31.7.2012

ES

Diario Oficial de la Unión Europea

C 229/90

---

Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)»

COM(2012) 11 final — 2012/011 (COD)

2012/C 229/17

Ponente general: Jorge PEGADO LIZ

El 16 de febrero de 2012 el Parlamento Europeo y el 1 de marzo de 2012 el Consejo, de conformidad con el artículo 304 del Tratado de Funcionamiento de la Unión Europea, decidieron consultar al Comité Económico y Social Europeo sobre la

«Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)»

COM(2012) 11 final — 2012/011 (COD).

El 21 de febrero de 2012, la Mesa del Comité encargó a la Sección Especializada de Empleo, Asuntos Sociales y Ciudadanía la preparación de los trabajos del Comité en este asunto.

Dada la urgencia de los trabajos, en su 481o Pleno de los días 23 y 24 de mayo de 2012 (sesión del 23 de mayo de 2012), el Comité Económico y Social Europeo designó ponente general al Sr. PEGADO LIZ y aprobó por 165 votos a favor, 34 votos en contra y 12 abstenciones el presente Dictamen.

1.   Conclusión y recomendaciones

1.1

El CESE apoya la orientación general adoptada por la Comisión, manifiesta su acuerdo con la base de habilitación propuesta y aprueba en principio los objetivos de la propuesta, que siguen de cerca un dictamen del Comité. Por lo que se refiere al estatuto jurídico de la protección de datos, el CESE considera que el tratamiento y la transferencia de datos en el mercado interior deben estar limitados por el derecho a la protección de datos personales consagrado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, y en el apartado 2 del artículo 16 del TFUE.

1.2

Por lo que respecta a la elección del reglamento como instrumento jurídico más adecuado para la consecución de los objetivos perseguidos, el CESE expresa sus reservas, y pide a la Comisión que explique mejor y justifique las razones por las que este instrumento sería preferible la directiva, o incluso indispensable.

1.3	No obstante, el Comité lamenta el excesivo número de excepciones y limitaciones, que minan los principios establecidos en materia de derecho a la protección de los datos personales.

1.4

En el nuevo contexto de la economía digital, el Comité comparte la opinión de la Comisión de que «los ciudadanos tienen derecho a ejercer un control efectivo sobre su información personal» y desea que ese derecho se amplíe a los distintos usos para los que se elaboran perfiles individuales a partir de datos recogidos por gran número de medios (legales y en ocasiones ilegales) y del tratamiento de los datos obtenidos.

1.5	Por lo que respecta a los derechos fundamentales, la armonización en ámbitos específicos mediante un reglamento debería permitir a los Estados miembros adoptar, en su legislación nacional, disposiciones no incluidas en el Reglamento o más favorables que las previstas en el mismo.

1.6	Además, el Comité no puede aceptar las remisiones casi sistemáticas a actos delegados que no dependen expresamente del artículo 290 del TFUE.

1.7

Con todo, el Comité celebra la intención de crear un marco institucional eficaz que garantice un funcionamiento efectivo de las disposiciones legales, tanto en las empresas (delegados de protección de datos o DPD) como en las administraciones públicas de los Estados miembros (autoridades de control independientes). No obstante, habría preferido que la Comisión eligiera un enfoque más acorde con las necesidades y aspiraciones reales de los ciudadanos y más modulado en función de la naturaleza de determinados ámbitos de la actividad económica y social.

1.8

El CESE estima que el texto propuesto es susceptible de toda una serie de mejoras y precisiones, y presenta ejemplos concretos sobre varios artículos, que abordan una mejor definición de los derechos, una mayor protección de los ciudadanos en general y de los trabajadores en particular, la naturaleza del consentimiento, la licitud del tratamiento y, en especial, las funciones de los delegados de protección de datos y el tratamiento de los datos en el ámbito laboral.

1.9	El CESE estima asimismo que deberían incluirse elementos que no se han considerado, en concreto la ampliación del ámbito de aplicación, el tratamiento de los datos sensibles o las acciones de grupo.

