiva, por lo que dicho afectado asumir el exceso de costes que su eleccin comporte. En este caso, solo ser exigible al responsable del tratamiento la satisfaccin del derecho de acceso sin dilaciones indebidas.

Artculo 14. Derecho de rectificacin.

Al ejercer el derecho de rectificacin reconocido en el artculo 16 del Reglamento (UE) 2016/679, el afectado deber indicar en su solicitud a qu datos se refiere y la correccin que haya de realizarse. Deber acompaar, cuando sea preciso, la documentacin justificativa de la inexactitud o carcter incompleto de los datos objeto de tratamiento.

Artculo 15. Derecho de supresin.

1. El derecho de supresin se ejercer de acuerdo con lo establecido en el artculo 17 del Reglamento (UE) 2016/679.

2. Cuando la supresin derive del ejercicio del derecho de oposicin con arreglo al artculo 21.2 del Reglamento (UE) 2016/679, el responsable podr conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Artculo 16. Derecho a la limitacin del tratamiento.

1. El derecho a la limitacin del tratamiento se ejercer de acuerdo con lo establecido en el artculo 18 del Reglamento (UE) 2016/679.

2. El hecho de que el tratamiento de los datos personales est limitado debe constar claramente en los sistemas de informacin del responsable.

Artculo 17. Derecho a la portabilidad.

El derecho a la portabilidad se ejercer de acuerdo con lo establecido en el artculo 20 del Reglamento (UE) 2016/679.

Artculo 18. Derecho de oposicin.

El derecho de oposicin, as como los derechos relacionados con las decisiones individuales automatizadas, incluida la realizacin de perfiles, se ejercern de acuerdo con lo establecido, respectivamente, en los artculos 21 y 22 del Reglamento (UE) 2016/679.

TTULO IV
Disposiciones aplicables a tratamientos concretos
Artculo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumir amparado en lo dispuesto en el artculo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la funcin o puesto desempeado de las personas fsicas que presten servicios en una persona jurdica siempre que se cumplan los siguientes requisitos:

a) Que el tratamiento se refiera nicamente a los datos necesarios para su localizacin profesional.

b) Que la finalidad del tratamiento sea nicamente mantener relaciones de cualquier ndole con la persona jurdica en la que el afectado preste sus servicios.

2. La misma presuncin operar para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos nicamente en dicha condicin y no se traten para entablar una relacin con los mismos como personas fsicas.

3. Los responsables o encargados del tratamiento a los que se refiere el artculo 77.1 de esta ley orgnica podrn tambin tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligacin legal o sea necesario para el ejercicio de sus competencias.

Artculo 20. Sistemas de informacin crediticia.

1. Salvo prueba en contrario, se presumir lcito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crdito por sistemas comunes de informacin crediticia cuando se cumplan los siguientes requisitos:

a) Que los datos hayan sido facilitados por el acreedor o por quien acte por su cuenta o inters.

b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuanta no hubiese sido objeto de reclamacin administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolucin de disputas vinculante entre las partes.

c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusin en dichos sistemas, con indicacin de aqullos en los que participe.

La entidad que mantenga el sistema de informacin crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crdito deber notificar al afectado la inclusin de tales datos y le informar sobre la posibilidad de ejercitar los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta das siguientes a la notificacin de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.

d) Que los datos nicamente se mantengan en el sistema mientras persista el incumplimiento, con el lmite mximo de cinco aos desde la fecha de vencimiento de la obligacin dineraria, financiera o de crdito.

e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relacin contractual con el afectado que implique el abono de una cuanta pecuniaria o este le hubiera solicitado la celebracin de un contrato que suponga financiacin, pago aplazado o facturacin peridica, como sucede, entre otros supuestos, en los previstos en la legislacin de contratos de crdito al consumo y de contratos de crdito inmobiliario.

Cuando se hubiera ejercitado ante el sistema el derecho a la limitacin del tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artculo 18.1.a) del Reglamento (UE) 2016/679, el sistema informar a quienes pudieran consultarlo con arreglo al prrafo anterior acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.

f) Que, en el caso de que se denegase la solicitud de celebracin del contrato, o ste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.

2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrn la condicin de corresponsables del tratamiento de los datos, siendo de aplicacin lo establecido por el artculo 26 del Reglamento (UE) 2016/679.

Corresponder al acreedor garantizar que concurren los requisitos exigidos para la inclusin en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.

3. La presuncin a la que se refiere el apartado 1 de este artculo no ampara los supuestos en que la informacin crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicacin de tcnicas de calificacin crediticia.

Artculo 21. Tratamientos relacionados con la realizacin de determinadas operaciones mercantiles.

1. Salvo prueba en contrario, se presumirn lcitos los tratamientos de datos, incluida su comunicacin con carcter previo, que pudieran derivarse del desarrollo de cualquier operacin de modificacin estructural de sociedades o la aportacin o transmisin de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operacin y garanticen, cuando proceda, la continuidad en la prestacin de los servicios.

2. En el caso de que la operacin no llegara a concluirse, la entidad cesionaria deber proceder con carcter inmediato a la supresin de los datos, sin que sea de aplicacin la obligacin de bloqueo prevista en esta ley orgnica.

Artculo 22. Tratamientos con fines de videovigilancia.

1. Las personas fsicas o jurdicas, pblicas o privadas, podrn llevar a cabo el tratamiento de imgenes a travs de sistemas de cmaras o videocmaras con la finalidad de preservar la seguridad de las personas y bienes, as como de sus instalaciones.

2. Solo podrn captarse imgenes de la va pblica en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

No obstante, ser posible la captacin de la va pblica en una extensin superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratgicos o de infraestructuras vinculadas al transporte, sin que en ningn caso pueda suponer la captacin de imgenes del interior de un domicilio privado.

3. Los datos sern suprimidos en el plazo mximo de un mes desde su captacin, salvo cuando hubieran de ser conservados para acreditar la comisin de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imgenes debern ser puestas a disposicin de la autoridad competente en un plazo mximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabacin.

No ser de aplicacin a estos tratamientos la obligacin de bloqueo prevista en el artculo 32 de esta ley orgnica.

4. El deber de informacin previsto en el artculo 12 del Reglamento (UE) 2016/679 se entender cumplido mediante la colocacin de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artculos 15 a 22 del Reglamento (UE) 2016/679. Tambin podr incluirse en el dispositivo informativo un cdigo de conexin o direccin de internet a esta informacin.

En todo caso, el responsable del tratamiento deber mantener a disposicin de los afectados la informacin a la que se refiere el citado reglamento.

5. Al amparo del artculo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su mbito de aplicacin el tratamiento por una persona fsica de imgenes que solamente capten el interior de su propio domicilio.

Esta exclusin no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imgenes.

6. El tratamiento de los datos personales procedentes de las imgenes y sonidos obtenidos mediante la utilizacin de cmaras y videocmaras por las Fuerzas y Cuerpos de Seguridad y por los rganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulacin, vigilancia y disciplina del trfico, se regir por la legislacin de transposicin de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevencin, investigacin, deteccin o enjuiciamiento de infracciones penales o de ejecucin de sanciones penales, incluidas la proteccin y la prevencin frente a las amenazas contra la seguridad pblica. Fuera de estos supuestos, dicho tratamiento se regir por su legislacin especfica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgnica.

7. Lo regulado en el presente artculo se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada y sus disposiciones de desarrollo.

8. El tratamiento por el empleador de datos obtenidos a travs de sistemas de cmaras o videocmaras se somete a lo dispuesto en el artculo 89 de esta ley orgnica.

Artculo 23. Sistemas de exclusin publicitaria.

1. Ser lcito el tratamiento de datos personales que tenga por objeto evitar el envo de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposicin a recibirlas.

A tal efecto, podrn crearse sistemas de informacin, generales o sectoriales, en los que solo se incluirn los datos imprescindibles para identificar a los afectados. Estos sistemas tambin podrn incluir servicios de preferencia, mediante los cuales los afectados limiten la recepcin de comunicaciones comerciales a las procedentes de determinadas empresas.

2. Las entidades responsables de los sistemas de exclusin publicitaria comunicarn a la autoridad de control competente su creacin, su carcter general o sectorial, as como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.

La autoridad de control competente har pblica en su sede electrnica una relacin de los sistemas de esta naturaleza que le fueran comunicados, incorporando la informacin mencionada en el prrafo anterior. A tal efecto, la autoridad de control competente a la que se haya comunicado la creacin del sistema lo pondr en conocimiento de las restantes autoridades de control para su publicacin por todas ellas.

3. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisin de comunicaciones comerciales, este deber informarle de los sistemas de exclusin publicitaria existentes, pudiendo remitirse a la informacin publicada por la autoridad de control competente.

4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, debern previamente consultar los sistemas de exclusin publicitaria que pudieran afectar a su actuacin, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposicin o negativa al mismo. A estos efectos, para considerar cumplida la obligacin anterior ser suficiente la consulta de los sistemas de exclusin incluidos en la relacin publicada por la autoridad de control competente.

No ser necesario realizar la consulta a la que se refiere el prrafo anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgnica, su consentimiento para recibir la comunicacin a quien pretenda realizarla.

Artculo 24. Sistemas de informacin de denuncias internas.

1. Ser lcita la creacin y mantenimiento de sistemas de informacin a travs de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso annimamente, la comisin en el seno de la misma o en la actuacin de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros debern ser informados acerca de la existencia de estos sistemas de informacin.

2. El acceso a los datos contenidos en estos sistemas quedar limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, ser lcito su acceso por otras personas, o incluso su comunicacin a terceros, cuando resulte necesario para la adopcin de medidas disciplinarias o para la tramitacin de los procedimientos judiciales que, en su caso, procedan.

Sin perjuicio de la notificacin a la autoridad competente de hechos constitutivos de ilcito penal o administrativo, solo cuando pudiera proceder la adopcin de medidas disciplinarias contra un trabajador, dicho acceso se permitir al personal con funciones de gestin y control de recursos humanos.

3. Debern adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la informacin suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

4. Los datos de quien formule la comunicacin y de los empleados y terceros debern conservarse en el sistema de denuncias nicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigacin sobre los hechos denunciados.

En todo caso, transcurridos tres meses desde la introduccin de los datos, deber procederse a su supresin del sistema de denuncias, salvo que la finalidad de la conservacin sea dejar evidencia del funcionamiento del modelo de prevencin de la comisin de delitos por la persona jurdica. Las denuncias a las que no se haya dado curso solamente podrn constar de forma anonimizada, sin que sea de aplicacin la obligacin de bloqueo prevista en el artculo 32 de esta ley orgnica.

Transcurrido el plazo mencionado en el prrafo anterior, los datos podrn seguir siendo tratados, por el rgano al que corresponda, conforme al apartado 2 de este artculo, la investigacin de los hechos denunciados, no conservndose en el propio sistema de informacin de denuncias internas.

5. Los principios de los apartados anteriores sern aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Pblicas.

Artculo 25. Tratamiento de datos en el mbito de la funcin estadstica pblica.

1. El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la funcin estadstica pblica se someter a lo dispuesto en su legislacin especfica, as como en el Reglamento (UE) 2016/679 y en la presente ley orgnica.

2. La comunicacin de los datos a los rganos competentes en materia estadstica solo se entender amparada en el artculo 6.1 e) del Reglamento (UE) 2016/679 en los casos en que la estadstica para la que se requiera la informacin venga exigida por una norma de Derecho de la Unin Europea o se encuentre incluida en los instrumentos de programacin estadstica legalmente previstos.

De conformidad con lo dispuesto en el artculo 11.2 de la Ley 12/1989, de 9 de mayo, de la Funcin Estadstica Pblica, sern de aportacin estrictamente voluntaria y, en consecuencia, solo podrn recogerse previo consentimiento expreso de los afectados los datos a los que se refieren los artculos 9 y 10 del Reglamento (UE) 2016/679.

3. Los organismos competentes para el ejercicio de la funcin estadstica pblica podrn denegar las solicitudes de ejercicio por los afectados de los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679 cuando los datos se encuentren amparados por las garantas del secreto estadstico previstas en la legislacin estatal o autonmica.

Artculo 26. Tratamiento de datos con fines de archivo en inters pblico por parte de las Administraciones Pblicas.

Ser lcito el tratamiento por las Administraciones Pblicas de datos con fines de archivo en inters pblico, que se someter a lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgnica con las especialidades que se derivan de lo previsto en la Ley 16/1985, de 25 de junio, del Patrimonio Histrico Espaol, en el Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Espaol de Archivos y se regula el Sistema de Archivos de la Administracin General del Estado y de sus Organismos Pblicos y su rgimen de acceso, as como la legislacin autonmica que resulte de aplicacin.

Artculo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas.

1. A los efectos del artculo 86 del Reglamento (UE) 2016/679, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigir:

a) Que los responsables de dichos tratamientos sean los rganos competentes para la instruccin del procedimiento sancionador, para la declaracin de las infracciones o la imposicin de las sanciones.

b) Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

2. Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrn de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularn, en su caso, garantas adicionales para los derechos y libertades de los afectados.

3. Fuera de los supuestos sealados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas solo sern posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la informacin facilitada por sus clientes para el ejercicio de sus funciones.

TTULO V
Responsable y encargado del tratamiento
CAPTULO I
Disposiciones generales. Medidas de responsabilidad activa
Artculo 28. Obligaciones generales del responsable y encargado del tratamiento.

1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artculos 24 y 25 del Reglamento (UE) 2016/679, determinarn las medidas tcnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgnica, sus normas de desarrollo y la legislacin sectorial aplicable. En particular valorarn si procede la realizacin de la evaluacin de impacto en la proteccin de datos y la consulta previa a que se refiere la Seccin 3 del Captulo IV del citado reglamento.

2. Para la adopcin de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrn en cuenta, en particular, los mayores riesgos que podran producirse en los siguientes supuestos:

a) Cuando el tratamiento pudiera generar situaciones de discriminacin, usurpacin de identidad o fraude, prdidas financieras, dao para la reputacin, prdida de confidencialidad de datos sujetos al secreto profesional, reversin no autorizada de la seudonimizacin o cualquier otro perjuicio econmico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categoras especiales de datos a las que se refieren los artculos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgnica o de los datos relacionados con la comisin de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluacin de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el anlisis o la prediccin de aspectos referidos a su rendimiento en el trabajo, su situacin econmica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localizacin o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situacin de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran nmero de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carcter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de proteccin.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en cdigos de conducta y estndares definidos por esquemas de certificacin.

Artculo 29. Supuestos de corresponsabilidad en el tratamiento.

La determinacin de las responsabilidades a las que se refiere el artculo 26.1 del Reglamento (UE) 2016/679 se realizar atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.

Artculo 30. Representantes de los responsables o encargados del tratamiento no establecidos en la Unin Europea.

1. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable a un responsable o encargado del tratamiento no establecido en la Unin Europea en virtud de lo dispuesto en su artculo 3.2 y el tratamiento se refiera a afectados que se hallen en Espaa, la Agencia Espaola de Proteccin de Datos o, en su caso, las autoridades autonmicas de proteccin de datos podrn imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el Reglamento (UE) 2016/679.

Dicha exigencia se entender sin perjuicio de la responsabilidad que pudiera en su caso corresponder al responsable o al encargado del tratamiento y del ejercicio por el representante de la accin de repeticin frente a quien proceda.

2. Asimismo, en caso de exigencia de responsabilidad en los trminos previstos en el artculo 82 del Reglamento (UE) 2016/679, los responsables, encargados y representantes respondern solidariamente de los daos y perjuicios causados.

Artculo 31. Registro de las actividades de tratamiento.

1. Los responsables y encargados del tratamiento o, en su caso, sus representantes debern mantener el registro de actividades de tratamiento al que se refiere el artculo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicacin la excepcin prevista en su apartado 5.

El registro, que podr organizarse en torno a conjuntos estructurados de datos, deber especificar, segn sus finalidades, las actividades de tratamiento llevadas a cabo y las dems circunstancias establecidas en el citado reglamento.

Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de proteccin de datos debern comunicarle cualquier adicin, modificacin o exclusin en el contenido del registro.

2. Los sujetos enumerados en el artculo 77.1 de esta ley orgnica harn pblico un inventario de sus actividades de tratamiento accesible por medios electrnicos en el que constar la informacin establecida en el artculo 30 del Reglamento (UE) 2016/679 y su base legal.

Artculo 32. Bloqueo de los datos.

1. El responsable del tratamiento estar obligado a bloquear los datos cuando proceda a su rectificacin o supresin.

2. El bloqueo de los datos consiste en la identificacin y reserva de los mismos, adoptando medidas tcnicas y organizativas, para impedir su tratamiento, incluyendo su visualizacin, excepto para la puesta a disposicin de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Pblicas competentes, en particular de las autoridades de proteccin de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripcin de las mismas.

Transcurrido ese plazo deber procederse a la destruccin de los datos.

3. Los datos bloqueados no podrn ser tratados para ninguna finalidad distinta de la sealada en el apartado anterior.

4. Cuando para el cumplimiento de esta obligacin, la configuracin del sistema de informacin no permita el bloqueo o se requiera una adaptacin que implique un esfuerzo desproporcionado, se proceder a un copiado seguro de la informacin de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulacin de los datos durante el mismo.

5. La Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos, dentro del mbito de sus respectivas competencias, podrn fijar excepciones a la obligacin de bloqueo establecida en este artculo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un nmero particularmente elevado de afectados, su mera conservacin, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, as como en aquellos casos en los que la conservacin de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.

