27.10.2007   

ES

Diario Oficial de la Unión Europea

C 255/1

1.

El 7 de marzo de 2007, la Comisión remitió al SEPD su Comunicación al Parlamento Europeo y al Consejo sobre el seguimiento del programa de trabajo para una mejor aplicación de la Directiva sobre protección de datos (3). El SEPD presenta su dictamen con arreglo al artículo 41 del Reglamento (CE) no 45/2001.

2.

La Comunicación reitera la importancia de la Directiva 95/46/CE (4) como piedra angular de la protección de datos personales y analiza la Directiva y su aplicación en tres capítulos: el pasado, el presente y el futuro. La principal conclusión de la Comunicación es que no debería modificarse la Directiva. La aplicación de la Directiva debería mejorarse mediante otros instrumentos políticos, la mayor parte de carácter no vinculante.

3.

El presente dictamen del SEPD sigue la estructura de la Comunicación. Más importante, el SEPD comparte la principal conclusión de la Comisión, es decir, que la Directiva no debería modificarse.

4.

Sin embargo, el SEPD asume esta posición también por motivos prácticos. Los puntos de partida del SEPD son los siguientes:

5.

Estos puntos de partida son esenciales ya que es preciso tener presente que la Directiva opera en un contexto dinámico. En primer lugar, la Unión Europea está cambiando: la libre circulación de información entre los Estados miembros — y entre los Estados miembros y países terceros — es más importante y será una realidad aún más importante. En segundo lugar, la sociedad está cambiando. La sociedad de la información evoluciona y tiene cada vez más características propias de una sociedad de vigilancia (5), lo que implica una mayor necesidad de protección eficaz de los datos personales para afrontar estas nuevas realidades de un modo plenamente satisfactorio.

6.

En su evaluación de la Comunicación, el SEPD tratará, en particular, las siguientes perspectivas pertinentes en relación con dichas modificaciones:

7.

El primer informe sobre la aplicación de la Directiva relativa a la protección de datos de 15 de mayo de 2003 incluía un programa de trabajo para una mejor aplicación de dicha Directiva, con una lista de diez iniciativas a llevar a cabo en 2003 y 2004. La Comunicación describe cómo se ha ejecutado cada una de dichas acciones.

8.

Basándose en el análisis del trabajo realizado con arreglo al programa de trabajo, la Comunicación esboza una evaluación positiva de la mejoras logradas en la aplicación de la Directiva. La evaluación de la Comisión, resumida en los títulos del capítulo 2 («presente») de la Comunicación, puntualizan básicamente que: la aplicación ha mejorado, aunque algunos Estados miembros aún no la hayan aplicado adecuadamente; siguen existiendo algunas divergencias, pero en su mayor parte corresponden al margen de maniobra previsto en la Directiva y en cualquier caso no plantean un problema real para el mercado interior. Las soluciones jurídicas previstas en la Directiva han demostrado ser sustancialmente adecuadas para garantizar el derecho fundamental a la protección de datos, al tiempo que responden a la evolución tecnológica y a los requisitos establecidos por el interés general.

9.

El SEPD comparte las líneas principales de esta evaluación positiva. En particular, reconoce el trabajo considerable realizado en el ámbito de la circulación de datos transfronteriza en varios frentes tales como al establecerse la protección adecuada en relación con terceros países, aprobarse nuevas cláusulas contractuales normalizadas, adoptarse normas corporativas vinculantes. La adopción de una interpretación más uniforme del artículo 26, apartado 1, de la Directiva y la mejora en las notificaciones con arreglo al artículo 26, apartado 2, también facilitan las transferencias internaciones de datos personales. No obstante, la jurisprudencia del Tribunal (6) ha mostrado que aún es preciso trabajar en este ámbito crucial para hacer frente a las novedades tanto en los ámbitos tecnológico como de aplicación del derecho.

10.

La Comunicación muestra también que la aplicación y el aumento de la sensibilización son elementos clave para fomentar una mejor aplicación y que podrían aprovecharse mejor. Por otra parte, el intercambio de mejores prácticas y la armonización en el sector de las disposiciones de notificación e información suponen precedentes logrados para incentivar y reducir los costes de las empresas.

11.

Por otra parte, el análisis del pasado confirma que no pueden lograrse mejoras sin la implicación de una amplia muestra de interesados. La Comisión, las autoridades de protección de datos y los Estados miembros son los principales protagonistas de las acciones realizadas. Sin embargo, el papel de los particulares tiene una importancia cada vez mayor, en particular cuando se trata de promover la autorregulación y los códigos de conducta europeos, o el desarrollo de tecnologías que mejoren la intimidad.

12.

Existen varios motivos para apoyar la conclusión de la Comisión, según la cual, en las actuales circunstancias y a corto plazo, no debería contemplarse propuesta alguna de modificación de la Directiva.

