Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52012XX0630(01)

Resumen del Dictamen del SEPD, de 7 de marzo de 2012 , sobre el paquete legislativo de reforma de la protección de datos

DO C 192 de 30.6.2012, p. 7–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

30.6.2012   

ES

Diario Oficial de la Unión Europea

C 192/7


Resumen del Dictamen del SEPD de 7 de marzo de 2012 sobre el paquete legislativo de reforma de la protección de datos

(La versión íntegra del presente Dictamen está disponible en EN, FR y DE en el sitio web del SEPD http://www.edps.europa.eu)

2012/C 192/05

El 25 de enero de 2012, la Comisión adoptó un paquete de reforma de las normas europeas en materia de protección de datos, incluida la propuesta de Reglamento que incluye las normas generales sobre protección de datos y la propuesta de Directiva sobre protección de datos en el ámbito de la aplicación de la ley.

El 7 de marzo de 2012, el Supervisor Europeo de Protección de Datos (SEPD) adoptó un Dictamen que supone un comentario detallado sobre ambas propuestas legislativas. El texto completo del Dictamen puede encontrarse en el sitio web del SEPD: http://www.edps.europa.eu

En el Dictamen, el SEPD esboza brevemente el contexto de las propuestas y ofrece su valoración general.

El SEPD recibe con agrado la propuesta de Reglamento ya que constituye un gran paso adelante para la protección de los datos en Europa. Las normas propuestas reforzarán los derechos de las personas y harán que los responsables del tratamiento asuman una mayor responsabilidad respecto del modo en que tratan los datos personales. Asimismo, el papel y los poderes de las autoridades nacionales de supervisión (consideradas por sí solas o en conjunto) se ven reforzados de manera efectiva.

Al SEPD le complace especialmente observar que se ha propuesto el instrumento de un reglamento para las normas generales sobre la protección de los datos. La propuesta de Reglamento sería directamente aplicable en los Estados miembros y evitaría muchas de las complejidades e incoherencias derivadas de las distintas disposiciones de aplicación de los Estados miembros que actualmente existen.

El SEPD, sin embargo, está muy decepcionado con la propuesta de Directiva de protección de los datos en el ámbito de la aplicación de la ley. El SEPD lamenta que la Comisión haya escogido regular esta cuestión en un instrumento jurídico independiente que establece un nivel de protección inadecuado, lo cual supone una protección bastante inferior a la de la propuesta de Reglamento.

Un elemento positivo de la propuesta de Directiva es que abarca el tratamiento nacional y, por lo tanto, tiene un ámbito de aplicación más amplio que la actual Decisión marco. Sin embargo, esta mejora únicamente constituiría un valor añadido si la Directiva aumentara de manera sustancial el nivel de protección de datos en este ámbito, y éste no es el caso.

El principal punto débil del paquete en su conjunto es que no soluciona la falta de exhaustividad de las normas de la protección de datos de la UE. No afecta a muchos de los instrumentos de protección de datos de la UE como las normas de protección de datos para las instituciones y los organismos de la UE, pero tampoco a todos los instrumentos específicos adoptados en el ámbito de la cooperación policial y judicial en materia penal, como la Decisión Prüm y las normas sobre Europol y Eurojust. Asimismo, los instrumentos propuestos observados en su conjunto no abordan totalmente las situaciones fácticas que entran dentro de ambos ámbitos políticos, como el uso de los datos PNR y de telecomunicaciones con fines de aplicación de las leyes.

Por lo que se refiere a la propuesta de Reglamento, una cuestión horizontal es la relación entre la legislación europea y la legislación nacional. La propuesta de Reglamento contribuye en gran medida a crear una única legislación aplicable para la protección de datos en la UE, aunque todavía existe un mayor espacio para la coexistencia y la interacción entre la legislación europea y la legislación nacional de lo que podría observarse a primera vista. El SEPD considera que el legislador debería reconocer de un mejor modo lo anterior.