CAPTULO II
Encargado del tratamiento
Artculo 33. Encargado del tratamiento.

1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestacin de un servicio al responsable no se considerar comunicacin de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgnica y en sus normas de desarrollo.

2. Tendr la consideracin de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que acta por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurdico con el contenido fijado en el artculo 28.3 del Reglamento (UE) 2016/679. Esta previsin no ser aplicable a los encargos de tratamiento efectuados en el marco de la legislacin de contratacin del sector pblico.

Tendr asimismo la consideracin de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.

3. El responsable del tratamiento determinar si, cuando finalice la prestacin de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

No proceder la destruccin de los datos cuando exista una previsin legal que obligue a su conservacin, en cuyo caso debern ser devueltos al responsable, que garantizar su conservacin mientras tal obligacin persista.

4. El encargado del tratamiento podr conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relacin con el responsable del tratamiento.

5. En el mbito del sector pblico podrn atribuirse las competencias propias de un encargado del tratamiento a un determinado rgano de la Administracin General del Estado, la Administracin de las comunidades autnomas, las Entidades que integran la Administracin Local o a los Organismos vinculados o dependientes de las mismas mediante la adopcin de una norma reguladora de dichas competencias, que deber incorporar el contenido exigido por el artculo 28.3 del Reglamento (UE) 2016/679.

CAPTULO III
Delegado de proteccin de datos
Artculo 34. Designacin de un delegado de proteccin de datos.

1. Los responsables y encargados del tratamiento debern designar un delegado de proteccin de datos en los supuestos previstos en el artculo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseanzas en cualquiera de los niveles establecidos en la legislacin reguladora del derecho a la educacin, as como las Universidades pblicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrnicas conforme a lo dispuesto en su legislacin especfica, cuando traten habitual y sistemticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la informacin cuando elaboren a gran escala perfilesde los usuarios del servicio.

e) Las entidades incluidas en el artculo 1 de la Ley 10/2014, de 26 de junio, de ordenacin, supervisin y solvencia de entidades de crdito.

f) Los establecimientos financieros de crdito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversin, reguladas por la legislacin del Mercado de Valores.

i) Los distribuidores y comercializadores de energa elctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluacin de la solvencia patrimonial y crdito o de los ficheros comunes para la gestin y prevencin del fraude, incluyendo a los responsables de los ficheros regulados por la legislacin de prevencin del blanqueo de capitales y de la financiacin del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospeccin comercial, incluyendo las de investigacin comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboracin de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clnicas de los pacientes.

Se exceptan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clnicas de los pacientes, ejerzan su actividad a ttulo individual.

m) Las entidades que tengan como uno de sus objetos la emisin de informes comerciales que puedan referirse a personas fsicas.

n) Los operadores que desarrollen la actividad de juego a travs de canales electrnicos, informticos, telemticos e interactivos, conforme a la normativa de regulacin del juego.

) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

2. Los responsables o encargados del tratamiento no incluidos en el prrafo anterior podrn designar de manera voluntaria un delegado de proteccin de datos, que quedar sometido al rgimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgnica.

3. Los responsables y encargados del tratamiento comunicarn en el plazo de diez das a la Agencia Espaola de Proteccin de Datos o, en su caso, a las autoridades autonmicas de proteccin de datos, las designaciones, nombramientos y ceses de los delegados de proteccin de datos tanto en los supuestos en que se encuentren obligadas a su designacin como en el caso en que sea voluntaria.

4. La Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos mantendrn, en el mbito de sus respectivas competencias, una lista actualizada de delegados de proteccin de datos que ser accesible por medios electrnicos.

5. En el cumplimiento de las obligaciones de este artculo los responsables y encargados del tratamiento podrn establecer la dedicacin completa o a tiempo parcial del delegado, entre otros criterios, en funcin del volumen de los tratamientos, la categora especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.

Artculo 35. Cualificacin del delegado de proteccin de datos.

El cumplimiento de los requisitos establecidos en el artculo 37.5 del Reglamento (UE) 2016/679 para la designacin del delegado de proteccin de datos, sea persona fsica o jurdica, podr demostrarse, entre otros medios, a travs de mecanismos voluntarios de certificacin que tendrn particularmente en cuenta la obtencin de una titulacin universitaria que acredite conocimientos especializados en el derecho y la prctica en materia de proteccin de datos.

Artculo 36. Posicin del delegado de proteccin de datos.

1. El delegado de proteccin de datos actuar como interlocutor del responsable o encargado del tratamiento ante la Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos. El delegado podr inspeccionar los procedimientos relacionados con el objeto de la presente ley orgnica y emitir recomendaciones en el mbito de sus competencias.

2. Cuando se trate de una persona fsica integrada en la organizacin del responsable o encargado del tratamiento, el delegado de proteccin de datos no podr ser removido ni sancionado por el responsable o el encargado por desempear sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizar la independencia del delegado de proteccin de datos dentro de la organizacin, debiendo evitarse cualquier conflicto de intereses.

3. En el ejercicio de sus funciones el delegado de proteccin de datos tendr acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artculo 5 de esta ley orgnica.

4. Cuando el delegado de proteccin de datos aprecie la existencia de una vulneracin relevante en materia de proteccin de datos lo documentar y lo comunicar inmediatamente a los rganos de administracin y direccin del responsable o el encargado del tratamiento.

Artculo 37. Intervencin del delegado de proteccin de datos en caso de reclamacin ante las autoridades de proteccin de datos.

1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de proteccin de datos el afectado podr, con carcter previo a la presentacin de una reclamacin contra aqullos ante la Agencia Espaola de Proteccin de Datos o, en su caso, ante las autoridades autonmicas de proteccin de datos, dirigirse al delegado de proteccin de datos de la entidad contra la que se reclame.

En este caso, el delegado de proteccin de datos comunicar al afectado la decisin que se hubiera adoptado en el plazo mximo de dos meses a contar desde la recepcin de la reclamacin.

2. Cuando el afectado presente una reclamacin ante la Agencia Espaola de Proteccin de Datos o, en su caso, ante las autoridades autonmicas de proteccin de datos, aquellas podrn remitir la reclamacin al delegado de proteccin de datos a fin de que este responda en el plazo de un mes.

Si transcurrido dicho plazo el delegado de proteccin de datos no hubiera comunicado a la autoridad de proteccin de datos competente la respuesta dada a la reclamacin, dicha autoridad continuar el procedimiento con arreglo a lo establecido en el Ttulo VIII de esta ley orgnica y en sus normas de desarrollo.

3. El procedimiento ante la Agencia Espaola de Proteccin de Datos ser el establecido en el Ttulo VIII de esta ley orgnica y en sus normas de desarrollo. Asimismo, las comunidades autnomas regularn el procedimiento correspondiente ante sus autoridades autonmicas de proteccin de datos.

CAPTULO IV
Cdigos de conducta y certificacin
Artculo 38. Cdigos de conducta.

1. Los cdigos de conducta regulados por la seccin 5. del Captulo IV del Reglamento (UE) 2016/679 sern vinculantes para quienes se adhieran a los mismos.

Dichos cdigos podrn dotarse de mecanismos de resolucin extrajudicial de conflictos.

2. Dichos cdigos podrn promoverse, adems de por las asociaciones y organismos a los que se refiere el artculo 40.2 del Reglamento (UE) 2016/679, por empresas o grupos de empresas as como por los responsables o encargados a los que se refiere el artculo 77.1 de esta ley orgnica.

Asimismo, podrn ser promovidos por los organismos o entidades que asuman las funciones de supervisin y resolucin extrajudicial de conflictos a los que se refiere el artculo 41 del Reglamento (UE) 2016/679.

Los responsables o encargados del tratamiento que se adhieran al cdigo de conducta se obligan a someter al organismo o entidad de supervisin las reclamaciones que les fueran formuladas por los afectados en relacin con los tratamientos de datos incluidos en su mbito de aplicacin en caso de considerar que no procede atender a lo solicitado en la reclamacin, sin perjuicio de lo dispuesto en el artculo 37 de esta ley orgnica. Adems, sin menoscabo de las competencias atribuidas por el Reglamento (UE) 2016/679 a las autoridades de proteccin de datos, podrn voluntariamente y antes de llevar a cabo el tratamiento, someter al citado organismo o entidad de supervisin la verificacin de la conformidad del mismo con las materias sujetas al cdigo de conducta.

En caso de que el organismo o entidad de supervisin rechace o desestime la reclamacin, o si el responsable o encargado del tratamiento no somete la reclamacin a su decisin, el afectado podr formularla ante la Agencia Espaola de Proteccin de Datos o, en su caso, las autoridades autonmicas de proteccin de datos.

La autoridad de proteccin de datos competente verificar que los organismos o entidades que promuevan los cdigos de conducta han dotado a estos cdigos de organismos de supervisin que renan los requisitos establecidos en el artculo 41.2 del Reglamento (UE) 2016/679.

3. Los cdigos de conducta sern aprobados por la Agencia Espaola de Proteccin de Datos o, en su caso, por la autoridad autonmica de proteccin de datos competente.

4. La Agencia Espaola de Proteccin de Datos o, en su caso, las autoridades autonmicas de proteccin de datos sometern los proyectos de cdigo al mecanismo de coherencia mencionado en el artculo 63 de Reglamento (UE) 2016/679 en los supuestos en que ello proceda segn su artculo 40.7. El procedimiento quedar suspendido en tanto el Comit Europeo de Proteccin de Datos no emita el dictamen al que se refieren los artculos 64.1.b) y 65.1.c) del citado reglamento.

Cuando sea una autoridad autonmica de proteccin de datos la que someta el proyecto de cdigo al mecanismo de coherencia, se estar a lo dispuesto en el artculo 60 de esta ley orgnica.

5. La Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos mantendrn registros de los cdigos de conducta aprobados por las mismas, que estarn interconectados entre s y coordinados con el registro gestionado por el Comit Europeo de Proteccin de Datos conforme al artculo 40.11 del citado reglamento.

El registro ser accesible a travs de medios electrnicos.

6. Mediante real decreto se establecern el contenido del registro y las especialidades del procedimiento de aprobacin de los cdigos de conducta.

Artculo 39. Acreditacin de instituciones de certificacin.

Sin perjuicio de las funciones y poderes de acreditacin de la autoridad de control competente en virtud de los artculos 57 y 58 del Reglamento (UE) 2016/679, la acreditacin de las instituciones de certificacin a las que se refiere el artculo 43.1 del citado reglamento podr ser llevada a cabo por la Entidad Nacional de Acreditacin (ENAC), que comunicar a la Agencia Espaola de Proteccin de Datos y a las autoridades de proteccin de datos de las comunidades autnomas las concesiones, denegaciones o revocaciones de las acreditaciones, as como su motivacin.

TTULO VI
Transferencias internacionales de datos
Artculo 40. Rgimen de las transferencias internacionales de datos.

Las transferencias internacionales de datos se regirn por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgnica y sus normas de desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia Espaola de Proteccin de Datos y de las autoridades autonmicas de proteccin de datos, en el mbito de sus respectivas competencias.

En todo caso se aplicarn a los tratamientos en que consista la propia transferencia las disposiciones contenidas en dichas normas, en particular las que regulan los principios de proteccin de datos.

Artculo 41. Supuestos de adopcin por la Agencia Espaola de Proteccin de Datos.

1. La Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos podrn adoptar, conforme a lo dispuesto en el artculo 46.2.c) del Reglamento (UE) 2016/679, clusulas contractuales tipo para la realizacin de transferencias internacionales de datos, que se sometern previamente al dictamen del Comit Europeo de Proteccin de Datos previsto en el artculo 64 del citado reglamento.

2. La Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos podrn aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artculo 47 del Reglamento (UE) 2016/679.

El procedimiento se iniciar a instancia de una entidad situada en Espaa y tendr una duracin mxima de nueve meses. Quedar suspendido como consecuencia de la remisin del expediente al Comit Europeo de Proteccin de Datos para que emita el dictamen al que se refiere el artculo 64.1.f) del Reglamento (UE) 2016/679, y continuar tras su notificacin a la Agencia Espaola de Proteccin de Datos o a la autoridad autonmica de proteccin de datos competente.

Artculo 42. Supuestos sometidos a autorizacin previa de las autoridades de proteccin de datos.

1. Las transferencias internacionales de datos a pases u organizaciones internacionales que no cuenten con decisin de adecuacin aprobada por la Comisin o que no se amparen en alguna de las garantas previstas en el artculo anterior y en el artculo 46.2 del Reglamento (UE) 2016/679, requerirn una previa autorizacin de la Agencia Espaola de Proteccin de Datos o, en su caso, autoridades autonmicas de proteccin de datos, que podr otorgarse en los siguientes supuestos:

a) Cuando la transferencia pretenda fundamentarse en la aportacin de garantas adecuadas con fundamento en clusulas contractuales que no correspondan a las clusulas tipo previstas en el artculo 46.2, letras c) y d), del Reglamento (UE) 2016/679.

b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artculo 77.1 de esta ley orgnica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos pblicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

El procedimiento tendr una duracin mxima de seis meses.

2. La autorizacin quedar sometida a la emisin por el Comit Europeo de Proteccin de Datos del dictamen al que se refieren los artculos 64.1.e), 64.1.f) y 65.1.c) del Reglamento (UE) 2016/679. La remisin del expediente al citado comit implicar la suspensin del procedimiento hasta que el dictamen sea notificado a la Agencia Espaola de Proteccin de Datos o, por conducto de la misma, a la autoridad de control competente, en su caso.

Artculo 43. Supuestos sometidos a informacin previa a la autoridad de proteccin de datos competente.

Los responsables del tratamiento debern informar a la Agencia Espaola de Proteccin de Datos o, en su caso, a las autoridades autonmicas de proteccin de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legtimos imperiosos perseguidos por aqullos y la concurrencia del resto de los requisitos previstos en el ltimo prrafo del artculo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarn a los afectados de la transferencia y de los intereses legtimos imperiosos perseguidos.

Esta informacin deber facilitarse con carcter previo a la realizacin de la transferencia.

Lo dispuesto en este artculo no ser de aplicacin a las actividades llevadas a cabo por las autoridades pblicas en el ejercicio de sus poderes pblicos, de acuerdo con el artculo 49.3 del Reglamento (UE) 2016/679.

TTULO VII
Autoridades de proteccin de datos
CAPTULO I
La Agencia Espaola de Proteccin de Datos
Seccin 1. Disposiciones generales
Artculo 44. Disposiciones generales.

1. La Agencia Espaola de Proteccin de Datos es una autoridad administrativa independiente de mbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, con personalidad jurdica y plena capacidad pblica y privada, que acta con plena independencia de los poderes pblicos en el ejercicio de sus funciones.

Su denominacin oficial, de conformidad con lo establecido en el artculo 109.3 de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, ser Agencia Espaola de Proteccin de Datos, Autoridad Administrativa Independiente.

Se relaciona con el Gobierno a travs del Ministerio de Justicia.

2. La Agencia Espaola de Proteccin de Datos tendr la condicin de representante comn de las autoridades de proteccin de datos del Reino de Espaa en el Comit Europeo de Proteccin de Datos.

3. La Agencia Espaola de Proteccin de Datos y el Consejo General del Poder Judicial colaborarn en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgnica 6/1985, de 1 julio, del Poder Judicial, les atribuye en materia de proteccin de datos personales en el mbito de la Administracin de Justicia.

Artculo 45. Rgimen jurdico.

1. La Agencia Espaola de Proteccin de Datos se rige por lo dispuesto en el Reglamento (UE) 2016/679, la presente ley orgnica y sus disposiciones de desarrollo.

Supletoriamente, en cuanto sea compatible con su plena independencia y sin perjuicio de lo previsto en el artculo 63.2 de esta ley orgnica, se regir por las normas citadas en el artculo 110.1 de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

2. El Gobierno, a propuesta de la Agencia Espaola de Proteccin de Datos, aprobar su Estatuto mediante real decreto.

Artculo 46. Rgimen econmico presupuestario y de personal.

1. La Agencia Espaola de Proteccin de Datos elaborar y aprobar su presupuesto y lo remitir al Gobierno para que sea integrado, con independencia, en los Presupuestos Generales del Estado.

2. El rgimen de modificaciones y de vinculacin de los crditos de su presupuesto ser el establecido en el Estatuto de la Agencia Espaola de Proteccin de Datos.

Corresponde a la Presidencia de la Agencia Espaola de Proteccin de Datos autorizar las modificaciones presupuestarias que impliquen hasta un tres por ciento de la cifra inicial de su presupuesto total de gastos, siempre que no se incrementen los crditos para gastos de personal. Las restantes modificaciones que no excedan de un cinco por ciento del presupuesto sern autorizadas por el Ministerio de Hacienda y, en los dems casos, por el Gobierno.

3. La Agencia Espaola de Proteccin de Datos contar para el cumplimiento de sus fines con las asignaciones que se establezcan con cargo a los Presupuestos Generales del Estado, los bienes y valores que constituyan su patrimonio y los ingresos, ordinarios y extraordinarios derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de las potestades establecidos en el artculo 58 del Reglamento (UE) 2016/679.

4. El resultado positivo de sus ingresos se destinar por la Agencia Espaola de Proteccin de Datos a la dotacin de sus reservas con el fin de garantizar su plena independencia.

5. El personal al servicio de la Agencia Espaola de Proteccin de Datos ser funcionario o laboral y se regir por lo previsto en el texto refundido de la Ley del Estatuto Bsico del Empleado Pblico, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, y dems normativa reguladora de los funcionarios pblicos y, en su caso, por la normativa laboral.