13.

La Comisión esgrime básicamente dos motivos en apoyo de su conclusión. En primer lugar, aún no se ha utilizado el potencial de la Directiva en su totalidad. Siguen siendo posibles mejoras considerables en la aplicación de la Directiva en las jurisdicciones de los Estados miembros. En segundo lugar, puntualiza que si bien la Directiva deja un margen de maniobra a los Estados miembros, no está probado que la divergencias dentro de dicho margen planteen problemas reales al mercado interior.

14.

Habida cuenta de estos dos motivos, la Comisión formula su conclusión del siguiente modo: explica lo que la Directiva debería hacer, destacando la garantía de confianza, y más adelante declara que la Directiva establece un punto de referencia, es tecnológicamente neutra y sigue dando respuestas sólidas y adecuadas (7).

15.

El SEPD celebra la forma en que está redactada esta conclusión, aunque opina que dicha conclusión podría reforzarse más añadiéndole dos motivos adicionales:

16.

El derecho fundamental de las personas físicas a la protección de sus datos personales se reconoce en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión y, entre otros lugares, se establece en el Convenio no 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. En esencia, la Directiva es un marco que contiene los principales elementos de protección de este derecho fundamental, al consagrar y ampliar los derechos y libertades recogidos en el Convenio (8).

17.

Un derecho fundamental pretende proteger a un ciudadano en cualquier circunstancia en una sociedad democrática. Los principales elementos de este tipo de derecho fundamental no deberían modificarse fácilmente por acontecimientos en la sociedad o por preferencias políticas de gobiernos en el poder. Por ejemplo, las amenazas a la sociedad por organizaciones terroristas pueden llevar a un resultado diferente en casos concretos ya que pueden ser necesarias interferencias más importantes en un derecho fundamental de una persona, pero nunca pueden afectar a los elementos esenciales del propio derecho ni privar o restringir en exceso el ejercicio del derecho por un particular.

18.

La segunda característica de la Directiva es que contempla el fomento de la transmisión libre de información en el mercado interior. Este segundo objetivo puede considerarse también fundamental, en un mercado interior cada vez más desarrollado sin fronteras interiores. La armonización de las disposiciones esenciales del derecho nacional es uno de los principales instrumentos para garantizar la creación y el funcionamiento de este mercado interior. Consagra la confianza mutua entre los Estados miembros en los ordenamientos jurídicos nacionales de cada uno. Por este motivo también las modificaciones deben sopesarse debidamente. Las modificaciones podrían afectar a la confianza recíproca.

19.

Una tercera característica de la Directiva es que debe contemplarse como un marco general del que emanan instrumentos jurídicos específicos. Dichos instrumentos específicos incluyen medidas de aplicación del marco general, así como marcos específicos para sectores específicos. La Directiva sobre la privacidad y las comunicaciones electrónicas, 2002/58/CE (9), es dicho marco específico. Cuando sea posible, la evolución de la sociedad debería desembocar en modificaciones de las medidas de aplicación o los marcos jurídicos específicos, no del marco general del que emanan.

20.

A juicio del SEPD, la conclusión de no modificar la Directiva ahora es también la consecuencia lógica de principios generales de buena administración y política legislativa. Las propuestas legislativas — con independencia de si conllevan nuevos ámbitos de acción comunitaria o modifican acuerdos legislativos vigentes — deberían presentarse sólo si se demuestra suficientemente su necesidad y proporcionalidad. No debería presentarse propuesta legislativa alguna si puede lograrse el mismo objetivo utilizando otras herramientas de menor alcance.

21.

En las actuales circunstancias, no se ha demostrado la necesidad ni la proporcionalidad de una modificación de la Directiva. El SEPD recuerda que la Directiva establece un marco general para la protección de datos con arreglo al Derecho comunitario. Es preciso que garantice, por una parte, la protección de los derechos y libertades de los particulares, en especial el derecho a la intimidad, en relación con el tratamiento de datos personales y, por otra, la libre circulación de datos personales en el mercado interior.

22.

Un marco general de este tipo no debería modificarse hasta que se haya aplicado plenamente en los Estados miembros, a menos que haya indicaciones claras de que los objetivos de la Directiva no se cumplirían con el marco actual. En opinión del SEPD, la Comisión aseveró adecuadamente — en las circunstancias actuales — que aún no se había utilizado plenamente el potencial de la Directiva (véase el capítulo III del presente dictamen). Del mismo modo, no hay pruebas de que los objetivos no se podrían cumplir con el actual marco.

23.

