52003DC0265

Informe de la Comisión - Primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46 CE) /* COM/2003/0265 final */


INFORME DE LA COMISIÓN - Primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46 CE)

ÍNDICE

1. Los motivos del informe y la consulta abierta sobre la aplicación de la Directiva 95/46/CE

2. Proceso abierto de revisión previo a la preparación del presente informe

3. Principales resultados de la revisión

4. Análisis detallado de las principales conclusiones de la revisión

5. Tratamiento de datos de sonido e imagen

6. Plan de trabajo para la mejora de la aplicación de la Directiva sobre protección de datos (2003-2004)

7. Conclusión

1. Los motivos del informe y la consulta abierta sobre la aplicación de la Directiva 95/46/CE

«La Comisión presentará al Consejo y al Parlamento Europeo periódicamente y por primera vez en un plazo de tres años a partir de la fecha mencionada en el apartado 1 del artículo 32 un informe sobre la aplicación de la presente Directiva, acompañado, en su caso, de las oportunas propuestas de modificación. Dicho informe será publicado» (artículo 33 de la Directiva 95/46/CE).

El presente informe es la respuesta de la Comisión a esa exigencia. El informe de la Comisión se ha retrasado 18 meses debido a la lentitud de los Estados miembros en transponer la Directiva a las legislaciones nacionales [1].

[1] La Comisión decidió en diciembre de 1999 denunciar a Francia, Alemania, Irlanda, Luxemburgo y los Países Bajos ante el Tribunal de Justicia de las Comunidades Europeas por no haber notificado todas las medidas necesarias para aplicar la Directiva 95/46. En 2001, los Países Bajos y Alemania notificaron sus medidas y la Comisión archivó las causas instruidas contra dichos Estados. Francia notificó su ley de protección de datos de 1978, por lo que se abandonaron los procedimientos contra dicho Estado. Francia anunció al mismo tiempo su intención de aprobar una nueva ley que aún no se ha adoptado. Respecto a Luxemburgo, la acción de la Comisión dio lugar a la condena de dicho Estado miembro por el Tribunal de Justicia por no cumplir sus obligaciones. Posteriormente se aplicó la Directiva a través de una nueva ley, que entró en vigor en 2002. Irlanda notificó una aplicación parcial en 2001; sin embargo, recientemente se ha aprobado un proyecto de ley completo. La situación de la aplicación en los Estados miembros puede consultarse en http://europa.eu.int/comm/internal_market/ privacy/law/implementation_en.htm.

La Comisión ha enfocado la preparación del presente informe desde una perspectiva amplia. No se ha limitado al mero examen de las leyes de aplicación de los Estados miembros, sino que además ha realizado un debate público abierto, en el que ha animado a participar a todos los interesados. Este enfoque no sólo se ajusta al planteamiento de la gobernanza a nivel europeo que expuso la Comisión en su Libro Blanco de julio de 2001 [2], sino que, además, está justificado, en primer lugar, por el carácter específico de la Directiva 95/46 y, en segundo lugar, por la rapidez del desarrollo tecnológico en la sociedad de la información y otras novedades internacionales, que han dado lugar a cambios significativos desde que se elaboró la Directiva en 1995.

[2] COM(2001) 428 final http://europa.eu.int/eur-lex/es/com/cnc/ 2001/com2001_0428es01.pdf

1.1. Una Directiva con una repercusión amplísima

La Directiva 95/46 consagra dos de las ambiciones más antiguas del proyecto de integración europea: la realización del mercado interior (en este caso, la libre circulación de datos personales) y la protección de los derechos y libertades fundamentales de las personas. En la Directiva resultan igualmente importantes los dos objetivos.

Sin embargo, desde el punto de vista jurídico, la existencia de la Directiva se basa en el mercado interior. Estaba justificado legislar a nivel comunitario debido a que las diferencias en el modo en que los Estados miembros enfocaban esta cuestión obstaculizaban la libre circulación de datos personales entre los Estados miembros [3]. Por consiguiente, su base jurídica fue el artículo 100 A (actual artículo 95) del Tratado. No obstante, la proclamación de la Carta de los Derechos Fundamentales de la Unión Europea [4] por el Parlamento Europeo, el Consejo y la Comisión en diciembre de 2000, y en particular su artículo 8, que incorpora el derecho a la protección de datos, recalcó la dimensión que tiene la Directiva en relación con los derechos fundamentales.

[3] Véase COM(90) 314 final- SYN 287 y 288, 13 de septiembre de 1990, p. 4: «La diversidad de enfoques nacionales y la ausencia de un sistema de protección a escala comunitaria constituyen un obstáculo a la realización del mercado interior. En efecto, si los derechos fundamentales de los interesados, en particular el derecho a la intimidad, no se garantizan a nivel comunitario, puede verse entorpecido el intercambio transfronterizo de datos...».

[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html

Por otra parte, la Directiva tiene por su naturaleza una repercusión muy amplia. Existen datos sobre cualquier persona y todas las entidades de cualquier sector de la economía son responsables del tratamiento de datos. Por tanto, aunque su justificación jurídica sea bastante específica, su repercusión es muy amplia y su aplicación debe examinarse teniendo en cuenta lo expuesto.

1.2. La evolución de la tecnología de la información y la creciente preocupación por la seguridad han avivado el debate sobre la protección de datos

Desde que se adoptó la Directiva en 1995, se ha producido un aumento exponencial del número de hogares y empresas conectados a Internet, y, por consiguiente, del número de personas que dejan en la red un volumen cada vez mayor de datos personales de todo tipo. Al mismo tiempo, los medios de recogida de datos personales se han hecho cada vez más complejos y menos fácilmente detectables: sistemas de circuito cerrado de televisión de vigilancia de lugares públicos; programas espía instalados en ordenadores personales por sitios web con los que han estado conectados, que recogen información acerca de los hábitos de navegación de los usuarios (en muchos casos los sitios la venden a su vez a otros); control de los trabajadores, incluida la utilización del correo electrónico e Internet, en el lugar de trabajo.

Esta «explosión de la información» plantea de manera inevitable la cuestión de si la legislación puede afrontar plenamente algunos de estos retos, especialmente la legislación tradicional, que tiene un ámbito geográfico de aplicación limitado y unas fronteras físicas que con Internet tienen cada vez menos importancia [5].

[5] El informe «Future bottlenecks in the information society», elaborado por el Centro Común de Investigación de la Comisión y el Instituto de Prospectiva Tecnológica, llega a la conclusión de que hay determinados sectores emergentes que no encajan fácilmente en lo dispuesto en la Directiva y que, por ello, puede resultar necesario revisarla en el futuro. Al mismo tiempo, en el informe se señala que, pese a que la Directiva se aplica en todos los Estados miembros, se observa una creciente preocupación social en relación con el abuso y la mala utilización de datos personales en los sistema de información en línea. Durante la preparación de este informe se han recogido testimonios que respaldan esta conclusión (http://www.jrc.es/ FutureBottlenecksStudy.pdf).

En respuesta particularmente a la evolución tecnológica, la Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones [6], convirtió los principios expuestos en la Directiva 95/46/CE en normas específicas para el sector de las telecomunicaciones. Mediante la Directiva 2002/58/CE, relativa a la protección de la intimidad en el sector de las comunicaciones electrónicas, de 12 de julio de 2002 [7], se ha actualizado recientemente la Directiva 97/66/CE para recoger la evolución de los mercados y tecnologías de servicios de comunicación electrónica, como Internet, con el fin de ofrecer el mismo nivel de protección de los datos personales y la intimidad para todas las tecnologías utilizadas.

[6] DO L 24 de 30.1.1998, pp. 1-8.

[7] DO L 201 de 31.7.2002, pp. 37-47. El plazo de que disponen los Estados miembros para transponer la nueva Directiva a sus legislaciones nacionales concluye el 31 de octubre de 2003.

El surgimiento de una economía basada en el conocimiento junto con el progreso tecnológico y la importancia creciente que se asigna al capital humano han intensificado la recogida de datos personales de los trabajadores en relación con el empleo. Esta evolución plantea una serie de preocupaciones y riesgos y ha situado la protección efectiva de los datos personales de los trabajadores en el punto de mira. En el documento de consulta de la segunda etapa dirigido a los interlocutores sociales europeos en octubre de 2002, la Comisión observó que tendría fundamento una actuación legislativa comunitaria, con arreglo a lo dispuesto en el apartado 2 del artículo 137 del Tratado, cuyo objetivo sea mejorar las condiciones laborales creando en esta área un marco europeo de principios y normas. En la actualidad, la Comisión está reflexionando sobre el curso que debe dar a estas consultas y se propone tomar una decisión al respecto antes de finales de 2003. Este tipo de marco europeo se podría construir tomando como base los principios generales ya existentes de la Directiva 95/46/CE y aportando a dichos principios complementos y aclaraciones para adaptarlos al contexto laboral.

Por lo que se refiere al crédito a los consumidores, en la propuesta de Directiva del Parlamento Europeo y del Consejo, relativa a la armonización de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de crédito a los consumidores [8], la Comisión establece determinadas disposiciones específicas sobre protección de datos, cuyo objetivo es reforzar aún más la protección de los consumidores.