6. La Agencia Espaola de Proteccin Datos elaborar y aprobar su relacin de puestos de trabajo, en el marco de los criterios establecidos por el Ministerio de Hacienda, respetando el lmite de gasto de personal establecido en el presupuesto. En dicha relacin de puestos de trabajo constarn, en todo caso, aquellos puestos que deban ser desempeados en exclusiva por funcionarios pblicos, por consistir en el ejercicio de las funciones que impliquen la participacin directa o indirecta en el ejercicio de potestades pblicas y la salvaguarda de los intereses generales del Estado y de las Administraciones Pblicas.

7. Sin perjuicio de las competencias atribuidas al Tribunal de Cuentas, la gestin econmico-financiera de la Agencia Espaola de Proteccin de Datos estar sometida al control de la Intervencin General de la Administracin del Estado en los trminos que establece la Ley 47/2003, de 26 de noviembre, General Presupuestaria.

Artculo 47. Funciones y potestades de la Agencia Espaola de Proteccin de Datos.

Corresponde a la Agencia Espaola de Proteccin de Datos supervisar la aplicacin de esta ley orgnica y del Reglamento (UE) 2016/679 y, en particular, ejercer las funciones establecidas en el artculo 57 y las potestades previstas en el artculo 58 del mismo reglamento, en la presente ley orgnica y en sus disposiciones de desarrollo.

Asimismo, corresponde a la Agencia Espaola de Proteccin de Datos el desempeo de las funciones y potestades que le atribuyan otras leyes o normas de Derecho de la Unin Europea.

Artculo 48. La Presidencia de la Agencia Espaola de Proteccin de Datos.

1. La Presidencia de la Agencia Espaola de Proteccin de Datos la dirige, ostenta su representacin y dicta sus resoluciones, circulares y directrices.

2. La Presidencia de la Agencia Espaola de Proteccin de Datos estar auxiliada por un Adjunto en el que podr delegar sus funciones, a excepcin de las relacionadas con los procedimientos regulados por el Ttulo VIII de esta ley orgnica, y que la sustituir en el ejercicio de las mismas en los trminos previstos en el Estatuto Orgnico de la Agencia Espaola de Proteccin de Datos.

Ambos ejercern sus funciones con plena independencia y objetividad y no estarn sujetos a instruccin alguna en su desempeo. Les ser aplicable la legislacin reguladora del ejercicio del alto cargo de la Administracin General del Estado.

3. La Presidencia de la Agencia Espaola de Proteccin de Datos y su Adjunto sern nombrados por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de proteccin de datos.

Dos meses antes de producirse la expiracin del mandato o, en el resto de las causas de cese, cuando se haya producido ste, el Ministerio de Justicia ordenar la publicacin en el Boletn Oficial del Estado de la convocatoria pblica de candidatos.

Previa evaluacin del mrito, capacidad, competencia e idoneidad de los candidatos, el Gobierno remitir al Congreso de los Diputados una propuesta de Presidencia y Adjunto acompaada de un informe justificativo que, tras la celebracin de la preceptiva audiencia de los candidatos, deber ser ratificada por la Comisin de Justicia en votacin pblica por mayora de tres quintos de sus miembros en primera votacin o, de no alcanzarse sta, por mayora absoluta en segunda votacin, que se realizar inmediatamente despus de la primera. En este ltimo supuesto, los votos favorables debern proceder de Diputados pertenecientes, al menos, a dos grupos parlamentarios diferentes.

4. La Presidencia y el Adjunto de la Agencia Espaola de Proteccin de Datos sern nombrados por el Consejo de Ministros mediante real decreto.

5. El mandato de la Presidencia y del Adjunto de la Agencia Espaola de Proteccin de Datos tiene una duracin de cinco aos y puede ser renovado para otro perodo de igual duracin.

La Presidencia y el Adjunto solo cesarn antes de la expiracin de su mandato, a peticin propia o por separacin acordada por el Consejo de Ministros, por:

a) Incumplimiento grave de sus obligaciones,

b) incapacidad sobrevenida para el ejercicio de su funcin,

c) incompatibilidad, o

d) condena firme por delito doloso.

En los supuestos previstos en las letras a), b) y c) ser necesaria la ratificacin de la separacin por las mayoras parlamentarias previstas en el apartado 3 de este artculo.

6. Los actos y disposiciones dictados por la Presidencia de la Agencia Espaola de Proteccin de Datos ponen fin a la va administrativa, siendo recurribles, directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

Artculo 49. Consejo Consultivo de la Agencia Espaola de Proteccin de Datos.

1. La Presidencia de la Agencia Espaola de Proteccin de Datos estar asesorada por un Consejo Consultivo compuesto por los siguientes miembros:

a) Un Diputado, propuesto por el Congreso de los Diputados.

b) Un Senador, propuesto por el Senado.

c) Un representante designado por el Consejo General del Poder Judicial.

d) Un representante de la Administracin General del Estado con experiencia en la materia, propuesto por el Ministro de Justicia.

e) Un representante de cada Comunidad Autnoma que haya creado una Autoridad de proteccin de datos en su mbito territorial, propuesto de acuerdo con lo que establezca la respectiva Comunidad Autnoma.

f) Un experto propuesto por la Federacin Espaola de Municipios y Provincias.

g) Un experto propuesto por el Consejo de Consumidores y Usuarios.

h) Dos expertos propuestos por las Organizaciones Empresariales.

i) Un representante de los profesionales de la proteccin de datos y de la privacidad, propuesto por la asociacin de mbito estatal con mayor nmero de asociados.

j) Un representante de los organismos o entidades de supervisin y resolucin extrajudicial de conflictos previstos en el Captulo IV del Ttulo V, propuesto por el Ministro de Justicia.

k) Un experto, propuesto por la Conferencia de Rectores de las Universidades Espaolas.

l) Un representante de las organizaciones que agrupan a los Consejos Generales, Superiores y Colegios Profesionales de mbito estatal de las diferentes profesiones colegiadas, propuesto por el Ministro de Justicia.

m) Un representante de los profesionales de la seguridad de la informacin, propuesto por la asociacin de mbito estatal con mayor nmero de asociados.

n) Un experto en transparencia y acceso a la informacin pblica propuesto por el Consejo de Transparencia y Buen Gobierno.

) Dos expertos propuestos por las organizaciones sindicales ms representativas.

2. A los efectos del apartado anterior, la condicin de experto requerir acreditar conocimientos especializados en el Derecho y la prctica en materia de proteccin de datos mediante el ejercicio profesional o acadmico.

3. Los miembros del Consejo Consultivo sern nombrados por orden del Ministro de Justicia, publicada en el Boletn Oficial del Estado.

4. El Consejo Consultivo se reunir cuando as lo disponga la Presidencia de la Agencia Espaola de Proteccin de Datos y, en todo caso, una vez al semestre.

5. Las decisiones tomadas por el Consejo Consultivo no tendrn en ningn caso carcter vinculante.

6. En todo lo no previsto por esta ley orgnica, el rgimen, competencias y funcionamiento del Consejo Consultivo sern los establecidos en el Estatuto Orgnico de la Agencia Espaola de Proteccin de Datos.

Artculo 50. Publicidad.

La Agencia Espaola de Proteccin de Datos publicar las resoluciones de su Presidencia que declaren haber lugar o no a la atencin de los derechos reconocidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamacin, las que archiven las actuaciones previas de investigacin, las que sancionen con apercibimiento a las entidades a que se refiere el artculo 77.1 de esta ley orgnica, las que impongan medidas cautelares y las dems que disponga su Estatuto.

Seccin 2. Potestades de investigacin y planes de auditora preventiva
Artculo 51. mbito y personal competente.

1. La Agencia Espaola de Proteccin de Datos desarrollar su actividad de investigacin a travs de las actuaciones previstas en el Ttulo VIII y de los planes de auditora preventivas.

2. La actividad de investigacin se llevar a cabo por los funcionarios de la Agencia Espaola de Proteccin de Datos o por funcionarios ajenos a ella habilitados expresamente por su Presidencia.

3. En los casos de actuaciones conjuntas de investigacin conforme a lo dispuesto en el artculo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados Miembros de Unin Europea que colabore con la Agencia Espaola de Proteccin de Datos ejercer sus facultades con arreglo a lo previsto en la presente ley orgnica y bajo la orientacin y en presencia del personal de esta.

4. Los funcionarios que desarrollen actividades de investigacin tendrn la consideracin de agentes de la autoridad en el ejercicio de sus funciones, y estarn obligados a guardar secreto sobre las informaciones que conozcan con ocasin de dicho ejercicio, incluso despus de haber cesado en l.

Artculo 52. Deber de colaboracin.

1. Las Administraciones Pblicas, incluidas las tributarias y de la Seguridad Social, y los particulares estarn obligados a proporcionar a la Agencia Espaola de Proteccin de Datos los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad de investigacin.

Cuando la informacin contenga datos personales la comunicacin de dichos datos estar amparada por lo dispuesto en el artculo 6.1 c) del Reglamento (UE) 2016/679.

2. En el marco de las actuaciones previas de investigacin, cuando no haya podido realizar la identificacin por otros medios, la Agencia Espaola de Proteccin de Datos podr recabar de las Administraciones Pblicas, incluidas las tributarias y de la Seguridad Social, las informaciones y datos que resulten imprescindibles con la exclusiva finalidad de lograr la identificacin de los responsables de las conductas que pudieran ser constitutivas de infraccin del Reglamento (UE) 2016/679 y de la presente ley orgnica.

En el supuesto de las Administraciones tributarias y de la Seguridad Social, la informacin se limitar a la que resulte necesaria para poder identificar inequvocamente contra quin debe dirigirse la actuacin de la Agencia Espaola de Proteccin de Datos en los supuestos de creacin de entramados societarios que dificultasen el conocimiento directo del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la presente ley orgnica.

3. Cuando no haya podido realizar la identificacin por otros medios, la Agencia Espaola de Proteccin de Datos podr recabar de los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico y de los prestadores de servicios de la sociedad de la informacin los datos que obren en su poder y que resulten imprescindibles para la identificacin del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la presente ley orgnica cuando se hubiere llevado a cabo mediante la utilizacin de un servicio de la sociedad de la informacin o la realizacin de una comunicacin electrnica. A tales efectos, los datos que la Agencia Espaola de Proteccin de Datos podr recabar al amparo de este apartado son los siguientes:

a) Cuando la conducta se hubiera realizado mediante la utilizacin de un servicio de telefona fija o mvil:

1. El nmero de telfono de origen de la llamada en caso de que el mismo se hubiese ocultado.

2. El nombre, nmero de documento identificativo y direccin del abonado o usuario registrado al que corresponda ese nmero de telfono.

3. La mera confirmacin de que se ha realizado una llamada especfica entre dos nmeros en una determinada fecha y hora.

b) Cuando la conducta se hubiera realizado mediante la utilizacin de un servicio de la sociedad de la informacin:

1. La identificacin de la direccin de protocolo de Internet desde la que se hubiera llevado a cabo la conducta y la fecha y hora de su realizacin.

2. Si la conducta se hubiese llevado a cabo mediante correo electrnico, la identificacin de la direccin de protocolo de Internet desde la que se cre la cuenta de correo y la fecha y hora en que la misma fue creada.

3. El nombre, nmero de documento identificativo y direccin del abonado o del usuario registrado al que se le hubiera asignado la direccin de Protocolo de Internet a la que se refieren los dos prrafos anteriores.

Estos datos debern ser cedidos, previo requerimiento motivado de la Agencia Espaola de Proteccin de Datos, exclusivamente en el marco de actuaciones de investigacin iniciadas como consecuencia de una denuncia presentada por un afectado respecto de una conducta de una persona jurdica o respecto a la utilizacin de sistemas que permitan la divulgacin sin restricciones de datos personales. En el resto de los supuestos la cesin de estos datos requerir la previa obtencin de autorizacin judicial otorgada conforme a las normas procesales cuando resultara exigible.

Quedan excluidos de lo previsto en este apartado los datos de trfico que los operadores estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones, cuya cesin solamente podr tener lugar de acuerdo con lo dispuesto en ella, previa autorizacin judicial solicitada por alguno de los agentes facultados a los que se refiere el artculo 6 de dicha ley.

Artculo 53. Alcance de la actividad de investigacin.

1. Quienes desarrollen la actividad de investigacin podrn recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibicin o el envo de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos fsicos y lgicos y requerir la ejecucin de tratamientos y programas o procedimientos de gestin y soporte del tratamiento sujetos a investigacin.

2. Cuando fuese necesario el acceso por el personal que desarrolla la actividad de investigacin al domicilio constitucionalmente protegido del inspeccionado, ser preciso contar con su consentimiento o haber obtenido la correspondiente autorizacin judicial.

3. Cuando se trate de rganos judiciales u oficinas judiciales el ejercicio de las facultades de inspeccin se efectuar a travs y por mediacin del Consejo General del Poder Judicial.

Artculo 54. Planes de auditora.

1. La Presidencia de la Agencia Espaola de Proteccin de Datos podr acordar la realizacin de planes de auditora preventiva, referidos a los tratamientos de un sector concreto de actividad. Tendrn por objeto el anlisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgnica, a partir de la realizacin de actividades de investigacin sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditora.

2. A resultas de los planes de auditora, la Presidencia de la Agencia Espaola de Proteccin de Datos podr dictar las directrices generales o especficas para un concreto responsable o encargado de los tratamientos precisas para asegurar la plena adaptacin del sector o responsable al Reglamento (UE) 2016/679 y a la presente ley orgnica.

En la elaboracin de dichas directrices la Presidencia de la Agencia Espaola de Proteccin de Datos podr solicitar la colaboracin de los organismos de supervisin de los cdigos de conducta y de resolucin extrajudicial de conflictos, si los hubiere.

3. Las directrices sern de obligado cumplimiento para el sector o responsable al que se refiera el plan de auditora.

Seccin 3. Otras potestades de la Agencia Espaola de Proteccin de Datos
Artculo 55. Potestades de regulacin. Circulares de la Agencia Espaola de Proteccin de Datos.

1. La Presidencia de la Agencia Espaola de Proteccin de Datos podr dictar disposiciones que fijen los criterios a que responder la actuacin de esta autoridad en la aplicacin de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgnica, que se denominarn Circulares de la Agencia Espaola de Proteccin de Datos.

2. Su elaboracin se sujetar al procedimiento establecido en el Estatuto de la Agencia Espaola de Proteccin de Datos, que deber prever los informes tcnicos y jurdicos que fueran necesarios y la audiencia a los interesados.

3. Las circulares sern obligatorias una vez publicadas en el Boletn Oficial del Estado.

Artculo 56. Accin exterior.

1. Corresponde a la Agencia Espaola de Proteccin de Datos la titularidad y el ejercicio de las funciones relacionadas con la accin exterior del Estado en materia de proteccin de datos.

Asimismo a las comunidades autnomas, a travs de las autoridades autonmicas de proteccin de datos, les compete ejercitar las funciones como sujetos de la accin exterior en el marco de sus competencias de conformidad con lo dispuesto en la Ley 2/2014, de 25 de marzo, de la Accin y del Servicio Exterior del Estado, as como celebrar acuerdos internacionales administrativos en ejecucin y concrecin de un tratado internacional y acuerdos no normativos con los rganos anlogos de otros sujetos de derecho internacional, no vinculantes jurdicamente para quienes los suscriben, sobre materias de su competencia en el marco de la Ley 25/2014, de 27 de noviembre, de Tratados y otros Acuerdos Internacionales.

2. La Agencia Espaola de Proteccin de Datos es el organismo competente para la proteccin de las personas fsicas en lo relativo al tratamiento de datos personales derivado de la aplicacin de cualquier Convenio Internacional en el que sea parte el Reino de Espaa que atribuya a una autoridad nacional de control esa competencia y la representante comn de las autoridades de Proteccin de Datos en el Comit Europeo de Proteccin de Datos, conforme a lo dispuesto en el artculo 68.4 del Reglamento (UE) 2016/679.

La Agencia Espaola de Proteccin de Datos informar a las autoridades autonmicas de proteccin de datos acerca de las decisiones adoptadas en el Comit Europeo de Proteccin de Datos y recabar su parecer cuando se trate de materias de su competencia.

3. Sin perjuicio de lo dispuesto en el apartado 1, la Agencia Espaola de Proteccin de Datos:

a) Participar en reuniones y foros internacionales de mbito distinto al de la Unin Europea establecidos de comn acuerdo por las autoridades de control independientes en materia de proteccin de datos.

b) Participar, como autoridad espaola, en las organizaciones internacionales competentes en materia de proteccin de datos, en los comits o grupos de trabajo, de estudio y de colaboracin de organizaciones internacionales que traten materias que afecten al derecho fundamental a la proteccin de datos personales y en otros foros o grupos de trabajo internacionales, en el marco de la accin exterior del Estado.

c) Colaborar con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la proteccin de datos, en particular en el mbito iberoamericano, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia.

CAPTULO II
Autoridades autonmicas de proteccin de datos
Seccin 1. Disposiciones generales
Artculo 57. Autoridades autonmicas de proteccin de datos.