Es preciso garantizar también en el futuro que los principios de protección de datos ofrezcan una protección eficaz a las personas físicas, teniendo presentes el contexto dinámico en el que se enmarca la Directiva (véase el punto 5 del dictamen) y las perspectivas del punto 6 del presente dictamen: mejora de la aplicación, interacción con la tecnología, intimidad global y jurisdicción, protección de datos y aplicación de la legislación, y un Tratado de Reforma. Esta necesidad de aplicación plena de los principios de protección de datos establece las normas para futuras modificaciones de la Directiva. El SEPD recuerda una vez más que, a más largo plazo, las modificaciones de la Directiva parecen inevitables.

24.

En lo que se refiere al fondo de cualquier futura medida, el SEPD proporciona ya en esta fase algunos elementos que considera esenciales en un futuro sistema de protección de datos en la Unión Europea. Dichos elementos incluyen:

25.

La Comunicación menciona — en relación con los retos de las nuevas tecnologías — la revisión iniciada de la Directiva 2002/58/CE y la posible necesidad de adoptar normas más específicas para afrontar los asuntos relativos a protección de datos planteados por las nuevas tecnologías como Internet y RFID (10). El SEPD celebra esta revisión y nuevas acciones, si bien a su juicio no deberían referirse sólo a novedades tecnológicas, sino que deberían tener en cuenta el contexto dinámico en su totalidad, y en una perspectiva a largo plazo incluir también la Directiva 95/46/CE. Por otra parte, es preciso centrarse más en este contexto. Desgraciadamente, la Comunicación tiene un final abierto:

El SEPD sugiere que la Comisión concrete estos elementos.

26.

Cualquier futura modificación debe ir precedida de la plena aplicación de las actuales disposiciones de la Directiva. La plena aplicación se inicia con el cumplimiento de los requisitos jurídicos de la Directiva. La Comunicación precisa (11) que algunos Estados miembros no han incorporado una serie de disposiciones importantes de la Directiva y destaca a este respecto, en particular, disposiciones sobre la independencia de las autoridades supervisoras. Corresponde a la Comisión supervisar el cumplimiento y, cuando lo considere oportuno, servirse de sus facultades con arreglo al artículo 226 CE.

27.

La Comunicación prevé una Comunicación interpretativa sobre algunas disposiciones, en particular las que puedan dar lugar a procedimientos formales de infracción con arreglo al artículo 226 CE.

28.

Además, la Directiva presenta otros mecanismos para mejorar la aplicación. En particular, las tareas del Grupo del artículo 29, enumeradas en el artículo 30 de la Directiva, están concebidas para ello. Pretenden fomentar la aplicación en los Estados miembros de un nivel elevado y armonizado de protección de datos que supere lo estrictamente necesario para cumplir la obligaciones de la Directiva. En el ejercicio de sus funciones, el Grupo elaboró durante años un gran número de dictámenes y demás documentos.

29.

A juicio del SEDP, la plena aplicación de la Directiva incluye estos dos elementos:

El SEDP destaca que ambos elementos deberían diferenciarse claramente, por sus distintas consecuencias jurídicas, al igual que sus respectivas responsabilidades. Por regla general, la Comisión debería ser totalmente responsable del primer elemento, mientras que el Grupo sería el principal protagonista en lo que respecta al segundo elemento.

30.

Otra distinción más precisa que es necesario hacer se refiere a los instrumentos disponibles para conseguir una mejor aplicación de la Directiva, que incluyen:

31.

El SEDP sugiere a la Comisión que indique claramente cómo utilizará estas distintas herramientas al elaborar sus políticas basadas en la presente Comunicación. En este contexto, la Comisión debería diferenciar también claramente sus propias responsabilidades y las responsabilidades del Grupo. Además, huelga decir que una buena cooperación entre la Comisión y el Grupo en cualquier circunstancia es una condición para el éxito.

32.

Se parte de que las disposiciones de la Directiva se formulan de un modo técnicamente neutral. La Comunicación vincula la neutralidad tecnológica a una serie de desarrollos tecnológicos, como Internet, servicios de acceso prestados en países terceros, RFID y la combinación de datos de sonido e imagen con reconocimiento automático. Distingue dos tipos de acciones. En primer lugar, orientaciones específicas respecto a la aplicación de principios sobre protección de datos en un entorno tecnológico en evolución, con un papel destacado del Grupo y su Grupo de trabajo sobre Internet (13). En segundo, la propia Comisión propondría legislación sectorial específica.

33.

El SEPD valora positivamente este planteamiento, en calidad de primer paso importante. Ahora bien, a más largo plazo podrían requerirse otras medidas de carácter más fundamental. Podría aprovecharse la oportunidad de esta Comunicación para dar comienzo a este planteamiento a largo plazo. El SEPD sugiere que, como actuación consecutiva a esta Comunicación, se entable el debate sobre tal planteamiento. Entre los posibles elementos del mismo cabría mencionar los que se exponen a continuación.

34.