[8] COM(2002) 443 final de 11.9.2002.

Al mismo tiempo, las preocupaciones crecientes sobre la seguridad, especialmente tras los acontecimientos del 11 de septiembre de 2001, han instaurado cierta presión sobre las libertades civiles en general y especialmente sobre los derechos a la intimidad y a la protección de datos personales. Ello no es nuevo ni sorprendente. El Tribunal Europeo de Derechos Humanos estimó necesario formular la siguiente advertencia en 1978: "Los Estados no deben..., en nombre de la lucha contra el espionaje y el terrorismo, adoptar cualesquiera medidas consideren apropiadas... El peligro es debilitar o incluso destruir la democracia alegando defenderla". [9]

[9] Sentencia Klass y otros contra Alemania de 6 de septiembre de 1978, serie A nº 28.

La Directiva, naturalmente, no se aplica al tratamiento de datos personales que se realiza en las actividades denominadas del «tercer pilar» [10], por lo que el informe no aborda la protección de datos en estos ámbitos. No obstante, en la legislación de los Estados miembros en muchos casos no se hace esta distinción. Ello da lugar a numerosas preguntas y problemas, en los que ha hecho especial hincapié el Parlamento Europeo y que merecen continuar debatiéndose.

[10] Según el primer guión del apartado 2 del artículo 3 se excluyen del ámbito de aplicación de la Directiva las «actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, ... y, en cualquier caso, [el] tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal».

2. Proceso abierto de revisión previo a la preparación del presente informe

En vista de los antecedentes expuestos, la Comisión se propuso organizar un debate abierto con la participación más amplia posible para acompañar su revisión de la aplicación de la Directiva. Todas las partes interesadas (gobiernos, instituciones, empresas, asociaciones de consumidores e incluso empresas y ciudadanos de manera individual) han tenido la oportunidad de participar y expresar sus opiniones [11]. La Comisión considera positivo este proceso. Ha enriquecido las fuentes de información que ha utilizado para el presente informe y las recomendaciones que realiza para la acción futura. También ha confirmado el cambio en la opinión que ya había percibido entre los responsables del tratamiento de datos en general [12] y los representantes del mundo empresarial en particular: actualmente los responsables del tratamiento de datos participan de manera constructiva en el diálogo relativo al modo de garantizar de manera eficaz la protección efectiva de los datos personales, en lugar de oponerse rotundamente a toda reglamentación en este ámbito.

[11] La Comisión formuló preguntas dirigidas a los Gobiernos de los Estados miembros y, de manera separada, a las autoridades de control; encargó dos estudios a expertos universitarios; publicó una convocatoria general de contribuciones que se publicó en el Diario Oficial y el sitio web de la Comisión; puso dos cuestionarios en su sitio web durante más de dos meses, uno de ellos destinado a los responsables del tratamiento de datos y el otro dirigido a los interesados; por último, celebró una conferencia internacional en la que se debatió una amplia gama de cuestiones en seis seminarios distintos.

[12] Pese a que en el presente informe suele hacerse referencia a los responsables del tratamiento de datos como «el sector» o «los representantes empresariales» (ya que son quienes han contribuido principalmente a los debates), las autoridades públicas que llevan a cabo actividades correspondientes al ámbito de aplicación de la legislación comunitaria son también responsables del tratamiento de datos y, naturalmente, también les conciernen las recomendaciones y observaciones que se formulan en este informe.

Por otra parte, la Comisión lamenta la limitada respuesta de las organizaciones de consumidores al proceso de consulta. [13]

[13] Únicamente la OEUC (Organización Europea de Uniones de Consumidores) presentó un documento de posición en el que se señalaba, entre otras cosas, que, en respuesta a quienes sostienen que la Directiva se ha de adaptar a los imperativos del entorno en línea, en su opinión es dicho entorno en línea el que debe adaptarse para garantizar el pleno respeto de los principios de la Directiva.

En el presente informe se resumen las conclusiones de la Comisión según las aportaciones recibidas y sus recomendaciones de acción. No obstante, la Comisión considera que se trata únicamente del primer paso de un largo proceso.

3. Principales resultados de la revisión

3.1. A favor y en contra de la modificación de la Directiva

La Comisión considera que los resultados de la revisión ofrecen a fin de cuentas argumentos en contra de la propuesta de modificaciones de la Directiva en esta fase.

Durante las consultas realizadas, pocos participantes abogaron explícitamente por la modificación de la Directiva. La excepción más notoria fueron las propuestas detalladas de modificación que presentaron conjuntamente Austria, Suecia, Finlandia y el Reino Unido [14]. Estas propuestas de modificación se referían a un reducido número de disposiciones (principalmente, el artículo 4, relativo al Derecho nacional aplicable, el artículo 8, sobre datos sensibles, el artículo 12, sobre el derecho de acceso, el artículo 18, sobre notificación, y los artículos 25 y 26, relativos a la transferencia a terceros países), con lo que la mayoría de las disposiciones y todos los principios de la Directiva se mantenían inalterados. Las dificultades específicas derivadas de estas y de algunas otras disposiciones se examinarán con más detalle en el presente informe.

[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm. Los Países Bajos se adhirieron a estas propuestas en una fase posterior.

La Comisión considera que las consideraciones generales que se exponen a continuación desaconsejan formular propuestas de modificación de la Directiva en el futuro inmediato.

- Hasta el momento la experiencia de aplicación de la Directiva es aún muy limitada. Sólo unos pocos Estados miembros han aplicado puntualmente la Directiva. La mayoría de los Estados miembros no notificaron medidas de aplicación a la Comisión hasta los años 2000 y 2001, mientras que Irlanda aún no ha notificado su aplicación reciente. En algunos Estados miembros aún se encuentra pendiente legislación de aplicación importante. Esta experiencia constituye una base poco adecuada para una propuesta de revisión de la Directiva.

- Numerosas dificultades señaladas en el proceso de revisión pueden abordarse y resolverse sin modificar la Directiva. En algunos casos, si los problemas se deben a la aplicación incorrecta de la misma, deben resolverse mediante la modificación específica de la legislación del Estado miembro. En otros casos, los márgenes de maniobra que establece la Directiva hacen posible una cooperación más estrecha entre las autoridades de control con el fin de lograr la convergencia necesaria para superar las dificultades derivadas de las prácticas excesivamente divergentes entre los distintos Estados miembros. En cualquier caso, estos medios probablemente surtirán efecto con más rapidez que la modificación de la Directiva, por lo que debe recurrirse a ellos en primer lugar.

- Por último, en muchos de los casos en que los participantes han propuesto modificaciones, la finalidad es la reducción de las obligaciones de los responsables del tratamiento de datos para ajustarse a la normativa. Pese a que se trata de un fin legítimo que también propugna la propia Comisión, ésta considera que muchas de las propuestas acarrearían también la reducción del nivel de protección que se ofrece. La Comisión considera que todos los cambios que en su caso puedan plantearse deberán tener por objeto mantener el mismo nivel de protección y ser coherentes con el marco general que ofrecen los actuales instrumentos internacionales [15].

[15] En palabras del comisario Bolkestein en la sesión de clausura de la Conferencia sobre la aplicación de la Directiva, «Ciertamente no se parte de una hoja en blanco cuando se trata de tomar medidas en el ámbito de la protección de datos (...). Al elaborar su informe, la Comisión ... deberá tener en cuenta el marco jurídico y político general, en concreto los principios formulados en el Convenio 108 del Consejo de Europa».

Tras los debates con los Estados miembros, la Comisión observa que su opinión de que no es necesaria ni deseable la modificación de la Directiva en este momento la comparte una cómoda mayoría de Estados miembros, así como de autoridades nacionales de control.

La Comisión considera que algunas de las cuestiones que se han planteado y que son aquí únicamente objeto de análisis preliminar deberán continuar analizándose y quizá en su momento deban ser objeto de una propuesta de revisión de la Directiva. En dicha propuesta se sacaría partido de la mayor experiencia de aplicación de la Directiva adquirida entre tanto.

Por otra parte, como ya se ha señalado, hay un amplio margen de mejora en la aplicación de la presente Directiva, que probablemente resolverá una serie de dificultades observadas en la revisión, algunas de las cuales se han atribuido equivocadamente a la propia Directiva. La atención de la Comisión se ha centrado y seguirá centrándose en particular en los ámbitos en los que se está infringiendo claramente la legislación comunitaria y en los que interpretaciones o prácticas divergentes están ocasionando dificultades en el mercado interior.

La Comisión considera asimismo prioritaria la aplicación armoniosa de las normas relativas a la transferencia de datos a terceros países, con el fin de facilitar las transferencias legítimas y evitar los obstáculos o complejidades innecesarios.

3.2. Evaluación general de la aplicación de la Directiva en los Estados miembros. Problema de las divergencias entre las legislaciones de los Estados miembros.