De las numerosas disposiciones que facultan a la Comisión adoptar actos delegados y de ejecución se deriva una segunda cuestión de importancia general. El SEPD recibe con agrado este enfoque en la medida en que contribuye a la aplicación coherente del Reglamento, pero expresa sus reservas respecto en qué medida el establecimiento de disposiciones jurídicas esenciales debe dejarse a los poderes delegados. Deberían reconsiderarse algunas de dichas facultades.

Entrando en detalle, el SEPD destaca los principales elementos positivos de la propuesta de Reglamento, los cuales son:

la aclaración del ámbito de aplicación de la propuesta de Reglamento,

la mejora de los requisitos de transparencia respecto del interesado y del refuerzo del derecho de oposición,

la obligación general para los responsables del tratamiento de garantizar y ser capaces de demostrar que cumplen las disposiciones del Reglamento,

el refuerzo de la posición y de la función de las autoridades nacionales de supervisión,

las principales líneas del mecanismo de coherencia.

Los principales elementos negativos de la propuesta de Reglamento son:

la nueva base para las excepciones al principio de limitación a una finalidad específica,

las posibilidades de limitar los principios y derechos básicos,

la obligación de los responsables del tratamiento de conservar la documentación de todas las operaciones de tratamiento,

la transferencia de los datos a terceros países como excepción,

el papel de la Comisión en el mecanismo de coherencia,

el carácter obligatorio de la imposición de las sanciones administrativas.

Por lo que se refiere a la Directiva, el SEPD considera que la propuesta no cumple, en muchos aspectos, el requisito de proporcionar un nivel coherente y elevado de protección de datos. No afecta a ninguno de los instrumentos existentes en este ámbito y, en muchos casos, no existe justificación alguna para apartarse de las disposiciones incluidas en las normas de la propuesta de Reglamento.

El SEPD subraya que mientras que el ámbito de aplicación de la ley requiere algunas normas específicas, todo desvío de las normas generales de protección de datos debería quedar debidamente justificado por una ponderación equilibrada entre el interés público de aplicación de las leyes y los derechos fundamentales de los ciudadanos.

Al SEPD le preocupa en especial:

la falta de claridad en la elaboración del principio de limitación a una finalidad específica,

la falta de obligación de las autoridades competentes de ser capaces de demostrar que cumplen la Directiva,

la debilidad de las condiciones de las transferencias a terceros países,

las facultades indebidamente limitadas de las autoridades de supervisión.

Para ello, se realizan las siguientes recomendaciones.

Recomendaciones sobre el proceso de reforma en su totalidad

Anunciar de manera pública y tan pronto como sea posible el calendario para la segunda fase del proceso de reforma.

Incorporar las normas de las instituciones y órganos de la UE en la propuesta de Reglamento o, al menos, haber adaptado las normas vigentes cuando sea aplicable la propuesta de Reglamento.

Presentar, tan pronto como sea posible, una propuesta de normas comunes para la Política de Exterior y de Seguridad Común, basada en el artículo 39 del TUE.

Recomendaciones sobre la propuesta de Reglamento

Cuestiones horizontales

Añadir una disposición que aclare el ámbito de aplicación territorial de la legislación nacional con arreglo al Reglamento.

Reconsiderar la delegación de poderes del artículo 31, apartados 5 y 6, el artículo 32, apartados 5 y 6, el artículo 33, apartados 6 y 7, el artículo 34, apartado 2, letra a), y el artículo 44, apartado 1, letra d), y el apartado 7.

Ofrecer las medidas específicas y adecuadas para las PYME únicamente en los actos de ejecución seleccionados, y no en los actos delegados del artículo 8, apartado 3, el artículo 14, apartado 7, el artículo 22, apartado 4, y el artículo 33, apartado 6.