En primer lugar, la interacción con las tecnologías opera de dos maneras. Por una parte, la aparición de nuevas tecnologías puede exigir modificaciones del marco jurídico de la protección de datos. Por otra, la necesidad de proteger eficazmente los datos personales de los particulares puede requerir la imposición de nuevas limitaciones o de salvaguardias adecuadas sobre la utilización de ciertas tecnologías, consecuencia — ésta — de alcance aún mayor. Sin embargo, las nuevas tecnologías también podrían emplearse con eficacia y resultar fiables en modos que propicien el respeto a la intimidad.

35.

En segundo lugar, podrían requerirse algunas limitaciones concretas en los casos en que las entidades públicas utilicen las nuevas tecnologías en el ejercicio de sus funciones públicas. Buen ejemplo de ello son los debates que se están desarrollando en el espacio de libertad, seguridad y justicia en torno a la realización del Programa de La Haya (14).

36.

En tercer lugar, existe la tendencia a utilizar de manera cada vez más generalizada material biométrico, que incluye el material de ADN, sin limitarse a él. Los retos particulares de la utilización de datos personales obtenidos de este tipo de material pueden tener repercusiones en la legislación sobre protección de datos.

37.

En cuarto lugar, debe reconocerse que la propia sociedad está evolucionando, y va adquiriendo cada vez más elementos de una sociedad de vigilancia (15). Es menester un debate de fondo sobre esta situación. Las preguntas centrales de este debate serían las de si tal evolución es inevitable, si es legítimo que el legislador europeo interfiera en la misma imponiéndole límites, si el legislador europeo está en condiciones de adoptar medidas eficaces, y de qué tipo, etc.

38.

La perspectiva de la protección de la intimidad y la competencia jurisdiccional en el plano mundial tiene una presencia limitada en la Comunicación. A este respecto, la única declaración de intenciones consiste en que la Comisión continuará efectuando un seguimiento y participando en foros internacionales para garantizar la coherencia de los compromisos de los Estados miembros con sus obligaciones conforme a la Directiva. Por lo demás, la Comunicación enumera una serie de actividades realizadas con el fin de simplificar los requisitos para las transferencias internacionales (véase el capítulo III del presente dictamen).

39.

El SEPD lamenta que esta perspectiva no ocupe un lugar más destacado dentro de la Comunicación.

40.

Actualmente, el capítulo IV de la Directiva (artículos 25 y 26) introduce un régimen especial para la transferencia de datos personales a países terceros, que se suma a las normas generales de protección de datos. Este régimen especial ha ido elaborándose a lo largo de los años con el fin de hallar un justo equilibrio entre la protección de las personas cuyos datos han de transferirse a terceros países y los imperativos del comercio internacional y la realidad de las redes mundiales de comunicaciones, entre otros elementos. Tanto la Comisión y el Grupo (16) como también, por ejemplo, la Cámara de Comercio Internacional han dedicado grandes esfuerzos para conseguir que este sistema funcione, mediante exámenes de adecuación, cláusulas contractuales normalizadas, normas empresariales vinculantes, etc.

41.

En relación con la aplicabilidad del sistema a Internet, reviste particular importancia la sentencia del Tribunal de Justicia en el asunto Lindqvist  (17). El Tribunal hace alusión a la ubicuidad de la información presentada en Internet, y dictamina que la publicación de datos en una página web no constituye en sí misma «transferencia a un país tercero de datos», aun cuando por ese medio los datos se pongan al alcance de personas de países terceros que disponen de los medios técnicos para poder acceder a ellos.

42.

Este sistema, consecuencia lógica y necesaria de las limitaciones territoriales de la Unión Europea, no brindará una protección total al ciudadano europeo cuyos datos se difundan dentro de una sociedad en red en la que las fronteras físicas pierden importancia (véanse los ejemplos mencionados en el apartado 6 del presente dictamen): la información de Internet es de carácter ubicuo, pero la competencia del legislador europeo no lo es.

43.

El reto consistirá en hallar soluciones prácticas que concilien la necesidad de proteger a los ciudadanos de Europa cuyos datos se difundan con las limitaciones territoriales de la Unión Europea y de sus Estados miembros. El SEPD, en sus Observaciones sobre la Comunicación de la Comisión titulada «Estrategia sobre la dimensión exterior del espacio de libertad, seguridad y justicia», alentó ya a la Comisión a asumir un protagonismo anticipatorio en la promoción de la protección de los datos personales a escala internacional, propiciando los regímenes bilaterales y multilaterales con terceros países y la cooperación con otras organizaciones internacionales (18).

44.

Entre estas soluciones prácticas pueden mencionarse las siguientes:

45.

Ninguna de estas soluciones es nueva. Sin embargo, se requiere una visión del modo de emplear estos métodos en la práctica con la máxima eficacia posible y de garantizar que las normas de protección de datos — que en la Unión Europea se califican de derechos fundamentales — sean efectivas asimismo en una sociedad en red a escala mundial. El SEPD invita a la Comisión a que comience a perfilar esta visión, en contacto con los interlocutores más pertinentes.

