32001R0045

Reglamento (CE) n° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos

Diario Oficial n° L 008 de 12/01/2001 p. 0001 - 0022


Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo

de 18 de diciembre de 2000

relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea, y en particular su artículo 286,

Vista la propuesta de la Comisión(1),

Visto el dictamen del Comité Económico y Social(2),

De conformidad con el procedimiento previsto en el artículo 251 del Tratado(3),

Considerando lo siguiente:

(1) El artículo 286 del Tratado requiere que se apliquen a las instituciones y organismos comunitarios los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de estos datos.

(2) Un sistema completo de protección de datos personales no requiere únicamente establecer los derechos de las personas cuyos datos se tratan y las obligaciones de quienes tratan dichos datos personales, sino también unas sanciones apropiadas para los infractores y un organismo supervisor independiente.

(3) El apartado 2 del artículo 286 del Tratado requiere que se establezca un organismo supervisor independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos comunitarios.

(4) El apartado 2 del artículo 286 del Tratado requiere, por otro lado, la adopción, en su caso, de cualesquiera otras disposiciones pertinentes.

(5) Es necesario un Reglamento que proporcione a las personas unos derechos protegidos jurídicamente, que especifique las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos comunitarios en materia de tratamiento de datos y por el que se cree una autoridad de control independiente responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos comunitarios.

(6) Se ha consultado al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(4).

(7) Las personas susceptibles de ser protegidas son aquéllas cuyos datos personales son tratados por las instituciones u organismos comunitarios en cualquier contexto, por ejemplo, porque estas personas estén empleadas por dichas instituciones u organismos.

(8) Los principios de la protección de datos deben aplicarse a toda información relativa a una persona identificada o identificable; para determinar si una persona es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otra persona para identificar a dicha persona. Los principios de la protección no deben aplicarse a los datos convertidos en anónimos de forma que la persona a quien se refieren ya no resulte identificable.

(9) La Directiva 95/46/CE exige a los Estados miembros que garanticen la protección de los derechos y las libertades fundamentales de las personas físicas, en particular del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, con el fin de garantizar la libre circulación de datos personales en la Comunidad.

(10) La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones(5), precisa y completa la Directiva 95/46/CE en lo que respecta al tratamiento de los datos personales en el sector de las telecomunicaciones.

(11) Otras medidas comunitarias, adoptadas en particular en materia de asistencia mutua entre las administraciones nacionales y la Comisión, tienen también por objeto precisar y completar la Directiva 95/46/CE en los sectores de los que se ocupan.

(12) Debe garantizarse en toda la Comunidad una aplicación coherente y homogénea de las normas de protección de los derechos y las libertades fundamentales de las personas en lo que respecta al tratamiento de los datos personales.

(13) Se trata de garantizar tanto el respeto efectivo de las normas de protección de los derechos y las libertades fundamentales de las personas como la libre circulación de los datos personales entre los Estados miembros y las instituciones y organismos comunitarios, o entre las instituciones y los organismos comunitarios, en el ejercicio de sus competencias respectivas.

(14) Con este fin, es preciso adoptar disposiciones vinculantes para las instituciones y los organismos comunitarios. Tales disposiciones deben aplicarse a todo tratamiento de datos personales efectuado por las instituciones y los organismos comunitarios en la medida en que dicho tratamiento se lleva a cabo para el ejercicio de actividades que pertenecen total o parcialmente al ámbito de aplicación del Derecho comunitario.

(15) Cuando las instituciones y los organismos comunitarios efectúen dicho tratamiento para el ejercicio de actividades que no pertenezcan al ámbito de aplicación del presente Reglamento, y en especial de las previstas en los Títulos V y VI del Tratado de la Unión Europea, la protección de los derechos y las libertades fundamentales de las personas se garantizará respetando el artículo 6 del Tratado de la Unión Europea. El acceso a los documentos, incluidas las condiciones de acceso a los documentos que contengan datos personales, depende de las normas adoptadas sobre la base del artículo 255 del Tratado CE, cuyo ámbito de aplicación abarca los Títulos V y VI del Tratado de la Unión Europea.

(16) Estas disposiciones no se aplicarán a los organismos establecidos fuera del marco comunitario, como tampoco el Supervisor Europeo de Protección de Datos será competente para supervisar el tratamiento de datos personales que efectúen dichos organismos.

(17) La eficacia de la protección de las personas respecto al tratamiento de datos personales en la Unión requiere la coherencia de las normas y de los procedimientos aplicables en la materia a las actividades correspondientes a diferentes marcos jurídicos. La elaboración de principios fundamentales relativos a la protección de datos personales en el ámbito de la cooperación judicial en materia penal y en el de la cooperación policial y aduanera, y la creación de una secretaría para las autoridades de control comunes, establecidas en virtud del Convenio Europol, el Convenio relativo a la utilización de la tecnología de la información a efectos aduaneros y el Convenio de Schengen, constituyen a este respecto una primera etapa.

(18) El presente Reglamento no afecta a los derechos y obligaciones de los Estados miembros con arreglo a las Directivas 95/46/CE y 97/66/CE. No pretende modificar los procedimientos y prácticas legalmente establecidos por los Estados miembros en materia de seguridad nacional, de defensa del orden público, así como de prevención, detección, investigación y represión de las infracciones penales respetando lo dispuesto en el Protocolo sobre los privilegios y las inmunidades de las Comunidades Europeas y en el Derecho internacional.

(19) Las instituciones y organismos comunitarios se dirigen a las autoridades competentes de los Estados miembros cuando consideran que deben intervenirse comunicaciones en sus redes de telecomunicaciones, de conformidad con las disposiciones nacionales aplicables.

(20) Las disposiciones aplicables a las instituciones y organismos comunitarios deben corresponder a las previstas para la armonización de las legislaciones nacionales o la aplicación de otras políticas comunitarias, sobre todo en materia de asistencia mutua; no obstante, puede ser necesario hacer precisiones y establecer disposiciones complementarias para garantizar la protección en el caso del tratamiento de datos personales efectuado por las instituciones y los organismos comunitarios.

(21) Esta observación es aplicable tanto a los derechos de las personas cuyos datos se tratan como a las obligaciones de las instituciones y organismos comunitarios responsables del tratamiento, y a los poderes de que debe disponer la autoridad de control independiente encargada de velar por la correcta aplicación del presente Reglamento.

(22) Procede que los derechos otorgados a la persona interesada y el ejercicio de los mismos no afecten a las obligaciones impuestas al responsable del tratamiento.

(23) La autoridad de control independiente ejercerá sus misiones de control con arreglo al Tratado y respetando los derechos humanos y las libertades fundamentales. Llevará a cabo sus investigaciones respetando el Protocolo sobre los privilegios y las inmunidades y el Estatuto de los funcionarios de las Comunidades Europeas y al régimen aplicable a los otros agentes de estas Comunidades.

(24) Deberán adoptarse las medidas técnicas necesarias para permitir el acceso a los registros de los tratamientos efectuados por los delegados de la protección de datos a través de la autoridad de control independiente.

(25) Las decisiones de la autoridad de control independiente relacionadas con excepciones, garantías, autorizaciones y condiciones relativas a los tratamientos de datos, según se definen en el presente Reglamento, serán publicadas en el informe de actividad. Con independencia de la publicación anual del informe de actividad, la autoridad de control independiente podrá publicar informes sobre temas específicos.

(26) Determinados tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados estarán sujetos al control previo de la autoridad de control independiente. El dictamen emitido en el marco de dicho control previo, incluido el dictamen resultante de no haber respuesta en el plazo previsto, no impedirá que la autoridad de control independiente ejerza posteriormente sus competencias respecto al tratamiento en cuestión.