Definir mejor el concepto de «interés público» en cada disposición que aparece. Los intereses públicos específicos deberían estar expresamente identificados en relación con el contexto del tratamiento previsto en cada disposición pertinente de la propuesta [véase, en especial, el considerando 87, el artículo 17, apartado 5, el artículo 44, apartado 1, letra d), y el artículo 81, apartado 1, letras b) y c)]. Los requisitos adicionales podrían incluir que el fundamento únicamente puede ser invocado en circunstancias específicamente apremiantes o en razones perentorias establecidas por la ley.

Capítulo I —   Disposiciones generales

Artículo 2, apartado 2, letra d): insertar un criterio para diferenciar las actividades públicas y domésticas, basadas en el número indefinido de personas que pueden acceder a la información.

Artículo 2, apartado 2, letra e): establecer que la excepción se aplique a las autoridades públicas competentes. El considerando 16 debe redactarse de manera coherente con el artículo 2, apartado 2, letra e).

Artículo 4, apartados 1 y 2: añadir una explicación más clara en un considerando que insista en el hecho de que tan pronto como haya una estrecha relación entre un identificador y una persona esto ponga en marcha la aplicación de los principios de protección de datos.

Artículo 4, apartado 13: definir mejor los criterios para identificar el establecimiento principal del correspondiente responsable del tratamiento, teniendo en cuenta la «influencia dominante» de uno de los establecimientos sobre el resto, en estrecha conexión con el poder de aplicar normas de protección de los datos personales o normas pertinentes de protección de datos. De manera alternativa, la definición podría centrarse en el establecimiento principal del grupo en su conjunto.

Añadir nuevas definiciones de «transferencia» y «limitación del tratamiento».

Capítulo II —   Principios fundamentales

Artículo 6: añadir un considerando para aclarar aún más qué se entiende por la misión de «interés público o inherente al ejercicio del poder público» del artículo 6, apartado 1, letra e).

Artículo 6, apartado 4: eliminar la disposición o, por lo menos, limitarla al tratamiento posterior de los datos para los fines incompatibles sobre los fundamentos mencionados en el artículo 6, apartado 1, letras a) y d). Esto exigiría asimismo la modificación del considerando 40.

Añadir una nueva disposición sobre la representación de todas las personas que no tienen la suficiente capacidad (jurídica) o que, de otro modo, no sean capaces de actuar.

Artículo 9: incluir sanciones y cuestiones que no impliquen condenas en las categorías especiales de datos. Ampliar el requisito de supervisión de poderes públicos a todas las razones indicadas en el artículo 9, apartado 2, letra j).

Artículo 10: indicar de manera más explícita en el considerando 45 que el responsable del tratamiento no debería poder invocar una posible falta de información para denegar una solicitud de acceso, cuando el interesado pueda proporcionar dicha información para permitir dicho acceso.

Capítulo III —   Derechos del interesado

Artículo 14: incluir información sobre la existencia de determinadas operaciones de tratamiento que tienen un especial impacto sobre las personas, así como sobre las consecuencias de dicho tratamiento sobre las personas.

Artículo 17: desarrollar aún más la disposición para garantizar su eficacia real. Eliminar el artículo 17, apartado 3, letra d).

Artículo 18: aclarar que el ejercicio del derecho se entiende sin perjuicio de la obligación del artículo 5, letra e), de eliminar los datos cuando ya no sean necesarios. Garantizar que el artículo 18, apartado 2, no se limita sólo a los datos facilitados por el interesado sobre la base del consentimiento o de un contrato.

Artículo 19: aclarar lo que el responsable del tratamiento debería hacer en caso de que no esté de acuerdo con el interesado y adaptarlo al artículo 17, apartado 1, letra c). Explicar en un considerando lo que puede ser calificado como «motivos imperiosos y legítimos».

Artículo 20: incluir el derecho de las personas de presentar su punto de vista en el artículo 20, apartado 2, letra a), tal como ocurre en el actual artículo 15 de la Directiva 95/46/CE.

