biblioteca del congreso de la naciÓn cuerpo de … · 1 biblioteca del congreso de la naciÓn...
Post on 14-Oct-2020
7 Views
Preview:
TRANSCRIPT
1
BIBLIOTECA DEL CONGRESO DE LA NACIÓN
CUERPO DE TRADUCTORES
TRADUCTOR : DELIA MARIA CAMMISA – SILVANA FOX
TRADUCCIÓN N° : 7990
FECHA: 16 de mayo de 2007
21 DE FEBRERO DE 2006
FRANCIA
LEY n° 78-17 del 6 de enero de 1978
relativa a la informática, archivos y libertades
(modificada por la ley relativa a la protección de las personas
físicas con respecto a los procesamientos de datos de carácter
personal
del 6 de agosto de 2004)
2
CAPÍTULO I
Principios y definiciones
Artículo 1
La informática debe estar al servicio de cada ciudadano. Su desarrollo debe operarse en
el marco de la cooperación internacional. No debe atentar contra la identidad humana,
los derechos humanos, la vida privada o las libertades individuales o públicas.
Artículo 2
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 1 (BORF del 7 de
agosto de 2004).
La presente ley se aplica para los procesamientos automatizados de datos de carácter
personal, así como para los tratamientos no automatizados de datos de carácter personal,
contenidos o que deban figurar en archivos, con excepción de los procesamientos
implementados para el ejercicio de actividades exclusivamente personales, cuando su
responsable cumple con las condiciones previstas en el artículo 5.
Constituye un dato de carácter personal toda información relativa a una persona física
identificada o que puede ser identificada, directa o indirectamente, con referencia a un
número de identificación o a uno o varios elementos propios. Para determinar si una
persona es identificable, resulta conveniente considerar el conjunto de los medios con
3
miras a permitir su identificación, con los cuales cuenta o a los cuales tiene acceso el
responsable del procesamiento o cualquier otra persona.
Constituye un procesamiento de datos de carácter personal toda operación o todo
conjunto de operaciones sobre tales datos, sea cual fuere el procedimiento utilizado, y
en particular la recolección, registro, organización, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión
o toda otra forma de disposición, cotejo o interconexión, así como el bloqueo,
cancelación o destrucción.
Constituye un archivo de datos de carácter personal todo conjunto estructurado y estable
de datos de carácter personal accesibles, según criterios determinados.
La persona concernida por un procesamiento de datos de carácter personal es aquella a
la cual se refieren los datos objeto del procesamiento.
Artículo 3
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 1 (BORF del 7 de
agosto de 2004).
I. - El responsable de un procesamiento de datos de carácter personal es la persona,
autoridad pública, servicio u organismo que determina sus finalidades y medios, salvo
expresa designación por las disposiciones legislativas o reglamentarias relativas a este
procesamiento.
4
II. - El destinatario de un procesamiento de datos de carácter personal puede ser toda
persona habilitada para recibir comunicación de estos datos y distinta de la persona
concernida, el responsable del procesamiento, el subcontratista y las personas que, a raíz
de sus funciones, son las encargadas de procesar los datos. Sin embargo, en el marco de
una misión particular o del ejercicio de un derecho de comunicación, las autoridades
legalmente habilitadas para pedirle al responsable del procesamiento que les comunique
datos de carácter personal no son consideradas como destinatarios.
Artículo 4
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 1 (BORF del 7 de
agosto de 2004).
Las disposiciones de la presente ley no son aplicables a las copias temporarias hechas en
el marco de las actividades técnicas de transmisión y de acceso a una red numérica, con
miras al almacenamiento automático, intermediario y transitorio de datos y con el único
fin de permitir que otros destinatarios del servicio tengan el mejor acceso posible a las
informaciones transmitidas.
Artículo 5
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 1 (BORF del 7 de
agosto de 2004).
I. - Están sujetos a la presente ley los procesamientos de datos de carácter personal:
5
1° Referentes a un responsable que está radicado en el territorio francés. El responsable
de un procesamiento que ejerce una actividad en el territorio francés en el marco de una
radicación, sea cual fuere su forma jurídica, ya está considerado como radicado;
2° Referentes a un responsable que, sin estar radicado en el territorio francés o en otro
Estado miembro de la Comunidad Europea, recurre a medios de procesamiento situados
en el territorio francés, con excepción de los procesamientos que sólo son utilizados con
fines de tránsito en este territorio o en otro Estado miembro de la Comunidad Europea.
II. - Para los procesamientos mencionados en el inciso 2° del punto I, el responsable
designará en la Comisión Nacional de Informática y Libertades a un representante
radicado en el territorio francés, que lo remplaza en el cumplimiento de las obligaciones
previstas por la presente ley; esta designación no impide las acciones que podrían serle
interpuestas.
CAPÍTULO II
Condiciones de licitud de los procesamientos de datos de carácter
personal
SECCION 1
Disposiciones generales
Artículo 6
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 2 (BORF del 7 de
agosto de 2004).
6
Un procesamiento sólo puede referirse a datos de carácter personal que cumplan con las
siguientes condiciones:
1° Los datos son recibidos y procesados en forma leal y lícita;
2° Son recibidos con fines determinados, explícitos y legítimos y no pueden ser
procesados posteriormente en forma incompatible con estos fines. Sin embargo, un
procesamiento ulterior de datos con fines estadísticos o de investigación científica o
histórica será considerado como compatible con las finalidades iniciales de la
recolección de los datos, si es realizado dentro del respeto de los principios y
procedimientos previstos en el presente capítulo, en el capítulo IV y en la sección 1 del
capítulo V, así como en los capítulos IX y X y si no es utilizado para tomar decisiones
con respecto a personas concernidas;
3° Son adecuados, pertinentes y no excesivos con respecto a los fines para los cuales
fueron recibidos y a sus procesamientos ulteriores;
4° Son exactos, completos y, si fuera necesario, actualizados; deben tomarse las
medidas apropiadas para que sean borrados o rectificados los datos inexactos o
incompletos con respecto a los fines para los cuales son recibidos o procesados;
5° Son conservados en una forma que permita la identificación de las personas
concernidas durante un tiempo que no exceda la duración necesaria para los fines para
los cuales son recibidos y procesados.
7
Artículo 7
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 2 (BORF del 7 de
agosto de 2004).
Un procesamiento de datos de carácter personal debe contar con el consentimiento de la
persona concernida o satisfacer una de las siguientes condiciones:
1° El respeto de una obligación legal referida al responsable del procesamiento;
2° La salvaguarda de la vida de la persona concernida ;
3° La ejecución de una misión de servicio público de la cual es investido el responsable
o el destinatario del procesamiento;
4° La ejecución, ya sea de un contrato del cual forma parte la persona concernida, ya
sea de medidas precontractuales tomadas a pedido de esta última;
5° La realización del interés legítimo perseguido por el responsable del procesamiento o
por el destinatario, con la condición de no desconocer el interés o los derechos y
libertades fundamentales de la persona concernida.
Sección 2
Disposiciones inherentes a ciertas categorías de datos
Artículo 8
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 2 (BORF del 7 de
8
agosto de 2004).
I. - Está prohibido recibir o procesar datos de carácter personal que hagan aparecer,
directa o indirectamente, los orígenes racionales o étnicos, las opiniones políticas,
filosóficas o religiosas o la pertenencia sindical de las personas, o que se refieran a la
salud o a la vida sexual de estas mismas.
II. - En la medida en que la finalidad del procesamiento así lo exija para algunas
categorías de datos, no están comprendidos por la prohibición prevista en el punto I:
1° Los procesamientos para los cuales la persona concernida ha dado su consentimiento
expreso, salvo en el caso en que la ley prevé que la prohibición contemplada en el punto
I no puede ser levantada por el consentimiento de la persona concernida;
2° Los procesamientos necesarios para la salvaguarda de la vida humana, pero a los
cuales la persona concernida no puede consentir luego de una incapacidad jurídica o de
una imposibilidad material;
3° Los procesamientos realizados por una asociación o todo otro organismo con fines
lucrativos y de carácter religioso, filosófico, político o sindical:
- para los únicos datos mencionados en el punto I que corresponden al objeto de dicha
asociación o de dicho organismo;
- con la salvedad de que se refieran sólo a los miembros de esta asociación o de este
organismo y, llegado el caso, a las personas que mantienen con éste contactos regulares
en el marco de su actividad;
9
- y que se refieren sólo a datos no comunicados a terceros, a menos que las personas
concernidas consientan expresamente a ello;
4° Los procesamientos que se refieren a datos de carácter personal hechos públicos por
la persona concernida;
5° Los procesamientos necesarios para la comprobación, ejercicio o defensa de un
derecho en justicia;
6° Los procesamientos necesarios para los fines de la medicina preventiva, de los
diagnósticos medicales, de la administración de cuidados o de tratamientos, o de la
administración de servicios de salud y realizados por un miembro de una profesión de la
salud o por otra persona a la cual se le impone, a raíz de sus funciones, la obligación del
secreto profesional prevista por el artículo 226-13 del Código Penal;
7° Los procesamientos estadísticos realizados por el Instituto Nacional de Estadística y
Estudios Económicos o por uno de los servicios estadísticos ministeriales dentro del
respeto de la ley n° 51-711 del 7 de junio de 1951 sobre la obligación, coordinación y
secreto en materia de estadísticas, previo dictamen del Consejo Nacional de
Información Estadística y en las condiciones previstas por el artículo 25 de la presente
ley;
8° Los procesamientos necesarios para la investigación en el campo de la salud, según
las modalidades previstas en el capítulo IX.
III. - Si los datos de carácter personal contemplados en el punto I son llamados a ser
objeto, a corto plazo, de un proceso de anonimización previamente reconocido de
10
conformidad con las disposiciones de la presente ley por la Comisión Nacional de
Informática y Libertades, esta última puede autorizar, habida cuenta de su finalidad,
algunas categorías de procesamientos, según las modalidades previstas en el artículo 25.
Las disposiciones de los capítulos IX y X no serán aplicables.
IV. - Asimismo, no están comprendidos por la prohibición prevista en el punto I los
procesamientos, automatizados o no, justificados por el interés público y autorizados en
las condiciones previstas en el punto I del artículo 25 o en el punto II del artículo 26.
Artículo 9
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 2 (BORF del 7 de
agosto de 2004).
Los procesamientos de datos de carácter personal relativos a las infracciones y delitos,
condenas y medidas de seguridad sólo podrán ser aplicados por:
1° Las jurisdicciones, autoridades públicas y personas jurídicas que administren un
servicio público y actúen en el marco de sus atribuciones legales;
2° Los auxiliares de justicia, para las estrictas necesidades del ejercicio de las misiones
que les son confiadas por la ley;
3° [Disposiciones declaradas no conformes a la Constitución por decisión del Consejo
Constitucional n° 2004-499 DC del 29 de julio de 2004 ;]
11
4° Las personas jurídicas mencionadas en los artículos L. 321-1 y L. 331-1 del Código
de Propiedad Intelectual que actúan a título de los derechos cuya gestión aseguran o por
cuenta de las víctimas de atentados a los derechos previstos en los libros I, II y III del
mismo código, con el fin de asegurar la defensa de estos derechos.