1. Las autoridades autonmicas de proteccin de datos personales podrn ejercer, las funciones y potestades establecidas en los artculos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la normativa autonmica, cuando se refieran a:

a) Tratamientos de los que sean responsables las entidades integrantes del sector pblico de la correspondiente Comunidad Autnoma o de las Entidades Locales incluidas en su mbito territorial o quienes presten servicios a travs de cualquier forma de gestin directa o indirecta.

b) Tratamientos llevados a cabo por personas fsicas o jurdicas para el ejercicio de las funciones pblicas en materias que sean competencia de la correspondiente Administracin Autonmica o Local.

c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonoma.

2. Las autoridades autonmicas de proteccin de datos podrn dictar, en relacin con los tratamientos sometidos a su competencia, circulares con el alcance y los efectos establecidos para la Agencia Espaola de Proteccin de Datos en el artculo 55 de esta ley orgnica.

Artculo 58. Cooperacin institucional.

La Presidencia de la Agencia Espaola de Proteccin de Datos convocar, por iniciativa propia o cuando lo solicite otra autoridad, a las autoridades autonmicas de proteccin de datos para contribuir a la aplicacin coherente del Reglamento (UE) 2016/679 y de la presente ley orgnica. En todo caso, se celebrarn reuniones semestrales de cooperacin.

La Presidencia de la Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos podrn solicitar y debern intercambiarse mutuamente la informacin necesaria para el cumplimiento de sus funciones y, en particular, la relativa a la actividad del Comit Europeo de Proteccin de Datos. Asimismo, podrn constituir grupos de trabajo para tratar asuntos especficos de inters comn.

Artculo 59. Tratamientos contrarios al Reglamento (UE) 2016/679.

Cuando la Presidencia de la Agencia Espaola de Proteccin de Datos considere que un tratamiento llevado a cabo en materias que fueran competencia de las autoridades autonmicas de proteccin de datos vulnera el Reglamento (UE) 2016/679 podr requerirlas a que adopten, en el plazo de un mes, las medidas necesarias para su cesacin.

Si la autoridad autonmica no atendiere en plazo el requerimiento o las medidas adoptadas no supusiesen la cesacin en el tratamiento ilcito, la Agencia Espaola de Proteccin de Datos podr ejercer las acciones que procedan ante la jurisdiccin contencioso-administrativa.

Seccin 2. Coordinacin en el marco de los procedimientos establecidos en el Reglamento (UE) 2016/679
Artculo 60. Coordinacin en caso de emisin de dictamen por el Comit Europeo de Proteccin de Datos.

Se practicarn por conducto de la Agencia Espaola de Proteccin de Datos todas las comunicaciones entre el Comit Europeo de Proteccin de Datos y las autoridades autonmicas de proteccin de datos cuando stas, como autoridades competentes, deban someter su proyecto de decisin al citado comit o le soliciten el examen de un asunto en virtud de lo establecido en los apartados 1 y 2 del artculo 64 del Reglamento (UE) 2016/679.

En estos casos, la Agencia Espaola de Proteccin de Datos ser asistida por un representante de la Autoridad autonmica en su intervencin ante el Comit.

Artculo 61. Intervencin en caso de tratamientos transfronterizos.

1. Las autoridades autonmicas de proteccin de datos ostentarn la condicin de autoridad de control principal o interesada en el procedimiento establecido por el artculo 60 del Reglamento (UE) 2016/679 cuando se refiera a un tratamiento previsto en el artculo 57 de esta ley orgnica que se llevara a cabo por un responsable o encargado del tratamiento de los previstos en el artculo 56 del Reglamento (UE) 2016/679, salvo que desarrollase significativamente tratamientos de la misma naturaleza en el resto del territorio espaol.

2. Corresponder en estos casos a las autoridades autonmicas intervenir en los procedimientos establecidos en el artculo 60 del Reglamento (UE) 2016/679, informando a la Agencia Espaola de Proteccin de Datos sobre su desarrollo en los supuestos en que deba aplicarse el mecanismo de coherencia.

Artculo 62. Coordinacin en caso de resolucin de conflictos por el Comit Europeo de Proteccin de Datos.

1. Se practicarn por conducto de la Agencia Espaola de Proteccin de Datos todas las comunicaciones entre el Comit Europeo de Proteccin de Datos y las autoridades autonmicas de proteccin de datos cuando estas, como autoridades principales, deban solicitar del citado Comit la emisin de una decisin vinculante segn lo previsto en el artculo 65 del Reglamento (UE) 2016/679.

2. Las autoridades autonmicas de proteccin de datos que tengan la condicin de autoridad interesada no principal en un procedimiento de los previstos en el artculo 65 del Reglamento (UE) 2016/679 informarn a la Agencia Espaola de Proteccin de Datos cuando el asunto sea remitido al Comit Europeo de Proteccin de Datos, facilitndole la documentacin e informacin necesarias para su tramitacin.

La Agencia Espaola de Proteccin de Datos ser asistida por un representante de la autoridad autonmica interesada en su intervencin ante el mencionado comit.

TTULO VIII
Procedimientos en caso de posible vulneracin de la normativa de proteccin de datos
Artculo 63. Rgimen jurdico.

1. Las disposiciones de este Ttulo sern de aplicacin a los procedimientos tramitados por la Agencia Espaola de Proteccin de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, as como en los que aquella investigue la existencia de una posible infraccin de lo dispuesto en el mencionado reglamento y en la presente ley orgnica.

2. Los procedimientos tramitados por la Agencia Espaola de Proteccin de Datos se regirn por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgnica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carcter subsidiario, por las normas generales sobre los procedimientos administrativos.

3. El Gobierno regular por real decreto los procedimientos que tramite la Agencia Espaola de Proteccin de Datos al amparo de este Ttulo, asegurando en todo caso los derechos de defensa y audiencia de los interesados.

Artculo 64. Forma de iniciacin del procedimiento y duracin.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atencin de una solicitud de ejercicio de los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, se iniciar por acuerdo de admisin a trmite, que se adoptar conforme a lo establecido en el artculo 65 de esta ley orgnica.

En este caso el plazo para resolver el procedimiento ser de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisin a trmite. Transcurrido ese plazo, el interesado podr considerar estimada su reclamacin.

2. Cuando el procedimiento tenga por objeto la determinacin de la posible existencia de una infraccin de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgnica, se iniciar mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamacin.

Si el procedimiento se fundase en una reclamacin formulada ante la Agencia Espaola de Proteccin de Datos, con carcter previo, esta decidir sobre su admisin a trmite, conforme a lo dispuesto en el artculo 65 de esta ley orgnica.

Cuando fuesen de aplicacin las normas establecidas en el artculo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciar mediante la adopcin del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dar conocimiento formal al interesado a los efectos previstos en el artculo 75 de esta ley orgnica.

Admitida a trmite la reclamacin as como en los supuestos en que la Agencia Espaola de Proteccin de Datos acte por propia iniciativa, con carcter previo al acuerdo de inicio, podr existir una fase de actuaciones previas de investigacin, que se regir por lo previsto en el artculo 67 de esta ley orgnica.

El procedimiento tendr una duracin mxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producir su caducidad y, en consecuencia, el archivo de actuaciones.

3. El procedimiento podr tambin tramitarse como consecuencia de la comunicacin a la Agencia Espaola de Proteccin de Datos por parte de la autoridad de control de otro Estado miembro de la Unin Europea de la reclamacin formulada ante la misma, cuando la Agencia Espaola de Proteccin de Datos tuviese la condicin de autoridad de control principal para la tramitacin de un procedimiento conforme a lo dispuesto en los artculos 56 y 60 del Reglamento (UE) 2016/679. Ser en este caso de aplicacin lo dispuesto en el apartado 1 y en los prrafos primero, tercero, cuarto y quinto del apartado 2.

4. Los plazos de tramitacin establecidos en este artculo as como los de admisin a trmite regulados por el artculo 65.5 y de duracin de las actuaciones previas de investigacin previstos en el artculo 67.2, quedarn automticamente suspendidos cuando deba recabarse informacin, consulta, solicitud de asistencia o pronunciamiento preceptivo de un rgano u organismo de la Unin Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificacin del pronunciamiento a la Agencia Espaola de Proteccin de Datos.

Artculo 65. Admisin a trmite de las reclamaciones.

1. Cuando se presentase ante la Agencia Espaola de Proteccin de Datos una reclamacin, esta deber evaluar su admisibilidad a trmite, de conformidad con las previsiones de este artculo.

2. La Agencia Espaola de Proteccin de Datos inadmitir las reclamaciones presentadas cuando no versen sobre cuestiones de proteccin de datos personales, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infraccin.

3. Igualmente, la Agencia Espaola de Proteccin de Datos podr inadmitir la reclamacin cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia Espaola de Proteccin de Datos, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislacin de proteccin de datos y concurra alguna de las siguientes circunstancias:

a) Que no se haya causado perjuicio al afectado en el caso de las infracciones previstas en el artculo 74 de esta ley orgnica.

b) Que el derecho del afectado quede plenamente garantizado mediante la aplicacin de las medidas.

4. Antes de resolver sobre la admisin a trmite de la reclamacin, la Agencia Espaola de Proteccin de Datos podr remitir la misma al delegado de proteccin de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisin establecido para la aplicacin de los cdigos de conducta a los efectos previstos en los artculos 37 y 38.2 de esta ley orgnica.

La Agencia Espaola de Proteccin de Datos podr igualmente remitir la reclamacin al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de proteccin de datos ni estuviera adherido a mecanismos de resolucin extrajudicial de conflictos, en cuyo caso el responsable o encargado deber dar respuesta a la reclamacin en el plazo de un mes.

5. La decisin sobre la admisin o inadmisin a trmite, as como la que determine, en su caso, la remisin de la reclamacin a la autoridad de control principal que se estime competente, deber notificarse al reclamante en el plazo de tres meses. Si transcurrido este plazo no se produjera dicha notificacin, se entender que prosigue la tramitacin de la reclamacin con arreglo a lo dispuesto en este Ttulo a partir de la fecha en que se cumpliesen tres meses desde que la reclamacin tuvo entrada en la Agencia Espaola de Proteccin de Datos.

Artculo 66. Determinacin del alcance territorial.

1. Salvo en los supuestos a los que se refiere el artculo 64.3 de esta ley orgnica, la Agencia Espaola de Proteccin de Datos deber, con carcter previo a la realizacin de cualquier otra actuacin, incluida la admisin a trmite de una reclamacin o el comienzo de actuaciones previas de investigacin, examinar su competencia y determinar el carcter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.

2. Si la Agencia Espaola de Proteccin de Datos considera que no tiene la condicin de autoridad de control principal para la tramitacin del procedimiento remitir, sin ms trmite, la reclamacin formulada a la autoridad de control principal que considere competente, a fin de que por la misma se le d el curso oportuno. La Agencia Espaola de Proteccin de Datos notificar esta circunstancia a quien, en su caso, hubiera formulado la reclamacin.

El acuerdo por el que se resuelva la remisin a la que se refiere el prrafo anterior implicar el archivo provisional del procedimiento, sin perjuicio de que por la Agencia Espaola de Proteccin de Datos se dicte, en caso de que as proceda, la resolucin a la que se refiere el apartado 8 del artculo 60 del Reglamento (UE) 2016/679.

Artculo 67. Actuaciones previas de investigacin.

1. Antes de la adopcin del acuerdo de inicio de procedimiento, y una vez admitida a trmite la reclamacin si la hubiese, la Agencia Espaola de Proteccin de Datos podr llevar a cabo actuaciones previas de investigacin a fin de lograr una mejor determinacin de los hechos y las circunstancias que justifican la tramitacin del procedimiento.

La Agencia Espaola de Proteccin de Datos actuar en todo caso cuando sea precisa la investigacin de tratamientos que implique un trfico masivo de datos personales.

2. Las actuaciones previas de investigacin se sometern a lo dispuesto en la Seccin 2. del Captulo I del Ttulo VII de esta ley orgnica y no podrn tener una duracin superior a doce meses a contar desde la fecha del acuerdo de admisin a trmite o de la fecha del acuerdo por el que se decida su iniciacin cuando la Agencia Espaola de Proteccin de Datos acte por propia iniciativa o como consecuencia de la comunicacin que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unin Europea, conforme al artculo 64.3 de esta ley orgnica.

Artculo 68. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

1. Concluidas, en su caso, las actuaciones a las que se refiere el artculo anterior, corresponder a la Presidencia de la Agencia Espaola de Proteccin de Datos, cuando as proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarn los hechos, la identificacin de la persona o entidad contra la que se dirija el procedimiento, la infraccin que hubiera podido cometerse y su posible sancin.

2. Cuando la Agencia Espaola de Proteccin de Datos ostente la condicin de autoridad de control principal y deba seguirse el procedimiento previsto en el artculo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someter a lo dispuesto en el mismo.

Artculo 69. Medidas provisionales y de garanta de los derechos.

1. Durante la realizacin de las actuaciones previas de investigacin o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Espaola de Proteccin de Datos podr acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la proteccin de datos y, en especial, las previstas en el artculo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligacin inmediata de atender el derecho solicitado.

2. En los casos en que la Agencia Espaola de Proteccin de Datos considere que la continuacin del tratamiento de los datos personales, su comunicacin o transferencia internacional comportara un menoscabo grave del derecho a la proteccin de datos personales, podr ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesacin de su tratamiento y, en caso de incumplirse por estos dichos mandatos, proceder a su inmovilizacin.

3. Cuando se hubiese presentado ante la Agencia Espaola de Proteccin de Datos una reclamacin que se refiriese, entre otras cuestiones, a la falta de atencin en plazo de los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Espaola de Proteccin de Datos podr acordar en cualquier momento, incluso con anterioridad a la iniciacin del procedimiento para el ejercicio de la potestad sancionadora, mediante resolucin motivada y previa audiencia del responsable del tratamiento, la obligacin de atender el derecho solicitado, prosiguindose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamacin.

TTULO IX
Rgimen sancionador
Artculo 70. Sujetos responsables.

1. Estn sujetos al rgimen sancionador establecido en el Reglamento (UE) 2016/679 y en la presente ley orgnica:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.

c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unin Europea.

d) Las entidades de certificacin.

e) Las entidades acreditadas de supervisin de los cdigos de conducta.

2. No ser de aplicacin al delegado de proteccin de datos el rgimen sancionador establecido en este Ttulo.

Artculo 71. Infracciones.

Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artculo 83 del Reglamento (UE) 2016/679, as como las que resulten contrarias a la presente ley orgnica.

Artculo 72. Infracciones consideradas muy graves.

1. En funcin de lo que establece el artculo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirn a los tres aos las infracciones que supongan una vulneracin sustancial de los artculos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantas establecidos en el artculo 5 del Reglamento (UE) 2016/679.

b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artculo 6 del Reglamento (UE) 2016/679.

c) El incumplimiento de los requisitos exigidos por el artculo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.

d) La utilizacin de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

e) El tratamiento de datos personales de las categoras a las que se refiere el artculo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artculo 9 de esta ley orgnica.

f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artculo 10 del Reglamento (UE) 2016/679 y en el artculo 10 de esta ley orgnica.

g) El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artculo 27 de esta ley orgnica.

h) La omisin del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artculos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgnica.

i) La vulneracin del deber de confidencialidad establecido en el artculo 5 de esta ley orgnica.

j) La exigencia del pago de un canon para facilitar al afectado la informacin a la que se refieren los artculos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artculos 15 a 22 del Reglamento (UE) 2016/679, fuera de los supuestos establecidos en su artculo 12.5.

k) El impedimento o la obstaculizacin o la no atencin reiterada del ejercicio de los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679.

l) La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer pas o a una organizacin internacional, cuando no concurran las garantas, requisitos o excepciones establecidos en los artculos 44 a 49 del Reglamento (UE) 2016/679.

m) El incumplimiento de las resoluciones dictadas por la autoridad de proteccin de datos competente en ejercicio de los poderes que le confiere el artculo 58.2 del Reglamento (UE) 2016/679.

n) El incumplimiento de la obligacin de bloqueo de los datos establecida en el artculo 32 de esta ley orgnica cuando la misma sea exigible.

) No facilitar el acceso del personal de la autoridad de proteccin de datos competente a los datos personales, informacin, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de proteccin de datos para el ejercicio de sus poderes de investigacin.

o) La resistencia u obstruccin del ejercicio de la funcin inspectora por la autoridad de proteccin de datos competente.

p) La reversin deliberada de un procedimiento de anonimizacin a fin de permitir la reidentificacin de los afectados.

2. Tendrn la misma consideracin y tambin prescribirn a los tres aos las infracciones a las que se refiere el artculo 83.6 del Reglamento (UE) 2016/679.

Artculo 73. Infracciones consideradas graves.