Artículo 21: introducir garantías detalladas de que la legislación nacional debería especificar los objetivos perseguidos por el tratamiento, las categorías de datos personales que deben ser tratados, los fines específicos y los medios de tratamiento, el responsable del tratamiento, las categorías de personas autorizadas para tratar los datos, el procedimiento que debe seguirse para el tratamiento, y las garantías para evitar cualquier interferencia arbitraria por parte de las autoridades públicas. incluir garantías adicionales que informen a los interesados de la limitación y de su derecho a someter el asunto a la autoridad de control para obtener un acceso indirecto. Añadir en el artículo 21 que la posibilidad de aplicar limitaciones al tratamiento llevado a cabo por los responsables del tratamiento privados con fines de aplicación de las leyes no debería obligarles a conservar los datos, además de los fines estrictamente necesarios para el propósito original perseguido, ni a cambiar su arquitectura de TI. Eliminar el motivo incluido en el artículo 21, apartado 1, letra e).

Capítulo IV —   Responsable del tratamiento y encargado del tratamiento

Artículo 22: debe hacerse referencia expresa al principio de responsabilidad, en cualquier supuesto del considerando 60. Fusionar los apartados 1 y 3 del artículo 22, y mencionar expresamente que las medidas deberían ser adecuadas y efectivas. Incluir una disposición general que preceda las obligaciones específicas del artículo 22, apartado 2, desarrolle el concepto de «control de la dirección», incluidas la asignación de responsabilidades, la formación del personal, y las instrucciones adecuadas, y que exija que el responsable del tratamiento debería contar, al menos, con una visión general y un inventario general de las operaciones de tratamiento dentro del ámbito de su responsabilidad. Añadir un nuevo apartado que establezca que cuando el responsable del tratamiento decida o esté obligado a publicar un informe regular de sus actividades, dicho informe debería también incluir una descripción de las políticas y medidas mencionadas en el artículo 22, apartado 1.

Artículo 23: hacer referencia en el artículo 23, apartado 2, y en el considerando 61 al hecho de que debería dejarse a los interesados la opción de permitir el uso de sus datos personales en un modo más amplio.

Artículo 25, apartado 2, letra a): eliminar la excepción para los terceros países apropiados.

Artículo 26: añadir la obligación para el encargado del tratamiento de tener en cuenta el principio de protección de los datos desde el diseño de la lista de especificaciones incluida en el artículo 26, apartado 2.

Artículo 28: reconsiderar o eliminar las excepciones del artículo 28, apartado 4.

Artículo 30: aclarar el artículo 30 para garantizar que la responsabilidad general del responsable del tratamiento y añadir la obligación para dicho responsable de adoptar un enfoque de gestión de la seguridad de la información dentro la organización, incluida, en su caso, la aplicación de una política de seguridad de la información específica para el tratamiento de los datos efectuado. Incluir una referencia explícita a la evaluación del impacto sobre la protección de datos en el artículo 30.

Artículos 31 y 32: especificar los criterios y los requisitos para establecer una violación de datos y las circunstancias en que ésta debería ser notificada. Modificar el plazo de 24 horas en el artículo 31 a un plazo no superior a las 72 horas.

Artículo 33: la lista de operaciones de tratamiento incluida en el artículo 33, apartado 2, letras b), c) y d), debería limitarse al tratamiento a gran escala. Adaptar el artículo 33, apartado 5, al considerando 73. Limitar el artículo 33, apartado 6, a los elementos esenciales. Aclarar que el tamaño de una empresa no debería levantar la obligación de realizar la evaluación del impacto sobre la protección de datos respecto de las operaciones de tratamiento que presenten riesgos específicos.

Artículo 34: desplazar el artículo 34, apartado 1, al Capítulo V de la propuesta de Reglamento.