(27) El tratamiento de datos personales efectuado a cargo de las instituciones y organismos comunitarios para la realización de las tareas de interés público incluye el tratamiento de datos personales necesarios para la gestión y el funcionamiento de dichas instituciones y organismos.

(28) En algunos casos, procede establecer que el tratamiento de datos haya de ser autorizado por disposiciones comunitarias o actos de adaptación de disposiciones comunitarias. No obstante, con carácter transitorio, cuando dichas disposiciones no existan y a la espera de su adopción, el Supervisor Europeo de Protección de Datos podrá autorizar el tratamiento de dichos datos siempre y cuando se adopten las garantías adecuadas. A este respecto, tendrá en cuenta, entre otras cosas, las disposiciones adoptadas por los Estados miembros en casos similares.

(29) Dichos casos se refieren al tratamiento de datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como el tratamiento de los datos relativos a la salud o a la vida sexual necesarios para respetar las obligaciones y los derechos del responsable del tratamiento en materia de Derecho laboral o por un motivo de interés público importante. Se refieren asimismo al tratamiento de los datos relativos a infracciones, condenas penales o medidas de seguridad, o incluso a la autorización para someter a la persona interesada a una decisión que surta efectos jurídicos en ella o que le afecte de manera significativa y que esté basada únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad.

(30) Puede ser necesario supervisar las redes informáticas que funcionan bajo el control de las instituciones y organismos comunitarios para prevenir su uso no autorizado; el Supervisor Europeo de Protección de Datos debe determinar si esto es posible y en qué condiciones.

(31) La responsabilidad que se derive del incumplimiento del presente Reglamento se regirá con arreglo al párrafo segundo del artículo 288 del Tratado.

(32) En cada institución u organismo comunitario, uno o varios responsables de la protección de datos velarán por que se aplique lo dispuesto en el presente Reglamento y asesorarán a los responsables del tratamiento en el ejercicio de sus obligaciones.

(33) De conformidad con su artículo 21, el Reglamento (CE) n° 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadística comunitaria(6), es de aplicación sin perjuicio de lo dispuesto en la Directiva 95/46/CE.

(34) De conformidad con el apartado 8 de su artículo 8, el Reglamento (CE) n° 2533/98 del Consejo, de 23 de noviembre de 1998, sobre la obtención de información estadística por el Banco Central Europeo(7), es de aplicación sin perjuicio de lo dispuesto en la Directiva 95/46/CE.

(35) De conformidad con el apartado 2 de su artículo 1, el Reglamento (Euratom, CEE) n° 1588/90 del Consejo, de 11 de junio de 1990, relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico(8) no afectará a las disposiciones particulares, comunitarias o nacionales, relativas a la salvaguardia de otros secretos que no sean los estadísticos.

(36) El presente Reglamento no pretende limitar el margen de maniobra de los Estados miembros en la elaboración de su derecho nacional en materia de protección de datos adoptado en virtud del artículo 32 de la Directiva 95/46/CE, de conformidad con el artículo 249 del Tratado.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objeto del Reglamento

1. Las instituciones y los organismos creados por los Tratados constitutivos de las Comunidades Europeas o en virtud de dichos Tratados, en lo sucesivo denominados "instituciones y organismos comunitarios", garantizarán, de conformidad con el presente Reglamento, la protección de los derechos y las libertades fundamentales de las personas físicas, y en particular su derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, y no limitarán ni prohibirán la libre circulación de datos personales entre ellos o entre ellos y destinatarios sujetos al Derecho nacional de los Estados miembros adoptado en aplicación de la Directiva 95/46/CE.

2. La autoridad de control independiente establecida por el presente Reglamento, en lo sucesivo denominada "Supervisor Europeo de Protección de Datos", supervisará la aplicación de las disposiciones del presente Reglamento a todas las operaciones de tratamiento realizadas por las instituciones y organismos comunitarios.

Artículo 2

Definiciones

A efectos del presente Reglamento, se entenderá por:

a) "datos personales": toda información sobre una persona física identificada o identificable (denominada en lo sucesivo "el interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) "tratamiento de datos personales" (denominado en lo sucesivo "tratamiento"): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, aplicadas a datos personales, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que permita el acceso a los mismos, así como la alineación o interconexión, y el bloqueo, supresión o destrucción;

c) "fichero de datos personales" (denominado en lo sucesivo "fichero"): todo conjunto estructurado de datos personales accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido según un criterio funcional o geográfico;

d) "responsable del tratamiento": la institución, organismo, dirección general, unidad u otra entidad organizativa comunitaria que por sí sola o conjuntamente con otras determine los fines y los medios del tratamiento de datos personales; cuando los fines y los medios del tratamiento estén determinados por un acto comunitario concreto, el responsable del tratamiento o los criterios específicos aplicables a su nombramiento podrán determinarse en tal acto comunitario;

e) "encargado del tratamiento": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento;

f) "tercero": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

g) "destinatario": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero; no obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;

h) "consentimiento del interesado": toda manifestación de voluntad, libre, específica y con conocimiento de causa, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

Artículo 3

Ámbito de aplicación

1. Las disposiciones del presente Reglamento se aplicarán al tratamiento de datos personales por parte de todas las instituciones y organismos comunitarios, en la medida en que dicho tratamiento se lleve a cabo para el ejercicio de actividades que pertenecen al ámbito de aplicación del Derecho comunitario.

2. Las disposiciones del presente Reglamento se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

CAPÍTULO II

CONDICIONES GENERALES DE LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES

SECCIÓN 1

PRINCIPIOS RELATIVOS A LA CALIDAD DE LOS DATOS

Artículo 4

Calidad de los datos

1. Los datos personales deberán ser:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando el responsable del tratamiento establezca las garantías oportunas, en particular para asegurar que los datos no serán tratados con otros fines y que no se utilizarán en favor de medidas o decisiones que afecten a personas concretas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d) exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación de los datos inexactos o incompletos en relación con los fines para los que fueron recogidos o para los que son tratados posteriormente;

e) conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para la consecución de los fines para los que fueron recogidos o para los que se traten posteriormente. La institución o el organismo comunitario establecerá para los datos personales que deban ser archivados por un período más largo del mencionado para fines históricos, estadísticos o científicos, que dichos datos se archiven bien únicamente en forma anónima, o, cuando ello no sea posible, sólo con la identidad codificada del interesado. En cualquier caso, deberá imposibilitarse el uso de los datos salvo para fines históricos, estadísticos o científicos.

2. Incumbirá al responsable del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.

SECCIÓN 2

CRITERIOS DE LEGITIMIDAD DEL TRATAMIENTO DE DATOS

Artículo 5

Licitud del tratamiento de datos

El tratamiento de datos personales sólo podrá efectuarse si:

a) es necesario para el cumplimiento de una misión de interés público en virtud de los Tratados constitutivos de las Comunidades Europeas o de otros actos legislativos adoptados sobre la base de los mismos o es inherente al ejercicio legítimo del poder público conferido a la institución o al organismo comunitario o a un tercero a quien se comuniquen los datos, o

b) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

c) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

d) el interesado ha dado su consentimiento de forma inequívoca, o

e) es necesario para proteger los intereses esenciales del interesado.

Artículo 6

Cambio de fines

Sin perjuicio de lo dispuesto en los artículos 4, 5 y 10:

1) Los datos personales sólo podrán tratarse con fines distintos de los que motivaron su recogida cuando este cambio de fin esté permitido expresamente por normas internas de la institución o del organismo comunitario.

2) Los datos personales recogidos exclusivamente para garantizar la seguridad o el control de los sistemas o las operaciones de tratamiento no se utilizarán con ningún otro fin, salvo los de la prevención, la investigación, la detección y la represión de infracciones penales graves.

