23.3.2010   

ES

Diario Oficial de la Unión Europea

C 73/1

1.

El 27 de julio de 2009, la Comisión adoptó una propuesta de Reglamento del Consejo por el que se imponen ciertas medidas restrictivas concretas dirigidas contra ciertas personas físicas y jurídicas, entidades y organismos dada la situación en Somalia y una propuesta de Reglamento del Consejo que modifica el Reglamento (CE) no 314/2004 del Consejo relativo a determinadas medidas restrictivas respecto de Zimbabue. El 18 de septiembre, la Comisión adoptó asimismo una propuesta de Reglamento del Consejo por el que se modifica el Reglamento (CE) no 329/2007 sobre la aplicación de medidas restrictivas contra la República Popular Democrática de Corea. Por lo demás, el 23 de noviembre la Comisión adoptó una propuesta de Reglamento del Consejo por el que se imponen determinadas medidas restrictivas contra la República de Guinea. Todas estas propuestas fueron transmitidas por la Comisión al SEPD para su consulta, de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001. El SEPD recuerda que también formuló observaciones informales sobre los borradores de estas propuestas y sobre otros borradores de propuestas encaminados a la modificación de Reglamentos del Consejo análogos, sobre medidas de inmovilización de activos y otras medidas restrictivas.

2.

El SEPD celebra que se lo haya consultado y que se haya incluido la mención de esta consulta en el preámbulo de las propuestas, de forma análoga a lo efectuado en otros textos legislativos sobre los que se consultó al SEPD, con arreglo al Reglamento (CE) no 45/2001.

3.

Todas estas propuestas, ya sea mediante la modificación de legislación vigente o mediante la presentación de nuevos actos legislativos, se encaminan a luchar contra el terrorismo o contra violaciones de los derechos humanos imponiendo medidas restrictivas —en particular la inmovilización de bienes o la prohibición de viajar — contra personas físicas o jurídicas sospechosas de vinculación a organizaciones terroristas o a determinados gobiernos. A tal efecto, la Comisión publica y difunde «listas negras» de personas físicas o jurídicas a las que afectan estas medidas restrictivas.

4.

El SEPD ya emitió el 28 de julio de 2009 un dictamen sobre la propuesta de Reglamento del Consejo por el que se modifica el Reglamento (CE) no 881/2002 por el que se imponen determinadas medidas restrictivas específicas dirigidas contra determinadas personas y entidades asociadas con Usamah bin Ladin, la red Al-Qaida y los talibanes («la propuestas Al-Qaida»). En ese dictamen saludaba la voluntad de la Comisión de garantizar una mejor protección de los derechos fundamentales, con inclusión de la protección de datos personales, y recomendaba que se modificaran o aclararan determinados aspectos de la propuesta para dar cumplimiento a requisitos esenciales de la UE en materia de protección de datos. El SEPD ha mantenido un estrecho seguimiento de la evolución de las negociaciones del Consejo relativas a la propuesta Al-Qaida (3), y lamenta que muchas de las disposiciones que trataban de la protección de datos personales se hayan suprimido o reducido de forma sustancial.

5.

Los argumentos expuestos en ese dictamen siguen siendo válidos, y la mayor parte de ellos se aplican en cierta medida también a las presentes propuestas, que reflejan en muchas de sus disposiciones las de aquélla. El presente dictamen, que tiene presentes todas las propuestas recibidas hasta el momento para su consulta, al igual que la evolución de las negociaciones en el Consejo, abordará la cuestión de la aplicación de los principios de protección de datos en el ámbito de las medidas restrictivas, y formulará recomendaciones de mejora. Estas recomendaciones tendrán en cuenta también la entrada en vigor del Tratado de Lisboa, así como las importantes directrices estratégicas establecidas en el Programa de Estocolmo adoptado recientemente (4). En razón de este enfoque el SEPD sólo emitirá ulteriores dictámenes relativos a propuestas legislativas en este campo en la medida en que dichas propuestas difieran sustancialmente de lo dispuesto en las actuales propuestas.

6.

El presente dictamen se centra en los aspectos de las medidas restrictivas que guardan una relación directa con la protección de datos personales, y especialmente en los aspectos que el SEPD recomienda que se clarifiquen dentro de este campo, a fin de garantizar la seguridad jurídica y la eficacia de las medidas. No aborda ni incide en otras cuestiones de fondo que puedan guardar relación con la inclusión en una lista en aplicación de otras normas.

