02009L0136 — ES — 21.12.2020 — 001.001

Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento

►B

DIRECTIVA 2009/136/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 25 de noviembre de 2009

por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores

(Texto pertinente a efectos del EEE)

(DO L 337 de 18.12.2009, p. 11)

Modificada por:

 

 

Diario Oficial

  n°

página

fecha

►M1

DIRECTIVA (UE) 2018/1972 DEL PARLAMENTO EUROPEO Y DEL CONSEJO Texto pertinente a efectos del EEE de 11 de diciembre de 2018

  L 321

36

17.12.2018


Rectificada por:

►C1

Rectificación,, DO L 241, 10.9.2013, p.  9 (2009/136/CE)



▼B

DIRECTIVA 2009/136/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 25 de noviembre de 2009

por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores

(Texto pertinente a efectos del EEE)



▼M1 —————

▼B

Artículo 2

Modificaciones de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas)

La Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) se modifica como sigue:

1) 

En el artículo 1, el apartado 1 se sustituye por el texto siguiente:

«1.  
La presente Directiva establece la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.».
2) 

El artículo 2 se modifica como sigue:

a) 

la letra c) se sustituye por el texto siguiente:

«c) 

“datos de localización”: cualquier dato tratado en una red de comunicaciones electrónicas o por un servicio de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público;»;

b) 

se suprime la letra e);

►C1  c) 

se añade la letra siguiente:

«i) 

“violación de los datos personales”: ◄ violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público en la Comunidad.».

3) 

El artículo 3 se sustituye por el texto siguiente:

«Artículo 3

Servicios afectados

La presente Directiva se aplicará al tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Comunidad, incluidas las redes públicas de comunicaciones que den soporte a dispositivos de identificación y recopilación de datos.».

4) 

El artículo 4 se modifica como sigue:

a) 

el título se sustituye por el texto siguiente:

«Seguridad del tratamiento»;

b) 

se añade el apartado siguiente:

1 bis  

«Sin perjuicio de lo dispuesto en la Directiva 95/46/CE, las medidas a que se refiere el apartado 1, como mínimo:

— 
garantizarán que solo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley,
— 
protegerán los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos, y
— 
garantizarán la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.

Las autoridades nacionales competentes podrán examinar las medidas adoptadas por los proveedores de servicios de comunicaciones electrónicas disponibles al público y podrán formular recomendaciones sobre las mejores prácticas con respecto al nivel de seguridad que debería conseguirse con estas medidas.»;

c) 

se añaden los apartados siguientes:

«3.  

En caso de violación de los datos personales, el proveedor de los servicios de comunicaciones electrónicas disponibles al público notificará, sin dilaciones indebidas, dicha violación a la autoridad nacional competente.

Cuando la violación de los datos personales pueda afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el proveedor notificará también la violación al abonado o al particular sin dilaciones indebidas.

La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la autoridad nacional competente podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.

La notificación al abonado o al particular describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información, y recomendará medidas para atenuar los posibles efectos adversos de dicha violación. La notificación a la autoridad nacional competente describirá, además, las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.

4.  

Sin perjuicio de las medidas técnicas de ejecución adoptadas con arreglo al apartado 5, las autoridades nacionales competentes podrán adoptar directrices y, en caso necesario, dar instrucciones sobre las circunstancias en que se requiere que el proveedor notifique la violación de los datos personales, sobre el formato que debe adoptar dicha notificación y sobre la manera de llevarla a cabo. Podrán asimismo controlar si los proveedores han cumplido sus obligaciones de notificación con arreglo al presente apartado e imponer sanciones apropiadas en caso de incumplimiento.

Los proveedores llevarán un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a las autoridades nacionales verificar el cumplimiento de las disposiciones del apartado 3. El inventario solo incluirá la información necesaria a tal efecto.

5.  

Para garantizar una aplicación coherente de las medidas mencionadas en los apartados 2, 3 y 4, la Comisión, previa consulta a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido de conformidad con el artículo 29 de la Directiva 95/46/CE y al Supervisor Europeo de Protección de Datos, adoptará las medidas técnicas de ejecución en relación con las circunstancias, la forma de presentación y los procedimientos aplicables a los requisitos de información y notificación a que se refiere el presente artículo. La Comisión velará por que participen todas las partes interesadas pertinentes, especialmente con fines informativos sobre las mejores soluciones técnicas y económicas disponibles para aplicar el presente artículo.

