Dictamen del Comité Económico y Social Europeo sobre la «Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones — Un enfoque global de la protección de los datos personales en la Unión Europea»

[COM(2010) 609 final]

2011/C 248/21

Ponente: Peter MORGAN

El 4 de noviembre de 2010, de conformidad con el artículo 304 del Tratado de Funcionamiento de la Unión Europea, la Comisión Europea decidió consultar al Comité Económico y Social Europeo sobre la

«Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones –- Un enfoque global de la protección de los datos personales en la Unión Europea»

COM(2010) 609 final.

La Sección Especializada de Empleo, Asuntos Sociales y Ciudadanía, encargada de preparar los trabajos en este asunto, aprobó su dictamen el 27 de mayo de 2011.

En su 472° Pleno de los días 15 y 16 de junio de 2011 (sesión del 16 de junio de 2011), el Comité Económico y Social Europeo aprobó por 155 votos a favor, 9 en contra y 12 abstenciones el presente dictamen.

1.   Conclusiones y recomendaciones

1.1   La ley de protección de datos de la UE está basada en la Directiva 95/46/CE. Tiene dos objetivos que se explican del modo siguiente:

Es esencial lograr el equilibrio entre ambos objetivos, de forma que no entren en conflicto. El objetivo principal de la nueva legislación ha de ser establecer un marco jurídico que ayude a alcanzar los dos objetivos.

1.2   El CESE acoge positivamente esta Comunicación, que presenta el enfoque de la Comisión para actualizar la Directiva sobre protección de datos 95/46/CE. El tremendo desarrollo de las nuevas tecnologías está provocando un aumento exponencial del procesamiento de datos en línea, que exige el aumento paralelo de la protección de los datos personales para evitar la intrusión generalizada en la intimidad. Es preciso circunscribir cuidadosamente la recogida, combinación y gestión de datos de distintas fuentes. El sector público dispone de muchos archivos sobre los aspectos de la relación entre los ciudadanos y el Estado. Los datos recabados deberán ser los mínimos necesarios para cada fin y es preciso prohibir que esos datos estén recogidos en una base de datos que actúe como un «gran hermano».

1.3   Al mismo tiempo, el CESE pide prudencia. La legislación que regula la actividad empresarial debe seguir siendo estable y predecible. El CESE, por consiguiente, apoya una revisión adecuada de la Directiva sobre protección de datos

1.4   La Comunicación reconoce que una de las preocupaciones recurrentes de las partes interesadas, y en particular de las empresas multinacionales, es la insuficiente armonización de las legislaciones de los Estados miembros en materia de protección de datos, a pesar de la existencia de un marco jurídico común de la UE. El CESE propone que la nueva legislación ofrezca una protección más coherente de los datos personales de los trabajadores en toda la UE, con un marco europeo que aumente la claridad y la seguridad jurídica. En este sentido el CESE acoge con particular satisfacción la idea de hacer obligatoria la designación de un responsable de la protección de datos independiente y de armonizar las normas relativas a sus tareas y competencias.

1.5   Dado el posible conflicto entre la privacidad de la persona y la explotación comercial de sus datos y teniendo en cuenta lo que hay en juego, los ciudadanos deben ser cada vez más conscientes del propósito para el que se recaban sus datos y de su capacidad para controlar esos datos una vez registrados. Por tanto, el CESE cree que una aplicación y una compensación efectivas son imprescindibles para que este proyecto sea verdaderamente «global». Además, debe incluirse la dimensión transfronteriza.

1.6   Por lo que afecta a los ciudadanos de la Unión Europea, la legislación aplicable en la UE debería ser la del Estado miembro del responsable del tratamiento de los datos, independientemente de dónde se conserven. Por lo que respecta a las personas que requieren protección, en particular los trabajadores y los consumidores, debe aplicarse la legislación sobre protección de datos de su lugar de residencia habitual.

