51999PC0337

Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos de la Comunidad y sobre la libre circulación de estos datos (presentada por la Comisión)

EXPOSICIÓN DE MOTIVOS

Las instituciones y organismos comunitarios, y la Comisión en especial, manejan datos personales en su trabajo diario. La Comisión intercambia datos personales con los Estados miembros al aplicar la política agrícola común y los fondos estructurales, al gestionar la unión aduanera y al realizar otras políticas comunitarias. Para blindar la protección de los datos, la Comisión, cuando propuso la Directiva 95/46/CE en 1990, declaró que observaría los principios que contenía.

Cuando se aprobó la Directiva, la Comisión y el Consejo se comprometieron a cumplirla en una declaración pública y rogaron a las demás instituciones y organismos comunitarios que actuaran de igual forma.

Cuando se celebró la Conferencia Intergubernamental para la revisión del Tratado, los Gobiernos neerlandés y griego suscitaron la cuestión de la aplicación de las normas de protección de datos en las instituciones comunitarias. Al final de las negociaciones, el Tratado firmado en Amsterdam inserta en el Tratado constitutivo de la Comunidad Europea una disposición específica sobre el tema. El nuevo artículo 286 establece lo siguiente:

1. A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo.

2. Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecerá, con arreglo al procedimiento previsto en el artículo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptará, en su caso, cualesquiera otras disposiciones pertinentes.

Así pues, el artículo 286 establece que, a partir del 1 de enero de 1999, las instituciones y organismos comunitarios deberán aplicar las normas comunitarias de protección de datos personales fijadas en general por la Directiva 95/46/CE, y que la aplicación de esas normas deberá ser controlada por un organismo de vigilancia independiente. La actual propuesta de reglamento se dirige a lograr este doble objetivo.

Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos de la Comunidad y sobre la libre circulación de estos datos

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea, y, en particular, su artículo 286,

Vista la propuesta de la Comisión [1],

[1] DO C ..., de ...

Visto el dictamen del Comité Económico y Social [2],

[2] DO C , de

De conformidad con el procedimiento previsto en el artículo 251 del Tratado [3],

[3] DO C , de

Considerando lo siguiente:

(1) El artículo 286 del Tratado, requiere que se apliquen a las instituciones y organismos de la Comunidad los actos relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de estos datos.

(2) Un sistema completo de protección de datos personales no requiere únicamente establecer los derechos de las personas cuyos datos se tratan y las obligaciones de quienes tratan dichos datos personales, sino también sanciones apropiadas para los infractores y el control de un organismo de vigilancia independiente.

(3) El apartado 2 del artículo 286 del Tratado requiere que se establezca un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad.

(4) El apartado 2 del artículo 286 del Tratado requiere la adopción de cualesquiera otras disposiciones pertinentes.

(5) Es necesaria una norma que proporcione a las personas unos derechos exigibles legalmente, que especifique las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Comunidad y por la que se cree un organismo de vigilancia independiente responsable del control externo del tratamiento por parte de la Comunidad.

(6) Los principios de la protección de datos deben aplicarse a toda información relativa a una persona identificada o identificable; para determinar si una persona es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otra persona para identificar a dicha persona; los principios de la protección no deben aplicarse a los datos convertidos en anónimos de forma que la persona a quien se refieren ya no resulte identificable.

(7) La Directiva 95/46/CE de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [4], exige a los Estados miembros que garanticen la protección de las libertades y los derechos fundamentales de las personas físicas, en particular del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, con el fin de garantizar la libre circulación de datos personales en la Comunidad.

[4] DO L 281, de 23.11.1995, p. 31.

(8) La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones [5], precisa y completa la Directiva 95/46/CE en lo que respecta al tratamiento de los datos de carácter personal en el sector de las telecomunicaciones.

[5] DO L 24, de 30.1.1998, p. 1.

(9) La existencia de varias otras medidas comunitarias, adoptadas en particular en materia de asistencia mutua entre las administraciones nacionales y la Comisión, que tienen por objeto precisar y completar la Directiva 95/46/CE en el sector considerado.

(10) Debe garantizarse una aplicación coherente y homogénea de las normas de protección de las libertades y los derechos fundamentales de las personas en lo que respecta al tratamiento de los datos de carácter personal en toda la Comunidad.

(11) Se trata de garantizar tanto el respeto efectivo de las normas de protección de las libertades y los derechos fundamentales de las personas como la libre circulación de los datos de carácter personal, en particular entre los Estados miembros y las instituciones y los organismos de la Comunidad o entre las instituciones y los organismos de la Comunidad para el ejercicio de sus competencias respectivas.

(12) El mejor modo de cumplir este objetivo consiste en la adopción de disposiciones vinculantes para las instituciones y los organismos de la Comunidad; que tales disposiciones deberían aplicarse a todo tratamiento de datos de carácter personal efectuado por las instituciones y los organismos de la Comunidad en el marco de las competencias que les confieren los Tratados constitutivos de las Comunidades Europeas y el Tratado de la Unión Europea.

(13) Estas disposiciones deben ser idénticas a las previstas para la armonización de las legislaciones nacionales o la aplicación de otras políticas comunitarias, sobre todo en materia de asistencia mutua; que, no obstante, puede ser necesario incluir precisiones y aclaraciones para la puesta en práctica de la protección por lo que respecta al tratamiento de datos de carácter personal efectuado por las instituciones y los organismos de la Comunidad.

(14) Esta observación es aplicable tanto a los derechos de las personas cuyos datos se tratan como a las obligaciones de las instituciones y organismos de la Comunidad responsables del tratamiento, y a los poderes de que debe disponer el organismo de vigilancia independiente encargado de velar por la aplicación correcta del presente Reglamento.

(15) El tratamiento de datos personales para la realización de las tareas de interés público a cargo de las instituciones y organismos comunitarios incluye el tratamiento de datos personales necesarios para la gestión y funcionamiento de dichas instituciones y organismos.

(16) Puede ser necesario supervisar las redes informáticas que funcionan bajo el control de las instituciones y organismos comunitarios para prevenir su uso no autorizado; el Supervisor Europeo de Protección de Datos debe determinar si esto es posible y en qué condiciones.

(17) De conformidad con su artículo 21, el Reglamento (CE) nº 322/97 del Consejo, de 17 de febrero de 1997, sobre estadísticas [6] de la Comunidad es de aplicación sin perjuicio de lo dispuesto en la Directiva 95/46/CE.

[6] DO L 52, de 22.2.1997, p. 2.

(18) En aras de la transparencia es necesario hacer pública información adicional sobre la aplicación del presente Reglamento, con inclusión de una lista de las instituciones y los organismos de la Comunidad a él sometidos.

(19) El grupo de protección de las personas en lo que respecta al tratamiento de datos personales, instituido en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido su dictamen.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objeto del Reglamento

1. De conformidad con el presente Reglamento, las instituciones y los organismos creados en virtud de los Tratados constitutivos de las Comunidades Europeas, en lo sucesivo denominados «instituciones u organismos de la Comunidad», protegerán los derechos fundamentales y las libertades de las personas físicas, y en particular su derecho a la intimidad en lo que respecta al tratamiento de los datos personales.

2. El organismo supervisor independiente establecido por el presente Reglamento, en lo sucesivo denominado Supervisor Europeo de Protección de Datos, supervisará la aplicación de las disposiciones del presente Reglamento a todas las operaciones de tratamiento realizadas por las instituciones y organismos comunitarios.

Artículo 2

Definiciones

A efectos del presente Reglamento, se entenderá por:

a) «datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) «tratamiento de datos personales» («tratamiento»): cualquier operación o conjunto de operaciones aplicadas a datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, así como su bloqueo, supresión o destrucción;

c) «fichero de datos personales» («fichero»): todo conjunto estructurado de datos personales accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido según un criterio funcional o geográfico;

d) «responsable del tratamiento»: la institución, organismo, dirección general, unidad u otra entidad organizativa de la Comunidad que por sí solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; cuando los fines y los medios del tratamiento estén determinados por un acto comunitario, el responsable del tratamiento o los criterios específicos para su nombramiento podrán determinarse en tal acto comunitario;

e) «encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento;

f) «tercero»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

g) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero; no obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;

h) «consentimiento del interesado»: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

Artículo 3

Ámbito de aplicación

1. Las disposiciones del presente Reglamento se aplicarán al tratamiento de datos personales por parte de todas las instituciones y organismos de la Comunidad.

2. Las disposiciones del presente Reglamento se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

CAPÍTULO II

CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES

SECCIÓN 1

PRINCIPIOS RELATIVOS A LA CALIDAD DE LOS DATOS

Artículo 4

1. Los datos personales deberán ser:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando el responsable del tratamiento establezca las garantías oportunas, en particular para garantizar que los datos se traten sólo con estos fines;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación de los datos inexactos o incompletos en relación con los fines para los que fueron recogidos o para los que fueron tratados posteriormente;

e) conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. La institución o el organismo de la Comunidad establecerá las garantías apropiadas para los datos personales archivados por un periodo más largo del mencionado con fines históricos, estadísticos o científicos, en particular con respecto a la anonimización.

2. Incumbirá al responsable del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.

SECCIÓN 2

PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL TRATAMIENTO DE DATOS

Artículo 5

Legitimación del tratamiento de datos

El tratamiento de datos personales sólo podrá efectuarse si:

a) es necesario para el cumplimiento de una misión de interés público en virtud de una disposición legal o inherente al ejercicio del poder público conferido a la institución o al organismo de la Comunidad o a un tercero a quien se comuniquen los datos, o

b) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

c) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

d) el interesado ha dado su consentimiento de forma inequívoca, o

e) es necesario para proteger el interés vital del interesado.

Artículo 6

Tratamiento ulterior con fines compatibles

1. Los datos personales sólo podrán tratarse con fines distintos de los que motivaron su recogida cuando este cambio esté permitido expresamente por el reglamento interno de la institución o del organismo comunitarios.

2. Los datos personales recogidos para otros fines podrán ser tratados para garantizar el cumplimiento de las normas financieras y presupuestarias.

3. Los datos personales recogidos exclusivamente para garantizar la seguridad o el control de los sistemas o las operaciones de tratamiento no se utilizarán con ningún otro fin, salvo los contemplados en la letra a) del apartado 1 del artículo 18.

Artículo 7

Transmisión de datos personales en o entre las instituciones

o los organismos de la Comunidad

1. Los datos personales sólo se transmitirán a otras instituciones y organismos de la Comunidad o en su interior si son necesarios para el ejercicio legítimo de las tareas que entran en el ámbito de competencia del destinatario.

2. La responsabilidad de la legitimidad de la transmisión incumbirá al responsable del tratamiento y al destinatario.

El responsable del tratamiento sólo verificará la competencia del destinatario y el fundamento de la solicitud. No obstante, en caso de abrigar dudas sobre el fundamento el responsable del tratamiento comprobará asimismo la necesidad de la transmisión.

El destinatario asegurará la posibilidad de verificar subsiguientemente la necesidad de la transmisión.

Artículo 8

Transmisión a personas y a organismos, distintos de las institucionesy los organismos de la Comunidad, con sede en los Estados miembros

1. Los datos personales sólo se transmitirán a personas y organismos con sede en los Estados miembros cuando el destinatario haya demostrado la necesidad de disponer de los datos y no existan motivos para suponer que ello pudiera perjudicar los intereses legítimos del interesado.

2. El destinatario tratará los datos personales únicamente para los fines que motivaron su transmisión.

Artículo 9

Transmisión de datos personales a personas y a organismos,distintos de las instituciones y los organismos de la Comunidad,y no sujetos a la Directiva 95/46/CE

1. Los datos personales sólo se transmitirán a personas y organismos distintos de las instituciones y los organismos de la Comunidad y no sujetos a la ley nacional de protección de datos en virtud de la Directiva 95/46/CE cuando se garantice un nivel de protección suficiente en el país del destinatario o en la organización internacional destinataria, los datos se transfieran estrictamente dentro del ámbito de actividad para el que tiene competencia el responsable del tratamiento, y se cumplan los requisitos mencionados en la letra b) del apartado 1 del artículo 4 del presente Reglamento.

2. La suficiencia del nivel de protección ofrecido por el país o el organismo internacional de que se trate se determinará a la luz de todas las circunstancias que rodean la operación de transmisión de datos o el conjunto de operaciones de transmisión de datos; se tendrá particularmente en cuenta la naturaleza de los datos, la finalidad y la duración de la operación o de las operaciones de tratamiento propuestas, el país u organismo internacional de destino final, los preceptos legales generales y sectoriales vigentes en el país u organismo internacional de que se trate, así como las normas profesionales y las medidas de seguridad observadas en ese país u organización internacional.

3. Las instituciones y los organismos de la Comunidad informarán a la Comisión y al Supervisor Europeo de Protección de Datos de los casos en los que a su entender el país o la organización internacional de que se trate no garanticen un nivel de protección suficiente a los efectos del apartado 2.