Artículo 10
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 2 (BORF del 7 de
agosto de 2004).
Ninguna decisión judicial que implique una apreciación sobre el comportamiento de una
persona puede tener como fundamento un procesamiento automatizado de datos de
carácter personal destinado a evaluar algunos aspectos de su personalidad.
No podrá tomarse ninguna otra decisión con efectos jurídicos referida a una persona
sobre el único fundamente de un procesamiento automatizado de datos destinado a
definir el perfil del interesado o a evaluar algunos aspectos de su personalidad.
No serán consideradas como tomadas sobre el único fundamento de un procesamiento
automatizado las decisiones tomadas en el marco de una conclusión o de la ejecución de
un contrato y para las cuales la persona concernida fue puesta en condiciones de
presentar sus observaciones, ni aquellas que satisfagan los pedidos de la persona
concernida.
12
CAPÍTULO III
La Comisión Nacional de Informática y Libertades,
Artículo 11
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
La Comisión Nacional de Informática y Libertades es una autoridad administrativa
independiente. Ejerce las siguientes misiones :
1° Informa a todas las personas concernidas y a todos los responsables de
procesamientos de sus derechos y obligaciones ;
2° Vela por que los procesamientos de datos de carácter personal sean realizados de
conformidad con las disposiciones de la presente ley.
A dicho título:
a) Autoriza los procesamientos mencionados en el artículo 25, dictamina sobre los
procesamientos mencionados en los artículos 26 y 27 y recibe las declaraciones relativas
a los otros procesamientos;
b) Establece y publica las normas mencionadas en el punto I del artículo 24 y dicta,
llegado el caso, reglamentos tipos con miras a garantizar la seguridad de los sistemas;
c) Recibe los reclamos, peticiones y quejas relativos a la utilización de los
procesamientos de datos de carácter personal e informa a sus autores de sus resultados;
13
d) Responde a los pedidos de dictamen de los poderes públicos y, llegado el caso, de las
jurisdicciones, y aconseja a las personas y organismos que utilizan o contemplan utilizar
procesamientos automatizados de datos de carácter personal;
e) Informa, inmediatamente, al fiscal, de conformidad con el artículo 40 del Código de
Procedimiento Penal, infracciones y delitos de los cuales tiene conocimiento y puede
presentar observaciones en los proceso penales, en las condiciones previstas en el
artículo 52;
f) Por decisión particular, puede encargar a uno o varios de sus miembros o agentes de
sus servicios, en las condiciones previstas por el artículo 44, que proceda a
verificaciones sobre cualquier procesamiento y, llegado el caso, que obtenga copias de
todos los documentos o soportes de información útiles para sus misiones;
g) Dentro de las condiciones definidas en el capítulo VII, puede dictar contra de un
responsable de procesamiento una de las medidas previstas por el artículo 45;
h) Responde a los pedidos de acceso referidos a los procesamientos mencionados en los
artículos 41 y 42;
3° A pedido de las organizaciones profesionales o de instituciones que agrupan
principalmente a responsables de procesamientos :
a) Dictamina sobre la conformidad a las disposiciones de la presente ley de los
proyectos de normas profesionales y de los productos y procedimientos tendientes a la
protección de las personas con respecto al procesamiento de datos de carácter personal o
a la anonimización de estos datos, que le son sometidos;
14
b) Dictamina sobre las garantías ofrecidas por normas profesionales que ha reconocido
precedentemente como conformes a las disposiciones de la presente ley, frente al
respeto de los derechos fundamentales de las personas;
a) Entrega una etiqueta para productos o procedimientos tendientes a la protección de
las personas con respecto al procesamiento de datos de carácter personal, después de
haberlos reconocido de conformidad con las disposiciones de la presente ley;
4° Se mantiene informada sobre la evolución de las tecnologías de la información y
hace pública, llegado el caso, su apreciación de las consecuencias que resultan de ello
para el ejercicio de los derechos y libertados mencionados en el artículo 1;
A dicho título:
a) Es consultada sobre todo proyecto de ley o de decreto relativo a la protección de las
personas con respecto a los tratamientos automatizados;
b) Le propone al Gobierno las medidas legislativas o reglamentarias de adaptación de la
protección de las libertades a la evolución de los procesos y técnicas informáticas;
c) A pedido de otras autoridades administrativas independientes, puede prestar su ayuda
en materia de protección de datos;
d) A pedido del Primer Ministro, puede ser asociada a la preparación y definición de la
posición francesa en las negociaciones internacionales en el campo de la protección de
los datos de carácter personal. A pedido del Primer Ministro, puede participar en la
15
representación francesa en las organizaciones internacionales y comunitarias
competentes en este ámbito.
Para el cumplimiento de sus misiones, la comisión puede proceder por vía de
recomendación y tomar decisiones individuales o reglamentarias en los casos previstos
por la presente ley.
La comisión presenta anualmente al Presidente de la República, al Primer Ministro y al
Parlamento un informe público que da cuenta de la ejecución de su misión.
Artículo 12
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
La Comisión Nacional de Informática y Libertades dispone de créditos necesarios para
el cumplimiento de sus misiones. Las disposiciones de la ley del 10 de agosto de 1922
relativa al control financiero no son aplicables a su gestión. Las cuentas de la comisión
son presentadas al control del Tribunal de Cuentas.
Artículo 13
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
16
I. - La Comisión Nacional de Informática y Libertades está compuesta por diecisiete
miembros:
1° Dos diputados y dos senadores, designados respectivamente por la Asamblea
Nacional y el Senado ;
2° Dos miembros del Consejo Económico y Social, elegidos por esta asamblea ;
3° Dos miembros o ex miembros del Consejo de Estado, de un grado más o menos igual
al de consejero, elegidos por la asamblea general del Consejo de Estado;
4° Dos miembros o ex miembros de la Corte de Casación, de un grado por lo menos
igual al de ministro, elegidos por la asamblea general de la Corte de Casación;
5° Dos miembros o ex miembros del Tribunal de Cuentas, de un grado por lo menos
igual al de magistrado, elegidos por la asamblea general del Tribunal de Cuentas;
6° Tres personalidades calificadas por su conocimiento de la informática o de
cuestiones referidas a las libertades individuales, nombradas por decreto;
7° Dos personalidades calificadas por su conocimientos de la informática, designados
respectivamente por el Presidente de la Asamblea Nacional y por el Presidente del
Senado.
La comisión nombrará, en su seno, a un presidente y a dos vicepresidentes, entre los
cuales un vicepresidente delegado. Compondrán la mesa de la comisión.
17
La formación restringida de la comisión está compuesta por el presidente, los
vicepresidentes y tres miembros elegidos por la comisión en su seno por la duración de
sus mandatos.
En caso de empate, el voto del presidente será decisivo.
II. - El mandato de los miembros de la comisión mencionados en los incisos 3°, 4°, 5°,
6° y 7° del punto I es de cinco años; es renovable una única vez. Los miembros
mencionados en los incisos 1° y 2° sesionarán por la duración de sus mandatos desde su
designación; sus mandatos de miembros de la Comisión Nacional de Informática y
Libertades no podrán exceder una duración de diez años.
El miembro de la comisión que cesa en sus funciones durante un mandato será
remplazado, en las mismas condiciones, por el tiempo de su mandato que falta cumplir.
Salvo renuncia, solo se podrá poner fin a las funciones de un miembro en caso de
impedimento comprobado por la comisión en las condiciones que ella misma defina.
La comisión elaborará su reglamento interno. Este reglamento fijará las reglas relativas
a la organización y funcionamiento de la comisión. En particular, precisará las reglas
relativas a las deliberaciones, instrucción de los expedientes y a su presentación ante la
comisión.
Artículo 14
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
18
agosto de 2004).
I. - La calidad de miembro de la comisión es incompatible con la de miembro del
gobierno.
II. - Ningún miembro de la comisión podrá:
- participar en una deliberación o proceder a verificaciones relativas a un organismo en
el cual tiene un interés directo o indirecto, ejerce funciones o posee un mandato;
- participar en una deliberación o proceder a verificaciones relativas a un organismo en
el cual tiene un interés directo o indirecto, ejerce funciones o posee un mandato, durante
los treinta y seis meses anteriores a la deliberación o a las verificaciones.
III. - Todo miembro de la comisión deberá informar al presidente sobre los intereses
directos o indirectos que posee o podría a poseer, sobre las funciones que ejerce o
podría ejercer y sobre todo mandato que posee o podría poseer en el seno de una
persona jurídica. Estas informaciones, así como aquellas relativas al presidente, son
puestas a disposición de los miembros de la comisión.
El presidente de la comisión toma las medidas apropiadas para asegurar el respeto de las
obligaciones que resultan del presente artículo.
Artículo 15
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
19
agosto de 2004).
Sin perjuicio de las competencias de la mesa y de la formación restringida, la comisión
se reúne en forma plenaria.
En caso de empate, el voto del presidente será decisivo.
La comisión podrá encargarle al presidente o al vicepresidente delegado que ejerza las
atribuciones mencionadas:
- en el tercer inciso del punto I del artículo 23 ;
- en los subincisos e) y f) del inciso 2° de artículo 11;
- en el subinciso c) del inciso 2° de artículo 11;
- en el subinciso d) del inciso 4° de artículo 11;
- en los artículos 41 y 42 ;
- en el artículo 54 ;
- en los artículos 63, 64 y 65;
- en el último inciso del artículo 69;
- en el primer inciso del artículo 70.
20
Artículo 16
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
La comisión puede encargarle a la mesa que ejerza las atribuciones mencionadas:
- en el último inciso del artículo 19;
- en el artículo 25, en caso de urgencia;
- en el segundo inciso del artículo 70.
En caso de urgencia, se le podrá también pedir a la mesa que tome las decisiones
mencionadas en el primer inciso del punto I del artículo 45.
Artículo 17
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
La formación restringida de la comisión dictará las medidas previstas en el punto I y en
el inciso 1° del punto II del artículo 45.
Artículo 18
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
21
agosto de 2004).
Un delegado del gobierno, designado por el Primer Ministro, sesionará en la comisión.
Dos delegados adjuntos podrán ser designados en las mismas condiciones.
El delegado del gobierno asistirá a todas las deliberaciones de la comisión reunida en
pleno o en formación restringida, así como a aquellas reuniones de su mesa que tengan
por objeto el ejercicio de las atribuciones delegadas en virtud del artículo 16; será el
destinatario de todos sus dictámenes y decisiones.
Salvo en materia de sanciones, podrá suscitar una segunda deliberación, que deberá
intervenir dentro de los diez días de la deliberación inicial.
Artículo 19
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
La comisión dispondrá de servicios dirigidos por el presidente y puestos bajo su
autoridad.
Los agentes de la comisión son nombrados por el presidente.
En caso de necesidad, el vicepresidente delegado ejercerá las atribuciones del
presidente.
22
El secretario general estará a cargo del funcionamiento y coordinación de los servicios
bajo la autoridad del presidente.
Aquellos agentes que puedan ser llamados a participar en la implementación de las
misiones de verificación mencionadas en el artículo 44 deben ser habilitados para ello
por la comisión; esta habilitación no dispensa de la aplicación de las disposiciones que
definen los procedimientos que autorizan el acceso a los secretos protegidos por la ley.