Los servicios de la Comisión han realizado un profundo análisis de la aplicación en los 15 Estados miembros con arreglo a la información recabada. En este sentido, ha sido muy útil la cooperación de los Estados miembros y las autoridades nacionales de control. Los resultados iniciales de este análisis se incluyen en el presente informe y en un anexo técnico que se publicará por separado, pero el proceso de recogida de información y análisis de la aplicación en los Estados miembros deberá continuar a lo largo de 2003.

RESULTADOS DE LOS CUESTIONARIOS EN LÍNEA

Mediante la herramienta de consulta en línea Elaboración Interactiva de las Políticas (EIP), la Comisión puso en junio dos cuestionarios en su sitio web e invitó a los interesados (consulta pública) y a los responsables del tratamiento de datos (grupo destinatario) a expresar su opinión sobre los distintos aspectos de la protección de datos. Cuando se cerraron los cuestionarios, habían contestado 9 156 particulares y 982 responsables del tratamiento de datos. Los resultados completos de las consultas pueden consultarse en

http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm

La Comisión considera que pueden ser especialmente interesantes los resultados siguientes:

- Aunque la Directiva sobre protección de datos incluye elevadas normas de protección, la mayoría de los particulares (4 113 de los 9 156, es decir, el 44,9 %) considera el nivel de protección un mínimo.

- El 81 % de los particulares considera que el nivel de sensibilización sobre la protección de datos es insuficiente, reducida o muy reducida, mientras que únicamente el 10,3 % lo considera suficiente y el 3,46 % bueno o muy bueno. Los responsables de tratamiento tienen una opinión casi igualmente negativa acerca de la sensibilización de los ciudadanos: la mayoría (el 30 %) considera que la sensibilización de los mismos sobre la protección de datos es insuficiente, mientras que sólo el 2,95 % considera que el nivel es muy bueno.

- Entre las empresas se registra actualmente una mayor aceptación de las normas de protección de datos. Por ejemplo, el 69,1 % de los informantes (responsables del tratamiento de datos) considera necesarios los requisitos sobre protección de datos en nuestra sociedad, mientras que únicamente un 2,64 % considera que son completamente innecesarios y que se han de eliminar.

- Una gran mayoría de los responsables del tratamiento de datos que respondieron al cuestionario (62,1 %) no consideran que responder a las peticiones de acceso de las personas a sus datos personales suponga un importante esfuerzo para su organización. De hecho, la mayoría de los responsables de tratamiento que respondieron al cuestionario o bien no disponían de cifras o recibieron menos de 10 peticiones en el año 2001.

La Comisión reconoce que estos resultados no pueden considerarse representativos en la misma medida en que lo son unos resultados de encuesta basados en una muestra seleccionada científicamente. Por ello, la Comisión propone realizar otra encuesta en 2003, para poner a prueba la fiabilidad de los resultados del cuestionario abierto y establecer un criterio para medir la evolución de las distintas opiniones e indicadores en el futuro.

Retrasos en la aplicación

La aplicación de una Directiva de este tipo, al tratarse de una Directiva que permite una notable flexibilidad a los Estados miembros, pero que también les exige cumplimentar una notable cantidad de detalles, es sin duda una tarea compleja. Pero los graves retrasos producidos en la aplicación en la mayoría de los Estados miembros constituye la primera y principal deficiencia que la Comisión tiene el deber de registrar en relación con la aplicación de la Directiva, por lo que los condena de manera inequívoca. La Comisión, naturalmente, ha emprendido, como se ha expuesto, las actuaciones que proceden con arreglo al artículo 226 del Tratado.

Está garantizada la libre circulación de información

Pese a estos retrasos y lagunas en la aplicación, la Directiva ha cumplido su principal objetivo de eliminar los obstáculos a la libre circulación de datos personales entre los Estados miembros. De hecho, la principal dificultad anterior a la adopción de la Directiva surgió porque, mientras la mayoría de los Estados miembros había adoptado legislación sobre protección de datos, unos pocos no lo habían hecho. En 1995, únicamente Italia y Grecia carecían de ese tipo de legislación, pero ambos Estados miembros fueron de los primeros que transpusieron la Directiva, con lo que se eliminó la principal dificultad. Desde la adopción de la Directiva, la Comisión no ha tenido noticia de ningún caso en el que se haya bloqueado o denegado la transferencia de datos personales por motivos de protección de datos.

Naturalmente, los obstáculos a la libre circulación de datos personales pueden ser más sutiles que las prohibiciones expresas de las legislaciones nacionales o el bloqueo de las decisiones tomadas por las autoridades nacionales de control. Por ejemplo, podrían darse casos en los que una norma innecesariamente restrictiva de un Estado miembro limite el tratamiento interno de datos personales en dicho Estado miembro en primer lugar y, por consiguiente, la exportación de tales datos a otros Estados miembros. En otras palabras, aunque la Comisión está bastante satisfecha con la repercusión de la Directiva en relación con la libre circulación de información dentro de la Comunidad, una mayor experiencia en su aplicación puede poner de manifiesto problemas que se han de abordar [16].

[16] Por ejemplo, las diferencias de enfoque por lo que respecta a la protección de datos de las personas jurídicas.

Alto nivel de protección

Como se expone en el considerando 10, mediante la aproximación de las legislaciones nacionales que se intenta conseguir con la Directiva se debe aspirar a garantizar un alto nivel de protección en la Comunidad. La Comisión considera que este objetivo se ha conseguido. En efecto, mediante la Directiva ya se establecen algunas de las normas de protección de datos de más alto nivel del mundo. No obstante, los resultados de la encuesta en línea hacen pensar que los ciudadanos ven este asunto de forma distinta. Esta paradoja requiere continuar la reflexión. Un análisis preliminar parece sugerir que al menos una parte del problema se debe a una aplicación incompleta de las reglas (véase más abajo el apartado «Observancia, conformidad y sensibilización»).

Otros objetivos de la política de mercado interior no satisfechos

La Comisión adopta una perspectiva de los objetivos políticos generales que ha de perseguir la legislación sobre mercado interior que trasciende la simple libertad de circulación. Dicha legislación, en la medida de lo posible debe ofrecer igualdad de condiciones para los agentes económicos de los distintos Estados miembros, contribuir a la simplificación del entorno normativo en interés de una buena gobernanza y competitividad y tender a fomentar la actividad transfronteriza en la UE, en lugar de dificultarla.

Con arreglo a estos criterios, las divergencias que continúan caracterizando la legislación sobre protección de datos de los Estados miembros son demasiado grandes. Esta fue una idea expresada por muchos de los que han presentado aportaciones a la revisión, especialmente representantes de los intereses empresariales, que se quejan de que las disparidades actuales impiden a las organizaciones multinacionales desarrollar políticas paneuropeas sobre protección de datos. La Comisión recuerda que lo que se propone la Directiva es la aproximación, no la completa uniformidad, y que, para respetar el principio de subsidiariedad, el proceso de aproximación no debe llegar más lejos de lo necesario. No obstante, considera que los participantes tienen razón al pedir una mayor convergencia en la legislación y en el modo en que la aplican los Estados miembros y las autoridades nacionales de control en particular.

Algunos de los que contribuyeron a la revisión propusieron la modificación de la Directiva para que tenga un mayor grado de detalle o especificación, con el fin de lograr tal convergencia. La Comisión prefiere proceder, al menos inicialmente, mediante otros medios. Además, el hecho de que esta Directiva tiene una índole general --es decir: se aplica a gran número de sectores y contextos-- hace que no parezca aconsejable, de manera general, un mayor grado de detalle o especificación.

Las divergencias entre las legislaciones de los Estados miembros exigen una serie de soluciones

Dado que las divergencias entre las legislaciones de los Estados miembros tienen causas y consecuencias distintas, exigen también una gama de soluciones distintas.

Es evidente que cuando un Estado miembro ha sobrepasado los límites de la Directiva o no ha cumplido sus requisitos, se crea una divergencia que se ha de solucionar mediante la modificación de la legislación del Estado miembro en cuestión. En determinadas disposiciones el margen de acción de los Estados miembros es muy reducido o inexistente y pese a ello se han producido divergencias: véanse, por ejemplo, las «definiciones» o las listas cerradas de la Directiva, como las de los artículos 7 (motivo de legitimación del tratamiento), el apartado 1 del artículo 8 (datos sensibles), o los artículos 10 (información al interesado), 13 (excepciones) y 26 (excepciones relativas a las transferencias a terceros países, etc.). Ello hace pensar en una falta de conformidad con la legislación comunitaria. El artículo 4 (Derecho nacional aplicable) también ha sido transpuesto de manera incorrecta en una serie de casos.

Naturalmente, la Comisión está dispuesta a utilizar sus competencias con arreglo al artículo 226 del Tratado para que se introduzcan tales modificaciones, pero espera que no sea necesario proceder a una actuación formal. Se debatirá de manera bilateral y multilateral con los Estados miembros con el fin de alcanzar soluciones de consenso con arreglo a la Directiva.