4. Cuando la Comisión, asistida por el comité establecido por el apartado 1 del artículo 31 de la Directiva 95/46/CE, determinarse que un país o una organización internacional garantiza o no garantiza un nivel de protección suficiente a efectos del apartado 2 de dicho artículo, las instituciones y los organismos de la Comunidad adoptarán las medidas oportunas para dar cumplimiento a la decisión de la Comisión.

Dicha decisión se adoptará de conformidad con el procedimiento de gestión dispuesto en el artículo 4 de la Decisión 1999/468/CE [7], sin perjuicio del artículo 8 de la misma. El plazo previsto en el apartado 3 del artículo 4 de la Decisión 1999/468/CE será de tres meses.

[7] DO L 184, de 17.7.1999, p. 23.

5. No obstante lo dispuesto en el apartado 1, la institución o el organismo de la Comunidad podrá efectuar una transmisión de datos personales si:

a) el interesado ha dado su consentimiento de forma inequívoca a la transmisión propuesta; o

b) la transmisión es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la aplicación de medidas precontractuales a petición del interesado; o

c) la transmisión es necesaria para la conclusión o ejecución de un contrato concluido en interés del interesado entre el responsable del tratamiento y un tercero; o

d) la transmisión es necesaria o requerida legalmente por razones importantes de interés público para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial; o

e) la transmisión es necesaria para proteger los intereses vitales del interesado; o

f) la transmisión se realiza desde un registro que, con arreglo al Derecho comunitario, tenga por objeto proporcionar información al público y que esté disponible para consulta del público en general o por de cualquier persona que pueda demostrar un interés legítimo, en la medida en que en ese caso particular se cumplan las condiciones de consulta fijadas en la legislación comunitaria.

6. Las instituciones y los organismos de la Comunidad informarán al Supervisor Europeo de Protección de Datos de los casos (o categorías de casos) en que hayan aplicado el apartado 5.

SECCIÓN 3

TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS

Artículo 10

1. Se prohibirá el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.

2. Lo dispuesto en el apartado 1 no se aplicará si:

a) el interesado ha dado su consentimiento explícito a dicho tratamiento, salvo cuando las normas internas de la institución o del organismo de la Comunidad dispongan que la prohibición contemplada en el apartado 1 no puede ser levantada por el consentimiento del interesado; o

b) el tratamiento es necesario para cumplir las obligaciones y derechos específicos del responsable del tratamiento en materia de empleo, en la medida en que esté autorizado por la legislación comunitaria o por normas de aplicación de la legislación comunitaria, o aprobadas por el Supervisor Europeo de Protección de Datos, sobre la aportación de garantías suficientes; o

c) el tratamiento es necesario para salvaguardar el interés vital del interesado o de otra persona, cuando el interesado está física o jurídicamente incapacitado para dar su consentimiento; o

d) el tratamiento se refiere a datos que el interesado ha hecho manifiestamente públicos o es necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

e) el tratamiento lo lleva a cabo, en el curso de sus actividades legítimas con garantías apropiadas, un organismo sin ánimo de lucro que constituya una entidad integrada en una institución u organismo comunitario, no sujeto a la legislación nacional sobre protección de datos con arreglo al artículo 4 de la Directiva 95/46/EC, con fines políticos, filosóficos, religiosos o sindicales, a condición de que el tratamiento se refiera únicamente a los miembros de dicho organismo o a las personas que mantengan contactos regulares con él en relación con sus objetivos, y que los datos no se divulguen a un tercero sin el consentimiento del interesado.

3. El apartado 1 no se aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la evaluación de la aptitud médica para la contratación, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación de secreto equivalente.

4. A condición de instaurar las garantías adecuadas, y por motivos de interés público importantes, podrán establecerse excepciones adicionales a las previstas en el apartado 2 por decisión del Supervisor Europeo de Protección de Datos.

5. El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad sólo podrá efectuarse si así lo autorizan bien la legislación comunitaria u otros instrumentos jurídicos adoptados en virtud del Tratado de la UE que dispongan el establecimiento de garantías específicas, bien el Supervisor Europeo de Protección de Datos.

6. El Supervisor Europeo de Protección de Datos determinará las condiciones en las que podrá ser objeto de tratamiento un número personal o cualquier otro medio de identificación de aplicación general en una institución comunitaria o en un organismo comunitario.

SECCIÓN 4

INFORMACIÓN AL INTERESADO

Artículo 11

Información cuando los datos han sido recabados del propio interesado

1. El responsable del tratamiento comunicará al interesado cuyos datos se recaben por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento;

b) los fines del tratamiento de que van a ser objeto los datos;

c) los destinatarios o las categorías de destinatarios de los datos;

d) el carácter obligatorio o voluntario de la respuesta y las posibles consecuencias de la falta de respuesta;

e) la existencia del derecho de acceso y de rectificación de los datos que le conciernen;

f) cualquier información adicional como

- el fundamento jurídico del tratamiento de que van a ser objeto los datos,

- los plazos de conservación de los datos,

- el derecho a recurrir al Supervisor Europeo de Protección de Datos en cualquier momento,

en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

2. No obstante lo dispuesto en el apartado 1, la provisión de información o de una parte de ella puede aplazarse el tiempo que sea necesario para alcanzar el objetivo legítimo de una encuesta estadística, habida cuenta de su objeto o su naturaleza. La información debe proporcionarse tan pronto como exista la razón para que deje de impedirse la información, salvo que ello sea manifiestamente irrazonable o impracticable. En tal caso, la información se proporcionará tan pronto como dichas circunstancias hayan desaparecido en una fase posterior.

Artículo 12

Información cuando los datos no han sido recabados del propio interesado

1. Cuando los datos no hayan sido recabados del propio interesado, el responsable del tratamiento deberá, en el momento del registro de los datos personales o, en caso de que se prevea su comunicación a un tercero, a más tardar en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello con anterioridad:

a) la identidad del responsable del tratamiento;

b) los fines del tratamiento de que van a ser objeto los datos;

c) las categorías de datos de que se trate;

d) los destinatarios o las categorías de destinatarios;

e) la existencia del derecho de acceso y de rectificación de los datos que le conciernen;

f) cualquier información adicional como:

- el fundamento jurídico del tratamiento de que van a ser objeto los datos,

- los plazos de conservación de los datos,

- el derecho a recurrir al Supervisor Europeo de Protección de Datos en cualquier momento,

- el origen de los datos, salvo cuando el responsable del tratamiento no pueda revelar esta información por motivos de secreto profesional,

en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

2. Las disposiciones del apartado 1 no se aplicarán cuando, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, la información al interesado resulte imposible o exija esfuerzos desproporcionados o cuando el registro o la comunicación a un tercero estén expresamente previstos en la legislación comunitaria. En tales casos, la institución o el organismo de la Comunidad establecerá las garantías apropiadas.

SECCIÓN 5

DERECHO DE ACCESO DEL INTERESADO A LOS DATOS

Artículo 13

Derecho de acceso

Todo interesado tendrá derecho a obtener del responsable del tratamiento en cualquier momento, sin retrasos excesivos y con carácter gratuito:

a) confirmación de la existencia o no de tratamiento de datos que le conciernen;

b) información de los fines de dicho tratamiento, de las categorías de datos afectados y de los destinatarios o categorías de destinatarios a quienes se comuniquen los datos;

c) comunicación en forma inteligible de los datos objeto de tratamiento, así como cualquier información disponible sobre el origen de los datos;

d) conocimiento de la lógica utilizada en el tratamiento de los procesos decisorios automatizados referidos al interesado.

Artículo 14

Rectificación

A petición del interesado, el responsable del tratamiento rectificará de inmediato los datos personales inexactos o incompletos.

Artículo 15

Bloqueo

1. Los datos personales se bloquearán cuando:

a) el interesado impugne su exactitud y no resulte posible determinar su exactitud o inexactitud;

b) el responsable de los datos ya no los necesite para la realización de sus tareas pero los haya conservado a efectos probatorios;

c) el tratamiento haya sido ilegal y el interesado se oponga a su supresión, exigiendo en su lugar el bloqueo de los datos.

2. En los ficheros automatizados el bloqueo se efectuará, en principio, por medios técnicos. El hecho de que los datos personales están bloqueados deberá indicarse en el sistema de tal modo que quede clara la imposibilidad de utilizar los datos personales.

3. Con excepción del almacenamiento, los datos personales bloqueados sólo serán objeto de tratamiento en caso de ser necesarios a efectos probatorios, previo consentimiento del interesado, o por motivos fundados en los intereses jurídicos de un tercero.

Artículo 16

Supresión

1. Los datos personales se suprimirán cuando su tratamiento haya sido ilegal, particularmente en caso de infracción de lo dispuesto en las secciones 1, 2, y 3 del capítulo II.

2. Los datos personales se suprimirán cuando el responsable del tratamiento ya no los necesite para la realización de sus tareas y no existan motivos para suponer que tal supresión pudiera perjudicar al interesado.

Artículo 17

Notificación a terceros

El responsable del tratamiento notificará a los terceros a quienes se hayan comunicado los datos toda rectificación, supresión o bloqueo efectuado, a no ser que resulte imposible o suponga un esfuerzo desproporcionado.

SECCIÓN 6

EXCEPCIONES Y LIMITACIONES

Artículo 18

1. Las instituciones y los organismos de la Comunidad podrán limitar la aplicación del apartado 1 del artículo 4, del artículo 11, del apartado 1 del artículo 12, del artículo 13, del artículo 33 y del apartado 1 del artículo 34 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la prevención, investigación, detección y represión de infracciones penales;

b) un interés económico o financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

c) la protección del interesado o de los derechos y libertades de otras personas;

d) una función de seguimiento, inspección o regulación relacionada, incluso ocasionalmente, con el ejercicio de los poderes públicos en los casos contemplados en las letras a) y b).

2. Los artículos 13 a 16 no serán de aplicación cuando los datos se vayan a tratar exclusivamente con fines de investigación científica o se guarden en forma de archivos de carácter personal durante un periodo que no supere el tiempo necesario para la exclusiva finalidad de elaboración de estadísticas, siempre que manifiestamente no exista ningún riesgo de atentado contra la intimidad del interesado y que el responsable del tratamiento instaure las garantías jurídicas apropiadas para excluir, en particular, que los datos puedan ser utilizados para adoptar medidas o decisiones en relación con personas concretas.

3. En caso de que se aplique una limitación según lo dispuesto en el apartado 1, se informará al interesado de las razones principales de la aplicación de la limitación, así como de su derecho a recurrir ante el Supervisor Europeo de Protección de Datos.

4. En cuanto dejen de existir las razones para aplicar la limitación contemplada en el apartado 1, volverán a aplicarse plenamente las disposiciones del apartado 1.

SECCIÓN 7

OPOSICIÓN Y DENUNCIA

Artículo 19

Derecho de oposición del interesado

El interesado tendrá derecho a oponerse en cualquier momento, y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo en los casos contemplados en las letras b), c) y d) del artículo 5. En caso de oposición justificada, el tratamiento en cuestión, no podrá referirse ya a esos datos.

Artículo 20

Derecho del interesado a presentar denuncias

El interesado tendrá el derecho a presentar denuncias ante el Supervisor Europeo de Protección de Datos en cualquier momento.

Artículo 21

Decisiones individuales automatizadas

Ninguna persona se verá sometida a una decisión con efectos jurídicos sobre ella o que le afecte de manera significativa y que esté basada únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad como su rendimiento laboral, fiabilidad o conducta, salvo cuando tal decisión esté expresamente autorizada por una disposición legal que también establezca medidas para garantizar el interés legítimo del interesado.

SECCIÓN 8

CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO

Artículo 22

Confidencialidad del tratamiento

Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, y que tengan acceso a datos personales, no deberán tratarlos salvo cuando se lo encomiende el responsable del tratamiento, a no ser que estén obligadas a hacerlo con arreglo a la legislación nacional.

Artículo 23

Seguridad del tratamiento

1. Habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, el responsable del tratamiento pondrá en práctica las medidas de carácter técnico y organizativo necesarias para garantizar un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

2. Cuando los datos personales se traten manualmente, se adoptarán las medidas apropiadas para evitar, en particular, el acceso, la difusión, alteración o destrucción no autorizadas o cualquier pérdida accidental.

3. Cuando los datos personales se traten de forma automatizada, se adoptarán medidas, en particular, para:

a) evitar que las personas no autorizadas puedan acceder a los sistemas informáticos que traten datos personales;

b) evitar que las personas no autorizadas puedan leer, reproducir, alterar o retirar los soportes de memoria;

c) evitar que las personas no autorizadas puedan introducir información en memoria o difundir, alterar o suprimir datos personales almacenados;

d) evitar que las personas no autorizadas puedan utilizar los sistemas de tratamiento de datos mediante instalaciones de transmisión de datos;

e) garantizar que los usuarios autorizados de un sistema de tratamiento de datos puedan acceder únicamente a aquellos datos personales a que se refiera su derecho de acceso;

f) registrar qué datos personales se comunicaron en qué momento y a quién;

g) garantizar que posteriormente sea posible comprobar y verificar cuándo y por quién fueron tratados los datos personales;

h) garantizar que los datos personales tratados por cuenta de terceros puedan tratarse únicamente en la forma prescrita por la institución o el organismo contratante;

i) garantizar que durante la comunicación de datos personales y durante el transporte de los soportes de memoria, los datos no puedan ser leídos, copiados o suprimidos sin autorización;

j) diseñar la estructura organizativa dentro de una institución o de un organismo de tal modo que satisfaga las necesidades especiales de la protección de datos.