1.10

El CESE considera que los motores de búsqueda, que obtienen la mayoría de sus ingresos de la publicidad dirigida gracias a la recogida de datos personales de sus visitantes, incluso de la elaboración de perfiles, deben entrar expressis verbis en el ámbito de aplicación del Reglamento. Lo mismo debería suceder con los sitios de servidores que ofrecen espacio de almacenamiento y, en el caso de algunos, programas informáticos (informática en nube o cloud computing) y que recogen datos de los usuarios con fines comerciales.

1.11

También se debería incluir en dicho ámbito de aplicación la información personal publicada en las redes sociales, pues, en virtud del derecho al olvido, debería ser posible para la persona afectada modificar o suprimir información, o solicitar la supresión de su página personal y de los vínculos a otros sitios muy frecuentados en los que dicha información es reproducida o comentada. El artículo 9 debería modificarse a tal fin.

1.12

Por último, el CESE pide a la Comisión que reconsidere determinados aspectos de la propuesta que considera inaceptables en ámbitos sensibles, como la protección de los niños, el derecho de oposición, la elaboración de perfiles, determinadas limitaciones de los derechos, el umbral de 250 trabajadores para nombrar un DPD o el modo en que se regula la «ventanilla única».

2.   Introducción

2.1	Se ha consultado al CESE sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)» (1).

2.2

No obstante, hay que señalar que dicha propuesta forma parte de un «paquete» que comprende asimismo una Comunicación introductoria (2), una propuesta de Directiva (3) y un «Informe de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones presentado de conformidad con el artículo 29, apartado 2, de la Decisión Marco del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal» (4). No se ha consultado al CESE sobre todas las legislaciones propuestas, sino solo sobre el proyecto de Reglamento, cuando habría debido serlo también sobre la propuesta de Directiva.

2.3	La propuesta sobre la que se consulta al CESE se sitúa en la encrucijada de dos de las principales orientaciones jurídico-políticas y político-económicas de la UE.

2.3.1

Por una parte, está el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, así como el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE), que consagran la protección de los datos como un derecho fundamental que debe ser protegido como tal. Las comunicaciones de la Comisión Europea relativas al Programa de Estocolmo y al Plan de Acción destinado a aplicarlo encuentran en ellos su fundamento (5).

2.3.2

Por otra parte, está la Agenda digital para Europa y, más en general, la Estrategia Europa 2020, que preconizan la consolidación de la dimensión «mercado único» de la protección de datos y la reducción de las cargas administrativas a las empresas.

2.4

La intención de la Comisión es actualizar y modernizar los principios recogidos en la Directiva 95/46/CE consolidada, relativa a la protección de los datos, a fin de garantizar en el futuro los derechos de la persona al respeto de la vida privada en la sociedad digital y sus redes. El objetivo perseguido es reforzar los derechos de los ciudadanos, consolidar el mercado interior de la UE, garantizar un alto nivel de protección de los datos en todos los ámbitos (incluido el de la cooperación judicial en materia penal), garantizar la correcta aplicación de las disposiciones adoptadas a tal fin, facilitar el tratamiento transfronterizo de los datos y establecer normas universales en materia de protección de datos.

3.   Observaciones generales

3.1

En el nuevo contexto de la economía digital, el Comité comparte la opinión de la Comisión de que «los ciudadanos tienen derecho a ejercer un control efectivo sobre su información personal» y desea que dicho derecho se amplíe a los distintos usos para los que se elaboran perfiles individuales a partir de los datos recogidos por gran número de medios (legales y en ocasiones ilegales) y del tratamiento de los datos obtenidos. El Comité considera asimismo que el tratamiento y la transferencia de datos en el marco del mercado único deben estar limitados por el derecho a la protección consagrado en el artículo 8 de la Carta de los Derechos Fundamentales. Se trata de un derecho fundamental, inscrito en el Derecho institucional de la Unión y en la mayoría de las legislaciones nacionales de los Estados miembros.