1.7   La referencia a los niños es demasiado superficial: es precisa una atención particular a las cuestiones de privacidad cuando afectan a los niños. El derecho al olvido podría evitar que se conserven las insensateces infantiles y las faltas adolescentes, pero es posible que este derecho no pueda ejercerse realmente.

1.8   Es preciso aclarar la definición actual de datos sensibles, puesto que continúan aumentando las categorías de datos electrónicos sobre las personas. La utilización generalizada e indiscriminada de cámaras de vigilancia supone un motivo de preocupación para el CESE. Es esencial aplicar la ley que restringe el uso indebido de esas imágenes. Los datos que se obtienen con el sistema GPRS sobre la ubicación de una persona constituyen otra cuestión polémica. Cada vez es más frecuente la captura de datos biométricos. La definición debería incluir estas nuevas tecnologías y metodologías, y estar abierta a nuevos avances tecnológicos. Podría ser necesario establecer unos principios relativos a los contextos. El CESE apoya el uso adecuado de estas nuevas tecnologías.

1.9   Aun reconociendo que la cooperación policial entre países es una cuestión muy delicada, el CESE cree esencial que los derechos fundamentales, incluida la protección de los datos personales, reciban la máxima consideración en todo momento.

1.10   El CESE respalda el empeño de la Comisión de garantizar una aplicación más coherente de las normas de la UE en materia de protección de datos en todos los Estados miembros. El CESE expresa su preocupación por la posibilidad de que en los doce nuevos Estados miembros aún no se haya transpuesto de forma completa y efectiva la Directiva 95/46.

1.11   En opinión del CESE, las autoridades nacionales para la protección de datos están en general indefensas y sobrecargadas de trabajo, y es preciso reforzar su independencia. La nueva Directiva debería exigir para las autoridades nacionales el estatuto, la autoridad y los recursos precisos para llevar a cabo su tarea.

1.12   El CESE, apoyándose en su contribución hasta la fecha a la protección de las personas en lo tocante al tratamiento de datos, cree que el Grupo de trabajo del Artículo 29 tiene un valioso cometido que cumplir.

1.13   En el contexto de la Agenda Digital de la UE, el CESE pide a la Comisión que estudie la creación de una autoridad de la UE encargada de evaluar las ramificaciones sociales más generales de Internet en un plazo de diez a veinte años. Las disposiciones actuales sobe la seguridad de los datos personales y la ciberseguridad en general resultan cada vez más inadecuadas. La sociedad avanza más rápido. En relación con la protección de datos, el CESE recomienda el nombramiento de un Supervisor de Protección de Datos de la UE. El actual Supervisor de Protección de Datos de la UE solo está relacionado con las instituciones europeas: lo que se necesita es un supervisor responsable de las normas de coordinación y funcionamiento. Sin embargo, esta figura estaría supeditada a la autoridad general por la que aboga el Comité.

2.   Introducción

2.1   El CESE mantiene su respaldo a los principios en que se basaba la Directiva de 1995. A continuación se presentan algunos pasajes de la Directiva, resumidos pero no alterados, que exponen con claridad los principios aplicados:

2.2   En la última década la situación ha cambiado mucho con las nuevas disposiciones del artículo 16 del Tratado de Lisboa y el artículo 8 de la Carta de los Derechos Fundamentales.

2.3   La Comunicación que nos ocupa tiene por objeto definir el enfoque que permitirá a la Comisión modernizar el régimen jurídico de la UE para la protección de los datos personales en todos los ámbitos de actuación de la Unión, teniendo en cuenta, en particular, los retos derivados de la globalización y las nuevas tecnologías, de modo que siga garantizando un elevado nivel de protección de los ciudadanos respecto al tratamiento de estos datos en todos estos ámbitos.