7.

Las propuestas de la Comisión se encaminan a tener en cuenta la jurisprudencia del Tribunal de Justicia, que reiteró en diversas ocasiones que las normas de la UE en materia de protección de los derechos fundamentales habrán de respetarse con independencia de que las medidas restrictivas se adopten en el plano de la UE o emanen de organizaciones internacionales como las Naciones Unidas (5).

8.

Los derechos fundamentales de la UE incluyen también el derecho a la protección de los datos personales, que el Tribunal de Justicia reconoció como uno de los principios derivados del artículo 6, apartado 2 del TUE, confirmado también por el artículo 8 de la Carta de los Derechos Fundamentales de la UE (6). En el contexto de las medidas restrictivas, el derecho a la protección de datos ocupa un lugar fundamental, por cuanto también incide en el respeto efectivo de otros derechos fundamentales, como el derecho a la defensa, el derecho a ser oído y el derecho a la tutela judicial efectiva.

9.

Con esta perspectiva, el SEPD, como ya lo hizo en su dictamen de 28 de julio de 2009 relativo a las medidas restrictivas contra Al-Qaida, muestra su satisfacción por la intención de la Comisión de mejorar el marco jurídico vigente reforzando el procedimiento de inclusión en la lista y teniendo en cuenta explícitamente el derecho a la protección de los datos personales. Las medidas restrictivas se fundan en el tratamiento de datos personales, que a su vez (con independencia de la inmovilización de bienes) está sujeto a normas y garantías de protección de datos. Así pues, reviste una importancia extrema la existencia de claridad y seguridad jurídica en cuanto a las normas aplicables al tratamiento de los datos personales de las personas incluidas en la lista, también a efectos de garantizar la legalidad y la legitimidad de las propias medidas restrictivas.

10.

El Programa de Estocolmo precisa claramente que «cuando se trata de evaluar la intimidad del individuo en el espacio de libertad, seguridad y justicia, prevalece el derecho a la libertad» y que la UE debe promover la aplicación de los principios de protección de datos dentro de la UE y en sus relaciones con otros países.

11.

La entrada en vigor del Tratado de Lisboa refuerza el marco jurídico en esta material por una parte, establece dos nuevas bases jurídicas (los artículos 75 y 215 del TFUE) que permiten a la UE adoptar medidas restrictivas contra personas físicas o jurídicas y contra grupos o entidades no estatales. Por lo demás, los artículos 16 del TFUE y 39 del TUE reafirman el derecho a la protección de los datos de carácter personal y la necesidad de normas y garantías de protección de datos en todos los ámbitos de actividad de la Unión Europea, y la Carta de los Derechos Fundamentales de la UE adquiere un valor vinculante, que —como se reconoce expresamente en el Programa de Estocolmo— «reforzará la obligación que incumbe a la Unión, incluidas sus instituciones, de asegurarse de que en todos sus sectores de actividad se promuevan de forma activa los derechos fundamentales» (7).

12.

Concretamente, por lo que atañe al tratamiento de datos personales efectuado por instituciones de la UE, el artículo 16 del TFUE se aplica a todas las actividades de la UE, incluida la Política Exterior y de Seguridad Común, en tanto que el artículo 39 del TUE prevé un procedimiento de decisión distinto por lo que respecta al tratamiento de datos personales efectuado por los Estados miembros en el ámbito de la Política Exterior y de Seguridad Común. Además, el Tribunal de Justicia adquiere plena competencia, incluso en el ámbito de la Política Exterior y de Seguridad Común, para determinar la legalidad (y concretamente el respeto de los derechos fundamentales) de las decisiones que imponen medidas restrictivas contra personas físicas o jurídicas (artículo 275 del TFUE).

13.

Por otra parte, la adhesión de la UE al Convenio Europeo de Derechos Humanos, prevista en el Tratado de Lisboa, dará todavía más relevancia a las posiciones adoptadas por el Consejo de Europa en materia de elaboración de listas negras (8) y a la jurisprudencia del Tribunal Europeo de Derechos Humanos en relación con el marco jurídico de la UE.

14.

En estas condiciones, el artículo 8 de la Carta de los Derechos Fundamentales reviste especial importancia, en particular cuando afirma que los datos de carácter personal se tratarán de modo leal y con fundamento previsto por la ley, y que «toda persona tiene derecho a acceder a los datos recogidos que la conciernan». Estos elementos esenciales de la protección de datos deberán respetarse en todas las medidas de la UE, y las personas pueden incluso estar facultadas para reivindicar el efecto directo (con independencia de cualquier reconocimiento expreso en el Derecho derivado de la UE) de los derechos que les reconoce este artículo.