46.

La Comunicación dedica gran atención a los requisitos impuestos por el interés público, en particular por lo que atañe a la seguridad. Explica el apartado 2 del artículo 3 de la Directiva y la interpretación que de éste hace el Tribunal de Justicia en la sentencia PNR (19), así como el artículo 13 de la Directiva, refiriéndose, entre otras cosas, a la jurisprudencia del Tribunal Europeo de Derechos Humanos. Además, la Comunicación subraya que la Comisión, al esforzarse para lograr el importante equilibrio entre las medidas de seguridad y las medidas de protección de los derechos fundamentales innegociables, se asegura el respeto de la protección de los datos personales tal como se garantiza en el artículo 8 del CEDH. El mismo punto de partida se aplica igualmente al diálogo transatlántico con los Estados Unidos de América.

47.

En opinión del SEPD, es importante que la Comisión reitere con la misma claridad las obligaciones de la Unión a tenor del artículo 6 del TUE, de respetar los derechos fundamentales tal y como se garantizan en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Esta declaración adquiere una importancia aún mayor actualmente, una vez que el Consejo Europeo ha decidido que, de acuerdo con el Tratado de Reforma, la Carta de los Derechos Fundamentales de la Unión Europea tenga carácter legalmente obligatorio. El artículo 8 de la Carta especifica el derecho de toda persona a la protección de los datos de carácter personal que la conciernan.

48.

Es bien conocido el riesgo de que la demanda policial de un numero cada vez mayor de datos personales para ser utilizados en la lucha contra la delincuencia — por no hablar del terrorismo — haga descender el nivel de protección del ciudadano por debajo del que garantizan el artículo 8 del CEDH y el Convenio no 108 del Consejo de Europa (20). Estas consideraciones constituyeron un elemento fundamental del Tercer dictamen del SEPD sobre la propuesta de Decisión Marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, publicado el 27 de abril de 2007.

49.

En este contexto, resulta indispensable que el nivel de protección previsto en la Directiva se tome como base para la protección del ciudadano, igualmente en relación con las exigencias de la actuación policial. El CEDH y el Convenio no 108 garantizan un nivel mínimo de protección pero no aportan la precisión necesaria. Además de ellos, se requieren también medidas complementarias que brinden al ciudadano la adecuada protección. Esta necesidad fue uno de los principios impulsores de la adopción de la Directiva en 1995 (21).

50.

Es igualmente indispensable que este nivel de protección esté garantizado de manera efectiva en todas las situaciones en las que se efectúa un tratamiento de datos personales para fines policiales. Si bien la Comunicación no aborda la cuestión del tratamiento de datos en el tercer pilar, sí se refiere, acertadamente, a la situación en la que se utilizan con fines policiales datos obtenidos (y tratados) con fines comerciales. Esta situación se hace cada vez más habitual, por cuando cada vez más la labor policial depende de la disponibilidad de información que obra en poder de terceros. Puede considerarse que la Directiva 2006/24/CE (22) constituye la mejor ilustración de esta tendencia: la Directiva impone a los proveedores de servicios de comunicaciones electrónicas la obligación de conservar (por más tiempo) — para fines policiales — datos que han obtenido (y conservado) con fines comerciales. A juicio del SEPD, es menester garantizar plenamente la adecuada protección de los datos personales obtenidos y tratados dentro del ámbito de aplicación de la Directiva a la hora de utilizar esos datos con fines de interés público, y en especial de seguridad o de lucha contra el terrorismo. Sin embargo, en algunos casos dichos fines pueden estar excluidos del ámbito de aplicación de la Directiva.

51.

Estas observaciones dan pie a formular a la Comisión las siguientes sugerencias:

52.

En su Comunicación, la Comisión menciona la enorme repercusión del Tratado Constitucional en el ámbito de la protección de datos. Efectivamente, el Tratado, que actualmente se ha convertido en Tratado de Reforma, revestirá una importancia esencial en este ámbito. El Tratado pondrá fin a la estructura de pilares, se precisará la disposición relativa a la protección de datos (actual artículo 286 CE), y la Carta de los Derechos Fundamentales de la Unión, que incluye en su artículo 8 una disposición sobre protección de datos, se convertirá en un instrumento vinculante.

53.

El mandato de la Conferencia Intergubernamental (CIG) alude de manera concreta a la protección de datos. El punto 19, letra f), declara básicamente tres cosas. En primer lugar, las normas generales de protección de datos se entenderán sin perjuicio de las normas específicas que, sobre este tema, figurarán en el título dedicado a la PESC (actual segundo pilar); en segundo lugar, se adoptará una declaración sobre la protección de datos de carácter personal en los ámbitos de la cooperación policial y judicial en materia penal (actual tercer pilar), y en tercer lugar, se adoptarán referencias específicas en los Protocolos pertinentes sobre la posición de ciertos Estados miembros considerados individualmente (este elemento guarda relación, fundamentalmente, con la posición del Reino Unido en lo que atañe a la cooperación policial y judicial en materia penal).