Artículos 35 a 37: reducir el umbral de 250 empleados del artículo 35, apartado 1, y aclarar el ámbito de aplicación del artículo 35, apartado 1, letra c). Añadir garantías, en particular, condiciones más fuertes para la destitución del delegado de protección de datos y garantizar en el artículo 36, apartado 1, que el delegado de protección de datos tiene acceso a la información pertinente, y a los locales necesarios para desempeñar sus funciones. Incluir en el artículo 37, apartado 1, letra a), la función de sensibilización del delegado de protección de datos.

Capítulo V —   Transferencias a terceros países

Establecer en el considerando 79 que la no aplicabilidad del Reglamento a los acuerdos internacionales se limita en el tiempo sólo a los acuerdos internacionales ya existentes.

Introducir una cláusula transitoria que establezca una revisión de dichos acuerdos internacionales en un plazo determinado para adaptarlos al Reglamento.

Artículo 41 (y considerando 82): aclarar que en el caso de una decisión de falta de adecuación, las transferencias deberían permitirse únicamente con las garantías adecuadas o, si dicha transferencia está sujeta a las excepciones establecidas en el artículo 44.

Artículo 42: garantizar que la posibilidad de utilizar instrumentos no vinculantes jurídicamente para proporcionar garantías adecuadas debería quedar claramente justificada y limitarse sólo a los casos en que haya quedado demostrado la necesidad de confiar en dichos instrumentos.

Artículo 44 (y considerando 87): añadir que la posibilidad de transferir datos debería afectar únicamente a las transferencias ocasionales y que debería estar basada en una evaluación cuidadosa, caso por caso, de todas las circunstancias de la transferencia. Sustituir o aclarar la referencia a las «garantías adecuadas» del artículo 44, apartado 1, letra h), y en el artículo 44, apartado 3.

Considerando 90: cambiar el considerando por una disposición sustantiva. Establecer las garantías adecuadas para estos casos, que impliquen tanto garantías jurisdiccionales como garantías de protección de datos.

Capítulos VI y VII —   Autoridades de control independientes, cooperación y coherencia

Artículo 48: incluir una función para los parlamentos nacionales en el procedimiento de designación de los miembros de las autoridades de control.

Artículo 52, apartado 1: incluir el deber de desarrollar directrices sobre el uso de las distintas facultades de ejecución, en su caso coordinadas a nivel europeo en el Consejo. Esto también podría incluirse en el artículo 66.

Artículo 58: sustituir la palabra «inmediatamente» en el artículo 58, apartado 6, por «sin dilación» y ampliar el plazo límite de un mes del artículo 58, apartado 7, a dos meses/ocho semanas.

Artículo 58: conferir un mayor peso a la regla de la mayoría garantizando que una autoridad pueda presentar a votación una solicitud, en caso de que la cuestión afectada no haga referencia a una de las principales medidas descritas en el artículo 58, apartado 2.

Artículos 59 y 60: limitar el poder de la Comisión de eliminar la posibilidad de anular una decisión de una autoridad nacional de control en una cuestión específica mediante un acto de ejecución. Garantizar de que el papel de la Comisión consiste en una fase inicial en comenzar la toma del Consejo, según lo previsto en el artículo 58, apartado 4, y en una fase posterior, en la facultad de emitir dictámenes. introducir una referencia a un procedimiento posterior ante el Tribunal de Justicia, en el contexto de un procedimiento de infracción o de una solicitud de medidas provisionales como una orden de suspensión.

Artículo 66: añadir que el Consejo será consultado en el contexto de las evaluaciones de adecuación.

Reconsiderar la actual evaluación del impacto de la Secretaría del Consejo Europeo de Protección de Datos, en términos de recursos financieros y humanos (véase el anexo del presente Dictamen, disponible en el sitio web del SEPD).

Capítulo VIII —   Recursos, responsabilidad y sanciones

Artículos 73 y 76: ofrecer claridad sobre el mandato que la organización debe obtener de los interesados y el grado de formalidad exigido. Introducir una disposición más amplia sobre las acciones colectivas.