15.

El nuevo marco jurídico creado con la entrada en vigor del Tratado de Lisboa proporciona al legislador los instrumentos necesarios y le impone la obligación de fijar normas completas y coherentes en materia de protección de datos personales, e igualmente en el campo de las medidas restrictivas. Esta obligación es tanto más importante habida cuenta de la proliferación y de la duración cada vez mayor de este tipo de medidas, que tienen consecuencias de gran alcance para las personas afectadas.

16.

En estas circunstancias, el SEPD recomienda vivamente a la Comisión que abandone el actual enfoque fragmentario conforme al cual se adoptan medidas específicas, y a veces diferentes, en materia de tratamiento de datos personales para cada país u organización, y que proponga un marco general coherente para todas las sanciones selectivas aplicadas por la UE contra personas físicas o jurídicas, entidades u organismos, que garantice el respeto de los derechos fundamentales de las personas afectadas, y en especial el respeto del derecho fundamental a la protección de los datos de carácter personal. Las restricciones necesarias de estos derechos deberán estar claramente fijadas en la legislación, ser proporcionadas, y en cualquier caso, respetar la esencia de estos derechos.

17.

En opinión del SEPD, este esfuerzo deberá desarrollarse paralelamente al objetivo establecido por el Consejo Europeo en el Programa de Estocolmo, de «obrar con el objetivo de impulsar la concepción, aplicación y eficacia de las sanciones del Consejo de Seguridad de la ONU para salvaguardar los derechos fundamentales y garantizar procedimientos justos y claros» (9).

18.

En los puntos siguientes, en los que se analizan las propuestas que nos ocupan, no sólo se formularán recomendaciones destinadas a mejorar las disposiciones de estas propuestas, sino que también se destacarán los aspectos de la protección de datos que actualmente no se contemplan, y cuya aclaración recomienda el SEPD, bien en estos mismos instrumentos jurídicos, bien en un marco más general.

19.

Como ya se señalaba en el dictamen del SEPD de 28 de julio de 2009, las normas de protección de datos establecidas en el Reglamento (CE) no 45/2001 son aplicables al tratamiento de datos de carácter personal efectuado por las instituciones de la UE en el contexto de medidas restrictivas, aun cuando dichas medidas emanen de organizaciones internacionales o de posiciones comunes adoptadas en el marco de la Política Exterior y de Seguridad Común.

20.

Así las cosas, el SEPD se congratula de las referencias que en las propuestas que nos ocupan se hacen a la aplicabilidad del Reglamento (CE) no 45/2001, así como a los derechos de los interesados que del mismo se derivan. Sin embargo, el SEPD lamenta que la evolución de las negociaciones relativas a las medidas restrictivas aplicadas contra Al-Qaida haya dado lugar a la supresión de algunas de esas referencias.

21.

En tal sentido, el SEPD desea subrayar que esas supresiones ni excluyen ni limitan la aplicabilidad de esas obligaciones y de los derechos de los interesados que ya no se mencionan expresamente en los instrumentos jurídicos. No obstante, el SEPD estima que la mención expresa y el tratamiento de los aspectos de la protección de datos en los instrumentos jurídicos relativos a medidas restrictivas no sólo sirve para potenciar la protección de los derechos fundamentales, sino que también evita que cuestiones delicadas queden poco claras y den por ello lugar a acciones ante los tribunales.

22.

Desde un punto de vista más general, el SEPD recalca que, con arreglo al artículo 8 de la Carta de los Derechos Fundamentales de la UE, «toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.». Así pues, este derecho debe garantizarse en la Unión Europea con independencia de la nacionalidad, el lugar de residencia o las actividades profesionales de las personas de que se trate. Ello implica que, si bien pueden ser necesarias algunas limitaciones de este derecho en el marco de medidas restrictivas, no puede aplicarse una exclusión de principio o general de este derecho respecto a categorías de personas, como las personas que tengan vínculos con el gobierno de un tercer país.

23.

