11.5.2012   

ES

Diario Oficial de la Unión Europea

C 136/1

1.

El 29 de noviembre de 2011, la Comisión adoptó dos propuestas legislativas sobre la resolución alternativa de litigios (en adelante, «las propuestas»):

2.

El 6 de diciembre de 2011, el SEPD recibió la propuesta RAL y la propuesta RLL para su consulta. El SEPD ya había sido consultado de manera informal antes de la adopción de las propuestas, habiendo emitido observaciones informales. El SEPD recibe con agrado esta consulta en una fase inicial, así como el hecho de que hayan sido incluidas en las propuestas la mayor parte de las recomendaciones incluidas en sus observaciones.

3.

El presente dictamen tiene por objeto analizar el tratamiento de datos personales previsto en las propuestas así como explicar cómo éstas abordan las cuestiones de protección de datos. Se centrará en la propuesta RLL, ya que la misma implica un tratamiento centralizado de los datos personales relacionados con litigios a través de una plataforma en línea.

4.

Los sistemas de resolución alternativa de litigios (RAL) ofrecen una manera alternativa de solucionar los litigios normalmente menos onerosa y más rápida que llevar el caso a los tribunales. La propuesta RAL tiene por objeto garantizar que las entidades de RAL existen en todos los Estados miembros para resolver los litigios transfronterizos derivados de la venta de mercancías o de la prestación de servicios en la Unión Europea.

5.

La propuesta RLL está basada en que, a escala de la Unión Europea, esté disponible la resolución alternativa de litigios en materia de consumo. Establece una plataforma en línea (en adelante, la «plataforma RLL») que los consumidores y los comerciantes podrán utilizar para presentar sus reclamaciones relativas a transacciones transfronterizas en línea a la entidad de RAL competente.

6.

El SEPD apoya la finalidad de las propuestas y recibe con satisfacción el hecho de que los principios en materia de protección de datos se hayan tenido en cuenta desde una fase temprana del proceso de elaboración.

7.

Recibe asimismo con agrado las referencias a la aplicabilidad de la legislación en materia de protección de datos en la propuesta RLL (5) y a la aplicabilidad de la legislación nacional de aplicación de la Directiva 95/46/CE en el contexto de la propuesta RAL (6), así como las referencias a la consulta al SEPD (7).

8.

Según la propuesta RLL, los datos serán tratados por tres clases de agentes en el contexto de cada litigio que se presente a través de la plataforma RLL:

El artículo 11, apartado 4, establece que todos estos agentes serán considerados responsables del tratamiento respecto del tratamiento de datos personales relacionados con sus responsabilidades.

9.

Sin embargo, muchos de estos responsables podrían ser considerados responsables del tratamiento de los mismos datos personales (9). Por ejemplo, los datos relativos a un litigio particular enviados a través de la plataforma RLL pueden ser examinados por varios moderadores de RLL y por el sistema competente de RAL que trate dicho litigio. La Comisión también trata estos datos personales para la utilización y el mantenimiento de la plataforma RLL.

10.

En este sentido, el SEPD recibe con agrado el hecho de que el considerando 20 de la propuesta RLL establezca que la legislación de protección de datos es aplicable a todas estas personas. Sin embargo, la parte dispositiva de dicha propuesta debería especificar al menos a qué responsables del tratamiento deberán dirigir los interesados sus solicitudes de acceso, rectificación, bloqueo y supresión; así como qué responsable del tratamiento responderá en caso de violaciones específicas de la legislación en materia de protección de datos (por ejemplo, en caso de violaciones de la seguridad). Asimismo, los interesados deben ser informados oportunamente.

11.

Según lo dispuesto en el artículo 11 de la propuesta RLL, el acceso a los datos personales tratados a través de la plataforma RLL está limitado a:

12.

El SEPD recibe con agrado estas limitaciones de la finalidad y los derechos de acceso. Sin embargo, no queda claro si los moderadores de RLL (que son como mínimo cincuenta y cuatro) tendrán acceso a los datos personales relativos a todos los litigios. El SEPD recomienda que se aclare que cada moderador de RLL únicamente tendrá acceso a los datos necesarios para cumplir sus obligaciones, indicadas en el artículo 6, apartado 2.

13.