En funcin de lo que establece el artculo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirn a los dos aos las infracciones que supongan una vulneracin sustancial de los artculos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artculo 8 del Reglamento (UE) 2016/679.

b) No acreditar la realizacin de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artculo 8.2 del Reglamento (UE) 2016/679.

c) El impedimento o la obstaculizacin o la no atencin reiterada de los derechos de acceso, rectificacin, supresin, limitacin del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificacin del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado informacin adicional que permita su identificacin.

d) La falta de adopcin de aquellas medidas tcnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de proteccin de datos desde el diseo, as como la no integracin de las garantas necesarias en el tratamiento, en los trminos exigidos por el artculo 25 del Reglamento (UE) 2016/679.

e) La falta de adopcin de las medidas tcnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarn los datos personales necesarios para cada uno de los fines especficos del tratamiento, conforme a lo exigido por el artculo 25.2 del Reglamento (UE) 2016/679.

f) La falta de adopcin de aquellas medidas tcnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los trminos exigidos por el artculo 32.1 del Reglamento (UE) 2016/679.

g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas tcnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artculo 32.1 del Reglamento (UE) 2016/679.

h) El incumplimiento de la obligacin de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unin Europea, conforme a lo previsto en el artculo 27 del Reglamento (UE) 2016/679.

i) La falta de atencin por el representante en la Unin del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de proteccin de datos o por los afectados.

j) La contratacin por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantas suficientes para aplicar las medidas tcnicas y organizativas apropiadas conforme a lo establecido en el Captulo IV del Reglamento (UE) 2016/679.

k) Encargar el tratamiento de datos a un tercero sin la previa formalizacin de un contrato u otro acto jurdico escrito con el contenido exigido por el artculo 28.3 del Reglamento (UE) 2016/679.

l) La contratacin por un encargado del tratamiento de otros encargados sin contar con la autorizacin previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratacin cuando fueran legalmente exigibles.

m) La infraccin por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgnica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artculo 28.10 del citado reglamento.

n) No disponer del registro de actividades de tratamiento establecido en el artculo 30 del Reglamento (UE) 2016/679.

) No poner a disposicin de la autoridad de proteccin de datos que lo haya solicitado, el registro de actividades de tratamiento, conforme al apartado 4 del artculo 30 del Reglamento (UE) 2016/679.

o) No cooperar con las autoridades de control en el desempeo de sus funciones en los supuestos no previstos en el artculo 72 de esta ley orgnica.

p) El tratamiento de datos personales sin llevar a cabo una previa valoracin de los elementos mencionados en el artculo 28 de esta ley orgnica.

q) El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

r) El incumplimiento del deber de notificacin a la autoridad de proteccin de datos de una violacin de seguridad de los datos personales de conformidad con lo previsto en el artculo 33 del Reglamento (UE) 2016/679.

s) El incumplimiento del deber de comunicacin al afectado de una violacin de la seguridad de los datos de conformidad con lo previsto en el artculo 34 del Reglamento (UE) 2016/679 si el responsable del tratamiento hubiera sido requerido por la autoridad de proteccin de datos para llevar a cabo dicha notificacin.

t) El tratamiento de datos personales sin haber llevado a cabo la evaluacin del impacto de las operaciones de tratamiento en la proteccin de datos personales en los supuestos en que la misma sea exigible.

u) El tratamiento de datos personales sin haber consultado previamente a la autoridad de proteccin de datos en los casos en que dicha consulta resulta preceptiva conforme al artculo 36 del Reglamento (UE) 2016/679 o cuando la ley establezca la obligacin de llevar a cabo esa consulta.

v) El incumplimiento de la obligacin de designar un delegado de proteccin de datos cuando sea exigible su nombramiento de acuerdo con el artculo 37 del Reglamento (UE) 2016/679 y el artculo 34 de esta ley orgnica.

w) No posibilitar la efectiva participacin del delegado de proteccin de datos en todas las cuestiones relativas a la proteccin de datos personales, no respaldarlo o interferir en el desempeo de sus funciones.

x) La utilizacin de un sello o certificacin en materia de proteccin de datos que no haya sido otorgado por una entidad de certificacin debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.

y) Obtener la acreditacin como organismo de certificacin presentando informacin inexacta sobre el cumplimiento de los requisitos exigidos por el artculo 43 del Reglamento (UE) 2016/679.

z) El desempeo de funciones que el Reglamento (UE) 2016/679 reserva a los organismos de certificacin, sin haber sido debidamente acreditado conforme a lo establecido en el artculo 39 de esta ley orgnica.

aa) El incumplimiento por parte de un organismo de certificacin de los principios y deberes a los que est sometido segn lo previsto en los artculos 42 y 43 de Reglamento (UE) 2016/679.

ab) El desempeo de funciones que el artculo 41 del Reglamento (UE) 2016/679 reserva a los organismos de supervisin de cdigos de conducta sin haber sido previamente acreditado por la autoridad de proteccin de datos competente.

ac) La falta de adopcin por parte de los organismos acreditados de supervisin de un cdigo de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infraccin del cdigo, conforme exige el artculo 41.4 del Reglamento (UE) 2016/679.

Artculo 74. Infracciones consideradas leves.

Se consideran leves y prescribirn al ao las restantes infracciones de carcter meramente formal de los artculos mencionados en los apartados 4 y 5 del artculo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:

a) El incumplimiento del principio de transparencia de la informacin o el derecho de informacin del afectado por no facilitar toda la informacin exigida por los artculos 13 y 14 del Reglamento (UE) 2016/679.

b) La exigencia del pago de un canon para facilitar al afectado la informacin exigida por los artculos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artculos 15 a 22 del Reglamento (UE) 2016/679, cuando as lo permita su artculo 12.5, si su cuanta excediese el importe de los costes afrontados para facilitar la informacin o realizar la actuacin solicitada.

c) No atender las solicitudes de ejercicio de los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase de aplicacin lo dispuesto en el artculo 72.1.k) de esta ley orgnica.

d) No atender los derechos de acceso, rectificacin, supresin, limitacin del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificacin del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado informacin adicional que permita su identificacin, salvo que resultase de aplicacin lo dispuesto en el artculo 73 c) de esta ley orgnica.

e) El incumplimiento de la obligacin de notificacin relativa a la rectificacin o supresin de datos personales o la limitacin del tratamiento exigida por el artculo 19 del Reglamento (UE) 2016/679.

f) El incumplimiento de la obligacin de informar al afectado, cuando as lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.

g) El incumplimiento de la obligacin de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artculo 3 de esta ley orgnica.

h) La falta de formalizacin por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artculo 26 del Reglamento (UE) 2016/679 o la inexactitud en la determinacin de las mismas.

i) No poner a disposicin de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artculo 26.2 del Reglamento (UE) 2016/679.

j) La falta del cumplimiento de la obligacin del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infraccin por una instruccin recibida de este de las disposiciones del Reglamento (UE) 2016/679 o de esta ley orgnica, conforme a lo exigido por el artculo 28.3 del citado reglamento.

k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurdico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que est legalmente obligado a ello conforme al Reglamento (UE) 2016/679 y a la presente ley orgnica o en los supuestos en que fuese necesario para evitar la infraccin de la legislacin en materia de proteccin de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la informacin exigida por el artculo 30 del Reglamento (UE) 2016/679.

m) La notificacin incompleta, tarda o defectuosa a la autoridad de proteccin de datos de la informacin relacionada con una violacin de seguridad de los datos personales de conformidad con lo previsto en el artculo 33 del Reglamento (UE) 2016/679.

n) El incumplimiento de la obligacin de documentar cualquier violacin de seguridad, exigida por el artculo 33.5 del Reglamento (UE) 2016/679.

) El incumplimiento del deber de comunicacin al afectado de una violacin de la seguridad de los datos que entrae un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artculo 34 del Reglamento (UE) 2016/679, salvo que resulte de aplicacin lo previsto en el artculo 73 s) de esta ley orgnica.

o) Facilitar informacin inexacta a la Autoridad de proteccin de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artculo 36 del Reglamento (UE) 2016/679.

p) No publicar los datos de contacto del delegado de proteccin de datos, o no comunicarlos a la autoridad de proteccin de datos, cuando su nombramiento sea exigible de acuerdo con el artculo 37 del Reglamento (UE) 2016/679 y el artculo 34 de esta ley orgnica.

q) El incumplimiento por los organismos de certificacin de la obligacin de informar a la autoridad de proteccin de datos de la expedicin, renovacin o retirada de una certificacin, conforme a lo exigido por los apartados 1 y 5 del artculo 43 del Reglamento (UE) 2016/679.

r) El incumplimiento por parte de los organismos acreditados de supervisin de un cdigo de conducta de la obligacin de informar a las autoridades de proteccin de datos acerca de las medidas que resulten oportunas en caso de infraccin del cdigo, conforme exige el artculo 41.4 del Reglamento (UE) 2016/679.

Artculo 75. Interrupcin de la prescripcin de la infraccin.

Interrumpir la prescripcin la iniciacin, con conocimiento del interesado, del procedimiento sancionador, reinicindose el plazo de prescripcin si el expediente sancionador estuviere paralizado durante ms de seis meses por causas no imputables al presunto infractor.

Cuando la Agencia Espaola de Proteccin de Datos ostente la condicin de autoridad de control principal y deba seguirse el procedimiento previsto en el artculo 60 del Reglamento (UE) 2016/679 interrumpir la prescripcin el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.

Artculo 76. Sanciones y medidas correctivas.

1. Las sanciones previstas en los apartados 4, 5 y 6 del artculo 83 del Reglamento (UE) 2016/679 se aplicarn teniendo en cuenta los criterios de graduacin establecidos en el apartado 2 del citado artculo.

2. De acuerdo a lo previsto en el artculo 83.2.k) del Reglamento (UE) 2016/679 tambin podrn tenerse en cuenta:

a) El carcter continuado de la infraccin.

b) La vinculacin de la actividad del infractor con la realizacin de tratamientos de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisin de la infraccin.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisin de la infraccin.

e) La existencia de un proceso de fusin por absorcin posterior a la comisin de la infraccin, que no puede imputarse a la entidad absorbente.

f) La afectacin a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de proteccin de datos.

h) El sometimiento por parte del responsable o encargado, con carcter voluntario, a mecanismos de resolucin alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

3. Ser posible, complementaria o alternativamente, la adopcin, cuando proceda, de las restantes medidas correctivas a las que se refiere el artculo 83.2 del Reglamento (UE) 2016/679.

4. Ser objeto de publicacin en el Boletn Oficial del Estado la informacin que identifique al infractor, la infraccin cometida y el importe de la sancin impuesta cuando la autoridad competente sea la Agencia Espaola de Proteccin de Datos, la sancin fuese superior a un milln de euros y el infractor sea una persona jurdica.

Cuando la autoridad competente para imponer la sancin sea una autoridad autonmica de proteccin de datos, se estar a su normativa de aplicacin.

Artculo 77. Rgimen aplicable a determinadas categoras de responsables o encargados del tratamiento.

1. El rgimen establecido en este artculo ser de aplicacin a los tratamientos de los que sean responsables o encargados:

a) Los rganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autnomas anlogas a los mismos.

b) Los rganos jurisdiccionales.

c) La Administracin General del Estado, las Administraciones de las comunidades autnomas y las entidades que integran la Administracin Local.

d) Los organismos pblicos y entidades de Derecho pblico vinculadas o dependientes de las Administraciones Pblicas.

e) Las autoridades administrativas independientes.

f) El Banco de Espaa.

g) Las corporaciones de Derecho pblico cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho pblico.

h) Las fundaciones del sector pblico.

i) Las Universidades Pblicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonmicas, as como los grupos polticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artculos 72 a 74 de esta ley orgnica, la autoridad de proteccin de datos que resulte competente dictar resolucin sancionando a las mismas con apercibimiento. La resolucin establecer asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infraccin que se hubiese cometido.

La resolucin se notificar al responsable o encargado del tratamiento, al rgano del que dependa jerrquicamente, en su caso, y a los afectados que tuvieran la condicin de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de proteccin de datos propondr tambin la iniciacin de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar sern las establecidas en la legislacin sobre rgimen disciplinario o sancionador que resulte de aplicacin.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes tcnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolucin en la que se imponga la sancin se incluir una amonestacin con denominacin del cargo responsable y se ordenar la publicacin en el Boletn Oficial del Estado o autonmico que corresponda.

4. Se debern comunicar a la autoridad de proteccin de datos las resoluciones que recaigan en relacin con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarn al Defensor del Pueblo o, en su caso, a las instituciones anlogas de las comunidades autnomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artculo.

6. Cuando la autoridad competente sea la Agencia Espaola de Proteccin de Datos, esta publicar en su pgina web con la debida separacin las resoluciones referidas a las entidades del apartado 1 de este artculo, con expresa indicacin de la identidad del responsable o encargado del tratamiento que hubiera cometido la infraccin.

Cuando la competencia corresponda a una autoridad autonmica de proteccin de datos se estar, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa especfica.

Artculo 78. Prescripcin de las sanciones.

1. Las sanciones impuestas en aplicacin del Reglamento (UE) 2016/679 y de esta ley orgnica prescriben en los siguientes plazos:

a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un ao.

b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos aos.

c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres aos.

2. El plazo de prescripcin de las sanciones comenzar a contarse desde el da siguiente a aquel en que sea ejecutable la resolucin por la que se impone la sancin o haya transcurrido el plazo para recurrirla.

3. La prescripcin se interrumpir por la iniciacin, con conocimiento del interesado, del procedimiento de ejecucin, volviendo a transcurrir el plazo si el mismo est paralizado durante ms de seis meses por causa no imputable al infractor.

TTULO X
Garanta de los derechos digitales
Artculo 79. Los derechos en la Era digital.

Los derechos y libertades consagrados en la Constitucin y en los Tratados y Convenios Internacionales en que Espaa sea parte son plenamente aplicables en Internet. Los prestadores de servicios de la sociedad de la informacin y los proveedores de servicios de Internet contribuirn a garantizar su aplicacin.

Artculo 80. Derecho a la neutralidad de Internet.

Los usuarios tienen derecho a la neutralidad de Internet. Los proveedores de servicios de Internet proporcionarn una oferta transparente de servicios sin discriminacin por motivos tcnicos o econmicos.

Artculo 81. Derecho de acceso universal a Internet.

1. Todos tienen derecho a acceder a Internet independientemente de su condicin personal, social, econmica o geogrfica.

2. Se garantizar un acceso universal, asequible, de calidad y no discriminatorio para toda la poblacin.

3. El acceso a Internet de hombres y mujeres procurar la superacin de la brecha de gnero tanto en el mbito personal como laboral.

4. El acceso a Internet procurar la superacin de la brecha generacional mediante acciones dirigidas a la formacin y el acceso a las personas mayores.

5. La garanta efectiva del derecho de acceso a Internet atender la realidad especfica de los entornos rurales.

6. El acceso a Internet deber garantizar condiciones de igualdad para las personas que cuenten con necesidades especiales.

Artculo 82. Derecho a la seguridad digital.

Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a travs de Internet. Los proveedores de servicios de Internet informarn a los usuarios de sus derechos.

Artculo 83. Derecho a la educacin digital.

1. El sistema educativo garantizar la plena insercin del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garanta de la intimidad personal y familiar y la proteccin de datos personales. Las actuaciones realizadas en este mbito tendrn carcter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.

Las Administraciones educativas debern incluir en el diseo del bloque de asignaturas de libre configuracin la competencia digital a la que se refiere el apartado anterior, as como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilizacin de las TIC, con especial atencin a las situaciones de violencia en la red.

2. El profesorado recibir las competencias digitales y la formacin necesaria para la enseanza y transmisin de los valores y derechos referidos en el apartado anterior.

3. Los planes de estudio de los ttulos universitarios, en especial, aquellos que habiliten para el desempeo profesional en la formacin del alumnado, garantizarn la formacin en el uso y seguridad de los medios digitales y en la garanta de los derechos fundamentales en Internet.

4. Las Administraciones Pblicas incorporarn a los temarios de las pruebas de acceso a los cuerpos superiores y a aqullos en que habitualmente se desempeen funciones que impliquen el acceso a datos personales materias relacionadas con la garanta de los derechos digitales y en particular el de proteccin de datos.

Artculo 84. Proteccin de los menores en Internet.

1. Los padres, madres, tutores, curadores o representantes legales procurarn que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la informacin a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.

2. La utilizacin o difusin de imgenes o informacin personal de menores en las redes sociales y servicios de la sociedad de la informacin equivalentes que puedan implicar una intromisin ilegtima en sus derechos fundamentales determinar la intervencin del Ministerio Fiscal, que instar las medidas cautelares y de proteccin previstas en la Ley Orgnica 1/1996, de 15 de enero, de Proteccin Jurdica del Menor.

Artculo 85. Derecho de rectificacin en Internet.

1. Todos tienen derecho a la libertad de expresin en Internet.

2. Los responsables de redes sociales y servicios equivalentes adoptarn protocolos adecuados para posibilitar el ejercicio del derecho de rectificacin ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente informacin veraz, atendiendo a los requisitos y procedimientos previstos en la Ley Orgnica 2/1984, de 26 de marzo, reguladora del derecho de rectificacin.

Cuando los medios de comunicacin digitales deban atender la solicitud de rectificacin formulada contra ellos debern proceder a la publicacin en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situacin actual del individuo. Dicho aviso deber aparecer en lugar visible junto con la informacin original.

Artculo 86. Derecho a la actualizacin de informaciones en medios de comunicacin digitales.

Toda persona tiene derecho a solicitar motivadamente de los medios de comunicacin digitales la inclusin de un aviso de actualizacin suficientemente visible junto a las noticias que le conciernan cuando la informacin contenida en la noticia original no refleje su situacin actual como consecuencia de circunstancias que hubieran tenido lugar despus de la publicacin, causndole un perjuicio.

En particular, proceder la inclusin de dicho aviso cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso har referencia a la decisin posterior.

Artculo 87. Derecho a la intimidad y uso de dispositivos digitales en el mbito laboral.

1. Los trabajadores y los empleados pblicos tendrn derecho a la proteccin de su intimidad en el uso de los dispositivos digitales puestos a su disposicin por su empleador.

2. El empleador podr acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.

3. Los empleadores debern establecer criterios de utilizacin de los dispositivos digitales respetando en todo caso los estndares mnimos de proteccin de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboracin debern participar los representantes de los trabajadores.