3.2

De este modo, todo ciudadano o residente de la Unión goza de los derechos fundamentales inscritos en la Carta y en los Tratados, que son reconocidos también en el Derecho de los Estados miembros, a veces incluso a nivel constitucional. Otros derechos, como el derecho a la imagen o el derecho a la protección de la vida privada, completan y refuerzan el derecho a la protección de los datos. Debe ser posible ejercer esos derechos solicitando a un sitio de Internet que modifique o retire un perfil personal o un fichero del servidor y, en caso de inejecución, obtener de un juez una orden en dicho sentido.

3.3

El mantenimiento de ficheros de datos individuales es indispensable para la administración pública (6), la gestión del personal de las empresas, los servicios comerciales, las asociaciones y sindicatos, los partidos políticos o las redes sociales y los motores de búsqueda de Internet, pero, para proteger la vida privada de las personas legalmente inscritas en ficheros, conviene que esos ficheros, que tienen distintas finalidades, solo guarden los datos esenciales para sus respectivas finalidades y que no estén interconectados, a través de las TIC, sin necesidad ni protección legal. La existencia de una autoridad con acceso ilimitado a todos los datos representaría un riesgo para las libertades públicas y la vida privada.

3.4	Por lo que se refiere a los ficheros mantenidos por personas de Derecho privado, las personas afectadas deberán disponer de un derecho de acceso, corrección e incluso retirada para los ficheros de prospección comercial o de redes sociales.

3.5

En cuanto a los ficheros mantenidos por administraciones públicas o privadas y que obedezcan a obligaciones legales, las personas deberán disponer de un derecho de acceso, corrección en caso de error e incluso retirada cuando la inscripción de la persona haya perdido utilidad, por ejemplo, en caso de amnistía por lo que respecta a un fichero judicial o en caso de finalización de un contrato de trabajo, más allá de los plazos legales de conservación.

3.6

El CESE celebra la orientación general adoptada por la Comisión al reconocer que los objetivos de la Directiva 95/46/CE consolidada mantienen su actualidad, aunque, transcurridos 17 años, y con todos los cambios tecnológicos y sociales que se han producido en el entorno digital, resulta indispensable una revisión en profundidad. Por ejemplo, la Directiva 95/46/CE no abordaba determinados aspectos del intercambio transfronterizo de información y datos entre administraciones encargadas de la represión de los delitos penales y de la ejecución de las sentencias en el marco de la cooperación policial y judicial. Esta cuestión se trata en la propuesta de Directiva incluida en el paquete «protección de datos», sobre la que no se ha consultado al Comité.

3.7

El CESE aprueba en principio los objetivos de la propuesta, que se inscriben en la protección de los derechos fundamentales, y siguen de cerca la opinión del Comité (7), en particular por lo que respecta: — a la elaboración de un cuerpo único de normas en materia de protección de datos, válido en toda la Unión al nivel de protección más alto posible; — la reafirmación explícita de la libertad de circulación de datos personales en la UE; — la supresión de varias obligaciones administrativas inútiles, que, en opinión de la Comisión, representaría un ahorro anual de unos 2 300 millones de euros para las empresas; — la obligación de que las empresas y organizaciones notifiquen a la autoridad de control nacional las violaciones graves de datos personales en el plazo más breve posible (si es posible, en un plazo de 24 horas); — la posibilidad de que los ciudadanos se dirijan a la autoridad encargada de la protección de datos en su país, incluso cuando sus datos sean tratados por una empresa establecida fuera del territorio de la UE; — la facilitación al ciudadano del acceso a sus propios datos, así como la transferencia de datos personales de un prestador de servicios a otro (derecho a la portabilidad de los datos); — el «derecho al olvido digital», para garantizar a los ciudadanos la mejor gestión posible de los riesgos asociados a la protección de los datos en línea, con la posibilidad de conseguir la supresión de datos relativos a los mismos cuando ningún motivo legítimo justifique su conservación; — el refuerzo, con respecto a la situación actual, del papel de las autoridades nacionales independientes encargadas de la protección de datos, de modo que puedan hacer aplicar y respetar mejor las normas de la UE en el territorio del Estado al que pertenezcan, en especial al disponer de poder para imponer multas a las empresas que infrinjan las normas, multas que podrán ascender a un millón de euros o el 2 % del volumen de negocios anual total de la empresa; — la neutralidad tecnológica y su aplicación a todos los tratamientos de datos, ya sean automatizados o manuales; — la obligación de efectuar análisis de impacto en materia de protección de datos.