Artículo 74, apartado 4: restringir el tipo de «afectación» de un interesado que puede iniciar el procedimiento y limitarlo a un riesgo de impacto más preciso sobre los derechos de los interesados.

Artículo 75, apartado 2: especificar que la excepción no es aplicable a las autoridades públicas de un tercer país.

Artículo 76, apartados 3 y 4: introducir un procedimiento de información más sistemático a nivel de los tribunales.

Aclarar la interacción con el Reglamento Bruselas I.

Aclarar la compatibilidad del uso de la información obtenida de un responsable del tratamiento (sobre la base del artículo 53) con el derecho general de no declarar contra uno mismo.

Artículo 77: añadir que un interesado siempre debería poder dirigirse al responsable del tratamiento, con independencia del lugar y del daño derivado de la liquidación del daño. Introducir la posterior liquidación del daño entre el responsable del tratamiento y el encargado del tratamiento, una vez que haya sido aclarada la distribución de responsabilidad entre ellos. Añadir que esto debería aplicarse también a la indemnización de los daños o perjuicios inmateriales.

Introducir una disposición que utilice el concepto de entidad económica única o empresa única para permitir imputar la responsabilidad al grupo de la violación cometida por una filial.

Artículo 79: introducir un margen de apreciación de las autoridades de control respecto de las sanciones administrativas. Añadir especificaciones que destaquen las circunstancias en las que se impondrá la sanción administrativa. Garantizar que el incumplimiento de una orden específica de una autoridad de control normalmente reúne los requisitos para imponer una sanción administrativa mayor que un simple incumplimiento de una misma disposición general.

Capítulo IX —   Situaciones de tratamiento de datos específicas

Artículo 80: reformular el artículo 80 y establecer que los Estados miembros establecerán exenciones o excepciones a las disposiciones del Reglamento, tal como se indica si resulta necesario para conciliar el derecho a la protección de los datos con el derecho de libertad de expresión. Añadir, en la disposición o en un considerando, que al conciliar los dos derechos fundamentales no se menoscabe la esencia de ambos derechos.

Añadir una disposición sustantiva sobre el acceso público a los documentos que establezca que los datos personales de los documentos conservados por las autoridades y organismos públicos puedan publicarse si esto 1) queda establecido por la legislación europea o nacional; 2) es necesario para conciliar el derecho a la protección de datos con el derecho de acceso público a los documentos oficiales y 3) constituye un justo equilibrio entre los distintos intereses implicados.

Sustituir en los artículos 81, 82, 83 y 84, el texto «dentro de los límites establecidos en el presente Reglamento» por «sin perjuicio de lo dispuesto en el presente Reglamento».

Artículo 81: adaptar los apartados 1 y 3 del artículo 81 y el apartado 3 del artículo 9, y aclarar el ámbito de aplicación y la naturaleza del artículo 81. Deberían darse más orientaciones sobre el requisito del consentimiento, la determinación de responsabilidades y los requisitos de seguridad.

Artículo 83: incluir garantías adicionales si se tratan categorías especiales de datos. Aclarar en el artículo 83, apartado 1, que el punto de partida de los fines de investigación debería ser que dicho tratamiento se realiza usando datos hechos anónimos. Aclarar lo que significa la expresión «por separado» y garantizar que la conservación independiente protege realmente a los interesados. Hacer referencia en el artículo 83, apartado 1, letra b), a «los datos que permiten relacionar cierta información con un interesado» en lugar de «los datos que permitan la atribución de información a un interesado identificado o identificable». Excluir la limitación de los derechos de las personas a través de actos delegados.

Recomendaciones sobre la propuesta de Directiva

Cuestiones horizontales

Artículo 59: deberían modificarse, al menos en el momento en que entre en vigor la Directiva, actos específicos en el ámbito de la cooperación policial y judicial en materia penal.

