Download - Lopd1

Base de Datos de Legislación

Vigente

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba elReglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, deprotección de datos de carácter personal.

Sumario:

Artículo único. Aprobación del reglamento.

DISPOSICIÓN TRANSITORIA PRIMERA. Adaptación de los códigos tipo inscritos enel Registro General de Protección de Datos.DISPOSICIÓN TRANSITORIA SEGUNDA. Plazos de implantación de las medidas deseguridad.DISPOSICIÓN TRANSITORIA TERCERA. Régimen transitorio de las solicitudes parael ejercicio de los derechos de las personas.DISPOSICIÓN TRANSITORIA CUARTA. Régimen transitorio de los procedimientos.DISPOSICIÓN TRANSITORIA QUINTA. Régimen transitorio de las actuacionesprevias.DISPOSICIÓN DEROGATORIA ÚNICA. Derogación normativa.DISPOSICIÓN FINAL PRIMERA. Título competencial.DISPOSICIÓN FINAL SEGUNDA. Entrada en vigor.REGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA 15/1999, DE 13 DEDICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

TÍTULO I. DISPOSICIONES GENERALES.Artículo 1. Objeto.Artículo 2. Ámbito objetivo de aplicación.Artículo 3. Ámbito territorial de aplicación.Artículo 4. Ficheros o tratamientos excluidos.Artículo 5. Definiciones.Artículo 6. Cómputo de plazos.Artículo 7. Fuentes accesibles al público.

TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS.CAPÍTULO I. CALIDAD DE LOS DATOS.

Artículo 8. Principios relativos a la calidad de los datos.Artículo 9. Tratamiento con fines estadísticos, históricos o científicos.Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.Artículo 11. Verificación de datos en solicitudes formuladas a lasAdministraciones públicas.

CAPÍTULO II. CONSENTIMIENTO PARA EL TRATAMIENTO DE LOSDATOS Y DEBER DE INFORMACIÓN.

SECCIÓN I. OBTENCIÓN DEL CONSENTIMIENTO DEL AFECTADO.Artículo 12. Principios generales.Artículo 13. Consentimiento para el tratamiento de datos demenores de edad.Artículo 14. Forma de recabar el consentimiento.Artículo 15. Solicitud del consentimiento en el marco de unarelación contractual para fines no relacionados directamente con lamisma.Artículo 16. Tratamiento de datos de facturación y tráfico enservicios de comunicaciones electrónicas.

Noticias Jurídicas

Miércoles, 3 de octubre de 2012

Real Decreto 1720/2007, de 21 de diciembre, po... http://noticias.juridicas.com/base_datos/Admin/...

1 de 13 03/10/12 12:06

Artículo 17. Revocación del consentimiento.SECCIÓN II. DEBER DE INFORMACIÓN AL INTERESADO.

Artículo 18. Acreditación del cumplimiento del deber deinformación.Artículo 19. Supuestos especiales.

CAPÍTULO III. ENCARGADO DEL TRATAMIENTO.Artículo 20. Relaciones entre el responsable y el encargado deltratamiento.Artículo 21. Posibilidad de subcontratación de los servicios.Artículo 22. Conservación de los datos por el encargado deltratamiento.

TÍTULO III. DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓNY OPOSICIÓN.

CAPÍTULO I. DISPOSICIONES GENERALES.Artículo 23. Carácter personalísimo.Artículo 24. Condiciones generales para el ejercicio de los derechosde acceso, rectificación, cancelación y oposición.Artículo 25. Procedimiento.Artículo 26. Ejercicio de los derechos ante un encargado deltratamiento.

CAPÍTULO II. DERECHO DE ACCESO.Artículo 27. Derecho de acceso.Artículo 28. Ejercicio del derecho de acceso.Artículo 29. Otorgamiento del acceso.Artículo 30. Denegación del acceso.

CAPÍTULO III. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN.Artículo 31. Derechos de rectificación y cancelación.Artículo 32. Ejercicio de los derechos de rectificación y cancelación.Artículo 33. Denegación de los derechos de rectificación ycancelación.