Artículo 24

Tratamiento de datos personales por cuenta de los responsables del tratamiento

1. Cuando el tratamiento se efectúe por cuenta del responsable del tratamiento, éste elegirá un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización contempladas en el artículo 23, y se asegurará del cumplimiento de dichas medidas.

2. La realización de tratamientos por encargo estará regulada por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento y que disponga, en particular, que:

a) el encargado del tratamiento sólo deberá actuar siguiendo instrucciones del responsable del tratamiento;

b) las obligaciones del artículo 23 incumben también al encargado del tratamiento.

3. A efectos probatorios, las partes del contrato o del acto jurídico relativas a la protección de datos y los requisitos relativos a las medidas mencionadas en el artículo 23 constarán por escrito o en otra forma equivalente.

SECCIÓN 9

RESPONSABLE DE LA PROTECCIÓN DE DATOS

Artículo 25

Nombramiento y funciones del responsable de la protección de datos

1. Cada institución y cada organismo de la Comunidad nombrará al menos a una persona de rango apropiado para que actúe como responsable de la protección de datos encargado de:

a) garantizar que los responsables del tratamiento y los interesados sean informados de sus derechos y obligaciones;

b) cooperar con el Supervisor Europeo de Protección de Datos a petición de éste o por iniciativa propia;

c) garantizar de forma independiente la aplicación interna de las disposiciones del presente Reglamento y de todas las demás disposiciones adoptadas para darles cumplimiento;

d) mantener el registro de aquellas operaciones de tratamiento realizadas por el responsable del tratamiento que contengan los elementos de información referidos en el apartado 2 del artículo 26;

e) notificar al Supervisor Europeo para la Protección de Datos las operaciones de tratamiento que pudieran presentar riesgos específicos con arreglo al artículo 28,

para así garantizar que resulte improbable cualquier efecto adverso de las operaciones de tratamiento sobre los derechos y las libertades de los interesados.

2. Se dotará al responsable de la protección de datos del personal y los recursos necesarios para el desempeño de sus obligaciones.

3. Cada institución u organismo comunitario adoptará normas complementarias respecto al responsable de la protección de datos, a partir de las directrices fijadas en el anexo I. Tales normas se referirán, en concreto, a las cualificaciones, el nombramiento y destitución, la independencia y las tareas, obligaciones y poderes del responsable de la protección de datos.

Artículo 26

Notificación ante el responsable de la protección de datos

1. El responsable del tratamiento notificará previamente al responsable de la protección de datos toda operación de tratamiento o serie de tales operaciones previstas para un objetivo único o para varios objetivos relacionados entre sí.

2. La notificación facilitada comprenderá, como mínimo, la información señalada en el anexo II.

Todo cambio que afecte a esta información se notificará de inmediato al responsable de la protección de datos.

Artículo 27

Registro

Cada responsable de la protección de datos llevará un registro de las operaciones de tratamiento a que se refiere el artículo 26.

Los registros contendrán como mínimo la información mencionada en el apartado 2 del artículo 26.

Los registros podrán ser consultados por cualquier persona.

SECCIÓN 10

CONTROLES PREVIOS POR EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

Artículo 28

1. El Supervisor Europeo de Protección de Datos determinará los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance u objetivos, tales como la exclusión de la persona de un derecho, prestación o contrato, o en razón del uso específico de las nuevas tecnologías.

Estos tratamientos son, en particular, los siguientes:

- determinados tratamientos referidos a categorías particulares de datos contemplados en el artículo 10;

- los tratamientos destinados a evaluar la personalidad de las personas afectadas como, por ejemplo, su competencia, rendimiento o conducta.

Estos tratamientos estarán sujetos a controles previos.

2. Los controles previos serán realizados por el Supervisor Europeo de Protección de Datos tras recibir una notificación del responsable de la protección de datos quien, en caso de duda, consultará al Supervisor Europeo de Protección de Datos.

3. El Supervisor Europeo de Protección de Datos emitirá su dictamen en el plazo de dos meses a partir de la recepción de la notificación. Si transcurridos estos dos meses no se ha emitido dictamen, deberá entenderse que es favorable.

4. El Supervisor Europeo de Protección de Datos llevará un registro de los tratamientos que se le hayan notificado en virtud del apartado 2. En el registro se hará constar la información a que se refiere el apartado 2 del artículo 26. El registro podrá ser consultado por cualquier persona.

5. Sólo se establecerán medios de comunicación automatizada entre las instituciones o los organismos de la Comunidad como el acceso en línea a las bases de datos o la interconexión previo examen por parte del Supervisor Europeo de Protección de Datos.

En su examen, el Supervisor Europeo de Protección de Datos determinará si una comunicación automatizada es compatible con los intereses legítimos de los interesados y necesaria en el marco de las tareas de las instituciones u organismos comunitarios implicados.

CAPÍTULO III

RECURSOS Y SANCIONES

Artículo 29

Recursos

1. Sin perjuicio de los recursos judiciales existentes, todo interesado podrá presentar una denuncia ante el Supervisor Europeo de Protección de Datos si considera que se han violado sus derechos como consecuencia del tratamiento de sus datos personales por parte de una institución o de un organismo de la Comunidad.

2. El Tribunal de Justicia y el Tribunal de Primera Instancia de las Comunidades Europeas tendrán jurisdicción en todos los litigios que se relacionen con las disposiciones del presente Reglamento, incluidas las demandas por perjuicios.

Artículo 30

Sanciones

El incumplimiento de las obligaciones en virtud del presente Reglamento, ya sea intencionado o por negligencia, expondrá al funcionario u otro agente de las Comunidades Europeas a un expediente disciplinario de conformidad con las normas y los procedimientos fijados en el Estatuto de los funcionarios de las Comunidades Europeas o en las condiciones de contratación que le sean aplicables.

CAPÍTULO IV

PROTECCIÓN DE LOS DATOS PERSONALES Y DE LA INTIMIDAD EN EL CONTEXTO DE LAS REDES INTERNAS DE TELECOMUNICACIÓN

Artículo 31

Alcance

Además de las otras disposiciones de este Reglamento, el presente capítulo es aplicable al tratamiento de datos personales en relación con la utilización de las redes de telecomunicaciones y los terminales explotados bajo el control de una institución o de un organismo de la Comunidad.

A los efectos del presente capítulo, se entenderá por «usuario» toda persona física que utilice una red de telecomunicación explotada bajo el control de una institución o de un organismo de la Comunidad.

Artículo 32

Seguridad

1. Las instituciones y los organismos de la Comunidad adoptarán las oportunas medidas técnicas y organizativas para garantizar el uso seguro de las redes de telecomunicación y los terminales, de ser necesario en conjunción con los proveedores de servicios públicos de telecomunicaciones o con los proveedores de redes de telecomunicaciones. Teniendo en cuenta el estado de los conocimientos técnicos y el coste de su puesta en práctica, estas medidas garantizarán un nivel de seguridad adecuado al riesgo presentado.

2. En caso de un riesgo particular de violación de la seguridad de la red y los terminales, la institución o el organismo de la Comunidad informará a los usuarios sobre la existencia de tal riesgo y sobre las posibles soluciones o medios de comunicación alternativos.

Artículo 33

Confidencialidad de las comunicaciones

1. Las instituciones y los organismos de la Comunidad garantizarán la confidencialidad de las comunicaciones efectuadas a través de las redes de telecomunicación y los terminales.

Quedarán prohibidos la escucha, grabación, almacenamiento y las demás formas de intercepción o control de las comunicaciones por parte de personas distintas de los usuarios y sin el consentimiento de los usuarios afectados.

2. Lo dispuesto en el apartado 1 no se aplicará a las grabaciones de comunicaciones autorizadas por las normas internas de las instituciones u organismos comunitarios, con el fin de dar testimonio de actos legales o de procedimiento pertinentes para las tareas oficiales de las instituciones u organismos comunitarios afectados, y que cuenten con el acuerdo del Supervisor Europeo de Protección de Datos.

Artículo 34

Datos sobre tráfico y facturación

1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 4, los datos sobre tráfico relacionados con los usuarios tratados y almacenados para establecer comunicaciones deberán destruirse o hacerse anónimos en cuanto termine la comunicación.

2. A los efectos del presupuesto de telecomunicaciones y de la gestión del tráfico, incluida la comprobación del uso autorizado del sistema de telecomunicaciones, podrán tratarse los datos de tráfico indicados en una relación aprobada por el Supervisor Europeo de Protección de Datos.

3. El tratamiento de los datos de tráfico y facturación deberá limitarse a las personas que se ocupen de la gestión de la facturación, del tráfico o del presupuesto.

4. Los usuarios de las redes de telecomunicaciones tendrán derecho a recibir facturas no desglosadas.

Artículo 35

Guías de usuarios

1. Los datos personales contenidos en las guías de usuarios en forma impresa o electrónica quedarán limitados a lo necesario para los fines específicos de la guía.

2. Las instituciones u organismos de la Comunidad adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizadas para fines de venta directa.

Artículo 36

Presentación y limitación de la identificación de la línea llamante y conectada

1. Cuando se ofrezca la posibilidad de presentar la identificación de la línea llamante, el usuario que origine la llamada deberá poder suprimir en cada llamada, mediante un procedimiento sencillo y gratuito, la identificación de la línea llamante.

2. Cuando se ofrezca la posibilidad de presentar la identificación de la línea llamante, el usuario que reciba la llamada deberá tener la posibilidad, mediante un procedimiento sencillo y gratuito, de impedir la presentación de la identificación de la línea llamante en las llamadas entrantes.

3. Cuando se ofrezca la posibilidad de presentar la identificación de la línea conectada, el usuario que reciba la llamada deberá tener la posibilidad, mediante un procedimiento sencillo y gratuito, de suprimir la presentación de la identificación de la línea conectada a la parte llamante.

4. Cuando se ofrezca la posibilidad de presentar la identificación de la línea llamante o de la línea conectada, las instituciones y los organismos de la Comunidad informarán a los usuarios sobre dicha posibilidad y sobre las que se establecen en los apartados 1, 2 y 3.

Artículo 37

Excepciones

Las instituciones y los organismos de la Comunidad velarán por que existan procedimientos transparentes que determinen la forma en que pueden anular la supresión de la presentación de la identificación de la línea llamante:

a) por un periodo de tiempo limitado, a instancia del abonado que solicite la identificación de llamadas maliciosas o molestas;

b) por línea, para las entidades organizativas que atiendan las llamadas de urgencia, para que puedan responder a tales llamadas.

CAPÍTULO V

AUTORIDAD DE CONTROL: SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

Artículo 38

Autoridad de control: Supervisor Europeo de Protección de Datos

1. Se instituye una autoridad de control denominada «Supervisor Europeo de Protección de Datos».

2. Le incumbirá supervisar la aplicación de las disposiciones del presente Reglamento y de cualquier otro acto comunitario relacionado con la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo comunitario.

Artículo 39

Nombramiento

1. A propuesta de la Comisión, el Parlamento Europeo, el Consejo y la Comisión, nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cuatro años.

2. El Supervisor Europeo de Protección de Datos será elegido de entre personas que en sus respectivos países pertenezcan o hayan pertenecido a las autoridades independientes encargadas de supervisar el tratamiento de datos personales o que estén especialmente cualificadas para esta función.

3. El mandato del Supervisor Europeo de Protección de Datos será renovable.

4. El Supervisor Europeo de Protección de Datos permanecerá en funciones hasta su sustitución.

5. Aparte de la sustitución normal o por motivo de fallecimiento, el mandato del Supervisor Europeo de Protección de Datos llegará a su fin en caso de dimisión o de destitución de conformidad con el apartado 6.

6. El Supervisor Europeo de Protección de Datos podrá ser destituido por el Tribunal de Justicia a petición del Parlamento Europeo, el Consejo o la Comisión si dejare de cumplir las condiciones necesarias para el ejercicio de sus funciones o hubiere cometido una falta grave.

7. Con arreglo a lo previsto en el presente capítulo, las disposiciones del Protocolo sobre los Privilegios y las Inmunidades de las Comunidades Europeas aplicables a los jueces del Tribunal de Justicia serán aplicables asimismo al Supervisor Europeo de Protección de Datos.

Artículo 40

Condiciones de empleo

1. El Parlamento Europeo, el Consejo y la Comisión, fijarán de común acuerdo las condiciones de empleo del Supervisor Europeo de Protección de Datos y, en particular su salario, asignaciones y demás ventajas de carácter retributivo.

2. El Parlamento garantizará que el Supervisor Europeo de Protección de Datos disponga del personal y del equipamiento que éste necesite para el ejercicio de sus funciones.