54.

Lo que requerirá aclaración por parte de la CIG será el segundo elemento (la declaración). Será menester estudiar detenidamente las consecuencias de la desaparición de la estructura de pilares y la posible aplicabilidad de la Directiva sobre cooperación policial y judicial en materia penal, para garantizar una aplicación tan amplia como sea posible de los principios de protección de datos contenidos en la Directiva. No procede desarrollar más esta cuestión aquí. El SEPD ha presentado sugerencias relativas a la declaración en una carta dirigida a la Presidencia de la CIG (25).

55.

La Comunicación menciona una serie de herramientas y acciones a las que podrá recurrirse para mejorar la aplicación de la Directiva en el futuro. El SEPD desea formular observaciones al respecto, al tiempo que explora otros instrumentos posibles que no se mencionan en la Comunicación.

56.

En determinados casos puede que sea necesari una actuación legislativa específica a escala de la UE. Concretamente, podrá ser necesaria una legislación sectorial para adaptar los principios de la Directiva a los problemas que plantean algunas tecnologías, como en el caso de la Directiva relativa a la protección de los datos personales y la intimidad en relación con el sector de las telecomunicaciones. Deberá estudiarse cuidadosamente la posibilidad de recurrir a legislación específica en ámbitos tales como el uso de tecnologías de identificación por radiofrecuencia.

57.

El instrumento más poderoso al que se alude en la Comunicación es el procedimiento de infracción. La Comunicación hace referencia a un ámbito concreto que merece particular consideración, que es el de la independencia de las autoridades de protección de datos y sus poderes, y sólo alude a otros aspectos de forma marginal. El SEPD comparte la opinión de que los procedimientos de infracción constituyen un elemento esencial e inevitable en caso de que los Estados miembros no instrumenten la plena aplicación de la Directiva, teniendo en cuenta, en particular, que han pasado casi nueve años desde la fecha límite de incorporación de la Directiva y que ya ha tenido lugar el diálogo estructurado previsto en el programa de trabajo. Sin embargo, a fecha de hoy, aún no se ha presentado ante el Tribunal de Justicia ningún asunto relativo a una infracción de la Directiva 95/46/CE.

58.

Un análisis comparativo de todos los casos en que exista sospecha de incorporación incorrecta o incompleta (26), así como una Comunicación interpretativa, contribuirán sin duda a mejorar la coherencia del papel de la Comisión de guardiana de los Tratados. Sin embargo, la preparación de estos instrumentos, que puede exigir cierto tiempo y esfuerzo, no debería retrasar la incoación de procedimientos de infracción en los ámbitos en que la Comisión haya determinado claramente la existencia de incorrecciones de incorporación o de aplicación.

59.

Así pues, el SEPD anima a la Comisión a que, de ser necesario, propicie una mejor aplicación de la Directiva mediante procedimientos de infracción. En este sentido, el SEPD hará uso de su facultad de intervención ante el Tribunal de Justicia con miras a participar, si procede, en los procedimientos de infracción relacionados con la aplicación de la Directiva 95/46 o de otros instrumentos en el ámbito de la protección de datos personales.

60.

La Comunicación menciona igualmente una Comunicación interpretativa sobre algunas disposiciones, en la que la Comisión aclarará cómo entiende ciertas disposiciones de la Directiva cuya aplicación resulta problemática y que pueden conducir a procedimientos formales de infracción. El SEPD celebra que en este sentido la Comisión tendrá en cuenta los trabajos en materia de interpretación realizados por el Grupo del artículo 29. Es fundamental, en efecto, que se tenga en cuenta la postura del Grupo artículo 29 a la hora de redactar la futura Comunicación interpretativa, y que se lo consulte debidamente, con miras a aprovechar la experiencia del Grupo del artículo 29 en la aplicación de la Directiva en el plano nacional.

61.

Por otra parte, el SEPD confirma su disposición a asesorar a la Comisión en cualquier asunto relacionado con la protección de datos personales. Esto se aplica igualmente a los instrumentos sin carácter vinculante, como las comunicaciones de la Comisión, que pretenden definir la política de la Comisión en el ámbito de la protección de datos personales. En lo tocante a los datos personales, para que la función de asesoramiento del SEPD sea eficaz es conveniente que la consulta se realice antes de la adopción de la Comunicación interpretativa (27). La función de asesoramiento tanto del Grupo del artículo 29 como del SEPD aportará una plusvalía a esta Comunicación, al tiempo que se mantiene la independencia de la Comisión, que decidirá de manera autónoma sobre la incoación de procedimientos formales de infracción en relación con la aplicación de la Directiva.