CAPÍTULO IV. DERECHO DE OPOSICIÓN.Artículo 34. Derecho de oposición.Artículo 35. Ejercicio del derecho de oposición.Artículo 36. Derecho de oposición a las decisiones basadasúnicamente en un tratamiento automatizado de datos.

TÍTULO IV. DISPOSICIONES APLICABLES A DETERMINADOSFICHEROS DE TITULARIDAD PRIVADA.

CAPÍTULO I. FICHEROS DE INFORMACIÓN SOBRE SOLVENCIAPATRIMONIAL Y CRÉDITO.

SECCIÓN I. DISPOSICIONES GENERALES.Artículo 37. Régimen aplicable.

SECCIÓN II. TRATAMIENTO DE DATOS RELATIVOS ALCUMPLIMIENTO O INCUMPLIMIENTO DE OBLIGACIONESDINERARIAS FACILITADOS POR EL ACREEDOR O POR QUIENACTÚE POR SU CUENTA O INTERÉS.

Artículo 38. Requisitos para la inclusión de los datos.Artículo 39. Información previa a la inclusión.Artículo 40. Notificación de inclusión.Artículo 41. Conservación de los datos.Artículo 42. Acceso a la información contenida en el fichero.Artículo 43. Responsabilidad.Artículo 44. Ejercicio de los derechos de acceso, rectificación,cancelación y oposición.

CAPÍTULO II. TRATAMIENTOS PARA ACTIVIDADES DEPUBLICIDAD Y PROSPECCIÓN COMERCIAL.

Artículo 45. Datos susceptibles de tratamiento e información alinteresado.Artículo 46. Tratamiento de datos en campañas publicitarias.Artículo 47. Depuración de datos personales.


2 de 13 03/10/12 12:06

Artículo 48. Ficheros de exclusión del envío de comunicacionescomerciales.Artículo 49. Ficheros comunes de exclusión del envío decomunicaciones comerciales.Artículo 50. Derechos de acceso, rectificación y cancelación.Artículo 51. Derecho de oposición.

TÍTULO V. OBLIGACIONES PREVIAS AL TRATAMIENTO DE LOSDATOS.

CAPÍTULO I. CREACIÓN, MODIFICACIÓN O SUPRESIÓN DEFICHEROS DE TITULARIDAD PÚBLICA.

Artículo 52. Disposición o Acuerdo de creación, modificación osupresión del fichero.Artículo 53. Forma de la disposición o acuerdo.Artículo 54. Contenido de la disposición o acuerdo.

CAPÍTULO II. NOTIFICACIÓN E INSCRIPCIÓN DE LOSFICHEROS DE TITULARIDAD PÚBLICA O PRIVADA.

Artículo 55. Notificación de ficheros.Artículo 56. Tratamiento de datos en distintos soportes.Artículo 57. Ficheros en los que exista más de un responsable.Artículo 58. Notificación de la modificación o supresión deficheros.Artículo 59. Modelos y soportes para la notificación.Artículo 60. Inscripción de los ficheros.Artículo 61. Cancelación de la inscripción.Artículo 62. Rectificación de errores.Artículo 63. Inscripción de oficio de ficheros de titularidadpública.Artículo 64. Colaboración con las autoridades de control de lascomunidades autónomas.

TÍTULO VI. TRANSFERENCIAS INTERNACIONALES DE DATOS.CAPÍTULO I. DISPOSICIONES GENERALES.

Artículo 65. Cumplimiento de las disposiciones de la LeyOrgánica 15/1999, de 13 de diciembre.Artículo 66. Autorización y notificación.

CAPÍTULO II. TRANSFERENCIAS A ESTADOS QUEPROPORCIONEN UN NIVEL ADECUADO DE PROTECCIÓN.

Artículo 67. Nivel adecuado de protección acordado por laAgencia Española de Protección de Datos.Artículo 68. Nivel adecuado de protección declarado porDecisión de la Comisión Europea.Artículo 69. Suspensión temporal de las transferencias.

CAPÍTULO III. TRANSFERENCIAS A ESTADOS QUE NOPROPORCIONEN UN NIVEL ADECUADO DE PROTECCIÓN.