3. El personal y equipamiento puesto a su disposición se consignará en un capítulo propio del presupuesto del Parlamento.

4. Los miembros del personal serán nombrados por el Supervisor Europeo de Protección de Datos. Su superior jerárquico será el Supervisor Europeo de Protección de Datos y estarán sometidos exclusivamente a su dirección.

5. Los funcionarios y otros miembros del personal estarán sujetos a los reglamentos y a las reglamentaciones aplicables a los funcionarios y otros agentes de las Comunidades Europeas.

6. En asuntos relacionados con su personal, el Supervisor Europeo de Protección de Datos tendrá la misma consideración que las instituciones a efectos de lo dispuesto en el artículo 1 del Estatuto de los funcionarios de las Comunidades Europeas.

Artículo 41

Independencia

1. El Supervisor Europeo de Protección de Datos actuará con total independencia en el ejercicio de sus funciones.

2. En el ejercicio de sus funciones el Supervisor Europeo de Protección de Datos no recabará ni aceptará instrucciones de nadie.

3. El Supervisor Europeo de Protección de Datos se abstendrá de cualquier acción incompatible con sus funciones y de desempeñar, durante su mandato, ninguna otra actividad profesional, sea o no retribuida.

4. Tras la finalización de su mandato el Supervisor Europeo de Protección de Datos actuará con integridad y discreción en lo que respecta a la aceptación de nombramientos y privilegios.

Artículo 42

Secreto profesional

El Supervisor Europeo de Protección de Datos y su personal estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre informaciones confidenciales a las que hayan tenido acceso durante el ejercicio de sus funciones.

Artículo 43

Funciones

El Supervisor Europeo de Protección de Datos deberá:

a) recibir e investigar las denuncias;

b) supervisar todas las operaciones de tratamiento que impliquen datos personales realizadas por cualquier institución u organismo de la Comunidad, con excepción del Tribunal de Justicia y del Tribunal de Primera Instancia cuando actúen en su función judicial;

c) asesorar a todas las instituciones y organismos de la Comunidad sobre todos los asuntos relacionados con la utilización de datos personales, especialmente antes de la elaboración de normas internas sobre la protección de los derechos y libertades individuales en relación con el tratamiento de datos personales;

d) estar al corriente de la evolución de las tecnologías de la información y comunicación en la medida en que afecten a la protección de datos personales;

e) colaborar con las autoridades de control nacionales en la medida necesaria para el ejercicio de sus funciones, en particular intercambiando información útil o instando a un Estado miembro a ejercer sus poderes;

f) participar en las actividades del «Grupo de trabajo sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales» creado en virtud del artículo 29 de la Directiva 95/46/CE;

g) mantener un registro de los tratamientos que se le notifiquen;

h) efectuar una comprobación previa de los tratamientos que se le notifiquen.

Artículo 44

Consulta

1. Las instituciones y los organismos de la Comunidad informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas relacionadas con el tratamiento de datos personales con intervención de una institución o un organismo de la Comunidad aisladamente o junto con otros.

2. El Supervisor Europeo de Protección de Datos será informado por la Comisión de todas las propuestas de legislación comunitaria que entrañen un tratamiento de datos personales.

3. El Supervisor Europeo de Protección de Datos podrá ser consultado por cualquier institución u organismo de la Comunidad sobre todas las operaciones relacionadas con el tratamiento de datos personales.

Artículo 45

Recurso

1. Toda persona empleada por las instituciones u organismos de la Comunidad podrá recurrir al Supervisor Europeo de Protección de Datos para un asunto que afecte a sus tareas, sin necesidad de pasar por las vías oficiales.

2. Nadie habrá de sufrir perjuicio en razón de un recurso o de una denuncia ante el Supervisor Europeo de Protección de Datos que plantee la infracción de las disposiciones sobre el tratamiento de datos personales.

Artículo 46

Poderes

1. El Supervisor Europeo de Protección de Datos deberá, en particular:

a) efectuar investigaciones por iniciativa propia o en respuesta a denuncias o recursos;

b) recibir sin demora toda la información relativa a sus investigaciones;

c) tener acceso en todo momento a todos los locales oficiales.

Todos los responsables del tratamiento apoyarán al Supervisor Europeo de Protección de Datos en el ejercicio de sus funciones.

2. El Supervisor Europeo de Protección de Datos tendrá poderes para:

a) ordenar la rectificación y bloquear la supresión o destrucción de todos los datos tratados en infracción de las disposiciones que rigen el tratamiento de datos personales;

b) imponer una prohibición provisional o definitiva de tratamiento;

c) dirigir una advertencia o amonestación al responsable del tratamiento;

d) someter la cuestión a la institución u organismo comunitarios afectado y, en su caso, al Parlamento Europeo, el Consejo y la Comisión;

e) intervenir en las acciones sometidas al Tribunal de Justicia y el Tribunal de Primera Instancia;

f) asesorar a los interesados y, si se le solicita, asistirlos en calidad de experto en procedimientos ante el Tribunal de Primera Instancia.

3. Cuando el Supervisor Europeo de Protección de Datos constate la infracción de las disposiciones que rigen el tratamiento de datos personales o cualquier otra irregularidad en el tratamiento, remitirá el asunto a la institución o al organismo comunitario afectado y, en su caso, le presentará propuestas para reparar dichas irregularidades y mejorar la protección de los interesados.

4. La institución o el organismo afectado informará al Supervisor Europeo de Protección de Datos de sus puntos de vista en el plazo fijado por éste. La respuesta comprenderá asimismo una descripción de las medidas adoptadas a raíz de las observaciones del Supervisor Europeo de Protección de Datos.

5. En caso de denuncia o recurso, el Supervisor Europeo de Protección de Datos comunicará a las personas afectadas el resultado de sus investigaciones.

6. Cuando el interesado tenga denegado el acceso, el Supervisor Europeo de Protección de Datos sólo le comunicará si los datos se procesaron correctamente y, de no ser así, si se efectuaron las correcciones necesarias.

En caso de que el Supervisor Europeo de Protección de Datos considerase que la comunicación de esta información desvirtuaría la aplicación de la limitación del derecho de información previsto en la letra a) del artículo 13, se abstendrá de informar al interesado del resultado de su solicitud.

7. Las decisiones del Supervisor Europeo de Protección de Datos podrán recurrirse ante el Tribunal de Justicia o el Tribunal de Primera Instancia.

Artículo 47

Informe de actividad

1. El Supervisor Europeo de Protección de Datos presentará anualmente al Parlamento Europeo un informe sobre sus actividades, que paralelamente hará público.

2. El informe se transmitirá a las demás instituciones y organismos de la Unión Europea y será objeto de debate en el Parlamento Europeo junto con sus respuestas.

CAPÍTULO VI

DISPOSICIONES FINALES

Artículo 48

Período transitorio

Las instituciones u organismos de la Comunidad velarán por que los tratamientos en curso en la fecha de entrada en vigor del presente Reglamento se conformen a éste en el plazo de un año.

Artículo 49

Entrada en vigor

El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de las Comunidades Europeas.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el

Por el Parlamento Europeo Por el Consejo

El Presidente El Presidente

Anexo I

1. El responsable de la protección de datos será seleccionado en razón de su autoridad, su experiencia en la protección de datos y su fiabilidad personal.

2. El nombramiento del responsable de la protección de datos no deberá generar ningún conflicto de intereses con otras obligaciones profesionales, en particular en relación con la aplicación de las disposiciones del presente Reglamento.

3. El responsable de la protección de datos será nombrado por un mandato de dos años como mínimo. Su mandato podrá ser renovado. El responsable de la protección de datos sólo podrá ser destituido, previo consentimiento del Supervisor Europeo de Protección de Datos, en caso de dejar de cumplir las condiciones requeridas para el ejercicio de sus funciones.

4. El responsable de la protección de datos no aceptará instrucciones de nadie respecto del ejercicio de sus funciones.

5. Tras haber nombrado al responsable de la protección de datos, la institución, el organismo (o persona) de la Comunidad que le nombró procederá a registrarlo ante el Supervisor Europeo de Protección de Datos.

6. El responsable de la protección de datos podrá formular recomendaciones para la mejora práctica de la protección de datos y asesorar a la institución o al organismo de la Comunidad que le nombró y al responsable del tratamiento sobre asuntos relativos a la puesta en práctica de las disposiciones sobre protección de datos. Por otra parte, por iniciativa propia o a petición de la institución o del organismo de la Comunidad que le nombró, del responsable del tratamiento, del Comité de Personal afectado o del interesado, investigará los asuntos y los incidentes directamente relacionados con sus tareas y que lleguen a su conocimiento.

7. El responsable de la protección de datos podrá ser consultado por la institución o el organismo de la Comunidad que le nombró, por el responsable del tratamiento, por el Comité de Personal afectado o por cualquier persona, sin pasar por la vía oficial, sobre cualquier asunto relacionado con la interpretación o la aplicación del Reglamento.

8. Nadie deberá sufrir perjuicio alguno por informar al responsable de la protección de datos de un asunto que suponga una infracción de lo dispuesto en el presente Reglamento.

9. Los responsables del tratamiento afectados colaborarán con el responsable de la protección de datos en el ejercicio de sus obligaciones y le proporcionarán información en respuesta a sus preguntas. En el ejercicio de sus obligaciones el responsable de la protección de datos tendrá acceso en todo momento a los datos objeto de las operaciones de tratamiento y a todos los despachos, instalaciones de tratamiento de datos y soportes de datos, para recabar la información que necesite.

10. En la medida necesaria, se dispensará al responsable de la protección de datos de otras actividades. El responsable de la protección de datos y sus colaboradores, que estarán sujetos a lo dispuesto en el artículo 287 del Tratado, se abstendrán de divulgar la información o los documentos que lleguen a su poder en el ejercicio de sus funciones.

Anexo II

1. El nombre y la dirección del responsable del tratamiento.

2. Los nombres de las personas o indicación de las partes organizativas de una institución u organismo encargadas del tratamiento de datos personales para un fin particular.

3. El o los objetivos del tratamiento.

4. Una descripción de la categoría o categorías de interesados y de los datos o categorías de datos a que se refiere el tratamiento.

5. El fundamento jurídico del tratamiento al que van destinados los datos.

6. Los destinatarios o categorías de destinatarios a los que se pueden comunicar los datos.

7. Los plazos establecidos para el bloqueo y la supresión de las diferentes categorías de datos.

8. Las transmisiones de datos previstas a terceros países.

9. Una descripción general que permita evaluar de modo preliminar si las medidas adoptadas en aplicación del artículo 23 resultan adecuadas para garantizar la seguridad del tratamiento.

COMENTARIO DE LOS ARTÍCULOS

En virtud del nuevo artículo 286 del Tratado CE, las instituciones y los organismos de la Comunidad tendrán obligación de aplicar los actos comunitarios sobre la protección de las personas con respecto al tratamiento de datos personales y sobre la libre circulación de estos datos. Esta obligación limita substancialmente la libertad de elección de la Comisión en cuanto al contenido y alcance de las normas sustantivas de protección de datos fijadas en el presente Reglamento. En otras palabras, el artículo 286 del Tratado CE obliga a la Comisión a respetar los límites fijados por la Directiva 95/46/CE. Esta es la principal razón por la cual el presente Reglamento sigue el tenor y el sistema de la Directiva 95/46/CE. La otra razón es la necesidad de dar la misma interpretación a la Directiva y al Reglamento.

No obstante, el texto del Reglamento no es completamente idéntico al de la Directiva. La Directiva establece un marco que requiere una puesta en práctica ulterior, ya sea mediante legislación nacional, para los Estados miembros o, en el presente Reglamento, para las instituciones y los organismos de la Comunidad. Las normas impuestas en el presente Reglamento son más precisas y detalladas que las de la Directiva. Para algunos aspectos la Directiva ofrece la posibilidad de elegir entre diferentes alternativas. Ésta es otra de las razones de las diferencias de redacción entre el Reglamento y la Directiva. Además, el Reglamento establece la autoridad de control independiente contemplada en el artículo 286 del Tratado CE, que requiere unas disposiciones más detalladas que las de la Directiva, aplicable a través de la legislación nacional de los Estados miembros.

Los comentarios que figuran a continuación se centran en las disposiciones del Reglamento que no coinciden con sus contrapartidas en la Directiva.

Capítulo I: Disposiciones generales

Artículo 1: Objeto del Reglamento

El artículo 1 se refiere al objeto del Reglamento. La protección garantizada se extiende no sólo al tratamiento de datos relativos a los agentes de las instituciones o a toda persona que trabaja por cuenta de éstas, sino también al tratamiento de datos que se refieren a toda persona física externa a las instituciones como, por ejemplo, proveedores o beneficiarios de fondos comunitarios. En particular se protege en virtud del presente Reglamento la información de carácter personal transmitida por los Estados miembros a la Comisión para la gestión o el control del pago de subvenciones comunitarias.

Es necesario destacar que el objeto del presente Reglamento se distingue del de la Directiva.