El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerir que se especifiquen de modo preciso los usos autorizados y se establezcan garantas para preservar la intimidad de los trabajadores, tales como, en su caso, la determinacin de los perodos en que los dispositivos podrn utilizarse para fines privados.

Los trabajadores debern ser informados de los criterios de utilizacin a los que se refiere este apartado.

Artculo 88. Derecho a la desconexin digital en el mbito laboral.

1. Los trabajadores y los empleados pblicos tendrn derecho a la desconexin digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, as como de su intimidad personal y familiar.

2. Las modalidades de ejercicio de este derecho atendern a la naturaleza y objeto de la relacin laboral, potenciarn el derecho a la conciliacin de la actividad laboral y la vida personal y familiar y se sujetarn a lo establecido en la negociacin colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.

3. El empleador, previa audiencia de los representantes de los trabajadores, elaborar una poltica interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirn las modalidades de ejercicio del derecho a la desconexin y las acciones de formacin y de sensibilizacin del personal sobre un uso razonable de las herramientas tecnolgicas que evite el riesgo de fatiga informtica. En particular, se preservar el derecho a la desconexin digital en los supuestos de realizacin total o parcial del trabajo a distancia as como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnolgicas.

Artculo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabacin de sonidos en el lugar de trabajo.

1. Los empleadores podrn tratar las imgenes obtenidas a travs de sistemas de cmaras o videocmaras para el ejercicio de las funciones de control de los trabajadores o los empleados pblicos previstas, respectivamente, en el artculo 20.3 del Estatuto de los Trabajadores y en la legislacin de funcin pblica, siempre que estas funciones se ejerzan dentro de su marco legal y con los lmites inherentes al mismo. Los empleadores habrn de informar con carcter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados pblicos y, en su caso, a sus representantes, acerca de esta medida.

En el supuesto de que se haya captado la comisin flagrante de un acto ilcito por los trabajadores o los empleados pblicos se entender cumplido el deber de informar cuando existiese al menos el dispositivo al que se refiere el artculo 22.4 de esta ley orgnica.

2. En ningn caso se admitir la instalacin de sistemas de grabacin de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados pblicos, tales como vestuarios, aseos, comedores y anlogos.

3. La utilizacin de sistemas similares a los referidos en los apartados anteriores para la grabacin de sonidos en el lugar de trabajo se admitir nicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervencin mnima y las garantas previstas en los apartados anteriores. La supresin de los sonidos conservados por estos sistemas de grabacin se realizar atendiendo a lo dispuesto en el apartado 3 del artculo 22 de esta ley.

Artculo 90. Derecho a la intimidad ante la utilizacin de sistemas de geolocalizacin en el mbito laboral.

1. Los empleadores podrn tratar los datos obtenidos a travs de sistemas de geolocalizacin para el ejercicio de las funciones de control de los trabajadores o los empleados pblicos previstas, respectivamente, en el artculo 20.3 del Estatuto de los Trabajadores y en la legislacin de funcin pblica, siempre que estas funciones se ejerzan dentro de su marco legal y con los lmites inherentes al mismo.

2. Con carcter previo, los empleadores habrn de informar de forma expresa, clara e inequvoca a los trabajadores o los empleados pblicos y, en su caso, a sus representantes, acerca de la existencia y caractersticas de estos dispositivos. Igualmente debern informarles acerca del posible ejercicio de los derechos de acceso, rectificacin, limitacin del tratamiento y supresin.

Artculo 91. Derechos digitales en la negociacin colectiva.

Los convenios colectivos podrn establecer garantas adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el mbito laboral.

Artculo 92. Proteccin de datos de los menores en Internet.

Los centros educativos y cualesquiera personas fsicas o jurdicas que desarrollen actividades en las que participen menores de edad garantizarn la proteccin del inters superior del menor y sus derechos fundamentales, especialmente el derecho a la proteccin de datos personales, en la publicacin o difusin de sus datos personales a travs de servicios de la sociedad de la informacin.

Cuando dicha publicacin o difusin fuera a tener lugar a travs de servicios de redes sociales o servicios equivalentes debern contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artculo 7 de esta ley orgnica.

Artculo 93. Derecho al olvido en bsquedas de Internet.

1. Toda persona tiene derecho a que los motores de bsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una bsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran informacin relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e inters pblico de la informacin.

Del mismo modo deber procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de bsqueda en Internet.

Este derecho subsistir aun cuando fuera lcita la conservacin de la informacin publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultneo.

2. El ejercicio del derecho al que se refiere este artculo no impedir el acceso a la informacin publicada en el sitio web a travs de la utilizacin de otros criterios de bsqueda distintos del nombre de quien ejerciera el derecho.

Artculo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes.

1. Toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicacin por servicios de redes sociales y servicios de la sociedad de la informacin equivalentes.

2. Toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicacin por los servicios de redes sociales y servicios de la sociedad de la informacin equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e inters pblico de la informacin.

Del mismo modo deber procederse a la supresin de dichos datos cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio.

Se exceptan de lo dispuesto en este apartado los datos que hubiesen sido facilitados por personas fsicas en el ejercicio de actividades personales o domsticas.

3. En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio, por l o por terceros, durante su minora de edad, el prestador deber proceder sin dilacin a su supresin por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas en el apartado 2.

Artculo 95. Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.

Los usuarios de servicios de redes sociales y servicios de la sociedad de la informacin equivalentes tendrn derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, as como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea tcnicamente posible.

Los prestadores podrn conservar, sin difundirla a travs de Internet, copia de los contenidos cuando dicha conservacin sea necesaria para el cumplimiento de una obligacin legal.

Artculo 96. Derecho al testamento digital.

1. El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la informacin sobre personas fallecidas se regir por las siguientes reglas:

a) Las personas vinculadas al fallecido por razones familiares o de hecho, as como sus herederos podrn dirigirse a los prestadores de servicios de la sociedad de la informacin al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilizacin, destino o supresin.

Como excepcin, las personas mencionadas no podrn acceder a los contenidos del causante, ni solicitar su modificacin o eliminacin, cuando la persona fallecida lo hubiese prohibido expresamente o as lo establezca una ley. Dicha prohibicin no afectar al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto.

b) El albacea testamentario as como aquella persona o institucin a la que el fallecido hubiese designado expresamente para ello tambin podr solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones.

c) En caso de personas fallecidas menores de edad, estas facultades podrn ejercerse tambin por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podr actuar de oficio o a instancia de cualquier persona fsica o jurdica interesada.

d) En caso de fallecimiento de personas con discapacidad, estas facultades podrn ejercerse tambin, adems de por quienes seala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

2. Las personas legitimadas en el apartado anterior podrn decidir acerca del mantenimiento o eliminacin de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, a menos que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estar a sus instrucciones.

El responsable del servicio al que se le comunique, con arreglo al prrafo anterior, la solicitud de eliminacin del perfil, deber proceder sin dilacin a la misma.

3. Mediante real decreto se establecern los requisitos y condiciones para acreditar la validez y vigencia de los mandatos e instrucciones y, en su caso, el registro de los mismos, que podr coincidir con el previsto en el artculo 3 de esta ley orgnica.

4. Lo establecido en este artculo en relacin con las personas fallecidas en las comunidades autnomas con derecho civil, foral o especial, propio se regir por lo establecido por estas dentro de su mbito de aplicacin.

Artculo 97. Polticas de impulso de los derechos digitales.

1. El Gobierno, en colaboracin con las comunidades autnomas, elaborar un Plan de Acceso a Internet con los siguientes objetivos:

a) superar las brechas digitales y garantizar el acceso a Internet de colectivos vulnerables o con necesidades especiales y de entornos familiares y sociales econmicamente desfavorecidos mediante, entre otras medidas, un bono social de acceso a Internet;

b) impulsar la existencia de espacios de conexin de acceso pblico; y

c) fomentar medidas educativas que promuevan la formacin en competencias y habilidades digitales bsicas a personas y colectivos en riesgo de exclusin digital y la capacidad de todas las personas para realizar un uso autnomo y responsable de Internet y de las tecnologas digitales.

2. Asimismo se aprobar un Plan de Actuacin dirigido a promover las acciones de formacin, difusin y concienciacin necesarias para lograr que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales y de los servicios de la sociedad de la informacin equivalentes de Internet con la finalidad de garantizar su adecuado desarrollo de la personalidad y de preservar su dignidad y derechos fundamentales.

3. El Gobierno presentar un informe anual ante la comisin parlamentaria correspondiente del Congreso de los Diputados en el que se dar cuenta de la evolucin de los derechos, garantas y mandatos contemplados en el presente Ttulo y de las medidas necesarias para promover su impulso y efectividad.

Disposicin adicional primera. Medidas de seguridad en el mbito del sector pblico.

1. El Esquema Nacional de Seguridad incluir las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su prdida, alteracin o acceso no autorizado, adaptando los criterios de determinacin del riesgo en el tratamiento de los datos a lo establecido en el artculo 32 del Reglamento (UE) 2016/679.

2. Los responsables enumerados en el artculo 77.1 de esta ley orgnica debern aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, as como impulsar un grado de implementacin de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en rgimen de concesin, encomienda de gestin o contrato, las medidas de seguridad se correspondern con las de la Administracin pblica de origen y se ajustarn al Esquema Nacional de Seguridad.

Disposicin adicional segunda. Proteccin de datos y transparencia y acceso a la informacin pblica.

La publicidad activa y el acceso a la informacin pblica regulados por el Ttulo I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la informacin pblica y buen gobierno, as como las obligaciones de publicidad activa establecidas por la legislacin autonmica, se sometern, cuando la informacin contenga datos personales, a lo dispuesto en los artculos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente ley orgnica.

Disposicin adicional tercera. Cmputo de plazos.

Los plazos establecidos en el Reglamento (UE) 2016/679 o en esta ley orgnica, con independencia de que se refieran a relaciones entre particulares o con entidades del sector pblico, se regirn por las siguientes reglas:

a) Cuando los plazos se sealen por das, se entiende que estos son hbiles, excluyndose del cmputo los sbados, los domingos y los declarados festivos.

b) Si el plazo se fija en semanas, concluir el mismo da de la semana en que se produjo el hecho que determina su iniciacin en la semana de vencimiento.

c) Si el plazo se fija en meses o aos, concluir el mismo da en que se produjo el hecho que determina su iniciacin en el mes o el ao de vencimiento. Si en el mes de vencimiento no hubiera da equivalente a aquel en que comienza el cmputo, se entender que el plazo expira el ltimo da del mes.

d) Cuando el ltimo da del plazo sea inhbil, se entender prorrogado al primer da hbil siguiente.

Disposicin adicional cuarta. Procedimiento en relacin con las competencias atribuidas a la Agencia Espaola de Proteccin de Datos por otras leyes.

Lo dispuesto en el Ttulo VIII y en sus normas de desarrollo ser de aplicacin a los procedimientos que la Agencia Espaola de Proteccin de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.

Disposicin adicional quinta. Autorizacin judicial en relacin con decisiones de la Comisin Europea en materia de transferencia internacional de datos.

1. Cuando una autoridad de proteccin de datos considerase que una decisin de la Comisin Europea en materia de transferencia internacional de datos, de cuya validez dependiese la resolucin de un procedimiento concreto, infringiese lo dispuesto en el Reglamento (UE) 2016/679, menoscabando el derecho fundamental a la proteccin de datos, acordar inmediatamente la suspensin del procedimiento, a fin de solicitar del rgano judicial autorizacin para declararlo as en el seno del procedimiento del que est conociendo. Dicha suspensin deber ser confirmada, modificada o levantada en el acuerdo de admisin o inadmisin a trmite de la solicitud de la autoridad de proteccin de datos dirigida al tribunal competente.

Las decisiones de la Comisin Europea a las que puede resultar de aplicacin este cauce son:

a) aquellas que declaren el nivel adecuado de proteccin de un tercer pas u organizacin internacional, en virtud del artculo 45 del Reglamento (UE) 2016/679;

b) aquellas por las que se aprueben clusulas tipo de proteccin de datos para la realizacin de transferencias internacionales de datos, o

c) aquellas que declaren la validez de los cdigos de conducta a tal efecto.

2. La autorizacin a la que se refiere esta disposicin solamente podr ser concedida si, previo planteamiento de cuestin prejudicial de validez en los trminos del artculo 267 del Tratado de Funcionamiento de la Unin Europea, la decisin de la Comisin Europea cuestionada fuera declarada invlida por el Tribunal de Justicia de la Unin Europea.

Disposicin adicional sexta. Incorporacin de deudas a sistemas de informacin crediticia.

No se incorporarn a los sistemas de informacin crediticia a los que se refiere el artculo 20.1 de esta ley orgnica deudas en que la cuanta del principal sea inferior a cincuenta euros.

El Gobierno, mediante real decreto, podr actualizar esta cuanta.

Disposicin adicional sptima. Identificacin de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

1. Cuando sea necesaria la publicacin de un acto administrativo que contuviese datos personales del afectado, se identificar al mismo mediante su nombre y apellidos, aadiendo cuatro cifras numricas aleatorias del documento nacional de identidad, nmero de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicacin se refiera a una pluralidad de afectados estas cifras aleatorias debern alternarse.

Cuando se trate de la notificacin por medio de anuncios, particularmente en los supuestos a los que se refiere el artculo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, se identificar al afectado exclusivamente mediante el nmero completo de su documento nacional de identidad, nmero de identidad de extranjero, pasaporte o documento equivalente.

Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos prrafos anteriores, se identificar al afectado nicamente mediante su nombre y apellidos. En ningn caso debe publicarse el nombre y apellidos de manera conjunta con el nmero completo del documento nacional de identidad, nmero de identidad de extranjero, pasaporte o documento equivalente.

2. A fin de prevenir riesgos para vctimas de violencia de gnero, el Gobierno impulsar la elaboracin de un protocolo de colaboracin que defina procedimientos seguros de publicacin y notificacin de actos administrativos, con la participacin de los rganos con competencia en la materia.

Disposicin adicional octava. Potestad de verificacin de las Administraciones Pblicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Pblicas, el rgano destinatario de la solicitud podr efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

Disposicin adicional novena. Tratamiento de datos personales en relacin con la notificacin de incidentes de seguridad.

Cuando, de conformidad con lo dispuesto en la legislacin nacional que resulte de aplicacin, deban notificarse incidentes de seguridad, las autoridades pblicas competentes, equipos de respuesta a emergencias informticas (CERT), equipos de respuesta a incidentes de seguridad informtica (CSIRT), proveedores de redes y servicios de comunicaciones electrnicas y proveedores de tecnologas y servicios de seguridad, podrn tratar los datos personales contenidos en tales notificaciones, exclusivamente durante el tiempo y alcance necesarios para su anlisis, deteccin, proteccin y respuesta ante incidentes y adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo determinado.

Disposicin adicional dcima. Comunicaciones de datos por los sujetos enumerados en el artculo 77.1.

Los responsables enumerados en el artculo 77.1 de esta ley orgnica podrn comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en los solicitantes un inters legtimo que prevalezca sobre los derechos e intereses de los afectados conforme a lo establecido en el artculo 6.1 f) del Reglamento (UE) 2016/679.

Disposicin adicional undcima. Privacidad en las comunicaciones electrnicas.

Lo dispuesto en la presente ley orgnica se entender sin perjuicio de la aplicacin de las normas de Derecho interno y de la Unin Europea reguladoras de la privacidad en el sector de las comunicaciones electrnicas, sin imponer obligaciones adicionales a las personas fsicas o jurdicas en materia de tratamiento en el marco de la prestacin de servicios pblicos de comunicaciones electrnicas en redes pblicas de comunicacin en mbitos en los que estn sujetas a obligaciones especficas establecidas en dichas normas.

Disposicin adicional duodcima. Disposiciones especficas aplicables a los tratamientos de los registros de personal del sector pblico.

1. Los tratamientos de los registros de personal del sector pblico se entendern realizados en el ejercicio de poderes pblicos conferidos a sus responsables, de acuerdo con lo previsto en el artculo 6.1.e) del Reglamento (UE) 2016/679.

2. Los registros de personal del sector pblico podrn tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitndose a los datos estrictamente necesarios para el cumplimiento de sus fines.

3. De acuerdo con lo previsto en el artculo 18.2 del Reglamento (UE) 2016/679, y por considerarlo una razn de inters pblico importante, los datos cuyo tratamiento se haya limitado en virtud del artculo 18.1 del citado reglamento, podrn ser objeto de tratamiento cuando sea necesario para el desarrollo de los procedimientos de personal.

Disposicin adicional decimotercera. Transferencias internacionales de datos tributarios.

Las transferencias de datos tributarios entre el Reino de Espaa y otros Estados o entidades internacionales o supranacionales, se regularn por los trminos y con los lmites establecidos en la normativa sobre asistencia mutua entre los Estados de la Unin Europea, o en el marco de los convenios para evitar la doble imposicin o de otros convenios internacionales, as como por las normas sobre la asistencia mutua establecidas en el Captulo VI del Ttulo III de la Ley 58/2003, de 17 de diciembre, General Tributaria.

Disposicin adicional decimocuarta. Normas dictadas en desarrollo del artculo 13 de la Directiva 95/46/CE.

Las normas dictadas en aplicacin del artculo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artculos 23 y 24 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.

Disposicin adicional decimoquinta. Requerimiento de informacin por parte de la Comisin Nacional del Mercado de Valores.