Artículo 20
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
Los miembros y agentes de la comisión estarán sujetos al secreto profesional por los
hechos, actos o informaciones de los cuales habrían podido tener conocimiento a raíz de
sus funciones, en las condiciones previstas por el artículo 413-10 del Código Penal y,
sin perjuicio de lo que es necesario para la elaboración del informe anual, por el artículo
226-13 del mismo código.
Artículo 21
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 3 (BORF del 7 de
agosto de 2004).
23
En el ejercicio de sus atribuciones, los miembros de la comisión no reciben
instrucciones de ninguna autoridad.
Los ministros, autoridades públicas, directivos de empresas públicas o privadas,
responsables de agrupaciones diversas y, más generalmente, tenedores o usuarios de
procesamientos o de archivos de datos de carácter personal no pueden oponerse a la
acción de la comisión o de sus miembros y, por el contrario, deben tomar todas las
medidas útiles con el fin de facilitar su tarea.
Salvo en los casos en que estén sujetas al secreto profesional, las personas interrogadas
en el marco de las verificaciones hechas por la comisión, en aplicación del subinciso f)
del inciso 2° del artículo 11, están obligadas a proporcionar las informaciones
solicitadas por ésta para el ejercicio de sus misiones.
CAPITULO IV
Formalidades previas a la utilización de los procesamientos
Artículo 22
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - Los procesamientos automatizados de datos de carácter personal son objeto de una
declaración ante la Comisión Nacional de Informática y Libertades, con excepción de
24
aquellos que dependen de las disposiciones previstas en los artículos 25, 26 y 27 o que
están comprendidos en el segundo inciso del artículo 36,.
II. - Sin embargo, no están sujetos a ninguna de las formalidades previas previstas en el
presente capítulo:
1° Los procesamientos que tengan por único objeto el hecho de llevar un registro que,
en virtud de disposiciones legislativas o reglamentarias, está destinado exclusivamente
para la información del público y está abierto a la consulta de este último o de toda
persona que justifica un interés legítimo;
2° Los procesamientos mencionados en el inciso 3° del punto II del artículo 8.
III. - Los procesamientos, para los cuales el responsable ha designado a un delegado
para la protección de los datos de carácter personal encargado de asegurar, en forma
independiente, el respeto de las obligaciones previstas por la presente ley, están
dispensados de las formalidades previstas en los artículos 23 y 24, salvo cuando se
contemple una transferencia de datos de carácter personal destinada a un Estado no
miembro de la Comunidad Europea.
La designación del delegado es notificada a la Comisión Nacional de Informática y
Libertades. Es llevada a conocimiento de las instancias representativas del personal.
El delegado es una persona que goza de las calificaciones requeridas para el ejercicio de
sus misiones. Elaborará una lista de los procesamientos realizados inmediatamente, lista
que será accesible a toda persona que así lo requiera; el delegado no podrá ser objeto de
ninguna sanción por parte del empleador por haber cumplido con sus misiones. Podrá
25
informar a la Comisión Nacional de Informática y Libertades sobre las dificultades
encontradas en el ejercicio de sus misiones.
En cado de incumplimiento de las disposiciones de la ley, el responsable del
procesamiento deberá proceder, por decisión de la Comisión Nacional de Informática y
Libertades, a las formalidades previstas en los artículos 23 y 24. En caso de
incumplimiento manifiesto de sus deberes, el delegado será relevado de sus funciones
ante el pedido o previa consulta de la Comisión Nacional de Informática y Libertades.
IV. - El responsable de un procesamiento de datos de carácter personal que no está
sujeto a ninguna de las formalidades previstas en el presente capítulo comunicará a toda
persona que así lo requiera las informaciones relativas a este procesamiento mencionado
en los incisos 2° a 6° del punto I del artículo 31.
Sección 1
Declaración
Artículo 23
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - La declaración comprende el compromiso de que el procesamiento cumple con las
exigencias de la ley.
Podrá estar dirigida a la Comisión Nacional de Informática y Libertades por vía
electrónica.
26
La comisión enviará inmediatamente un recibo, llegado el caso, por vía electrónica. El
solicitante podrá aplicar el procesamiento a partir de la recepción de este recibo; no
estará exento de ninguna de sus responsabilidades.
II. - Los procesamientos que dependan de un mismo organismo y que tengan finalidades
idénticas o vinculadas entre sí podrán ser objeto de una única declaración. En este caso,
las informaciones requeridas en aplicación del articulo 30 sólo serán suministradas para
cada uno de los procesamientos en la medida en que son inherentes a ellos.
Artículo 24
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - Para las categorías más corrientes de procesamientos de datos de carácter personal,
cuya utilización no atenta contra la vida privada o las libertades, la Comisión Nacional
de Informática y Libertades elaborará y publicará normas destinadas a simplificar la
obligación de declaración, después de haber recibido, llegado el caso, las propuestas
formuladas por los representantes de los organismos públicos y privados
representativos.
Estas normas precisan :
1° Las finalidades de los procesamientos que son objeto de una declaración
simplificada;
27
2° Los datos de carácter personal o categorías de datos de carácter personal procesados;
3° La o las categorías de personas concernidas ;
4° Los destinatarios o categorías de destinatarios a los cuales se les comunican los datos
de carácter personal;
5° El tiempo de conservación de los datos de carácter personal.
Los procesamientos que correspondan a una de estas normas serán objeto de una
declaración simplificada de conformidad, enviada a la comisión, llegado el caso, por vía
electrónica.
II. - La comisión podrá definir, entre las categorías de procesamientos mencionados en
el punto I, aquellas que serán dispensadas de una declaración, habida cuenta de sus
finalidades, de sus destinatarios o categorías de destinatarios, de los datos de carácter
personal procesados, del tiempo de conservación de estos últimos y de las categorías de
las personas concernidas.
En las mismas condiciones, la comisión podrá autorizar a los responsables de algunas
categorías de procesamientos a que procesan a una declaración única, según las
disposiciones del punto II del artículo 23.
Sección 2
Autorización
28
Artículo 25
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - Serán utilizados, previa autorización de la Comisión Nacional de Informática y
Libertades, con excepción de aquellos mencionados en los artículos 26 y 27:
1° Los procesamientos, automatizados o no, mencionados en el inciso 7° del punto II,
en los puntos III y IV del artículo 8;
2° Los procesamientos automatizados que se refieran a datos genéticos, con excepción
de los que son utilizados por médicos o biólogos y que son necesarios para la medicina
preventiva, el diagnóstico médico o la administración de cuidados o de tratamientos;
3° Los procesamientos, automatizados o no, que se refieran a datos relativos a las
infracciones y delitos, condenas o medidas de seguridad, salvo aquellos que son
utilizados por auxiliares de justicia para las necesidades de sus misiones de defensa de
las personas concernidas;
4° Los procesamientos automatizados que, por su naturaleza, alcance o finalidad,
excluyan a personas del beneficio de un derecho, prestación o contrato en ausencia de
toda disposición legislativa o reglamentaria;
5° Los procesamientos automatizados que tengan por objeto:
29
- la interconexión de archivos que dependen de una o varias personas jurídicas que
administran un servicio público y cuyas finalidades corresponden a intereses públicos
diferentes;
- la interconexión de archivos que dependen de otras personas y cuyas finalidades
principales son diferentes;
6° Los procesamientos que se refieran a datos entre los cuales figura el número de
inscripción de las personas en un registro nacional de personas físicas y aquellos que
requieran una consulta de dicho registro, sin incluir el número de inscripción en aquel
de las personas;
7° Los procesamientos automatizados de datos que comprendan apreciaciones sobre las
dificultades sociales de las personas;
8° Los procesamientos automatizados que comprendan datos biométricos necesarios
para el control de la identidad de las personas.
II. - Para la aplicación del presente artículo, los procesamientos que respondan a una
misma finalidad, se refieran a categorías de datos idénticos y tengan los mismos
destinatarios o categorías de destinatarios pueden ser autorizados por una decisión única
de la comisión. En este caso, el responsable de cada procesamiento enviará a la
comisión un compromiso de conformidad de este último para la descripción que figura
en la autorización.
III. - La Comisión Nacional de Informática y Libertades se pronunciará en un plazo de
dos meses a contar desde la recepción de este pedido. Sin embargo, este plazo podrá ser
30
renovado una vez por decisión motivada de su presidente. Cuando la comisión no se
hubiera pronunciado en estos plazos, el pedido de autorización se considerará
rechazado.
Artículo 26
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - Serán autorizados por decisión del ministro o de los ministros competentes, previo
dictamen motivado y publicado de la Comisión Nacional de Informática y Libertades,
los procesamientos de datos de carácter personal utilizados por cuenta del Estado y:
1° Que se refieran a la seguridad del Estado, la defensa o la seguridad pública;
2° O que tengan por objeto prevenir, investigar, comprobar o perseguir infracciones
penales o ejecutar condenas penales o medidas de seguridad.
El dictamen de la comisión será publicado junto con la decisión que autoriza el
procesamiento.
II. - Aquellos procesamientos que se refieran a datos mencionados en el punto I del
artículo 8 serán autorizados por decreto en Consejo de Estado, aprobado previo
dictamen motivado y publicado de la comisión; este dictamen será publicado con el
decreto que autoriza el procesamiento.
31
III. - Algunos procesamientos mencionados en los puntos I y II podrán estar exentos,
por decreto en Consejo de Estado, de la publicación del acto reglamentario que los
autoriza; para estos procesamientos, se publica el sentido del dictamen emitido por la
comisión, al mismo tiempo que se el decreto que autoriza la dispensa de publicación del
acto.
IV. - Para la aplicación del presente artículo, los procesamientos que respondan a una
misma finalidad, se refieran a categorías de datos idénticos y tengan los mismos
destinatarios o categorías de destinatarios podrán ser autorizados por un acto
reglamentario único. En este caso, el responsable de todo procesamiento enviará a la
comisión un compromiso de conformidad de este último para la descripción que figura
en la autorización.
Artículo 27
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - Serán autorizados por decreto en Consejo de Estado, aprobado previo dictamen
motivado y publicado de la Comisión Nacional de Informática y Libertades:
1° Los procesamientos de datos de carácter personal utilizados por cuenta del Estado, de
una persona jurídica de derecho público o de una persona jurídica de derecho privado
que administra un servicio público, que se refieren a datos entre los cuales figura el
número de inscripción de las personas en el registro nacional de personas físicas;
32
2° Los procesamientos de datos de carácter personal utilizados por cuenta del Estado,
que se refieren a datos biométricos necesarios para la autentificación o el control de
identidad de las personas;
II. - Serán autorizados por decisión o, en caso de procesamiento operado por cuenta de
un organismo público o de una persona jurídica de derecho privado que administra un
servicio público, por decisión del órgano deliberante a cargo de su organización,
aprobado previo dictamen motivado y publicado de la Comisión Nacional de
Informática y Libertades:
1° Los procesamientos utilizados por el Estado o las personas jurídicas mencionadas en
el punto I que requieran una consulta del registro nacional de personas físicas, sin
incluir el número de identificación en este registro;
2° Los procesamientos mencionados en el punto I :
- que no comprenden ninguno de los datos mencionados en el punto I del artículo 8 o en
el artículo 9;
- que no dan lugar a una interconexión entre procesamientos o archivos
correspondientes a intereses públicos diferentes;
- y que son operados por servicios que tienen como misión, ya sea determinar las
condiciones de apertura o el alcance de un derecho de los administrados, ya sea
establecer la base impositiva, controlar o cobrar impuestos o tasas, ya sea elaborar
estadísticas;
33
3° Los procesamientos relativos al censo de la población, en la metrópoli y en las
colectividades de ultramar;
4° Los procesamientos utilizados por el Estado o las personas jurídicas mencionadas en
el punto I a los fines de poner a disposición de los usuarios de la administración uno o
varios teleservicios de la administración electrónica, si estos procesamientos se refieren
a datos entre los cuales figura el número de identificación de las personas en el registro
nacional de identificación o todo otro que identifique a las personas físicas.