Ésta, basada en el artículo 95 (antiguo articulo 100 A) del Tratado CE, tiene por objeto reconciliar los imperativos de la realización del mercado interior con los de la protección de las personas. Esta conciliación se expresa en los dos apartados del artículo 1: el primero impone a los Estados miembros la obligación de garantizar la protección de los derechos y libertades de las personas de acuerdo con la Directiva, el segundo saca las consecuencias por lo que respecta a la libre circulación de los datos personales en el mercado interior. Con otras palabras, el primer apartado se refiere al medio utilizado: la armonización de las legislaciones nacionales, mientras que el segundo se refiere al objetivo perseguido: la libre circulación de los datos personales.

No procede reproducir esta lógica en el artículo 1 del presente Reglamento.

Éste tiene por objeto ejecutar la obligación de las instituciones y organismos de la Comunidad de proteger las libertades y los derechos fundamentales de las personas físicas, y en particular el derecho a la intimidad, en lo que respecta al tratamiento de sus datos personales.

Así pues, el presente Reglamento asegurará que los datos de carácter personal transmitidos a las instituciones y los organismos de la Comunidad para la realización de sus tareas se traten en condiciones que garanticen el respeto de los derechos y libertades fundamentales de los interesados, condiciones asimismo armonizadas con las previstas en la Directiva.

Sin embargo, no parece necesario repetir en el presente Reglamento una disposición, similar a la que figura en el apartado 2 del artículo 1 de la Directiva, sobre la circulación de información, en particular de los datos personales, entre los Estados miembros y las instituciones y organismos de la Comunidad, o incluso entre las instituciones y organismos, que ya está regulada por las disposiciones pertinentes de los Tratados (como el artículo 284, antes 213, del Tratado CE) o del Derecho comunitario derivado.

Por otra parte, el presente Reglamento evidentemente no va en detrimento de los derechos que pueden estar garantizados por otras disposiciones comunitarias o nacionales. Es particularmente el caso de las normas asentadas en el Estatuto del personal de las Comunidades Europeas.

Artículo 2: Definiciones

Este artículo recoge las definiciones del artículo 2 de la Directiva.

La definición relativa «al responsable del tratamiento», sin embargo, se adaptó al contexto comunitario específico. Se trata de precisiones puramente factuales para indicar que, según la situación, el responsable puede ser una institución o un organismo, un servicio administrativo, o una Dirección General, por ejemplo. No obstante, en la Directiva se recogen los criterios para determinar quién debe ser considerado como responsable de un tratamiento de datos en la práctica. Se trata de la entidad que decide la finalidad del tratamiento y los medios que deben emplearse para efectuar ese tratamiento.

Artículo 3: Ámbito de aplicación

Apartado 1: Instituciones y organismos a que es aplicable el Reglamento

Se pretende que el Reglamento sea aplicable a los tratamientos de datos personales efectuados por todas las instituciones y organismos de la Comunidad. Entran, por tanto, en su ámbito de aplicación los tratamientos efectuados por:

- las instituciones enumeradas en el artículo 7 del Tratado de Unión Europea: el Parlamento Europeo, el Consejo, la Comisión, el Tribunal de Justicia y el Tribunal de Cuentas;

- los organismos creados por los Tratados constitutivos de la Comunidad Europea, la CECA y la CEEA: el Banco Central Europeo, el Banco Europeo de Inversiones, el Defensor del Pueblo, el Comité Económico y Social, el Comité de las Regiones;

- los organismos creados en virtud de actos comunitarios derivados, adoptados sobre la base del artículo 308 del Tratado CE, por ejemplo el Centro Europeo para el Desarrollo de la Formación Profesional, la Fundación Europea para la Mejora de las Condiciones de Vida y de Trabajo, la Agencia Europea del Medio Ambiente, la Fundación Europea de Formación, el Observatorio Europeo de la Droga y las Toxicomanías, la Agencia Europea para la Evaluación de Medicamentos, la Oficina de Armonización del Mercado Interior (marcas y diseños), la Agencia Europea de Salud y Seguridad en el Trabajo, la Oficina Comunitaria de Variedades Vegetales, y el Centro de Traducción de los Órganos de la Unión.

El Reglamento es aplicable a todos los tratamientos realizados para el ejercicio de todas las actividades que incumben a las instituciones y organismos de la Comunidad. No se establece ninguna distinción entre estas actividades: puede tratarse de actividades realizadas en virtud de los Tratados CE, CECA, CEEA, o incluso, cuando proceda, de actividades realizadas en virtud del título VI del Tratado de la Unión Europea.

El presente Reglamento no engloba, en cambio, los tratamientos de datos personales efectuados por los organismos creados en el marco del título VI del Tratado de UE, como es el caso de Europol.

Apartado 2: Tratamientos sujetos al Reglamento

Este apartado reproduce el apartado 1 del artículo 3 de la Directiva: se aplica a los tratamientos total o parcialmente automatizados y al tratamiento no automatizado de datos contenidos o destinados a figurar en un fichero.

Capítulo II: Condiciones generales para la licitud del tratamiento de datos personales

Sección I : Principios relativos a la calidad de los datos

Artículo 4

Este artículo recoge las disposiciones del artículo 6 de la Directiva.

Recoge, en particular en las letras b) y c), las exenciones que permiten la utilización posterior de los datos con fines históricos, estadísticos o científicos, pero que deben ir acompañadas de las oportunas garantías.

El texto indica que incumbe a la institución o al organismo que persigue la finalidad histórica, estadística o científica en cuestión proporcionar las garantías oportunas.

El tratamiento posterior para fines distintos de aquellos para los que se recogieron los datos deberá ser expresamente autorizado por disposiciones jurídicas, como el artículo 16 del Reglamento (CE) nº 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadística comunitaria, que regula el acceso a los datos administrativos para reducir la carga de las unidades informantes.

Sección II: Principios relativos a la legitimación del tratamiento de datos

Artículo 5

Este artículo comprende, tal como ocurre con el artículo 7 de la Directiva, la lista exhaustiva de las condiciones de legitimación del tratamiento.

Sin embargo, se introducen tres modificaciones:

- presentación diferente de la lista;

- lista más limitada;

- el texto de una de las condiciones es más preciso.

Presentación modificada de la lista: estas condiciones se han clasificado según el orden de importancia práctica que cabe esperar razonablemente de entidades públicas como son las instituciones y los organismos de la Comunidad. En particular, parece lógico mencionar como primera condición de legitimación la ejecución de la misión encomendada a estas instituciones y organismos. Del mismo modo, el consentimiento de las personas interesadas o el interés vital de éstas, aunque sea necesario para ejercer algunas actividades de las instituciones y organismos, por ejemplo la gestión de sus servicios médicos, en la práctica no debería ser el apartado más corriente de utilización de las condiciones de legitimación del tratamiento.

Limitación de la lista: en el presente Reglamento no se recoge la letra f) del artículo 7 de la Directiva. Esta letra, que fundamenta la legitimación del tratamiento en el interés legítimo del responsable o de un tercero siempre y cuando no prevalezca el interés de la persona cuyos datos se tratan, no tiene aplicación en el ámbito de las actividades del sector público. Su amplio ámbito de aplicación sólo debería, al contrario, cubrir las actividades del sector privado.

Adaptación de la redacción de la letra a): esta letra recoge la letra e) del artículo 7 de la Directiva, adaptada al contexto comunitario: son las instituciones y organismos de la Comunidad quienes tienen una autoridad sobre cuya base podrán, en su caso, efectuarse los tratamientos de datos. La letra a) también incluye el tratamiento de datos personales necesario para la gestión diaria de las instituciones y organismos, por ejemplo, el tratamiento de datos personales de los funcionarios.

Artículo 6: Tratamiento ulterior con fines compatibles

Este artículo se refiere al tratamiento de datos para una finalidad diferente pero compatible con la finalidad para la cual se recogieron los datos.

El apartado 1 requiere la legitimación del tratamiento ulterior con fines compatibles mediante el reglamento interno de la institución o del organismo afectado.

Los apartados 2 y 3 especifican dos situaciones de tratamiento ulterior. El apartado 2 permite el tratamiento ulterior para garantizar el cumplimiento de las normas financieras y presupuestarias. El apartado 3 permite el tratamiento ulterior de datos personales recogidos para garantizar la seguridad o el control de los sistemas o las operaciones de tratamiento.

El artículo 6 es aplicable sin perjuicio de lo dispuesto en el artículo 18, que fija las condiciones en las cuales puede considerarse permisible el tratamiento ulterior con fines incompatibles.

Artículos 7, 8 y 9: Transmisión de datos personales

Los artículos 7, 8 y 9 distinguen entre tres situaciones diferentes.

El artículo 7 se refiere a la transmisión de datos personales de una institución a otra o de un organismo a otro y a las transmisiones en el interior de las instituciones y organismos. En estos casos, los datos personales se transmiten a un destinatario que también está sujeto al presente Reglamento.

El artículo 8 se refiere a la transmisión de datos personales de una institución o de un organismo de la Comunidad hacia un destinatario sujeto a las disposiciones de la Directiva 95/46/CE.

Los artículos 7 y 8 son aplicables sin prejuicio de los artículos 4, 5 y 6. Contienen salvaguardias adicionales y, en el caso del artículo 7, especifican la responsabilidad del responsable del tratamiento y del destinatario.

Artículo 9: Transmisión de datos personales a un destinatario no sujeto a un nivel de protección adecuado

El artículo 9 reproduce los artículos 25 y 26 de la Directiva y se refiere a la transmisión de datos personales a un destinatario que no esté sujeto ni al presente Reglamento ni a la Directiva 95/46/CE. La mayoría de los casos se referirán a la transmisión de datos personales hacia terceros países. Las disposiciones de procedimiento del artículo 9 siguen en lo posible las de la Directiva.

Sección III: Categorías especiales de tratamiento

Artículo 10: Tratamiento de categorías especiales de datos

Este artículo recoge la misma estructura que el artículo 8 de la Directiva, que incluye:

- por una parte, la prohibición de efectuar tratamientos de datos sensibles incluida en apartado 1; se recuerda que se consideran sensibles las categorías de datos siguientes: datos que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia sindical y los datos relativos a la salud y a la vida sexual;

- por otra parte, una serie de excepciones que responden a necesidades específicas y acompañadas de las oportunas garantías.

Se observará que el Estatuto de los funcionarios y otros agentes de las Comunidades Europeas ya contiene disposiciones relativas a la prohibición de hacer constar en el expediente personal algunos datos sensibles. El artículo 26 del Estatuto menciona las opiniones políticas, filosóficas o religiosas de un funcionario. Las otras categorías de datos consideradas sensibles por la Directiva no se contemplan en el Estatuto, el cual deberá, en el momento oportuno, ajustarse al presente Reglamento.

La excepción al tratamiento de los datos relativos a las condenas penales contempladas en el apartado 5 del artículo 8 de la Directiva no pueden encontrar sino una aplicación parcial para las instituciones y organismos de la Comunidad.

Por otra parte, la autoridad de control comunitaria está facultada por los apartados 4 a 6 a adoptar decisiones sobre excepciones adicionales (apartado 4) para autorizar el tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad (apartado 5), y para determinar en qué condiciones es permisible el tratamiento de un número personal o cualquier otro medio de identificación dentro de una institución u organismo de la Comunidad (apartado 6).

Un ejemplo del tratamiento de datos personales que puede autorizar el Supervisor Europeo de Protección de Datos es el tratamiento para prevenir el uso no autorizado de las redes informáticas, por ejemplo su utilización para distribuir contenidos políticos racistas o material pornográfico.

La facultad discrecional garantizada al Supervisor Europeo de Protección de Datos en los apartados 4 a 6 no podrá utilizarse en un sentido contrario a las excepciones establecidas en el Derecho comunitario o en otros instrumentos jurídicos.

Por último, se propone no hacer uso en el presente Reglamento de las facultades que la Directiva deja en manos de los Estados miembros en virtud del párrafo segundo del apartado 5 del artículo 8, que amplía a las sanciones administrativas y a los procesos civiles el régimen aplicable a las sanciones penales.

Sección IV: Información al interesado

Artículo 11: Información cuando los datos han sido recabados del propio interesado

El apartado 1 del artículo 11 se inspira en gran medida en el artículo 10 de la Directiva.

No obstante, son necesarias dos observaciones:

- respecto a quien difunde la información: la referencia al representante del responsable hecha en el artículo 10 de la Directiva remite a la situación en la cual el responsable no se encuentra establecido en el territorio de la Comunidad sino en un tercer país. Tal referencia no tiene sentido cuando se trata de las instituciones y organismos de la Comunidad, por lo que no se ha conservado en el presente Reglamento;

- respecto a la lista de la información que debe proporcionares a los interesados: al igual que el artículo 10 de la Directiva, el artículo 11 del presente Reglamento fija una lista de informaciones. Se propone completar la lista mínima prevista por la Directiva.