Añadir una nueva disposición que introduzca un mecanismo de evaluación basado en pruebas periódicas de si las actividades de tratamiento de datos a cierta escala constituyen una medida necesaria y proporcionada para los fines de prevención, descubrimiento, investigación y persecución de delitos.

Añadir una nueva disposición que garantice que la transferencia de datos personales de las autoridades policiales a otros organismos públicos o entidades privadas sólo se permitirá en condiciones específicas y estrictas.

Añadir una nueva disposición sobre las garantías específicas relacionadas con el tratamiento de datos de niños.

Capítulos I y II —   Disposiciones y principios generales

Artículo 3, apartado 4: una mayor fundamentación conforme a lo dispuesto en el artículo 17, apartado 5, de la propuesta de Reglamento.

Artículo 4, letra b): incluir una aclaración en un considerando que establezca que el concepto de «uso compatible» debe ser interpretado de manera restrictiva.

Artículo 4, letra f): adaptarlo al artículo 5, letra f), de la propuesta de Reglamento y modificar, en consecuencia, los artículos 18 y 23.

Artículo 5: incluir a las personas no sospechosas en una categoría separada. Eliminar «en la medida de lo posible» y especificar las consecuencias de la clasificación en categorías.

Artículo 6: eliminar «en la medida de lo posible» de los apartados 1 y 2.

Artículo 7, letra a): convertirlo en una disposición independiente que garantice de forma general que todas las operaciones de tratamiento de datos se realizan conforme a la ley, cumpliendo de este modo los requisitos de la Carta de los Derechos Fundamentales de la Unión Europea y del CEDH.

Artículo 7, letras b) a d): sustituirlo por una disposición adicional e independiente que incluya en una lista exhaustiva los motivos de interés público para los que se permite una excepción al principio de limitación a una finalidad específica.

Añadir una disposición nueva sobre el tratamiento de datos personales para fines históricos, estadísticos y científicos.

Añadir una obligación para la autoridad competente de establecer mecanismos para garantizar que se establecen plazos para la supresión de datos personales y para la revisión periódica de la necesidad de almacenamiento de los datos, incluida la fijación de períodos de conservación para las distintas categorías de datos personales, así como controles regulares sobre su calidad.

Artículo 8: incluir la estricta formulación del considerando 26 en el artículo 8. Incluir lo que está previsto por las medidas adecuadas que van más allá de las garantías habituales.

Capítulo III —   Derechos del interesado

Artículo 10: eliminar la referencia a «todas las medidas razonables» de los apartados 1 y 2 del artículo 10. Incluir un plazo explícito en el artículo 10, apartado 4, y establecer que debería darse la información al interesado, al menos en el plazo de un mes desde que se recibe la solicitud. Sustituir la palabra «abusivas» del artículo 10, apartado 5, por «manifiestamente excesivas» y ofrecer una mayor orientación sobre este concepto en un considerando.

Añadir una nueva disposición que exija al responsable del tratamiento que comunique a los destinatarios a quienes se hayan comunicado los datos, toda rectificación, supresión o cambio de los datos efectuados, con arreglo a lo dispuesto en el artículo 15 o 16, si no resulta imposible o supone un esfuerzo desproporcionado.

Artículos 11 y 13: añadir una frase en el artículo 11, apartado 4, y el artículo 13, apartado 1, que establezca que al responsable del tratamiento debería exigírsele valorar en cada caso específico mediante una evaluación concreta e individual, si se aplican limitaciones parciales o completas respecto de uno de los motivos. Garantizar una interpretación limitada del ámbito de aplicación del artículo 11, apartado 5, y del artículo 13, apartado 2. Eliminar la palabra «exima» del artículo 11, apartado 4, y el considerando 33.

Artículos 15 y 16: añadir motivos y condiciones para limitar el derecho de rectificación y el derecho de supresión.

Artículo 16: emplear la expresión «limitará el tratamiento de» en lugar de «marcará» del artículo 16, apartado 3. Incluir en el artículo 16 la obligación del responsable del tratamiento de informar al interesado antes de levantar cualquier restricción sobre el tratamiento.