Artículo 70. Transferencias sujetas a autorización del Directorde la Agencia Española de Protección de Datos.

TÍTULO VII. CÓDIGOS TIPO.Artículo 71. Objeto y naturaleza.Artículo 72. Iniciativa y ámbito de aplicación.Artículo 73. Contenido.Artículo 74. Compromisos adicionales.Artículo 75. Garantías del cumplimiento de los códigos tipo.Artículo 76. Relación de adheridos.Artículo 77. Depósito y publicidad de los códigos tipo.Artículo 78. Obligaciones posteriores a la inscripción del códigotipo.

TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN ELTRATAMIENTO DE DATOS DE CARÁCTER PERSONAL.

CAPÍTULO I. DISPOSICIONES GENERALES.Artículo 79. Alcance.


3 de 13 03/10/12 12:06

Artículo 80. Niveles de seguridad.Artículo 81. Aplicación de los niveles de seguridad.Artículo 82. Encargado del tratamiento.Artículo 83. Prestaciones de servicios sin acceso a datospersonales.Artículo 84. Delegación de autorizaciones.Artículo 85. Acceso a datos a través de redes decomunicaciones.Artículo 86. Régimen de trabajo fuera de los locales delresponsable del fichero o encargado del tratamiento.Artículo 87. Ficheros temporales o copias de trabajo dedocumentos.

CAPÍTULO II. DEL DOCUMENTO DE SEGURIDAD.Artículo 88. El documento de seguridad.

CAPÍTULO III. MEDIDAS DE SEGURIDAD APLICABLES AFICHEROS Y TRATAMIENTOS AUTOMATIZADOS.

SECCIÓN I. MEDIDAS DE SEGURIDAD DE NIVELBÁSICO.

Artículo 89. Funciones y obligaciones del personal.Artículo 90. Registro de incidencias.Artículo 91. Control de acceso.Artículo 92. Gestión de soportes y documentos.Artículo 93. Identificación y autenticación.Artículo 94. Copias de respaldo y recuperación.

SECCIÓN II. MEDIDAS DE SEGURIDAD DE NIVELMEDIO.

Artículo 95. Responsable de seguridad.Artículo 96. Auditoría.Artículo 97. Gestión de soportes y documentos.Artículo 98. Identificación y autenticación.Artículo 99. Control de acceso físico.Artículo 100. Registro de incidencias.

SECCIÓN III. MEDIDAS DE SEGURIDAD DE NIVELALTO.

Artículo 101. Gestión y distribución de soportes.Artículo 102. Copias de respaldo y recuperación.Artículo 103. Registro de accesos.Artículo 104. Telecomunicaciones.

CAPÍTULO IV. MEDIDAS DE SEGURIDAD APLICABLES ALOS FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS.

SECCIÓN I. MEDIDAS DE SEGURIDAD DE NIVELBÁSICO.

Artículo 105. Obligaciones comunes.Artículo 106. Criterios de archivo.Artículo 107. Dispositivos de almacenamiento.Artículo 108. Custodia de los soportes.

SECCIÓN II. MEDIDAS DE SEGURIDAD DE NIVELMEDIO.

Artículo 109. Responsable de seguridad.Artículo 110. Auditoría.

SECCIÓN III. MEDIDAS DE SEGURIDAD DE NIVELALTO.

Artículo 111. Almacenamiento de la información.Artículo 112. Copia o reproducción.Artículo 113. Acceso a la documentación.Artículo 114. Traslado de documentación.

TÍTULO IX. PROCEDIMIENTOS TRAMITADOS POR LAAGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

CAPÍTULO I. DISPOSICIONES GENERALES.


4 de 13 03/10/12 12:06

Artículo 115. Régimen aplicable.Artículo 116. Publicidad de las resoluciones.

CAPÍTULO II. PROCEDIMIENTO DE TUTELA DE LOSDERECHOS DE ACCESO, RECTIFICACIÓN,CANCELACIÓN Y OPOSICIÓN.

Artículo 117. Instrucción del procedimiento.Artículo 118. Duración del procedimiento y efectos dela falta de resolución expresa.Artículo 119. Ejecución de la resolución.