En el artículo 10 de la Directiva no se especifica explícitamente en qué momento debe informarse a la persona cuyos datos se tratan. Por lo general, será el momento en que se recojan los datos personales. En el apartado 2 del artículo 11 se autoriza aplazar la provisión de información a un momento posterior, de ser necesario por el motivo específico mencionado en dicha disposición.

Artículo 12: Información cuando los datos no han sido recabados del propio interesado

Las observaciones hechas para el artículo 11 se aplican también al artículo 12. Se han mantenido las excepciones a la obligación de información contempladas en el artículo 11 de la Directiva, aunque se precisa que la ley que puede servir de fundamento a tal exención debe entenderse que será de Derecho comunitario.

Sección V: Derecho de acceso del interesado a los datos

Para una mayor claridad, el contenido del artículo 12 de la Directiva se distribuye entre el los artículos 13 a 17 del presente Reglamento.

Además, se han introducido algunas precisiones textuales con respecto al artículo 12 de la Directiva.

Artículo 13: Derecho de acceso

Este artículo reproduce la letra a) del artículo 12 de la Directiva.

Se introduce una modificación relativa a los gastos cuyo reembolso puede pedirse eventualmente a la persona que ejerce su derecho de acceso. El artículo 12 prevé que estos gastos no deben ser excesivos, mientras que aquí se propone una gratuidad completa.

Por otra parte, se propone no utilizar la facultad prevista en la Directiva consistente en limitar la obligación para el responsable de informar a los interesados sobre la lógica que sobreentiende que los tratamientos automatizados obedecen a decisiones automatizadas.

Artículo 14 : Rectificación

Este artículo, al igual que los artículos 15 y 16, se dedica a una de las tres medidas que deben ser adoptadas por el responsable del tratamiento si resulta que el tratamiento de los datos no se ajusta al Reglamento. Estos tres artículos del presente Reglamento reproducen la letra b) del artículo 12 de la Directiva, aportando al mismo tiempo algunas precisiones.

Artículo 15: Bloqueo

Este artículo aporta distintas precisiones relativas, en particular, a las hipótesis en las cuales:

- esta operación técnica debería utilizarse en caso de: impugnación de la adecuación de los datos tratados en relación con la finalidad proseguida, conservación de los datos con fines probatorios, petición del interesado en este sentido en lugar de su supresión;

- los datos objeto de bloqueo pueden volver a utilizarse.

Artículo 16: Supresión

El apartado 1 impone la supresión de los datos personales cuyo tratamiento fue ilegal, particularmente en caso de infracción de las disposiciones relativas a la calidad de los datos, a la legitimidad del tratamiento y a los datos de carácter secreto.

El apartado 2 repite el principio de que los datos personales sólo deben conservarse durante el tiempo necesario para el cumplimiento de la finalidad para la cual fueron recogidos.

Artículo 17: Notificación a terceros

Este artículo reproduce la letra c) del artículo 12 de la Directiva.

Sección VI: Excepciones y limitaciones

Artículo 18: Excepciones y limitaciones

Este artículo recoge parcialmente el artículo 13 de la Directiva, que deja algunas facultades a los Estados miembros; no obstante, si se recurre a ellas, estas facultades deben responder a algunas condiciones:

- Respecto de los derechos de los interesados y de las obligaciones del responsable cuyo alcance puede limitarse: contrariamente al artículo 13 de la Directiva, el presente artículo hace una excepción a la obligación de información de los interesados (artículos 11 y 12 del Reglamento) y a su derecho de acceso (artículo 13). Las condiciones en las cuales puede consentirse una excepción a la calidad de los datos, en la medida en que se trata de una finalidad compatible, ya se trataron en el artículo 6 del presente Reglamento relativo al cambio de finalidad. Por otra parte, no es oportuno hacer en el artículo 18 del presente Reglamento una referencia a los artículos 14 a 16. El ejercicio de los derechos previstos por estos artículos supone que se ha concedido el derecho de acceso; en ausencia de acceso no pueden ejercitarse; si el acceso se concede, ya no se justifica la excepción a estos derechos.

- Respecto de los motivos para limitar los derechos de los interesados: no se han recogido los motivos relativos a la seguridad del Estado, a la defensa y al orden público enumerados en las letras a), b) y c) del apartado 1 del artículo 13 de la Directiva porque no pueden aplicarse a las instituciones y organismos de la Comunidad.

- Respecto de la medidas de garantía que deben adoptarse: el artículo 13 de la Directiva no autoriza una excepción pura y simple sino sólo excepciones y limitaciones aplicadas individualmente. Esta es la razón por la cual el objeto de los apartados 3 y 4 del presente artículo es estipular distintas garantías con el fin de proteger a las personas cuyo derecho de acceso se negaría en un caso particular: derecho a ser informado sobre las principales razones de la denegación de acceso, sobre la posibilidad de plantear el asunto ante la autoridad de control, derecho de información a posteriori.

Sección VII: Derecho de oposición del interesado

Artículo 19: Derecho de oposición del interesado

Este artículo reproduce la letra a) del artículo 14 de la Directiva que deja un determinado margen de maniobra a los Estados miembros en cuanto al ámbito de aplicación de este derecho. Así pues, es necesario dar precisiones en el presente Reglamento.

Se observa, por otra parte, que la letra b) del artículo 14 relativo al derecho de oposición en materia de prospección no se refiere a la actividad de las instituciones y organismos de la Comunidad.

Del mismo modo, por lo que se refiere al campo de aplicación del derecho de oposición tal como se define en la letra a) del artículo 14 de la Directiva, es necesario observar que la referencia a los tratamientos efectuados conforme al artículo 7 de la Directiva, y a la cual alude el artículo 14, no puede encontrar aplicación a las instituciones y organismos de la Comunidad porque, como ya se ha destacado, la propia letra f) no es aplicable en este contexto comunitario específico.

Artículo 20: Derecho del interesado a presentar denuncias

El derecho a presentar denuncias es la contrapartida lógica a la facultad del Supervisor Europeo de Protección de Datos de conocer las reclamaciones de conformidad con el apartado 4 del artículo 28 de la Directiva.

Artículo 21: Decisiones individuales automatizadas

Este artículo recoge el artículo 15 de la Directiva.

Algunos de los ejemplos enumerados en el apartado 1 del artículo 15 de la Directiva sobre la evaluación de determinados aspectos de la personalidad (en particular, el crédito de la persona) no tienen sentido en el contexto particular del Reglamento, por lo que no se han recogido.

Sección VIII: Confidencialidad y seguridad del tratamiento

Artículo 22: Confidencialidad del tratamiento

Este artículo recoge el artículo 16 de la Directiva.

No parecía necesario mantener la posibilidad de excepción prevista en la Directiva relativa a las obligaciones legales. Tal precisión se solaparía con el artículo 6 relativo al cambio de finalidad.

Artículo 23: Seguridad del tratamiento

Este artículo recoge, clarificándolo al mismo tiempo, el apartado 1 del artículo 17 de la Directiva.

El apartado 1 del presente artículo recoge el párrafo segundo del apartado 1 del artículo 17.

El apartado 2 contempla las medidas de seguridad que deben adoptarse en el caso de los datos tratados manualmente.

El apartado 3 clarifica el párrafo primero del apartado 1 del artículo 17, cuyo texto es muy general. A este respecto, está inspirado en diversas recomendaciones recientemente adoptadas por el Consejo de Europa en materia de protección de datos, y en el texto del Convenio de Aplicación del Acuerdo de Schengen (artículo 118).

En la práctica, está claro que las medidas de seguridad que deben adoptarse vendrán a insertarse en el marco de medidas más amplias que las instituciones y los organismos ya han tomado en materia de seguridad de los sistemas de información (véase, por ejemplo, la Decisión de la Comisión de 23 de noviembre de 1995 sobre la protección de la integridad, confidencialidad y disponibilidad de los sistemas de información).

Artículo 24: Tratamiento de datos personales por cuenta de los responsables del tratamiento

Este artículo recoge los apartados 2 a 4 del artículo 17 de la Directiva.

Sección IX: Responsable de la protección de datos

Artículo 25: Responsable de la protección de datos

Este artículo prevé que cada institución y organismo nombre a un responsable de la protección de datos, encargado de garantizar de una manera independiente la aplicación de la protección de datos en la institución o en el organismo de que se trate.

El nombramiento de los responsables de la protección de datos se contempla en el apartado 2 del artículo 18 de la Directiva, y tiene carácter facultativo para los Estados miembros. Según este artículo, tal designación permite la simplificación o incluso la omisión de la obligación de notificación de los tratamientos a la autoridad de control.

La Directiva se inspira a este respecto en una práctica bien arraigada en algunos Estados miembros y que permite garantizar una eficaz protección de las personas.

Caben algunas observaciones respecto de la designación del responsable, las funciones que debe tener, las garantías que deben preverse para permitirle ejercer de sus funciones, las relaciones que mantiene con la autoridad de control.

- Designación del responsable de la protección de datos: cada institución u organismo tendrá la obligación de designar al menos a un responsable. Algunas instituciones, como por ejemplo la Comisión, muy probablemente tendrán que designar a varios responsables en función de la importancia de los tratamientos de datos personales efectuados en la institución.

- Funciones del responsable: su función principal se establece en el apartado 1 del presente artículo. El texto sigue muy de cerca al de la Directiva: debe garantizar la aplicación interna de la protección de datos y mantener un registro del conjunto de los tratamientos efectuados por la institución o el organismo. En el presente artículo se hace hincapié en la misión del responsable de informar a las personas afectadas por los tratamientos y de los responsables del tratamiento sobre sus derechos y obligaciones en materia de protección de datos. Tal información es la primera condición para una buena aplicación de la protección con arreglo a la Directiva. Esta es la razón por la que se hace hincapié en este punto en el primer guión del apartado 1, pese a que, en el fondo, no añade nada al texto más general de la Directiva. Por otra parte, se prevén para el responsable diversas funciones más específicas para cumplir su misión: puede presentar propuestas para la mejora de la protección de datos en la institución o el organismo, puede ser consultado por la autoridad que lo nombró, por los responsables del tratamiento o por el Comité de Personal. Además, el responsable de la protección de datos está obligado a cooperar con el Supervisor Europeo de Protección de Datos (segundo guión). La obligación establecida en el quinto guión sirve para facilitar la determinación de las operaciones de tratamiento que presentan riesgos específicos, dirigiéndose previamente al Supervisor Europeo de Protección de Datos.

- Garantías que permiten el ejercicio de las funciones del responsable: las garantías previstas tienen todas por objeto clarificar en la medida de lo posible la condición fundamental que debe caracterizar el estatuto del responsable y que se recoge de la Directiva, a saber, su independencia.

Artículos 26 y 27: Registro ante el responsable de la protección de datos

En aras de la transparencia, el artículo 27 prevé que, de acuerdo con el texto de la propia Directiva, el responsable de la protección de datos mantenga un registro público de los tratamientos efectuados en la institución o el organismo.

Para permitirle llevar a cabo esta tarea, los responsables del tratamiento pueden notificar estos tratamientos al responsable de la protección de datos antes de su ejecución.

La lista de la información que debe proporcionarse al responsable de la protección de datos procede del apartado 1 del artículo 19 de la Directiva, al que remite el apartado 2 del artículo 21 de la Directiva.

La lista que figura en la Directiva es una lista mínima. Con el fin de aumentar la transparencia relativa a los tratamientos efectuados por las instituciones y organismos, se propone completar esta lista con información sobre el fundamento jurídico de los tratamientos (por ejemplo, las disposiciones de Derecho comunitario que hacen necesarias el tratamiento) y sobre la duración de conservación de los datos. Se recuerda una vez más que la representación del responsable contemplada en la letra a) del apartado 1 del artículo 19 de la Directiva no encuentra aplicación para las instituciones y organismos de la Comunidad.

Sección X: Controles previos por el Supervisor Europeo de Protección de Datos

Artículo 28 : Controles previos por el Supervisor Europeo de Protección de Datos

Este artículo es el equivalente del artículo 20 de la Directiva.

La Directiva se basa en un control selectivo de la licitud de los tratamientos en función de los riesgos que pueden presentar para los derechos de las personas:

- la notificación de los tratamientos para la autoridad de control puede generalmente simplificarse, o incluso omitirse, en algunas condiciones, en particular si se ha instituido a un responsable de la protección de datos;

- la notificación sigue siendo necesaria, y debe incluso reforzarse con un control previo, para los tratamientos que entrañen riesgos particulares.

El presente Reglamento saca las consecuencias de la instauración de un responsable de la protección de datos en el seno de las instituciones y organismos de la Comunidad limitando la obligación de notificación a la autoridad de control comunitaria a los tratamientos que presentan riesgos particulares.

El responsable de la protección de datos de cada institución u organismo deberá notificar a la autoridad de control los tratamientos con riesgo, utilizando para ello una opción establecida en el apartado 2 del artículo 20.