Artículo 7

Transmisión de datos personales entre las instituciones o los organismos comunitarios o en el seno de dichas instituciones y organismos

Sin perjuicio de lo dispuesto en los artículos 4, 5, 6 y 10:

1) Los datos personales sólo se transmitirán a otras instituciones y organismos comunitarios o en el seno de dichas instituciones y organismos si son necesarios para el ejercicio legítimo de las tareas que pertenecen al ámbito de competencia del destinatario.

2) Cuando los datos se transmitan a petición del destinatario, la responsabilidad relativa a la legitimidad de la transmisión incumbirá tanto al responsable del tratamiento como al destinatario.

El responsable del tratamiento estará obligado a verificar la competencia del destinatario y a efectuar una evaluación provisional de la necesidad de la transmisión de dichos datos. En caso de abrigar dudas sobre tal necesidad, el responsable del tratamiento pedirá al destinatario que aporte información complementaria.

El destinatario garantizará la posibilidad de verificar subsiguientemente la necesidad de la transmisión de los datos.

3) El destinatario tratará los datos personales únicamente para los fines que hayan motivado su transmisión.

Artículo 8

Transmisión de datos personales a destinatarios, distintos de las instituciones y los organismos comunitarios, sujetos a la Directiva 95/46/CE

Sin perjuicio de lo dispuesto en los artículos 4, 5, 6 y 10, los datos personales sólo se transmitirán a destinatarios sujetos al Derecho nacional adoptado para la aplicación de la Directiva 95/46/CE, cuando:

a) el destinatario demuestre que los datos son necesarios para el cumplimiento de una misión de interés público o son inherentes al ejercicio del poder público, o

b) el destinatario demuestre la necesidad de que se le transmitan los datos y no existan motivos para suponer que ello pudiera perjudicar los intereses legítimos del interesado.

Artículo 9

Transmisión de datos personales a destinatarios distintos de las instituciones y los organismos comunitarios y no sujetos a la Directiva 95/46/CE

1. Los datos personales sólo se podrán transmitir a destinatarios distintos de las instituciones y los organismos comunitarios y no sujetos al Derecho nacional adoptado en aplicación de la Directiva 95/46/CE cuando se garantice un nivel de protección suficiente en el país del destinatario o en la organización internacional destinataria, y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento.

2. La suficiencia del nivel de protección ofrecido por el tercer país o la organización internacional de que se trate se determinará a la luz de todas las circunstancias que rodean la operación de transmisión de datos o el conjunto de operaciones de transmisión de datos. Se tendrá particularmente en cuenta la naturaleza de los datos, la finalidad y la duración de las operaciones de tratamiento propuestas, el tercer país o la organización internacional de destino final, los preceptos legales generales y sectoriales vigentes en el tercer país o aplicables a la organización internacional de que se trate, así como las normas profesionales y las medidas de seguridad observadas en ese país u organización internacional.

3. Las instituciones y los organismos comunitarios informarán a la Comisión y al Supervisor Europeo de Protección de Datos de los casos en los que a su entender el tercer país o la organización internacional de que se trate no garanticen un nivel de protección suficiente de acuerdo con el apartado 2.

4. La Comisión informará a los Estados miembros de los casos contemplados en el apartado 3.

5. Las instituciones y los organismos comunitarios tomarán las medidas oportunas para cumplir las decisiones adoptadas por la Comisión en las que se haga constar, en aplicación de los apartados 4 y 6 del artículo 25 de la Directiva 95/46/CE, que un tercer país o una organización internacional garantizan o no garantizan un nivel de protección suficiente.

6. No obstante lo dispuesto en los apartados 1 y 2, la institución o el organismo comunitario podrá efectuar una transmisión de datos personales si:

a) el interesado ha dado su consentimiento de forma inequívoca a la transmisión propuesta; o

b) la transmisión es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la aplicación de medidas precontractuales a petición del interesado; o

c) la transmisión es necesaria para la conclusión o ejecución de un contrato concluido en interés del interesado entre el responsable del tratamiento y un tercero; o

d) la transmisión es necesaria o requerida legalmente por razones importantes de interés público o para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial; o

e) la transmisión es necesaria para proteger los intereses esenciales del interesado; o

f) la transmisión se realiza desde un registro que, con arreglo al Derecho comunitario, tenga por objeto proporcionar información al público y que esté disponible para consulta del público en general o de cualquier persona que pueda demostrar un interés legítimo, en la medida en que en ese caso particular se cumplan las condiciones de consulta fijadas en la legislación comunitaria.

7. Sin perjuicio de lo dispuesto en el apartado 6, el Supervisor Europeo de Protección de Datos podrá autorizar una transferencia o conjunto de transferencias de datos personales a un tercer país o a una organización internacional que no garanticen un nivel de protección adecuado en el sentido de los apartados 1 y 2 cuando el responsable del tratamiento ofrezca garantías suficientes con respecto a la protección de la vida privada y los derechos y las libertades fundamentales de las personas, así como por lo que respecta al ejercicio de los derechos correspondientes; estas garantías pueden, en particular, resultar de cláusulas contractuales pertinentes.

8. Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que hayan aplicado los apartados 6 y 7.

SECCIÓN 3

CATEGORÍAS ESPECIALES DE TRATAMIENTOS

Artículo 10

Tratamiento de categorías especiales de datos

1. Se prohibe el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.

2. Lo dispuesto en el apartado 1 no se aplicará si:

a) el interesado ha dado su consentimiento explícito a dicho tratamiento, salvo cuando las normas internas de la institución o del organismo comunitario dispongan que la prohibición contemplada en el apartado 1 no puede quedar sin efecto por el consentimiento del interesado, o

b) el tratamiento es necesario para cumplir las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral, en la medida en que esté autorizado por el Tratado de la Unión Europea u otros instrumentos jurídicos adoptados sobre la base del mismo o, si fuera necesario, en la medida en que lo haya aprobado el Supervisor Europeo de Protección de Datos, con la aportación de garantías suficientes, o

c) el tratamiento es necesario para salvaguardar los intereses esenciales del interesado o de otra persona, cuando el interesado está física o jurídicamente incapacitado para dar su consentimiento, o

d) el tratamiento se refiere a datos que el interesado ha hecho manifiestamente públicos o es necesario para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial, o

e) el tratamiento lo lleva a cabo, en el curso de sus actividades legítimas y con las garantías apropiadas, un organismo sin ánimo de lucro que constituya una entidad integrada en una institución o un organismo comunitario, no sujeto a la legislación nacional sobre protección de datos en virtud del artículo 4 de la Directiva 95/46/CE, con fines políticos, filosóficos, religiosos o sindicales, a condición de que el tratamiento se refiera únicamente a los miembros de dicho organismo o a las personas que mantengan contactos regulares con él en relación con sus objetivos, y que los datos no se divulguen a un tercero sin el consentimiento del interesado.

3. El apartado 1 no se aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación de secreto equivalente.

4. A condición de instaurar las garantías adecuadas, y por motivos de interés público importantes, podrán preverse excepciones distintas a las previstas en el apartado 2 en los Tratados constitutivos de las Comunidades Europeas o en otros actos legislativos adoptados en virtud de los mismos o, si fuera necesario, por decisión del Supervisor Europeo de Protección de Datos.

5. El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad sólo podrá efectuarse si así lo autorizan los Tratados constitutivos de las Comunidades Europeas u otros actos legislativos adoptados en virtud de los mismos, o si fuera necesario, el Supervisor Europeo de Protección de Datos, siempre que establezca garantías específicas adecuadas.

6. El Supervisor Europeo de Protección de Datos determinará las condiciones en las que podrá ser objeto de tratamiento un número personal o cualquier otro medio de identificación de aplicación general por parte de una institución o un organismo comunitario.

