Se podrán crear ficheros de titularidad privada con datos de carácter personal cuando resulte necesario para
- el logro de la actividad
- u objeto legítimos de la persona, empresa o entidad titular
- y se respeten las garantías que a Ley de Protección de Datos establece para la protección de las personas.
Toda persona o entidad que cree ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
Se procederá, por vía reglamentaria, a la regulación detallada de los extremos que debe contener la notificación, entre los cuales estarán necesariamente
- el responsable del fichero,
- la finalidad del mismo,
- su ubicación,
- el tipo que contiene de datos de carácter personal,
- las medidas de seguridad, con indicación del nivel
- básico,
- medio o
- alto exigible
- y las cesiones de datos de carácter personal que se prevean realizar
- y, en su caso, las transferencias de datos que se prevean a países terceros.
Deben comunicarse a la Agencia de Protección de Datos
- los cambios en la finalidad del fichero automatizado,
- en su responsable y
- en la dirección de su ubicación.
El Registro General de Protección de Datos inscribirá el fichero si la notificación atiende a los requisitos exigibles.
De no ser así podrá pedir
- que se completen los datos que falten o
- se proceda a su subsanación.
Tras un mes de la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto, se entenderá inscrito el fichero automatizado a todos los efectos.
En cuanto a la comunicación de la cesión de datos, el responsable del fichero, en el momento en que se haga la primera cesión de datos, debe informar a los afectados, indicando
- la finalidad del fichero,
- la naturaleza de los datos que han sido cedidos y
- el nombre y dirección del cesionario.
Esta obligación no existirá cuando la cesión venga impuesta por ley.
En cuanto a los datos incluidos en las fuentes de acceso público,
- los datos personales del censo promocional o
- de las listas de personas de grupos de profesionales
deberán limitarse a los estrictamente necesarios para cumplir la finalidad a la que se destina cada listado.
La inclusión adicional de datos por las entidades responsables del mantenimiento de estos ficheros
- requerirá el consentimiento del interesado,
- que podrá ser revocado en cualquier momento.
Los interesados tienen derecho a que la entidad responsable del fichero de los colegios profesionales indique de forma gratuita que sus datos personales no se pueden utilizar para fines de publicidad o de prospección comercial.
Los interesados tienen derecho a exigir de forma gratuita la exclusión de todos los datos personales del censo promocional por las entidades encargadas del mantenimiento de estas fuentes.
La atención a la solicitud de
- exclusión de la información innecesaria
- o de inclusión de la objeción al uso de estos datos para fines de
- publicidad o
- venta a distancia
ha de realizarse en el plazo de 10 días respecto de las informaciones que se realicen por medio de consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite.
Las fuentes de acceso público editadas en forma de libro o algún otro soporte físico, pierden su carácter de fuentes accesible con la nueva edición que se publique.
En el caso de que telemáticamente se obtenga una copia de la lista en formato electrónico, perderá ésta el carácter de fuente de acceso público en un año, contado desde su obtención.
Se regirán por su normativa específica los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público.