Conforme a la normativa de protección de datos [artículo 4 del Reglamento (CE) no 45/2001], los datos personales deberán ser tratados de manera leal y lícita, recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; también deberán ser adecuados, pertinentes y no excederán de los fines para los que se recaben y para los que se traten posteriormente. Además, los datos personales habrán de ser exactos y actualizados: se tomarán todas las medidas razonables para la supresión o rectificación de los datos inexactos o incompletos. Por otra parte, los datos personales deberán ser conservados en una forma que permita la identificación de los interesados durante un período que no podrá ser superior al necesario para la consecución de los fines para los que fueron recogidos o para los que se traten posteriormente.

24.

El SEPD celebra que todas las propuestas de la Comisión (10) definan de manera explícita las categorías de datos personales que vayan a tratarse en el marco de las medidas restrictivas, y regulen expresamente el tratamiento de datos personales en relación con infracciones penales, condenas y medidas de seguridad.

25.

Habida cuenta de lo anterior, el SEPD muestra su satisfacción por el principio establecido en el apartado 3 del artículo 7 sexies de la propuesta Al-Qaida según el cual en el anexo se podrán incluir los apellidos y nombres de los padres de la persona física sólo cuando sean necesarios en un caso específico con la única finalidad de verificar la identidad de la persona física en cuestión incluida en la lista. Esta disposición refleja el principio de protección de datos consistente en la limitación de la finalidad, que establece que los datos personales deben recogerse para un fin determinado y no ser tratados ulteriormente de un modo incompatible con ese fin.

26.

A fin de garantizar que este principio se especifique y aplique adecuadamente a todo tratamiento de datos personales en este ámbito, el SEPD recomienda que este principio se haga explícitamente aplicable a todas las categorías de datos, modificando los artículos correspondientes en el sentido de que el anexo con la lista de las personas afectadas «solamente incluirá la información necesaria a efectos de verificación de la identidad de las personas físicas incluidas en la lista y en cualquier caso no más de la siguiente información». Esta modificación permitiría que se evitara la obtención y publicación de información innecesaria sobre las personas físicas incluidas en la lista y sobre los miembros de su familia.

27.

Además, el SEPD sugiere que las propuestas prevean expresamente que los datos personales se suprimirán o se consignarán de manera anónima tan pronto como dejen de ser necesarios, en cada caso, para la aplicación de las medidas restrictivas o para procesos pendientes ante el Tribunal de Justicia.

28.

Por lo que respecta a la obligación de mantener los datos personales exactos y actualizados, las actuales propuestas asumen planteamientos distintos. La propuesta sobre Somalia, calcada de la relativa a Al-Qaida, dispone que cuando las Naciones Unidas decidan eliminar a una persona de la lista, la Comisión efectuará la consiguiente modificación de la lista de la UE (artículo 11, apartado 4). La propuesta sobre la República Democrática de Corea, en cambio, establece la obligación de revisar la lista de la UE regularmente y al menos cada 12 meses (artículo 6, apartado 2). Las otras propuestas no prevén ninguno de estos mecanismos.

29.

Sin embargo, todas las listas de la UE, con independencia del país al que se refieren y de si se adoptan directamente en el plano de la UE o bien en aplicación de decisiones de las Naciones Unidas, deben cumplir el criterio de la calidad de los datos, que en el ámbito de las medidas restrictivas reviste una importancia fundamental. En efecto, como observó recientemente el Tribunal de Primera Instancia (11), cuando las medidas restrictivas se basen en investigaciones policiales y de seguridad, a la hora de revisar las listas deberá tenerse debidamente en cuenta la evolución ulterior de estas investigaciones —como su cierre, el desestimiento de la acción judicial o el sobreseimiento de la causa penal— a fin de evitar que los activos de una persona queden inmovilizados de manera indefinida, sin que medie revisión judicial y sean cuales fueren los resultados de la acción judicial emprendida.

30.

Atendiendo a lo expuesto, el SEPD recomienda que para todas las propuestas actuales y futuras de esta índole se instauren mecanismos eficaces para suprimir a las personas físicas de las listas y para revisar las listas a intervalos regulares.

31.

En su dictamen de 28 de julio de 2009, el SEPD expresaba su satisfacción ante la intención de la Comisión de reforzar el respeto de los derechos fundamentales facilitando a los interesados los medios para recibir información acerca de los motivos de su inclusión en las listas y la oportunidad de expresar sus alegaciones al respecto. Ahora se propone el mismo tipo de disposición en relación con Somalia (12) y Guinea (13), mientras que por lo que respecta a Zimbabue (14) el derecho a conocer los motivos de la inclusión y a presentar alegaciones se limita a las personas no vinculadas al gobierno. La propuesta relativa a la República Democrática de Corea no menciona siquiera esta posibilidad.