En cuanto al período de conservación, el SEPD recibe con agrado el artículo 11, apartado 3, que permite la conservación de datos personales únicamente durante el tiempo necesario para resolver el litigio o para que los interesados ejerzan su derecho de acceso. Recibe asimismo con satisfacción la obligación de borrar automáticamente los datos seis meses después de que concluya el litigio.

14.

Teniendo en cuenta la finalidad de las propuestas, es posible que se traten datos personales relativos a supuestas infracciones. También podrían tratarse datos de salud en el contexto de litigios derivados de la venta de mercancías o de la prestación de servicios relacionados con la salud.

15.

El tratamiento de datos personales en el marco de la plataforma RLL podría quedar, por tanto, sometido a un control previo por parte de las autoridades nacionales de protección de datos y por el SEPD, tal como establecen el artículo 27 del Reglamento (CE) no 45/2001 y el artículo 20 de la Directiva 95/46/CE (11). El SEPD entiende que la Comisión es consciente de la necesidad de valorar, antes de que la plataforma RLL entre en funcionamiento, si el tratamiento debe quedar sujeto a un control previo.

16.

En el anexo de la propuesta RLL se detalla la información que debe proporcionarse en el impreso electrónico de reclamación (en adelante, «el impreso de reclamación»). Dicha información incluye los datos personales de las partes (nombre, dirección y, si procede, dirección electrónica y sitio web) y los datos destinados a determinar qué entidad de RAL es competente para tratar el correspondiente litigio (lugar de residencia del consumidor en el momento de encargar las mercancías o servicios, tipo de mercancías o servicios afectados, etc.).

17.

El SEPD recibe con agrado el artículo 7, apartado 6, el cual recuerda que mediante el impreso y sus documentos adjuntos se procesarán únicamente datos que sean exactos, pertinentes y no excesivos. La lista de datos incluida en el anexo también respeta el principio de limitación a una finalidad específica.

18.

Sin embargo, esta lista puede ser modificada mediante actos delegados y las modalidades del impreso serán reguladas mediante actos de ejecución (12). El SEPD recomienda incluir una referencia a la necesidad de consultar al SEPD en la medida en que estos actos afecten al tratamiento de datos personales.

19.

El SEPD recibe con agrado las disposiciones dedicadas a la confidencialidad y la seguridad. Las medidas de seguridad que se detallan en el artículo 12 de la propuesta RLL incluyen controles de acceso, un plan de seguridad y la gestión de los incidentes de seguridad.

20.

El SEPD recomienda que se añada asimismo una referencia a la necesidad de llevar a cabo una evaluación de impacto sobre la privacidad (incluida una evaluación del riesgo) y al hecho de que deben realizarse controles y presentarse informes sobre el cumplimiento de la legislación de protección de datos y de la seguridad de los datos.

21.

Asimismo, el SEPD desearía recordar que el desarrollo de herramientas informáticas para establecer la plataforma RLL debe integrar la protección de datos y la intimidad desde la primera fase del diseño (privacidad mediante el diseño), lo que incluye la aplicación de herramientas que permitan a los usuarios una mejor protección de los datos personales (tales como la autenticación y el encriptado).

22.

El SEPD recibe con satisfacción el considerando 21 de la propuesta RLL, el cual establece que se debería informar a los interesados sobre el tratamiento de sus datos personales y de cuáles son sus derechos, a través de una nota de protección de la intimidad puesta a disposición del público. Sin embargo, la obligación de informar a los interesados también debería ser incluida en la parte dispositiva de la propuesta RLL.

23.

Asimismo, los interesados deberían ser informados de qué responsable del tratamiento está encargado de dar cumplimiento a sus derechos. La nota de protección de la intimidad debe estar claramente visible para quienes rellenan el formulario.

24.

El SEPD recibe con agrado el hecho de que hayan sido integrados en el texto los principios de protección de datos, en particular, respecto de la limitación a una finalidad específica y la restricción de acceso, la limitación del período de conservación y las medidas de seguridad. El SEPD recomienda, sin embargo, que:

25.

El SEPD desea asimismo recordar que el tratamiento de datos personales en el marco de la plataforma RLL puede quedar sometido al control previo por parte de las autoridades nacionales de protección de datos y del propio SEPD.