El apartado 1 del artículo 20 de la Directiva prevé que incumbe a los Estados miembros precisar los tratamientos que puedan suponer riesgos particulares. El considerando 53 indica que estas precisiones pueden introducirse en la legislación nacional, si los Estados miembros lo desean, dejando la posibilidad también a las autoridades de control de desarrollar ellas mismas su propio concepto de «tratamiento que supone riesgos particulares». El presente artículo recoge esta segunda solución al dar a la autoridad de control la competencia de definir los tratamientos que suponen riesgos particulares. No obstante, se dan algunos ejemplos en el propio texto del presente artículo, inspirados en el considerando 53.

Inspirado en el considerando 54, el apartado 3 del presente artículo prevé que la autoridad de control a la que se ha notificado un tratamiento que supone riesgos particulares debe emitir un dictamen sobre la licitud del tratamiento. Corresponderá a la institución o al organismo notificante sacar las consecuencias operativas.

Capítulo III: Recursos judiciales y sanciones

Artículos 29 y 30

Se trata de disposiciones que transponen, respectivamente, los artículos 22, 23 y 24 de la Directiva. En una Comunidad de derecho, es importante que los derechos conferidos a los particulares puedan ejercerse también cuando la infracción de estos derechos es obra de una institución o de un organismo comunitario. De acuerdo con las disposiciones del Tratado que regulan la responsabilidad no contractual de la Comunidad, la Comunidad debe reparar los daños causados por sus instituciones o por sus agentes en el ejercicio de sus funciones, y el Tribunal de Justicia es competente para conocer litigios relativos a la reparación de tales daños.

Capítulo IV: Protección de los datos personales y de la intimidad en el contexto de las redes internas de telecomunicación

Este capítulo reproduce las disposiciones de la Directiva 97/66/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones en la medida en que se prestan para su aplicación a las instituciones y los organismos de la Comunidad. La mayoría de las disposiciones tuvieron que adaptarse a las circunstancias específicas existentes en las instituciones y en los organismos de la Comunidad.

Artículo 31: Alcance

El alcance de este capítulo se limita a las redes de telecomunicaciones explotadas bajo el control de las instituciones y los organismos de la Comunidad. Así pues, los artículos 31 a 37 sólo serán de aplicación cuando las instituciones y los organismos de la Comunidad estén efectivamente en situación de determinar las condiciones de explotación de las redes de telecomunicación afectadas.

Artículo 32: Seguridad

Esta disposición reproduce el artículo 4 de la Directiva 97/66/CE.

Cuando una red o línea de telecomunicación esté conectada a una red pública o cuando tal red o línea se arriende a un proveedor de servicios públicos de telecomunicaciones o se explote en conjunción con el mismo, puede hacerse necesario que las instituciones y los organismos de la Comunidad cooperen con el proveedor de la red o del servicio en cuestión para garantizar un nivel suficiente de seguridad.

Artículo 33: Confidencialidad

Esta disposición reproduce el artículo 5 de la Directiva 97/66/CE.

De cara a las finalidades mencionadas en el artículo 34 puede hacerse necesario efectuar un seguimiento de los casos utilización de una red particular de telecomunicaciones. Como ejemplos cabe citar el almacenamiento de determinados datos en relación con llamadas telefónicas a efectos de facturación o la vigilancia de la utilización de Internet ofrecida a los funcionarios de las instituciones y los organismos de la Comunidad. De acuerdo con los principios generales del presente Reglamento, el grado de intercepción o control debe mantenerse lo más limitado posible.

Artículo 34: Datos sobre tráfico y facturación

Esta disposición reproduce el artículo 6 de la Directiva 97/66/CE.

El artículo 34 especifica los límites del tratamiento de datos personales para la gestión de la facturación, del presupuesto y del tráfico.

Artículo 35: Guías de usuarios

Esta disposición reproduce el artículo 11 de la Directiva 97/66/CE.

Dado que es necesario para el funcionamiento correcto de las instituciones y los organismos de la Comunidad, no se ha concedido a los usuarios, generalmente funcionarios, el derecho a no figurar en las guías. No obstante, sus datos personales contenidos en tales guías deberán limitarse a lo necesario para los fines específicos de la guía. Esto supone que, en lo relativo a determinados datos, el funcionario deberá poder decidir si desea que se incluyan o no. Un ejemplo es el derecho de pedir que no se mencionen en la guía todos los nombres del funcionario, sino sólo el nombre mediante el cual le conocen sus colegas, siempre y cuando no sea un apodo.

Artículo 36: Identificación de la línea llamante y conectada

Esta disposición reproduce el artículo 8 de la Directiva 97/66/CE. Sin embargo, el apartado 3 del artículo 8 de la Directiva no se repite aquí, porque se considera que rechazar las llamadas entrantes de colegas no es un medio adecuado en el contexto de las instituciones y organismos comunitarios.

Artículo 37: Excepciones

Esta disposición reproduce el artículo 9 de la Directiva 97/66/CE.

Capítulo V: Autoridad de control: Supervisor Europeo de Protección de Datos

Artículos 38 a 47

La autoridad de control está modelada, mutatis mutandis, con arreglo al artículo 28 de la Directiva, que ofrece indicaciones claras por lo que se refiere a la independencia de las autoridades de control creadas a nivel nacional, y a las facultades de que éstas deben disponer. Considerando que dicha disposición crea obligaciones para los Estados miembros, el artículo 286 del Tratado impone la «transposición» de estas mismas obligaciones a las instituciones y organismos de la Comunidad.

Artículo 39: Nombramiento del Supervisor Europeo de Protección de Datos

Por lo que se refiere al procedimiento para el nombramiento de la autoridad de control, la solución adoptada está basada en las disposiciones que regulan la figura del Defensor del Pueblo europeo (artículo 195 del Tratado). En opinión del Grupo consultivo sobre la protección de datos establecido por el artículo 29 de la Directiva, la designación de la autoridad por el Parlamento Europeo constituye el método apropiado a este respecto. No obstante, al contrario de lo que ocurre en el caso del nombramiento del Defensor del Pueblo europeo, el Parlamento Europeo debe consultar obligatoriamente a la Comisión y al Consejo.

Artículo 46: Poderes del Supervisor Europeo de Protección de Datos

El poder de intervenir en los procedimientos ante el Tribunal de Justicia y el Tribunal de Primera Instancia, tal y como se establece en la letra e) del apartado 2 del artículo 46, «transpone» el tercer guión del apartado 3 del artículo 28 de la Directiva.

El apartado 7 del artículo 46 transpone el último párrafo del apartado 1 del artículo 28 de la Directiva. Será necesaria una modificación de las normas de procedimiento del Tribunal de Justicia y el Tribunal de Primera Instancia para permitirles ocuparse de las acciones presentadas contra el Supervisor Europeo de Protección de Datos.

Disposiciones finales

Artículo 48

Esta disposición reproduce el apartado 2 del artículo 32 de la Directiva 97/66/CE al prever un periodo de transición para el cumplimiento del Reglamento en el caso de los tratamientos en curso. En lugar de un periodo de tres años, se propone un periodo de un año.

FICHA FINANCIERA

1. Título de la acción

Propuesta de reglamento del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos de la Comunidad Europea y sobre la libre circulación de estos datos.

2. Línea presupuestaria afectada

Nuevo capítulo 39 (que debe crearse) del título 3 de la sección 1 (PE) del Presupuesto General.

3. Fundamento jurídico

Artículo 286 del Tratado constitutivo de la Comunidad Europea (tal como ha sido añadido por el Tratado de Amsterdam).

Artículo 286

1. A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo.

2. Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecerá, con arreglo al procedimiento previsto en el artículo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptará, en su caso, cualesquiera otras disposiciones pertinentes.

4. Descripción de la acción

4.1. Objetivo general

1. Establecer un organismo de vigilancia independiente, tal como lo exige el apartado 2 del nuevo artículo 286 del Tratado CE (el Supervisor Europeo de Protección de Datos, SEPD, véase el anexo 1), responsable de controlar la aplicación de las normas y principios de protección de datos por las instituciones y organismos de la Comunidad.

2. Nombrar a uno o más responsables de la protección de datos (RPD) en cada institución y organismo de la Comunidad (véanse los anexos 2a y 2b).

4.2. Periodo cubierto y acuerdos de renovación

Estas estructuras serán permanentes.

5. Clasificación de los gastos o ingresos

5.1. Gastos no obligatorios

5.2. Créditos no disociados

5.3. Tipo de ingreso en cuestión

No procede.

6. Tipo de gasto o ingreso

Gasto administrativo

7. Impacto financiero

Véase el apartado 10.

8. Medidas de lucha contra el fraude

Las normas y procedimientos que rigen la adquisición de bienes y servicios por las Comunidades se cumplirán estrictamente, con arreglo al Reglamento Financiero aplicable al Presupuesto General de las Comunidades Europeas, el Reglamento sobre las modalidades de aplicación del Reglamento Financiero y las normas internas.

Las cláusulas de protección pertinentes se incluirán en todos los acuerdos y contratos entre el Supervisor Europeo de Protección de Datos u otros organismos o instituciones de la Comunidad y los contratistas.

Se incluirán de forma sistemática medidas de control en todos los contratos y acuerdos, como informes y evaluaciones periódicos de resultados predeterminados en contratos singulares predeterminados. Se efectuarán una comprobación del rendimiento efectivo antes de autorizar cualquier pago.

9. Elementos de análisis de rentabilidad

9.1. Objetivos específicos y cuantificados; población destinataria

- Objetivos específicos:

Garantizar la introducción, aplicación y control de las normas de protección de datos en las instituciones y organismos de la Comunidad (una obligación del nuevo artículo 286 del Tratado CE).

- Población destinataria:

Todas las personas físicas cuyos datos personales sean tratados por instituciones y organismos de la Comunidad. Las normas establecidas en el Reglamento beneficiarán a la Comunidad en general, a los agentes de las instituciones y organismos de la Comunidad, a los ciudadanos y a los contratistas de la Comunidad que puedan verse afectados por el nivel de protección de los datos en las instituciones y organismos de la Comunidad.

9.2. Justificación de la operación

Establecido con arreglo al nuevo artículo 286 del Tratado CE, el SEPD será un organismo de la Comunidad, financiado, por tanto, por el presupuesto comunitario.

- Elección de modalidades de intervención

* Ventajas sobre otras medidas posibles:

SEPD

El nuevo artículo 286 del Tratado CE exige el establecimiento del SEPD, que no formará parte de la Comisión sino que constituirá un nuevo órgano comunitario independiente, que realizará su labor a un nivel interinstitucional: por ejemplo, controlando a todas los demás instituciones y organismos de la Comunidad. La Comisión ha calculado tanto el número de funcionarios que precisa (véase el cuadro 10.1) como las consecuencias financieras (véase el cuadro 10.2). El único punto de referencia que la Comisión tenía para calcular las cifras eran los organismos nacionales de protección de datos. Sin embargo, éstos no son totalmente comparables con el SEPD. A diferencia del SEPD, éstos controlan en general tanto el sector público como el privado. Además, hay muchas menos instituciones y organismos de la Comunidad que organismos públicos nacionales. Esta comparación deja claro que hay buenas bases para emplear menos funcionarios en la oficina del SEPD que en los organismos nacionales. Asimismo, la cantidad de trabajo originado por algunas de las tareas del SEPD no dependen del tamaño de las instituciones u organismos afectados ni del número de operaciones de tratamiento que efectúen.

RPD

La propuesta de reglamento prevé que se nombre al menos un RPD en cada institución y organismo de la Comunidad.

Dado que se ven afectados otras instituciones y organismos además de la Comisión, se les ha consultado y se han incluido sus estimaciones en esta ficha financiera. La Secretaría General del PE ha indicado que corresponde a cada institución y organismo estimar sus necesidades y que no va a opinar sobre las estimaciones.

En lo que afecta a los servicios de la Comisión, se espera que nombren un RPD a jornada parcial para cada servicio de la Comisión a partir de los recursos existentes, en lugar de nombrar uno o más RPD a jornada completa para el conjunto de la Comisión. Las cifras de la presente ficha financiera se basan en este supuesto.

Hay varias razones para asignar a cada servicio de la Comisión su propio RPD. Los servicios de la Comisión constituyen entidades organizativas separadas. La naturaleza de las operaciones de tratamiento de datos puede variar mucho en cada servicio de la Comisión. Un RPD necesita un conocimiento detallado de lo que sucede en el área de la protección de datos en el servicio del que es responsable. Uno de los servicios de la Comisión (DG XV) ha desarrollado con éxito un proyecto experimental sobre estas líneas. Tras la entrada en vigor del Reglamento, la experiencia puede mostrar que algunos servicios precisan más del RPD que otros.

Los servicios nombrarán RPD a miembros de su personal actual, que deberán dedicar sólo una pequeña parte de su tiempo de trabajo (se calcula un 5 % como media) a actuar como RPD. También se prevé que el RPD de la Secretaría General sea responsable de coordinar el trabajo de todos los RPD de la Comisión. A causa de esa labor adicional de coordinación, ese RPD «central» precisará dedicar a esta labor más del 5 % de su tiempo de trabajo, tal vez más del 25 %. Además, algunos otros servicios han indicado claramente que necesitarán ligeramente más del 5 % (hemos estimado las necesidades de tales servicios en el 10 % en lugar del 5 %).