2.4   En nuestros días, el intercambio de información por todo el mundo se ha hecho más fácil y más rápido. Los datos personales de un particular –correo electrónico, fotos y agendas electrónicas– pueden recopilarse en Reino Unido utilizando un programa alojado en Alemania, procesarse en India, almacenarse en Polonia y ser consultados en España por un ciudadano italiano. Este veloz incremento de los flujos de información a través del mundo supone un gran reto para los derechos de los ciudadanos a la confidencialidad de sus datos personales. Los problemas que supone la protección de datos, incluida su dimensión transfronteriza, afectan a las personas todos los días, en su trabajo, en su contacto con las autoridades públicas, cuando adquieren bienes o servicios, cuando trabajan o navegan por Internet.

2.5   La Comisión presentará en 2011 propuestas legislativas destinadas a revisar el marco jurídico de la protección de datos, con el objetivo de reforzar la situación de la UE en materia de protección de los datos personales en el contexto de todas las políticas de la UE, incluso en los ámbitos de la prevención de la delincuencia y la aplicación de la ley, teniendo presentes sus especificidades. Paralelamente se adoptarán medidas no legislativas, como la promoción de la autorregulación y el examen de la viabilidad de los distintivos europeos de protección de la intimidad.

2.6   La Comisión seguirá también controlando la adecuada aplicación del Derecho de la Unión en este ámbito, prosiguiendo una política activa de represión de las infracciones cuando las normas de la UE en materia de protección de datos no se apliquen correctamente.

2.7   El enfoque global de la protección de datos tiene los siguientes objetivos principales:

En los apartados 3 a 7 se estudian estos objetivos y se ofrece la opinión del CESE sobre las propuestas. El texto en negrita sigue la estructura de la Comunicación. El texto en cursiva es un resumen del texto.

3.   Reforzar los derechos de las personas

3.1   Garantizar a las personas una protección adecuada en cualesquiera circunstancias

La Carta de los Derechos Fundamentales incluye el derecho a la protección de los datos personales. La definición del término «datos personales» engloba el conjunto de la información relativa a una persona identificada o identificable. Se estudiará la manera de garantizar una aplicación coherente de las normas de protección de datos, habida cuenta de las repercusiones de las nuevas tecnologías en los derechos y libertades de las personas, y habida cuenta del objetivo consistente en garantizar la libre circulación de datos personales en el mercado interior.

3.1.1   Aunque la libre circulación de datos personales en el mercado interior es una necesidad para que el mercado funcione plenamente, puede suponer una amenaza para la privacidad de los datos de los trabajadores que poseen las empresas. Son necesarias unas salvaguardias específicas, como que los responsables del tratamiento sean responsables en el intercambio multinacional de datos y el uso de la encriptación para los datos más sensibles.

3.1.2   El CESE desea subrayar que el sector del empleo queda excluido en mayor o menor medida no solo de la Comunicación, sino también del debate general sobre la protección de datos en Europa. El trabajo ya realizado a escala europea debería utilizarse como punto de partida, especialmente las propuestas presentadas por el Grupo de trabajo del Artículo 29.

3.2   Aumentar la transparencia para los interesados

La transparencia es una condición fundamental indispensable para permitir a las personas efectuar un control sobre sus propios datos y para garantizar la protección efectiva de los datos personales. Se estudiará un principio general de tratamiento transparente, obligaciones específicas para los responsables de los datos, sobre todo en relación con los niños, declaraciones de confidencialidad normalizadas y una notificación obligatoria de las violaciones de datos.

3.2.1   Son preferibles las declaraciones normalizadas, puesto que evitan conflictos de intereses. Su utilización sería voluntaria.

3.2.2   La transparencia no resuelve necesariamente el problema de las cláusulas de contratos aplicadas unilateralmente. Es importante desarrollar normas más estrictas que protejan mejor de las condiciones abusivas.