SECCIÓN 4

INFORMACIÓN AL INTERESADO

Artículo 11

Información que se debe proporcionar cuando los datos han sido recabados del propio interesado

1. El responsable del tratamiento proporcionará al interesado cuyos datos se recaben por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento;

b) los fines del tratamiento de que van a ser objeto los datos;

c) los destinatarios o las categorías de destinatarios de los datos;

d) el carácter obligatorio o voluntario de la respuesta a las preguntas y las posibles consecuencias de la falta de respuesta;

e) la existencia del derecho de acceso y de rectificación de los datos que le conciernen;

f) cualquier información adicional como

i) el fundamento jurídico del tratamiento de que van a ser objeto los datos,

ii) los plazos de conservación de los datos,

iii) el derecho a recurrir al Supervisor Europeo de Protección de Datos en cualquier momento,

que resulte necesaria, habida cuenta de las circunstancias específicas en que se obtengan los datos, para garantizar un tratamiento de datos leal respecto del interesado.

2. No obstante lo dispuesto en el apartado 1, la provisión de información o de una parte de una información, con excepción de la información a que se refieren las letras a), b) y d) del apartado 1, podrá aplazarse el tiempo que sea necesario para fines estadísticos. La información deberá proporcionarse tan pronto como la razón por la que se retiene deje de existir.

Artículo 12

Información que se debe proporcionar cuando los datos no han sido recabados del propio interesado

1. Cuando los datos no hayan sido recabados del propio interesado, el responsable del tratamiento deberá, en el momento del registro de los datos personales o, en caso de que se prevea su comunicación a un tercero, a más tardar en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello con anterioridad:

a) la identidad del responsable del tratamiento;

b) los fines del tratamiento de que van a ser objeto los datos;

c) las categorías de datos de que se trate;

d) los destinatarios o las categorías de destinatarios de los datos;

e) la existencia del derecho de acceso y de rectificación de los datos que le conciernen;

f) cualquier información adicional como:

i) el fundamento jurídico del tratamiento de que van a ser objeto los datos,

ii) los plazos de conservación de los datos,

iii) el derecho a recurrir al Supervisor Europeo de Protección de Datos en cualquier momento,

iv) el origen de los datos, salvo cuando el responsable del tratamiento no pueda revelar esta información por motivos de secreto profesional,

que resulte necesaria, habida cuenta de las circunstancias específicas en que se obtengan los datos, para garantizar un tratamiento de datos leal respecto del interesado.

2. Las disposiciones del apartado 1 no se aplicarán cuando, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, la información al interesado resulte imposible o exija esfuerzos desproporcionados o cuando el registro o la comunicación de datos estén expresamente previstos en la legislación comunitaria. En tales casos, la institución o el organismo comunitario establecerá las garantías apropiadas previa consulta del Supervisor Europeo de Protección de Datos.

SECCIÓN 5

DERECHOS DEL INTERESADO

Artículo 13

Derecho de acceso

El interesado tendrá derecho a obtener del responsable del tratamiento en cualquier momento y sin restricciones, dentro de un plazo de tres meses a partir de la recepción de la solicitud y con carácter gratuito:

a) confirmación de la existencia o no de tratamiento de datos que le conciernan;

b) información, como mínimo, de los fines de dicho tratamiento, de las categorías de datos objeto de tratamiento y de los destinatarios o categorías de destinatarios a quienes se comuniquen los datos;

c) comunicación en forma inteligible de los datos objeto de tratamiento, así como cualquier información disponible sobre el origen de los datos;

d) conocimiento de los criterios por los que se rige cualquier tratamiento automatizado de datos referido al interesado.

Artículo 14

Rectificación

El interesado tendrá derecho a obtener del responsable del tratamiento una rectificación inmediata de los datos personales inexactos o incompletos.

Artículo 15

Bloqueo

1. El interesado tendrá derecho a hacer que el responsable del tratamiento bloquee sus datos cuando:

a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar que los datos son exactos, y que están completos; o

b) el responsable de los datos ya no los necesite para la realización de sus tareas pero haya de conservarlos a efectos probatorios; o

c) el tratamiento de los datos sea ilícito y el interesado se oponga a su supresión, exigiendo en su lugar el bloqueo.

2. En los ficheros automatizados el bloqueo se efectuará, en principio, por medios técnicos. El hecho de que los datos personales están bloqueados deberá indicarse en el sistema de tal modo que quede claro que no se pueden utilizar.

3. Con excepción del almacenamiento, los datos personales bloqueados en aplicación del presente artículo sólo serán objeto de tratamiento a efectos probatorios, bien para la protección de los derechos de un tercero, o bien con el consentimiento del interesado.

4. El interesado que solicite y obtenga el bloqueo de sus datos deberá ser informado por el responsable del tratamiento del desbloqueo de los datos antes de que éste tenga lugar.

Artículo 16

Supresión

El interesado tendrá derecho a hacer que el responsable del tratamiento suprima sus datos cuando el tratamiento de éstos sea ilícito, en particular cuando se hayan incumplido las disposiciones de las secciones 1, 2 y 3 del capítulo II.

Artículo 17

Notificación a terceros

El interesado tendrá derecho a hacer que el responsable del tratamiento notifique a los terceros a quienes se hayan comunicado los datos toda rectificación, supresión o bloqueo efectuado en virtud de los artículos 13 a 16, a no ser que resulte imposible o suponga un esfuerzo desproporcionado.

Artículo 18

Derecho de oposición del interesado

El interesado tendrá derecho a:

a) oponerse en cualquier momento, por razones imperiosas y legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo en los casos contemplados en las letras b), c) y d) del artículo 5. En caso de oposición justificada, el tratamiento en cuestión no podrá referirse ya a esos datos.

b) ser informado antes de que los datos personales se comuniquen por primera vez a terceros o se utilicen por cuenta de terceros a efectos de prospección, y a que se le ofrezca expresamente el derecho a oponerse, sin gastos, a dicha comunicación o utilización.

Artículo 19

Decisiones individuales automatizadas

El interesado tiene derecho a no ser sometido a una decisión que tenga efectos jurídicos sobre él o que le afecte de manera significativa y que esté basada únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, fiabilidad o conducta, salvo cuando tal decisión esté expresamente autorizada en virtud de la legislación nacional o comunitaria o, si fuera necesario, por el Supervisor Europeo de Protección de Datos. En ambos casos se adoptarán, para proteger los intereses legítimos del interesado, medidas que le permitan exponer su punto de vista.

SECCIÓN 6

EXCEPCIONES Y LIMITACIONES

Artículo 20

Excepciones y limitaciones

1. Las instituciones y los organismos comunitarios podrán limitar la aplicación del apartado 1 del artículo 4, del artículo 11, del apartado 1 del artículo 12, de los artículos 13 a 17 y del apartado 1 del artículo 37 siempre y cuando tal limitación constituya una medida necesaria para:

a) la prevención, investigación, detección y represión de infracciones penales;

b) la salvaguardia de un interés económico o financiero importante de un Estado miembro o de las Comunidades Europeas, incluidos los asuntos monetarios, presupuestarios y fiscales;

c) la protección del interesado o de los derechos y libertades de otras personas;

d) la seguridad nacional, el orden público y la defensa de los Estados miembros;

e) una misión de seguimiento, inspección o regulación relacionada, incluso ocasionalmente, con el ejercicio de los poderes públicos en los casos contemplados en las letras a) y b).

2. Los artículos 13 a 16 no serán de aplicación cuando los datos se vayan a tratar exclusivamente con fines de investigación científica o se guarden en forma de archivos de carácter personal durante un periodo que no supere el tiempo necesario para la exclusiva finalidad de elaborar estadísticas, siempre que manifiestamente no exista ningún riesgo de que se vulnere la intimidad del interesado y que el responsable del tratamiento brinde las garantías jurídicas apropiadas para excluir, en particular, que los datos puedan ser utilizados para adoptar medidas o decisiones en relación con personas concretas.

