52012SC0073

DOCUMENTO DE TRABAJO DE LOS SERVICIOS DE LA COMISIÓN

RESUMEN DE LA EVALUACIÓN DE IMPACTO

que acompaña al documento

Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos

1. Introducción

Desde 1995, año de la aprobación del actual marco jurídico sobre protección de datos de la UE, la rápida evolución de la tecnología y la actividad empresarial han generado nuevos desafíos para la protección de los datos personales. Las proporciones del intercambio y la recogida de datos se han ampliado de forma espectacular. La tecnología permite tanto a las empresas privadas como a las administraciones públicas utilizar datos personales para el ejercicio de sus actividades en una escala sin precedentes. Las personas físicas publican un volumen cada vez mayor de información personal a nivel mundial, sin ser plenamente conscientes de los riesgos que ello entraña.

La creación de confianza en el entorno en línea es esencial para el desarrollo económico. En efecto, la falta de confianza hace que los consumidores vacilen a la hora de adquirir productos en línea y adoptar nuevos servicios, incluidos los de la administración pública electrónica. De no resolverse, este déficit de confianza seguirá frenando el desarrollo de usos innovadores de las nuevas tecnologías, suponiendo un obstáculo para el crecimiento económico e impidiendo al sector público cosechar los beneficios potenciales de la digitalización de sus servicios.

Además, el Tratado de Lisboa ha creado, en virtud del artículo 16 del TFUE, una nueva base jurídica para un enfoque modernizado y completo de la protección de datos y de la libre circulación de datos personales, que abarca asimismo la cooperación policial y judicial en materia penal.

2. Definición del problema

La evaluación de impacto presenta y analiza tres grandes problemas:

2.1. Problema 1: Obstáculos que la fragmentación, la inseguridad jurídica y la aplicación poco coherente de las normas suponen para las empresas y las autoridades públicas

A pesar de que la Directiva se fijaba el objetivo de asegurar un nivel de protección de datos equivalente en toda la UE, aún se observan considerables divergencias entre las normas aplicables en los distintos Estados miembros. Como consecuencia de esa situación, los responsables del control de los datos pueden tener que hacer frente a 27 conjuntos de leyes y requisitos nacionales diferentes dentro de la UE. El resultado de todo ello es un entorno jurídico fragmentado que ha generado inseguridad jurídica y un nivel desigual de protección a los ciudadanos. Esto ha ocasionado a las empresas cargas administrativas y costes innecesarios (por un importe de unos 3 millones EUR anuales según la hipótesis de base), lo que ha supuesto un fuerte desincentivo para las sociedades (incluidas las PYME) activas en el mercado único que podrían plantearse la expansión de sus operaciones a terceros países.

Además, los recursos y las potestades de las autoridades nacionales responsables de la protección de datos varían considerablemente de un Estado miembro a otro. En algunos casos, esto significa que son incapaces de desempeñar adecuadamente sus tareas de control del cumplimiento de las normas. La cooperación entre estas autoridades a escala europea a través del Grupo consultivo conocido como «Grupo de trabajo del artículo 29» no siempre conduce a una aplicación coherente de las disposiciones, por lo que también es susceptible de mejora.

2.2. Problema 2: Dificultades para que las personas físicas controlen sus datos personales

La falta de armonización entre las distintas legislaciones de protección de datos nacionales y las divergentes competencias de las autoridades nacionales de protección de datos imponen a los ciudadanos de algunos Estados miembros más dificultades que a los de otros a la hora de ejercer sus derechos, especialmente en los entornos en línea.

En razón del enorme volumen de datos que facilitan diariamente y del hecho de que a menudo no son plenamente conscientes de que sus datos están siendo recogidos, los ciudadanos también han perdido el control sobre sus propios datos. Si bien son muchos los europeos que consideran que la revelación de sus datos personales es un acto cada vez más habitual en la vida moderna[1], el 72 % de los usuarios de Internet en Europa siguen preocupados ante la excesiva cantidad de datos personales que se les solicita en línea y a menudo no sabe cómo ejercer sus derechos en ese entorno.

2.3. Problema 3: Lagunas e incoherencias de la protección de datos personales en el ámbito de la cooperación policial y judicial en materia penal.

