Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52012XX0511(01)

Dictamen del Supervisor Europeo de Protección de Datos sobre las propuestas legislativas relativas a la resolución alternativa y en línea de litigios en materia de consumo

OJ C 136, 11.5.2012, p. 1–4 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

11.5.2012   

ES

Diario Oficial de la Unión Europea

C 136/1


Dictamen del Supervisor Europeo de Protección de Datos sobre las propuestas legislativas relativas a la resolución alternativa y en línea de litigios en materia de consumo

2012/C 136/01

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, el artículo 16,

Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 7 y 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Visto el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, y en particular el artículo 41 (2),

HA ADOPTADO EL SIGUIENTE DICTAMEN:

I.   INTRODUCCIÓN

I.1.   Consulta al SEPD y objetivo del dictamen

1.

El 29 de noviembre de 2011, la Comisión adoptó dos propuestas legislativas sobre la resolución alternativa de litigios (en adelante, «las propuestas»):

Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la resolución alternativa de litigios en materia de consumo (en adelante, la «propuesta RAL») (3);

Propuesta de Reglamento sobre resolución de litigios en línea en materia de consumo (en adelante, la «propuesta RLL») (4).

2.

El 6 de diciembre de 2011, el SEPD recibió la propuesta RAL y la propuesta RLL para su consulta. El SEPD ya había sido consultado de manera informal antes de la adopción de las propuestas, habiendo emitido observaciones informales. El SEPD recibe con agrado esta consulta en una fase inicial, así como el hecho de que hayan sido incluidas en las propuestas la mayor parte de las recomendaciones incluidas en sus observaciones.

3.

El presente dictamen tiene por objeto analizar el tratamiento de datos personales previsto en las propuestas así como explicar cómo éstas abordan las cuestiones de protección de datos. Se centrará en la propuesta RLL, ya que la misma implica un tratamiento centralizado de los datos personales relacionados con litigios a través de una plataforma en línea.

I.2.   Objetivos de las propuestas

4.

Los sistemas de resolución alternativa de litigios (RAL) ofrecen una manera alternativa de solucionar los litigios normalmente menos onerosa y más rápida que llevar el caso a los tribunales. La propuesta RAL tiene por objeto garantizar que las entidades de RAL existen en todos los Estados miembros para resolver los litigios transfronterizos derivados de la venta de mercancías o de la prestación de servicios en la Unión Europea.

5.

La propuesta RLL está basada en que, a escala de la Unión Europea, esté disponible la resolución alternativa de litigios en materia de consumo. Establece una plataforma en línea (en adelante, la «plataforma RLL») que los consumidores y los comerciantes podrán utilizar para presentar sus reclamaciones relativas a transacciones transfronterizas en línea a la entidad de RAL competente.

II.   OBSERVACIONES GENERALES

6.

El SEPD apoya la finalidad de las propuestas y recibe con satisfacción el hecho de que los principios en materia de protección de datos se hayan tenido en cuenta desde una fase temprana del proceso de elaboración.

7.

Recibe asimismo con agrado las referencias a la aplicabilidad de la legislación en materia de protección de datos en la propuesta RLL (5) y a la aplicabilidad de la legislación nacional de aplicación de la Directiva 95/46/CE en el contexto de la propuesta RAL (6), así como las referencias a la consulta al SEPD (7).

III.   OBSERVACIONES ESPECÍFICAS

III.1.   Función de los responsables del tratamiento: es necesaria una asignación clara de responsabilidades

8.

Según la propuesta RLL, los datos serán tratados por tres clases de agentes en el contexto de cada litigio que se presente a través de la plataforma RLL:

entidades de RAL;

moderadores de RLL, que prestarán apoyo a la resolución de litigios presentados a través de la plataforma (8);

la Comisión.

El artículo 11, apartado 4, establece que todos estos agentes serán considerados responsables del tratamiento respecto del tratamiento de datos personales relacionados con sus responsabilidades.

9.

Sin embargo, muchos de estos responsables podrían ser considerados responsables del tratamiento de los mismos datos personales (9). Por ejemplo, los datos relativos a un litigio particular enviados a través de la plataforma RLL pueden ser examinados por varios moderadores de RLL y por el sistema competente de RAL que trate dicho litigio. La Comisión también trata estos datos personales para la utilización y el mantenimiento de la plataforma RLL.