3.2.3   La referencia a los niños es demasiado superficial: es precisa una atención particular a las cuestiones de privacidad cuando afectan a los niños. El derecho al olvido podría evitar que se conserven las insensateces infantiles y las faltas adolescentes, pero es posible que este derecho no pueda ejercerse realmente (véase el punto 3.3.2 siguiente).

3.2.4   La nueva legislación ha de aclarar el papel del responsable de procesar los datos y del responsable de grabarlos, de forma que no exista confusión sobre su identidad ni sobre las obligaciones y derechos de cada uno de ellos.

3.2.5   El CESE respalda la propuesta de una notificación obligatoria de las violaciones de datos, pero cree que puede no ser aplicable a todas las situaciones, en todos los sectores y en todas las circunstancias.

3.3   Reforzar el control sobre los propios datos

Hay dos condiciones previas: la limitación del tratamiento de los datos en función de su finalidad (principio de minimización de los datos) y el control efectivo de los individuos sobre sus propios datos. Se estudiará reforzar el principio de minimización de los datos, mejorar las modalidades para ejercer los derechos de acceso, rectificación, supresión y bloqueo de los datos, aclarar el llamado «derecho al olvido» y garantizar el derecho explícito a la portabilidad de los datos.

3.3.1   En general, el CESE está de acuerdo con toda medida destinada a mejorar la confidencialidad de los datos personales. Las personas deben tener libre acceso a todos los datos sobre ellas que se hayan recabado. Un ejemplo de ello podría ser el libre acceso a los datos sobre calificación crediticia. La retirada del consentimiento sin razón justificada y el derecho efectivo al olvido son fundamentales, pero la confidencialidad estaría más protegida si desde un primer momento no se recabaran tantos datos. Por tanto, el CESE insta a la Comisión a dar efectividad a la propuesta de reforzar el principio de minimización de los datos.

3.3.2   Aunque el derecho al olvido es un concepto atractivo, será difícil aplicarlo, dada la naturaleza viral de los datos que contiene Internet y de unas tecnologías que borran pero no olvidan.

3.4   Sensibilización

Deben fomentarse las acciones de sensibilización, como publicar información clara en los sitios web, describir claramente los derechos de las personas y las responsabilidades de quienes tratan los datos. La falta de sensibilización de los jóvenes supone una preocupación especial.

3.4.1   Será difícil conseguir el necesario cambio de comportamiento, sobre todo porque el rápido desarrollo de las redes sociales no ha ido acompañado de una mayor sensibilización de los usuarios respecto de las consecuencias que tiene el hecho de que faciliten tantos datos. Aunque en principio sería positivo contar con avisos de sensibilización obligatorios en todos los servicios de Internet, también podrían ser problemáticos para las empresas. Deberían estudiarse protocolos de sensibilización por categoría de servicio: comercio electrónico, proveedores de servicios de Internet, motores de búsqueda, redes sociales, etc.

3.4.2   El CESE acoge positivamente la intención de la Comisión de ofrecer fondos de la UE para apoyar las actividades de sensibilización y desearía que se ampliara a la cofinanciación de actividades de sensibilización llevadas a cabo por los interlocutores sociales y las organizaciones de la sociedad civil a escala europea y nacional.

3.5   Garantizar un consentimiento informado y libre

La Comisión estudiará los medios de clarificar y reforzar las normas en materia de consentimiento.

3.5.1   El tipo de consentimiento exigido debería seguir dependiendo del tipo de datos que se procesen, no del tipo de tecnología utilizado. Sin embargo, al CESE le inquieta que, en la mayoría de los casos, cuando se otorga el consentimiento en Internet no se facilita ninguna confirmación ni existen mecanismos efectivos para registrar la retirada del consentimiento. Por otra parte, la aceptación puede consistir en pinchar en un botón para aceptar páginas y páginas de condiciones, entre las que el consentimiento puede ser un elemento secundario. Lo lógico sería que el consentimiento para el control de los datos fuese un documento aparte y sencillo, para que resulte lógico, informado y específico.