62.

El SEPD celebra que la Comunicación vaya a abordar únicamente un número reducido de artículos, lo que le permitirá centrarse en las cuestiones más delicadas. Con esta perspectiva, el SEPD señala a la atención de la Comisión los siguientes asuntos, que merecen una atención destacada en la Comunicación interpretativa:

63.

Debería desarrollarse de manera anticipatoria la observancia de los principios de protección de datos mediante otros instrumentos de carácter no vinculante, en especial en los nuevos entornos tecnológicos. Estas medidas deberían asentarse en el principio de «intimidad mediante el diseño», velando por que la arquitectura de las nuevas tecnologías se conciba y se construya teniendo debidamente en cuenta los principios de la protección de datos. El fomento de los productos tecnológicos respetuosos de la intimidad debería constituir un elemento esencial dentro de un contexto de rápido crecimiento de la ubicuidad informática.

64.

En estrecha relación con esto se halla la necesidad de ampliar la gama de participantes en la responsabilidad de hacer cumplir la legislación sobre protección de datos. Por una parte, el SEPD respalda firmemente el papel fundamental de las autoridades de protección de datos en la garantía de observancia de los principios de la Directiva, al ejercer con plenitud sus competencias, así como la posibilidad de coordinación en el seno del Grupo del artículo 29. La aplicación más eficaz de la Directiva constituye igualmente uno de los objetivos de la «iniciativa de Londres».

65.

Por otra parte, el SEPD subraya la conveniencia de propiciar la aplicación de los principios de protección de datos en la esfera privada, por medio de la autorregulación y la competencia. Debe alentarse al sector a aplicar los principios de protección de datos y a competir en la creación de productos y servicios respetuosos de la intimidad, con miras a mejorar la posición en el mercado respondiendo mejor a las expectativas de los consumidores sensibles a la protección de su intimidad. En este sentido merece mencionarse el buen ejemplo de los distintivos de protección de la intimidad que podrían atribuirse a los productos y servicios que hayan superado un procedimiento de certificación (29).

66.

El SEPD desea señalar asimismo a la Comisión otras herramientas que, si bien no se mencionan en la Comunicación, podrían ser de utilidad para la mejor aplicación de la Directiva. Pueden citarse como ejemplos de herramientas que contribuirían a que las autoridades de protección de datos cumplieran mejor su cometido de aplicar la legislación pertinente:

67.

Por último, el SEPD desea referirse a otros instrumentos que tampoco se mencionan en la Comunicación, pero que podrían estudiarse para futuras modificaciones de la Directiva o incluirse en otra legislación horizontal, en especial los siguientes:

68.

Diversos agentes institucionales poseen responsabilidades relacionadas con la aplicación de la Directiva. Conforme al artículo 28 de la Directiva, las autoridades de control de los Estados miembros son responsables de vigilar la aplicación de las disposiciones nacionales de incorporación de la Directiva en cada Estado miembro. El artículo 29 crea el Grupo de autoridades de control, al tiempo que en el artículo 30 se enumeran sus funciones. Conforme al artículo 31, un comité formado por representantes de los Gobiernos de los Estados miembros asiste a la Comisión en materia de normas de desarrollo en el plano comunitario (un comité de comitología).

69.

Es especialmente necesario definir con más precisión las responsabilidades de los diversos actores por lo que atañe al Grupo del artículo 29 (y sus actividades). El artículo 30, apartado 1 enumera cuatro cometidos del Grupo que pueden resumirse en el examen de la aplicación de la Directiva en el plano nacional a efectos de su uniformidad y la emisión de dictámenes sobre las novedades en el plano comunitario: el nivel de protección, las propuestas legislativas y los códigos de conducta. Esta lista pone de manifiesto la amplitud de la responsabilidad del Grupo en el ámbito de la protección de datos, que también ilustran los documentos que el mismo ha publicado a lo largo de los años.

70.

De acuerdo con la Comunicación, el Grupo del artículo 29 «es un elemento fundamental para garantizar una aplicación mejor y más coherente» de la Directiva. El SEPD se adhiere plenamente a esta afirmación, aunque considera necesario asimismo precisar algunos elementos concretos de sus responsabilidades.

71.

En primer lugar, la Comunicación exhorta a la mejora de la contribución del Grupo del artículo 29, pues las autoridades encargadas de la protección de datos también deben esforzarse por adaptar sus prácticas internas a la línea común (30). El SEPD celebra la intención que anima esta declaración, aunque advierte del riesgo de confusión de responsabidades. Compete a la Comisión, conforme al artículo 211 del Tratado CE, velar por la aplicación de las disposiciones en los Estados miembros, incluida la aplicación por parte de las autoridades de control. No puede atribuirse al Grupo del artículo 29, en su calidad de asesor independiente, la responsabilidad de la aplicación de sus dictámenes por parte de las autoridades nacionales.