CAPÍTULO III. PROCEDIMIENTOS RELATIVOS ALEJERCICIO DE LA POTESTAD SANCIONADORA.

SECCIÓN I. DISPOSICIONES GENERALES.Artículo 120. Ámbito de aplicación.Artículo 121. Inmovilización de ficheros.

SECCIÓN II. ACTUACIONES PREVIAS.Artículo 122. Iniciación.Artículo 123. Personal competente para larealización de las actuaciones previas.Artículo 124. Obtención de información.Artículo 125. Actuaciones presenciales.Artículo 126. Resultado de las actuacionesprevias.

SECCIÓN III. PROCEDIMIENTO SANCIONADOR.Artículo 127. Iniciación del procedimiento.Artículo 128. Plazo máximo para resolver.

SECCIÓN IV. PROCEDIMIENTO DEDECLARACIÓN DE INFRACCIÓN DE LA LEYORGÁNICA 15/1999, DE 13 DE DICIEMBRE, PORLAS ADMINISTRACIONES PÚBLICAS.

Artículo 129. Disposición general.CAPÍTULO IV. PROCEDIMIENTOS RELACIONADOSCON LA INSCRIPCIÓN O CANCELACIÓN DEFICHEROS.

SECCIÓN I. PROCEDIMIENTO DE INSCRIPCIÓNDE LA CREACIÓN, MODIFICACIÓN OSUPRESIÓN DE FICHEROS.

Artículo 130. Iniciación del procedimiento.Artículo 131. Especialidades en la notificaciónde ficheros de titularidad pública.Artículo 132. Acuerdo de inscripción ocancelación.Artículo 133. Improcedencia o denegación de lainscripción.Artículo 134. Duración del procedimiento yefectos de la falta de resolución expresa.

SECCIÓN II. PROCEDIMIENTO DECANCELACIÓN DE OFICIO DE FICHEROSINSCRITOS.

Artículo 135. Iniciación del procedimiento.Artículo 136. Terminación del expediente.

CAPÍTULO V. PROCEDIMIENTOS RELACIONADOSCON LAS TRANSFERENCIAS INTERNACIONALES DEDATOS.

SECCIÓN I. PROCEDIMIENTO DEAUTORIZACIÓN DE TRANSFERENCIASINTERNACIONALES DE DATOS.

Artículo 137. Iniciación del procedimiento.Artículo 138. Instrucción del procedimiento.Artículo 139. Actos posteriores a la resolución.


5 de 13 03/10/12 12:06

Artículo 140. Duración del procedimiento yefectos de la falta de resolución expresa.

SECCIÓN II. PROCEDIMIENTO DESUSPENSIÓN TEMPORAL DETRANSFERENCIAS INTERNACIONALES DEDATOS.

Artículo 141. Iniciación.Artículo 142. Instrucción y resolución.Artículo 143. Actos posteriores a laresolución.Artículo 144. Levantamiento de lasuspensión temporal.

CAPÍTULO VI. PROCEDIMIENTO DEINSCRIPCIÓN DE CÓDIGOS TIPO.

Artículo 145. Iniciación del procedimiento.Artículo 146. Análisis de los aspectos sustantivosdel código tipo.Artículo 147. Información pública.Artículo 148. Mejora del código tipo.Artículo 149. Trámite de audiencia.Artículo 150. Resolución.Artículo 151. Duración del procedimiento yefectos de la falta de resolución expresa.Artículo 152. Publicación de los códigos tipo porla Agencia Española de Protección de Datos.

CAPÍTULO VII. OTROS PROCEDIMIENTOSTRAMITADOS POR LA AGENCIA ESPAÑOLA DEPROTECCIÓN DE DATOS.

SECCIÓN I. PROCEDIMIENTO DE EXENCIÓNDEL DEBER DE INFORMACIÓN ALINTERESADO.

Artículo 153. Iniciación del procedimiento.Artículo 154. Propuesta de nuevas medidascompensatorias.Artículo 155. Terminación delprocedimiento.Artículo 156. Duración del procedimiento yefectos de la falta de resolución expresa.