32.

El SEPD recuerda la obligación de facilitar información a los interesados, en virtud del artículo 11 y, sobre todo, del artículo 12 del Reglamento (CE) no 45/2001, que trata de la información que se debe proporcionar cuando los datos no han sido recabados del propio interesado. Estas disposiciones deben respetarse en relación con toda persona, con independencia de su nacionalidad o de su vinculación al gobierno de un país determinado. Existen, desde luego, diversas maneras de suministrar información a las personas consignadas en las listas, que pueden adaptarse al contexto político concreto de las medidas restrictivas en cuestión. Por otra parte, pueden establecerse limitaciones o excepciones a tenor del artículo 20 del Reglamento (CE) no 45/2001 (15) en la medida en que sean necesarias atendiendo a las circunstancias concretas, pero no cabe la posibilidad de una exclusión general e ilimitada de la obligación de facilitar información.

33.

Por consiguiente, el SEPD recomienda que se traten de manera más explícita en todas las propuestas actuales y futuras en este ámbito el derecho de las personas incluidas en las listas a ser informadas, así como las condiciones y modalidades de las restricciones que puedan requerirse.

34.

El apartado 2 del artículo 8 de la Carta de los Derechos Fundamentales de la UE dispone que «[t]oda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación», lo que convierte el derecho de acceso en uno de los elementos esenciales del derecho fundamental a la protección de los datos de carácter personal. En el mismo orden de ideas, el artículo 13 del Reglamento (CE) no 45/2001 concede a los interesados el derecho a obtener del responsable del tratamiento en cualquier momento y sin restricciones, dentro de un plazo de tres meses a partir de la recepción de la solicitud y con carácter gratuito, entre otras cosas, comunicación en forma inteligible de los datos objeto de tratamiento [véase la letra c)].

35.

En el terreno de las medidas restrictivas, es frecuente que los datos personales relativos a las personas incluidas en las listas, y particularmente los datos relativos a los motivos que justifican dichas inclusiones, estén recogidos en documentos clasificados. Por lo que respecta a ese tipo de documentos, todas las propuestas de la Comisión prevén disposiciones idénticas: en primer lugar se dispone que si las Naciones Unidas o un Estado presentan información clasificada, la Comisión tratará dicha información de conformidad con las Disposiciones de la Comisión en materia de seguridad [Decisión 2001/844/CE, CECA, Euratom (16)] y, en caso pertinente, con el Acuerdo sobre la seguridad de la información clasificada entre la Unión Europea y el Estado que la presente; en segundo lugar, se precisa que los documentos clasificados a un nivel que corresponda al de «Très Secret UE/EU Top Secret», «Secret UE» o «Confidentiel UE» no se harán públicos sin el consentimiento del autor (17).

36.

El SEPD ya analizó con detalle estas disposiciones en su dictamen de 28 de julio de 2009 (18), y observó que ni las disposiciones de la Comisión en materia de seguridad ni los acuerdos con Estados miembros individuales o con la ONU abordan la cuestión del acceso de los interesados a los datos de carácter personal que les conciernan. Por otra parte, si bien cabe prever limitaciones al derecho de acceso en el ámbito de las medidas restrictivas, las actuales disposiciones no garantizan que sólo puedan establecerse limitaciones cuando sean necesarias, ni prevén criterios sustantivos para evaluar esa necesidad. En efecto, conforme a las propuestas, el derecho de acceso estaría sujeto a una obligación incondicional de recabar el consentimiento del titular de la información, lo que daría a éste una total discrecionalidad, aun cuando se tratara de partes no sujetas al Derecho de la UE ni a las normas de la UE en materia de protección de los derechos fundamentales.

37.

Las negociaciones llevadas a cabo en el Consejo han llevado a la supresión de esta disposición en la propuesta sobre Al-Qaida.

38.

Así las cosas, el SEPD recomienda encarecidamente que el legislador aborde en las propuestas actuales y futuras la cuestión esencial del derecho de las personas incluidas en las listas a acceder [directa o indirectamente, a través de otras autoridades (19)] a los datos personales que les conciernan y figuren en documentos clasificados, supeditado a las restricciones proporcionadas que puedan ser necesarias en determinadas circunstancias.

39.