Expertos externos en protección de datos

La Comisión también recomienda que, al menos en la fase inicial, los RPD reciban el apoyo y el consejo de expertos externos en protección de datos. Contrariamente al modelo utilizado por la DG XV, donde el RPD cuenta con el apoyo de su «propio» experto externo, la ficha financiera se basa en tres consejeros externos a jornada completa para la Comisión en su conjunto.

* Análisis de operaciones comunitarias o nacionales semejantes

La idea de un apoyo en infraestructura al SEPD por parte de la organización del Parlamento Europeo se basa en la organización del Defensor del Pueblo Europeo.

Por lo que respecta a los RPD, tanto la experiencia de la DG XV como las prácticas nacionales han servido de ejemplo.

* Efectos derivados y multiplicadores esperados

Ninguno. Esto se ha discutido con la Dirección de Informática. Los programas informáticos y los conocimientos técnicos ya están disponibles, con lo que no se prevé ningún gasto suplementario.

- Factores principales de incertidumbre que podrían afectar a los resultados específicos de la operación

La ficha financiera se basa en el supuesto de que el SEPD recibirá del Parlamento Europeo el apoyo necesario en infraestructura (véase el anexo 1).

9.3. Control y evaluación de la operación

- Indicadores de rendimiento seleccionados

* Indicadores de producción (que miden la actividad llevada a cabo)

El SEPD elaborará un informe anual. El nivel de actividad del SEPD estará reflejado, entre otras cosas (véase el artículo 47 de la propuesta de reglamento), por: 1) el número de quejas recibidas o planteadas de oficio; 2) el número de decisiones tomadas, y 3) el número de auditorías efectuadas.

Con respecto a los RPD: informes de actividad.

* Indicadores de impacto (que miden el rendimiento por objetivos)

1. Quejas decididas contra instituciones y organismos de la Comunidad.

2. Nivel de cumplimiento calculado según las auditorías efectuadas.

- Detalles y frecuencia de las evaluaciones previstas

Las evaluaciones deberían basarse en los informes anuales. El RPD «central» coordinará la labor de los RPD, y el SEPD también la controlará y asesorará sobre la aplicación correcta de las normas.

10. Gastos administrativos (parte A de la sección III del Presupuesto)

La movilización real de los recursos administrativos necesarios dependerá de las decisiones anuales tomadas por las respectivas instituciones u organismos sobre la asignación de recursos teniendo en cuenta el personal y los importes autorizados por la autoridad presupuestaria.

En cuanto a las estimaciones de la Comisión sobre las consecuencias del establecimiento del SEPD, se trata de estimaciones indicativas y preliminares. No prejuzgan los costes que pueda estimar el Parlamento Europeo, habida cuenta de que la Secretaría General del Parlamento Europeo ha señalado a los servicios de la Comisión que cada institución debe estimar ella misma sus necesidades y que no desea pronunciarse sobre las estimaciones efectuadas por la Comisión.

10.1. Consecuencias sobre el número de puestos

>SITIO PARA UN CUADRO>

SEPD (véase el anexo 1)

>SITIO PARA UN CUADRO>

RPD Comisión (véase el anexo 2b)

>SITIO PARA UN CUADRO>

RPD otras instituciones y organismos (véase el anexo 2c)

>SITIO PARA UN CUADRO>

IMPORTE TOTAL

>SITIO PARA UN CUADRO>

10.2. Impacto financiero global de los recursos humanos adicionales

La estimación del impacto financiero se realiza a partir del coste medio de un funcionario de la Comisión en Bruselas (Grado A-1, A-2, A-4, A-5 y A-7).

SEPD

>SITIO PARA UN CUADRO>

RPD Comisión

>SITIO PARA UN CUADRO>

RPD otras instituciones y organismos

>SITIO PARA UN CUADRO>

IMPORTE TOTAL

>SITIO PARA UN CUADRO>

10.3. Aumento de otros gastos administrativos a causa de la operación

La incidencia de otros costes potenciales para el SEPD depende de en qué medida el SEPD podrá integrarse en la infraestructura actual del Parlamento Europeo (véase el anexo 1). El cálculo de las consecuencias financieras para el Parlamento Europeo (PE) de la propuesta de integrar administrativamente la oficina del SEPD en la organización del PE está pendiente de confirmación por el propio PE.

Anexo 1

Oficina del Supervisor Europeo de Protección de Datos

Las cifras sobre la oficina del SEPD se basan en el supuesto de que los servicios siguientes podrán obtenerse al integrar la oficina del SEPD en la infraestructura actual del Parlamento Europeo (de forma semejante a lo que sucede con el Defensor del Pueblo Europeo).

- Traducción

- Interpretación

- Funciones administrativas, como: gestión de misiones, formación profesional, personal (contratación, revisiones médicas, salarios, asuntos sociales, carreras, etc.), asuntos inmobiliarios, ofimática, equipamiento y desarrollo informático, servicios de correos, comunicaciones, transportes, suministros, fotocopiadoras, material de oficina, conserjes, chóferes, transportistas, salas de reuniones.

- Comunicación: teléfono y fax, sistemas de transmisión de documentación electrónica. Ordenadores e impresoras, acceso a bases de datos.

- Seguridad.

- Oficinas exteriores.

- Prensa y relaciones públicas.

- Publicaciones: informe anual, distribución de documentación, impresión.

- Adquisición de publicaciones y suscripciones a periódicos.

El total probable de personal ascenderá a:

Grado A: 6

Grado B: 2

Grado C: 2

Total: 10

Anexo 2a

Responsable de protección de datos

Los funcionarios nombrados RPD sólo dedicarán una parte de su tiempo de trabajo a realizar esta labor (calculado en entre un 5 % y un 10 % como media, véase el punto 9.2). Podrán contar con el apoyo y el asesoramiento de expertos externos en protección de datos.

Las tareas y responsabilidades del RPD se desglosan a continuación. El RPD podrá ser asesorado por los expertos externos en protección de datos sobre todas estas cuestiones.

Los responsables de la protección de datos se encargarán de:

- Garantizar que los controladores y los interesados estén informados de sus derechos y obligaciones.

- Cooperar con el Supervisor Europeo de Protección de Datos a petición de éste o de oficio.

- Garantizar de forma independiente la aplicación interna de las disposiciones del Reglamento y de todas las demás disposiciones aprobadas para aplicar estas normas.

- Llevar el registro de las operaciones de tratamiento efectuadas por el controlador.

- Formular recomendaciones para la mejora práctica de la protección de datos.

- Asesorar a la institución u organismo de la Comunidad que se le asigne y al controlador sobre los asuntos relativos a la aplicación de las disposiciones sobre protección de datos.

- Investigar, de oficio o a solicitud de la institución u organismo de la Comunidad que se le asigne, del controlador o del Comité de Personal en cuestión o del interesado, aquellos asuntos y hechos directamente relacionados con su labor de los que tenga noticia.

- Atender las consultas de la institución u organismo de la Comunidad que se le asigne, del controlador o del Comité de Personal en cuestión y de cualquier particular, sin seguir los canales oficiales, sobre todo asunto relativo a la interpretación o aplicación del Reglamento.

El RPD precisa, al menos en la fase inicial, poder beneficiarse de la asesoría independiente de expertos externos en el ámbito de la protección de datos. Estos expertos externos prestarán asesoramiento, en la medida que lo requiera el RPD, sobre los aspectos jurídicos, organizativos y técnicos de la protección de datos personales, con el fin de ayudar al RPD en toda su labor.

Más en concreto, los expertos externos asesorarán en lo que se refiere a:

- Mantener el registro de las operaciones de tratamiento de datos personales.

- Evaluar los riesgos que las operaciones de tratamiento presenten para la intimidad de los particulares afectados.

- Afrontar esos riesgos, teniendo en cuenta la necesidad de contribuir al desarrollo de orientaciones directas para las mejores prácticas que puedan ser aplicadas en su momento por otros servicios de la Comisión.

Las principales áreas en las que la asesoría y la experiencia de los expertos serán probablemente necesarias son:

a) calidad requerida de los datos;

b) ejercicio de los derechos de los interesado;

c) nuevos sistemas de información;

d) tratamiento externo y subcontratación;

e) conocimiento y formación del personal;

f) preparación de orientaciones;

g) medidas de confidencialidad y seguridad;

h) informe de actividades.

Anexo 2b

Responsables de protección de datos en los servicios de la Comisión

- Secretaría General

- Task force de cooperación en los ámbitos de la justicia y los asuntos de interior

- OLAF

- Inspección General

- Servicio Jurídico

- Servicio del Portavoz

- Servicio Común Interpretación-Conferencias

- Oficina Estadística

- Servicio de Traducción

- Dirección de Informática

- DG I Relaciones Exteriores: Política Comercial, Relaciones con América del Norte, Extremo Oriente, Australia y Nueva Zelanda

- DG IA Relaciones Exteriores: Europa y Nuevos Estados Independientes, Política Exterior y de Seguridad Común, Servicio Exterior

- DG IB Relaciones Exteriores: Mediterráneo Meridional, Próximo y Medio Oriente, América Latina, Asia Meridional y Sudeste Asiático, y Cooperación Norte-Sur

- DG II Asuntos Económicos y Financieros

- DG III Industria

- DG IV Competencia

- DG V Empleo, Relaciones Laborales y Asuntos Sociales

- DG VI Agricultura

- DG VII Transportes

- DG VIII Desarrollo

- DG IX Personal y Administración

- DG X Información, Comunicación, Cultura y Sector Audiovisual

- DG XI Medio Ambiente, Seguridad Nuclear y Protección Civil

- DG XII Ciencia, Investigación y Desarrollo, Centro Común de Investigación

- DG XIII Telecomunicaciones, Mercado de la Información y Valorización de la Investigación

- DG XIV Pesca

- DG XV Mercado Interior y Servicios Financieros

- DG XVI Política Regional y Cohesión

- DG XVII Energía

- DG XIX Presupuestos

- DG XX Control Financiero

- DG XXI Fiscalidad y Unión Aduanera

- DG XXII Educación, Formación y Juventud

- DG XXIII Política de la Empresa, Comercio, Turismo y Economía Social

- DG XXIV Política de los Consumidores y Protección de la Salud

- Oficina Humanitaria de la Comunidad Europea (ECHO)

- Grupo Operativo Negociaciones de Adhesión

- Agencia de Abastecimiento de Euratom

- Oficina de Publicaciones Oficiales de las Comunidades Europeas

- Servicio Común Relex (SCR)

Total: 40.

Como se ha explicado en el punto 9.2, se prevé nombrar en cada servicio de la Comisión a un RPD de su propio personal en lugar de asignar uno o más RPD a toda la Comisión. Las cifras de esta ficha financiera se basan en este supuesto. Se considera necesario un 5 % como media del jornada completa de un funcionario para cada servicio. Algunos servicios necesitarán más, otros menos. Una serie de servicios han indicado ya que necesitan más del 5 % y sus necesidades se han estimado en el 10 %. Estas cifras totalizan 2,40 funcionarios a jornada completa para toda la Comisión. También se prevé que el RPD de la Secretaría General se responsabilice de la coordinación del trabajo de todos los RPD de la Comisión. Para realizar esa labor adicional deberá dedicar más del 5 % de su tiempo de trabajo, tal vez un 25 %. Esto ya se incluye en el cálculo de 2,40 funcionarios.

También se prevé, al menos en la fase inicial, establecer contratos con expertos externos (tres expertos a jornada completa para toda la Comisión).

Anexo 2c

Responsables de protección de datos en las instituciones y organismos fuera de la Comisión

Parlamento Europeo 2,0Defensor del Pueblo Europeo 1,0Consejo de la Unión Europea 2,0Tribunal de Justicia 1,0Tribunal de Cuentas 1,0Banco Europeo de Inversiones 1,0Comité Económico y Social 1,0Comité de las Regiones 1,0Banco Central Europeo 1,0Cedefop: Centro Europeo para el Desarrollo de la Formación Profesional 0,5Fundación Europea para la Mejora de las Condiciones de Vida y de Trabajo 0,5Agencia Europea del Medio Ambiente 0,5Fundación Europea de la Formación 0,5Observatorio Europeo de la Droga y las Toxicomanías 0,5Agencia Europea de Evaluación de los Medicamentos 0,5Oficina de Armonización del Mercado Interior (marcas, dibujos y modelos) 0,5Agencia Europea para la Seguridad y la Salud en el Trabajo 0,5Oficina Comunitaria de Variedades Vegetales 0,5Centro de Traducción de los órganos de la Unión 1,0Observatorio Europeo del Racismo y la Xenofobia 0,5

Total: 17 (funcionarios a jornada completa x 108 000 EUR)

Además de los RPD asignados a las instituciones y organismos mencionados, también se estudia contratar a expertos externos en protección de datos. Se ha calculado una media de 22 días laborables al año por institución u organismo. Este número es comparable con el número de días disponible por servicio de la Comisión. El coste medio por servicio de estos contratos se estima en 13 750 EUR anuales.