III. - Las disposiciones del punto IV del artículo 26 son aplicables a los procesamientos
que dependen del presente artículo.
Artículo 28
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - La Comisión Nacional de Informática y Libertades, informada en el marco de los
artículos 26 o 27, se pronunciará en un plazo de dos meses a contar desde la recepción
de este pedido. Sin embargo, este plazo podrá ser renovado una vez por decisión
motivada de su presidente.
II. - Será considerado como favorable el dictamen solicitado a la comisión sobre un
procesamiento que no haya sido dado a la expiración del plazo previsto en el punto I.
34
Artículo 29
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
Los actos que autorizan la creación de un procesamiento en aplicación de los artículos
25, 26 y 27 precisan:
1° La denominación y la finalidad del procesamiento ;
2° El servicio ante el cual se ejerce el derecho de acceso definido en el capítulo VII;
3° Las categorías de datos de carácter personal registradas;
4° Los destinatarios o categorías de destinatarios habilitados para recibir comunicación
de estos datos;
5° Llegado el caso, las excepciones a la obligación de informar previstas en el punto V
del artículo 32.
CAPITULO IV
Recolección, registro y conservación de las informaciones nominativas
Artículo 29-1
Derogado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de agosto
35
de 2004).
CAPITULO IV
Formalidades previas a la utilización de los procesamientos
Sección 3
Disposiciones comunes
Artículo 30
Modificado por la Ley n º2006-64 del 23 de enero de 2006 art. 13 (BORF 24 de enero
de 2006).
I. - Las declaraciones, pedidos de autorización y pedidos de dictamen dirigidos a la
Comisión Nacional de Informática y Libertades, en virtud de las disposiciones de las
secciones 1 y 2, precisan:
1° La identidad y dirección del responsable del procesamiento o, si éste no está radicado
en el territorio nacional ni en el de otro Estado miembro de la Comunidad Europea, la
de su representante y, llegado el caso, la de la persona que hace el pedido;
2° La o las finalidades del procesamiento, así como, para los procesamientos que
dependen de los artículos 25, 26 y 27, la descripción general de sus funciones;
3° Llegado el caso, las interconexiones, cotejos o toda otra forma de comunicación con
otros procesamientos;
36
4° Los datos de carácter personal procesados, su origen y las categorías de personas
concernidas por el procesamiento;
5° El tiempo de conservación de las informaciones procesadas;
6° El o los servicios encargados de utilizar el procesamiento, así como, para los
procesamientos que dependen de los artículos 25, 26 y 27, las categorías de personas
que, a raíz de sus funciones o para las necesidades del servicio, tienen acceso
directamente a los datos registrados;
7° Los destinatarios o categorías de destinatarios habilitados para recibir comunicación
de los datos;
8° La función de la persona o el servicio ante el cual se ejerce el derecho de acceso
previsto en el artículo 39, así como las medidas relativas al ejercicio de este derecho;
9° Las disposiciones tomadas para garantizar la seguridad de los procesamientos y de
los datos y la garantía de los secretos protegidos por la ley y, llegado e caso, la
indicación de recurrir a un subcontratista;
10° Llegado el caso, las transferencias de datos de carácter personal contempladas con
destino de un Estado no miembro de Comunidad Europea, bajo cualquier forma, con
excepción de los procesamientos que sólo son utilizados con fines de tránsito en el
territorio francés o en el de otro Estado miembro de la Comunidad Europea, en el
sentido de las disposiciones del inciso 2° del punto I del artículo 5.
37
Los pedidos de dictamen sobre los procesamientos que se refieran a la seguridad del
Estado, la defensa o la seguridad pública podrán no comprender todos los elementos de
información enumerados anteriormente. Un decreto en Consejo de Estado, aprobado
previo dictamen de la Comisión Nacional de Informática y Libertades, fijará la lista de
estos procesamientos y de las informaciones que deben contener, como mínimo, los
pedidos de dictamen referidos a estos procesamientos.
II. - El responsable de un procesamiento ya declarado o autorizado informará
inmediatamente a la comisión:
- de todo cambio que afecte las informaciones mencionadas en el punto I ;
- de toda supresión de procesamiento.
Artículo 31
Modificado por la Ley n º2004-801 del 6 de agosto de 2004 art. 4 (BORF del 7 de
agosto de 2004).
I. - La comisión pondrá a disposición de público la lista de los procesamientos
automatizados que sean objeto de una de las formalidades previstas por los artículos 23
a 27, con excepción de los mencionados en el punto III del artículo 26.
Esta lista precisará para cada uno de estos procesamientos :
1° El acto que decide la creación del procesamiento o la fecha de la declaración de este
procesamiento;
38
2° La denominación y la finalidad del procesamiento ;
3° La identidad y dirección del responsable del procesamiento o, si éste no está radicado
en el territorio nacional ni en el de otro Estado miembro de la Comunidad Europea, la
de su representante;
4° La función de la persona o el servicio ante el cual se ejerce el derecho de acceso
previsto en el artículo 39;
5° Las categorías de datos de carácter personal que son objeto de procesamiento, así
como los destinatarios y categorías de destinatarios habilitados para recibir
comunicación de los mismos;
6° Llegado el caso, las transferencias de datos de carácter personal con destino a un
Estado no miembro de la Comunidad Europea.
II. - La comisión pondrá a disposición del público sus dictámenes, decisiones o
recomendaciones.
III. - La Comisión Nacional de Informática y Libertades publicará la lista de los
Estados, elaborada por la Comisión de Comunidades Europeas, que aseguran un nivel
de protección suficiente con respecto a una transferencia o una categoría de
transferencias de datos de carácter personal.
Capítulo IV
Recolección, registro y conservación de informaciones nominativas
39
Artículo 32
Derogado por Ley n°88-227 del 11 de marzo de 1988 art. 13 (B.O.R.F. del 12 de marzo
de 1988)
Capítulo V
Obligaciones que incumben a los responsables de procesamientos de
datos y derechos de las personas.
Sección 1
Obligaciones que incumben a los responsables de procesamientos de datos.
Artículo 32
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (B.O.R.F del 7 de agosto
de 2004).
I. - La persona ante la cual se recojan datos de carácter personal que le conciernen será
informada, salvo cuando ya hubiere sido informada con anterioridad, por el responsable
del procesamiento de datos o su representante :
1º Sobre la identidad del responsable del procesamiento de datos y, llegado el caso, la
su representante.
2º Sobre la finalidad perseguida por el procesamiento al cual son destinados los datos ;
3º Sobre el carácter obligatorio o facultativo de las respuestas ;
4º Sobre las eventuales consecuencias en caso de ausencia de respuesta ;
40
5º Sobre los destinatarios o categorías de destinatarios de los datos ;
6º Sobre sus derechos, de conformidad con las disposiciones de la sección 2 del
presente capítulo ;
7º Llegado el caso, sobre las transferencias de datos de carácter personal previstas con
destino a un Estado no miembro de la Comunidad Europea.
Cuando dichos datos fueren recabados por vía de cuestionarios, éstos deberán
mencionar las disposiciones que figuran en los incisos 1º, 2º, 3º y 6º.
II. - Toda persona usuaria de redes de comunicaciones electrónicas deberá ser
informada de manera clara y completa por el responsable del procesamiento o su
representante :
- sobre la finalidad de toda acción tendiente a acceder, por vía de transmisión
electrónica, a datos almacenados en su equipo terminal de conexión o a introducir, por
la misma vía, datos en su equipo terminal de conexión ;
- sobre los medios de los que dispone para oponerse a ello.
Estas disposiciones no serán aplicables cuando el acceso a las informaciones
almacenadas en el equipo terminal del usuario o la introducción de datos en el equipo
terminal del usuario :
- ya sea tuviera como finalidad exclusiva permitir o facilitar la comunicación por vía
electrónica ;
41
- ya sea fuere estrictamente necesario para el suministro de un servicio de comunicación
en línea a pedido expreso del usuario.
III. - Cuando los datos de carácter personal no hubieren sido recogidos ante la persona
concernida, el responsable del procesamiento o su representante deberá suministrar los
datos enumerados en el punto I desde el momento del registro de los datos o, cuando se
prevea una comunicación de los datos a terceros, a más tardar en ocasión de la primera
comunicación de los datos.
Cuando los datos de carácter personal hubieren sido inicialmente recogidos con otro
objeto, las disposiciones del inciso anterior no se aplicarán a los procesamientos
necesarios para la conservación de estos datos con fines históricos, estadísticos o
científicos, en las condiciones previstas en el libro II del Código de Patrimonio o para la
reutilización de estos datos con fines estadísticos en las condiciones del artículo 7 bis de
la ley nº 51-711 del 7 de junio de 1951 sobre la obligación, coordinación y secreto en
materia de estadísticas. Estas disposiciones tampoco serán aplicables cuando la persona
concernida ya estuviere informada o cuando su información resultare imposible o
exigiere esfuerzos desproporcionados con respecto al interés de la diligencia.
IV. - Cuando los datos de carácter personal recogidos fueren llamados a ser objeto, a
corto plazo, de un procedimiento de anonimización previamente reconocido como
conforme a las disposiciones de la presente ley por la Comisión Nacional de Informática
y Libertades, las informaciones suministradas por el responsable del procesamiento a la
persona concernida podrán limitarse a aquéllas mencionadas en los incisos 1º y 2º del
punto I.
42
V. – Las disposiciones del punto I no serán aplicables a los datos recogidos en las
condiciones previstas en los puntos II y III utilizados en ocasión de un procesamiento
implementado por cuenta del Estado y que se refieran a la seguridad del Estado, a la
defensa, a la seguridad pública, o que tuvieren como objeto la ejecución de condenas
penales o de medidas de seguridad, cuando dicha limitación fuere necesaria para el
cumplimiento de los fines perseguidos por el procesamiento..
VI. - Las disposiciones del presente artículo no se aplicarán a los procesamientos de
datos que tengan como objeto la prevención, la investigación, la constatación o la
persecución de infracciones penales.
Artículo 33
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
Salvo consentimiento expreso de la persona concernida, los datos de carácter personal
recogidos por los prestatarios de servicios de certificación electrónica para los fines de
la expedición y conservación de los certificados asociados a firmas electrónicas deberán
serlo directamente ante la persona concernida y sólo podrán ser procesados para los
fines para los cuales fueron recogidos.