3.5.2   Para las organizaciones y empresas que desarrollan su actividad en Internet es vital el procesamiento de la información personal. La opción por defecto beneficia claramente al operador, pero, si no se utiliza correctamente, puede suponer un perjuicio para el cliente. Su uso debería estar limitado, de tal forma que todos los operadores estén obligados a garantizar la confidencialidad a sus clientes si estos lo desean.

3.5.3   Para poder dar el consentimiento libremente, el contrato, además, debe ser justo. Es necesario establecer unos principios para evitar las prácticas comerciales abusivas.

3.6   Proteger los datos sensibles

Se estudiará ampliar la definición de «datos sensibles» para incluir, por ejemplo, datos genéticos, así como una mayor armonización de las condiciones para su tratamiento.

3.6.1   Es preciso aclarar la definición actual de datos sensibles, puesto que continúan aumentando las categorías de datos electrónicos sobre las personas. La utilización generalizada e indiscriminada de cámaras de vigilancia supone un motivo de preocupación para el CESE. Es esencial aplicar la ley que restringe el uso indebido de esas imágenes. Los datos que se obtienen con el sistema GPRS sobre la ubicación de una persona es otra cuestión polémica. Cada vez es más frecuente la captura de datos biométricos. La definición debería incluir estas nuevas tecnologías y metodologías, y estar abierta a nuevos avances tecnológicos. Podría ser necesario establecer unos principios relativos a los contextos. El CESE apoya el uso adecuado de estas nuevas tecnologías.

3.6.2   También debe ofrecerse una protección mejorada para los datos sensibles. La encriptación debería ser obligatoria para determinados datos sensibles. Deben aplicarse las mejores tecnologías existentes. Los responsables deberían responder de los fallos de seguridad.

3.7   Reforzar la eficacia de las vías de recurso y las sanciones

Se estudiará la posibilidad de ampliar el poder de recurrir a los órganos jurisdiccionales nacionales y la posible inclusión de sanciones penales para las violaciones graves.

3.7.1   Dado el posible conflicto entre la privacidad de la persona y la explotación comercial de sus datos y teniendo en cuenta lo que hay en juego, los ciudadanos deben conocer cada vez más conscientes del propósito para el que se recaban sus datos y de su capacidad para controlar esos datos una vez registrados. Por tanto, el CESE cree que una aplicación y una compensación efectivas son imprescindibles para que este proyecto sea verdaderamente «global». Además, debe incluirse la dimensión transfronteriza.

3.7.2   Debería estudiarse el recurso colectivo como solución en casos de fallos extremos de la protección, Debería estudiarse la posibilidad de que las organizaciones empresariales y profesionales y los sindicatos representen a particulares e interpongan recurso ante los tribunales.

4.   Profundizar en la dimensión de mercado interior

4.1   Aumentar la seguridad jurídica y garantizar condiciones iguales a los responsables del tratamiento

La protección de datos en la UE tiene una sólida dimensión de mercado interior. Se estudiarán los medios de alcanzar una mayor armonización de las normas de protección de datos en la UE.

4.1.1   El CESE se pregunta con inquietud si el ámbito para la decisión de los Estados miembros que recoge el texto de la Directiva 95/46 no ha creado un problema de aplicación. Un Reglamento habría aportado más certidumbre en este contexto. Debería lograrse la armonización con un conjunto de normas suficientes para satisfacer los requisitos de la Directiva.

4.1.2   A lo largo de la Comunicación no hay ninguna referencia a los trabajadores ni al acceso a sus datos personales que están en poder de las empresas. En las empresas multinacionales, que pueden centralizar sus registros dentro o incluso fuera de la UE, los trabajadores precisan que la nueva legislación establezca unos derechos de acceso claramente definidos.