Otras divergencias pueden ser el resultado de la aplicación correcta por un Estado miembro que ha adoptado una dirección distinta dentro del margen de maniobra que permite la Directiva. Para los fines del presente informe, la Comisión considera la existencia de dichas diferencias únicamente en la medida en que hayan repercutido negativamente de manera significativa en el mercado interior o desde el punto de vista de una «normativa mejor», por ejemplo la creación de obligaciones administrativas injustificadas para los agentes.

En síntesis:

a) En general, no puede considerarse que una gran parte de las divergencias detectadas por los servicios de la Comisión constituyan infracciones de la legislación comunitaria ni que tengan repercusiones negativas significativas en el mercado interior, pero, en caso contrario, la Comisión hará todo lo necesario para resolver la situación.

b) No obstante, muchas de las divergencias detectadas obstaculizan el avance hacia un sistema normativo flexible y simplificado, por lo que de todos modos son motivo de preocupación (piénsese, por ejemplo, en las diferencias entre los requisitos de notificación o las condiciones para las transferencias internacionales).

Hay una amplia gama de posibilidades de acción para abordar dichas divergencias, tal como se señala en el programa de trabajo del punto 6. La búsqueda de tales soluciones en un futuro inmediato no significa, sin embargo, que la Comisión excluya la posibilidad de la pertinente modificación de la Directiva posteriormente, si persisten las dificultades. Una cooperación más estrecha entre las autoridades de control de los Estados miembros y la voluntad general de reducir la repercusión negativa de las divergencias deben considerarse, por consiguiente, una alternativa, mientras que la modificación de la Directiva, reduciendo el margen de elección que se deja al legislador nacional y a las autoridades nacionales de control, constituye la otra alternativa. Los Estados miembros y sus autoridades de control preferirán, sin duda alguna, la primera opción, de manera que deben demostrar que puede funcionar.

Observancia, conformidad y sensibilización

Antes de examinar con más detalle algunos de los ámbitos problemáticos de la aplicación de la Directiva, es preciso abordar la cuestión del nivel general de conformidad de la legislación sobre protección de datos en la UE y la cuestión de la observancia, relacionada con la anterior. Dado (o a pesar de) el carácter ubicuo del tratamiento de datos personales, resulta difícil obtener información precisa o completa acerca de su conformidad con la legislación. Las aportaciones que recibió la Comisión en respuesta a su convocatoria no han arrojado mucha luz sobre esta cuestión. Sin embargo, la observación efectiva, junto con diversos elementos de información objetiva de que dispone la Comisión [17], sugiere que se dan tres fenómenos interrelacionados:

[17] Por ejemplo, el número relativamente reducido de reclamaciones recibidas por la Comisión, así como las escasas autorizaciones por parte de las autoridades nacionales de transferencia a terceros países notificadas a la Comisión con arreglo al apartado 3 del artículo 26.

- un esfuerzo coercitivo dotado con recursos insuficientes y autoridades de control con una amplia variedad de cometidos, entre los que las acciones coercitivas tienen escasa prioridad;

- conformidad muy irregular por parte de los responsables del tratamiento de datos, reacios sin duda a introducir cambios en sus prácticas actuales para ajustarse a unas normas que pueden parecer complejas y pesadas, mientras el riesgo de que se detecte esta actuación parece reducido;

- al parecer, un escaso conocimiento por parte de los interesados acerca de sus derechos, que puede ser el origen del fenómeno anterior.

Las propias autoridades de control de muchos Estados miembros están también preocupadas por este problema, especialmente por su falta de recursos. La carencia de recursos puede afectar a la independencia, y la independencia al tomar decisiones es una condición sine qua non para el correcto funcionamiento del sistema.

Esta cuestión requiere un estudio más profundo, pero, si estas tendencias se confirman, son motivo de grave preocupación, por lo que deberá reflexionarse entre la Comisión, los Estados miembros y las autoridades de control para establecer sus causas y buscar soluciones factibles.

Dada la interrelación de los tres aspectos, la resolución de uno de ellos puede repercutir positivamente en los otros dos. Una acción coercitiva más enérgica y eficaz mejorará la conformidad con la legislación. Una mayor conformidad permitirá que los responsables del tratamiento de datos suministren más información y de mejor calidad a los interesados acerca de la existencia del tratamiento y de sus derechos según la legislación, con lo que mejorará el grado de sensibilización sobre la protección de datos de los ciudadanos en general.

Los países candidatos

De acuerdo con los criterios de Copenhague, todos los países candidatos están comprometidos a transponer la Directiva 95/46/CE antes de la adhesión. Hasta el momento todos esos países han adoptado legislación en este ámbito, excepto Turquía, donde se encuentra en curso la preparación de una ley de protección de datos. En los diez países que han firmado los Tratados de Adhesión, la legislación en vigor incluye la mayoría de los elementos clave de la Directiva. No obstante, es preciso continuar el esfuerzo para adecuar completamente esa legislación con lo dispuesto en la Directiva.

En este sentido, es de suma importancia la instauración de autoridades independientes de control de la protección de datos. La independencia de determinadas autoridades de control resulta ejemplar, mientras que en otros países es claramente insuficiente. Por otra parte, todas las autoridades de control carecen de los recursos necesarios y algunas de ellas carecen también de las competencias necesarias para garantizar la aplicación efectiva de legislación sobre protección de datos.

4. Análisis detallado de las principales conclusiones de la revisión [18]

[18] Los lectores encontrarán un panorama más completo en el anexo técnico.

En este apartado se hará una exposición más detallada y se ofrecerán ejemplos concretos de las principales cuestiones que la Comisión considera necesario atender a la luz de la presente revisión.

4.1. Necesidad de completar la aplicación de la Directiva

La plena aplicación de la Directiva requiere normalmente (además de la promulgación de la legislación de aplicación) una segunda fase, que consiste principalmente en la revisión de otros textos legislativos que pueden entrar en conflicto con los preceptos de la Directiva y/o en la especificación de determinadas normas generales y el establecimiento de las garantías adecuadas en los casos en que se han aplicado las excepciones previstas por la Directiva.

En términos generales, esta segunda fase de la aplicación ni siquiera se ha iniciado en algunos Estados miembros, y algunos de los que la han iniciado aún no han avanzado mucho. Diversas leyes nacionales aluden a una posterior clarificación, por ejemplo respecto a la aplicación de la letra f) del artículo 7 (cláusula de equilibrio de intereses), pero aún no se ha hecho [19].

[19] En varias aportaciones (por ejemplo la de Clifford Chance) se hacía hincapié en la importancia de esta disposición, que añade un importante elemento de flexibilidad a las condiciones del carácter «leal» del tratamiento. La aplicación incompleta o confusa de esta disposición ocasiona una rigidez innecesaria en el entorno normativo.

Otra disposición cuya aplicación en muchos casos es incompleta es la letra b) del apartado 2 del artículo 8. Según esta disposición se permite a los Estados miembros establecer excepciones a la norma general de prohibición del tratamiento de datos sensibles en caso de que dicho tratamiento sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral, únicamente a condición de que se prevean garantías adecuadas. En algunos Estados miembros se satisfacen estos requisitos mediante legislación específica de protección de datos en el contexto laboral, que puede ser bastante exhaustiva (por ejemplo, en Finlandia), o bien regular cuestiones concretas (por ejemplo, la legislación sanitaria en Dinamarca y Países Bajos). En otros Estados miembros, la situación está menos clara. Las disposiciones que establecen las garantías no han sido adoptadas por todos los Estados miembros y muchas de las que existen son insatisfactorias. Se da una situación análoga respecto a los apartados 4 y 5 del artículo 8 (el tratamiento de datos sensibles por razones de interés público o en relación con condenas penales). La falta de garantías supone que no se satisface el nivel requerido de protección de las personas, lo que debería ser motivo de preocupación para los Estados miembros, como lo es para la Comisión. Este problema se abordará de manera especial en la acción 1 del programa de trabajo. Por otra parte, en caso de que se traten datos personales en un sector o contexto concretos, como el empleo, podrá abordarse a través de una acción comunitaria sectorial [20].

[20] Véase, a este respecto, el punto 1.2.

4.2. Necesidad de una interpretación razonable y flexible

En muchas de las aportaciones se aboga por una interpretación razonable y flexible de determinadas disposiciones de la Directiva [21]. Un buen ejemplo de esta cuestión son los datos sensibles [22]. Es necesario encontrar una interpretación coherente tanto con el incremento de la protección que establece para este tipo de datos la Directiva, como con la realidad de la actividad diaria, las operaciones habituales de tratamiento y los riesgos efectivos que determinadas operaciones plantean para la protección de los derechos y libertades fundamentales de la persona [23].

[21] La contribución del European Privacy Officers Forum (EPOF) es especialmente interesante en este sentido, por ejemplo cuando habla de la necesidad de una interpretación razonable de conceptos como «datos anónimos» o «datos sensibles».

[22] Por ejemplo, la contribución de la FEDMA contiene algunos ejemplos prácticos de las distintas interpretaciones de este concepto en los Estados miembros (Reino Unido, Francia o Portugal).

[23] También se hace un llamamiento a una interpretación razonable en la propuesta de modificación del considerando 33 formulada por Austria, Finlandia, Suecia y Reino Unido.