Capítulo IV
Recolección, registro y conservación de informaciones nominativas
43
Artículo 33-1
Derogado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de agosto
de 2004).
Capítulo V
Obligaciones que incumben a los responsables de procesamientos de
datos y derechos de las personas.
Sección 1
Obligaciones que incumben a los responsables de procesamientos de datos
Artículo 34
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
El responsable del procesamiento de datos deberá tomar todas las precauciones
necesarias, respecto a la naturaleza de los datos y de los riesgos presentados por el
procesamiento, para preservar la seguridad de los datos y, principalmente, impedir que
sean deformados, dañados, o que terceros no autorizados tengan acceso a los mismos.
Decretos aprobados previo dictamen de la Comisión Nacional de Informática y
Libertades podrán fijar las disposiciones técnicas que deberán cumplir los
procesamientos de datos mencionados en los incisos 2º y 6º del punto II del artículo 8.
Artículo 35
44
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
Los datos de carácter personal sólo podrán ser objeto de una operación de
procesamiento por parte de un subcontratista, de una persona que actúa bajo la autoridad
del responsable del procesamiento o de la del subcontratista, ante instrucción del
responsable del procesamiento.
Toda persona que procese datos de carácter personal por cuenta del responsable del
procesamiento será considerado como subcontratista en el sentido de la presente ley.
El subcontratista deberá presentar garantías suficientes para asegurar la aplicación de las
medidas de seguridad y confidencialidad mencionadas en el artículo 34. Esta exigencia
no liberará al responsable del procesamiento de su obligación de velar por el
cumplimiento de estas medidas.
El contrato que vincule al subcontratista con el responsable del procesamiento
comprenderá la indicación de las obligaciones que incumben al subcontratista en
materia de protección de la seguridad y de la confidencialidad de los datos y preverá
que el subcontratista sólo podrá actuar ante instrucción del responsable del
procesamiento.
Artículo 36
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
45
agosto de 2004).
Los datos de carácter personal sólo podrán ser conservados más allá de la duración
prevista en el inciso 5º del artículo 6 con miras a ser procesados con fines históricos,
estadísticos o científicos; la elección de los datos conservados de esta manera tendrá
lugar en las condiciones previstas en el artículo L. 212-4 del Código de Patrimonio.
Los procesamientos cuya finalidad se limite a asegurar la conservación a largo plazo de
documentos de archivos en el marco del libro II del mismo código no estarán sujetos a
las formalidades previas a la aplicación de los procesamientos de datos previstos en el
capítulo IV de la presente ley.
Se podrá proceder a un procesamiento de datos con finalidades distintas a las
mencionadas en el primer inciso :
- ya sea con el acuerdo expreso de la persona concernida ;
- ya sea con la autorización de la Comisión Nacional de Informática y Libertades ;
- ya sea en las condiciones previstas en el inciso 8º del punto II y en el punto IV del
artículo 8, tratándose de datos mencionados en el punto I de ese mismo artículo.
Artículo 37
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
46
Las disposiciones de la presente ley no impedirán la aplicación, en beneficio de
terceros, de las disposiciones del título I de la ley n° 78-753 del 17 julio de 1978 relativa
a distintas medidas de mejora de las relaciones entre la administración y el público y
diversas disposiciones de orden administrativo, social y fiscal y de las disposiciones del
libro II del Código de Patrimonio.
En consecuencia, no podrá ser considerado como un tercero no autorizado en el sentido
del artículo 34 el titular de un derecho de acceso a los documentos administrativos o a
los archivos públicos ejercido de conformidad con la citada ley n° 78-753 del 17 de
julio de 1978 y con el libro II del mismo código.
Sección 2
Derechos de las personas con respecto a los procesamientos de datos de carácter
personal.
Artículo 38
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
Toda persona física tendrá derecho a oponerse, por motivos legítimos, a que datos de
carácter personal que le conciernen sean objeto de un procesamiento.
Tendrá derecho a oponerse, sin costo alguno, a que los datos que le conciernen sean
utilizados con fines de prospección, principalmente comercial, por el responsable actual
o posterior del procesamiento .
47
Las disposiciones del primer inciso no serán aplicables cuando el procesamiento
responda a una obligación legal o cuando la aplicación de estas disposiciones haya sido
descartada por una disposición expresa del acta que autoriza el procesamiento.
Artículo 39
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
I. - Toda persona física que acredite su identidad tendrá derecho a interrogar al
responsable de un procesamiento de datos de carácter personal con miras a obtener :
1º La confirmación de que estos datos de carácter personal que le conciernen serán o no
serán objeto de ese procesamiento ;
2º Informaciones relativas a las finalidades del procesamiento, a las categorías de datos
de carácter personal procesados y a los destinatarios o a las categorías de destinatarios a
los cuales los datos serán comunicados ;
3º Llegado el caso, informaciones relativas a las transferencias de datos de carácter
personal previstas con destino a un Estado no miembro de la Comunidad Europea.
4º La comunicación, bajo forma accesible, de los datos de carácter personal que le
conciernen, así como de toda información disponible en cuanto al origen de las
mismas ;
48
5º Las informaciones que permitan conocer e impugnar la lógica que sirve de base para
el procesamiento automatizado en caso de decisión tomada sobre el fundamento del
mismo y que produzcan efectos jurídicos con respecto al interesado. No obstante, las
informaciones comunicadas a la persona concernida no deberán atentar contra el
derecho de autor en el sentido de las disposiciones del libro I y del título IV del libro III
del Código de Propiedad Intelectual.
Ante el pedido del interesado, se le remitirá una copia de los datos de carácter personal.
El responsable del procesamiento podrá subordinar la entrega de esta copia al pago de
una suma que no podrá exceder el costo de la reproducción.
En caso de riesgo de ocultamiento o desaparición de datos de carácter personal, el juez
competente podrá ordenar, inclusive en proceso sumario, toda medida tendiente a evitar
este ocultamiento o desaparición.
II. - El responsable del procesamiento de datos podrá oponerse a los pedidos
manifiestamente abusivos, principalmente por su cantidad, su carácter repetitivo o
sistemático. En caso de impugnación, la carga de la prueba del carácter manifiestamente
abusivo de los pedidos incumbirá al responsable ante el cual fueren dirigidos.
Las disposiciones del presente artículo no se aplicarán cuando los datos de carácter
personal fueren conservados bajo una forma que excluye manifiestamente todo riesgo
de atentado contra la vida privada de las personas concernidas y durante un período que
no exceda el necesario para los únicos fines de producción de estadísticas o de
investigación científica o histórica. Salvo los casos mencionados en el segundo inciso
del artículo 36, las derogaciones previstas por el responsable del procesamiento de datos
49
serán mencionadas en el pedido de autorización o en la declaración dirigida a la
Comisión Nacional de Informática y Libertades.
Artículo 40
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de agosto de
2004).
Toda persona física que acredite su identidad podrá exigir del responsable de un
procesamiento que, llegado el caso, se rectifiquen, completen, actualicen, bloqueen o
supriman los datos de carácter personal que le conciernen que fueren inexactos,
incompletos, perimidos o cuya recolección, utilización, comunicación o conservación
estuviere prohibida.
Cuando el interesado lo solicite, el responsable del procesamiento de datos deberá
justificar, sin costo para el solicitante, que procedió a las operaciones exigidas en virtud
del inciso anterior.
En caso de impugnación, la carga de la prueba incumbirá al responsable ante el cual se
ejerza el derecho de acceso, salvo cuando se establezca que los datos impugnados
fueron comunicados por el interesado o con su consentimiento.
Cuando obtuviere una modificación del registro, el interesado podrá obtener el rembolso
de los gastos correspondiente al costo de la copia mencionada en el punto I del artículo
39.
50
Si un dato fuere transmitido a un tercero, el responsable del procesamiento de datos
deberá cumplir las diligencias necesarias con el fin de notificarle las operaciones que
hubiere efectuado de conformidad con el primer inciso.
Los herederos de una persona fallecida que acrediten su identidad podrán, cuando los
elementos que le fueren comunicados los hicieran presumir que los datos de carácter
personal que le conciernen y que fueron objeto de un procesamiento de datos no han
sido actualizados, exigir al responsable de dicho procesamiento que tome en
consideración el fallecimiento y proceda a las actualizaciones correspondientes.
Cuando los interesados lo soliciten, el responsable del procesamiento de datos deberá
justificar, sin costo para el solicitante, que procedió a las operaciones exigidas en virtud
del inciso anterior.
Capítulo V bis
Procesamientos automatizados de datos personales que tienen como fin
la investigación en el ámbito de la salud
Artículo 40-9
Derogado por la Ley nº 2004-801 del 7 de agosto de 2004 art. 9 III (BORF del 7 de
agosto de 2004).
Artículo 40-10
51
Derogado por la Ley nº 2004-801 del 7 de agosto de 2004 art. 9 III (BORF del 7 de
agosto de 2004).
Capítulo V
Obligaciones que incumben a los responsables de procesamientos de
datos y derechos de las personas
Sección 2
Derechos de las personas con respecto a los procesamientos de datos
de carácter personal
Artículo 41
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
En incumplimiento de los artículos 39 y 40, cuando un procesamiento de datos se
refiera a la seguridad del Estado, a la defensa o a la seguridad pública, el derecho de
acceso se ejercerá en las condiciones previstas en el presente artículo para el conjunto
de las informaciones que contiene.
La solicitud será dirigida a la Comisión, quien designará a uno de sus miembros que
pertenezcan o hayan pertenecido al Consejo de Estado, a la Corte de Casación o al
Tribunal de Cuentas para que lleve a cabo las investigaciones necesarias y haga
proceder a las modificaciones necesarias. Este miembro podrá hacerse asistir por un
agente de la comisión. Se notificará al solicitante que se procedió a las verificaciones.
52
Cuando la comisión constatare, en acuerdo con el responsable del procesamiento de
datos, que la comunicación de los datos que allí figuran no obstaculiza sus finalidades,
la seguridad del Estado, la defensa o la seguridad pública, estos datos podrán ser
comunicados al solicitante.
Cuando el procesamiento de datos pudiese comprender informaciones cuya
comunicación no obstaculice los fines que le son asignados, el acta reglamentario
relativo a la creación del archivo podrá prever que estas informaciones puedan ser
comunicadas al solicitante por el administrador del archivo directamente informado.
Artículo 42
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
Las disposiciones del artículo 41 serán aplicables a los procesamientos de datos
aplicados por las administraciones públicas y las personas privadas encargadas de una
misión de servicio público que tengan como misión prevenir, investigar o verificar
infracciones, o controlar o recaudar impuestos, cuando dicho derecho hubiere sido
previsto por la autorización mencionada en los artículos 25, 26 o 27.
Capítulo VI
Disposiciones penales
53
Artículo 43
Derogado por la Ley nº 2004-801 del 7 de agosto de 2004 art. 5 (BORF del 7 de agosto
de 2004).
Capítulo V
Obligaciones que incumben a los responsables de procesamientos de
datos y derechos de las personas
Sección 2
Derechos de las personas con respecto a los procesamientos de datos
de carácter personal
Artículo 43
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 5 (BORF del 7 de
agosto de 2004).