4.2   Reducir la carga administrativa de los responsables del tratamiento

Se estudiarán distintas posibilidades para simplificar y armonizar el actual sistema de notificación, incluida la posible elaboración de un formulario de registro uniforme válido en toda la Unión. Las notificaciones podrían publicarse en Internet.

4.2.1   El CESE daría su apoyo decidido a estas iniciativas.

4.3   Clarificar las normas relativas a la legislación aplicable y al Estado miembro responsable

No siempre está claro para los responsables del tratamiento de los datos ni para las autoridades de control en materia de protección de datos qué Estado miembro es responsable o qué legislación es de aplicación cuando hay varios Estados miembros afectados. La globalización y los progresos tecnológicos están agravando este problema. Se estudiará la revisión y la aclaración de las actuales disposiciones sobre la legislación aplicable a fin de mejorar la seguridad jurídica y determinar con más precisión las responsabilidades de los Estados miembros.

4.3.1   Por lo que afecta a los ciudadanos de la Unión Europea, la legislación aplicable en la UE debería ser la del Estado miembro del responsable del tratamiento de los datos, independientemente de dónde se conserven. Por lo que respecta a las personas que requieren protección en lo tocante al tratamiento de datos, es decir, en particular los trabajadores y los consumidores, debe aplicarse la legislación sobre protección de datos, con su contenido y procedimientos, vigente en su lugar de residencia habitual.

4.4   Reforzar la responsabilidad de los responsables del tratamiento

La Comisión estudiará los medios de garantizar que los responsables del tratamiento establezcan políticas y mecanismos eficaces para garantizar el respeto de las normas en materia de protección de datos. Se estudiará la posibilidad de hacer obligatoria la designación de un responsable de la protección de datos y de armonizar las normas relativas a sus tareas, a fin de crear la obligación de un análisis de impacto de la protección de datos. Asimismo, la Comisión promoverá la utilización de las tecnologías de protección del derecho a la intimidad (PET) y la aplicación del concepto de «privacidad desde el diseño».

4.4.1   Las PET y el concepto de privacidad desde el diseño ofrecen la capacidad de eliminar la actuación discrecional de los responsables del tratamiento, que puede entrar en conflicto con las prioridades comerciales de sus respectivas organizaciones. El CESE insta a la Comisión a estudiar más a fondo y desarrollar estos instrumentos, puesto que poseen el potencial para mejorar la protección de los datos y, al mismo tiempo, acabar con los conflictos de intereses. Lo ideal sería que estos instrumentos fuesen obligatorios.

4.4.2   Para evitar posibles dudas, los responsables del tratamiento deberían responder de todos los aspectos del tratamiento de los datos de que son garantes. Del mismo modo, cuando haya subcontrataciones u operaciones en otros países, en el contrato deberán especificarse claramente todas las obligaciones de confidencialidad.

4.4.3   El CESE cree que cada Estado miembro debería establecer un organismo profesional responsable de las cualificaciones y la certificación de los responsables de la protección de datos.

4.4.4   Las disposiciones en este capítulo deberían ser coherentes con el objetivo de reducir la carga administrativa de los responsables de los datos que se ha mencionado en el punto 4.2.

4.5   Fomentar las iniciativas en materia de autorregulación y examinar la posibilidad de instaurar regímenes europeos de certificación

La Comisión estudiará formas de fomentar las iniciativas en materia de autorregulación, como los códigos de conducta, y examinará la viabilidad de los regímenes europeos de certificación.

4.5.1   Véase el punto 3.7.1 anterior: la aplicación y la compensación son grandes preocupaciones para el CESE. Estas propuestas son atractivas en la medida en que pueden contribuir a reducir la tremenda carga que suponen las reglamentaciones para las empresas. En cada Estado miembro debería apoyarse la elaboración de un compendio o guía de las mejores prácticas.