Además, el SEPD desea recordar que el Reglamento (CE) no 45/2001 establece otros derechos de los interesados que el legislador podría considerar oportuno abordar en éstas o en futuras propuestas. En particular, el artículo 14 del Reglamento (CE) no 45/2001 establece la obligación para el responsable del tratamiento de efectuar una rectificación inmediata de los datos personales inexactos o incompletos, al tiempo que el artículo 17 le obliga a notificar a los terceros a quienes se hayan comunicado los datos toda rectificación o supresión de datos (como la supresión de una persona de la lista), a no ser que resulte imposible o suponga un esfuerzo desproporcionado.

40.

Asimismo, el SEPD celebra que todas las propuestas contemplen expresamente el nombramiento de una unidad de la Comisión Europea como responsable del tratamiento, potenciando así la notoriedad del responsable del tratamiento y facilitando el ejercicio de los derechos de los interesados así como la atribución de responsabilidades con arreglo al Reglamento (CE) no 45/2001.

41.

Una cuestión importante que por el momento no se aborda explícitamente en las propuestas pero que está implícita en el procedimiento de elaboración de listas es la de velar por que los datos gocen de una protección adecuada cuando la UE los intercambia con terceros países y organizaciones internacionales, como las Naciones Unidas.

42.

A este respecto, el SEPD se remite al artículo 9 del Reglamento (CE) no 45/2001, que establece las condiciones para la transmisión de datos personales a destinatarios distintos de los organismos comunitarios que no estén sujetos a la Directiva 95/46/CE. Se contempla una variada gama de soluciones que van desde el consentimiento del interesado [apartado 6, letra a)] y la interposición de acciones legales [apartado 6, letra d)] —que podrían resultar útiles en caso de que la información hubiera sido aportada por la persona que figura en la lista con miras a promover la revisión de ésta— hasta la existencia en las Naciones Unidas o en el tercer país de que se trate de mecanismos destinados a garantizar una adecuada protección de los datos personales transmitidos desde la UE.

43.

El SEPD, recordando que las distintas actividades de tratamiento previstas deberían estar en consonancia con este sistema, recomienda al legislador que vele por que existan mecanismos y medidas de protección adecuadas (como especificaciones en las propuestas y acuerdos con la ONU o con otros países pertinentes) para asegurar una protección suficiente de los datos personales intercambiados con terceros países y organizaciones internacionales.

44.

El SEPD considera que la cuestión de las restricciones y limitaciones de determinados derechos fundamentales, como es el caso de la protección de datos personales, desempeña un papel crucial en el ámbito de las medidas restrictivas, por cuanto pueden ser necesarias para garantizar el cumplimiento efectivo y correcto de las medidas restrictivas.

45.

El Convenio Europeo de Derechos Humanos, la Carta de los Derechos Fundamentales de la UE y los instrumentos jurídicos específicos en materia de protección de datos, que incluyen el artículo 20 del Reglamento (CE) no 45/2001, contemplan esta posibilidad, supeditada a determinadas condiciones que han sido reafirmadas y aclaradas tanto por el Tribunal Europeo de Derechos Humanos como por el Tribunal de Justicia Europeo (20). En resumen, estas restricciones del derecho fundamental a la protección de datos deben basarse en actos legislativos y ajustarse a una prueba rigurosa de proporcionalidad, es decir, deben limitarse —tanto en cuanto a su fondo como a su aplicación en el tiempo— a lo que sea necesario para proteger el interés público que esté en juego, según lo confirma la amplia jurisprudencia del Tribunal de Justicia al respecto, también en el ámbito de las medidas restrictivas. Unas medidas generales, desproporcionadas o imprevisibles no se ajustarían a esta prueba.

46.

Por ejemplo, será menester aplazar la información a los interesados en la medida necesaria para asegurar el «efecto sorpresa» de la decisión de inclusión de la persona en la lista e inmovilización de sus bienes. Sin embargo, como lo señaló el TPI en su jurisprudencia (21), seguir denegando o aplazando esta información incluso después de la inmovilización de fondos sería innecesario y por ende desproporcionado. Cabe prever asimismo restricciones proporcionadas y temporales del derecho de las personas consignadas en la lista a acceder a los datos personales que les conciernan —con inclusión de la información sobre las decisiones en que se basa la inclusión en la lista— pero una exclusión general y permanente de este derecho violaría la esencia del derecho fundamental a la protección de los datos de carácter personal.

47.