3.8

El CESE celebra que se haga hincapié en la protección de los derechos fundamentales y manifiesta su pleno acuerdo con la elección del fundamento jurídico propuesto, utilizado por primera vez en la legislación. Resalta también la gran importancia que reviste esta propuesta para la realización del mercado único y sus positivos efectos en el marco de la Estrategia Europa 2020. Por lo que respecta a la elección del reglamento, una parte de los miembros del CESE, independientemente de su Grupo de pertenencia, coincide con la Comisión en que se trata del instrumento jurídico más adecuado para garantizar una aplicación uniforme e incluso un nivel elevado de protección de los datos personales en todos los Estados miembros, mientras que otra parte opina que la directiva sería el mejor instrumento para salvaguardar el principio de subsidiariedad y garantizar la protección de los datos, sobre todo en aquellos Estados miembros que aseguran ya una protección más elevada que la establecida en la propuesta de la Comisión. Asimismo, el CESE es consciente de que los Estados miembros también están divididos en torno a esta cuestión. El CESE pide a la Comisión que fundamente mejor su propuesta, clarificando de manera explícita su compatibilidad con el principio de subsidiariedad y las razones por las que la elección del reglamento es indispensable para la consecución de los objetivos perseguidos.

3.8.1

Al tratarse de un Reglamento aplicable de inmediato y en su integridad en todos los Estados miembros, sin transposición, el CESE llama la atención de la Comisión sobre la necesidad de velar por la coherencia de las traducciones a todas las lenguas, lo que no sucede con la propuesta.

3.9

El CESE considera, por una parte, que la propuesta podría haber ido más lejos en la dimensión protectora de determinados derechos, que quedan prácticamente desprovistos de contenido a causa de las incontables excepciones y limitaciones y, por otra parte, que habría debido equilibrar mejor los derechos de unos y otros. Puede producirse así un desequilibrio entre los objetivos del derecho fundamental a la protección de los datos y los del mercado único, en detrimento del primero. El CESE comparte en lo esencial el dictamen expresado por el Supervisor Europeo de Protección de Datos (8).

3.10

El CESE habría deseado que la Comisión adoptara un enfoque más acorde con las necesidades y aspiraciones de los ciudadanos y más modulado en función de la naturaleza de determinados ámbitos de la actividad económica y social, como, por ejemplo, el comercio en línea, el marketing directo, las relaciones laborales, las autoridades públicas, la vigilancia y la seguridad, el ADN, etc., distinguiendo el régimen jurídico en función de estos aspectos, tan diferentes entre sí por lo que respecta al tratamiento de datos.

3.11

En cuanto a las distintas disposiciones contenidas en la propuesta (todas ellas recogidas en el artículo 86), aspectos muy importantes del instrumento jurídico y del funcionamiento del sistema se dejan a futuros actos delegados (26 delegaciones de poder de duración indeterminada). El CESE considera que ello excede con mucho los límites establecidos en el artículo 290 del Tratado y definidos en la Comunicación de la Comisión Europea relativa a la aplicación del artículo 290 del Tratado de Funcionamiento de la Unión Europea (9), y que tiene consecuencias para la seguridad y la certidumbre jurídicas del dispositivo. El CESE considera que el legislador europeo podría regular directamente un número determinado de delegaciones de poder. Otras podrían recaer en las autoridades nacionales de supervisión o en su agrupación a nivel europeo (10). Esto reforzaría la aplicación del principio de subsidiariedad y contribuiría a lograr una mayor seguridad jurídica.