Cuando el ejercicio del derecho de acceso se aplicare a datos de salud de carácter
personal, éstos podrán ser comunicados a la persona concernida, según su elección,
directamente o por intermedio de un médico que designe a dicho efecto, en el
cumplimiento de las disposiciones del artículo L. 1111-7 del Código de Saludo Pública.
Antiguamente : Ley 78-17 1978-01-06 Art. 40.
Capítulo VI
Disposiciones penales
54
Artículo 44
Derogado por la ley n°92-1336 del 16 de diciembre de 1992 art. 261 (BORF del 23 de
diciembre de 1992 en vigencia al 1 de marzo de 1994).
Capítulo VI
El control de la aplicación de los procesamientos de datos
Artículo 44
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 6 (BORF del 7 de agosto de
2004).
I. - Los miembros de la Comisión Nacional de Informática y Libertades, así como los
agentes de sus servicios habilitados en las condiciones definidas en el último inciso del
artículo 19 tendrán acceso, desde las 6 hasta las 21, para el ejercicio de sus misiones, a
los lugares, locales, recintos, instalaciones o establecimientos que sirvan para la
aplicación de un procesamiento de datos de carácter personal y sean de uso profesional,
con exclusión las partes destinadas al domicilio particular.
El Fiscal de primera instancia territorialmente competente será previamente informado
de ello.
II. - En caso de oposición del responsable del lugar, la visita sólo podrá realizarse con la
autorización del presidente del tribunal de primera instancia en lo civil y comercial en
cuya jurisdicción estuvieren ubicados los locales a visitar o del juez delegado por él.
55
Este magistrado será informado ante el requerimiento del presidente de la comisión. Se
pronunciará mediante una resolución fundamentada, de conformidad con las
disposiciones previstas en los artículos 493 a 498 del nuevo código procesal civil. El
procedimiento tendrá lugar sin representación obligatoria.
La visita se desarrollará bajo la autoridad y el control del juez que la haya autorizado.
Este podrá presentarse en los locales durante la intervención. En todo momento, podrá
decidir el cese o la suspensión de la visita.
III. - Los miembros de la comisión y los agentes mencionados en el primer inciso del
punto I podrán solicitar comunicación de todos los documentos necesarios para el
cumplimiento de su misión, sea cual fuere su soporte, y quedarse con una copia ; podrán
recabar, en el lugar o ante convocatoria, las informaciones y pruebas necesarias ; podrán
acceder a los programas informáticos y a los datos, así como solicitar su transcripción
para todo procesamiento apropiado en documentos directamente utilizables para las
necesidades del control.
Podrán ser asistidos, a pedido del presidente de la comisión, por expertos designados
por la autoridad de la cual dependan.
Sólo un médico podrá requerir la comunicación de datos médicos individuales incluidos
en un procesamiento necesario a los fines de la medicina preventiva, de la investigación
médica, de los diagnósticos médicos, del suministro de cuidados o tratamientos, o para
la gestión de servicio de salud, y que sea aplicado por un profesional de la salud.
56
Se levantará contradictoriamente un acta de las verificaciones y visitas realizadas en
aplicación del presente artículo.
IV. - Para los procesamientos de datos referidos a la seguridad del Estado y que tuvieren
exentos de la publicación del acta reglamentaria que los autoriza en aplicación del punto
III del artículo 26, el decreto aprobado en Consejo de Estado que prevea esta dispensa
podrá prever asimismo que el procesamiento no esté sujeto a las disposiciones del
presente artículo.
Capítulo VII
Sanciones pronunciadas por la Comisión Nacional de Informática
y Libertades
Artículo 45
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 7 (BORF del 7 de
agosto de 2004).
I. - La Comisión Nacional de Informática y Libertades podrá sancionar a un responsable
de un procesamiento de datos que no respete las obligaciones que se desprenden de la
presente ley.
Podrá asimismo intimar a dicho responsable a que cese en el incumplimiento
comprobado en un plazo que ella fijará.
57
Si el responsable de un procesamiento de datos no cumpliera la orden de intimación, la
comisión podrá pronunciar en su contra, previo procedimiento contradictorio, las
siguientes sanciones :
1º Una sanción pecuniaria, en las condiciones previstas en el artículo 47, con excepción
de los casos en los que el procesamiento de datos fuere aplicado por el Estado ;
2º Una orden de cesar en el procesamiento de datos, en aplicación de las disposiciones
del artículo 22, o un retiro de la autorización otorgada en aplicación del artículo 25.
II. - En caso de urgencia, cuando la aplicación de un procesamiento de datos o la
explotación de datos procesados implicase una violación de los derechos mencionados
en el artículo 1, la comisión podrá, previo procedimiento contradictorio :
1º Decidir la interrupción de la aplicación del procesamiento de datos, por una duración
máxima de tres meses, cuando el procesamiento no estuviere contemplado en los puntos
I y II del artículo 26, o en el artículo 27 ;
2º Decidir el bloqueo de algunos de los datos de carácter personal procesados, por una
duración máxima de tres meses, cuando el procesamiento no estuviere contemplado en
los puntos I y II del artículo 26 ;
3º Informar al Primer Ministro para que tome, llegado el caso, las medidas necesarias
para cesar en la infracción constatada, cuando el procesamiento estuviere contemplado
en los puntos I y II del artículo 26 ; el Primer Ministro comunicará entonces a la
comisión el curso que se le dará a dicha información a más tardar quince días después
de su recepción.
58
III. - En caso de atentado grave e inmediato contra los derechos y libertades
mencionados en el artículo 1, el presidente de la comisión podrá solicitar, por vía
sumaria, a la jurisdicción competente que ordene, llegado el caso, bajo condena, toda
medida de seguridad necesaria para la salvaguardia de estos derechos y libertades.
Artículo 46
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 7 (BORF del 7 de
agosto de 2004).
Las sanciones previstas en el punto I y en el inciso 1º del artículo 45 serán pronunciadas
sobre la base de un informe establecido por uno de los miembros de la Comisión
Nacional de Informática y Libertades, designado por su presidente entre los miembros
que no pertenezcan a la formación restringida. Este informe será notificado al
responsable del procesamiento de datos, quien podrá presentar observaciones y hacerse
representar o asistir. El informante podrá presentar observaciones orales a la comisión
pero no participar en sus deliberaciones. La comisión podrá oír a toda persona cuya
audición le parezca susceptible de contribuir útilmente a su información.
La comisión podrá publicar las sanciones que pronuncie. Asimismo, podrá ordenar, en
caso de mala fe del responsable del procesamiento de datos, la inserción de las demás
sanciones que pronuncie en publicaciones, diarios y soportes que ella designe. Los
gastos estarán a cargo de las personas sancionadas.
59
Las decisiones tomadas por la comisión a título del artículo 45 deberán estar
fundamentadas y ser notificadas al responsable del procesamiento de datos. Las
decisiones que pronuncien una sanción podrán ser objeto de un recurso de plena
jurisdicción ante el Consejo de Estado.
Artículo 47
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 7 (BORF del 7 de
agosto de 2004).
El monto de la sanción pecuniaria prevista en el punto I del artículo 45 será
proporcional a la gravedad de las faltas cometidas y a los beneficios resultantes de dicho
incumplimiento.
En ocasión del primer incumplimiento, no podrá exceder los 150 000 Euros. En caso de
incumplimiento reiterado en los cinco años a partir de la fecha en la que la sanción
pecuniaria anteriormente pronunciada quedara firme, no podrá exceder los 300 000
euros o, tratándose de una empresa, el 5% del volumen de negocios libre de impuestos
del último ejercicio cerrado dentro del límite de los 300 000 euros.
Cuando la Comisión Nacional de Informática y Libertades pronuncie una sanción
pecuniaria que hubiere quedado firme antes de que el juez penal se haya expedido
definitivamente sobre los mismos hechos o hechos conexos, éste podrá ordenar que la
sanción pecuniaria se impute a la multa que pronuncie.
60
Las sanciones pecuniarias serán recaudadas como los créditos del Estado que no sean
fiscales ni hipotecarios.
Artículo 48
Modificado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 7 (BORF del 7 de
agosto de 2004).
La comisión podrá ejercer los poderes previstos en el artículo 44, así como en el punto I,
en el inciso 1 del punto II y en el punto III del artículo 45 con respecto a los
procesamientos de datos cuyas operaciones fueren aplicadas, en todo o en parte, en el
territorio nacional, inclusive cuando el responsable del procesamiento estuviere
radicado en el territorio de otro Estado miembro de la Comunidad Europea.
Artículo 49
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 7 (BORF del 7 de agosto de
2004).
La comisión podrá proceder, a pedido de una autoridad que ejerza funciones análogas a
las suyas en otro Estado miembro de la Comunidad Europea, a verificaciones en las
mismas condiciones, según los mismos procedimientos y bajo las mismas sanciones que
las previstas en el artículo 45, salvo cuando se tratase de un procesamiento de datos
mencionado en el punto I o en el punto II del artículo 26.
61
La comisión estará habilitada para comunicar las informaciones que recabe o posea,
previa solicitud, a las autoridades que ejerzan funciones análogas a las suyas en otros
Estados miembros de la Comunidad Europea.
Capítulo VIII
Disposiciones penales
Artículo 50
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 8 (BORF del 7 de agosto de
2004).
Las infracciones a las disposiciones de la presente ley estarán previstas y reprimidas por
los artículos 226-16 a 226-24 del Código Penal.
Artículo 51
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 8 (BORF del 7 de agosto de
2004).
Será reprimido con un año de prisión y 15 000 euros de multa el que obstaculizare la
acción de la Comisión Nacional de Informática y Libertades :
1º Ya sea oponiéndose al ejercicio de las misiones confiadas a sus miembros o agentes
habilitados en aplicación del último inciso del artículo 19 ;
62
2º Ya sea negándose a comunicar a sus miembros o a los agentes habilitados en
aplicación del último inciso del artículo 19 las informaciones y documentos útiles para
su misión, u ocultando dichos documentos o informaciones, o haciéndolos desaparecer;
3º Ya sea comunicando informaciones que no fueren conformes al contenido de los
registros tal como estaban en el momento en que se formuló la pregunta o que no
presentaren dicho contenido bajo una forma directamente accesible.
Artículo 52
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 8 (BORF del 7 de agosto de
2004).
El Fiscal de primera instancia notificará al presidente de la Comisión Nacional de
Informática y Libertades de todas las acciones legales contra las infracciones a las
disposiciones de la sección 5 del capítulo VI del título II del libro II del Código Penal y,
llegado el caso, del curso de las mismas. Informará sobre la fecha y el objeto de la
audiencia de sentencia mediante carta certificada dirigida al menos diez días antes de
esa fecha.
La jurisdicción de instrucción o de sentencia podrá llamar al presidente de la Comisión
Nacional de Informática y Libertades o a su representante a que presente observaciones
o que las desarrolle oralmente en la audiencia.
63
Capítulo IX
Procesamientos de datos de carácter personal que tienen como fin la
investigación en el ámbito de la salud
Artículo 53
Creado por la Ley nº 2004-901 del 6 de agosto de 2004 art. 8 (BORF del 7 de agosto de
2004).