El ámbito de aplicación de la Directiva, cuya base jurídica se arraigaba en el mercado interior, excluía explícitamente la cooperación policial y judicial en materia penal. La Decisión Marco, adoptada en 2008 con el propósito de regular el tratamiento de datos en el ámbito de la cooperación policial y judicial en materia penal, refleja las especificidades de la estructura de pilares anterior al Tratado de Lisboa de la UE y se caracteriza por su limitado ámbito de aplicación y otras lagunas, a menudo fuente de inseguridad jurídica tanto para las personas físicas como paras las autoridades con funciones coercitivas, así como de dificultades de aplicación prácticas. Además, la Decisión Marco contempla numerosos supuestos de inaplicación a nivel nacional de los principios generales de protección de datos, renunciando con ello a toda posibilidad de armonización. Esto no solo entraña el riesgo de vaciar esos principios de su objetivo esencial, y, por ende, de incidir negativamente en el derecho fundamental de las personas físicas a la protección de sus datos personales en dicho ámbito, sino que además perturba el fluido intercambio de datos personales entre las autoridades nacionales competentes.

3. Análisis de la subsidiariedad y la proporcionalidad

A la luz de los problemas expuestos en la sección anterior, el análisis de la subsidiariedad recomienda la necesidad de actuar al nivel de la UE por las razones siguientes:

· el derecho a la protección de datos personales se consagra en el artículo 8 de la Carta de los Derechos Fundamentales; el artículo 16 del TFUE constituye la base jurídica para la adopción de normas de la UE en materia de protección de datos;

· los datos personales pueden transferirse de un país a otro, tanto dentro como fuera de la UE, a velocidades y en cantidades cada vez mayores; además, los retos prácticos que plantea la aplicación de la normativa de protección de datos y la necesidad de cooperación entre los Estados miembros y sus autoridades deben encararse al nivel de la UE para asegurar la coherencia necesaria y un alto nivel de protección dentro de la UE;

· en la situación actual, los Estados miembros no se bastan por sí solos para resolver los problemas, especialmente los derivados de la fragmentación de las legislaciones nacionales que dan aplicación al marco regulador de la protección de datos de la UE;

· si bien los Estados miembros podrían ejecutar políticas que asegurasen el respeto de ese derecho, la ausencia de normas comunes a escala de la UE les impediría conseguirlo de manera uniforme y crearía restricciones de los flujos internacionales de datos personales.

Las medidas previstas son proporcionadas, puesto que entran dentro de las competencias de la Unión conforme se definen en los Tratados, y son necesarias para asegurar la uniformidad de aplicación de la legislación de la UE, garantizando con ello una salvaguardia efectiva y equitativa de los derechos fundamentales de los ciudadanos. La intervención al nivel de la UE resulta esencial para seguir asegurando tanto la credibilidad como un alto nivel de protección en un entorno de globalización, manteniendo la libre circulación de los datos. El adecuado funcionamiento del mercado interior exige que las disposiciones aseguren la igualdad de condiciones para los agentes económicos.

4. Objetivos

Los tres grandes objetivos políticos de esta intervención son los siguientes:

· potenciar la dimensión de mercado interior de la protección de datos, reduciendo su fragmentación, aumentando su coherencia y simplificando su marco regulador, eliminando de ese modo los costes innecesarios y reduciendo las cargas administrativas;

· aumentar la efectividad del derecho fundamental a la protección de datos y otorgar a las personas físicas el control sobre sus propios datos;

· reforzar la coherencia del marco de protección de datos de la UE, incluso en el ámbito de la cooperación policial y judicial en materia penal, habida plena cuenta de la entrada en vigor del Tratado de Lisboa.

5. Opciones de intervención 5.1. Opción 1:      Intervención mínima

Esta opción consistiría esencialmente en la publicación de comunicaciones interpretativas por parte de la Comisión y en la provisión de herramientas de soporte técnico y de financiación, así como en el fomento de la normalización y la autorregulación, a fin de mejorar la aplicación práctica de las normas existentes por parte de los responsables del control de los datos y de aumentar el grado de concienciación de los ciudadanos. La Comisión se limitaría a proponer modificaciones legislativas mínimas dirigidas a aclarar los conceptos de la Directiva y a resolver problemas específicos cuya solución eficaz no pudiera alcanzarse de ninguna otra manera. Esta opción solo resultaría pertinente para los problemas 1 y 2.

Esas modificaciones legislativas limitadas introducirían explícitamente los principios de transparencia y minimización de datos y dotarían de una base jurídica a las normas corporativas vinculantes para las transferencias internacionales.