3.12

El CESE comprende las razones que han llevado a la Comisión a ocuparse, en esta propuesta, solo de los derechos de las personas físicas, dada su naturaleza jurídica específica, pero pide que los datos relativos a las personas jurídicas, en particular las dotadas de personalidad jurídica, también sean objeto de la atención de la Comisión.

4.   Observaciones particulares

Puntos positivos:

4.1   La propuesta respeta el objeto y los objetivos de la Directiva 95/46/CE, en particular por lo que se refiere a determinadas definiciones, lo esencial de los principios relativos a la calidad de los datos y la legitimación del tratamiento, el tratamiento de categorías especiales de datos y determinados derechos de información y acceso a los datos.

4.2   La propuesta es positivamente innovadora en aspectos fundamentales, como son las nuevas definiciones, una mayor precisión de las condiciones para el consentimiento, en especial cuando se trata de niños, y la categorización de nuevos derechos, como los derechos de rectificación y supresión, en particular el derecho al «olvido digital», el contenido del derecho de oposición y la elaboración de perfiles, así como las obligaciones muy detalladas de los responsables del tratamiento y los subcontratistas, la seguridad de los datos y el marco general de sanciones, principalmente de naturaleza administrativa.

4.3   El Comité celebra asimismo la preocupación de la propuesta por crear un marco institucional eficaz para garantizar el funcionamiento efectivo de las disposiciones legales, tanto en las empresas (delegados de protección de datos) como en las administraciones públicas de los Estados miembros (autoridades de control independientes), así como la intensificación de la cooperación entre dichas autoridades y con la Comisión (creación del Consejo Europeo de Protección de Datos). No obstante, señala que deberán garantizarse las competencias de los responsables de la protección de datos nacionales –y, cuando haya lugar, regionales– en los Estados miembros.

4.4   Por último, considera positivos el estímulo a la elaboración de códigos de conducta y el papel de la certificación y de las marcas o etiquetas en materia de protección de los datos.

Aspectos que pueden mejorarse:

4.5.   Artículo 3 – Ámbito de aplicación territorial

4.5.1   Las condiciones de aplicación previstas en el apartado 2 son demasiado restrictivas; recordemos el caso de las empresas farmacéuticas con sede fuera de Europa y que, para los ensayos clínicos, desean acceder a datos clínicos de personas afectadas residentes en la UE.

4.6.   Artículo 4 – Definiciones

4.6.1   La definición de «consentimiento», que es la base esencial de toda la construcción de la protección de datos, debería precisarse más en sus elementos y, sobre todo, en la caracterización de «clara acción afirmativa» (en especial en la versión francesa).

4.6.2   El concepto de «transferencia de datos», que no se define en ninguna parte, debería ser objeto de una definición en el artículo 4.

4.6.3   El concepto de «lealtad», al que se alude en el artículo 5, letra a), debe definirse.

4.6.4   El concepto de datos que el interesado ha hecho «manifiestamente públicos» (artículo 9, apartado 2, letra e)) también requiere una definición precisa. La información libremente comunicada por una persona en un momento dado debe ser objeto expreso del derecho al olvido; además, habría que precisar que las redes sociales entran en el ámbito de aplicación, y no solo cuando elaboran perfiles con fines comerciales.

4.6.5   El concepto de «elaboración de perfiles», que se utiliza a lo largo de toda la propuesta, también debe ser objeto de una definición.

4.7   Artículo 6 – Licitud del tratamiento

4.7.1   En la letra f), el concepto de «interés legítimo perseguido por el responsable del tratamiento», que no esté ya cubierto por todos los apartados anteriores, parece vago y subjetivo y debe precisarse mejor en el texto y no dejarse a un acto delegado (apartado 5), más aún cuando el apartado 4 no menciona la letra f) (es importante, por ejemplo, para los servicios de correos y el marketing directo (11)).

4.8   Artículo 7- Consentimiento

En el apartado 3, habría que indicar que la retirada del consentimiento impedirá cualquier tratamiento futuro, y que solo compromete la licitud del tratamiento a partir del momento de la retirada del consentimiento.