Los procesamientos de datos de carácter personal que tengan como fin la investigación
en el ámbito de la salud estarán sujetos a las disposiciones de la presente ley, con
excepción de los artículos 23 a 26, 32 y 38.
Los procesamientos de datos que tengan como fin el seguimiento terapéutico individual
de los pacientes no estarán sujetos a las disposiciones del presente capítulo. Lo mismo
sucederá con los procesamientos de datos que permitan efectuar estudios a partir de los
datos recogidos de esta manera cuando estos estudios fueren realizados por el personal
que asegura dicho seguimiento y destinados a su uso exclusivo.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-1.
Artículo 54
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 9 (BORF del 7 de agosto de
2004).
64
Por cada solicitud de aplicación de un procesamiento de datos de carácter personal, un
comité consultivo sobre el procesamiento de la información en materia de investigación
en el ámbito de la salud, instituido ante el ministro de investigación y compuesto por
personas competentes en materia de investigación en el ámbito de la salud, de
epidemiología, de genética y de bioestática, emitirá un dictamen sobre la metodología
de la investigación respecto de las disposiciones de la presente ley, la necesidad de
recurrir a datos de carácter personal y la pertinencia de los mismos con respecto al
objetivo de la investigación, previa notificación a la Comisión Nacional de Informática
y Libertades.
El comité consultivo dispondrá de un mes para transmitir su dictamen al solicitante. En
su defecto, el dictamen será considerado favorable. En caso de urgencia, este plazo
podrá ser llevado a quince días.
El presidente del comité consultivo podrá aplicar un procedimiento simplificado.
La aplicación del procesamiento de datos estará luego sujeta a la autorización de la
Comisión Nacional de Informática y Libertades, que se pronunciará en las condiciones
previstas en el artículo 25.
Para las categorías más usuales de procesamientos automatizados con fines de
investigación en el ámbito de la salud y relativos a datos que no permiten una
identificación directa de las personas concernidas, la comisión podrá homologar y
publicar metodologías de referencia, establecidas en concertación con el comité
consultivo, así como con los organismos públicos y privados representativos, y
65
destinadas a simplificar el procedimiento previsto en los últimos cuatro incisos del
presente artículo.
Estas metodologías precisarán, en consideración de las características mencionadas en
el artículo 30, las normas a las cuales deberán corresponder los procesamientos de datos
que puedan ser objeto de un pedido de dictamen y de un pedido de autorización
simplificados.
Para los procesamientos de datos que respondan a estas normas, sólo se enviará a la
comisión un compromiso de conformidad con una de ellas. El presidente de la comisión
podrá autorizar estos procesamientos de datos tras un procedimiento simplificado de
examen.
Para las otras categorías de procesamientos de datos, el comité consultivo fijará,
conjuntamente con la Comisión Nacional de Informática y Libertades, las condiciones
en las que no se requerirá su dictamen.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-2.
Artículo 55
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 8 (BORF del 7 de agosto de
2004).
Sin perjuicio de las normas relativas al secreto profesional, los profesionales de la salud
podrán transmitir los datos de carácter personal que posean en el marco de un
procesamiento de datos autorizados en aplicación del artículo 53.
66
Cuando estos datos permitiesen la identificación de las personas, deberán ser
codificadas antes de su transmisión. No obstante, se podrá derogar dicha obligación
cuando el procesamiento de datos esté asociado a estudios de farmacovigilancia o a
protocolos de investigación realizados en el marco de estudios cooperativos nacionales
o internacionales. El pedido de autorización comprenderá la justificación científica y
técnica de la derogación y la indicación del período necesario para la investigación.
Luego de este período, los datos serán conservados y procesados en las condiciones
fijadas en el artículo 36.
La presentación de los resultados del procesamiento de datos no podrán permitir, en
ningún caso, la identificación directa o indirecta de las personas concernidas.
Los datos serán recibidos por el responsable de la investigación designado a dicho fin
por la persona física o jurídica autorizada a aplicar el procesamiento. Este responsable
velará por la seguridad de las informaciones y su procesamiento, así como por el respeto
de la finalidad del mismo.
Las personas llamadas a aplicar el procesamiento de datos, así como las que tengan
acceso a los datos a los cuales se refiere, estarán sujetas al secreto profesional bajo las
penas previstas en el artículo 226-13 del Código Penal.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-3.
Artículo 56
Creado por la Ley nº 2004-901 del 6 de agosto de 2004 art. 9 (BORF del 7 de agosto de
67
2004).
Toda persona tendrá derecho a oponerse a que datos de carácter personal que le
conciernen sean objeto del levantamiento del secreto profesional tornado necesario por
un procesamiento de la misma naturaleza que aquellos mencionados en el artículo 53.
En el caso en que la investigación requiera la extracción de muestras biológicas
identificatorias, se deberá obtener el consentimiento claro y expreso de las personas
concernidas previamente a la aplicación del procesamiento de datos.
Las informaciones concernientes a las personas fallecidas, incluyendo aquéllas que
figuran en los certificados de las causas de fallecimiento, podrán ser objeto de un
procesamiento de datos, salvo cuando el interesado haya expresado en vida su negativa
por escrito.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-4.
Artículo 57
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 9 (BORF del 7 de agosto de
2004).
Las personas ante las cuales se recojan datos de carácter personal o con respecto a las
cuales se transmitan estos datos serán individualmente informadas, antes del
procesamiento de dichos datos :
1º Sobre la naturaleza de las informaciones transmitidas ;
68
2º Sobre la finalidad del procesamiento de datos ;
3º Sobre las personas físicas o jurídicas destinatarias de los datos ;
4º Sobre el derecho de acceso y de rectificación instituido en los artículos 39 y 40 ;
5º Sobre el derecho de oposición instituido en los incisos 1 y 3 del artículo 56 o, en el
caso previsto en el segundo inciso de este artículo, de la obligación de recibir su
consentimiento.
No obstante, estas informaciones podrán no ser divulgadas si, por razones legítimas que
el médico haya evaluado en conciencia, el enfermo no fuere informado de un
diagnóstico o de un pronóstico grave.
En el caso en que los datos hayan sido inicialmente recogidos para otro objeto que su
procesamiento, se podrá derogar la obligación de información individual cuando ésta se
enfrente con la dificultad de encontrar a las personas concernidas. Las derogaciones a la
obligación de informar a las personas sobre la utilización de datos que le conciernen con
fines de investigación serán mencionadas en el expediente de pedido de autorización
transmitido a la Comisión Nacional de Informática y Libertades, que se expedirá sobre
este punto.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-5.
Artículo 58
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 8 (BORF del 7 de agosto de
69
2004).
Serán destinatarios de la información y ejercerán los derechos previstos en los artículos
56 y 57 los titulares de la patria potestad, para los menores, o el representante legal para
las personas que fueren objeto de una medida tutelar.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-6.
Artículo 59
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 9 (BORF del 7 de agosto de
2004).
Todo establecimiento o centro donde se ejerzan actividades de prevención, diagnóstico
y cuidados médicos y que den lugar a la transmisión de datos de carácter personal con
miras a un procesamiento de datos mencionado en el artículo 53, deberá asegurar toda
información relativa a las disposiciones del presente capítulo.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-7.
Artículo 60
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 9 (BORF del 7 de agosto de
2004).
La aplicación de un procesamiento de datos en incumplimiento de las condiciones
previstas en el presente capítulo implicará el retiro temporario o definitivo por la
70
Comisión Nacional de Informática y Libertades de la autorización concedida en
aplicación de las disposiciones del artículo 54.
Lo mismo sucederá en caso de negativa a someterse a las verificaciones previstas en el
subinciso f del inciso 2 del artículo 11.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-8.
Artículo 61
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 9 (BORF del 7 de agosto de
2004).
La transmisión hacia un Estado que no pertenece a la Comunidad Europea de datos de
carácter personal no codificados que fueren objeto de un procesamiento con fines de
investigación en el ámbito de la salud sólo estará autorizada, en las condiciones
previstas en el artículo 54, en el respeto de las normas enunciadas en el capítulo XII.
Capítulo X
Procesamientos de datos de salud de carácter personal con fines de
evaluación o de análisis de las prácticas o de las actividades de cuidado
y prevención.
Artículo 62
71
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 10 (BORF del 7 de agosto
de 2004).
Los procesamientos de datos de salud de carácter personal que tuvieren como fin la
evaluación de las prácticas de cuidado y prevención serán autorizados en las
condiciones previstas en el presente capítulo.
Las disposiciones del presente capítulo no serán aplicables a los procesamientos de
datos de carácter personal efectuados con fines de rembolso o de control por los
organismos encargados de la gestión de un régimen básico de seguro de enfermedad, ni
a los procesamientos de datos efectuados en el seno de los establecimientos de salud por
los médicos responsables de la información médica en las condiciones previstas en el
segundo inciso del artículo L. 6113-7 del Código de Salud Pública.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-11.
Artículo 63
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 10 (BORF del 7 de agosto
de 2004).
Los datos provenientes de los sistemas de información mencionados en el artículo L.
6113-7 del Código de Salud Pública, los provenientes de los legajos médicos poseídos
en el marco del ejercicio liberal de las profesiones de salud, así como los provenientes
de los sistemas de información de las cajas de seguro de enfermedad, sólo podrán ser
comunicados con fines estadísticos o de análisis de las prácticas y de las actividades de
72
cuidado y prevención bajo la forma de estadísticas agregadas o de datos por paciente
constituidos de tal manera que las personas concernidas no puedan ser identificadas.
Sólo podrán derogarse las disposiciones del inciso anterior con la autorización de la
Comisión Nacional de Informática y Libertades en las condiciones previstas en los
artículos 64 a 66. En ese caso, los datos utilizados no comprenderán el apellido ni el
nombre de las personas, como así tampoco su número de inscripción en Registro
Nacional de Identificación de las Personas Físicas.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-12.
Artículo 64
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 10 (BORF del 7 de agosto
de 2004).
Por cada solicitud, la comisión verificará las garantías presentadas por el solicitante para
la aplicación de las presentes disposiciones y, llegado el caso, la conformidad de su
solicitud con sus misiones o su objeto social. Se asegurará de la necesidad de recurrir a
datos de carácter personal y de la pertinencia del procesamiento respecto a su finalidad
declarada de evaluación o de análisis de las prácticas o de las actividades de cuidado y
prevención. Verificará que los datos de carácter personal cuyo procesamiento fuere
previsto no comprendan el apellido ni el nombre de las personas concernidas, como así
tampoco su número de inscripción en Registro Nacional de Identificación de las
Personas Físicas. Por otra parte, si el solicitante no brindase elementos suficientes para
justificar la necesidad de disponer de algunas informaciones entre el conjunto de los
73
datos de carácter personal cuyo procesamiento estuviere previsto, la comisión podrá
prohibir la comunicación de estas informaciones por el organismo que los posea y
autorizar sólo el procesamiento de los datos reducidos de esta manera.
La comisión determinará la duración de conservación de los datos necesarios para el
procesamiento y evaluará las disposiciones tomadas para garantizar su seguridad y la
garantía de los secretos protegidos por la ley.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-13.
Artículo 65
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 10 (BORF del 7 de agosto
de 2004).