Estas medidas, destinadas a modificar elementos no esenciales de la presente Directiva completándola, se adoptarán con arreglo al procedimiento de reglamentación con control contemplado en el artículo 14 bis, apartado 2.».

5) 

En el artículo 5, el apartado 3 se sustituye por el texto siguiente:

«3.  

Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.».

6) 

El apartado 3 del artículo 6 se sustituye por el texto siguiente:

«3.  

El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento previo. Los usuarios o abonados dispondrán de la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento.».

7) 

El artículo 13 se sustituye por el texto siguiente:

«Artículo 13

Comunicaciones no solicitadas

1.  
La utilización de sistemas de llamada automática y comunicación sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa solo se podrá autorizar respecto de aquellos abonados o usuarios que hayan dado su consentimiento previo.
2.  
No obstante lo dispuesto en el apartado 1, cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa misma persona física o jurídica podrá utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares, a condición de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el momento en que se recojan y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior.
3.  
Los Estados miembros tomarán las medidas adecuadas para garantizar que no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado o el usuario, bien respecto de los abonados o los usuarios que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional, teniendo en cuenta que ambas opciones deben ser gratuitas para el abonado o usuario.
4.  
Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que contravengan lo dispuesto en el artículo 6 de la Directiva 2000/31/CE, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones o en los que se aliente a los destinatarios a visitar páginas web que contravengan el artículo 6 de la Directiva 2000/31/CE.
5.  
Los apartados 1 y 3 se aplicarán a los abonados que sean personas físicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a las comunicaciones no solicitadas.
6.  
Sin perjuicio de los procedimientos administrativos que pudieran preverse, en particular de conformidad con el artículo 15 bis, apartado 2, los Estados miembros velarán por que cualquier persona física o jurídica adversamente afectada por las infracciones de las disposiciones nacionales adoptadas de conformidad con el presente artículo, y por lo tanto con intereses legítimos en la cesación o prohibición de dichas infracciones, incluidos los proveedores de servicios de comunicaciones electrónicas que deseen proteger sus intereses comerciales legítimos o los intereses de sus clientes, pueda emprender acciones legales contra dichas infracciones. Los Estados miembros podrán establecer asimismo normas específicas sobre las sanciones aplicables a los proveedores de servicios de comunicaciones electrónicas que contribuyan por su negligencia a la comisión de infracciones de las disposiciones nacionales adoptadas en virtud del presente artículo.».
8) 

Se inserta el artículo siguiente:

«Artículo 14 bis

Procedimiento de Comité

1.  
La Comisión estará asistida por el Comité de Comunicaciones creado en virtud del artículo 22 de la Directiva 2002/21/CE (Directiva marco).
2.  
En los casos en que se haga referencia al presente apartado, serán de aplicación el artículo 5 bis, apartados 1 a 4, y el artículo 7 de la Decisión 1999/468/CE, sin perjuicio de lo dispuesto en su artículo 8.
3.  
En los casos en que se haga referencia al presente apartado, serán de aplicación el artículo 5 bis, apartados 1, 2, 4 y 6, y el artículo 7 de la Decisión 1999/468/CE, sin perjuicio de lo dispuesto en su artículo 8.».
9) 

En el artículo 15, se inserta el apartado siguiente:

«1 ter.  
Los proveedores instaurarán procedimientos internos para responder a las solicitudes de acceso a los datos personales de los usuarios con arreglo a las disposiciones nacionales promulgadas de conformidad con el apartado 1. Previa solicitud, facilitarán a las autoridades nacionales competentes información sobre esos procedimientos, el número de solicitudes recibidas, la motivación jurídica aducida y la respuesta ofrecida.».
10) 

Se inserta el artículo siguiente:

«Artículo 15 bis

Aplicación y cumplimiento

1.  
Los Estados miembros determinarán el régimen de sanciones — incluidas las sanciones penales, cuando proceda — aplicable en caso de incumplimiento de las disposiciones nacionales adoptadas en virtud de la presente Directiva y adoptarán todas las medidas necesarias para garantizar su aplicación. Las sanciones que se prevean serán efectivas, proporcionadas y disuasorias y podrán ser aplicadas para cubrir el período de cualquier infracción, aún cuando se haya corregido posteriormente esta infracción. Los Estados miembros notificarán dichas disposiciones a la Comisión, a más tardar, el 25 de mayo de 2011 y le comunicarán sin demora cualquier modificación ulterior de las mismas.
2.  
Sin perjuicio de los posibles recursos judiciales existentes, los Estados miembros velarán por que la autoridad nacional competente y, cuando proceda, otros organismos nacionales, tengan potestad para solicitar el cese de las infracciones mencionadas en el apartado 1.
3.  
Los Estados miembros velarán por que las autoridades nacionales competentes y, cuando proceda, otros organismos nacionales, dispongan de las competencias y recursos necesarios en materia de investigación, incluida la facultad de obtener cualquier información pertinente que pudieran necesitar para supervisar y aplicar las disposiciones nacionales adoptadas de conformidad con la presente Directiva.
4.  