El Reglamento (CE) no 45/2001 ofrece ya un marco jurídico que contempla a la vez restricciones y salvaguardias. Los apartados 3 y 4 de su artículo 20 contienen normas relativas a la aplicación de una limitación. A tenor del apartado 3, la institución de que se trate deberá informar al interesado, de conformidad con el Derecho comunitario, de las razones principales que justifican la limitación, así como de su derecho a recurrir al SEPD. El apartado 4 contiene otra norma que se refiere expresamente a la limitación del derecho de acceso. Dispone que, en caso de que se invoque una limitación contemplada en el apartado anterior para denegar al interesado el acceso a los datos, el SEPD, durante la investigación subsiguiente a la reclamación, sólo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias (22).

48.

Todas las propuestas actuales abordan la cuestión de las limitaciones de la protección de datos sólo de manera parcial o implícita, dejando así un margen para que existan conflictos de normas y posibles divergencias de interpretación susceptibles de presentarse ante los tribunales. Las negociaciones de la propuesta sobre Al Qaida parecen ir en la dirección de reducir las referencias a los derechos a la protección de datos y a la necesidad de las restricciones.

49.

En tal situación, el SEPD recomienda al legislador que aborde esta delicada cuestión precisando, en las actuales propuestas o en otro instrumento jurídico, las limitaciones de los principios de la protección de datos y las medidas de salvaguardia que pueden ser necesarias en el ámbito de las medidas restrictivas. Esto haría que las limitaciones fuesen previsibles y proporcionadas, garantizando al mismo tiempo la eficacia de las medidas restrictivas, el respeto de los derechos fundamentales y la reducción de las demandas judiciales. Por otra parte, esto refleja el Programa de Estocolmo, en el que se indica claramente que la UE debe prever y regular las circunstancias en que se justifica la interferencia de los poderes públicos con el ejercicio de los derechos a la protección de datos (23).

50.

Con arreglo al artículo 32, apartado 4 del Reglamento (CE) no 45/2001, así como al artículo 23 de la Directiva 95/46/CE, toda persona que haya sufrido un perjuicio como consecuencia de un tratamiento ilícito de datos tendrá derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido, salvo que el responsable del tratamiento demuestre que no se le puede imputar el hecho que ha provocado el daño. Se trata de una especificación del concepto jurídico general de responsabilidad, mediante la inversión de la carga de la prueba.

51.

Así las cosas, las medidas restrictivas se fundan en el tratamiento y la publicación de datos personales, que de hacerse de forma ilegítima pueden dar lugar de por sí a daño moral —con independencia de las medidas restrictivas que se hayan adoptado— como ya ha reconocido el TPI (24).

52.

El SEPD observa que esta responsabilidad extracontractual por un tratamiento de datos personales efectuado infringiendo la legislación de protección de datos aplicable mantiene su validez y que no cabe privarla de su contenido esencial, aun cuando algunas de las actuales propuestas (25) excluyen la responsabilidad de las personas físicas y jurídicas que aplican las medidas restrictivas, excepto en caso de negligencia.

53.

Las personas incluidas en listas tienen derecho de recurso jurisdiccional así como de recurso administrativo ante las autoridades de control competentes en materia de protección de datos. Estos últimos recursos incluyen la audición de las reclamaciones presentadas por los interesados, conforme al artículo 32 del Reglamento (CE) no 45/2001, y se sustentan en la facultad del SEPD de obtener de un responsable de tratamiento o de una institución u organismo comunitario el acceso a todos los datos personales y a toda la información necesaria para sus investigaciones [véase el artículo 47, apartado 2 letra b) del Reglamento (CE) no 45/2001].

54.

La supervisión independiente del cumplimiento de las normas de protección de datos es un principio esencial de la protección de datos en lo que atañe a los tratamientos de datos personales en el curso de todas las actividades de la UE, ahora consagrado de forma expresa no sólo en el artículo 8 de la Carta de los Derechos Fundamentales de la UE sino también en el artículo 16 del TFUE y en el artículo 39 del TUE.

55.

Como ya mencionó en su dictamen del 28 de julio de 2009 (26), inquieta al SEPD que la condición de que la información clasificada únicamente se podrá divulgar con el consentimiento del autor no sólo pueda incidir en la supervisión independiente del SEPD en la materia, sino también afectar a la eficacia de este recurso judicial, incidiendo en la capacidad del TJE de investigar si se respeta un justo equilibrio entre la necesidad de combatir el terrorismo internacional y la protección de los derechos fundamentales. Como afirmó el TPI en su sentencia de 4 de diciembre de 2008, para que el Tribunal pueda llevar a cabo este examen puede ser necesario que acceda a información clasificada (27).