4.9   Artículo 14 - Información

4.9.1   En el apartado 4, letra b), sería conveniente fijar un plazo máximo.

4.10   Artículo 31 – Notificación de una violación de datos personales a la autoridad de control (ADC)

4.10.1   La notificación de violaciones, cualesquiera que sean, puede comprometer el funcionamiento del sistema y, en definitiva, constituir un obstáculo a la responsabilización efectiva de los culpables.

4.11   Artículo 35 – Delegados de protección de datos

4.11.1   Por lo que respecta al delegado de protección de datos (DPD), convendría precisar mejor: las condiciones asociadas a esta función, en particular la protección contra el despido, que debe definirse con claridad y extenderse más allá del período durante el cual la persona afectada desempeñe esta función; las condiciones básicas, acompañadas de unos requisitos claros para el ejercicio de esta actividad; la liberación del DPD de toda responsabilidad cuando haya notificado las irregularidades detectadas al empleador o a las autoridades nacionales de protección de datos; el derecho de participación directa de los representantes del personal en la designación del DPD, y el derecho a la información periódica de dichos representantes (12) sobre los problemas detectados y su solución. También se debería precisar la cuestión de los recursos asignados a la función.

4.12   Artículo 39 – Certificación

4.12.1   La certificación deberá ser una de las tareas de la Comisión.

4.13   Artículos 82 y 33 – Tratamiento de datos en el ámbito laboral

4.13.1   En el artículo 82 falta una referencia explícita a la evaluación del rendimiento (que tampoco se menciona en el artículo 20 relativo a la «elaboración de perfiles»). Por otra parte, no se especifica si esta habilitación se aplica asimismo a la formulación de las disposiciones relativas al DPD. Habría que precisar además la prohibición de la «elaboración de perfiles» en el ámbito laboral en el contexto de la evaluación de impacto relativa a la protección de datos (artículo 33).

Puntos que faltan y deberían incluirse:

4.14   Artículos 81, 82. 83 y 84

4.14.1   En lugar de «dentro de los límites del presente Reglamento …» se debería decir «en virtud del presente Reglamento».

4.15   Ámbito de aplicación

4.15.1   Por lo que respecta a los derechos fundamentales, la armonización en ámbitos específicos debería permitir a los Estados miembros adoptar, en su legislación nacional, disposiciones no incluidas en el Reglamento o más favorables que las previstas en el mismo, tal como se consagra ya para los ámbitos previstos en los artículos 80 a 85.

4.15.2   Las direcciones IP de las personas deberían incluirse expresamente en el cuerpo del Reglamento entre los datos personales que deben protegerse, y no solo en los considerandos.

4.15.3   Los motores de búsqueda, que obtienen lo esencial de sus ingresos de la publicidad, recogen datos personales de los usuarios y hacen un uso comercial de los mismos, deben incluirse en el ámbito de aplicación del Reglamento, y no solo en los considerandos.

4.15.4   Convendría precisar que las redes sociales entran en el ámbito de aplicación, y no solo cuando elaboran perfiles con fines comerciales.

4.15.5   Los métodos de control y filtrado de destinados a luchar contra la falsificación y que tienen por efecto la elaboración de perfiles de determinados usuarios de la red, ficharlos y controlar todos sus movimientos, sin una autorización judicial nominal, deben entrar también en el ámbito de aplicación del Reglamento.

4.15.6   Sería igualmente deseable que las Instituciones y órganos de la Unión se sometieran a las obligaciones del Reglamento.

4.16   Artículo 9 – Categorías especiales de datos personales

4.16.1   El mejor modo de proceder consistiría en definir unos regímenes especiales en función de las circunstancias, las situaciones y las finalidades de los tratamientos de datos. Hay que añadir una prohibición de «elaboración de perfiles» en estos ámbitos.

4.16.2   Procede introducir el principio de no discriminación en el tratamiento de datos sensibles con fines estadísticos.