5.2. Opción 2:      Modernización del marco jurídico

La Comisión presentaría propuestas legislativas dirigidas a avanzar en el proceso de armonización de las normas sustantivas, aclarar determinadas disposiciones y resolver las incoherencias generadas por la aplicación de enfoques diferentes en los distintos Estados miembros. Estas propuestas abordarían los problemas 1 y 2 puesto que, por una parte, facilitarían el flujo de datos dentro de la UE y desde la UE hacia terceros países y, por otra, clarificarían y reforzarían los derechos de las personas físicas (por ejemplo el derecho de acceso a los datos y el «derecho al olvido», con modalidades más claras de otorgamiento del consentimiento y de notificación de las violaciones de datos) e intensificarían la responsabilidad de los responsables del control y el tratamiento de los datos (por ejemplo mediante la introducción, cuando así procediere, de la obligación de nombrar delegados de protección de datos o de llevar a cabo evaluaciones de impacto de la protección de datos). Una característica de esta opción sería la creación de una «ventanilla única» (es decir, una única ley y una única autoridad de protección de datos o APD) para los responsables del control de datos. Los requisitos generales de notificación quedarían simplificados (reducidos a un «registro básico»). Además, esta opción aumentaría la independencia de las APD y armonizaría sus competencias. Resultaría asimismo reforzada la cooperación y la asistencia mutua entre APD gracias, entre otros medios, a un nuevo «mecanismo de coherencia» en el que participarían el Consejo Europeo de Protección de Datos, también de nueva creación, y la Comisión.

Por lo que respecta a la protección de datos en el ámbito de la cooperación policial y judicial en materia penal (problema 3), la Comisión presentaría propuestas para la sustitución de la Decisión Marco por un nuevo instrumento de mayor alcance y subsanaría las lagunas y deficiencias más importantes con el fin tanto de reforzar los derechos de los ciudadanos como de facilitar la cooperación entre las autoridades con funciones coercitivas, teniendo siempre en cuenta las especificidades del sector.

5.3. Opción 3:      Normativa detallada al nivel de la UE

Esta opción incluiría la mayor parte de los elementos de la opción 2 además de una normativa de la UE mucho más detallada, incluida la de carácter sectorial (por ejemplo, en el sector de la salud y la medicina) y una estructura de ejecución centralizada al nivel de la UE (es decir, la creación de una autoridad de protección de datos de la UE). Además, implicaría la eliminación de los requisitos generales de notificación (excepto para las comprobaciones previas de las operaciones de tratamiento de datos que entrañen algún riesgo), la creación de un régimen de certificación de la UE para los procesos y productos que se ajusten a las normas de protección de datos y la tipificación de sanciones penales armonizadas en toda la UE para las infracciones de las normas de protección de datos. El consentimiento se definiría como «criterio de base» para el tratamiento de los datos.

Por lo que respecta a la cooperación policial y judicial en materia penal, junto a las medidas sustantivas contempladas en la opción 2, esta opción incluiría el establecimiento de disposiciones sobre derecho de acceso a los datos de las personas físicas (directo en todos los casos). Supondría además una modificación de las disposiciones pertinentes de todos los instrumentos correspondientes al antiguo tercer pilar vigentes a fin de ajustarlas plenamente a las nuevas normas armonizadas y ampliadas.

6. Evaluación de impacto 6.1. Opción 1: Intervención mínima

Las comunicaciones interpretativas de la Comisión acerca de las disposiciones de la Directiva no serían vinculantes, por lo que su incidencia en la reducción de la inseguridad jurídica y sus costes serían limitados. La existencia de una mayor autorregulación al nivel de la UE podría aportar una mayor claridad jurídica a los responsables del control de datos de determinados sectores, pero no bastaría para asegurar una aplicación eficaz y sistemática de las normas en ausencia de un marco jurídico claro y armonizado a escala de la UE.

Las campañas de sensibilización ayudarían a los ciudadanos a conocer mejor los derechos de protección de datos que les amparan y las vías prácticas para ejercerlos. Sin embargo, esas medidas serían insuficientes para que los ciudadanos hicieran valer tales derechos si estos no se hallan claramente consagrados en disposiciones legales. Las aclaraciones legislativas en cuanto a los principios de transparencia, minimización de datos, adecuación y normas de empresa vinculantes aumentarían la armonización y la seguridad jurídica tanto para las personas físicas como para las empresas.