3. En caso de que se aplique una limitación contemplada en el apartado 1, se informará al interesado, de conformidad con el Derecho comunitario, de las razones principales que justifican la limitación, así como de su derecho a recurrir al Supervisor Europeo de Protección de Datos.

4. En caso de que se invoque una limitación contemplada en el apartado 1 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación subsiguiente a la reclamación, sólo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

5. Podrá aplazarse la comunicación de la información a la que se refieren los apartados 3 y 4 mientras deje sin efecto la limitación impuesta sobre la base del apartado 1.

SECCIÓN 7

CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO

Artículo 21

Confidencialidad del tratamiento

Las personas empleadas en una institución o en un organismo comunitario, así como las instituciones u organismos comunitarios que a su vez actúen como encargados del tratamiento, que tengan acceso a datos personales, sólo podrán tratarlos cuando se lo encomiende el responsable del tratamiento, a no ser que estén obligadas a hacerlo con arreglo a la legislación nacional o comunitaria.

Artículo 22

Seguridad del tratamiento

1. Habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, el responsable del tratamiento pondrá en práctica las medidas de carácter técnico y organizativo adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

Se adoptarán tales medidas para evitar, en particular, la comunicación o el acceso no autorizados, la destrucción accidental o ilícita, o cualquier pérdida accidental o alteración, así como cualquier otra forma ilícita de tratamiento.

2. Cuando los datos personales se traten de forma automatizada, se adoptarán las medidas adecuadas en función del riesgo, en particular con el objetivo de:

a) evitar que personas no autorizadas puedan acceder a los sistemas informáticos que traten datos personales;

b) evitar que se puedan leer, reproducir, alterar o retirar los soportes de memoria sin autorización;

c) evitar que personas no autorizadas puedan introducir información en memoria o comunicar, alterar o suprimir datos personales almacenados;

d) evitar que personas no autorizadas puedan utilizar los sistemas de tratamiento de datos mediante instalaciones de transmisión de datos;

e) garantizar que los usuarios autorizados de un sistema de tratamiento de datos puedan acceder únicamente a aquellos datos personales a que se refiera su derecho de acceso;

f) registrar qué datos personales se comunicaron en qué momento y a quién;

g) garantizar que posteriormente sea posible comprobar qué datos personales se han tratado, cuándo y por quién;

h) garantizar que los datos personales tratados por cuenta de terceros puedan tratarse únicamente en la forma prescrita por la institución o el organismo contratante;

i) garantizar que durante la comunicación de datos personales y durante el transporte de los soportes de memoria, los datos no puedan ser leídos, copiados o suprimidos sin autorización;

j) diseñar la estructura organizativa dentro de una institución o de un organismo de tal modo que satisfaga las necesidades especiales de la protección de datos.

Artículo 23

Tratamiento de datos personales por cuenta de los responsables del tratamiento

1. Cuando el tratamiento se efectúe por cuenta del responsable del tratamiento, éste elegirá un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad de carácter técnico y organizativo contempladas en el artículo 22, y deberá asegurar el cumplimiento de dichas medidas.

2. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento y que disponga, en particular, que:

a) el encargado del tratamiento sólo deberá actuar siguiendo instrucciones del responsable del tratamiento;

b) las obligaciones de los artículos 21 y 22 incumben también al encargado del tratamiento, a menos que, en virtud del artículo 16 o del segundo guión del apartado 3 del artículo 17 de la Directiva 95/46/CE, el encargado del tratamiento ya esté sujeto a obligaciones de confidencialidad y seguridad establecidas en la legislación nacional de uno de los Estados miembros.

3. A efectos probatorios, las partes del contrato o del acto jurídico relativas a la protección de datos y los requisitos relativos a las medidas mencionadas en el artículo 22 constarán por escrito o en otra forma equivalente.

SECCIÓN 8

RESPONSABLE DE LA PROTECCIÓN DE DATOS

Artículo 24

Nombramiento y funciones del responsable de la protección de datos

1. Cada institución y cada organismo comunitario nombrará al menos a una persona para que actúe como responsable de la protección de datos encargado de:

a) garantizar que los responsables del tratamiento y los interesados sean informados de sus derechos y obligaciones de conformidad con el presente Reglamento;

b) responder a las solicitudes del Supervisor Europeo de Protección de Datos y, en el marco de sus competencias, cooperar con el Supervisor Europeo de Protección de Datos a petición de éste o por iniciativa propia;

c) garantizar de forma independiente la aplicación interna de las disposiciones del presente Reglamento;

d) llevar el registro de aquellas operaciones de tratamiento realizadas por el responsable del tratamiento, el cual contendrá la información a que se refiere el apartado 2 del artículo 25;

e) notificar al Supervisor Europeo de Protección de Datos las operaciones de tratamiento que pudieran presentar riesgos específicos con arreglo al artículo 27.

Dicha persona deberá velar por que el tratamiento no tenga efectos adversos sobre los derechos y las libertades de los interesados.

2. El responsable de la protección de datos será seleccionado en razón de sus cualidades personales y profesionales y, en particular, de su experiencia en la protección de datos.

3. La elección del responsable de la protección de datos no deberá poder derivar en un conflicto de intereses entre su función de responsable y otras obligaciones profesionales, en particular en relación con la aplicación de las disposiciones del presente Reglamento.

4. El responsable de la protección de datos será nombrado por un mandato de entre dos y cinco años. Su mandato podrá ser renovado; no obstante, la duración total de su mandato no podrá ser superior a diez años. El responsable de la protección de datos sólo podrá ser destituido de su función de responsable de la protección de datos por la institución u organismo comunitario que le haya nombrado, previo consentimiento del Supervisor Europeo de Protección de Datos, en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones.

5. Tras haber nombrado al responsable de la protección de datos, la institución o el organismo que le haya designado comunicará su nombre al Supervisor Europeo de Protección de Datos.

6. La institución u organismo comunitario que le haya designado asignará al responsable de la protección de datos el personal y los recursos necesarios para la ejecución de sus funciones.

7. El responsable de la protección de datos no aceptará instrucciones de nadie respecto del ejercicio de sus funciones.

8. Cada institución u organismo comunitario adoptará normas complementarias respecto al responsable de la protección de datos, con arreglo a lo dispuesto en el anexo. Tales normas se referirán, en concreto, a las tareas, obligaciones y competencias del responsable de la protección de datos.

Artículo 25

Notificación al responsable de la protección de datos

1. El responsable del tratamiento notificará previamente al responsable de la protección de datos toda operación de tratamiento o serie de tales operaciones previstas para un objetivo único o para varios objetivos relacionados entre sí.

2. La notificación facilitada comprenderá:

a) el nombre y la dirección del responsable del tratamiento y una indicación de los servicios de una institución u organismo encargados del tratamiento de datos personales para un fin particular;

b) el o los objetivos del tratamiento;

c) una descripción de la categoría o categorías de interesados y de los datos o categorías de datos a que se refiere el tratamiento;

d) el fundamento jurídico del tratamiento al que van destinados los datos;

e) los destinatarios o categorías de destinatarios a los que se pueden comunicar los datos;

f) una indicación general de los plazos establecidos para el bloqueo y la supresión de las diferentes categorías de datos;

g) las transmisiones de datos previstas a terceros países o a organizaciones internacionales;

h) una descripción general que permita evaluar de modo preliminar si las medidas adoptadas en aplicación del artículo 22 resultan adecuadas para garantizar la seguridad del tratamiento.

3. Todo cambio que afecte a las informaciones contempladas en el apartado 2 se notificará de inmediato al responsable de la protección de datos.

Artículo 26

Registro

Cada responsable de la protección de datos llevará un registro de las operaciones de tratamiento a que se refiere el artículo 25.

Los registros contendrán como mínimo la información mencionada en las letras a) a g) del apartado 2 del artículo 25. Los registros podrán ser consultados por cualquier persona directamente o indirectamente por mediación del Supervisor Europeo de Protección de Datos.