4.17   Deberían incluirse posibilidades (no explotadas) en los siguientes ámbitos:

—	participación de los representantes del personal en todos los niveles, nacionales y europeos, en la elaboración de «normas corporativas vinculantes», que a partir de ahora deben admitirse como condición para la transferencia internacional de datos (artículo 43);

—	información y consulta del Comité de empresa europeo con ocasión de las transferencias internacionales de datos de los empleados, en especial a terceros países;

—	información y participación de los interlocutores sociales europeos y las ONG europeas de consumidores y defensa de los derechos humanos en la designación de los miembros del Consejo Europeo de Protección de Datos que debe sustituir al Grupo de Trabajo del artículo 29;

—	información y participación de dichos interlocutores y ONG de ámbito nacional en la designación de los miembros de las autoridades nacionales de protección de datos, lo que tampoco está previsto.

4.18   Artículos 74 a 77 – Acciones de grupo por ilegalidad de ficheros y por daños y perjuicios

4.18.1   La mayoría de las violaciones del derecho a la protección de datos son de carácter colectivo: cuando se producen, la infracción no afecta a una sola persona, sino un grupo de personas fichadas o a todas ellas. Las vías de recurso jurisdiccional individuales tradicionales no son adecuadas para reaccionar contra este tipo de violaciones. Ahora bien, si el artículo 76 autoriza a todo organismo, organización o asociación que tenga por objeto proteger los derechos de las personas afectadas a entablar, en nombre de una o varias personas afectadas, los procedimientos previstos en los artículos 74 y 75, no sucede lo mismo cuando se trata de reclamar una reparación o una indemnización por daños y perjuicios, ya que, en este caso, el artículo 77 solo prevé esta posibilidad para las personas individuales y no admite un procedimiento de representación colectiva o acción de grupo.

4.18.2   A tal fin, el Comité recuerda que desde hace años ha defendido en varios dictámenes la necesidad y la urgencia de dotar a la UE de un instrumento judicial de acción de grupo armonizado a escala europea, necesario en muchos ámbitos del Derecho de la UE y que existe en varios Estados miembros.

Cuestiones inaceptables:

4.19   Artículo 8 - Niños

4.19.1   Dado que «niño» se define como toda persona menor de 18 años (artículo 4, punto 18), de acuerdo con la Convención de Nueva York, no es aceptable que, en el apartado 1 del artículo 8, se otorgue a los niños de 13 años la posibilidad de «consentir» al tratamiento de sus datos personales.

4.19.2   Aunque el CESE comprende la necesidad de definir normas específicas para las PYME, no es aceptable que, mediante un acto delegado, la Comisión pueda eximir pura y simplemente a las PYME de la obligación de respetar los derechos del niño.

4.20   Artículo 9 – Categorías especiales

4.20.1   Del mismo modo, en el artículo 9, apartado 2, letra a), no hay ninguna razón para que los niños puedan dar su «consentimiento» al tratamiento de datos relativos a su origen nacional, opiniones políticas, religión, salud, vida sexual o condenas penales.

4.20.2   Los datos aportados de forma voluntaria por las personas, como, por ejemplo, en Facebook, no deberían quedar excluidos de la protección, como se puede inferir de la letra e) del artículo 9, y deberían gozar como mínimo del derecho al olvido.

4.21   Artículo 13- Derechos en relación con los destinatarios

4.21.1   La excepción de la parte final –«salvo que ello sea imposible o exija un esfuerzo desproporcionado»– no es justificable ni aceptable.

4.22   Artículo 14 - Información

4.22.1   Es igualmente inaceptable la excepción idéntica que figura en el apartado 5, letra b).

4.23   Artículo 19, apartado 1 – Derecho de oposición

4.23.1   La fórmula vaga utilizada como excepción –«motivos imperiosos y legítimos»– no es aceptable y vacía de contenido el derecho de oposición.

4.24   Artículo 20 – Elaboración de perfiles

4.24.1   La prohibición de la elaboración de perfiles no deberá restringirse a los tratamientos «automatizados» (13).

4.24.2   En el apartado 2, letra a), la expresión «… se hayan invocado …» debe ser sustituida por «… se hayan establecido …».