SECCIÓN II. PROCEDIMIENTO PARA LAAUTORIZACIÓN DE CONSERVACIÓN DEDATOS PARA FINES HISTÓRICOS,ESTADÍSTICOS O CIENTÍFICOS.

Artículo 157. Iniciación del procedimiento.Artículo 158. Duración del procedimiento yefectos de la falta de resolución expresa.

DISPOSICIÓN ADICIONAL ÚNICA. Productos desoftware.DISPOSICIÓN FINAL ÚNICA. Aplicación supletoria.

La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección dedatos de carácter personal adaptó nuestro ordenamiento a lodispuesto por la Directiva 95/46/CE del Parlamento Europeo y delConsejo de 24 de octubre de 1995, relativa a la protección de laspersonas físicas en lo que respecta al tratamiento de datospersonales y a la libre circulación de estos datos, derogando a su vezla hasta entonces vigente Ley Orgánica 5/1992, de 29 de octubre, deRegulación del tratamiento automatizado de datos de carácterpersonal.


6 de 13 03/10/12 12:06

La nueva Ley, que ha nacido con una amplia vocación degeneralidad, prevé en su artículo 1 que tiene por objetogarantizar y proteger, en lo que concierne al tratamiento de losdatos personales, las libertades públicas y los derechosfundamentales de las personas físicas, y especialmente de suhonor e intimidad personal. Comprende por tanto el tratamientoautomatizado y el no automatizado de los datos de carácterpersonal.

A fin de garantizar la necesaria seguridad jurídica en un ámbitotan sensible para los derechos fundamentales como el de laprotección de datos, el legislador declaró subsistentes lasnormas reglamentarias existentes y, en especial, los RealesDecretos 428/1993, de 26 de marzo, por el que se aprueba elEstatuto de la Agencia de Protección de Datos, 1332/1994, de 20de junio, por el que se desarrollan determinados aspectos de laLey Orgánica 5/1992, de 29 de octubre de Regulación deltratamiento automatizado de los datos de carácter personal y994/1999, de 11 de junio, por el que se aprueba el Reglamentode Medidas de seguridad de los ficheros automatizados quecontengan datos de carácter personal, a la vez que habilitó alGobierno para la aprobación o modificación de las disposicionesreglamentarias necesarias para la aplicación y desarrollo de laLey Orgánica 15/1999.

Por otra parte, la Ley 34/2002, de 11 de julio, de Servicios de lasociedad de la información y de comercio electrónico y la Ley32/2003, de 3 de noviembre, General de Telecomunicacionesatribuyen competencias en materia sancionadora a la AgenciaEspañola de Protección de Datos. Éstas requieren de desarrolloreglamentario con la peculiaridad de que ambas normas seordenan a la tutela no sólo de los derechos de las personasfísicas, sino también de las jurídicas.

II

Este Reglamento comparte con la Ley Orgánica la finalidad dehacer frente a los riesgos que para los derechos de lapersonalidad pueden suponer el acopio y tratamiento de datospersonales. Por ello, ha de destacarse que esta normareglamentaria nace con la vocación de no reiterar los contenidosde la norma superior y de desarrollar, no sólo los mandatoscontenidos en la Ley Orgánica de acuerdo con los principios queemanan de la Directiva, sino también aquellos que en estos añosde vigencia de la Ley se ha demostrado que precisan de unmayor desarrollo normativo.

Por tanto, se aprueba este Reglamento partiendo de la necesidadde dotar de coherencia a la regulación reglamentaria en todo lorelacionado con la transposición de la Directiva y de desarrollarlos aspectos novedosos de la Ley Orgánica 15/1999, junto conaquellos en los que la experiencia ha aconsejado un cierto degrado de precisión que dote de seguridad jurídica al sistema.