56.

A tenor de lo expuesto, el SEPD recomienda que en las actuales propuestas se vele por que los recursos jurisdiccionales existentes y la supervisión independiente por las autoridades de control en materia de protección de datos sean plenamente aplicables, y por que su eficacia no se vea menoscabada por las condiciones impuestas para el acceso a documentos clasificados. En tal sentido, una primera medida consistiría en sustituir en la versión inglesa de los artículos pertinentes de las propuestas actuales (28) la expresión «released» por «publicly disclosed» (29).

57.

El SEPD tiene la firme convicción de que la lucha contra quienes socavan el respeto de los derechos fundamentales deberá llevarse a cabo por medio del respeto de los derechos fundamentales.

58.

Teniendo esto en mente, y como ya hizo en su dictamen de 28 de julio de 2009 en relación con las medidas restrictivas contra Al Qaida, celebra la intención de la Comisión de mejorar el marco jurídico vigente perfeccionando el procedimiento de elaboración de listas y teniendo en cuenta de forma expresa el derecho a la protección de los datos de carácter personal.

59.

A la luz de los instrumentos que ofrece el Tratado de Lisboa y de la perspectiva a largo plazo presentada en el Programa de Estocolmo, el SEPD recomienda encarecidamente a la Comisión que abandone el actual enfoque fragmentario conforme al cual se adoptan medidas específicas, y a veces diferentes, en materia de tratamiento de datos personales para cada país u organización, y que proponga un marco general coherente para todas las sanciones selectivas aplicadas por la UE contra personas físicas o jurídicas, entidades u organismos, que garantice el respeto de los derechos fundamentales de las personas afectadas, y en especial el respeto del derecho fundamental a la protección de los datos de carácter personal. Las restricciones necesarias de estos derechos deberán estar claramente fijadas en la legislación, ser proporcionadas, y en cualquier caso, respetar la esencia de estos derechos.

60.

El SEPD expresa su satisfacción por la mención en las actuales propuestas de la aplicabilidad del Reglamento (CE) no 45/2001, así como de los derechos de los interesados que del mismo se derivan.

61.

Por lo que atañe a la calidad de los datos y a la limitación de la finalidad del tratamiento, el SEPD recomienda ciertas modificaciones destinadas a garantizar que sólo se sometan a tratamiento datos necesarios, que éstos se mantengan actualizados y que no se conserven más tiempo del requerido. En particular, el SEPD recomienda que para todas las propuestas actuales y futuras de esta índole se instauren mecanismos eficaces para suprimir a las personas físicas de las listas y para revisar las listas a intervalos regulares.

62.

El SEPD recomienda que se traten de manera más explícita en todas las propuestas actuales y futuras en este ámbito el derecho de las personas incluidas en las listas a ser informadas, así como las condiciones y modalidades de las restricciones que puedan requerirse.

63.

El SEPD recomienda vivamente al legislador que aborde en las propuestas actuales y futuras la cuestión esencial del derecho de las personas incluidas en las listas a acceder a los datos personales que les conciernan y figuren en documentos clasificados, supeditado a las restricciones proporcionadas que puedan ser necesarias en determinadas circunstancias.

64.

El SEPD recomienda al legislador que vele por que existan mecanismos y medidas de protección adecuados (como especificaciones en las propuestas y acuerdos con la ONU o con terceros países pertinentes) para asegurar una protección suficiente de los datos personales intercambiados con terceros países y organizaciones internacionales.

65.

El SEPD recomienda al legislador que especifique, bien en las actuales propuestas o bien en otro instrumento jurídico, las limitaciones de los principios de protección de datos y las salvaguardias que puedan ser necesarias en el ámbito de las medidas restrictivas, con miras a garantizar que éstas sean previsibles y proporcionadas.

66.

El SEPD observa que no cabe privar de su contenido esencial al principio de la responsabilidad en caso de tratamiento ilícito de datos personales, que mantiene su validez.

67.

El SEPD recomienda que se vele por que los recursos jurisdiccionales existentes y la supervisión independiente por las autoridades de control en materia de protección de datos sean plenamente aplicables, y por que su eficacia no se vea menoscabada por las condiciones impuestas para el acceso a documentos clasificados.