|
La Loi Organique 15/1999, portant sur la Protection des Données à Caractère Personnel, régit le traitement des données à caractère personnel des personnes physiques obtenues par des organismes publics et privés dans l’exercice de leurs fonctions, pour empêcher l'utilisation sans discernement de ce type de données et imposer des sanctions en cas de non respect des obligations instaurées par la Loi.
Cette Loi Organique s’applique aux données à caractère personnel, comprises comme toute information concernant des personnes physiques, identifiées ou identifiables ; son application ne peut donc pas être étendue aux données concernant les personnes morales.
L’ensemble des règles de protection de données à caractère personnel s’articule autour des principes suivants :
– l’intéressé doit accepter au préalable le traitement de ses données à caractère personnel, à l’exception des cas prévus par la Loi ;
– le traitement des données spécialement protégées (celles qui concernent l’idéologie, l’appartenance syndicale, la religion, les croyances, l’origine raciale, la santé et la vie sexuelle) requiert l’acceptation expresse de l’intéressé (par écrit dans les quatre premiers cas) ;
– l’intéressé doit être informé d’une série d'aspects relatifs au traitement prévu de ses données personnelles ;
– ne peuvent être l'objet de traitement que les données à caractère personnel qui sont pertinentes, adéquates et non excessives par rapport à la finalité pour laquelle elles ont été recueillies ;
– la communication à un tiers de données à caractère personnel requiert l’acceptation préalable de l’intéressé à cet effet, sauf si ladite communication est prévue dans une des hypothèses d’exception instaurées par la Loi ;
– lorsque la communication de données personnelles est destinée à un tiers, désigné par la Loi le "Responsable du Traitement", qui assure un service impliquant l’accès à de telles données, l’acceptation de l’intéressé n’est pas requise, sous réserve que la relation soit prévue par un contrat de prestation de services comprenant une série d’indications établies par la Loi ;
– l'intéressé a un droit d’accès, de rectification, d’annulation et d’opposition au traitement de ses données à caractère personnel ;
– la création de fichiers de données à caractère personnel doit être notifiée au préalable à l’Agence de Protection de Données, organisme chargé de veiller au respect de cet ensemble de normes (www.agpd.es).
Par ailleurs, le Décret Royal 994/1999, approuvant le Règlement des mesures de sécurité des fichiers automatisés contenant des données à caractère personnel, établit que doivent être appliquées des mesures techniques et organisationnelles qui garantissent la sécurité des fichiers automatisés, ces mesures variant en fonction de la nature des données à caractère personnel qui font l'objet du traitement.
Un autre aspect remarquable est celui qui concerne la communication de données supposant un transfert international des données à caractère personnel, pour lequel il faut l’autorisation préalable du Directeur de l’Agence de Protection des Données si le transfert a lieu vers un pays n’ayant pas un niveau de protection comparable au niveau espagnol, à l’exception d’une série d’hypothèses concrètes comme, par exemple, lorsque l’intéressé consent sans équivoque au transfert de ses données. De ce point de vue, il est entendu que les Etats Membres de l’Union Européenne garantissent un niveau de protection adéquat et que, dans d’autres cas, il faut que la Commission des Communautés Européennes fasse une déclaration en ce sens, ou encore que l’Agence de Protection de Données établisse elle-même le caractère approprié de la protection offerte par le pays en question.
| 