SECCIÓN 9

CONTROLES PREVIOS LLEVADOS A CABO POR EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS Y OBLIGACIÓN DE COOPERAR

Artículo 27

Controles previos

1. Los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance u objetivos estarán sujetos a control previo por parte del Supervisor Europeo de Protección de Datos.

2. Pueden suponer tales riesgos los siguientes tratamientos:

a) los tratamientos de datos relativos a la salud y los tratamientos de datos relativos a sospechas, infracciones, condenas penales o medidas de seguridad;

b) los tratamientos destinados a evaluar aspectos de la personalidad del interesado, como su competencia, rendimiento o conducta;

c) los tratamientos que permitan interconexiones entre datos tratados para fines diferentes, que no estén previstas en virtud de la legislación nacional o comunitaria;

d) los tratamientos destinados a excluir a personas de un derecho, una prestación o un contrato.

3. Los controles previos serán realizados por el Supervisor Europeo de Protección de Datos tras recibir una notificación del responsable de la protección de datos quien, en caso de duda sobre la necesidad de control previo, consultará al Supervisor Europeo de Protección de Datos.

4. El Supervisor Europeo de Protección de Datos emitirá su dictamen en el plazo de dos meses a partir de la recepción de la notificación. Si el Supervisor Europeo de Protección de Datos solicita más información, este periodo podrá suspenderse hasta que la reciba. Cuando por la complejidad del expediente resultare necesario, dicho plazo podrá asimismo prolongarse otros dos meses por decisión del Supervisor Europeo de Protección de Datos. La decisión al respecto será notificada al responsable del tratamiento antes de que expire el plazo inicial de dos meses.

Si transcurrido el plazo de dos meses, en su caso prolongado, no se ha emitido dictamen, deberá entenderse que es favorable.

Si el Supervisor Europeo de Protección de Datos dictaminase que el tratamiento notificado pudiere constituir un incumplimiento de alguna de las disposiciones del presente Reglamento, propondrá en su caso medidas para impedir dicha violación. En caso de que el responsable del tratamiento no modifique el tratamiento de acuerdo con ellas, el Supervisor Europeo de Protección de Datos podrá hacer uso de los poderes que le confiere el apartado 1 del artículo 47.

5. El Supervisor Europeo de Protección de Datos llevará un registro de todos los tratamientos que se le hayan notificado en virtud del apartado 2. En el registro se hará constar la información a que se refiere el artículo 25. El registro podrá ser consultado por cualquier persona.

Artículo 28

Consulta

1. Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas relacionadas con el tratamiento de datos personales que impliquen a una institución o un organismo comunitario aisladamente o junto con otros.

2. Al adoptar una propuesta legislativa relativa a la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión consultará al Supervisor Europeo de Protección de Datos.

Artículo 29

Obligación de información

Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos de las medidas que se adopten a raíz de las decisiones o autorizaciones de este último contempladas en la letra h) del artículo 46.

Artículo 30

Obligación de cooperar

A petición del Supervisor Europeo de Protección de Datos los responsables del tratamiento le asistirán en el ejercicio de sus funciones, en particular suministrando la información a que se refiere la letra a) del apartado 2 del artículo 47 y facilitándole el acceso mencionado en la letra b) del apartado 2 de dicho artículo.

Artículo 31

Obligación de respuesta a las acusaciones

Como respuesta al ejercicio por parte del Supervisor Europeo de Protección de Datos de las competencias que se le atribuyen en virtud de la letra b) del apartado 1 del artículo 47, el responsable del tratamiento afectado le informará de sus puntos de vista en un plazo razonable fijado por el Supervisor Europeo de Protección de Datos. La respuesta comprenderá asimismo una descripción de las medidas adoptadas, en su caso, a raíz de las observaciones del Supervisor Europeo de Protección de Datos.

CAPÍTULO III

VÍAS DE RECURSO

Artículo 32

Recursos

1. El Tribunal de Justicia de las Comunidades Europeas será competente en todos los litigios que se relacionen con las disposiciones del presente Reglamento, incluidas las demandas por perjuicios.

2. Sin perjuicio de los recursos judiciales existentes, todo interesado podrá presentar una reclamación ante el Supervisor Europeo de Protección de Datos si considera que se han violado sus derechos reconocidos en el artículo 286 del Tratado como consecuencia del tratamiento de datos personales que le afecten por parte de una institución o de un organismo comunitario.

Si en el plazo de seis meses el Supervisor Europeo de Protección de Datos no diera una respuesta, se entenderá desestimada la reclamación.

3. Las decisiones del Supervisor Europeo de Protección de Datos podrán recurrirse ante el Tribunal de Justicia de las Comunidades Europeas.

4. Toda persona que haya sufrido un perjuicio como consecuencia de un tratamiento ilícito o de un acto incompatible con el presente Reglamento tendrá derecho a obtener reparación del perjuicio sufrido, de conformidad con el artículo 288 del Tratado.

Artículo 33

Reclamaciones del personal de las Comunidades

Toda persona empleada por una institución u organismo comunitario podrá presentar una reclamación ante el Supervisor Europeo de Protección de Datos en caso de presunta violación de las disposiciones del presente Reglamento que rigen el tratamiento de los datos personales, sin necesidad de pasar por la vía jerárquica. Nadie habrá de sufrir perjuicio en razón de una reclamación ante el Supervisor Europeo de Protección de Datos presentada por presunta violación de las disposiciones sobre el tratamiento de datos personales.

CAPÍTULO IV

PROTECCIÓN DE LOS DATOS PERSONALES Y DE LA INTIMIDAD EN EL CONTEXTO DE LAS REDES INTERNAS DE TELECOMUNICACIÓN

Artículo 34

Ámbito de aplicación

Sin perjuicio de las otras disposiciones de este Reglamento, el presente capítulo es aplicable al tratamiento de datos personales en relación con la utilización de las redes de telecomunicaciones o los terminales explotados bajo el control de una institución o de un organismo comunitario.

A los efectos del presente capítulo, se entenderá por "usuario" toda persona física que utilice una red de telecomunicación o un terminal explotado bajo el control de una institución o de un organismo comunitario.

Artículo 35

Seguridad

1. Las instituciones y los organismos comunitarios adoptarán las oportunas medidas técnicas y organizativas para garantizar el uso seguro de las redes de telecomunicación y los terminales, de ser necesario en conjunción con los proveedores de servicios públicos de telecomunicaciones o con los proveedores de redes de telecomunicaciones públicas. Teniendo en cuenta las posibilidades técnicas más recientes y el coste de su puesta en práctica, estas medidas garantizarán un nivel de seguridad adecuado al riesgo presentado.

2. En caso de un riesgo particular de violación de la seguridad de la red y los terminales, la institución o el organismo comunitario afectado informará a los usuarios sobre la existencia de tal riesgo y sobre las posibles soluciones y medios de comunicación alternativos.

Artículo 36

Confidencialidad de las comunicaciones

Las instituciones y los organismos comunitarios garantizarán la confidencialidad de las comunicaciones efectuadas a través de las redes de telecomunicación y los terminales, respetando los principios generales del Derecho comunitario.

Artículo 37

Datos sobre tráfico y facturación

1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 4, los datos sobre tráfico, relacionados con los usuarios, tratados y almacenados para establecer comunicaciones u otro tipo de conexiones en la red de telecomunicaciones se destruirán o harán anónimos en cuanto termine la comunicación o conexión mencionada.

