Esta ley crea la figura de una Comisaría de Protección de Datos, que será la encargada de imponer las multas, cuyo importe dependerá de la gravedad de la infracción. Las sanciones estarán clasificadas como leves (de 100.000 pesetas a 10 millones) graves (de 10,1 a 50 millones) y muy graves (de 50,1 a 100 millones).

Las infracciones muy graves serán, entre otras, la recogida de datos de forma "engañosa y fraudulenta", y "recabar y tratar de forma automatizada datos que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras, la salud y la vida sexual y las condenas criminales sin autorización expresa de la Ley o sin haber obtenido el previo consentimiento de la persona afectada".

La ley autoriza, no obstante la recogida y tratamiento de datos personales para fines policiales, sin consentimiento de las personas afectadas, cuando "resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de una falta o delito penal".

Estos datos figurarán en "ficheros específicos establecidos al efecto". Los responsables de esos ficheros podrán denegar el acceso, la rectificación o la cancelación de los datos "en función de los peligros que pudieran derivarse para la Seguridad el Estado o la Seguridad Pública, la protección de los derechos y las libertades de terceros o las necesidades de las investigaciones en concreto que se estén realizando".

Lo que podrán hacer las personas a las que se les niegue el acceso o la cancelación de las informaciones que consideren erróneas es apelar a la Comisaría de Protección de Datos, figura creada por la ley, "quien deberá asegurarse de la procedencia o improcedencia de la denegación".

La ley no especifica cómo será nombrado el respnsable de esta Comisaría, si bien al establecer que tendrá el carácter de un Organismo Autónomo de la Administración, parece indicar que correrá a cargo del Gobierno.

Por otra parte, la norma pretende impedir la existencia de ficheros secretos o confidenciales en el ámbito de la Administración, al establecer que su creación, modificación o supresión "sólo podrá hacerse por medio de disposición publicada en el Boletín Oficial del Estado o en el Diario Oficial de la Comunidad Autónoma correspondiente".FICHEROS PRIVADOS

Por lo que se refiere a los ficheros privados, la ley establece que los servicios de información sobre solvencia económica (como los existentes para uso de las entidades financieras) deberán notificar a los afectados, en el plazo de treinta días, que tienen derecho a solicitar los datos referidos a su persona.

Además, cuando los datos registrados no podrán hacer referencia a periodos anteriores a los últimos cinco años. En cuanto a las guías telefónicas y de telefax, los abonads que lo deseen podrán solicitar su exclusión.

Finalmente, la ley deja abierta la puerta, en su última disposición adicional, a una eventual aplicación de sus regulaciones a los ficheros empresariales.

A este respecto, señala que "el Gobierno, previo informe del Comisario de Protección de Datos, podrá asimismo extender la aplicación de la presente ley a los ficheros que contengan datos referentes a entidades, sociedades y otras personas jurídicas, en las condiciones que reglamentariamente se deteminen".