Desde el punto de vista de la ejecución, las comunicaciones de la Comisión no disiparían la reticencia de los Estados miembros a modificar las normas nacionales para otorgar una mayor independencia y unas potestades más armonizadas a las APD. El aumento de la coordinación por parte del Grupo de trabajo del artículo 29 y los intercambios entre APD de datos tendrían un impacto positivo en la aplicación más coherente de las normas; sin embargo, la persistencia de divergencias en las legislaciones nacionales y en su interpretación limitaría el efecto de la mejora de la cooperación entre APD.

Las repercusiones financieras y económicas de esta opción son limitadas y los problemas detectados quedarían en gran medida sin resolver.

6.2. Opción 2: Modernización del marco jurídico

La inseguridad jurídica tanto para las empresas privadas como para las autoridades públicas se reduciría considerablemente. Se aclararían las disposiciones problemáticas y aumentaría la coherencia gracias a la reducción del margen de interpretación y a la adopción de disposiciones de aplicación y actos delegados por parte de la Comisión.

La sustitución de la notificación general de las actividades de tratamiento de datos por un sistema de registro armonizado y simplificado –manteniendo las comprobaciones previas para los datos sensibles y las operaciones de tratamiento que entrañen algún riesgo– eximiría a los responsables del control de datos de una obligación que actualmente es objeto de un cumplimiento dispar. El aumento de la responsabilidad de quienes se encargan del control y el tratamiento de datos mediante la introducción, en determinados casos y con umbrales claramente definidos y selectivos, de la figura del delegado de protección de datos, de la evaluación de impacto de la protección de datos y del principio de protección de datos desde el diseño ofrecerían vías más efectivas para asegurar y demostrar el cumplimiento de las normas.

La clarificación y la simplificación de las reglas mediante la promulgación de una única ley aplicable en toda la UE y la apertura de una «ventanilla única» para el control de la protección de datos reforzaría el mercado interior gracias a la eliminación de las diferencias entre los trámites administrativos de las distintas APD. Solo en el capítulo de cargas administrativas, ello generaría un ahorro cercano a 2 300 millones EUR anuales.

Se fomentaría asimismo la coherencia en la aplicación de las normas mediante el refuerzo y la armonización de las competencias de las APD, el establecimiento de una sólida cooperación y un mecanismo de asistencia mutua para los casos de dimensión europea y la armonización de las infracciones sujetas a sanciones administrativas.

La imposición de una obligación de notificación de las violaciones de datos en toda la UE brindaría una mayor protección a las personas físicas, aseguraría la coherencia entre sectores y descartaría desventajas competitivas.

Los derechos de los interesados y el control de las personas físicas sobre sus propios datos saldrían considerablemente reforzados de la introducción de nuevos derechos y de la ampliación y clarificación de los existentes. Los niños serían objeto de medidas específicamente concebidas para atender a la vulnerabilidad de ese colectivo. Las asociaciones tendrían un mayor margen de actuación para apoyar a los interesados en el ejercicio de sus derechos, incluso ante los tribunales.

La aplicación de los principios generales de la protección de datos a la cooperación policial y judicial en materia penal aumentaría la coherencia global del marco de protección de datos de la UE sin menoscabo de las especificidades inherentes a las funciones coercitivas. Concretamente, los derechos de las personas físicas quedarían reforzados por la extensión del ámbito de aplicación de las normas de protección de datos en este campo a su tratamiento nacional, la fijación de las condiciones necesarias para garantizar el derecho de acceso y la fijación de normas más estrictas en materia de limitación de la finalidad.

Por lo que se refiere a las repercusiones económicas y financieras, la obligación de que los agentes económicos de cierta envergadura (más de 250 empleados) designen delegados de protección de datos no crearía costes desproporcionados habida cuenta de que tales cargos son ya habituales en esas empresas. Los costes de cumplimiento ascenderían a unos 320 millones EUR anuales. La obligación afectaría al segmento mínimo necesario de responsables del control de datos puesto que las PYME quedarían, por regla general, dispensadas salvo cuando sus actividades de tratamiento de datos entrañasen importantes riesgos para la protección de datos. Las autoridades y organismos públicos estarían autorizados para designar un único delegado de protección de datos para varias entidades (que se ocuparía por lo tanto de diversos sectores, departamentos u oficinas), teniendo en cuenta su estructura organizativa.