III

El reglamento viene a abarcar el ámbito tutelado anteriormentepor los Reales Decretos 1332/1994, de 20 de junio, y 994/1999,de 11 de junio, teniendo en cuenta la necesidad de fijar criteriosaplicables a los ficheros y tratamientos de datos personales no


7 de 13 03/10/12 12:06

automatizados. Por otra parte, la atribución de funciones ala Agencia Española de Protección de Datos por la Ley34/2002, de 11 de julio, de Servicios de la sociedad de lainformación y de comercio electrónico y la Ley 32/2003, de3 de noviembre, General de Telecomunicaciones obliga adesarrollar también los procedimientos para el ejercicio dela potestad sancionadora por la Agencia.

El reglamento se estructura en nueve títulos cuyo contenidodesarrolla los aspectos esenciales en esta materia.

El título I contempla el objeto y ámbito de aplicación delreglamento. A lo largo de la vigencia de la Ley Orgánica15/1999, se ha advertido la conveniencia de desarrollar elapartado 2 de su artículo 2 para aclarar qué se entiende porficheros y tratamientos relacionados con actividadespersonales o domésticas, aspecto muy relevante dado queestán excluidos de la normativa sobre protección de datosde carácter personal.

Por otra parte, el presente reglamento no contieneprevisiones para los tratamientos de datos personales a losque se refiere el apartado 3 del artículo 2 de la LeyOrgánica, dado que se rigen por sus disposicionesespecíficas y por lo especialmente previsto, en su caso, porla propia Ley Orgánica 15/1999. En consecuencia, semantiene el régimen jurídico propio de estos tratamientos yficheros.

Además, en este título se aporta un conjunto de definicionesque ayudan al correcto entendimiento de la norma, lo queresulta particularmente necesario en un ámbito tantecnificado como el de la protección de datos personales.Por otra parte, fija el criterio a seguir en materia decómputo de plazos con el fin de homogeneizar esta cuestiónevitando distinciones que suponen diferencias de trato delos ficheros públicos respecto de los privados.

El título II, se refiere a los principios de la protección dedatos. Reviste particular importancia la regulación delmodo de captación del consentimiento atendiendo aaspectos muy específicos como el caso de los servicios decomunicaciones electrónicas y, muy particularmente, lacaptación de datos de los menores. Asimismo, se ofrece loque no puede definirse sino como un estatuto del encargadodel tratamiento, que sin duda contribuirá a clarificar todo lorelacionado con esta figura. Las previsiones en este ámbitose completan con lo dispuesto en el título VIII en materia deseguridad dotando de un marco coherente a la actuacióndel encargado.

El título III se ocupa de una cuestión tan esencial como losderechos de las personas en este ámbito. Estos derechos deacceso, rectificación, cancelación y oposición altratamiento, según ha afirmado el Tribunal Constitucionalen su sentencia número 292/2000, constituyen el haz defacultades que emanan del derecho fundamental a laprotección de datos y sirven a la capital función quedesempeña este derecho fundamental: garantizar a lapersona un poder de control sobre sus datos personales, lo


8 de 13 03/10/12 12:06

que sólo es posible y efectivo imponiendo a terceroslos mencionados deberes de hacer.

A continuación, los títulos IV a VII permiten clarificaraspectos importantes para el tráfico ordinario, como laaplicación de criterios específicos a determinado tipode ficheros de titularidad privada que por sutrascendencia lo requerían -los relativos a la solvenciapatrimonial y crédito y los utilizados en actividades depublicidad y prospección comercial-, el conjunto deobligaciones materiales y formales que deben conducira los responsables a la creación e inscripción de losficheros, los criterios y procedimientos para larealización de las transferencias internacionales dedatos, y, finalmente, la regulación de un instrumento,el código tipo, llamado a jugar cada vez un papel másrelevante como elemento dinamizador del derechofundamental a la protección de datos.