El artículo 12 de la Directiva (derecho de los interesados a acceder a la información que se posee acerca de los mismos) es otra disposición que ha suscitado peticiones de una interpretación flexible en relación con el ejercicio del derecho de acceso y la posibilidad de denegarlo. Se ha aducido que satisfacer las peticiones de acceso relativas a datos tratados en redes de información enormes y complejas puede resultar muy difícil y costoso para el responsable del tratamiento de los datos.

La aportación de Austria, Suecia, Finlandia y Reino Unido se propone introducir una modificación en la Directiva con el fin de dejar claro que si la petición de acceso se refiere a información muy difícil de localizar y claramente al margen de las operaciones normales del responsable del tratamiento, éste podrá pedir que el interesado colabore con la organización para la búsqueda de sus datos. [24] La Comisión recuerda que la posibilidad de pedir dicha colaboración ya se ajusta a la actual formulación de la Directiva. La Comisión no está persuadida de que la aplicación de esta disposición de la Directiva plantee de hecho graves problemas prácticos. En cualquier caso, el número de peticiones de acceso parece seguir siendo reducido [25]. La Comisión considera que las interpretaciones y la orientación ofrecidas por las autoridades nacionales de control hasta el momento son absolutamente razonables.

[24] Tal colaboración ya está prevista en la legislación británica y austríaca.

[25] Véanse las cifras y respuestas de los responsables del tratamiento de datos al cuestionario en línea sobre esta cuestión, más arriba.

En el artículo 5 de la Directiva se establece que los Estados miembros precisarán, dentro de los límites de las disposiciones del capítulo II (artículos 6 a 21), las condiciones en que son lícitos los tratamientos de datos personales. A este respecto, la Comisión toma nota de la preocupación expresada por Suecia en el marco de la revisión en curso de su legislación en relación con la aplicación de los principios de protección de datos a textos continuos o datos de sonido e imagen. La Comisión considera que, para conseguir el objetivo de simplificar las condiciones de tratamiento de datos en aquellos casos en que no es probable que dicho tratamiento plantee riesgos significativos para los derechos de las personas, lo mejor es servirse del margen de maniobra que ofrece la Directiva y especialmente de las posibilidades que permiten la letra f) del artículo 7 y los artículos 9 y 13.

4.3. Promoción y fomento de las tecnologías de protección de la intimidad (PET)

El objetivo de las tecnologías de protección de la intimidad es instaurar sistemas y tecnologías de información y comunicación que reduzcan al mínimo la recogida y empleo de datos personales y dificulte las posibilidades de tratamiento ilícito. La Comisión considera que la aplicación de medidas tecnológicas adecuadas constituye un complemento fundamental de los medios jurídicos y debe constituir una parte de cualquier esfuerzo destinado a obtener un grado suficiente de protección de la intimidad.

Los productos tecnológicos deben crearse en todos los casos en conformidad con las normas aplicables de protección de datos. Pero dicha conformidad es únicamente el primer paso. El objetivo debe ser contar con productos que no se limiten a respetar y facilitar la intimidad, sino que, en la medida de lo posible, la fomenten [26].

[26] Consúltense, a este respecto, las conclusiones del documento WP 37 del Grupo de Trabajo del Artículo 29, de noviembre de 2000, Privacidad en Internet: Enfoque comunitario integrado de la protección de datos en línea. Los productos que respetan la intimidad son los creados cumpliendo estrictamente la Directiva; los productos que facilitan la protección de la intimidad introducen además determinados elementos que facilitan el acceso de los usuarios a aspectos relacionados con la misma, por ejemplo, proporcionando al interesado información de acceso muy fácil o medios muy simples para ejercer sus derechos. Los productos que fomentan la protección de la intimidad son aquellos que están creados con el fin de hacer un uso lo más amplio posible de datos verdaderamente anónimos. (http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm)

En el curso de los debates relativos a las tecnologías de protección de la vida privada desarrollados en la conferencia de 2002 de la Comisión sobre la aplicación de la Directiva, se señaló que la utilización de determinadas herramientas técnicas hace imposible la conformidad con la legislación por parte de los responsables del tratamiento. Otro problema que se planteó es la dificultad de reconocer qué productos constituyen verdaderas tecnologías de protección de la vida privada. Algunos participantes abogaron por establecer algún tipo de certificación o sello basado en una verificación independiente del producto. Actualmente, algunos sistemas que se presentan como PET ni siquiera cumplen el requisito de ser respetuosos de la vida privada.

Por consiguiente, la cuestión crucial no es sólo cómo crear tecnologías que fomenten realmente la vida privada, sino cerciorarse de la adecuada identificación de dichas tecnologías y su reconocimiento como tales por parte de los usuarios. Los sistemas de certificación pueden desempeñar un papel decisivo, por lo que la Comisión continuará haciendo un seguimiento de las innovaciones en este ámbito [27].

[27] Por ejemplo, en Canadá, donde el Gobierno federal fue el primer gobierno nacional que implantó la obligatoriedad de las evaluaciones de impacto sobre la vida privada para todos los organismos y agencias federales en los programas y servicios que impliquen cuestiones de intimidad. Esta política requiere que los organismos pongan en marcha dichas evaluaciones de impacto en las fases iniciales de concepción o reestructuración de un programa o servicio, con el fin de influir en el proceso de desarrollo y garantizar que la protección de la intimidad sea un planteamiento central. El Estado federado alemán de Schleswig-Holstein ha introducido un sistema de certificación en el que participan de la misma manera los sectores público y privado.

La Comisión considera que debe fomentarse y continuar desarrollándose este tipo de sistemas. El objetivo no es sólo mejorar las prácticas de protección de la intimidad, sino también aumentar la transparencia y por consiguiente la confianza de los usuarios y ofrecer a quienes invierten en el respeto y la mejora de la protección la oportunidad de demostrar sus competencias en este ámbito y aprovecharlas en su beneficio respecto a la competencia.

4.4. Observaciones sobre determinadas disposiciones

En el presente informe únicamente se indican las principales conclusiones de cada caso. En un anexo técnico que se publicará aparte se ofrecerán más detalles [28].

[28] www.europa.eu.int/comm/privacy

4.4.1. Artículo 4: Derecho aplicable

Se trata de una de las disposiciones más importantes de la Directiva desde el punto de vista del mercado interior, ya que su correcta aplicación es decisiva para el funcionamiento del sistema. La aplicación de esta disposición resulta deficiente en varios casos, lo que puede provocar que surja el tipo de conflicto jurídico que este artículo pretende evitar. En este sentido, algunos Estados miembros deberán modificar su legislación.

La disposición fue una de las más criticadas durante el proceso de revisión. En algunas aportaciones se aboga por el establecimiento de una norma del país de origen que permita a las organizaciones multinacionales operar con una única normativa en toda la UE. En otras muchas aportaciones se argumentaba que la «utilización de medios de tratamiento» no constituye un criterio adecuado ni viable para determinar la aplicación de la legislación comunitaria a los responsables de tratamiento establecidos fuera de la UE.

Por lo que respecta a la norma del país de origen, la Directiva ya prevé la organización del tratamiento bajo un único responsable del tratamiento de datos, lo que supone únicamente la conformidad con la legislación de protección de datos del país en que esté establecido el responsable del tratamiento. Naturalmente, ello no es aplicable cuando una empresa haya decidido ejercer su derecho de establecimiento en más de un Estado miembro.

Por lo que respecta a la «utilización de medios de tratamiento», la Comisión es consciente de que este criterio puede no ser fácil de aplicar en la práctica y requiere que se aclare mejor. En caso de que tal aclaración no resulte suficiente para garantizar su aplicación práctica, puede que en su momento resulte necesario proponer una modificación que establezca un factor de relación distinto para determinar el Derecho aplicable.

No obstante, para la Comisión lo prioritario es garantizar la correcta aplicación de la disposición actual por los Estados miembros. Es preciso contar con una mayor experiencia en su aplicación y una reflexión más profunda, teniendo en cuenta las innovaciones tecnológicas, antes de que pueda formularse una propuesta de modificación de la letra c) del apartado 1 del artículo 4. Pese a la necesidad de tal reflexión más profunda, sería erróneo dar la impresión de que se pone en entredicho todo el artículo 4. Por el contrario, no se discuten amplios ámbitos de su aplicación, respecto a los cuales hay un acuerdo unánime entre todas las autoridades de protección de datos y la Comisión.

4.4.2. Artículos 6 y 7: Calidad de los datos y principios de legitimación del tratamiento

Al analizar las legislaciones nacionales se observa que en determinados casos la aplicación de estas disposiciones es insatisfactoria. La letra b) del apartado 1 del artículo 6 permite el tratamiento posterior con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas. No en todos los Estados miembros se han establecido dichas garantías, pese a lo cual tal tratamiento posterior está generalmente autorizado. Algunos Estados miembros han llegado demasiado lejos o se han quedado cortos respecto a la lista de motivos de tratamiento legítimo que figura en el artículo 7, por lo que deberán modificar su legislación. El concepto de «consentimiento inequívoco» (letra a) del artículo 7), en concreto, frente al concepto de «consentimiento explícito» del artículo 8, debe aclararse mejor e interpretarse de manera más uniforme. Es preciso que los agentes sepan en qué consiste un consentimiento válido en las situaciones concretas en línea.