4.25   Artículo 21 - Limitaciones

4.25.1   La redacción de la letra c) del apartado 1 es totalmente inaceptable, ya que contiene expresiones vagas e indefinidas, como: interés económico y financiero, ámbitos fiscal, presupuestario y monetario e incluso la estabilidad y la integridad de los mercados, esta última fórmula añadida a la Directiva 95/46.

4.26   Artículos 25, 28 y 35 – Límite de 250 trabajadores

4.26.1   El umbral de 250 trabajadores que determina la aplicabilidad de determinadas disposiciones de protección, como por ejemplo el delegado de protección de datos, tendría como consecuencia que solo disfrutasen de dicha disposición algo menos del 40 % de los trabajadores. El mismo límite en materia de obligación de documentación conduciría a que la gran mayoría de los trabajadores no tendría ninguna posibilidad de vigilar el uso de sus datos personales y, por consiguiente, tampoco existiría ningún control. El Comité sugiere prever un umbral más bajo, como el número de trabajadores que por lo general se fija en los Estados miembros para la constitución de una instancia de representación de los intereses de los trabajadores en el lugar de trabajo. Podría preverse otro enfoque basado en criterios objetivos, por ejemplo el número de archivos de protección de datos tratados en un período de tiempo por determinar, independientemente del tamaño de la empresa o del servicio de que se trate.

4.27   Artículo 51 – La «ventanilla única»

4.27.1   Aunque el principio de «ventanilla única» se ha concebido para facilitar la vida de las empresas y hacer más eficaces los mecanismos de protección de datos, puede entrañar un deterioro significativo de la protección de los datos relativos a los ciudadanos en general y de los datos personales de los trabajadores en particular, al hacer caduca la obligación actual de someter las transferencias de datos personales a un acuerdo de empresa y a la aprobación de una comisión nacional de protección de los datos (14).

4.27.2   Por otra parte, este sistema parece contrario al deseo de una gestión de proximidad y puede privar al ciudadano de la posibilidad de que su demanda sea instruida por la autoridad de control más próxima y accesible.

4.27.3   Hay, pues, razones para que se mantenga la competencia de la autoridad del Estado miembro de residencia del demandante.

---

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  Insisten en la necesidad de que la Unión se dote de «régimen único de protección de los datos personales que cubra el conjunto de las competencias de la Unión» y garantice «la aplicación coherente del derecho fundamental a la protección de datos», de forma que los ciudadanos tengan derecho a ejercer un control efectivo sobre sus datos.

(6)  Véase el Dictamen del CESE sobre «Reutilización de la información del sector público»DO C 191 de 29.6.2012, p. 129.

(7)  Véase el Dictamen del CESE, DO C 248 de 25.8.2011, p. 123.

(8)  Dictamen del Supervisor Europeo de la Protección de Datos sobre el paquete de protección de datos («Data Protection Package»), 7 de marzo de 2012.

(9)  COM(2009) 673 final de 9.12.2009.

(10)  Véanse las objeciones por motivos de subsidiariedad formuladas por el Senado francés.

(11)  Se debería precisar más el tema de la prospección mediante cartas nominales, ya que la aplicación del Reglamento tal como está conduciría a su prohibición, cuando constituye un método poco intrusivo y dirigido de prospección de nuevos clientes.

(12)  Por ejemplo, comunicación de un informe periódico de la actividad del DPD a los representantes del personal o a los elegidos de los trabajadores del Consejo de administración o del Consejo de vigilancia, nacional y/o europeo, cuando existan.

(13)  Véase la Recomendación CM/Rec(2010)13 del Comité de Ministros del Consejo de Europa de 23 de noviembre de 2010.

(14)  En particular, las autoridades administrativas independientes encargadas de autorizar y controlar la creación de ficheros nominales; al contrario, sus competencias deberían ampliarse en la sociedad digital y en las redes sociales, debido al valor de intercambio de los perfiles individuales para la prospección comercial.

---

---