2. En caso necesario y a los efectos de la gestión presupuesto de telecomunicaciones y de la gestión del tráfico, incluida la comprobación del uso autorizado del sistema de telecomunicaciones, podrán tratarse los datos de tráfico indicados en una relación aprobada por el Supervisor Europeo de Protección de Datos. Estos datos se deberán suprimir o convertir en anónimos en los plazos más breves, y a más tardar seis meses después de haber sido recabados, a menos que su conservación posterior resulte necesaria para el reconocimiento, el ejercicio o la defensa de un derecho en el marco de una acción judicial pendiente en un tribunal.

3. El tratamiento de los datos de tráfico y facturación deberá limitarse a las personas que se ocupen de la gestión de la facturación, del tráfico o del presupuesto.

4. Los usuarios de las redes de telecomunicaciones tendrán derecho a recibir facturas u otras relaciones no desglosadas de las llamadas efectuadas.

Artículo 38

Guías de usuarios

1. Los datos personales contenidos en las guías de usuarios en forma impresa o electrónica, así como el acceso a dichas guías, quedarán limitados a lo necesario para los fines específicos de la guía.

2. Las instituciones y organismos comunitarios adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa.

Artículo 39

Presentación y limitación de la identificación de la línea llamante y conectada

1. Cuando se ofrezca la posibilidad de presentar la identificación de la línea llamante, el usuario que origine la llamada deberá poder suprimir en cada llamada, mediante un procedimiento sencillo y gratuito, la identificación de la línea llamante.

2. Cuando se ofrezca la posibilidad de presentar la identificación de la línea llamante, el usuario que reciba la llamada deberá tener la posibilidad, mediante un procedimiento sencillo y gratuito, de impedir la presentación de la identificación de la línea llamante en las llamadas entrantes.

3. Cuando se ofrezca la posibilidad de presentar la identificación de la línea conectada, el usuario que reciba la llamada deberá tener la posibilidad, mediante un procedimiento sencillo y gratuito, de suprimir la presentación de la identificación de la línea conectada a la parte llamante.

4. Cuando se ofrezca la posibilidad de presentar la identificación de la línea llamante o de la línea conectada, las instituciones y los organismos comunitarios informarán a los usuarios sobre dicha posibilidad y sobre las que se establecen en los apartados 1, 2 y 3.

Artículo 40

Excepciones

Las instituciones y los organismos comunitarios velarán por que existan procedimientos transparentes que determinen la forma en que pueden anular la supresión de la presentación de la identificación de la línea llamante:

a) por un periodo de tiempo limitado, a instancia del abonado que solicite la identificación de llamadas maliciosas o molestas;

b) por línea, para los organismos que atiendan las llamadas de urgencia, para que puedan responder a tales llamadas.

CAPÍTULO V

AUTORIDAD DE CONTROL INDEPENDIENTE: EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

Artículo 41

El Supervisor Europeo de Protección de Datos

1. Se instituye una autoridad de control independiente denominada "Supervisor Europeo de Protección de Datos".

2. Por lo que respecta al tratamiento de los datos personales, el Supervisor Europeo de Protección de Datos velará por que los derechos y libertades fundamentales de las personas físicas, en particular el derecho de las mismas a la intimidad, sean respetados por las instituciones y los organismos comunitarios.

El Supervisor Europeo de Protección de Datos garantizará y supervisará la aplicación de las disposiciones del presente Reglamento y de cualquier otro acto comunitario relacionado con la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo comunitario, y asesorará a las instituciones y a los organismos comunitarios, así como a los interesados, en todas las cuestiones relacionadas con el tratamiento de datos personales. Con este fin ejercerá las funciones establecidas en el artículo 46 y las competencias que le confiere el artículo 47.

Artículo 42

Nombramiento

1. El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada por la Comisión como resultado de una convocatoria pública de candidaturas.

Se nombrará a un Supervisor Adjunto de conformidad con el mismo procedimiento y por un periodo de igual duración. Asistirá al Supervisor en todas sus funciones y le sustituirá en caso de ausencia o impedimento.

2. El Supervisor Europeo de Protección de Datos será elegido entre personas cuya independencia esté fuera de toda duda y que posean una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a las autoridades de control mencionadas en el artículo 28 de la Directiva 95/46/CE.

3. El mandato del Supervisor Europeo de Protección de Datos será renovable.

4. Aparte de la renovación periódica o de sustitución por motivo de fallecimiento, el mandato del Supervisor Europeo de Protección de Datos llegará a su fin en caso de dimisión o de destitución de conformidad con el apartado 5.

5. El Supervisor Europeo de Protección de Datos podrá ser destituido o desposeído de su derecho de pensión u otros privilegios equivalentes por el Tribunal de Justicia a petición del Parlamento Europeo, el Consejo o la Comisión si dejare de cumplir las condiciones necesarias para el ejercicio de sus funciones o hubiere cometido una falta grave.

6. En los casos de renovación periódica y dimisión voluntaria, el Supervisor Europeo de Protección de Datos permanecerá en funciones hasta su sustitución.

7. Los artículos 12 a 15 inclusive y 18 del Protocolo sobre los privilegios y las inmunidades de las Comunidades Europeas serán aplicables asimismo al Supervisor Europeo de Protección de Datos.

8. Los apartados 2 a 7 serán aplicables al Supervisor Adjunto.

Artículo 43

Estatuto y condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos, personal y recursos financieros

1. El Parlamento Europeo, el Consejo y la Comisión, fijarán de común acuerdo el estatuto y las condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos y, en particular su salario, asignaciones y demás ventajas de carácter retributivo.

2. La autoridad presupuestaria garantizará que el Supervisor Europeo de Protección de Datos disponga de los recursos humanos y financieros necesarios para el ejercicio de sus funciones.

3. El presupuesto del Supervisor Europeo de Protección de Datos figurará en una línea propia de la sección VIII del presupuesto general de la Unión Europea.

4. El Supervisor Europeo de Protección de Datos estará asistido por una secretaría. Los funcionarios y demás miembros del personal de la secretaría serán nombrados por el Supervisor Europeo de Protección de Datos. Su superior jerárquico será el Supervisor Europeo de Protección de Datos y estarán sometidos exclusivamente a su dirección. El número de puestos se decidirá anualmente en el marco del procedimiento presupuestario.

5. Los funcionarios y otros miembros del personal de la secretaría del Supervisor Europeo de Protección de Datos estarán sujetos a los reglamentos y normas aplicables a los funcionarios y otros agentes de las Comunidades Europeas.

6. En asuntos relacionados con su personal, el Supervisor Europeo de Protección de Datos tendrá la misma consideración que las instituciones a efectos de lo dispuesto en el artículo 1 del Estatuto de los funcionarios de las Comunidades Europeas.

Artículo 44

Independencia

1. El Supervisor Europeo de Protección de Datos actuará con total independencia en el ejercicio de sus funciones.

2. En el ejercicio de sus funciones el Supervisor Europeo de Protección de Datos no solicitará ni admitirá instrucciones de nadie.

3. El Supervisor Europeo de Protección de Datos se abstendrá de cualquier acción incompatible con sus funciones y de desempeñar, durante su mandato, ninguna otra actividad profesional, sea o no retribuida.

4. Tras la finalización de su mandato el Supervisor Europeo de Protección de Datos actuará con integridad y discreción en lo que respecta a la aceptación de nombramientos y privilegios.

Artículo 45

Secreto profesional

El Supervisor Europeo de Protección de Datos y su personal estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre las informaciones confidenciales a las que hayan tenido acceso durante el ejercicio de sus funciones.