La simplificación de las normas para las transferencias internacionales (consistente, por ejemplo, en la ampliación del ámbito de aplicación de las normas de empresa vinculantes) tendría también consecuencias positivas para la competitividad internacional de las empresas de la UE.

El refuerzo de la independencia y las competencias de las APD, junto con la imposición a los Estados miembros de la obligación de poner a disposición de dichas autoridades los recursos necesarios generaría costes adicionales a las autoridades públicas que actualmente no están dotadas de las facultades apropiadas y los recursos necesarios.

El nuevo mecanismo de cooperación y asistencia mutua entre APD entrañaría asimismo costes adicionales para las APD nacionales y el Supervisor Europeo de Protección de Datos (SEPD). Por ejemplo, las tareas adicionales que supondría para el SEPD el desempeño de la secretaría del Consejo de Protección de Datos de la UE (en sustitución del Grupo de trabajo del artículo 29) y, en particular, su participación en el mecanismo de coherencia podrían exigir un aumento de sus recursos actuales por un promedio de 3 millones EUR anuales durante los seis primeros años, incluidos los créditos para diez recursos humanos adicionales.

6.3. Opción 3: Normativa detallada al nivel de la UE

La introducción de nuevas disposiciones legales detalladas, incluidas algunas de orden sectorial, junto a las medidas contempladas en la opción 2, conduciría a una reducción máxima de las disparidades entre Estados miembros. Sin embargo, ello podría mermar la flexibilidad que permite a los Estados miembros tener en cuenta las especificidades nacionales.

La abolición total de las notificaciones, excepto en los casos de comprobaciones previas, simplificaría considerablemente el marco reglamentario y reduciría las cargas administrativas.

La creación de una Agencia de Protección de Datos de la UE aumentaría considerablemente la coherencia en la aplicación y limaría disparidades en los casos con una clara dimensión europea, pero los poderes de esa Agencia podrían superar lo permitido por el Derecho de la UE. Además, se trataría de una opción muy onerosa para el presupuesto de la UE. La armonización de las sanciones penales redundaría también en una aplicación más coherente, pero suscitaría de idéntico modo una fuerte oposición por parte de los Estados miembros.

Los derechos de los interesados, incluidos los de los niños, se verían reforzados por disposiciones como la ampliación de la definición de datos sensibles para incluir los datos de niños y los datos biométricos y financieros. La introducción de un derecho a las «acciones colectivas» podría maximizar el ejercicio de los derechos mediante el recurso a los tribunales. La armonización de la gravedad de las sanciones –incluidas las penales– en toda la UE permitiría prever un refuerzo de los derechos individuales.

La modificación explícita de todos los instrumentos para extender las normas generales de protección de datos al ámbito de la cooperación policial y judicial en materia penal tendría un impacto positivo en la sistematicidad y coherencia de las reglas aplicables en este sector y en la consolidación de los derechos de las personas físicas. No obstante, tan radical enfoque tropezaría con la resistencia de los Estados miembros y sería políticamente difícil de llevar a la práctica.

7. Comparación de las opciones

La opción 1 daría lugar a bajos niveles de cumplimiento y generaría escasos costes administrativos, especialmente para los responsables del control de datos privados, habida cuenta de que los costes adicionales recaerían en las autoridades públicas nacionales y de la UE. Al mismo tiempo, sus consecuencias favorables para la resolución de los problemas detectados y la consecución de los objetivos de intervención serían limitadas.

En términos de viabilidad política, si bien las propuestas no son controvertidas, es probable que esta opción tropiece con la resistencia de los interesados debido a su limitado alcance y efecto en los problemas y a su carácter poco ambicioso.

La opción 2 daría lugar a una considerable reducción de la fragmentación y la inseguridad jurídica. Debería tener una incidencia mucho más notoria en la resolución de los problemas detectados y en la consecución de los objetivos de intervención. El equilibrio entre cumplimiento de las normas y costes administrativos asociado a esta opción parece adecuado habida cuenta de las ventajas que aportaría y del ahorro que generaría, a saber, 2 300 millones EUR anuales en el capítulo de cargas administrativas, un factor extraordinariamente importante para las empresas. Esta opción aseguraría una aplicación general más eficaz y coherente de las normas. La abolición de las notificaciones en favor de un sistema de registro básico mucho más sencillo simplificaría asimismo el marco regulador y reduciría la carga administrativa.