El |título VIII regula un aspecto esencial para la tuteladel derecho fundamental a la protección de datos, laseguridad, que repercute sobre múltiples aspectosorganizativos, de gestión y aún de inversión, en todaslas organizaciones que traten datos personales. Larepercusión del deber de seguridad obligaba a unparticular rigor ya que en esta materia han confluidodistintos elementos muy relevantes. Por una parte, laexperiencia dimanante de la aplicación del RealDecreto 994/1999 permitía conocer las dificultadesque habían enfrentado los responsables e identificarlos puntos débiles y fuertes de la regulación. Por otra,se reclamaba la adaptación de la regulación endistintos aspectos. En este sentido, el reglamento tratade ser particularmente riguroso en la atribución de losniveles de seguridad, en la fijación de las medidas quecorresponda adoptar en cada caso y en la revisión delas mismas cuando ello resulte necesario. Por otraparte, ordena con mayor precisión el contenido y lasobligaciones vinculadas al mantenimiento deldocumento de seguridad. Además, se ha pretendidoregular la materia de modo que contemple lasmúltiples formas de organización material y personalde la seguridad que se dan en la práctica. Por último,se regula un conjunto de medidas destinadas a losficheros y tratamientos estructurados y noautomatizados que ofrezca a los responsables unmarco claro de actuación.

Finalmente en el título IX, dedicado a losprocedimientos tramitados por la Agencia Española deProtección de Datos, se ha optado por normarexclusivamente aquellas especialidades quediferencian a los distintos procedimientos tramitadospor la Agencia de las normas generales previstas paralos procedimientos en la Ley 30/1992, de 26 denoviembre, de Régimen Jurídico de lasAdministraciones Públicas y del ProcedimientoAdministrativo Común, cuya aplicación se declarasupletoria al presente Reglamento.


9 de 13 03/10/12 12:06

En su virtud, a propuesta del Ministro de Justicia,con la aprobación previa de la Ministra deAdministraciones Públicas, de acuerdo con elConsejo de Estado y previa deliberación delConsejo de Ministros en su reunión del día 21 dediciembre de 2007, dispongo:

Artículo único. Aprobación del reglamento.

Se aprueba el Reglamento de desarrollo de la LeyOrgánica 15/1999, de 13 de diciembre, deProtección de datos de carácter personal, cuyotexto se incluye a continuación.

DISPOSICIÓN TRANSITORIA PRIMERA.Adaptación de los códigos tipo inscritos en elRegistro General de Protección de Datos.

En el plazo de un año desde la entrada en vigordel presente Real Decreto deberán notificarse a laAgencia Española de Protección de Datos lasmodificaciones que resulten necesarias en loscódigos tipo inscritos en el Registro General deProtección de Datos para adaptar su contenido alo dispuesto en el |título VII del mismo.

DISPOSICIÓN TRANSITORIA SEGUNDA.Plazos de implantación de las medidas deseguridad.

La implantación de las medidas de seguridadprevistas en el presente Real Decreto deberáproducirse con arreglo a las siguientes reglas:

1. Respecto de los ficheros automatizados queexistieran en la fecha de entrada en vigor delpresente Real Decreto:

En el plazo de un año desde su entrada envigor, deberán implantarse las medidas deseguridad de nivel medio exigibles a lossiguientes ficheros:

a.

Aquéllos de los que sean responsableslas Entidades Gestoras y ServiciosComunes de la Seguridad Social y serelacionen con el ejercicio de suscompetencias.

1.

Aquéllos de los que sean responsableslas mutuas de accidentes de trabajo yenfermedades profesionales de laSeguridad Social.

2.

Aquéllos que contengan un conjunto dedatos de carácter personal que ofrezcanuna definición de las características ode la personalidad de los ciudadanos yque permitan evaluar determinadosaspectos de la personalidad o delcomportamiento de los mismos,

3.


10 de 13 03/10/12 12:06

respecto de las medidas de estenivel que no fueran exigiblesconforme a lo previsto en elartículo 4.4 del Reglamento deMedidas de seguridad de losficheros automatizados de datos decarácter personal, aprobado porReal Decreto 994/1999, de 11 dejunio.

En el plazo de un año desde su entradaen vigor deberán implantarse lasmedidas de seguridad de nivel medio yen el de dieciocho meses desde aquellafecha, las de nivel alto exigibles a lossiguientes ficheros:

b.

Aquéllos que contengan datosderivados de actos de violencia degénero.

1.

Aquéllos de los que seanresponsables los operadores quepresten servicios decomunicaciones electrónicasdisponibles al público o explotenredes públicas de comunicacioneselectrónicas respecto a los datos detráfico y a los datos de localización.