4.4.3. Artículos 10 y 11: Suministro de información a los interesados

Se ha observado una serie de divergencias en la aplicación de los artículos 10 y 11 de la Directiva. En parte ello se debe a una aplicación incorrecta, por ejemplo cuando una ley establece que se proporcione siempre información suplementaria a los interesados, independientemente de la prueba de necesidad que prevé la Directiva, pero también se debe a las divergencias de interpretación y práctica de las autoridades de control. En las contribuciones se hacía hincapié en las dificultades que plantean dichas divergencias a las empresas multinacionales que operan a nivel paneuropeo [29].

[29] Por ejemplo, consúltense las opiniones del EPOF (European Privacy Officers Forum): http://europa.eu.int/comm/internal_market/ privacy/docs/lawreport/paper/epof_en.pdf o del comité de la UE de la Cámara de Comercio estadounidense: http://europa.eu.int/comm/internal_market/ privacy/docs/lawreport/paper/amcham_en.pdf.

4.4.4. Artículos 18 y 19: Requisitos de notificación

En numerosas contribuciones se aboga por la necesidad de simplificar y aproximar los requisitos de los Estados miembros respecto a la notificación de las operaciones de tratamiento por parte de los responsables del tratamiento de datos. La Comisión comparte esta opinión, pero recuerda que la Directiva ya ofrece a los Estados miembros la posibilidad de prever amplias excepciones a la obligación de notificar en los casos en que el riesgo sea reducido o cuando el responsable designe un encargado de la protección de datos. Dichas excepciones permiten la flexibilidad suficiente, pero no afectan al nivel de protección garantizada. Lamentablemente, algunos Estados miembros no han aprovechado estas posibilidades. No obstante, la Comisión está de acuerdo en que, además de la intensificación del uso de las excepciones actuales, sería útil una simplificación algo mayor, que podría realizarse sin modificar los artículos actuales.

4.4.5. Artículos 25 y 26: La dimensión exterior

Las divergencias entre las legislaciones de los Estados miembros sobre la aplicación de estas dos disposiciones son excesivas. El planteamiento adoptado por algunos Estados miembros, en los que se considera que es el responsable del tratamiento de datos quien tiene que evaluar la adecuación de la protección prestada por el destinatario, con un control muy limitado de los flujos de datos por parte del Estado o la autoridad nacional de control, no parece cumplir el requisito impuesto a los Estados miembros en el apartado 1 del artículo 25 [30].

[30] «Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales (...) únicamente pueda efectuarse cuando (...) el país tercero de que se trate garantice un nivel de protección adecuado».

El planteamiento adoptado por algunos otros Estados miembros, que someten todas las transferencias a terceros países a una autorización administrativa [31], también parece incoherente con el capítulo IV de la Directiva, que tiene por objeto garantizar la protección adecuada y al mismo tiempo los flujos de datos personales a terceros países sin obligaciones innecesarias. Con arreglo al artículo 19 pueden exigirse notificaciones a las autoridades nacionales de control, pero las notificaciones no pueden convertirse de hecho en autorizaciones en aquellos casos en los que esté claramente permitida la transferencia a un tercer país, bien porque el destinatario se encuentre en un país que ofrece una protección adecuada confirmada en una decisión vinculante de la Comisión, bien porque haya suscrito las cláusulas contractuales tipo aprobadas por la Comisión, o bien porque el responsable del tratamiento de datos declare que la transferencia se acoge a una de las excepciones previstas en el artículo 26 de la Directiva. Aunque la autoridad de protección de datos puede exigir legítimamente la notificación de dichas transferencias [32], no es necesario autorizarlas, porque ya están autorizadas por la legislación comunitaria.

[31] Las transferencias que se acogen a las excepciones enumeradas en el apartado 1 del artículo 26 e incluso a otros Estados miembros o terceros países que la Comisión Europea declare adecuadas necesitan una autorización en determinados Estados miembros.

[32] Por ejemplo, para cerciorarse de que el modelo de contrato corresponde absolutamente al modelo aprobado por la Comisión o de que el destinatario está efectivamente cubierto por la decisión acerca del carácter adecuado.

Una actitud excesivamente laxa en determinados Estados miembros (además de contravenir la Directiva) corre el riesgo de debilitar la protección en el conjunto de la UE, ya que, con la libre circulación que garantiza la Directiva, es probable que los flujos de datos se desvíen a los lugares de exportación en los que se impongan menos obligaciones. Por otra parte, un planteamiento excesivamente estricto impediría respetar las necesidades legítimas del comercio internacional y la realidad de las redes mundiales de telecomunicación y amenazaría con crear un foso entre la legislación y la práctica, perjudicial para la credibilidad de la Directiva y para la legislación comunitaria en general.

En efecto, las transferencias internacionales parecen constituir un ámbito en el que la ausencia de acción coercitiva crea dicho foso. Las autoridades nacionales han de notificar a la Comisión las transferencias que autoricen con arreglo al apartado 2 del artículo 26 de la Directiva. Desde que la Directiva entró en vigor en 1988, la Comisión sólo ha recibido un número limitado de notificaciones de este tipo. Aunque hay otras vías legales de transferencia además de la que ofrece el apartado 2 del artículo 26, dicho número es insignificante en comparación con lo que razonablemente cabría esperar. Esto, unido a otras pruebas orientadas en el mismo sentido [33], da a entender que se están realizando numerosas transferencias no autorizadas y quizá ilegales a destinos o destinatarios que no garantizan la protección adecuada. Sin embargo, se observan escasos indicios (o ninguno) de acciones coercitivas emprendidas por las autoridades de control.

[33] El informe aprobado por la Conferencia de Primavera de las autoridades de protección de datos de mayo de 2001 puso de manifiesto que la mayoría de las autoridades nacionales de control eran incapaces de indicar el número de operaciones de tratamiento que afectan a la transferencia internacional de datos. En los casos en que se disponía de cifras, eran insignificantes (600 transferencias desde Francia, 1352 desde España y 150 desde Dinamarca).

Las transferencias que requieren autorización y notificación, lógicamente, dan lugar a una considerable carga administrativa, tanto para los exportadores de datos como para las autoridades de control. Por consiguiente, es conveniente que se recurra con más frecuencia a las «autorizaciones en bloque» previstas en el apartado 6 del artículo 25 y el apartado 4 del artículo 26 de la Directiva. Ese tipo de autorizaciones únicamente ha dado lugar hasta ahora a 4 constataciones sobre el grado de adecuación de terceros países (Hungría, Suiza, Canadá y el «puerto seguro» estadounidense [34]) y dos series de cláusulas contractuales tipo, una para las transferencias a responsables del tratamiento de datos en terceros países y la otra para las transferencias a encargados del tratamiento. Es preciso continuar trabajando, pues, en la simplificación de las condiciones de las transferencias internacionales.

[34] También se está ultimando una Decisión de la Comisión sobre la protección adecuada en Argentina.

5. Tratamiento de datos de sonido e imagen

En el curso de la preparación de la Directiva, a algunas personas les preocupaba que esta no pudiera afrontar las innovaciones tecnológicas futuras. Aunque no se conocía el alcance de las mismas, preocupaba que un texto jurídico elaborado principalmente pensando en el tratamiento de texto pudiera toparse con dificultades al aplicarlo al tratamiento de datos de sonido e imagen. Por esa razón, el artículo 33 se refiere específicamente a dichos datos.

La Comisión ha basado la presente revisión en un estudio realizado por un contratista externo con el fin de analizar la situación en los Estados miembros, así como en las contribuciones de los propios Estados miembros y las autoridades nacionales de control. De la información recibida se desprende que el tratamiento de datos de sonido e imagen corresponde al ámbito de aplicación de todas las leyes nacionales que transpone la Directiva y que la aplicación de la Directiva a dichas categorías de tratamiento no ha sido especialmente problemática.

En la mayoría de los Estados miembros se aplican las mismas disposiciones (generales) al tratamiento de datos de sonido e imagen que a los demás datos personales. Únicamente en dos Estados miembros (Alemania y Luxemburgo) se han incluido disposiciones específicas sobre el tratamiento del sonido y la imagen en sus leyes de transposición de la Directiva. Tres Estados miembros (Dinamarca, Suecia y Portugal) cuentan con disposiciones especiales sobre vigilancia por videocámara en leyes específicas. Pese a las dudas suscitadas durante la negociación de la Directiva, los Estados miembros han llegado de este modo a la conclusión de que el propósito de la Directiva de ser neutro con respecto a la tecnología se ha cumplido, al menos en relación con el tratamiento de datos de sonido e imagen.

Ninguno de los Estados miembros o de los demás autores de contribuciones ha propuesto modificaciones de la Directiva en este aspecto. Las propuestas conjuntas presentadas por Austria, Finlandia, Suecia y el Reino Unido expresan cierta preocupación acerca de la capacidad de la Directiva para afrontar determinadas innovaciones tecnológicas, pero no incluyen ninguna propuesta concreta directamente relacionada con esta cuestión.