Las autoridades nacionales de reglamentación pertinentes adoptarán medidas con el fin de garantizar una cooperación transfronteriza efectiva en la aplicación de las disposiciones nacionales adoptadas de conformidad con la presente Directiva, y de crear condiciones armonizadas para la prestación de servicios que impliquen flujos de datos transfronterizos.

Las autoridades nacionales de reglamentación facilitarán a la Comisión, a su debido tiempo antes de adoptar tales medidas, un resumen de los motivos para la acción, las medidas previstas y la línea de acción propuesta. La Comisión, después de examinar esa información y de consultar a la Agencia Europea de Seguridad de las Redes y de la Información y al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido de conformidad con el artículo 29 de la Directiva 95/46/CE, formulará observaciones o recomendaciones al respecto, en particular para garantizar que las medidas previstas no afecten negativamente al funcionamiento del mercado interior. Las autoridades nacionales de reglamentación tendrán muy en cuenta las observaciones o recomendaciones de la Comisión a la hora de decidir sobre las medidas.».

Artículo 3

Modificación del Reglamento (CE) no 2006/2004

En el anexo del Reglamento (CE) no 2006/2004 (Reglamento sobre la cooperación en materia de protección de los consumidores) se añade el punto siguiente:

«17. 

La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas): Artículo 13 (DO L 201 de 31.7.2002, p. 37).».

Artículo 4

Transposición

1.  

Los Estados miembros adoptarán y publicarán, a más tardar el 25 de mayo de 2011, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

Cuando los Estados miembros adopten dichas disposiciones, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2.  
Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 5

Entrada en vigor

La presente Directiva entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.

Artículo 6

Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros.

▼M1 —————

▼B



ANEXO II



«ANEXO VI

INTEROPERABILIDAD DE LOS EQUIPOS DE CONSUMO DIGITALES CONTEMPLADA EN EL ARTÍCULO 24

1.   Algoritmo de cifrado común y recepción de libre acceso

Todos los equipos para la recepción de señales de televisión digital convencionales (es decir, emisión terrestre, por cable o por satélite que esté primordialmente destinada a recepción fija, como DVB-T, DVB-C o DVB-S), disponibles a la venta, en alquiler o en otras condiciones en la Comunidad y con capacidad para descifrar señales de televisión digital deberán incluir las siguientes funciones:

— 
descifrado de señales con arreglo a un algoritmo de cifrado común europeo gestionado por una organización europea de normalización reconocida (en la actualidad, el ETSI),
— 
visualización de señales transmitidas en abierto, a condición de que, en los casos en que el equipo se suministre en alquiler, el arrendatario se halle en situación de cumplimiento del contrato correspondiente.

2.   Interoperabilidad de aparatos de televisión analógicos y digitales

Todo aparato analógico de televisión dotado de una pantalla de visualización integral de una diagonal visible superior a 42 centímetros comercializado para su venta o alquiler en la Comunidad deberá estar provisto de al menos una conexión de interfaz abierta, normalizada por una organización europea de normalización reconocida, por ejemplo según lo establecido en la norma Cenelec EN 50 049-1:1997, que permita la conexión sencilla de periféricos, y en especial de descodificadores y receptores digitales adicionales.

Todo aparato digital de televisión dotado de una pantalla de visualización integral de una diagonal visible superior a 30 centímetros comercializado para su venta o alquiler en la Comunidad deberá estar provisto de al menos una conexión de interfaz abierta (normalizada por una organización europea de normalización reconocida o conforme con la norma adoptada por esta, o conforme con las especificaciones adoptadas por la industria), por ejemplo el conector común de interfaz DVB, que permita la conexión sencilla de periféricos, y poder transferir todos los elementos de una señal de televisión digital, incluida la información relativa a servicios interactivos y de acceso condicional.».