5.   Revisar las normas de protección de datos en los ámbitos de la cooperación policial y judicial en materia penal

El instrumento de la UE aplicable en materia de protección de los datos personales en los ámbitos de la cooperación policial y judicial en materia penal es la Decisión Marco 2008/977/JAI. Presenta numerosas carencias que pueden afectar directamente a las posibilidades de las personas de ejercer sus derechos en materia de protección de datos en cuestiones como saber qué datos personales se tratan y se intercambian, por quién y con qué fines, o conocer las condiciones de ejercicio de estos derechos, tal como el derecho de acceso a los datos que les conciernen.

Se estudiará ampliar la aplicación de las normas generales de protección de datos a los ámbitos de la cooperación policial y judicial en materia penal, y la introducción de nuevas disposiciones en ámbitos como el tratamiento de datos genéticos. Para ello se realizará una consulta sobre la revisión de los sistemas de control correspondientes y se evaluará la necesidad de una unificación a largo plazo de normas específicas de distintos sectores en el nuevo marco jurídico general de la protección de datos.

5.1   Aun reconociendo que la cooperación policial entre países es una cuestión muy delicada, el CESE cree esencial que los derechos fundamentales, incluida la protección de los datos personales, reciban la máxima consideración en todo momento. El CESE teme que la preocupación por la seguridad, aun siendo falsa, sea muchas veces causa del atropello de los derechos fundamentales. Los ciudadanos deben estar mejor informados de los métodos y propósitos de las autoridades que toman datos personales de facturas de teléfono, cuentas bancarias, controles en los aeropuertos, etc.

6.   La dimensión mundial de la protección de datos

6.1   Clarificar y simplificar las normas aplicables a las transferencias internacionales de datos

La Comisión se propone examinar los medios para:

6.1.1   El CESE respalda estas valiosas iniciativas y confía en que la Comisión consiga ese amplio acuerdo internacional sin el cual estas propuestas perderían su efectividad.

6.2   Promover principios universales

La Unión Europea debe seguir desempeñando un papel motriz en la elaboración y la promoción de las normas jurídicas y técnicas internacionales en el ámbito de la protección de los datos personales. Para ello, la Comisión trabajará activamente en el ámbito de las normas internacionales, en cooperación con terceros países y organizaciones internacionales como la OCDE.

6.2.1   Una vez más, el CESE está de acuerdo con la propuesta. Dada la naturaleza global de Internet, es esencial que las normas y directrices sean compatibles entre continentes. Los datos personales deben tener estar protegidos más allá de las fronteras. El Comité señala que ya existen unas directrices de la OCDE, además del Convenio 108 del Consejo de Europa. Este Convenio está siendo objeto de una revisión: la Comisión debe asegurarse de que la nueva Directiva sea compatible con él.

7.   Reforzar el marco institucional para una mejor aplicación de las normas de protección de datos

La Comisión examinará:

7.1   Dada la preocupación del CESE por la aplicación y la compensación, estima que estas propuestas son esenciales. Consideramos positivos los conceptos de reforzar, clarificar y armonizar, así como los de cooperación y coordinación, y respaldamos el empeño de garantizar una aplicación más coherente de las normas de la UE en materia de protección de datos en todos los Estados miembros. El CESE expresa su preocupación por la posibilidad de que en los doce nuevos Estados miembros aún no se haya transpuesto de forma completa y efectiva la Directiva 95/46.

7.2   En opinión del CESE, las autoridades nacionales para la protección de datos están en general indefensas y sobrecargadas de trabajo, y es preciso reforzar su independencia. La nueva Directiva debería exigir para las autoridades nacionales el estatuto, la autoridad y los recursos precisos para llevar a cabo su tarea. Sus tareas y recursos deberían definirse a escala de la UE. Debería valorarse el nombramiento de un Supervisor de Protección de Datos de la UE.

7.3   El CESE, apoyándose en su contribución hasta la fecha a la protección de las personas en lo tocante al tratamiento de datos, cree que el Grupo de trabajo del Artículo 29 tiene un valioso cometido que cumplir.