Uno de los seminarios de la conferencia sobre la transposición de la Directiva se dedicó enteramente a esta cuestión. El tema principal fue la vigilancia por videocámara, la cuestión (seguida por la biométrica) que ha merecido más atención hasta el momento por parte de las autoridades nacionales de control. Los participantes consideraron que hasta ahora ha habido un insuficiente debate público acerca de los límites que es preciso imponer a la utilización de la vigilancia por videocámara para proteger determinados derechos y libertades en una sociedad democrática. El Grupo de Trabajo del artículo 29 también ha dedicado muchas energías a esta cuestión y ha aprobado un proyecto de documento de trabajo que se ha publicado en el sitio web sobre protección de datos de la Comisión, en el que se invita a las partes interesadas a formular comentarios.

Además, hay una serie de cuestiones jurídicas y prácticas derivadas de la aplicación de la Directiva en los Estados miembros en relación con los datos de sonido e imagen, que provoca incertidumbre entre los agentes, a los que se pide que se ajusten a la legislación, y los particulares, legitimados para ejercer sus derechos de protección de datos.

Hay dudas respecto a las definiciones de la Directiva: por ejemplo, hasta qué punto una imagen aislada o una huella digital pueden considerarse datos personales en aquellos casos en los que el responsable del tratamiento de datos no es capaz de identificar a una persona, o es muy improbable que lo haga, o si un simple seguimiento constituye una operación de tratamiento, o de qué modo puede llegarse a una interpretación razonable del concepto de datos sensibles. La Comisión reconoce que hay respuestas a todas estas preguntas en la legislación nacional de transposición de la Directiva, pero considera necesario ofrecer una mayor orientación. Dicha orientación ha de ser realista y pragmática si pretende contribuir a mejorar la conformidad y, en la medida de lo posible, debería estar coordinada entre los Estados miembros. La Comisión está satisfecha por la labor realizada en este ámbito hasta ahora por el Grupo de Trabajo del artículo 29 y le anima a continuar ofreciendo orientación útil, con la pertinente aportación de las partes interesadas.

6. Plan de trabajo para la mejora de la aplicación de la Directiva sobre protección de datos (2003-2004)

El análisis de la aplicación en los Estados miembros que contiene el presente informe pone de manifiesto problemas que se han de abordar si se pretende que la Directiva produzca todos los efectos previstos. El plan de trabajo que se expone a continuación incluye acciones que se llevarán a cabo a partir de la adopción del presente informe hasta el final de 2004 y exigirán el esfuerzo conjunto de la Comisión Europea, los Estados miembros (incluidos los países candidatos) y sus autoridades nacionales de control, así como, en algunos casos, de los representantes de los responsables del tratamiento de datos.

Ya se ha indicado más arriba una grave preocupación de tipo general: el hecho de que el nivel de conformidad, observancia y sensibilización no parece alcanzar un nivel aceptable. Hay una actuación de tipo general que se aplica a todas las iniciativas enumeradas a continuación y es que la Comisión trabajará, junto con los Estados miembros, las autoridades de control y las partes interesadas, con el fin de determinar las causas e idear soluciones viables para este conjunto de problemas.

Iniciativas de la Comisión

Acción 1: Debates con los Estados miembros y las autoridades de protección de datos

En 2003 los servicios de la Comisión celebrarán reuniones bilaterales con los Estados miembros con el objetivo principal de debatir los cambios necesarios para adecuar plenamente la legislación nacional a los requisitos de la Directiva. En determinadas cuestiones puede resultar necesaria la participación de la autoridad de protección de datos competente. Uno de los temas de estos debates bilaterales puede ser también la necesidad de garantizar la observancia de la Directiva de manera más decidida. También habría que debatir la falta de recursos asignados a las autoridades de control.

Dichas reuniones podrán complementarse con debates sobre la aplicación incorrecta de la Directiva en las reuniones «paquete» que organizan con los Estados miembros la Secretaría General de la Comisión y/o la Dirección General de Mercado Interior.

Los debates del Grupo de Trabajo del artículo 29 y del Comité del artículo 31 permitirán abordar de manera multilateral determinadas cuestiones que afectan a un gran número de Estados miembros, entendiéndose que no puede pretenderse que dichos debates conduzcan a una modificación de hecho de la Directiva. Además de los debates ad hoc sobre cuestiones concretas, la Comisión propone que cada grupo dedique una reunión completa a este tema en 2003.

Acción 2: Asociación de los países candidatos a los esfuerzos por lograr una aplicación mejor y más uniforme de la Directiva

El presente informe se ha centrado casi en su integridad en la situación en los 15 Estados miembros. Antes de que se complete el plan de trabajo, se habrán adherido a la Unión 10 nuevos Estados miembros. Desde 2002 han venido asistiendo a las reuniones del Grupo de Trabajo del artículo 29 representantes de las autoridades de control de varios países candidatos. A partir de la firma de los Tratados de Adhesión se invitará a los países adherentes a todas las reuniones del Grupo de Trabajo y del Comité del artículo 31. En la medida de lo razonablemente posible, también continuarán desarrollándose debates bilaterales y quizá revisiones inter pares antes y después de la adhesión, con el fin de lograr la mayor adecuación posible de la legislación de los nuevos Estados miembros a la Directiva y reducir los procedimientos formales de infracción al mínimo.

Acción 3: Mejora de la notificación de todos los actos jurídicos de transposición de la Directiva y de la notificación de las autorizaciones concedidas con arreglo al apartado 2 del artículo 26 de la Directiva

Los servicios de la Comisión, en estrecha colaboración con las autoridades de protección de datos y los Estados miembros, continuarán recopilando información sobre la aplicación de la Directiva y, en concreto, señalarán los ámbitos en los que se observan lagunas evidentes en las medidas de aplicación notificadas y se esforzarán por obtener la cooperación de los Estados miembros para cubrir dichas lagunas lo antes posible. La Comisión facilitará el intercambio de mejores prácticas en los casos en que sirva de ayuda.

La Comisión hará uso de sus competencias oficiales con arreglo al artículo 226 del Tratado en caso de que el enfoque cooperativo (6.1, 6.2 y 6.3) no diera los frutos esperados.

Los Estados miembros y sus autoridades de control también deben establecer las disposiciones necesarias para notificar (tal como se exige en el apartado 3 del artículo 26 de la Directiva) las autorizaciones nacionales de transferencia internacional concedidas con arreglo al apartado 2 del artículo 26 de la Directiva. La Comisión lo debatirá con los Estados miembros y sus autoridades de control y garantizará el intercambio de las mejores prácticas.

La Comisión creará una nueva página en su sitio web [35], en la que difundirá de manera estructurada no sólo toda la información recogida para la preparación del presente informe, sino también información acerca del trabajo que se ha de realizar con arreglo a este plan de trabajo. Asimismo, invitará a las autoridades nacionales de control que pongan a su disposición, para incorporarlas a dicho sitio web, las decisiones y recomendaciones adoptadas por las autoridades de protección de datos y toda documentación significativa de orientación que hayan hecho pública, haciendo hincapié en los ámbitos en los que son necesarias una interpretación y una aplicación más uniformes de la legislación.

[35] www.europa.eu.int/comm/privacy

Contribución del Grupo de Trabajo del artículo 29 [36]

[36] Esta lista no empece el programa de trabajo general del Grupo de Trabajo del artículo 29, disponible en: http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf

La Comisión está satisfecha por las aportaciones del Grupo de Trabajo destinadas a lograr una aplicación más uniforme de la Directiva. Desea recordar la importancia de la transparencia en este proceso y alentar el esfuerzo que está realizando el Grupo de Trabajo actualmente con el fin de continuar incrementando la transparencia de su labor.

Acción 4: Observancia

La Comisión invita al Grupo de Trabajo del artículo 29 a celebrar debates periódicos sobre la cuestión general de una mayor observancia. Entre otras cosas, el resultado debería ser el intercambio y la adopción de las mejores prácticas. El Grupo de Trabajo debería plantearse asimismo la puesta en marcha de estudios sectoriales a nivel comunitario y la aproximación de las normas en este ámbito. El objetivo de dichos estudios conjuntos sería ofrecer una imagen más exacta de la aplicación de la legislación de protección de datos en la Comunidad y formular recomendaciones consensuadas y orientación práctica a los sectores interesados con el fin de mejorar la conformidad imponiendo las menores obligaciones posibles.

Acción 5: Notificación y divulgación de las operaciones de tratamiento

La Comisión Europea suscribe en gran medida las críticas expresadas por los responsables del tratamiento de datos durante la revisión en relación con las divergencias de contenido de las obligaciones de notificación de los mismos. La Comisión recomienda recurrir con más frecuencia a las excepciones y en especial a la posibilidad prevista en el apartado 2 del artículo 18 de la Directiva, de designar un encargado de la protección de datos personales, lo que constituye una excepción a los requisitos de notificación.