Por lo que respecta a su aceptación por los interesados, esta opción sería objeto de una acogida globalmente favorable por parte de los agentes económicos y las autoridades públicas ya que reduciría sus costes de cumplimiento globales, especialmente los derivados de la actual fragmentación del sistema. El refuerzo de los derechos de protección de datos sería una buena noticia para el sector de la protección de datos y, en particular, para las APD. Por lo que respecta al tercer objetivo general, esta opción contribuiría a alcanzar los objetivos de mayor coherencia y sistematicidad de las normas de protección de datos en el ámbito de la cooperación policial y judicial en materia penal mediante la derogación y adaptación al Tratado de Lisboa de la Decisión Marco, colmando con ello sus lagunas y concretamente extendiendo su ámbito de aplicación al tratamiento nacional de datos.

La opción 3 incluye la mayor parte de las medidas de la opción 2, a las que añade aspectos de mayor calado. Por ello, tendría repercusiones importantes y positivas tanto en lo que se refiere a la reducción de los costes generados por la fragmentación de las normas como a la ampliación de los derechos de las personas físicas. Además, maximizaría la sistematicidad y la coherencia de las reglas de protección de datos del antiguo tercer pilar y elevaría el nivel de exigencia de las normas en ese ámbito. No obstante, algunas de las medidas que se incluyen en esta opción acarrean costes de cumplimiento excesivamente elevados o tienen altas probabilidades de suscitar una fuerte oposición por parte de los interesados. Además, la modificación simultánea de todos los antiguos instrumentos del tercer pilar sería muy compleja y controvertida desde el punto de vista político.

Opción preferida:

La opción preferida es la opción 2, combinada con:

– la abolición de las obligaciones de notificación recogida en la opción 3, y

– algunas de las «medidas mínimas» de la opción 1: el fomento de tecnologías protectoras de la privacidad y regímenes de certificación y la organización de campañas de sensibilización.

La opción preferida es la que reúne más posibilidades de conseguir los objetivos fijados sin costes de cumplimiento excesivos y con una considerable reducción de las cargas administrativas.

Se espera que el refuerzo de las normas de protección de datos genere algunos costes de cumplimiento adicionales, especialmente para los responsables del control de las actividades de tratamiento de datos que entrañen riesgos. No obstante, la existencia de un régimen de protección de datos fuerte puede aportar a la economía de la UE una ventaja competitiva, dado que el aumento del nivel de protección y la reducción prevista del número de incidentes y violaciones de protección de datos puede aumentar la confianza de los consumidores. El requisito para las empresas de adoptar normas de protección de datos exigentes también puede desembocar en mejoras a largo plazo para las empresas europeas, que podrían asumir el liderazgo mundial de la tecnología protectora de la privacidad o de las soluciones de privacidad desde el diseño, atrayendo con ello a otras empresas, empleos y capital a la Unión Europea.

Además, el aumento de la armonización simplificará y abaratará el tratamiento internacional de datos personales para las empresas activas en el mercado interior de la UE. Se espera que ello suponga para esas empresas considerables incentivos a la hora de extender sus actividades a otros países y aprovechar las ventajas del mercado interior, con efectos beneficiosos tanto para los consumidores como para la economía europea en su conjunto.

La opción preferida comporta una solución equilibrada también para el problema 3, ya que consolida los derechos de las personas físicas, colma lagunas y reduce las incoherencias de la protección de datos en el ámbito de la cooperación policial y judicial en materia penal, facilitando al mismo tiempo la cooperación entre las autoridades con funciones coercitivas y respetando las especificidades del sector y sus necesidades operativas.

8. Seguimiento y evaluación

El seguimiento y la evaluación del impacto de la opción preferida se centrará en elementos como el uso de los nuevos instrumentos introducidos por la reforma, las competencias y los recursos de las APD nacionales, las sanciones impuestas por el incumplimiento de las leyes de protección de datos, el tiempo y los fondos dedicados por los responsables del control de datos a asegurar el cumplimiento de las normas y el aumento de la confianza de los ciudadanos en la protección de sus datos personales en el entorno en línea.

[1]               Véase el Eurobarómetro especial 359 – Attitudes on Data Protection and Electronic Identity in the European Union (Actitudes frente a la protección de datos y la identidad electrónica en la Unión Europea), junio de 2011, p. 23.