2.

En los demás supuestos, cuando elpresente reglamento exija laimplantación de una medida adicional,no prevista en el Reglamento deMedidas de seguridad de los ficherosautomatizados de datos de carácterpersonal, aprobado por Real Decreto994/1999, de 11 de junio, dicha medidadeberá implantarse en el plazo de unaño desde la entrada en vigor delpresente Real Decreto.

c.

2. Respecto de los ficheros no automatizadosque existieran en la fecha de entrada envigor del presente Real Decreto:

Las medidas de seguridad de nivelbásico deberán implantarse en el plazode un año desde su entrada en vigor.

a.

Las medidas de seguridad de nivelmedio deberán implantarse en el plazode dieciocho meses desde su entrada envigor.

b.

Las medidas de seguridad de nivel altodeberán implantarse en el plazo de dosaños desde su entrada en vigor.

c.

3. Los ficheros, tanto automatizados como noautomatizados, creados con posterioridad a


11 de 13 03/10/12 12:06

la fecha de entrada en vigor delpresente Real Decreto deberán tenerimplantadas, desde el momento de sucreación la totalidad de las medidas deseguridad reguladas en el mismo.

DISPOSICIÓN TRANSITORIATERCERA. Régimen transitorio de lassolicitudes para el ejercicio de losderechos de las personas.

A las solicitudes para el ejercicio de losderechos de acceso, oposición,rectificación y cancelación que hayansido efectuadas antes de la entrada envigor del presente Real Decreto, no lesserá de aplicación el mismo, rigiéndosepor la normativa anterior.

DISPOSICIÓN TRANSITORIACUARTA. Régimen transitorio de losprocedimientos.

A los procedimientos ya iniciados antesde la entrada en vigor del presente RealDecreto, no les será de aplicación elmismo, rigiéndose por la normativaanterior.

DISPOSICIÓN TRANSITORIAQUINTA. Régimen transitorio de lasactuaciones previas.

A las actuaciones previas iniciadas conanterioridad a la entrada en vigor delpresente Real Decreto, no les será deaplicación el mismo, rigiéndose por lanormativa anterior.

El presente Real Decreto se aplicará alas actuaciones previas que se iniciendespués de su entrada en vigor.

DISPOSICIÓN DEROGATORIAÚNICA. Derogación normativa.

Quedan derogados el Real Decreto1332/1994, de 20 de junio, por el que sedesarrollan determinados aspectos de laLey Orgánica 5/1992, de 29 de octubre,de Regulación del tratamientoautomatizado de los datos de carácterpersonal, el Real Decreto 994/1999, de11 de junio, por el que se aprueba elReglamento de Medidas de seguridadde los ficheros automatizados quecontengan datos de carácter personal ytodas las normas de igual o inferiorrango que contradigan o se opongan alo dispuesto en el presente RealDecreto.


12 de 13 03/10/12 12:06

DISPOSICIÓN FINAL PRIMERA.Título competencial.

El |título I, con excepción delapartado c del artículo 4, los títulosII, III, VII y VIII, así como losartículos 52, 53.3, 53.4, 54, 55.1,55.3, 56, 57, 58 y 63.3 delReglamento se dictan al amparo delo dispuesto en el artículo 149.1.1.de la Constitución, que atribuye alEstado la competencia exclusivapara la regulación de lascondiciones básicas que garanticenla igualdad de todos los españolesen el ejercicio de los derechos y enel cumplimiento de los deberesconstitucionales.

DISPOSICIÓN FINALSEGUNDA. Entrada en vigor.

El presente Real Decreto entraráen vigor a los tres meses de suíntegra publicación en el BoletínOficial del Estado.

Dado en Madrid, el 21 dediciembre de 2007.

- Juan Carlos R. -

El Ministro de Justicia,Mariano Fernández Bermejo

©Leggio, Contenidos yAplicaciones Informáticas,

S.L.Prohibida la reproducción total oparcial de los contenidos sin el

permiso de los titulares.


13 de 13 03/10/12 12:06