La Comisión invita al Grupo de Trabajo del artículo 29 a contribuir a una aplicación más uniforme de la Directiva mediante la presentación de propuestas destinadas a una simplificación sustancial de los requisitos de notificación en los Estados miembros y al establecimiento de mecanismos de cooperación que faciliten la notificación por parte de las empresas multinacionales establecidas en varios Estados miembros. En dichas propuestas podrán incluirse las modificaciones que se sugieren de la legislación nacional. La Comisión está dispuesta a formular propuestas si el Grupo de Trabajo no puede hacerlo en un plazo razonable (12 meses).

Acción 6: Mayor armonización de las disposiciones relativas a la información

La Comisión comparte la opinión de que el actual mosaico de requisitos cambiantes y solapados en relación con la información que los responsables de tratamiento han de facilitar a los interesados impone una serie de obligaciones innecesarias a los agentes económicos, sin incrementar al mismo tiempo el nivel de protección.

En la medida en que los requisitos de información que se imponen a los responsables del tratamiento de datos son incoherentes con la Directiva, se espera que este problema pueda solucionarse rápidamente mediante el diálogo con los Estados miembros y una acción legislativa de corrección por parte de los mismos. Además, la Comisión invita al Grupo de Trabajo del artículo 29 a cooperar en la búsqueda de una interpretación más uniforme del artículo 10.

Acción 7: Simplificación de los requisitos para las transferencias internacionales

Paralelamente a los debates previstos para lograr los necesarios cambios en la legislación de los Estados miembros con el fin de garantizar la conformidad con la Directiva, la Comisión pide al Grupo de Trabajo del artículo 29 que se sirva del último informe del seminario sobre el tratamiento de las reclamaciones internacionales como base para los futuros debates destinados a aproximar sustancialmente las prácticas actuales de los Estados miembros y simplificar las condiciones de las transferencias internacionales de datos.

La Comisión, por su parte, se propone recurrir más ampliamente a sus competencias establecidas con arreglo al apartado 6 del artículo 25 y el apartado 4 del artículo 26, que ofrecen los medios óptimos de simplificación del entorno normativo para los agentes económicos, al tiempo que garantizan la protección adecuada de los datos que se transfieren fuera de la UE.

Con la colaboración del Grupo de Trabajo del artículo 29 y del Comité del artículo 31, la Comisión espera avanzar en cuatro ámbitos:

a) un recurso más amplio a la constatación de la protección adecuada en relación con terceros países con arreglo al apartado 6 del artículo 25, manteniendo, lógicamente, un enfoque ecuánime respecto a los terceros países, de acuerdo con las obligaciones de la UE en el ámbito de la OMC;

b) nuevas decisiones con arreglo al apartado 4 del artículo 26, de manera que los agentes económicos cuenten con una gama más amplia de cláusulas contractuales tipo, en la medida de lo posible basadas en las cláusulas presentadas por representantes empresariales, por ejemplo, las presentadas por la Cámara de Comercio Internacional y otras asociaciones empresariales;

c) el papel de las normas empresariales vinculantes (normas vinculantes para los grupos empresariales en varias jurisdicciones distintas, dentro y fuera de la UE) para brindar las garantías adecuadas a las transferencias de datos personales dentro del grupo;

d) una interpretación más uniforme del apartado 1 del artículo 26 de la Directiva (excepciones autorizadas al requisito de protección adecuada para las transferencias a terceros países) y las disposiciones nacionales que lo aplican.

Todo este trabajo deberá realizarse con el grado adecuado de transparencia y con la aportación periódica de las partes interesadas.

Otras iniciativas

Acción 8: Promoción de las tecnologías de protección de la intimidad

La Comisión ya está trabajando en el ámbito de las tecnologías de protección de la intimidad, especialmente en el sector de la investigación, por ejemplo en los proyectos RAPID [37] y PISA [38].

[37] Roadmap for Advanced Research in Privacy and Identity Management (Plan de investigación avanzada sobre gestión de la intimidad y la identidad).

[38] Privacy-Enhancing Intelligent Software Agents (Agentes de software inteligente de protección de la intimidad).

Propone organizar un seminario técnico en 2003 destinado a aumentar la sensibilización respecto a las PET y ofrecer la oportunidad de debatir en profundidad las medidas que pueden tomarse para promover el desarrollo y utilización de dichas tecnologías, como, por ejemplo, el papel que pueden desempeñar en Europa los sistemas de sellos o certificación, o las evaluaciones de impacto sobre la vida privada [39].

[39] Privacy Impact Assessments (PIA).

Invita al Grupo de Trabajo a continuar debatiendo acerca de las PET y a reflexionar sobre las posibles medidas que pueden tomar las autoridades nacionales de control para promover la utilización de las mismas a nivel nacional.

Tras el seminario técnico, una vez asimiladas las aportaciones recibidas, la Comisión formulará nuevas propuestas para la promoción de las tecnologías de protección de la intimidad a nivel europeo. En dichas propuestas se prestará especial atención a la necesidad de animar a las administraciones e instituciones del sector público a dar ejemplo mediante la utilización de las PET en sus propias operaciones de tratamiento, por ejemplo en aplicaciones para la administración pública electrónica.

Acción 9: Fomento de la autorregulación y los códigos de conducta europeos

La Comisión está decepcionada por el escaso número de organizaciones que han sugerido códigos de conducta sectoriales para su aplicación a nivel comunitario. Continuará fomentándolos y asesorando, dentro de los límites que imponen los recursos disponibles, acerca de los proyectos de códigos de conducta que se presenten para su estudio por el Grupo de Trabajo del artículo 29 [40]. anima a los sectores y grupos de interés a asumir un papel mucho más proactivo, ya que considera que la autorregulación y, especialmente, los códigos de conducta deben desempeñar un importante papel en el desarrollo futuro de la protección de datos dentro y fuera de la UE, entre otras importantes razones para evitar una legislación excesivamente detallada.

[40] El Grupo de Trabajo del artículo 29 está estudiando actualmente los textos siguientes: código de conducta sobre comercialización directa, presentado por la FEDMA; código de conducta sobre el tratamiento de datos personales por parte de las empresas de búsqueda de personal directivo (cazatalentos), presentado por la AESC; y el código de conducta sobre identificación paneuropea de la línea diamante, presentado por la ETP. Una petición anterior de la IATA no cumplía los requisitos de código de conducta con arreglo al artículo 27 de la Directiva, pero recibió positivos comentarios del Grupo de Trabajo del artículo 29 en su dictamen WP 49, aprobado el 13 de septiembre de 2001.

Con este mismo fin, la Comisión, en el documento de consulta que ha dirigido a los interlocutores sociales europeos sobre la protección de datos personales en el contexto laboral, expresó enérgicamente su esperanza de que inicien negociaciones con el fin de celebrar un acuerdo europeo en este ámbito. La Comisión lamenta que los interlocutores sociales no se pusiesen de acuerdo para negociar este asunto y espera que se siga explorando la posibilidad de alcanzar acuerdos colectivos en esta área.

Acción 10: Sensibilización

La Comisión se propone poner en marcha una encuesta Eurobarómetro inspirada en las preguntas que contenía la consulta en línea realizada en 2002. Espera que se asocien a esta iniciativa algunas autoridades de protección de datos y que se realice un esfuerzo conjunto para que las cuestiones relativas a la protección de datos se debatan públicamente. Anima a los Estados miembros a dedicar más recursos a la sensibilización, especialmente a través de los presupuestos de las autoridades nacionales de control.

7. Conclusión

El presente informe constituye un primer paso para analizar la información relativa a la aplicación de la Directiva 95/46/CE y la determinación de las acciones necesarias para abordar los principales problemas que se han planteado. La Comisión espera que este análisis ayudará a las administraciones, las autoridades de protección de datos y a los agentes a clarificar lo que se ha de hacer para conseguir mejorar la aplicación de la Directiva en la UE reforzando su observancia, incrementando su conformidad y aumentando la sensibilización acerca de los derechos y obligaciones de los interesados y los responsables del tratamiento de datos.

La Comisión espera que, en caso necesario, los Estados miembros modifiquen su legislación para lograr la conformidad con lo dispuesto en la Directiva y asignen recursos suficientes a las autoridades de control. Asimismo, la Comisión espera que los Estados miembros y las autoridades de control realicen todos los esfuerzos razonables para crear un entorno en el que los responsables del tratamiento de datos (y asimismo las empresas que operan a nivel paneuropeo o internacional) puedan cumplir sus obligaciones de una manera menos compleja y pesada, y para evitar la imposición de requisitos de los que podría prescindirse sin ningún efecto perjudicial para el elevado nivel de protección que garantiza la Directiva.

La Comisión exhorta los ciudadanos a que ejerzan los derechos que les otorga la legislación y a los responsables del tratamiento de datos a dar todos los pasos necesarios para garantizar la conformidad con la legislación. La Comisión hará un seguimiento exhaustivo de las innovaciones tecnológicas y los resultados del programa de trabajo incluido en el presente informe y formulará propuestas para una nueva recapitulación a finales de 2004; para ese momento, la Comisión y los Estados miembros podrán sacar partido de una experiencia mucho más rica de aplicación de la Directiva.