72.

En segundo lugar, la Comisión debe ser consciente de la diversidad de sus propias funciones en el Grupo, ya que no sólo es miembro del mismo sino que también asume las funciones de secretaría. En el ejercicio de esta segunda labor, debe prestar su apoyo al Grupo de tal manera que le permita trabajar con independencia. Ello implica básicamente dos cosas: la Comisión debe proporcionar los recursos adecuados, y la secretaría debe trabajar conforme a las instrucciones del Grupo y de su Presidente por lo que atañe al contenido y el alcance de las actividades del Grupo, así como a la naturaleza de su producción. En términos más generales, las actividades de la Comisión en cumplimiento de sus otras tareas a tenor del Derecho de la CE no deben interferir en su disponibilidad como secretaría.

73.

En tercer lugar, si bien el Grupo tiene discreción para determinar sus prioridades de trabajo, la Comisión podría dar indicaciones acerca de lo que espera de éste y del modo en que estima que podría sacarse más provecho a los recursos disponibles.

74.

En cuarto lugar, el SEPD lamenta que la Comunicación omita dar indicaciones claras de la división de funciones entre la Comisión y el Grupo. Invita a la Comisión a que presente al Grupo un documento en el que figuren dichas indicaciones. El SEPD desea formular las siguientes sugerencias de elementos que deberían constar en ese documento:

75.

El SEPD comparte la conclusión central de la Comisión de que no procede modificar la Directiva a corto plazo. Cabría reforzar esta conclusión refiriéndose igualmente a la naturaleza de la Directiva y a la política legislativa de la Unión.

76.

Los puntos de partida del SEPD son los siguientes:

77.

Entre los principales elementos de la futura modificación cabe mencionar los siguientes:

78.

El SEPD sugiere que la Comisión especifique: un calendario indicativo para las actividades del capítulo 3 de la Comunicación; un mandato preciso para evaluar la realización de las actividades previstas; indicaciones sobre el modo de continuar a más largo plazo.

79.

El SEPD celebra el planteamiento relativo a la tecnología, que constituye un primer paso importante, y sugiere que se inicie el debate sobre un planteamiento a largo plazo que incluya, entre otras cosas, un debate de fondo sobre el establecimiento de una sociedad de la vigilancia. Saluda asimismo el examen en curso de la Directiva 2002/58/CE, y subraya la posible necesidad de normas más específicas que regulen los problemas de protección de datos creados por las nuevas tecnologías, como Internet y la identificación por radiofrecuencia. Estas acciones deberían tener presente el contexto dinámico en su conjunto, y con una perspectiva a largo plazo, deberían incluir asimismo a la Directiva 95/46/CE.

80.

El SEPD lamenta que la perspectiva de la intimidad y la competencia jurisdiccional en el plano mundial no tenga sino un papel limitado en la Comunicación, y aboga por unas soluciones prácticas que concilien la necesidad de proteger a los ciudadanos europeos cuyos datos se tratan y las limitaciones territoriales de la Unión Europea y de sus Estados miembros, por ejemplo: la prosecución del desarrollo de un marco mundial de protección de datos; la prosecución del desarrollo del régimen especial para la transferencia de datos personales a países terceros; acuerdos internacionales sobre competencia jurisdiccional o acuerdos similares con terceros países; inversión en mecanismos de garantía de observancia a escala mundial, como el empleo de normas empresariales vinculantes por parte de las multinacionales.

El SEPD invita a la Comisión a que inicie la elaboración de una visión basada en esta perspectiva, en colaboración con los interlocutores más relevantes.

81.

En relación con la actividad policial, el SEPD desea formular a la Comisión las siguientes sugerencias:

82.

La aplicación plena de la Directiva supone que: 1) se garantice el pleno cumplimiento por parte de los Estados miembros de sus obligaciones conforme a la legislación europea; y 2) se empleen de manera plena otras herramientas no vinculantes que pueden jugar un papel importante para alcanzar un nivel elevado y armonizado de protección de los datos. El SEPD pide a la Comisión que dé indicaciones claras acerca del modo en que se propone utilizar los diversos instrumentos y de cómo diferencia sus propias responsabilidades de las del Grupo del artículo 29.

83.

Por lo que respecta a dichos instrumentos:

84.

El SEPD invita a la Comisión a que presente al Grupo un documento en el que le dé indicaciones precisas acerca de la división de funciones entre la Comisión y el Grupo del artículo 29, que aborde los siguientes asuntos:

85.

Es menester tener debidamente en cuenta las consecuencias del Tratado de Reforma, a fin de garantizar la aplicación más amplia posible de los principios de protección de datos enunciados en la Directiva. El SEPD ha presentado sugerencias a este respecto en una carta dirigida a la Presidencia de la CIG.