La comisión dispondrá, a partir de su notificación por el solicitante, de un plazo de dos
meses, renovable una sola vez, para pronunciarse. A falta de decisión dentro de ese
plazo, este silencio valdrá como decisión de rechazo.
Los procesamientos de datos que respondan a una misma finalidad relativa a categorías
de datos idénticos y con destinatarios o categorías de destinatarios idénticos podrán ser
objeto de una decisión única de la comisión.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-14.
Artículo 66
74
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 10 (BORF del 7 de agosto
de 2004).
Los procesamientos de datos autorizados de conformidad con los artículos 64 y 65 no
podrán servir a los fines de investigación o de identificación de las personas. Las
personas llamadas a aplicar estos procesamientos de datos, así como las que tengan
acceso a los datos que son objeto de estos procesamientos o a los resultados de los
mismos cuando permitan indirectamente identificar a las personas concernidas, estarán
sujetas al secreto profesional bajo las penas previstas en el artículo 226-13 del Código
Penal.
Los resultados de estos procesamientos sólo podrán ser objeto de una comunicación, de
una publicación o de una difusión cuando la identificación de las personas sobre cuyo
estado se recogieron estos datos fuere imposible.
Antiguamente : Ley 78-17 1978-01-06 Art. 40-15.
Capítulo XI
Procesamientos de datos de carácter personal con fines periodísticos y
de expresión literaria y artística.
Artículo 67
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 11 (BORF del 7 de agosto
de 2004).
75
El inciso 5 del artículo 6, los artículos 8, 9, 22 los incisos 1 y 3 del punto I del artículo
25, los artículos 32, 39, 40 y 68 a 70 no serán aplicables a los procesamientos de datos
de carácter personal aplicados a los únicos fines :
1º De expresión literaria y artística ;
2º De ejercicio, a título profesional, de la actividad de periodista, en el respeto de las
normas deontológicas de esa profesión.
No obstante, para los procesamientos de datos mencionados en el inciso 2, la dispensa
de la obligación de declaración prevista en el artículo 22 estará subordinada a la
designación por el responsable del procesamiento de un representante para la protección
de los datos pertenecientes a un organismo de la prensa escrita u audiovisual, encargado
de llevar un registro de los procesamientos aplicados por dicho responsable y asegurar,
de manera independiente, la aplicación de las disposiciones de la presente ley. Esa
designación será comunicada a la Comisión Nacional de Informática y Libertades .
En caso de incumplimiento de las disposiciones de la ley aplicables a los
procesamientos de datos previstos en el presente artículo, el responsable del
procesamiento será intimado por la Comisión Nacional de Informática y Libertades a
atenerse a la ley. En caso de incumplimiento comprobado de sus deberes, el
representante será destituido de sus funciones ante petición, o previa consulta, de la
Comisión Nacional de Informática y Libertades.
Las disposiciones de los incisos anteriores no impedirán la aplicación de las
disposiciones del Código Civil, de las leyes relativas a la prensa escrita u audiovisual y
76
del Código Penal, que prevén las condiciones de ejercicio del derecho de réplica y
previenen, limitan, reparan y, llegado el caso, reprimen los atentados contra la vida
privada y la reputación de las personas.
Capítulo XII
Transferencias de datos de carácter personal hacia Estados que no
pertenecen a la Comunidad Europea.
Artículo 68
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 12 (BORF del 7 de agosto
de 2004).
El responsable de un procesamiento sólo podrá transferir datos de carácter personal
hacia un Estado que no pertenece a la Comunidad Europea cuando dicho Estado asegure
un nivel de protección suficiente de la vida privada y de las libertades y derechos
fundamentales de las personas con respecto al procesamiento del cual estos datos son
objeto o pueden ser objeto.
El carácter suficiente del nivel de protección asegurado por un Estado se evaluará en
función principalmente de las disposiciones en vigencia en ese Estado, de las medidas
de seguridad que allí se aplican, de las características propias del procesamiento de
datos, tales como sus fines y su duración, así como de la naturaleza, del origen y del
destino de los datos procesados.
77
Artículo 69
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 12 (BORF del 7 de agosto
de 2004).
No obstante, el responsable de un procesamiento podrá transferir datos de carácter
personal hacia un Estado que no responda a las condiciones previstas en el artículo 68
cuando la persona a la cual se refieren los datos hubiere consentido expresamente su
transferencia o cuando la transferencia fuere necesaria en una de las siguientes
condiciones :
1º Para la salvaguardia de la vida de esa persona ;
2º Para la salvaguardia del interés público ;
3º Para el respeto de obligaciones que permiten asegurar la comprobación, el ejercicio o
la defensa de un derecho en justicia ;
4º Para la consulta, en condiciones regulares, de un registro público que, en virtud de
disposiciones legislativas o reglamentarias, será destinado a la información del público
y abierto a la consulta de éste o de toda otra persona que acredite un interés legítimo ;
5º Para la ejecución del contrato entre el responsable del procesamiento y el interesado,
o de medidas precontractuales tomadas a pedio de éste ;
6º Para la celebración o la ejecución de un contrato concluido o por concluir, en el
interés de la persona concernida, entre el responsable del procesamiento de datos y un
tercero.
78
Asimismo, se podrá hacer excepción a la prohibición prevista en el artículo 68, por
decisión de la Comisión Nacional de Informática y Libertades o, cuando se tratase de un
procesamiento mencionado en el punto I o en el punto II del artículo 26, por decreto
aprobado en Consejo de Estado tomado previo dictamen fundamentado y publicado de
la comisión, cuando el procesamiento garantizare un nivel de protección suficiente de la
vida privada, así como de las libertades y derechos fundamentales de las personas,
principalmente en razón de las cláusulas contractuales o normas internas de las cuales
fueren objeto.
La Comisión Nacional de Informática y Libertades comunicará a la Comisión de
Comunidades Europeas y a las autoridades de control de los otros Estados miembros de
la Comunidad Europea las decisiones de autorización de transferencia de datos de
carácter personal que tome a título de inciso anterior.
Artículo 70
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 12 (BORF del 7 de agosto
de 2004).
Si la Comisión de Comunidades Europeas constata que un Estado no perteneciente a la
Comunidad Europea no asegura un nivel de protección suficiente con respecto a una
transferencia o una categoría de transferencias de datos de carácter personal, la
Comisión Nacional de Informática y Libertades, que tuviere ante sí una declaración
presentada en aplicación de los artículos 23 o 24 y de la cual surgiera que datos de
79
carácter personal serán transferidos al Estado, expedirá el comprobante con mención de
la prohibición de proceder a la transferencia de los datos.
Cuando la Comisión Nacional de Informática y Libertades estimase que un Estado no
perteneciente a la Comunidad Europea no asegura un nivel de protección suficiente con
respecto a una transferencia o a una categoría de transferencias de datos informará de
ello inmediatamente a la Comisión de Comunidades Europeas. Cuando la Comisión
Nacional de Informática y Libertades tuviere ante sí una declaración presentada en
aplicación de los artículos 23 o 24 y de la cual surgiera que datos de carácter personal
serán transferidos hacia ese Estado, expedirá el comprobante y podrá ordenar al
responsable del procesamiento que suspenda la transferencia de los datos. Si la
Comisión de Comunidades Europeas constata que el Estado hacia el cual se prevé la
transferencia asegura un nivel de protección suficiente, la Comisión Nacional de
Informática y Libertades notificará al responsable del procesamiento el cese de la
suspensión de la transferencia. Si la Comisión de Comunidades Europeas constata que
Estado hacia el cual se prevé la transferencia no asegura un nivel de protección
suficiente, la Comisión Nacional de Informática y Libertades notificará al responsable
del procesamiento la prohibición de proceder a la transferencia de datos de carácter
personal con destino a ese Estado.
Capítulo XIII
Disposiciones varias
80
Artículo 71
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 13 (BORF del 7 de agosto
de 2004).
Decretos aprobados en Consejo de Estado, tomados previo dictamen de la Comisión
Nacional de Informática y Libertades, fijarán las modalidades de aplicación de la
presente ley.
Artículo 72
Creado por la Ley nº 2004-801 del 6 de agosto de 2004 art. 13 (BORF del 7 de agosto
de 2004).
La presente ley será aplicable en la Polinesia Francesa, en las islas Wallis y Futuna, en
las Tierras Australes y Antárticas francesas, en Nueva Caledonia y en Mayotte.
En incumplimiento de las disposiciones del segundo inciso del artículo 54, el comité
consultivo dispondrá de un plazo de dos meses para transmitir su dictamen al solicitante
cuando éste resida en una de dichas colectividades. En caso de urgencia, este plazo
podrá ser llevado a un mes.
El Presidente de la República, VALERY GISCARD D'ESTAING.
81
Por el Primer Ministro: RAYMOND BARRE.
El Ministro de Justicia : ALAIN PEYREFITTE.
El Ministro de Interior : CHRISTIAN BONNET.
El Ministro de Defensa : YVON BOURGES.
El Ministro de Economía y Finanzas : ROBERT BOULIN.
El Ministro de Equipamiento y Acondicionamiento del Territorio :
FERNAND ICART.
El Ministro de Educación : RENE HABY.
El Ministro de Industria, Comercio y Artesanía :
RENE MONORY.
El Ministro de Trabajo : CHRISTIAN BEULLAC.
El Ministro de Salud y Seguridad Social : SIMONE VEIL.
Trabajos preparatorios. Asamblea Nacional:
Proyectos de ley (n° 2516 y n° 1004 et 3092) ;
82
Informe del Sr. Foyer, en nombre la comisión de leyes (nº 3125) ;
Tratamiento 4 y 5 de octubre de 1977 ;
Aprobación el 5 de octubre de 1977. Senado:
Proyecto de ley, aprobado por la Asamblea Nacional, n° 5 (1977-1978);
Informe del Sr. Jacques Thyraud, en nombre de la comisión de leyes, nº 72 (1977-
1978);
Tratamiento y aprobación el 17 de diciembre de 1977. Asamblea Nacional:
Proyecto de ley, modificado par el Senado (n° 3226) ;
Informe del Sr. Foyer, en nombre la comisión de leyes (nº 3352) ;
Tratamiento y aprobación el 16 de diciembre de 1977. Senado:
Proyecto de ley, modificado por la Asamblea Nacional, n° 195 (1977-1978);
Informe del Sr. Jacques Thyraud, en nombre de la comisión de leyes, nº 199 (1977-
1978);
Tratamiento y aprobación el 19 de diciembre de 1977. Asamblea Nacional:
Informe del Sr. Foyer, en nombre la comisión de leyes (nº 3432) ;
Tratamiento y aprobación el 21 de diciembre de 1977. Senado:
Informe del Sr. Foyer, en nombre la comisión mixta paritaria, nº 232 (1977-1978) ;
83
Tratamiento y rechazo el 21 de diciembre de 1977. Asamblea Nacional:
Proyecto de ley, modificado par el Senado (n° 3384) ;
Tratamiento y aprobación el 21 de diciembre de 1977. Senado:
Proyecto de ley, aprobado por la Asamblea Nacional, n° 240 (1977-1978);
Tratamiento y aprobación el 21 de diciembre de 1977.
top related