10.

En este sentido, el SEPD recibe con agrado el hecho de que el considerando 20 de la propuesta RLL establezca que la legislación de protección de datos es aplicable a todas estas personas. Sin embargo, la parte dispositiva de dicha propuesta debería especificar al menos a qué responsables del tratamiento deberán dirigir los interesados sus solicitudes de acceso, rectificación, bloqueo y supresión; así como qué responsable del tratamiento responderá en caso de violaciones específicas de la legislación en materia de protección de datos (por ejemplo, en caso de violaciones de la seguridad). Asimismo, los interesados deben ser informados oportunamente.

III.2.   Limitación de acceso y período de conservación

11.

Según lo dispuesto en el artículo 11 de la propuesta RLL, el acceso a los datos personales tratados a través de la plataforma RLL está limitado a:

la entidad de RAL competente para fines de la resolución del litigio;

los moderadores de RLL para apoyar la resolución del litigio (por ejemplo, para facilitar la comunicación entre las partes y la correspondiente entidad de RAL o para informar a los consumidores de los mecanismos de recursos distintos a la plataforma de RLL);

la Comisión, si ello resulta necesario para la utilización y el mantenimiento de la plataforma RLL, lo que incluye el seguimiento de la utilización de la plataforma por parte de las entidades de RAL y los moderadores de RLL (10).

12.

El SEPD recibe con agrado estas limitaciones de la finalidad y los derechos de acceso. Sin embargo, no queda claro si los moderadores de RLL (que son como mínimo cincuenta y cuatro) tendrán acceso a los datos personales relativos a todos los litigios. El SEPD recomienda que se aclare que cada moderador de RLL únicamente tendrá acceso a los datos necesarios para cumplir sus obligaciones, indicadas en el artículo 6, apartado 2.

13.

En cuanto al período de conservación, el SEPD recibe con agrado el artículo 11, apartado 3, que permite la conservación de datos personales únicamente durante el tiempo necesario para resolver el litigio o para que los interesados ejerzan su derecho de acceso. Recibe asimismo con satisfacción la obligación de borrar automáticamente los datos seis meses después de que concluya el litigio.

III.3.   Tratamiento de categorías especiales de datos: posible necesidad de control previo

14.

Teniendo en cuenta la finalidad de las propuestas, es posible que se traten datos personales relativos a supuestas infracciones. También podrían tratarse datos de salud en el contexto de litigios derivados de la venta de mercancías o de la prestación de servicios relacionados con la salud.

15.

El tratamiento de datos personales en el marco de la plataforma RLL podría quedar, por tanto, sometido a un control previo por parte de las autoridades nacionales de protección de datos y por el SEPD, tal como establecen el artículo 27 del Reglamento (CE) no 45/2001 y el artículo 20 de la Directiva 95/46/CE (11). El SEPD entiende que la Comisión es consciente de la necesidad de valorar, antes de que la plataforma RLL entre en funcionamiento, si el tratamiento debe quedar sujeto a un control previo.

III.4.   El SEPD debe ser consultado sobre los actos delegados y de ejecución relacionados con el impreso de reclamación

16.

En el anexo de la propuesta RLL se detalla la información que debe proporcionarse en el impreso electrónico de reclamación (en adelante, «el impreso de reclamación»). Dicha información incluye los datos personales de las partes (nombre, dirección y, si procede, dirección electrónica y sitio web) y los datos destinados a determinar qué entidad de RAL es competente para tratar el correspondiente litigio (lugar de residencia del consumidor en el momento de encargar las mercancías o servicios, tipo de mercancías o servicios afectados, etc.).

17.

El SEPD recibe con agrado el artículo 7, apartado 6, el cual recuerda que mediante el impreso y sus documentos adjuntos se procesarán únicamente datos que sean exactos, pertinentes y no excesivos. La lista de datos incluida en el anexo también respeta el principio de limitación a una finalidad específica.

18.

Sin embargo, esta lista puede ser modificada mediante actos delegados y las modalidades del impreso serán reguladas mediante actos de ejecución (12). El SEPD recomienda incluir una referencia a la necesidad de consultar al SEPD en la medida en que estos actos afecten al tratamiento de datos personales.