Capítulo IV —   Responsable del tratamiento y encargado del tratamiento

Artículo 18: establecer, también el artículo 4, letra f), que el requisito de documentación deriva de la obligación general de ser capaz de demostrar el cumplimiento de la Directiva. Incluir un requisito para conservar la información relativa a la base jurídica gracias a la cual se transfieren los datos, con una explicación sustantiva especialmente si la transferencia está basada en el artículo 35 o 36.

Artículo 19: fundamentar el concepto de protección de datos «por defecto».

Artículo 23, apartado 2: adaptarlo al artículo 28, apartado 2, de la propuesta de Reglamento.

Artículo 24: incluir la identidad de los destinatarios de los datos.

Introducir una nueva disposición, que exija a las autoridades competentes que realicen una evaluación del impacto sobre la protección de datos, salvo que se haya elaborado una evaluación específica, que sea equivalente a dicha evaluación del impacto, durante el proceso legislativo.

Artículo 26: adaptarlo de manera más estrecha a los procedimientos desarrollados en el artículo 34, apartado 2, de la propuesta de Reglamento.

Artículo 30: tratar la cuestión del conflicto de interés y establecer un plazo mínimo de oficio de dos años.

Artículo 31: establecer una vinculación administrativa adecuada respecto del papel independiente del responsable de la protección de datos, considerando en particular evitar posibles relaciones o influencias irregulares por parte de los responsables del tratamiento de rango superior.

Capítulo V —   Transferencias a terceros países

Artículo 33: añadir el requisito de que la transferencia sólo puede realizarse si el responsable del tratamiento en el tercer país o la organización internacional es la autoridad competente en el sentido de la Directiva propuesta.

Artículo 35: eliminar el artículo 35, apartado 1, letra b) o, como mínimo, incluir el requisito de una autorización previa de la autoridad de control.

Artículo 36: aclarar en un considerando que es necesario interpretar de manera restrictiva toda excepción utilizada para justificar una transferencia y que no debe permitirse la transferencia frecuente, masiva y estructural de datos de carácter personal; incluso un caso individual no debería permitir transferencias de datos al por mayor y debería limitarse a los datos estrictamente necesarios. Añadir garantías adicionales como la obligación de documentar de manera específica las transferencias.

Artículos 35 y 36: añadir que en caso de adoptar una decisión negativa sobre la adecuación, las transferencias deberían estar basadas i) en el artículo 35, apartado 1, letra a), si existe un acuerdo internacional jurídicamente vinculante que permita las transferencias en condiciones específicas que garanticen una protección adecuada, o ii) en las excepciones contempladas en el artículo 36, letras a) o c).

Capítulos VI y VII —   Mecanismos de supervisión

Artículo 44: proporcionar una mayor orientación en un considerando sobre lo que abarca la «función jurisdiccional».

Artículo 46: adaptar los poderes de las autoridades de control en relación con las autoridades nacionales de policía con los poderes incluidos en la propuesta de Reglamento. Adaptar el artículo 46, letra a), al artículo 53 de la propuesta de Reglamento y modificar la palabra «como» del artículo 46, letras a) y b), por «incluido».

Artículo 47: incluir que el informe anual de actividades de las autoridades de control debe ser presentado al parlamento nacional y ser publicado.

Artículo 48: incluir las disposiciones del artículo 55, apartados 2 a 7, de la propuesta de Reglamento en el artículo 48.

Considerar la necesidad de un mecanismo de cooperación mejorado también en el ámbito de aplicación de la propuesta de Directiva.

(Versión abreviada. La versión íntegra del presente Dictamen está disponible en EN, FR y DE en el sitio web del SEPD http://www.edps.europa.eu)

Hecho en Bruselas, el 7 de marzo de 2012.

Peter HUSTINX

Supervisor Europeo de Protección de Datos


Top