Cuando no haya podido obtener por otros medios la informacin necesaria para realizar sus labores de supervisin o inspeccin, la Comisin Nacional del Mercado de Valores podr recabar de los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico y de los prestadores de servicios de la sociedad de la informacin, los datos que obren en su poder relativos a la comunicacin electrnica o servicio de la sociedad de la informacin proporcionados por dichos prestadores que sean distintos a su contenido y resulten imprescindibles para el ejercicio de dichas labores.

La cesin de estos datos requerir la previa obtencin de autorizacin judicial otorgada conforme a las normas procesales.

Quedan excluidos de lo previsto en este apartado los datos de trfico que los operadores estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones.

Disposicin adicional decimosexta. Prcticas agresivas en materia de proteccin de datos.

A los efectos previstos en el artculo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prcticas agresivas las siguientes:

a) Actuar con intencin de suplantar la identidad de la Agencia Espaola de Proteccin de Datos o de una autoridad autonmica de proteccin de datos en la realizacin de cualquier comunicacin a los responsables y encargados de los tratamientos o a los interesados.

b) Generar la apariencia de que se est actuando en nombre, por cuenta o en colaboracin con la Agencia Espaola de Proteccin de Datos o una autoridad autonmica de proteccin de datos en la realizacin de cualquier comunicacin a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.

c) Realizar prcticas comerciales en las que se coarte el poder de decisin de los destinatarios mediante la referencia a la posible imposicin de sanciones por incumplimiento de la normativa de proteccin de datos personales.

d) Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de proteccin de datos de forma complementaria a la realizacin de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

e) Asumir, sin designacin expresa del responsable o el encargado del tratamiento, la funcin de delegado de proteccin de datos y comunicarse en tal condicin con la Agencia Espaola de Proteccin de Datos o las autoridades autonmicas de proteccin de datos.

Disposicin adicional decimosptima. Tratamientos de datos de salud.

1. Se encuentran amparados en las letras g), h), i) y j) del artculo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genticos que estn regulados en las siguientes leyes y sus disposiciones de desarrollo:

a) La Ley 14/1986, de 25 de abril, General de Sanidad.

b) La Ley 31/1995, de 8 de noviembre, de Prevencin de Riesgos Laborales.

c) La Ley 41/2002, de 14 de noviembre, bsica reguladora de la autonoma del paciente y de derechos y obligaciones en materia de informacin y documentacin clnica.

d) La Ley 16/2003, de 28 de mayo, de cohesin y calidad del Sistema Nacional de Salud.

e) La Ley 44/2003, de 21 de noviembre, de ordenacin de las profesiones sanitarias.

f) La Ley 14/2007, de 3 de julio, de Investigacin biomdica.

g) La Ley 33/2011, de 4 de octubre, General de Salud Pblica.

h) La Ley 20/2015, de 14 de julio, de ordenacin, supervisin y solvencia de las entidades aseguradoras y reaseguradoras.

i) El texto refundido de la Ley de garantas y uso racional de los 105 medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.

j) El texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusin social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre.

2. El tratamiento de datos en la investigacin en salud se regir por los siguientes criterios:

a) El interesado o, en su caso, su representante legal podr otorgar el consentimiento para el uso de sus datos con fines de investigacin en salud y, en particular, la biomdica. Tales finalidades podrn abarcar categoras relacionadas con reas generales vinculadas a una especialidad mdica o investigadora.

b) Las autoridades sanitarias e instituciones pblicas con competencias en vigilancia de la salud pblica podrn llevar a cabo estudios cientficos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pblica.

c) Se considerar lcita y compatible la reutilizacin de datos personales con fines de investigacin en materia de salud y biomdica cuando, habindose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o reas de investigacin relacionadas con el rea en la que se integrase cientficamente el estudio inicial.

En tales casos, los responsables debern publicar la informacin establecida por el artculo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de sus datos personales y a la libre circulacin de estos datos, en un lugar fcilmente accesible de la pgina web corporativa del centro donde se realice la investigacin o estudio clnico, y, en su caso, en la del promotor, y notificar la existencia de esta informacin por medios electrnicos a los afectados. Cuando estos carezcan de medios para acceder a tal informacin, podrn solicitar su remisin en otro formato.

Para los tratamientos previstos en esta letra, se requerir informe previo favorable del comit de tica de la investigacin.

d) Se considera lcito el uso de datos personales seudonimizados con fines de investigacin en salud y, en particular, biomdica.

El uso de datos personales seudonimizados con fines de investigacin en salud pblica y biomdica requerir:

1. Una separacin tcnica y funcional entre el equipo investigador y quienes realicen la seudonimizacin y conserven la informacin que posibilite la reidentificacin.

2. Que los datos seudonimizados nicamente sean accesibles al equipo de investigacin cuando:

i) Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificacin.

ii) Se adopten medidas de seguridad especficas para evitar la reidentificacin y el acceso de terceros no autorizados.

Podr procederse a la reidentificacin de los datos en su origen, cuando con motivo de una investigacin que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.

e) Cuando se traten datos personales con fines de investigacin en salud, y en particular la biomdica, a los efectos del artculo 89.2 del Reglamento (UE) 2016/679, podrn excepcionarse los derechos de los afectados previstos en los artculos 15, 16, 18 y 21 del Reglamento (EU) 2016/679 cuando:

1. Los citados derechos se ejerzan directamente ante los investigadores o centros de investigacin que utilicen datos anonimizados o seudonimizados.

2. El ejercicio de tales derechos se refiera a los resultados de la investigacin.

3. La investigacin tenga por objeto un inters pblico esencial relacionado con la seguridad del Estado, la defensa, la seguridad pblica u otros objetivos importantes de inters pblico general, siempre que en este ltimo caso la excepcin est expresamente recogida por una norma con rango de Ley.

f) Cuando conforme a lo previsto por el artculo 89 del Reglamento (UE) 2016/679, se lleve a cabo un tratamiento con fines de investigacin en salud pblica y, en particular, biomdica se proceder a:

1. Realizar una evaluacin de impacto que determine los riesgos derivados del tratamiento en los supuestos previstos en el artculo 35 del Reglamento (UE) 2016/679 o en los establecidos por la autoridad de control. Esta evaluacin incluir de modo especfico los riesgos de reidentificacin vinculados a la anonimizacin o seudonimizacin de los datos.

2. Someter la investigacin cientfica a las normas de calidad y, en su caso, a las directrices internacionales sobre buena prctica clnica.

3. Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no acceden a datos de identificacin de los interesados.

4. Designar un representante legal establecido en la Unin Europea, conforme al artculo 74 del Reglamento (UE) 536/2014, si el promotor de un ensayo clnico no est establecido en la Unin Europea. Dicho representante legal podr coincidir con el previsto en el artculo 27.1 del Reglamento (UE) 2016/679.

g) El uso de datos personales seudonimizados con fines de investigacin en salud pblica y, en particular, biomdica deber ser sometido al informe previo del comit de tica de la investigacin previsto en la normativa sectorial.

En defecto de la existencia del mencionado Comit, la entidad responsable de la investigacin requerir informe previo del delegado de proteccin de datos o, en su defecto, de un experto con los conocimientos previos en el artculo 37.5 del Reglamento (UE) 2016/679.

h) En el plazo mximo de un ao desde la entrada en vigor de esta ley, los comits de tica de la investigacin, en el mbito de la salud, biomdico o del medicamento, debern integrar entre sus miembros un delegado de proteccin de datos o, en su defecto, un experto con conocimientos suficientes del Reglamento (UE) 2016/679 cuando se ocupen de actividades de investigacin que comporten el tratamiento de datos personales o de datos seudonimizados o anonimizados.

Disposicin adicional decimoctava. Criterios de seguridad.

La Agencia Espaola de Proteccin de Datos desarrollar, con la colaboracin, cuando sea precisa, de todos los actores implicados, las herramientas, guas, directrices y orientaciones que resulten precisas para dotar a los profesionales, microempresas y pequeas y medianas empresas de pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa establecidas en el Ttulo IV del Reglamento (UE) 2016/679 y en el Ttulo V de esta ley orgnica.

Disposicin adicional decimonovena. Derechos de los menores ante Internet.

En el plazo de un ao desde la entrada en vigor de esta ley orgnica, el Gobierno remitir al Congreso de los Diputados un proyecto de ley dirigido especficamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminacin y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologas.

Disposicin adicional vigsima. Especialidades del rgimen jurdico de la Agencia Espaola de Proteccin de Datos.

1. No ser de aplicacin a la Agencia Espaola de Proteccin de Datos el artculo 50.2.c) de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

2. La Agencia Espaola de Proteccin de Datos podr adherirse a los sistemas de contratacin centralizada establecidos por las Administraciones Pblicas y participar en la gestin compartida de servicios comunes prevista en el artculo 85 de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

Disposicin adicional vigsima primera. Educacin digital.

Las Administraciones educativas darn cumplimiento al mandato contenido en el prrafo segundo del apartado 1 del artculo 83 de esta ley orgnica en el plazo de un ao a contar desde la entrada en vigor de la misma.

Disposicin adicional vigsima segunda. Acceso a los archivos pblicos y eclesisticos.

Las autoridades pblicas competentes facilitarn el acceso a los archivos pblicos y eclesisticos en relacin con los datos que se soliciten con ocasin de investigaciones policiales o judiciales de personas desaparecidas, debiendo atender las solicitudes con prontitud y diligencia las instituciones o congregaciones religiosas a las que se realicen las peticiones de acceso.

Disposicin transitoria primera. Estatuto de la Agencia Espaola de Proteccin de Datos.

1. El Estatuto de la Agencia Espaola de Proteccin de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo, continuar vigente en lo que no se oponga a lo establecido en el Ttulo VIII de esta ley orgnica.

2. Lo dispuesto en los apartados 2, 3 y 5 del artculo 48 y en el artculo 49 de esta ley orgnica se aplicar una vez expire el mandato de quien ostente la condicin de Director de la Agencia Espaola de Proteccin de Datos a la entrada en vigor de la misma.

Disposicin transitoria segunda. Cdigos tipo inscritos en las autoridades de proteccin de datos conforme a la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

Los promotores de los cdigos tipo inscritos en el registro de la Agencia Espaola de Proteccin de Datos o en las autoridades autonmicas de proteccin de datos debern adaptar su contenido a lo dispuesto en el artculo 40 del Reglamento (UE) 2016/679 en el plazo de un ao a contar desde la entrada en vigor de esta ley orgnica.

Si, transcurrido dicho plazo, no se hubiera solicitado la aprobacin prevista en el artculo 38.4 de esta ley orgnica, se cancelar la inscripcin y se comunicar a sus promotores.

Disposicin transitoria tercera. Rgimen transitorio de los procedimientos.

1. Los procedimientos ya iniciados a la entrada en vigor de esta ley orgnica se regirn por la normativa anterior, salvo que esta ley orgnica contenga disposiciones ms favorables para el interesado.

2. Lo dispuesto en el apartado anterior ser asimismo de aplicacin a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Seccin 2. del Captulo III del Ttulo IX del Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.

Disposicin transitoria cuarta. Tratamientos sometidos a la Directiva (UE) 2016/680.

Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevencin, investigacin, deteccin o enjuiciamiento de infracciones penales o de ejecucin de sanciones penales, y a la libre circulacin de dichos datos y por la que se deroga la Decisin Marco 2008/977/JAI del Consejo, continuarn rigindose por la Ley Orgnica 15/1999, de 13 de diciembre, y en particular el artculo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho espaol lo dispuesto en la citada directiva.

Disposicin transitoria quinta. Contratos de encargado del tratamiento.

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artculo 12 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal mantendrn su vigencia hasta la fecha de vencimiento sealada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podr exigir a la otra la modificacin del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artculo 28 del Reglamento (UE) 2016/679 y en el Captulo II del Ttulo V de esta ley orgnica.

Disposicin transitoria sexta. Reutilizacin con fines de investigacin en materia de salud y biomdica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley orgnica.

Se considerar lcita y compatible la reutilizacin con fines de investigacin en salud y biomdica de datos personales recogidos lcitamente con anterioridad a la entrada en vigor de esta ley orgnica cuando concurra alguna de las circunstancias siguientes:

a) Que dichos datos personales se utilicen para la finalidad concreta para la que se hubiera prestado consentimiento.

b) Que, habindose obtenido el consentimiento para una finalidad concreta, se utilicen tales datos para finalidades o reas de investigacin relacionadas con la especialidad mdica o investigadora en la que se integrase cientficamente el estudio inicial.

Disposicin derogatoria nica. Derogacin normativa.

1. Sin perjuicio de lo previsto en la disposicin adicional decimocuarta y en la disposicin transitoria cuarta, queda derogada la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

2. Queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptacin del Derecho espaol a la normativa de la Unin Europea en materia de proteccin de datos.

3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgnica.

Disposicin final primera. Naturaleza de la presente ley.

La presente ley tiene el carcter de ley orgnica.

No obstante, tienen carcter de ley ordinaria:

– El Ttulo IV,

– el Ttulo VII, salvo los artculos 52 y 53, que tienen carcter orgnico,

– el Ttulo VIII,

– el Ttulo IX,

– los artculos 79, 80, 81, 82, 88, 95, 96 y 97 del Ttulo X,

– las disposiciones adicionales, salvo la disposicin adicional segunda y la disposicin adicional decimosptima, que tienen carcter orgnico,

– las disposiciones transitorias,

– y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, dcima y decimosexta, que tienen carcter orgnico.

Disposicin final segunda. Ttulo competencial.

1. Esta ley orgnica se dicta al amparo del artculo 149.1.1. de la Constitucin, que atribuye al Estado la competencia exclusiva para la regulacin de las condiciones bsicas que garanticen la igualdad de todos los espaoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales.

2. El Captulo I del Ttulo VII, el Ttulo VIII, la disposicin adicional cuarta y la disposicin transitoria primera slo sern de aplicacin a la Administracin General del Estado y a sus organismos pblicos.

3. Los artculos 87 a 90 se dictan al amparo de la competencia exclusiva que el artculo 149.1.7. y 18. de la Constitucin reserva al Estado en materia de legislacin laboral y bases del rgimen estatutario de los funcionarios pblicos respectivamente.

4. La disposicin adicional quinta y las disposiciones finales sptima y sexta se dictan al amparo de la competencia que el artculo 149.1.6. de la Constitucin atribuye al Estado en materia de legislacin procesal.

5. La disposicin adicional tercera se dicta al amparo del artculo 149.1.18. de la Constitucin.

6. El artculo 96 se dicta al amparo del artculo 149.1.8. de la Constitucin.

Disposicin final tercera. Modificacin de la Ley Orgnica 5/1985, de 19 de junio, del Rgimen Electoral General.

Se modifica la Ley Orgnica 5/1985, de 19 de junio, del Rgimen Electoral General que queda redactada como sigue:

Uno. El apartado 3 del artculo treinta y nueve queda redactado como sigue:

3. Dentro del plazo anterior, cualquier persona podr formular reclamacin dirigida a la Delegacin Provincial de la Oficina del Censo Electoral sobre sus datos censales, si bien solo podrn ser tenidas en cuenta las que se refieran a la rectificacin de errores en los datos personales, a los cambios de domicilio dentro de una misma circunscripcin o a la no inclusin del reclamante en ninguna Seccin del Censo de la circunscripcin pese a tener derecho a ello. Tambin sern atendidas las solicitudes de los electores que se opongan a su inclusin en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envos postales de propaganda electoral. No sern tenidas en cuenta para la eleccin convocada las que reflejen un cambio de residencia de una circunscripcin a otra, realizado con posterioridad a la fecha de cierre del censo para cada eleccin, debiendo ejercer su derecho en la seccin correspondiente a su domicilio anterior.

Dos. Se aade un nuevo artculo cincuenta y ocho bis, con el contenido siguiente:

Artculo cincuenta y ocho bis. Utilizacin de medios tecnolgicos y datos personales en las actividades electorales.

1. La recopilacin de datos personales relativos a las opiniones polticas de las personas que lleven a cabo los partidos polticos en el marco de sus actividades electorales se encontrar amparada en el inters pblico nicamente cuando se ofrezcan garantas adecuadas.

2. Los partidos polticos, coaliciones y agrupaciones electorales podrn utilizar datos personales obtenidos en pginas web y otras fuentes de acceso pblico para la realizacin de actividades polticas durante el periodo electoral.

3. El envo de propaganda electoral por medios electrnicos o sistemas de mensajera y la contratacin de propaganda electoral en redes sociales o medios equivalentes no tendrn la consideracin de actividad o comunicacin comercial.

4. Las actividades divulgativas anteriormente referidas identificarn de modo destacado su naturaleza electoral.

5. Se facilitar al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposicin.

Disposicin final cuarta. Modificacin de la Ley Orgnica 6/1985, de 1 de julio, del Poder Judicial.

Se modifica la Ley Orgnica, 6/1985, de 1 de julio, del Poder Judicial, en los siguientes trminos:

Uno. Se aade un apartado tercero al artculo 58, con la siguiente redaccin:

Artculo 58.

Tercero. De la solicitud de autorizacin para la declaracin prevista en la disposicin adicional quinta de la Ley Orgnica de Proteccin de Datos Personales y Garanta de los Derechos Digitales, cuando tal solicitud sea formulada por el Consejo General del Poder Judicial.

Dos. Se aade una letra f) al artculo 66, con la siguiente redaccin:

Artculo 66.

f) De la solicitud de autorizacin para la declaracin prevista en la disposicin adicional quinta de la Ley Orgnica de Proteccin de Datos Personales y Garanta de los Derechos Digitales, cuando tal solicitud sea formulada por la Agencia Espaola de Proteccin de Datos.