Artículo 46

Funciones

El Supervisor Europeo de Protección de Datos deberá:

a) conocer e investigar las reclamaciones, y comunicar al interesado los resultados de sus investigaciones en un plazo razonable;

b) efectuar investigaciones por iniciativa propia o en respuesta a reclamaciones y comunicar a los interesados el resultado de sus investigaciones en un plazo razonable;

c) supervisar y asegurar la aplicación del presente Reglamento y de cualquier otro acto comunitario relacionado con la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo comunitario, con excepción del Tribunal de Justicia de las Comunidades Europeas cuando actúe en el ejercicio de sus funciones jurisdiccionales;

d) asesorar a todas las instituciones y organismos comunitarios, tanto a iniciativa propia como en respuesta a una consulta, sobre todos los asuntos relacionados con el tratamiento de datos personales, especialmente antes de la elaboración por dichas instituciones y organismos de normas internas sobre la protección de los derechos y libertades fundamentales en relación con el tratamiento de datos personales;

e) hacer un seguimiento de los hechos nuevos de interés, en la medida en que tengan repercusiones sobre la protección de datos personales, en particular de la evolución de las tecnologías de la información y la comunicación;

f) i) colaborar con las autoridades de control nacionales a que se refiere el artículo 28 de la Directiva 95/46/CE de los países a los que se aplica dicha Directiva en la medida necesaria para el ejercicio de sus deberes respectivos, en particular intercambiando toda información útil, instando a dicha autoridad u organismo a ejercer sus poderes o respondiendo a una solicitud de dicha autoridad u organismo;

ii) colaborar asimismo con los organismos de control de la protección de datos establecidos en virtud del Título VI del Tratado de la Unión Europea, en particular con vistas a mejorar la coherencia en la aplicación de las normas y procedimientos de cuyo respeto estén respectivamente encargados.

g) participar en las actividades del "Grupo de trabajo sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales" creado en virtud del artículo 29 de la Directiva 95/46/CE;

h) determinar, motivar y hacer públicas las excepciones, garantías, autorizaciones y condiciones mencionadas en la letra b) del apartado 2 y en los apartados 4, 5 y 6 del artículo 10, en el apartado 2 del artículo 12, en el artículo 19 y en el apartado 2 del artículo 37;

i) mantener un registro de los tratamientos que se le notifiquen en virtud del apartado 2 del artículo 27 y hayan sido registrados conforme al apartado 5 del artículo 27, así como facilitar los medios de acceso a los registros que lleven los responsables de la protección de datos con arreglo al artículo 26;

j) efectuar una comprobación previa de los tratamientos que se le notifiquen;

k) adoptar su Reglamento interno.

Artículo 47

Competencias

1. El Supervisor Europeo de Protección de Datos podrá:

a) asesorar a las personas interesadas en el ejercicio de sus derechos;

b) acudir al responsable del tratamiento en caso de presunta infracción de las disposiciones que rigen el tratamiento de los datos personales y, en su caso, formular propuestas encaminadas a corregir dicha infracción y mejorar la protección de las personas interesadas;

c) ordenar que se atiendan las solicitudes para ejercer determinados derechos respecto de los datos, cuando se hayan denegado dichas solicitudes incumpliendo los artículos 13 a 19;

d) dirigir una advertencia o amonestación al responsable del tratamiento;

e) ordenar la rectificación, bloqueo, supresión o destrucción de todos los datos que se hayan tratado incumpliendo las disposiciones que rigen el tratamiento de datos personales y la notificación de dichas medidas a aquellos terceros a quienes se hayan comunicado los datos;

f) imponer una prohibición temporal o definitiva del tratamiento;

g) someter un asunto a la institución u organismo comunitario de que se trate y, en su caso, al Parlamento Europeo, al Consejo y a la Comisión;

h) someter un asunto al Tribunal de Justicia de las Comunidades Europeas en las condiciones previstas en el Tratado;

i) intervenir en los asuntos presentados ante el Tribunal de Justicia de las Comunidades Europeas;

2. El Supervisor Europeo de Protección de Datos estará habilitado para:

a) obtener de cualquier responsable del tratamiento o de una institución o un organismo comunitario el acceso a todos los datos personales y a toda la información necesaria para efectuar sus investigaciones;

b) obtener el acceso a todos los locales en los que un responsable del tratamiento o una institución u organismo comunitario realice sus actividades, cuando haya motivo razonable para suponer que en ellos se ejerce una actividad contemplada en el presente Reglamento.

Artículo 48

Informe de actividad

1. El Supervisor Europeo de Protección de Datos presentará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre sus actividades, que paralelamente hará público.

2. El Supervisor Europeo transmitirá el informe de actividad a las demás instituciones y organismos comunitarios, los cuales podrán presentar comentarios con vistas a un posible debate del informe en el Parlamento Europeo, en particular en relación con la descripción de las medidas adoptadas en respuesta a las observaciones realizadas por el Supervisor Europeo de Protección de Datos con arreglo al artículo 31.

CAPÍTULO VI

DISPOSICIONES FINALES

Artículo 49

Sanciones

El incumplimiento, ya sea intencionado o por negligencia, de las obligaciones a que está sujeto en virtud del presente Reglamento un funcionario u otro agente de las Comunidades Europeas dará lugar a la apertura de un expediente disciplinario de conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de las Comunidades Europeas o en los regímenes que son aplicables a los otros agentes.

Artículo 50

Período transitorio

Las instituciones y organismos comunitarios adoptarán las medidas necesarias para que los tratamientos en curso en la fecha de entrada en vigor del presente Reglamento se conformen a éste en el plazo de un año a partir de dicha fecha.

Artículo 51

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de las Comunidades Europeas.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 18 de diciembre de 2000.

Por el Parlamento Europeo

La Presidenta

N. Fontaine

Por el Consejo

El Presidente

D. Voynet

(1) DO C 376 E de 28.12.1999, p. 24.

(2) DO C 51 de 23.2.2000, p. 48.

(3) Dictamen del Parlamento Europeo de 14 de noviembre de 2000 y Decisión del Consejo de 30 de noviembre de 2000.

(4) DO L 281 de 23.11.1995, p. 31.

(5) DO L 24 de 30.1.1998, p. 1.

(6) DO L 52 de 22.2.1997, p. 1.

(7) DO L 318 de 27.11.1998, p. 8.

(8) DO L 151 de 15.6.1990, p. 1. Reglamento modificado por el Reglamento (CE) n° 322/97 (DO L 52 de 22.2.1997, p. 1).

ANEXO

1. El responsable de la protección de datos podrá formular recomendaciones para la mejora práctica de la protección de datos a la institución o al organismo comunitario que le nombró y aconsejarles, así como al responsable del tratamiento interesado, sobre asuntos relativos a la puesta en práctica de las disposiciones sobre protección de datos. Por otra parte, por iniciativa propia o a petición de la institución o del organismo comunitario que lo nombró, del responsable del tratamiento, del comité de personal interesado o de cualquier persona física, podrá investigar los asuntos y los incidentes directamente relacionados con sus tareas, que lleguen a su conocimiento e informar de ello a la persona que solicitó la investigación o al responsable del tratamiento.

2. El responsable de la protección de datos podrá ser consultado directamente, sin pasar por la vía jerárquica, por la institución o el organismo comunitario que le nombró, por el responsable del tratamiento, por el comité de personal interesado o por cualquier persona sobre cualquier asunto relacionado con la interpretación o la aplicación del presente Reglamento.

3. Nadie deberá sufrir perjuicio alguno por informar al responsable competente de la protección de datos de que se ha cometido una presunta infracción de lo dispuesto en el presente Reglamento.

4. Los responsables del tratamiento interesados asistirán al responsable de la protección de datos en el ejercicio de sus funciones y le proporcionarán la información que solicite. En el ejercicio de sus funciones, el responsable de la protección de datos tendrá acceso en todo momento a los datos objeto de las operaciones de tratamiento y a todos los locales, instalaciones de tratamiento de datos y soportes de datos.

5. En la medida necesaria, se dispensará al responsable de la protección de datos de otras actividades. El responsable de la protección de datos y sus colaboradores, que estarán sujetos a lo dispuesto en el artículo 287 del Tratado, se abstendrán de divulgar la información o los documentos que lleguen a su poder en el ejercicio de sus funciones.