III.5.   Medidas de seguridad: necesidad de una evaluación de impacto sobre la privacidad

19.

El SEPD recibe con agrado las disposiciones dedicadas a la confidencialidad y la seguridad. Las medidas de seguridad que se detallan en el artículo 12 de la propuesta RLL incluyen controles de acceso, un plan de seguridad y la gestión de los incidentes de seguridad.

20.

El SEPD recomienda que se añada asimismo una referencia a la necesidad de llevar a cabo una evaluación de impacto sobre la privacidad (incluida una evaluación del riesgo) y al hecho de que deben realizarse controles y presentarse informes sobre el cumplimiento de la legislación de protección de datos y de la seguridad de los datos.

21.

Asimismo, el SEPD desearía recordar que el desarrollo de herramientas informáticas para establecer la plataforma RLL debe integrar la protección de datos y la intimidad desde la primera fase del diseño (privacidad mediante el diseño), lo que incluye la aplicación de herramientas que permitan a los usuarios una mejor protección de los datos personales (tales como la autenticación y el encriptado).

III.6.   Información a los interesados

22.

El SEPD recibe con satisfacción el considerando 21 de la propuesta RLL, el cual establece que se debería informar a los interesados sobre el tratamiento de sus datos personales y de cuáles son sus derechos, a través de una nota de protección de la intimidad puesta a disposición del público. Sin embargo, la obligación de informar a los interesados también debería ser incluida en la parte dispositiva de la propuesta RLL.

23.

Asimismo, los interesados deberían ser informados de qué responsable del tratamiento está encargado de dar cumplimiento a sus derechos. La nota de protección de la intimidad debe estar claramente visible para quienes rellenan el formulario.

IV.   CONCLUSIÓN

24.

El SEPD recibe con agrado el hecho de que hayan sido integrados en el texto los principios de protección de datos, en particular, respecto de la limitación a una finalidad específica y la restricción de acceso, la limitación del período de conservación y las medidas de seguridad. El SEPD recomienda, sin embargo, que:

se aclaren las responsabilidades de los responsables del tratamiento y se informe a los interesados oportunamente;

se aclare la limitación de los derechos de acceso;

se complemente las disposiciones sobre la seguridad;

se mencione la necesidad de consultar al SEPD en relación con los actos delegados y de ejecución relativos al tratamiento de datos personales.

25.

El SEPD desea asimismo recordar que el tratamiento de datos personales en el marco de la plataforma RLL puede quedar sometido al control previo por parte de las autoridades nacionales de protección de datos y del propio SEPD.

Hecho en Bruselas, el 12 de enero de 2012.

Giovanni BUTTARELLI

Asistente del Supervisor Europeo de Protección de Datos


(1)  DO L 281 de 23.11.1995, p. 31.

(2)  DO L 8 de 12.1.2001, p. 1.

(3)  COM(2011) 793 final.

(4)  COM(2011) 794 final.

(5)  Considerandos 20 y 21 y artículo 11, apartado 4, de la propuesta RLL.

(6)  Considerando 16 de la propuesta RAL.

(7)  Preámbulos y exposiciones de motivos de las propuestas.

(8)  Cada Estado miembro deberá designar un punto de contacto RLL que albergará al menos dos moderadores de resolución de litigios en línea. La Comisión establecerá una red de puntos de contactos RLL.

(9)  Véase el Dictamen 1/2010 de 16 de febrero de 2010 del Grupo de Trabajo del Artículo 29 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» (WP 169), p. 17-24, disponible en http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf

(10)  Véase el artículo 11, apartado 2, de la propuesta RLL.

(11)  El artículo 27 del Reglamento (CE) no 45/2001 exige que los tratamientos de «datos relativos a la salud y los tratamientos de datos relativos a sospechas, infracciones, condenas penales o medidas de seguridad» está sujeto a control previo por parte del SEPD. Según el artículo 20, apartado 1, de la Directiva 95/46/CE, los tratamientos que puedan suponer riesgos específicos en materia de protección de datos, de acuerdo con la legislación nacional en esta materia, están sujetos a un control previo por parte de la autoridad nacional de protección de datos.

(12)  Considerandos 23 y 24 y artículo 7, apartados 4 y 5, de la propuesta RLL.


Top