Tres. Se aaden una letra k) al apartado 1 y un nuevo apartado 7 al artculo 74, con la siguiente redaccin:

Artculo 74.

1. […]

k) De la solicitud de autorizacin para la declaracin prevista en la disposicin adicional quinta de la Ley Orgnica de Proteccin de Datos Personales y Garanta de los Derechos Digitales, cuando tal solicitud sea formulada por la autoridad de proteccin de datos de la Comunidad Autnoma respectiva.

[…]

7. Corresponde a las Salas de lo Contencioso-administrativo de los Tribunales Superiores de Justicia autorizar, mediante auto, el requerimiento de informacin por parte de autoridades autonmicas de proteccin de datos a los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico y de los prestadores de servicios de la sociedad de la informacin, cuando ello sea necesario de acuerdo con la legislacin especfica.

Cuatro. Se aade un nuevo apartado 7 al artculo 90:

7. Corresponde a los Juzgados Centrales de lo Contencioso-administrativo autorizar, mediante auto, el requerimiento de informacin por parte de la Agencia Espaola de Proteccin de Datos y otras autoridades administrativas independientes de mbito estatal a los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico y de los prestadores de servicios de la sociedad de la informacin, cuando ello sea necesario de acuerdo con la legislacin especfica.

Disposicin final quinta. Modificacin de la Ley 14/1986, de 25 de abril, General de Sanidad.

Se aade un nuevo Captulo II al Ttulo VI de la Ley 14/1986, de 25 de abril, General de Sanidad con el siguiente contenido:

CAPTULO II
Tratamiento de datos de la investigacin en salud

Artculo 105 bis.

El tratamiento de datos personales en la investigacin en salud se regir por lo dispuesto en la Disposicin adicional decimosptima de la Ley Orgnica de Proteccin de Datos Personales y Garanta de los Derechos Digitales.

Disposicin final sexta. Modificacin de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdiccin Contencioso-administrativa.

La Ley 29/1998, de 13 de julio, reguladora de la Jurisdiccin Contencioso-administrativa, se modifica en los siguientes trminos:

Uno. Se aade un nuevo apartado 7 al artculo 10:

7. Conocern de la solicitud de autorizacin al amparo del artculo 122 ter, cuando sea formulada por la autoridad de proteccin de datos de la Comunidad Autnoma respectiva.

Dos. Se aade un nuevo apartado 5 al artculo 11:

5. Conocer de la solicitud de autorizacin al amparo del artculo 122 ter, cuando sea formulada por la Agencia Espaola de Proteccin de Datos.

Tres. Se aade un nuevo apartado 4 al artculo 12:

4. Conocer de la solicitud de autorizacin al amparo del artculo 122 ter, cuando sea formulada por el Consejo General del Poder Judicial.

Cuatro. Se introduce un nuevo artculo 122 ter, con el siguiente tenor:

Artculo 122 ter. Procedimiento de autorizacin judicial de conformidad de una decisin de la Comisin Europea en materia de transferencia internacional de datos.

1. El procedimiento para obtener la autorizacin judicial a que se refiere la disposicin adicional quinta de la Ley Orgnica de Proteccin de Datos Personales y Garanta de los Derechos Digitales, se iniciar con la solicitud de la autoridad de proteccin de datos dirigida al Tribunal competente para que se pronuncie acerca de la conformidad de una decisin de la Comisin Europea en materia de transferencia internacional de datos con el Derecho de la Unin Europea. La solicitud ir acompaada de copia del expediente que se encontrase pendiente de resolucin ante la autoridad de proteccin de datos.

2. Sern partes en el procedimiento, adems de la autoridad de proteccin de datos, quienes lo fueran en el procedimiento tramitado ante ella y, en todo caso, la Comisin Europea.

3. El acuerdo de admisin o inadmisin a trmite del procedimiento confirmar, modificar o levantar la suspensin del procedimiento por posible vulneracin de la normativa de proteccin de datos tramitado ante la autoridad de proteccin de datos, del que trae causa este procedimiento de autorizacin judicial.

4. Admitida a trmite la solicitud, el Tribunal competente lo notificar a la autoridad de proteccin de datos a fin de que d traslado a quienes interviniesen en el procedimiento tramitado ante la misma para que se personen en el plazo de tres das. Igualmente, se dar traslado a la Comisin Europea a los mismos efectos.

5. Concluido el plazo mencionado en la letra anterior, se dar traslado de la solicitud de autorizacin a las partes personadas a fin de que en el plazo de diez das aleguen lo que estimen procedente, pudiendo solicitar en ese momento la prctica de las pruebas que estimen necesarias.

6. Transcurrido el perodo de prueba, si alguna de las partes lo hubiese solicitado y el rgano jurisdiccional lo estimase pertinente, se celebrar una vista. El Tribunal podr decidir el alcance de las cuestiones sobre las que las partes debern centrar sus alegaciones en dicha vista.

7. Finalizados los trmites mencionados en los tres apartados anteriores, el Tribunal competente adoptar en el plazo de diez das una de estas decisiones:

a) Si considerase que la decisin de la Comisin Europea es conforme al Derecho de la Unin Europea, dictar sentencia declarndolo as y denegando la autorizacin solicitada.

b) En caso de considerar que la decisin es contraria al Derecho de la Unin Europea, dictar auto de planteamiento de cuestin prejudicial de validez de la citada decisin ante el Tribunal de Justicia de la Unin Europea, en los trminos del artculo 267 del Tratado de Funcionamiento de la Unin Europea.

La autorizacin solamente podr ser concedida si la decisin de la Comisin Europea cuestionada fuera declarada invlida por el Tribunal de Justicia de la Unin Europea.

8. El rgimen de recursos ser el previsto en esta ley.

Disposicin final sptima. Modificacin de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

Se modifica el artculo 15 bis de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que queda redactado como sigue:

Artculo 15 bis. Intervencin en procesos de defensa de la competencia y de proteccin de datos.

1. La Comisin Europea, la Comisin Nacional de los Mercados y la Competencia y los rganos competentes de las comunidades autnomas en el mbito de sus competencias podrn intervenir en los procesos de defensa de la competencia y de proteccin de datos, sin tener la condicin de parte, por propia iniciativa o a instancia del rgano judicial, mediante la aportacin de informacin o presentacin de observaciones escritas sobre cuestiones relativas a la aplicacin de los artculos 101 y 102 del Tratado de Funcionamiento de la Unin Europea o los artculos 1 y 2 de la Ley 15/2007, de 3 de julio, de Defensa de la Competencia. Con la venia del correspondiente rgano judicial, podrn presentar tambin observaciones verbales. A estos efectos, podrn solicitar al rgano jurisdiccional competente que les remita o haga remitir todos los documentos necesarios para realizar una valoracin del asunto de que se trate.

La aportacin de informacin no alcanzar a los datos o documentos obtenidos en el mbito de las circunstancias de aplicacin de la exencin o reduccin del importe de las multas previstas en los artculos 65 y 66 de la Ley 15/2007, de 3 de julio, de Defensa de la Competencia.

2. La Comisin Europea, la Comisin Nacional de los Mercados y la Competencia y los rganos competentes de las comunidades autnomas aportarn la informacin o presentarn las observaciones previstas en el nmero anterior diez das antes de la celebracin del acto del juicio a que se refiere el artculo 433 o dentro del plazo de oposicin o impugnacin del recurso interpuesto.

3. Lo dispuesto en los anteriores apartados en materia de procedimiento ser asimismo de aplicacin cuando la Comisin Europea, la Agencia Espaola de Proteccin de Datos y las autoridades autonmicas de proteccin de datos, en el mbito de sus competencias, consideren precisa su intervencin en un proceso que afecte a cuestiones relativas a la aplicacin del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Disposicin final octava. Modificacin de la Ley Orgnica 6/2001, de 21 de diciembre, de Universidades.

Se incluye una nueva letra l) en el apartado 2 del artculo 46 de la Ley Orgnica 6/2001, de 21 de diciembre, de Universidades, con el contenido siguiente:

l) La formacin en el uso y seguridad de los medios digitales y en la garanta de los derechos fundamentales en Internet.

Disposicin final novena. Modificacin de la Ley 41/2002, de 14 de noviembre, bsica reguladora de la autonoma del paciente y de derechos y obligaciones en materia de informacin y documentacin clnica.

Se modifica el apartado 3 del artculo 16 de la Ley 41/2002, de 14 de noviembre, bsica reguladora de la autonoma del paciente y de derechos y obligaciones en materia de informacin y documentacin clnica, que pasa a tener el siguiente tenor:

Artculo 16. […]

3. El acceso a la historia clnica con fines judiciales, epidemiolgicos, de salud pblica, de investigacin o de docencia, se rige por lo dispuesto en la legislacin vigente en materia de proteccin de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y dems normas de aplicacin en cada caso. El acceso a la historia clnica con estos fines obliga a preservar los datos de identificacin personal del paciente, separados de los de carcter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptan los supuestos de investigacin previstos en el apartado 2 de la Disposicin adicional decimosptima de la Ley Orgnica de Proteccin de Datos Personales y Garanta de los Derechos Digitales.

Asimismo se exceptan los supuestos de investigacin de la autoridad judicial en los que se considere imprescindible la unificacin de los datos identificativos con los clinicoasistenciales, en los cuales se estar a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clnica queda limitado estrictamente a los fines especficos de cada caso.

Cuando ello sea necesario para la prevencin de un riesgo o peligro grave para la salud de la poblacin, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pblica, podrn acceder a los datos identificativos de los pacientes por razones epidemiolgicas o de proteccin de la salud pblica. El acceso habr de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligacin equivalente de secreto, previa motivacin por parte de la Administracin que solicitase el acceso a los datos.

Disposicin final dcima. Modificacin de la Ley Orgnica 2/2006, de 3 de mayo, de Educacin.

Se incluye una nueva letra l) en el apartado 1 del artculo 2 de la Ley Orgnica 2/2006, de 3 de mayo, de Educacin, que queda redactado como sigue:

l) La capacitacin para garantizar la plena insercin del alumnado en la sociedad digital y el aprendizaje de un uso seguro de los medios digitales y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente, con el respeto y la garanta de la intimidad individual y colectiva.

Disposicin final undcima. Modificacin de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la informacin pblica y buen gobierno.

Se modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la informacin pblica y buen gobierno, en los siguientes trminos:

Uno. Se aade un nuevo artculo 6 bis, con la siguiente redaccin:

Artculo 6 bis. Registro de actividades de tratamiento.

Los sujetos enumerados en el artculo 77.1 de la Ley Orgnica de Proteccin de Datos Personales y Garanta de los Derechos Digitales, publicarn su inventario de actividades de tratamiento en aplicacin del artculo 31 de la citada Ley Orgnica.

Dos. El apartado 1 del artculo 15 queda redactado como sigue:

1. Si la informacin solicitada contuviera datos personales que revelen la ideologa, afiliacin sindical, religin o creencias, el acceso nicamente se podr autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente pblicos los datos con anterioridad a que se solicitase el acceso.

Si la informacin incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genticos o biomtricos o contuviera datos relativos a la comisin de infracciones penales o administrativas que no conllevasen la amonestacin pblica al infractor, el acceso solo se podr autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.

Disposicin final duodcima. Modificacin de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas.

Se modifican los apartados 2 y 3 del artculo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, que pasan a tener la siguiente redaccin:

Artculo 28. […]

2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administracin actuante o hayan sido elaborados por cualquier otra Administracin. La administracin actuante podr consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabr la oposicin cuando la aportacin del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspeccin.

Las Administraciones Pblicas debern recabar los documentos electrnicamente a travs de sus redes corporativas o mediante consulta a las plataformas de intermediacin de datos u otros sistemas electrnicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un rgano administrativo distinto al que tramita el procedimiento, estos debern ser remitidos en el plazo de diez das a contar desde su solicitud. Cumplido este plazo, se informar al interesado de que puede aportar este informe o esperar a su remisin por el rgano competente.

3. Las Administraciones no exigirn a los interesados la presentacin de documentos originales, salvo que, con carcter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Pblicas no requerirn a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administracin. A estos efectos, el interesado deber indicar en qu momento y ante qu rgano administrativo present los citados documentos, debiendo las Administraciones Pblicas recabarlos electrnicamente a travs de sus redes corporativas o de una consulta a las plataformas de intermediacin de datos u otros sistemas electrnicos habilitados al efecto, salvo que conste en el procedimiento la oposicin expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Pblicas no pudieran recabar los citados documentos, podrn solicitar nuevamente al interesado su aportacin.

Disposicin final decimotercera. Modificacin del texto refundido de la Ley del Estatuto de los Trabajadores.

Se aade un nuevo artculo 20 bis al texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, con el siguiente contenido:

Artculo 20 bis. Derechos de los trabajadores a la intimidad en relacin con el entorno digital y a la desconexin.

Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposicin por el empleador, a la desconexin digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalizacin en los trminos establecidos en la legislacin vigente en materia de proteccin de datos personales y garanta de los derechos digitales.

Disposicin final decimocuarta. Modificacin del texto refundido de la Ley del Estatuto Bsico del Empleado Pblico.

Se aade una nueva letra j bis) en el artculo 14 del texto refundido de la Ley del Estatuto Bsico del Empleado Pblico, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, que quedar redactada como sigue:

j bis) A la intimidad en el uso de dispositivos digitales puestos a su disposicin y frente al uso de dispositivos de videovigilancia y geolocalizacin, as como a la desconexin digital en los trminos establecidos en la legislacin vigente en materia de proteccin de datos personales y garanta de los derechos digitales.

Disposicin final decimoquinta. Desarrollo normativo.

Se habilita al Gobierno para desarrollar lo dispuesto en los artculos 3.2, 38.6, 45.2, 63.3, 96.3 y disposicin adicional sexta, en los trminos establecidos en ellos.

Disposicin final decimosexta. Entrada en vigor.

La presente ley orgnica entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Por tanto,

Mando a todos los espaoles, particulares y autoridades, que guarden y hagan guardar esta ley orgnica.

Madrid, 5 de diciembre de 2018.

FELIPE R.

El Presidente del Gobierno,

PEDRO SNCHEZ PREZ-CASTEJN

Análisis

  • Rango: Ley Orgnica
  • Fecha de disposición: 05/12/2018
  • Fecha de publicación: 06/12/2018
  • Entrada en vigor: 7 de diciembre de 2018.
Referencias posteriores

Criterio de ordenación:

  • Recurso 1405/2019 promovido contra disposicin final 3.2 (Ref. BOE-A-2019-3698).
Referencias anteriores
  • DEROGA:
  • MODIFICA:
    • el art. 14 de la Ley del Estatuto Bsico del Empleado Pblico, texto refundido aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre (Ref. BOE-A-2015-11719).
    • el art. 28.2 y 3 de la Ley 39/2015, de 1 de octubre (Ref. BOE-A-2015-10565).
    • el art. 15.1 y AADE el art. 6 bis a la Ley 19/2013, de 9 de diciembre (Ref. BOE-A-2013-12887).
    • el art. 2.1 de la Ley Orgnica 2/2006, de 3 de mayo (Ref. BOE-A-2006-7899).
    • el art. 16.3 de la Ley 41/2002, de 14 de noviembre (Ref. BOE-A-2002-22188).
    • el art. 46.2 de la Ley Orgnica 6/2001, de 21 de diciembre (Ref. BOE-A-2001-24515).
    • el art. 15 bis Ley 1/2000, de 7 de enero (Ref. BOE-A-2000-323).
    • los arts. 10 a 12 y AADE el art. 122 ter a la Ley 29/1998, de 13 de julio (Ref. BOE-A-1998-16718).
    • los arts. 58, 66, 74 y 90 de la Ley Orgnica 6/1985, de 1 de julio (Ref. BOE-A-1985-12666).
    • el art. 39.3 y AADE el art. 58 bis a la Ley Orgnica 5/1985, de 19 de junio (Ref. BOE-A-1985-11672).
  • AADE:
    • el art. 20 bis a la Ley del Estatuto de los Trabajadores, texto refundido aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre (Ref. BOE-A-2015-11430).
    • el captulo II al Ttulo VI de la Ley 14/1986, de 25 de abril (Ref. BOE-A-1986-10499).
  • DE CONFORMIDAD con el Reglamento (UE) 2016/679, de27 de abril de 2016 (Ref. DOUE-L-2016-80807).
Materias
  • Acceso a la informacin
  • Agencia Espaola de Proteccin de Datos
  • Autorizaciones
  • Certificaciones
  • Comunicaciones electrnicas
  • Comunidades Autnomas
  • Consejo General del Poder Judicial
  • Consumidores y usuarios
  • Cooperacin judicial internacional
  • Defensa de la competencia
  • Defunciones
  • Derechos de los ciudadanos
  • Documentacin
  • Educacin
  • Empleados pblicos
  • Enseanza
  • Enseanza Universitaria
  • Equipos de telecomunicacin
  • Ficheros con datos personales
  • Funcionarios pblicos
  • Internet
  • Investigacin cientfica
  • Jurisdiccin Contencioso-Administrativa
  • Juzgados Centrales de lo Contencioso Administrativo
  • Normas de calidad
  • Procedimiento administrativo
  • Procedimiento Electoral
  • Redes de telecomunicacin
  • Registros administrativos
  • Reparto de asuntos
  • Sanidad
  • Trabajadores
  • Tribunales Superiores de Justicia

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid