6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/1

1.

El 28 de mayo de 2008, la Presidencia del Consejo de la Unión Europea anunció al Coreper que el Grupo de Contacto de Alto Nivel entre la UE y Estados Unidos sobre el intercambio de información y la protección de la vida privada y los datos personales (en lo sucesivo, «el Grupo de Contacto») había ultimado su informe con vistas a la Cumbre que la UE celebraría el 12 de junio de 2008. El informe se hizo público el 26 de junio de 2008 (1)

2.

Como primer paso para intercambiar información con Estados Unidos con el objetivo de combatir el terrorismo y las formas graves de delincuencia internacional, el Grupo de Contacto se inclina en el informe por determinar unos principios comunes de protección de la vida privada y los datos personales.

3.

La Presidencia del Consejo indicó al anunciar el informe que cualquier propuesta relativa a la actuación consecutiva a éste sería bienvenida, y que agradecería en particular que se expusieran las reacciones a las recomendaciones del informe en cuanto a la forma de continuar los trabajos. El Supervisor Europeo de Protección de Datos (SEPD) responde a esta invitación con el presente dictamen, basado en la información que se ha hecho pública sobre la situación de los trabajos, sin perjuicio de la posición que pueda tomar en el futuro a la luz de la evolución de este expediente.

4.

El SEPD observa que los trabajos del Grupo de Contacto se han realizado, en especial desde el 11 de septiembre de 2001, en el contexto de una intensificación del intercambio de datos entre Estados Unidos y la UE, que se ha llevado a cabo merced a acuerdos internacionales u otros tipos de instrumentos. Entre ellos cabe citar los acuerdos de Europol y Eurojust con Estados Unidos, así como los acuerdos relativos al registro de nombres de los pasajeros (PNR) y el caso Swift, origen de un canje de notas entre funcionarios de la UE y de Estados Unidos para establecer garantías mínimas de protección de datos (2).

5.

La UE también ha negociado y aprobado instrumentos similares de intercambio de datos personales con otros países terceros. Un ejemplo reciente es el Acuerdo entre la Unión Europea y Australia sobre el tratamiento y la transferencia de datos, generados en la Unión Europea, del registro de nombres de los pasajeros (PNR) por las compañías aéreas a los Servicios de Aduanas de Australia (3).

6.

En este contexto, las solicitudes de información personal de las autoridades policiales y judiciales de terceros países están aumentando constantemente, y haciéndose extensivas no sólo a las bases de datos tradicionales de la Administración sino también a otros tipos de archivos de datos, en particular los recopilados por el sector privado.

7.

Hay otro elemento importante de este contexto que el SEPD desea mencionar, a saber, que la cuestión de la transferencia de datos personales a terceros países en el contexto de la cooperación policial y judicial en materia penal quedará regulada en la Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (4), que se adoptará probablemente antes de finales de 2008.

8.

Lo previsible es que estos intercambios transatlánticos de datos sigan aumentando y afecten a otros sectores en los que se procesan datos personales. En este contexto, el diálogo sobre la lucha contra la delincuencia a escala transatlántica resulta a la vez bienvenido y delicado. Bienvenido porque puede dar lugar a la elaboración de un marco más claro para los intercambios de datos que se están realizando ya o que se realizarán en el futuro. Delicado porque semejante marco podría legitimar transferencias masivas de datos en un ámbito (el policial) cuyas repercusiones en las personas pueden ser especialmente graves, y en el que resulta especialmente necesario establecer salvaguardias y garantías estrictas y fiables (5).

9.

En la sección siguiente del presente dictamen se hace balance de la situación actual y se analizan posibles formas de continuar los trabajos sobre este expediente. La sección III se centra en el ámbito de aplicación y la naturaleza de un instrumento que permita el intercambio de información. En la sección IV del dictamen se analizan, desde una perspectiva general, los aspectos jurídicos ligados al contenido de un posible acuerdo. Se abordan cuestiones como las condiciones de evaluación del nivel de protección ofrecido en Estados Unidos, se analiza la posibilidad de emplear el marco regulador de la UE como referencia para evaluar ese nivel de protección, y se enumeran los requisitos básicos que deberían figurar en el acuerdo. Por último, la sección V del dictamen contiene un análisis de los principios de protección de la vida privada anejos al informe.

10.

La situación actual, según la evalúa el SEPD, es que se han hecho algunos progresos en la definición de normas comunes sobre el intercambio de información y la protección de la vida privada y los datos personales.

11.

Con todo, los preparativos de un acuerdo entre la UE y Estados Unidos, cualesquiera que sean sus características, no están en modo alguno acabados. Es necesario seguir trabajando sobre este expediente. El propio Grupo de Contacto menciona en su informe una serie de cuestiones pendientes, entre las cuales la de la tutela de los derechos la más destacada. Sigue habiendo desacuerdo sobre el alcance que debe tener la tutela judicial (6). En el capítulo 3 del informe se mencionan otras cinco cuestiones pendientes. Por lo demás, del presente dictamen se desprende que quedan por resolver muchas otras cuestiones, como la del ámbito de aplicación y la naturaleza del instrumento de intercambio de datos.

12.

Dado que la opción preferida según el informe — preferencia que el SEPD comparte — sería un acuerdo vinculante, la prudencia es de rigor. Antes de que pueda alcanzarse un acuerdo, será preciso continuar la labor de preparación de forma cuidadosa y detenida.

13.

Por último, a juicio del SEPD, lo ideal sería que la celebración del posible acuerdo tuviera lugar en el contexto del Tratado de Lisboa, en el supuesto, naturalmente, de que éste entre en vigor. En efecto, el Tratado de Lisboa suprimiría toda inseguridad jurídica en cuanto a la línea divisoria entre los pilares de la UE. Además, dicho Tratado garantizaría la plena participación del Parlamento Europeo, al igual que el control judicial por el Tribunal de Justicia.

14.

En estas circunstancias, la mejor manera de progresar en este expediente consistiría en elaborar un plan de trabajo para un posible acuerdo futuro. Dicho plan debería constar de los siguientes elementos:

15.

A juicio del SEPD, es fundamental que se definan con claridad el ámbito de aplicación y la naturaleza del posible instrumento, incluidos los principios de protección de datos, antes de profundizar en la elaboración de tal instrumento.

16.

En cuanto al ámbito de aplicación del instrumento, es preciso responder a varias preguntas importantes, a saber:

17.

Al definir la naturaleza del acuerdo habría que aclarar las siguientes cuestiones:

18.

Aunque el informe del Grupo de Contacto no contiene indicaciones claras sobre el ámbito de aplicación concreto del futuro instrumento, de los principios que en él se mencionan cabe deducir que la idea es que se aplique a las transferencias tanto entre los sectores público y privado (7) como entre autoridades públicas.

19.

El SEPD comprende la lógica de la aplicabilidad del posible instrumento futuro a las transferencias entre los sectores público y privado. La elaboración de dicho instrumento se inscribe en el contexto de las solicitudes de información presentadas en los últimos años por Estados Unidos a entidades del sector privado. El SEPD observa, en efecto, que el sector privado se está convirtiendo en una fuente sistemática de información para fines policiales, tanto dentro de la UE como a escala internacional (8). El caso SWIFT, donde se pidió a una empresa privada que transmitiera sistemáticamente datos en bloque a autoridades policiales de un país tercero, fue un importante precedente a este respecto (9). La recopilación de datos del registro de nombres de pasajeros (PNR) de las compañías aéreas sigue la misma lógica. Ya en su dictamen sobre la propuesta de Decisión marco del Consejo relativa a un PNR europeo (10), el SEPD cuestionó la legitimidad de esta tendencia.

20.

Hay otras dos razones para oponerse a que se incluyan en el ámbito de aplicación del futuro instrumento las transferencias de datos entre los sectores público y privado.

21.

En primer lugar, esta inclusión podría tener un efecto no deseado dentro del territorio de la propia UE. El SEPD teme que el hecho de que los datos de empresas privadas (como las entidades financieras) puedan transferirse en principio a países terceros constituya una importante presión para que ese tipo de datos se pongan a disposición de las autoridades policiales también dentro de la UE. El sistema PNR es un ejemplo de esta evolución indeseable, que comenzó con la recopilación en bloque de los datos de los pasajeros en EE.UU., y se trasladó a continuación al contexto interno de la UE (11), sin que se haya demostrado claramente la necesidad ni la proporcionalidad del sistema.

22.

En segundo lugar, en su dictamen sobre la propuesta relativa al PNR de la UE presentada por la Comisión, el SEPD también planteó la cuestión del marco de protección de datos (primer o tercer pilar) que se aplicaría a las condiciones de cooperación entre el sector público y el privado: ¿deberían basarse las normas en la naturaleza del responsable del tratamiento (sector privado) o en la finalidad perseguida (fines policiales)? Cuando se imponen al sector privado obligaciones de tratamiento de datos personales para fines policiales, la línea divisoria entre el primer y el tercer pilar no está nada clara. En este contexto, resulta significativo que el Abogado General Bot, en sus recientes conclusiones sobre el asunto de la conservación de datos (12), propusiera una línea de demarcación para tales situaciones, pero que añadiera a su propuesta la siguiente observación: «Esta línea de demarcación no está ciertamente exenta de toda crítica y, en ciertos aspectos, puede parecer artificial.» El SEPD observa asimismo que la sentencia del Tribunal sobre el asunto PNR (13) no resuelve plenamente la cuestión del marco legal aplicable. Por ejemplo, el hecho de que ciertas actividades no estén reguladas en la Directiva 95/46/CE no significa automáticamente que tales actividades puedan regularse en el tercer pilar. Como consecuencia de ello, puede quedar un vacío jurídico en lo tocante a la legislación aplicable y, en todo caso, una inseguridad jurídica en cuanto a las garantías jurídicas a las que pueden acogerse los titulares de los datos.

23.

Desde esta perspectiva, el SEPD destaca la necesidad de garantizar que un futuro instrumento con principios generales de protección de datos no pueda legitimar per se la transferencia transatlántica de datos personales entre entidades del sector privado y del sector público. Esta transferencia sólo podría incluirse en dicho instrumento a condición de que:

Por otra parte, el SEPD destaca la incertidumbre existente en cuanto al marco de protección de datos aplicable, lo cual le lleva a abogar por que, en todo caso, no se incluya la transferencia de datos personales entre entidades del sector privado y del sector público en la situación actual del Derecho de la UE.

24.

El alcance exacto del intercambio de información no está claro. Antes de continuar los trabajos sobre un instrumento común, sería conveniente aclarar el ámbito de aplicación previsto de éste. En particular, subsisten preguntas sobre los siguientes puntos:

25.

Queda también un margen de incertidumbre en la definición de la finalidad del posible acuerdo. La finalidad policial se menciona tanto en la introducción como en el primero de los principios anexos al informe, que se analizan con más detenimiento en la sección V del presente dictamen. De momento, el SEPD señala que de la formulación de esas menciones se desprende que el intercambio de datos se centraría en cuestiones del tercer pilar, aunque cabe preguntarse si no se trataría más bien de un primer paso hacia un intercambio más amplio de información. Parece claro que los fines de «seguridad pública» mencionados en el informe incluyen la lucha contra el terrorismo, contra la delincuencia organizada y contra otros delitos. Sin embargo, ha de entenderse que quedaría autorizado el intercambio de datos para otros fines de interés público, como, quizá, los riesgos para la salud pública.

26.

El SEPD recomienda que se delimite esta finalidad a ciertos tratamientos de datos claramente determinados, y que se justifiquen las opciones de actuación que hayan dado lugar a la definición de esa finalidad.

27.

El amplio alcance del informe que nos ocupa debe analizarse desde la perspectiva del espacio transatlántico de seguridad mundial sobre el que está trabajando el llamado Grupo «Futuro» (14). El informe de este grupo, de junio de 2008, hace hincapié en la dimensión exterior de la política de asuntos de interior, y aboga por que «antes de 2014 la Unión Europea [tome una decisión sobre el]objetivo político de hacer realidad una zona euroatlántica de cooperación con los Estados Unidos en el ámbito de la libertad, la seguridad y la justicia». Esta cooperación iría más allá de la seguridad en sentido estricto, ya que se haría extensiva como mínimo a las cuestiones reguladas en el actual título IV del Tratado CE, como la inmigración, los visados, el asilo y la cooperación judicial en materia civil. Es necesario plantearse en qué medida un intercambio de información tan amplio puede o debe basarse en un acuerdo sobre principios básicos de protección de datos como los que se mencionan en el informe del Grupo de Contacto.

28.

Si las cosas evolucionan normalmente, la estructura de pilares habrá desaparecido en 2014, y habrá una sola base jurídica para la protección de datos dentro de la UE (según el Tratado de Lisboa, el artículo 16 del Tratado de Funcionamiento de la Unión Europea). Sin embargo, el hecho de que exista una armonización a escala de la UE en lo que se refiere a la reglamentación de la protección de datos no implica que cualquier acuerdo con un país tercero baste para autorizar la transferencia de cualquier tipo de datos personales para cualquier finalidad. Para determinados ámbitos, por ejemplo el policial, puede ser necesario adaptar las garantías exigidas en materia de protección de datos en función del contexto y las condiciones del tratamiento de los datos. El SEPD recomienda que se tengan en cuenta las consecuencias de estas diferentes perspectivas en la preparación de un acuerdo futuro.

29.

A corto plazo, en cualquier caso, es indispensable determinar en el contexto de qué pilar se negociará el acuerdo, sobre todo porque no se sabe cuál de los marcos reguladores de la protección de datos de la UE se verá afectado por el acuerdo: ¿será el del primer pilar, es decir, básicamente la Directiva 95/46/CE, con su régimen específico de transferencia de datos a terceros países, o bien el del tercer pilar, en el que el régimen de transferencias a terceros países es menos estricto? (15)

30.

Aunque, como se ha indicado ya, la finalidad predominante es la policial, el informe del Grupo de Contacto menciona la recopilación de datos de entidades del sector privado; además, los fines previstos pueden interpretarse en un sentido tan amplio que va desde la mera seguridad, incluidos aspectos como la inmigración y el control de fronteras, hasta incluso la salud pública. En vista de esta ambigüedad, sería muy preferible esperar a la armonización de los pilares en el contexto del Derecho de la UE, tal como está previsto en el Tratado de Lisboa, para establecer claramente la base jurídica de las negociaciones y el cometido exacto de las instituciones europeas, en particular el Parlamento Europeo y la Comisión.

31.

Convendría aclarar si las conclusiones de los debates se plasmarán en un memorando de entendimiento u otro instrumento no vinculante, o bien en un acuerdo internacional vinculante.

32.

El SEPD comparte la preferencia por un acuerdo vinculante que se menciona en el informe del Grupo de Contacto. A juicio del SEPD, un acuerdo oficial vinculante es un requisito previo indispensable de tota transferencia de datos fuera de la UE, con independencia de la finalidad a la que obedezca la transferencia. No puede efectuarse ninguna transferencia de datos a un país tercero sin que existan condiciones y garantías adecuadas recogidas en un marco jurídico específico (y vinculante). En otras palabras, un memorando de entendimiento u otro instrumento no vinculante puede resultar útil para orientar las negociaciones de ulteriores acuerdos vinculantes, pero no puede sustituirlos.

33.

Las disposiciones del instrumento deberían ser igualmente vinculantes para Estados Unidos y para la UE y sus Estados miembros.

34.

Habría que garantizar asimismo que las personas puedan ejercer sus derechos, y en particular disfrutar de una tutela efectiva de éstos, sobre la base de los principios acordados. A juicio del SEPD, la mejor forma de alcanzar este resultado consiste en formular las disposiciones sustantivas del acuerdo de tal manera que tengan efecto directo respecto de los residentes de la Unión Europea y que puedan alegarse ante un órgano jurisdiccional. Por ello, es necesario que el instrumento estipule claramente que las disposiciones del acuerdo internacional tendrán efecto directo, y que establezca las condiciones de su incorporación al Derecho interno de la UE y al Derecho nacional, a fin de garantizar la eficacia de las medidas.

35.

La medida en que el acuerdo puede ser un instrumento autónomo o ha de completarse según el caso con ulteriores acuerdos sobre intercambios específicos de datos es también un punto fundamental. En efecto, es cuestionable que un solo acuerdo pueda cubrir adecuadamente, con un solo cuerpo de normas, los múltiples aspectos específicos del tratamiento de datos en el tercer pilar. Es aún más dudoso que pueda permitir, sin debates y garantías adicionales, la aprobación general de cualquier transferencia de datos personales, cualesquiera que sean su finalidad y la naturaleza de los datos en cuestión. Además, los acuerdos con países terceros no son necesariamente permanentes, ya que pueden estar vinculados a amenazas específicas y estar sujetos a revisión y a cláusulas de caducidad. Por otra parte, la existencia de unas normas mínimas comunes consagradas en un instrumento vinculante podría facilitar ulteriores negociaciones sobre la transferencia de datos personales en relación con una base de datos o una operación de tratamiento específicas.

36.

El SEPD abogaría en consecuencia por que, en lugar de optar por un acuerdo autónomo, se elaborase un conjunto mínimo de criterios de protección de datos, que se completaría según las circunstancias de cada caso con disposiciones adicionales específicas, tal como se indica en el informe del Grupo de Contacto. Las transferencias de datos en casos concretos quedarían supeditadas a esas disposiciones adicionales específicas. Esta solución fomentaría un planteamiento armonizado de la protección de datos.

37.

También habría que analizar cómo se combinaría un posible acuerdo general con los acuerdos ya existentes que la UE ha celebrado con EE.UU. Conviene precisar que estos acuerdos preexistentes no tienen el mismo carácter vinculante, en particular el acuerdo PNR (el que mayor seguridad jurídica presenta), los acuerdos con Europol y Eurojust o el canje de notas sobre SWIFT (16). Hay que plantearse si el posible nuevo marco general completaría los instrumentos ya existentes o si, por el contrario, éstos no se verían afectados, al aplicarse el nuevo marco únicamente a otros intercambios futuros de datos personales. A juicio del SEPD, la coherencia jurídica requiere un conjunto de normas armonizado que se aplique a los acuerdos vinculantes sobre transferencias de datos (tanto los existentes como los futuros) y que los complete.

38.

La aplicación del acuerdo general a los instrumentos existentes tendría la ventaja de reforzar el carácter vinculante de estos, lo cual sería especialmente positivo en lo que se refiere a los acuerdos que no son jurídicamente vinculantes, como el canje de notas sobre SWIFT, ya que, al menos, obligaría a respetar un conjunto de principios generales sobre protección de la vida privada.

39.

En la presente sección se analizan el modo en que debe evaluarse el grado de protección que ofrece un marco o instrumento específico, los criterios de referencia que han de emplearse y los requisitos básicos necesarios.

40.

A juicio del SEPD, debe quedar claro que una de las principales consecuencias del futuro instrumento sería que sólo podrían efectuarse transferencias de datos personales a Estados Unidos si las autoridades de este país garantizan un nivel adecuado de protección (y viceversa).

41.

El SEPD considera que únicamente una prueba real de adecuación constituiría garantía suficiente del grado de protección de los datos personales. El SEPD opina que un acuerdo marco general con un ámbito de aplicación tan amplio como el que se sugiere en el informe del Grupo de Contacto difícilmente superaría, como tal, una prueba real de adecuación. Sólo se podría considerar adecuado el acuerdo general si los acuerdos específicos celebrados atendiendo a las circunstancias de cada caso resultan igualmente adecuados.

42.

La valoración del grado de protección ofrecido por países terceros no es un ejercicio inhabitual, en particular para la Comisión Europea: en el primer pilar, las transferencias están supeditadas a la idoneidad de esa protección. La idoneidad se ha evaluado en varias ocasiones con arreglo al artículo 25 de la Directiva 95/46/CE a partir de criterios específicos y ha sido confirmada por decisiones de la Comisión Europea (17). En el tercer pilar no se ha previsto expresamente un sistema similar: la evaluación de la idoneidad de la protección de datos sólo es obligatoria en el caso específico de los artículos 11 y 13 de la Decisión marco sobre protección de datos (18), pendiente de adopción, y queda en manos de los Estados miembros.

43.

En el caso que nos ocupa, esta evaluación afecta a aspectos policiales, y la Comisión dirige los correspondientes debates bajo la supervisión del Consejo. Estamos en un contexto que guarda menos relación con la evaluación de los principios de «puerto seguro» o la idoneidad de la legislación canadiense, que con las recientes negociaciones sobre el PNR con Estados Unidos y Australia, celebradas en el marco jurídico del tercer pilar. Sin embargo, los principios del Grupo de Contacto se han mencionado también en el contexto del Programa de Exención de Visado, que se refiere a cuestiones de fronteras e inmigración, es decir, a cuestiones del primer pilar.

44.

El SEPD recomienda que las conclusiones sobre la adecuación de la protección de datos de cualquier instrumento futuro se base en la experiencia adquirida en estos diferentes ámbitos. Recomienda asimismo que se siga trabajando sobre el concepto de «adecuación» en el contexto de un instrumento futuro, sobre la base de criterios similares a los utilizados en anteriores análisis de adecuación.

45.

La cuestión del grado de protección de los datos tiene un segundo aspecto, a saber, el reconocimiento mutuo de los sistemas de la UE y de Estados Unidos. El informe del Grupo de Contacto indica a este respecto que el objetivo consistiría en «lograr que cada parte reconociera la eficacia del sistema de protección de los datos y la vida privada de la otra para los ámbitos a que se refieren estos principios» (19) y conseguir «una aplicación equivalente y recíproca de la legislación sobre protección de los datos y de la vida privada».

46.

Para el SEPD, es obvio que el reconocimiento mutuo (o la reciprocidad) sólo es posible si queda garantizado un nivel adecuado de protección de los datos. En otras palabras, el futuro instrumento debe suponer la armonización de un nivel mínimo de protección (mediante un análisis de la adecuación, teniendo en cuenta la necesidad de acuerdos específicos celebrados atendiendo a las circunstancias de cada caso). Sólo si se cumple esta condición podrá reconocerse la reciprocidad.

47.

El primer elemento que debe tenerse en cuenta es la reciprocidad de las disposiciones sustantivas sobre protección de datos. A juicio del SEPD, el posible acuerdo debería abordar el concepto de la reciprocidad de las disposiciones sustantivas de modo que quede garantizado, por una parte, que el tratamiento de datos dentro del territorio de la UE (y de Estados Unidos) respete plenamente las legislaciones nacionales sobre protección de datos y, por otra, que las operaciones de tratamiento de datos fuera del país de origen de estos que estén incluidas en el ámbito de aplicación del acuerdo respeten los principios de protección de datos recogidos en el acuerdo.

48.

El segundo elemento es la reciprocidad de los mecanismos de tutela de los derechos. Hay que garantizar que los ciudadanos de la Unión Europea tengan medios adecuados para hacer valer sus derechos cuando sus datos personales estén sido objeto de tratamiento en Estados Unidos (con independencia de la legislación que se aplique al tratamiento), pero también que la Unión Europea y sus Estados miembros reconozcan derechos equivalentes a los ciudadanos estadounidenses.

49.

El tercer elemento es la reciprocidad del acceso de las autoridades policiales a los datos personales. La reciprocidad significa que, si un instrumento permite a las autoridades estadounidenses acceder a datos generados en la Unión Europea, debe concederse a las autoridades de la UE el mismo acceso a los datos generados en Estados Unidos. La reciprocidad no debe ir en detrimento de la eficacia de la protección del titular de los datos. Esta condición debe cumplirse antes de que pueda autorizarse el acceso «transatlántico» de las autoridades policiales. Concretamente, esto significa que:

50.

La especificación de las condiciones de evaluación (adecuación, equivalencia, reconocimiento mutuo) es esencial puesto que determina el contenido, en términos de precisión, la seguridad jurídica y la eficacia de la protección. El contenido del posible acuerdo futuro debe ser preciso y exacto.

51.

Por otra parte, debe quedar claro que cualquier acuerdo específico que se celebre en una etapa ulterior deberá incluir asimismo garantías detalladas y completas de protección de datos en relación con el tema del intercambio de datos previsto. Sólo duplicando así los principios concretos de protección de datos se quedará garantizada la estrecha correspondencia necesaria entre el acuerdo general y los acuerdos específicos, como se ha indicado ya en los apartados 35 y 36 del presente dictamen.

52.

Hay otra cuestión sobre la cual vale la pena reflexionar expresamente, a saber, hasta qué punto un acuerdo con Estados Unidos podría servir de modelo para otros países terceros. El SEPD observa que, además de EE.UU., el informe del Grupo «Futuro» antes mencionado alude también a Rusia como socio estratégico de la UE. Si los principios son neutros y acordes con las salvaguardias fundamentales de la UE, podrían constituir un valioso precedente. Sin embargo, las características específicas asociadas, por ejemplo, al marco jurídico del país receptor de los datos o a la finalidad de la transferencia impiden proceder mediante un mero calco del acuerdo. Igualmente determinante debe ser la situación democrática de los países terceros en cuestión: es preciso asegurarse de que los principios acordados se garanticen y apliquen efectivamente en el país receptor.

53.

La idoneidad implícita o explícita de la protección de datos debe evaluarse, en cualquier caso, con arreglo al marco jurídico europeo e internacional, y en especial las salvaguardias de protección de datos comúnmente aceptadas, que están recogidas en los Principios rectores de las Naciones Unidas, el Convenio n.o 108 del Consejo de Europa y su Protocolo adicional, las Directrices de la OCDE y el proyecto de Decisión marco del Consejo, así como la Directiva 95/46/CE (20). Todos estos instrumentos contienen principios similares que gozan de un reconocimiento más amplio que los principios básicos de la protección de datos personales.

54.

Las repercusiones que podría tener un acuerdo como el previsto en el informe del Grupo de Contacto hacen que resulte especialmente importante tener debidamente en cuenta los principios antes mencionados. Un instrumento relativo a la totalidad del sector policial de un país tercero sería, en efecto, un caso sin precedentes. Las decisiones sobre la adecuación de la protección de datos adoptadas en el marco del primer pilar y los acuerdos celebrados con países tercer en marco del tercer pilar de la UE (Europol, Eurojust) siempre han estado ligados a una transferencia específica de datos, mientras que ahora podrían resultar factibles transferencias de mucho mayor alcance, dado que se persiguen unos fines muy generales (combatir la delincuencia, garantizar la seguridad pública, la seguridad nacional, y el control de fronteras) y que se desconoce el número de bases de datos que se verían afectadas.

55.

Las condiciones que deben cumplirse cuando se transfieren datos personales a países terceros se han formulado en un documento del Grupo de Trabajo del Artículo 29 (21). Cualquier acuerdo sobre principios mínimos de respeto de la vida privada debe superar una prueba de adecuación que garantice la efectividad de las salvaguardias de protección de datos.

56.

Además de estos tres requisitos básicos, habría que prestar especial atención a los aspectos específicos del tratamiento de datos personales en el contexto policial. En efecto, se trata de un ámbito en el que los derechos fundamentales pueden sufrir restricciones, por lo que deben adoptarse salvaguardias para compensar las restricciones de los derechos de los particulares, sobre todo en lo que se refiere a los siguientes aspectos, dadas sus repercusiones en las personas:

57.

En la presente sección se analizan los doce principios mencionados en el documento del Grupo de Contacto desde la siguiente perspectiva:

58.

El primer principio de la lista del anexo al informe del Grupo de Contacto indica que el tratamiento de información personal se efectuará para fines policiales legítimos. Como se ha mencionado antes, se trata, para la Unión Europea, de la prevención, descubrimiento, investigación o persecución de infracciones penales. En la interpretación de Estados Unidos, en cambio, la finalidad policial va más allá de las infracciones penales e incluye «el control de fronteras, la seguridad pública y la seguridad nacional». La consecuencia de esta discrepancia entre los fines declarados por la UE y Estados Unidos no está clara. Si bien el informe indica que, en la práctica, la finalidad perseguida puede coincidir en gran medida, sigue siendo crucial saber con precisión en qué medida no hay coincidencia. En el ámbito policial, por la forma en que las medidas adoptadas repercuten en las personas, el principio de la limitación a una finalidad específica debe cumplirse rigurosamente y la finalidad declarada debe estar clara y circunscrita. Teniendo en cuenta la reciprocidad prevista en el informe, la aproximación de los fines perseguidos parece también esencial. En otras palabras, es necesario aclarar la interpretación de este principio.

59.

El SEPD considera muy oportuna la disposición que exige que la información personal sea exacta, pertinente, oportuna y completa, según las exigencias del tratamiento legítimo. Este principio es una condición fundamental de cualquier operación legítima de tratamiento de datos.

60.

Este principio establece un nexo claro entre la información recopilada y la necesidad de disponer de ella para efectuar una labor policial estipulada por la ley. La exigencia de contar con una base jurídica es un elemento positivo para determinar la legitimidad del tratamiento de los datos. El SEPD observa, no obstante, que aunque tal principio refuerza la seguridad jurídica del tratamiento, la base jurídica del tratamiento de los datos es la legislación de un país tercero. La legislación de un país tercero no puede, en sí misma, constituir una base legítima para una transferencia de datos personales (22). En el contexto del informe del Grupo de Contacto, todo indica que se parte, en principio, del reconocimiento de la legitimidad de la legislación de un país tercero, en este caso Estados Unidos. Debe tenerse presente que, aunque tal razonamiento puede justificarse en este caso, considerando que Estados Unidos es un país democrático, no es válido ni puede calcarse sin más en las relaciones con cualquier otro país tercero.

61.

Según consta en el anexo del informe del Grupo de Contacto, toda transferencia de datos personales debe ser pertinente, necesaria y apropiada. El SEPD destaca que, para ser proporcionado, el tratamiento no debe suponer una intrusión indebida, y que las modalidades del tratamiento deben ser equilibradas, teniendo en cuenta los derechos e intereses de los titulares de los datos.

62.

Por esta razón, el acceso a la información debe quedar autorizado en función de las circunstancias de cada caso y de las necesidades prácticas de una investigación concreta. El acceso permanente de las autoridades policiales de un país tercero a bases de datos situadas en la UE debe considerarse desproporcionado e insuficientemente justificado. El SEPD recuerda que incluso los acuerdos de intercambio de datos existentes, por ejemplo el acuerdo PNR, prevén que el intercambio debe obedecer a circunstancias específicas, y se celebran por un periodo de tiempo limitado (23).

63.

Siguiendo la misma lógica, debe regularse el periodo de conservación de los datos: estos deben conservarse sólo mientras sean necesarios para la finalidad específica que se persiga. Si dejan de ser pertinentes para ese fin, deben suprimirse. El SEPD se opone firmemente a que se constituyan almacenes de datos para conservar información acerca de personas sobre las cuales no exista ninguna sospecha por si sus datos pudieran resultar necesarios más adelante.

64.

El SEPD considera satisfactorio que en los principios enumerados en el informe se mencionen medidas y procedimientos para evitar que los datos se empleen o se alteren indebidamente, y para protegerlos de otros riesgos, así como una disposición destinada a limitar el acceso a los datos a las personas autorizadas.

65.

Este principio podría completarse con una disposición que estipule que deben llevarse registros de todas las personas que accedan a los datos, ya que ello daría mayor eficacia a las salvaguardias sobre limitación del acceso a los datos y evitaría la utilización indebida de estos.

66.

Por otra parte, debe preverse una obligación de información mutua en caso de vulneración de las normas de seguridad: los organismos receptores de los datos tanto en Estados Unidos como en la UE serían responsables de informar a sus homólogos si los datos que han recibido son divulgados ilegalmente. Con ello se contribuirá a que las partes se responsabilicen en mayor medida de lograr que el tratamiento de los datos se efectúe en condiciones de seguridad.

67.

El SEPD considera que la excepción que permite efectuar cualquier operación de tratamiento de datos especialmente protegidos siempre y cuando la legislación nacional establezca «salvaguardias apropiadas» supone un importante menoscabo del principio de prohibición del tratamiento de este tipo de datos. Precisamente por la protección especial de que gozan estos datos, cualquier excepción al principio de prohibición debe justificarse adecuadamente y con precisión, indicándose una lista de fines y circunstancias en relación con los cuales un tipo determinado de datos especialmente protegidos pueda ser objeto de tratamiento, y precisándose la condición de los responsables del tratamiento que están autorizados para efectuar el tratamiento de tales datos. Entre las salvaguardias que deben adoptarse, el SEPD considera que los datos especialmente protegidos no deben constituir como tales un elemento que pueda desencadenar una investigación. Podrían estar disponibles en determinadas circunstancias, pero sólo como información adicional sobre una persona que ya esté siendo investigada. Estas salvaguardias y condiciones deben enumerarse exhaustivamente en el texto de este principio.

68.

Como se ha indicado en los apartados 55 y 56 del presente dictamen, debe garantizarse efectivamente que las entidades públicas que traten datos personales estén obligadas a rendir cuentas de sus actos, y el acuerdo debe contener garantías acerca de la forma en que se asegurará esta rendición de cuentas. Este aspecto es especialmente importante dada la opacidad que suele ir asociada al tratamiento de datos personales en el contexto policial. En este sentido, mencionar — como se hace en el anexo del informe — que las entidades públicas deberán rendir cuentas de sus actos sin dar más explicaciones sobre las modalidades y consecuencias de la rendición de cuentas no resulta una garantía satisfactoria. El SEPD recomienda que tal explicación figure en el texto del instrumento.

69.

El SEPD es firme partidario de la inclusión de una disposición que ordene una supervisión independiente y efectiva a cargo de una o varias autoridades públicas de supervisión. Considera que debe aclararse la interpretación del concepto de independencia, en particular de quién son independientes estas autoridades y ante quién deben rendir cuentas. Es preciso a este respecto establecer criterios que tengan en cuenta los aspectos de independencia institucional y funcional, en relación con los poderes ejecutivo y legislativo. El SEPD recuerda que se trata de un elemento indispensable para garantizar el cumplimiento efectivo de los principios acordados. Las atribuciones de intervención y coerción de estas autoridades también revisten gran importancia, a efectos de la cuestión ya mencionada de la rendición de cuentas de las entidades públicas que tratan datos personales. Para que los ciudadanos puedan ejercer sus derechos, es preciso que se les informe claramente de la existencia y las competencias de las autoridades de supervisión, en especial si existen varias autoridades competentes en función del contexto del tratamiento de datos.

70.

Por otra parte, el SEPD recomienda que el posible acuerdo futuro prevea también mecanismos de cooperación entre las autoridades de supervisión.

71.

En el contexto policial, el derecho de acceso a los datos y de rectificación de estos requieren garantías específicas. En este sentido, el SEPD se congratula de que se mencione en el informe el principio de que «se dará/debe darse al interesado acceso a sus datos personales y los medios para obtener la rectificación o la supresión de sus datos personales». Sin embargo, subsisten ciertas ambigüedades por lo que respecta a la definición de «los interesados» (todos los titulares de datos deben estar protegidos, y no sólo los ciudadanos del país de que se trate) y a las condiciones en que los interesados podrán oponerse al tratamiento de sus datos. Es necesario precisar los «casos oportunos» en que el interesado estará facultado o no para oponerse al tratamiento. Debe indicarse con claridad en qué circunstancias podrá el interesado ejercer sus derechos (en función, por ejemplo, del tipo de autoridad, del tipo de investigación o de otros criterios).

72.

Por otra parte, si no hay posibilidad directa de oponerse al tratamiento de los datos por razones justificadas, debe existir un mecanismo indirecto de verificación, a través de la autoridad independiente responsable de la supervisión del tratamiento de datos.

73.

El SEPD destaca una vez más la importancia de la transparencia efectiva, a fin de que los interesados puedan ejercer sus derechos y para contribuir a la obligación general de las autoridades públicas que tratan datos personales de rendir cuentas de sus actos. Apoya la formulación dada a este principio, e insiste en particular en la necesidad de que se dé al interesado una notificación general y personal. Así se refleja en el texto del principio 9 del anexo del informe.

74.

Sin embargo, en el capítulo 2 del informe, epígrafe B («Principios acordados»), se indica que en Estados Unidos la transparencia puede plasmarse «en todas o alguna de las opciones siguientes: la publicación en el Registro Federal, la notificación personal y la comunicación en un procedimiento judicial». Debe quedar claro que una publicación en un boletín oficial no basta per se para garantizar la adecuada información del interesado. Además de la necesidad de una notificación personal, el SEPD recuerda que es preciso que la información se facilite de modo y manera que resulte fácilmente comprensible para el interesado.

75.

Para garantizar que los interesados puedan ejercer efectivamente sus derechos, es preciso que puedan presentar una reclamación ante una autoridad independiente de protección de datos, además de poder interponer un recurso ante un órgano judicial independiente e imparcial. Es necesario que se les ofrezcan ambas posibilidades de tutela de sus derechos.

76.

El acceso a una autoridad independiente de protección de datos es necesario porque permite obtener una ayuda flexible y menos costosa en un contexto (el policial) que puede resultar bastante opaco para el particular. Las autoridades de protección de datos también pueden ofrecerle otra ayuda ejerciendo los derechos de acceso en nombre del interesado, cuando las excepciones previstas impidan a éste acceder directamente a sus datos personales.

77.

El acceso al sistema judicial es una garantía adicional e indispensable de tutela de los derechos del interesado por una autoridad del sistema democrático distinta de las instituciones públicas que realizan el tratamiento de sus datos. El Tribunal de Justicia de las Comunidades Europeas ha dictaminado que la existencia de una vía de recurso efectiva de carácter jurisdiccional es «esencial para garantizar al particular la protección efectiva de su derecho (…) [y] constituye un principio general de Derecho comunitario que se deriva de las tradiciones constitucionales comunes a los Estados miembros y que se ve sancionada en los artículos 6 y 13 del Convenio Europeo de los Derechos Humanos» (24). La existencia de una vía de recurso judicial también está expresamente prevista en el artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 22 de la Directiva 95/46/CE, sin perjuicio de los recursos de carácter administrativo.

78.

El SEPD considera muy oportuna la disposición que prevé salvaguardias adecuadas en caso de tratamiento automatizado de datos personales. Observa que sería de agradecer una interpretación común de lo que se entiende por «un acto que produzca un perjuicio significativo para los intereses del titular de los datos», a fin de aclarar las condiciones de aplicación de este principio.

79.

Algunas de las condiciones establecidas para las transferencias ulteriores a otros países terceros no están muy claras. En particular, en los que respecta a las transferencias sujetas a convenios y acuerdos internacionales celebrados entre el país que envía los datos y el que los recibe, es preciso especificar si se trata de acuerdos entre los dos países que efectuaron la primera transferencia, o entre los que realizan la transferencia ulterior. A juicio del SEPD, es necesario en todo caso que los dos países que efectúan la primera transferencia hayan llegado a un acuerdo.

80.

El SEPD también observa que el concepto de «intereses públicos legítimos» se ha definido de forma muy general y autoriza la transferencia ulterior de los datos recibidos. El alcance del concepto de seguridad pública queda poco claro; además, la ampliación de las transferencias en caso de incumplimiento de los principios éticos o de las condiciones aplicables a las profesiones reguladas no está justificado y resulta excesivo en un contexto policial.

81.

El SEPD se congratula de la labor conjunta realizada por las autoridades estadounidenses y de la UE sobre las transferencias de datos en el ámbito policial, donde la protección de datos es fundamental. Desea insistir, no obstante, en que la complejidad de esta cuestión, en particular por lo que respecta a su alcance y naturaleza concretos, hacen necesario un análisis cuidadoso y en profundidad. Las repercusiones de un instrumento transatlántico de protección de datos deben examinarse con detenimiento en relación con el marco jurídico existente y sus posibles consecuencias en los ciudadanos.

82.

El SEPD pide mayor claridad y disposiciones concretas en especial sobre los aspectos siguientes:

83.

El SEPD insiste en la necesidad de evitar toda precipitación en la elaboración de los principios, ya que sólo dará lugar a soluciones insatisfactorias, con efectos contrarios a los deseados en materia de protección de datos. La mejor forma de continuar los trabajos en esta fase consistiría pues en elaborar un plan de trabajo para llegar a un posible acuerdo más adelante.

84.

El SEPD pide asimismo más transparencia en el proceso de elaboración de los principios de protección de datos. Sólo si se recaba la participación de todas las partes, incluido el Parlamento Europeo, se conseguirá que el instrumento sea objeto de un debate democrático y goce del apoyo y el reconocimiento necesarios.

—

Acuerdo entre los Estados Unidos de América y la Oficina Europea de Policía, de 6 de diciembre de 2001, y suplemento al Acuerdo entre los Estados Unidos de América y la Oficina Europea de Policía sobre el intercambio de datos personales e informaciones conexas, publicados en la sede electrónica de Europol.

—

Acuerdo sobre cooperación judicial entre los Estados Unidos de América y Eurojust, de 6 de noviembre de 2006, publicado en la sede electrónica de Eurojust.

—

Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007), firmado en Bruselas el 23 de julio de 2007 y en Washington el 26 de julio de 2007 (DO L 204 de 4.8.2007, p. 18).

—

Canje de notas entre las autoridades de EE.UU. y de la UE sobre el Programa de Seguimiento de la Financiación del Terrorismo, de 28 de junio de 2007.

—

Principios rectores de las Naciones Unidas sobre la reglamentación de los ficheros computadorizados de datos personales, adoptados por la Asamblea General el 14 de diciembre de 1990 (pueden consultarse en inglés en www.unhchr.ch/html/menu3/b/71.htm).

—

Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981 (puede consultarse en http://www.boe.es/boe/dias/1985/11/15/pdfs/A36000-36004.pdf).

—

Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales, adoptadas el 23 de septiembre de 1980 (pueden consultarse en www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html).

—

Proyecto de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (puede consultarse en http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=es&DosId=193371).

—

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/13

1.

El 30 de mayo de 2008 se adoptó la Comunicación de la Comisión al Parlamento Europeo, al Consejo y al Comité Económico y Social «Hacia una estrategia europea en materia de e-Justicia (Justicia en línea)» (denominada en adelante «la Comunicación». De conformidad con el artículo 41 del Reglamento (CE) no 45/2001, el SEPD transmite el presente dictamen.

2.

La Comunicación tiene por objeto proponer una estrategia de justicia en línea encaminada a aumentar la confianza de los ciudadanos en el Espacio Europeo de Justicia. El principal objetivo de la justicia en línea debería consistir en contribuir a una más eficaz administración de justicia en toda Europa, en beneficio de sus ciudadanos. La acción de la UE debería permitir a los ciudadanos acceder a la información sin obstáculos lingüísticos, culturales ni jurídicos derivados de la multiplicidad de sistemas. Se adjuntan a la Comunicación un proyecto de un plan de acción y un calendario para los distintos proyectos.

3.

El presente dictamen del SEPD formula observaciones a la Comunicación, en la medida en que ésta guarda relación con el tratamiento de datos personales, la protección de la intimidad en el sector de las comunicaciones electrónicas y la libre circulación de datos.

4.

El Consejo JAI (3) señaló en junio de 2007 varias prioridades para el desarrollo de la justicia en red:

5.

Desde entonces se han realizado avances constantes de los trabajos sobre justicia en red. A juicio de la Comisión, los trabajos efectuados en este marco deben velar por que se dé prioridad a los proyectos operativos y a las estructuras descentralizadas, al tiempo que se prevé una coordinación en el plano europeo, teniendo en cuenta los instrumentos legales existentes, y se utilizan herramientas de TI para aumentar su eficacia. El Parlamento Europeo ha expresado igualmente su apoyo al proyecto de Justicia en red (4).

6.

La Comisión ha alentado sistemáticamente, tanto en materia civil como penal, el empleo de las tecnologías modernas de la información. De ello se derivan instrumentos como el requerimiento europeo de pago. Desde 2003, la Comisión gestiona el «portal» de la Red Judicial Europea en materia civil y mercantil, accesible a los ciudadanos en 22 lenguas. Además, la Comisión ha concebido y establecido el Atlas Judicial Europeo. Estas herramientas son elementos precursores de un futuro marco europeo de Justicia en red. En materia penal, la Comisión ha trabajado en la elaboración de un instrumento que permita intercambiar información procedente de los registros de antecedentes penales de los Estados miembros (5). Tanto la Comisión como Eurojust han desarrollado sistemas de comunicaciones protegidos con las autoridades nacionales.

7.

La Justicia en red pretende ofrecer numerosas oportunidades para que el Espacio Judicial Europeo se haga más concreto a los ojos de los ciudadanos en los próximos años. Con miras al establecimiento de una estrategia general para este importante asunto, la Comisión adoptó la actual Comunicación sobre Justicia en línea. La Comunicación establece unos criterios objetivos para la determinación de prioridades, en especial para futuros proyectos a escala europea destinados a conseguir resultados palpables en un plazo razonable.

8.

El documento de trabajo de los servicios de la Comisión, que constituye un documento complementario de la Comunicación y contiene un resumen analítico de la evaluación de impacto, aporta también cierta información sobre los antecedentes (6). El informe sobre evaluación de impacto se ha elaborado atendiendo a las reacciones de los Estados miembros, las autoridades judiciales, los profesionales del Derecho, los ciudadanos y las empresas. No se ha consultado al SEPD. El informe sobre evaluación de impacto daba preferencia a un opción política para hacer frente a los problemas en la que se combina la dimensión europea y la competencia nacional. La Comunicación ha optado por esta opción política. La estrategia se centrará en el empleo de videoconferencias, la creación de un portal de Justicia en red, la mejora de las comunicaciones entre autoridades judiciales, la mayor interconexión de los registros nacionales y el empleo de aplicaciones en línea para los procedimientos europeos (por ejemplo, el requerimiento europeo de pago).

9.

El SEPD respalda el enfoque de las citadas medidas. En general, es favorable a un planteamiento global de la Justicia en red. Coincide en la triple necesidad de mejorar el acceso a la justicia, la cooperación entre las autoridades judiciales europeas y la eficacia del propio sistema de justicia. Este planteamiento afecta a varias instituciones y a diversas personas:

10.

La Comunicación se relaciona estrechamente con la propuesta de Decisión del Consejo sobre el establecimiento del sistema de información europeo de antecedentes penales (ECRIS). El 16 de septiembre de 2008, el SEPD adoptó un dictamen sobre esa propuesta (7). En éste manifestaba su apoyo a la propuesta, a condición de que se tuvieran en cuenta una serie de consideraciones. Señalaba, en particular, que la actual carencia de un marco jurídico general sobre cooperación entre autoridades policiales y judiciales debería compensarse con garantías complementarias en materia de protección de datos. Destacaba, por lo tanto, la necesidad de una coordinación eficaz en la supervisión de la protección de datos del sistema, que abarca a las autoridades de los Estados miembros y a la Comisión en su calidad de proveedor de la estructura de comunicaciones común.

11.

Merecen recordarse algunas de las recomendaciones de ese dictamen:

12.

Estas recomendaciones siguen siendo ilustrativas del contexto en que se efectuará el análisis de la actual Comunicación.

13.

La Justicia en red tiene un ámbito de utilización muy variado, que abarca de manera general la utilización de las TIC en la administración de justicia dentro de la Unión Europea. Esto incluye una serie de aspectos, como proyectos que aportan información de manera más eficaz a las partes en un litigio, lo que implica información en línea sobre los sistemas judiciales, la legislación y la jurisprudencia, sistemas de comunicaciones electrónicas que pongan en contacto a los litigantes con los órganos jurisdiccionales y el establecimiento de procedimientos totalmente electrónicos. Abarca igualmente proyectos europeos como la utilización de aplicaciones electrónicas para llevar un registro de las vistas y proyectos relativos al intercambio de información o sobre interconexión.

14.

Si bien el ámbito de aplicación es muy amplio, el SEPD ha observado que habrá información sobre procesos penales y sobre los sistemas judiciales civil y mercantil, pero no sobre los sistemas judiciales administrativos. Se contará con un enlace a un atlas penal y a un atlas civil, pero no a un atlas administrativo, aún cuando podría ser más conveniente que los ciudadanos y las empresas pudieran acceder a los sistemas judiciales administrativos, es decir, a los procedimientos de Derecho administrativo y de recurso administrativo. Debería preverse asimismo un enlace a la Asociación de Consejos de Estado. Estos añadidos podrían ser de gran utilidad a los ciudadanos que intentan orientarse en la maraña que en muchos casos constituyen el Derecho administrativo y todos sus tribunales, para estar mejor informados sobre los sistemas judiciales administrativos.

15.

Por consiguiente, el SEPD recomienda la inclusión de los procedimientos administrativos en la Justicia en red. Como parte de este nuevo elemento, deberían iniciarse proyectos sobre Justicia en red encaminados a reforzar la notoriedad de las normas de protección de datos y de las autoridades nacionales de protección de datos, especialmente por lo que respecta a los tipos de datos tratados en el marco de la Justicia en red. Esto se ajustaría a la denominada «iniciativa de Londres», lanzada por las autoridades de protección de datos en noviembre de 2006 y relativa a unas «Claves para la comunicación de la protección de datos y cómo incrementar su eficacia».

16.

A raíz del aumento constante del intercambio de datos personales entre autoridades judiciales previsto en la Comunicación, el marco jurídico aplicable de protección de datos asume una importancia aún mayor. En este sentido, el SEPD observa que, tres años después de la propuesta inicial de la Comisión, el Consejo de la Unión Europea adoptó el 27 de noviembre la Decisión marco relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (8). Este nuevo acto legislativo aportará un marco jurídico general sobre protección de datos para cuestiones del «tercer pilar», además de las disposiciones sobre protección de datos relativas al «primer pilar» de la Directiva 95/46/CE.

17.

El SEPD expresa su satisfacción por este instrumento jurídico, que constituye un primer avance considerable en materia de protección de datos en los ámbitos de la cooperación policial y judicial. Sin embargo, el nivel de protección de datos que se consigue en el texto definitivo no resulta plenamente satisfactorio. En particular, la Decisión marco se refiere únicamente a los datos policiales y judiciales intercambiados entre Estados miembros, autoridades y sistemas de la UE, y no incluye los datos nacionales. Por lo demás, la Decisión marco adoptada no establece la obligación de distinguir entre las diversas categorías de personas a que se refieren los datos, como sospechosos, delincuentes, testigos y víctimas, a fin de velar por que sus datos se traten con salvaguardias más adecuadas. No aporta una coherencia total con la Directiva 95/46/CE, especialmente en cuanto a la limitación de las finalidades para las que es posible un tratamiento sucesivo de datos personales. Tampoco prevé un grupo independiente de autoridades pertinentes de protección de datos nacionales y de la UE, que podría garantizar una mejor coordinacion entre autoridades de protección de datos y aportar una importante contribución a la aplicación uniforme de la Decisión marco.

18.

Esto supondría que, en un contexto en que se dedican esfuerzos considerables a la creación de sistemas comunes de intercambio transfronterizo de datos personales, sigan existiendo divergencias de las normas conforme a las cuales se tratan estos datos y los ciudadanos pueden ejercer sus derechos en los distintos países de la UE.

19.

El SEPD reitera una vez más que la garantía de un nivel elevado de protección de datos en la cooperación policial y judicial, así como de la coherencia con la Directiva 95/46/CE, constituye un complemento necesario de otras medidas adoptadas o previstas para facilitar el intercambio transfronterizo de datos personales en el ámbito policial y judicial. Esto obedece no sólo al derecho de los ciudadanos de que se respete su derecho fundamental a la protección de los datos personales, sino también a la necesidad de que las autoridades policiales y judiciales puedan velar por la calidad de los datos intercambiados (como se confirma en el anexo de la Comunicación en relación con la interconexión de los registros de antecedentes penales), de que exista confianza entre las autoridades de distintos países, y en última instancia, de validez jurídica de los testimonios obtenidos en un contexto transfronterizo.

20.

Por lo tanto, el SEPD alienta a las instituciones de la UE a que tengan en cuenta concretamente estos elementos, no sólo a la hora de aplicar las medidas previstas en la Comunicación, sino también con miras a iniciar cuanto antes la reflexión sobre nuevas mejoras del marco jurídico de protección de datos en el ámbito policial y judicial.

21.

El SEPD reconoce que los intercambios de datos personales son elementos esenciales de la creación de un espacio de libertad, seguridad y justicia. Por tal motivo, el SEPD respalda la propuesta de una estrategia de Justicia en línea, al tiempo que destaca la importancia de la protección de datos en este contexto. En efecto, el respeto de la protección constituye no sólo una obligación legal, sino también un elemento esencial para el éxito de los sistemas previstos, por ejemplo la garantía de la calidad de los intercambios de datos. Esto vale igualmente para las instituciones y órganos que tratan datos personales y a la hora de definir nuevas políticas. Las normas y principios deben aplicarse y seguirse en la práctica, y tenerse especialmente en cuenta en las fases de concepción y creación de sistemas de información. La intimidad y la protección de datos constituyen esencialmente «elementos clave para el éxito» de una sociedad de la información próspera y equilibrada. Tiene sentido, por tanto, invertir en ello, y hacerlo cuanto antes.

22.

En este contexto, el SEPD subraya que la Comunicación no prevé una base de datos europea central. Celebra la preferencia de unas arquitecturas descentralizadas. El SEPD recuerda que emitió sendos dictámenes sobre el ECRIS (9) y sobre la iniciativa de Prüm (10). En su dictamen sobre el ECRIS, el SEPD manifestaba que una arquitectura descentralizada evita que se sigan duplicando los datos personales en una base de datos central. En su dictamen relativo a la iniciativa de Prüm aconsejaba que se tuviera debidamente en cuenta la escala del sistema a la hora de tratar la cuestión de la interconexión entre bases de datos. Deberían establecerse, en particular, formatos específicos para la comunicación de datos, como por ejemplo solicitudes de antecedentes penales, que tengan en cuenta también las diferencias de idiomas, y debería hacerse un seguimiento permanente de la exactitud de los intercambios de datos. Estos elementos deberían tenerse en cuenta igualmente en el contexto de las iniciativas que se derivaran de la estrategia de Justicia en red.

23.

La Comisión Europea tiene intención de contribuir al refuerzo y al desarrollo de aplicaciones de Justicia en red en el plano europeo, en estrecha coordinación con los Estados miembros y con otros socios. Al mismo tiempo que respalda los esfuerzos de los Estados miembros, se propone desarrollar por su parte una serie de herramientas informáticas destinadas a mejorar la interoperabilidad de los sistemas, a facilitar el acceso del público a la justicia y la comunicación entre autoridades judiciales, y a conseguir importantes economías de escala en el plano europeo. Por lo que respecta a la interoperabilidad de los programas informáticos empleados por los Estados miembros, no todos ellos deben emplear necesariamente el mismo programa (aun cuando ésta sería la opción más práctica), pero todos los programas que se utilicen deben ser plenamente interoperables.

24.

El SEPD recomienda que la interconexión y la interoperabilidad de los sistemas tengan debidamente en cuenta el principio de limitación de la finalidad y se elaboren en torno a normas de protección de datos («intimidad en la concepción»). Además, toda forma de interacción entre dos sistemas distintos debería ser objeto de una documentación completa. La interoperabilidad no debería servir para que una autoridad no habilitada para consultar o explotar determinados datos pueda acceder a ellos por medio de otro sistema informático. El SEPD desea destacar una vez más que la interoperabilidad no debería justificar por sí sola la vulneración del principio de limitación de la finalidad (11).

25.

Por lo demás, otro aspecto crucial consiste en velar por que la mejora del intercambio transfronterizo de datos personales vaya acompañada de un refuerzo de la supervisión y la cooperación de las autoridades de protección de datos. En su dictamen de 29 de mayo de 2006 sobre la propuesta de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (12), el SEPD había destacado ya que la Decisión marco propuesta no sólo debería tratar de la cooperación entre las autoridades centrales, sino también de la cooperación entre las diversas autoridades competentes de protección de datos. Esta necesidad ha adquirido una importancia tanto mayor cuanto que las negociaciones sobre la Decisión marco adoptada recientemente, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (13), dieron lugar a la supresión de la disposición relativa a la creación de un grupo de trabajo que reuniría a las autoridades de protección de datos de la UE y coordinaría sus actividades en lo tocante al tratamiento de datos en el marco de la cooperación policial y judicial en materia penal. Así pues, con vistas a garantizar una supervisión eficaz y una buena calidad de la circulación de datos personales extraídos de los registros de antecedentes penales, deberían contemplarse mecanismos para la coordinación eficaz entre autoridades de protección de datos. (14) Estos mecanismos deberían tener en cuenta además la competencia de supervisión del SEPD en relación con la infraestructura s-TESTA (15). Las aplicaciones de Justicia en red podrían respaldar estos mecanismos, que podrían desarrollarse en estrecha cooperación con las autoridades de protección de datos.

26.

En su punto 4.2.1, la Comunicación señala la importancia de que los intercambios de información extraída de registros de antecedentes penales se extiendan más allá de la cooperación judicial e integren otros objetivos (controles previos al acceso a determinados empleos, por ejemplo). El SEPD subraya que el tratamiento de datos personales con finalidades distintas de aquéllas para los que se obtuvieron debería respetar las condiciones específicas establecidas en la legislación de protección de datos aplicable. En particular, sólo debería admitirse el tratamiento de datos personales con otras finalidades cuando sea necesario en pro de intereses previstos en la legislación comunitaria sobre protección de datos (16), y a condición de que estén establecidos mediante medidas legislativas.

27.

La Comunicación declara, en relación con la interconexión de registros de antecedentes penales, que la Comisión, como parte de los preparativos de la entrada en vigor de la Decisión marco del registro de antecedentes penales, lanzará dos estudios de viabilidad con el fin de seguir la evolución del proyecto, y ampliar el intercambio de información a los nacionales de los Estados terceros que sean objeto de condenas penales. En 2009, la Comisión pondrá a disposición de los Estados miembros un programa informático para que todos los registros de antecedentes penales puedan participar en los intercambios en breve plazo. Este sistema de referencia, combinado con el recurso a s-TESTA para el intercambio de información, permitirá realizar economías de escala evitando a cada Estado miembro efectuar sus propios avances y simplificará el funcionamiento técnico del proyecto.

28.

Con esta perspectiva, el SEPD celebra la utilización de la infraestructura s-TESTA, que ha dado pruebas de ser un sistema fiable de intercambio de datos, y recomienda que se definan detalladamente los elementos estadísticos relativos a los sistemas de intercambio de datos previstos y que éstos tentan en cuenta adecuadamente la necesidad de garantizar la supervisión de la protección de datos. Por ejemplo, los datos estadísticos podrían incluir expresamente elementos como el número de peticiones de acceso o de rectificaciones de datos personales, la duración y la exhaustividad del proceso de actualización, la categoría de personas que pueden acceder a estos datos, y los casos de quebrantamientos de la seguridad. Además, los datos estadísticos y los informes basados en ellos deberían ponerse en su totalidad a disposición de las autoridades competentes de protección de datos.

29.

El recurso a la traducción automática constituye un instrumento útil que puede contribuir a la comprensión mutua entre los interlocutores pertinentes de los Estados miembros. Ahora bien, el recurso a la traducción automática no debería dar lugar al menoscabo de la calidad de la información intercambiada, en particular cuando esta información se utilice para adoptar decisiones que tengan efectos jurídicos para los interesados. El SEPD observa que es importante definir y circunscribir claramente el empleo de la traducción automática. Existe la posibilidad de que el recurso a la traducción automática para la transmisión de información que no haya sido traducida previamente con exactitud, como los comentarios o especificaciones adicionales adjuntos a casos concretos, afecte a la calidad de la información transmitida, y por consiguiente de las resoluciones que se adopten basándose en esa información, por lo que en principio debería excluirse (17). El SEPD sugiere que se tenga en cuenta esta recomendación en las medidas derivadas de la Comunicación.

30.

La Comunicación aspira a crear una base de datos para traductores e intérpretes jurídicos, para que mejore la calidad de la traducción y la interpretación jurídicas. El SEPD refrenda este objetivo, pero recuerda que esta base de datos estará sujeta a la aplicación de la legislación pertinente en materia de protección de datos. En particular, en caso de que la base de datos contenga datos de evaluación de las prestaciones de los traductores, podría estar sujeta a control previo por parte de las autoridades competentes de protección de datos.

31.

En su apartado 5, la Comunicación observa que habrá que proceder a una distribución clara de las responsabilidades entre la Comisión, los Estados miembros y los demás participantes en la cooperación judicial. La Comisión asumirá un papel general de coordinación, favoreciendo los intercambios de buenas prácticas, y concebirá, instaurará y coordinará la información en el portal de e-Justicia. Por otra parte, la Comisión proseguirá los trabajos sobre la interconexión de los registros de antecedentes penales, y seguirá asumiendo la responsabilidad directa de la Red Judicial Civil y apoyando la Red Judicial Penal. Los Estados miembros deberán actualizar la información sobre sus sistemas judiciales que se presenta en el portal e-Justicia. Entre los demás actores presentes se cuentan las redes civil y penal y Eurojust. Éstas desarrollarán las herramientas necesarias para una cooperación judicial más eficaz, en particular herramientas de traducción automática y el sistema de intercambio seguro, en estrecho contacto con la Comisión. Se adjuntan a la Comunicación un proyecto de plan de acción y un calendario para los distintos proyectos.

32.

En este contexto, el SEPD subraya, por una parte, que en el sistema ECRIS no se crea ninguna base de datos central europea ni se prevé el acceso directo a bases de datos como las que contienen los registros de antecedentes penales de otros Estados miembros, a la vez que, por otra parte, en el plano nacional las responsabilidades en materia de información correcta están centralizadas, correspondiendo a las autoridades centrales de los Estados miembros. En el marco de este mecanismo, los Estados miembros son responsables del funcionamiento de las bases de datos nacionales y del funcionamiento eficiente de los intercambios. No está claro si son responsables o no de los programas informáticos de interconexión. La Comisión dotará a los Estados miembros de programas informáticos diseñados para permitir el intercambio de la totalidad de los registros de antecedentes penales en un plazo breve. Este sistema de referencia se combinará con el uso de s-TESTA para el intercambio de información.

33.

El SEPD da por supuesto que también en el contexto de iniciativas análogas de Justicia en red podrían aplicarse sistemas similares, y que la Comisión será responsable de la infraestructura común, si bien esto no se especifica en la Comunicación. El SEPD sugiere que se aclare esta responsabilidad en las medidas derivadas de la Comunicación, en aras de la seguridad jurídica.

34.

En el anexo se enumera una serie de proyectos que habrán de llevarse a cabo en los próximos cinco años. El primero de ellos, el desarrollo de las páginas de e-Justicia, se refiere al portal e-Justicia. Esta acción requiere un estudio de viabilidad y el desarrollo del portal. Además, exige la aplicación de métodos de gestión e información en línea en todas las lenguas de la UE. El segundo y el tercer proyecto tratan de la interconexión de los registros de antecedentes penales. El proyecto 2 se refiere a la interconexión de los registros de antecedentes penales nacionales. El proyecto 3 prevé la creación de un catálogo europeo de ciudadanos de Estados terceros que hayan sido condenados, consecutivo a un estudio de viabilidad y a la presentación de una propuesta legislativa. El SEPD observa que este último proyecto ya no se menciona en el programa de trabajo de la Comisión, y se pregunta si esto refleja un cambio en las previsiones de proyectos de la Comisión o bien un mero aplazamiento de este proyecto en concreto.

35.

La Comunicación enumera asimismo tres proyectos en el ámbito de los intercambios electrónicos y tres en el ámbito de las ayudas a la traducción. Se acometerá un proyecto piloto sobre creación progresiva de un vocabulario jurídico multilingüe comparado. Otros proyectos significativos guardan relación con la creación de formularios dinámicos que acompañen a los textos legislativos europeos, y con el fomento del uso de la videoconferencia por parte de las autoridades judiciales. Por último, como parte de los foros de Justicia en red, se celebrarán reuniones anuales sobre temas de la Justicia en red y se desarrollará la formación de los profesionales del derecho en cooperación judicial. El SEPD sugiere que estas reuniones y formaciones atiendan debidamente a la legislación y los usos en materia de protección de datos.

36.

Por consiguiente, en el anexo se prevé una amplia gama de herramientas europeas destinadas a facilitar el intercambio de información entre agentes de distintos Estados miembros. Entre éstas habrá de desempeñar un papel importante el portal e-Justicia, del que la Comisión será el principal responsable.

37.

Una característica común de muchas de estas herramientas es el hecho de que la información y los datos personales serán intercambiados y manipulados por diversos actores en el plano nacional y en el de la UE que están sujetos a obligaciones en materia de protección de datos, y por autoridades de supervisión establecidas al amparo de la Directiva 95/46/CE y del Reglamento (CE) no 45/2001. En este sentido, como ya había dejado patente el SEPD en su dictamen sobre el Sistema de Información del Mercado Interior (IMI) (18), es indispensable velar por que las responsabilidades en materia de cumplimiento de las normas de protección de datos se garanticen de manera eficiente y sin fisuras.

38.

Para ello fundamentalmente es menester, por una parte, que se definan y asignen claramente las responsabilidades del tratamiento de datos personales, y por otra, que se establezcan mecanismos adecuados de coordinación, especialmente en materia de supervisión, cuando sea necesario.

39.

El recurso a las nuevas tecnologías es una de las piedras angulares de las iniciativas sobre Justicia en red: la interconexión de los registros nacionales, el desarrollo de la firma electrónica, las redes seguras, las plataformas de intercambio virtual y el mayor recurso a la videoconferencia serán elementos esenciales de las iniciativas sobre Justicia en red a lo largo de los próximos años.

40.

En este contexto resulta esencial que las consideraciones de protección de datos se tengan en cuenta lo más precozmente posible y se integren en la arquitectura de las herramientas previstas. En concreto, revisten especial importancia tanto la arquitectura del sistema como la aplicación de medidas de seguridad suficientes. Este planteamiento de «intimidad en la concepción» permitiría que las iniciativas de Justicia en red pertinentes dispusieran una gestión eficaz de los datos personales al tiempo que garantizaran el cumplimiento de los principios de protección de datos y la seguridad de los intercambios de datos entre distintas autoridades.

41.

Por lo demás, el SEPD destaca que los instrumentos tecnológicos no deben emplearse únicamente para garantizar el intercambio de información, sino también para reforzar los derechos de los interesados. Con esta perspectiva, el SEPD celebra que la Comunicación haga referencia a la posibilidad de que los ciudadanos soliciten sus antecedentes penales en línea y en el idioma de su elección (19). A este respecto, el SEPD recuerda que, en su dictamen relativo a la propuesta de la Comisión sobre el intercambio de registros de antecedentes penales, había expresado satisfacción por la posibilidad de que el interesado solicitara información sobre sus propios antecedentes penales a la autoridad central de un Estado miembro, a condición de que esta persona fuese o hubiese sido residente o nacional del Estado miembro requerido o requirente. La idea de emplear como «ventanilla única» la autoridad más cercana al interesado había sido presentada por el SEPD también en el ámbito de la coordinación de los sistemas de seguridad social. Así pues, el SEPD anima a la Comisión a proseguir por este camino, propiciando el desarrollo de herramientas tecnológicas (y en particular, el acceso en línea) que permitan a los ciudadanos ejercer un mejor control de sus datos personales aun en caso de que se desplacen por distintos Estados miembros.

42.

El SEPD respalda la presente propuesta de establecer la Justicia en red, y recomienda que se tengan en cuenta las observaciones formuladas en el presente dictamen, entre las que cabe mencionar las siguientes:

6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/20

1.

El 2 de julio de 2008, la Comisión adoptó una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (denominada en lo sucesivo «la propuesta») (1). La Comisión transmitió la propuesta al SEPD a fin de consultarlo de conformidad con el artículo 28, apartado 2 del Reglamento (CE) no 45/2001.

2.

El objetivo de la propuesta es la creación de un marco comunitario para la asistencia sanitaria transfronteriza dentro de la UE, para los casos en los que la asistencia que buscan los pacientes se dispense en un Estado miembro distinto al de residencia. Se estructura en tres ámbitos principales:

3.

Los objetivos de este marco son dobles: aportar la suficiente claridad acerca del derecho al reembolso de la asistencia sanitaria dispensada en otros Estados miembros, y velar por que se garanticen en la asistencia sanitaria transfronteriza los requisitos necesarios en cuanto a calidad, seguridad y eficacia.

4.

La aplicación de un régimen de asistencia sanitaria transfronteriza exige el intercambio entre las organizaciones y profesionales sanitarios autorizados de los datos personales pertinentes de los pacientes que guardan relación con la salud (denominados en lo sucesivo «datos relativos a la salud»). Estos datos se consideran sensibles y se incluyen en las normas de protección de datos más rigurosas previstas en el artículo 8 de la Directiva 95/46/CE, sobre tratamiento de categorías especiales de datos.

5.

El SEPD celebra que se le haya consultado a este respecto y que se haya mencionado esta consulta en el preámbulo de la propuesta, de conformidad con el artículo 28 del Reglamento (CE) no 45/2001.

6.

Es la primera vez que se consulta formalmente al SEPD sobre una propuesta de Directiva en el ámbito de la asistencia sanitaria. Así pues, en el presente dictamen se formulan algunas observaciones de alcance más general en las que se abordan cuestiones generales de protección de datos personales en el sector de la asistencia sanitaria, que podrían ser igualmente aplicables para otros instrumentos jurídicos pertinentes (de carácter vinculante o no).

7.

Ya desde el inicio, el SEPD desea expresar su respaldo a las iniciativas de mejora de las condiciones de la asistencia sanitaria transfronteriza. De hecho, esta propuesta debe examinarse en el contexto del programa general de la CE para mejorar la salud de los ciudadanos en la sociedad de la información. Entre las restantes iniciativas a este respecto cabe mencionar la Directiva y la comunicación previstas sobre donación y el trasplante de órganos humanos (2), la Recomendación sobre la interoperabilidad transfronteriza de los sistemas de historiales médicos electrónicos (3), así como la comunicación prevista sobre la telemedicina (4). Preocupa al SEPD, sin embargo, el hecho de que todas estas iniciativas relacionadas entre sí no tengan estrechos nexos o interconexiones en materia de protección de la intimidad y seguridad de los datos, dificultando así la adopción de un planteamiento uniforme de protección de datos en la asistencia sanitaria, en particular por lo que atañe al uso de nuevas tecnologías TIC. Sirva de ejemplo que, al tiempo que en la presente propuesta se menciona expresamente la telemedicina en el considerando 10 de la Directiva propuesta, no se hace referencia alguna a la dimensión de protección de datos de la comunicación pertinente de la CE. Más aún, pese a que los historiales clínicos electrónicos son una de las formas posibles de comunicación transfronteriza de datos relativos a la salud, no se establece ningún nexo con las cuestiones relativas a la protección de la intimidad abordadas en la Recomendación pertinente de la Comisión (5). Esto da la impresión de que aún no existe una perspectiva general claramente definida de la protección de la intimidad en la asistencia sanitaria, y que en algunos casos ésta es totalmente inexistente.

8.

Esto mismo se observa en la presente propuesta, en la que el SEPD lamenta observar que no se abordan de manera concreta las repercusiones en el ámbito de la protección de datos. Es cierto que pueden encontrarse menciones relativas a la protección de datos, pero éstas son principalmente de carácter general y no reflejan adecuadamente las necesidades y exigencias específicas de la asistencia sanitaria transfronteriza en lo que respecta a la protección de la intimidad.

9.

El SEPD desea destacar que un planteamiento de la protección de datos uniforme y sólido en todos los instrumentos sobre asistencia sanitaria propuestos no sólo garantizará el derecho fundamental de los ciudadanos o la protección de sus datos sino que también contribuirá al ulterior desarrollo de la asistencia sanitaria transfronteriza en la UE.

10.

El objetivo más destacado de la Comunidad Europea ha sido el de establecer un mercado interior, un espacio sin fronteras interiores, en el que la libre circulación de mercancías, personas, servicios y capitales está garantizada. Evidentemente, el permitir a los ciudadanos desplazarse y residir con más facilidad en otros Estados miembros distintos del de su origen ha suscitado cuestiones relativas a la asistencia sanitaria. Por tal motivo, ya en la década de los noventa se presentaron ante el Tribunal de Justicia, en el contexto del mercado interior, preguntas relativas al reembolso de gastos médicos efectuados en otro Estado miembro. El Tribunal de Justicia reconoció que la libre prestación de servicios establecida en el artículo 49 del Tratado CE incluye la libertad de las personas de trasladarse a otro Estado miembro para recibir tratamiento médico (6). A raíz de ello, ya no podía dispensarse a los pacientes que desearan recibir asistencia sanitaria transfronteriza un trato diferente del dado a los nacionales en su país de origen que recibieran el mismo tratamiento médico sin cruzar la frontera.

11.

Estas sentencias del Tribunal se sitúan en el núcleo de la presente propuesta. Dado que la jurisprudencia del Tribunal se basa en casos individuales, la presente propuesta tiene la finalidad de aportar mayor claridad y garantizar una aplicación más general y efectiva de las libertades de recibir y de prestar servicios sanitarios. Sin embargo, como ya se ha indicado, la propuesta forma parte asimismo de un programa más ambicioso encaminado a mejorar la salud de los ciudadanos en la sociedad de la información, ámbito en el que la UE ve grandes posibilidades de mejorar la asistencia sanitaria transfronteriza con el uso de tecnologías de la información.

12.

Por razones evidentes, la instauración de normas para la asistencia sanitaria transfronteriza es un asunto delicado. Se sitúa en un ámbito sensible, en el que los Estados miembros han establecido sistemas nacionales divergentes, por ejemplo en lo tocante al seguro y al reembolso de los gastos o a la organización de la infraestructura de asistencia sanitaria, con inclusión de las redes y aplicaciones de información sobre atención sanitaria. Si bien en la propuesta actual el legislador comunitario se ha centrado exclusivamente en la asistencia sanitaria transfronteriza, las normas tendrán cuando menos cierta influencia en el modo en que se organizan los sistemas de asistencia sanitaria nacionales.

13.

La mejora de las condiciones de la asistencia sanitaria transfronteriza redundará en beneficio de los ciudadanos. Sin embargo, al mismo tiempo conllevará ciertos riesgos para éstos. Es menester resolver muchos problemas prácticos inherentes a la cooperación transfronteriza entre personas de distintos países que hablan idiomas distintos. Teniendo en cuenta la gran importancia que reviste para cada ciudadano gozar de buena salud, debería excluirse todo riesgo de error en la comunicación y de inexactitud consiguiente. Huelga decir que la intensificación de la asistencia sanitaria transfronteriza, junto con el recurso a las novedades en tecnologías de la información, tiene implicaciones importantes en la protección de los datos personales. El intercambio más eficiente (y por consiguiente, más frecuente) de datos relativos a la salud, el aumento de la distancia entre las personas y los organismos implicados, las diversas legislaciones nacionales que aplican las normas de protección de datos, todos ellos suscitan cuestiones relacionadas con la seguridad de los datos y la seguridad jurídica.

14.

Debe recalcarse que los datos relativos a la salud se consideran una categoría especial de datos, que son acreedores de una protección superior. Tal como lo señaló recientemente el Tribunal Europeo de Derechos Humanos en el contexto del artículo 8 del Convenio Europeo de Derechos Humanos: «La protección de los datos personales, en concreto de los datos médicos, es de esencial importancia en el disfrute de un individuo del derecho al respeto de su vida privada y familiar, tal y como garantiza el artículo 8 del Convenio» (7). Antes de explicar las normas más rigurosas para el tratamiento de los datos relativos a la salud que establece la Directiva 95/46/CE, dedicaremos algunas palabras al concepto de «datos relativos a la salud».

15.

La Directiva 95/46/CE no incluye una definición expresa de los datos relativos a la salud. Por lo regular se aplica una definición amplia, que habitualmente define a los datos relativos a la salud como «datos personales que tienen una relación clara y estrecha con la descripción del estado de salud de una persona» (8). En este sentido, por lo regular los datos relativos a la salud incluyen datos médicos (por ejemplo, derivaciones de pacientes y recetas médicas, protocolos de exploración clínica, pruebas de laboratorio, radiografías, etc.), así como datos financieros y administrativos relativos a la salud (por ejemplo, documentos relativos a hospitalizaciones, número de la seguridad social, programación de citas médicas, facturas por la prestación de servicios de asistencia sanitaria, etc.). Cabe señalarse que a veces se emplea también la expresión «datos médicos» (9) para denotar los datos relativos a la salud, así como la expresión «datos de asistencia sanitaria» (10). En el presente dictamen se empleará sistemáticamente la expresión «datos relativos a la salud».

16.

La norma ISO 27799 da una definición útil de los «datos relativos a la salud»: «cualquier información relacionada con la salud física o mental de una persona o con la prestación de un servicio sanitario a la persona, que puede incluir: a) información sobre el registro de la persona a efectos de la prestación de servicios sanitarios; b) información sobre pagos o sobre la posibilidad de la persona de acogerse a la asistencia sanitaria; c) un número, símbolo o seña particular atribuido a una persona para identificarla de manera exclusiva a efectos sanitarios; d) cualquier información sobre la persona recabada en el curso de la prestación de servicios sanitarios a esa persona; e) información derivada de pruebas clínicas o del examen clínico de una parte del cuerpo o de una sustancia corporal; y f) identificación de una persona (profesional sanitario) como proveedor de asistencia sanitaria a la persona».

17.

El SEPD es muy favorable a la adopción de una definición concreta de la expresión «datos relativos a la salud» en el contexto de la presente propuesta, que podría utilizarse también en el futuro en el marco de otros textos jurídicos pertinentes de la CE (véase la siguiente sección III).

18.

El artículo 18 de la Directiva 95/46/CE fija las normas para el tratamiento de categorías especiales de datos. Estas normas son más rigurosas que las relativas al tratamiento de otros datos, que se establecen en el artículo 7 de la Directiva 95/46/CE. Esto se pone de manifiesto ya al observar que el apartado 1 del artículo 8 declara expresamente que los Estados miembros prohibirán el tratamiento, entre otras cosas, de los datos relativos a la salud. En los apartados siguientes de este artículo se recogen diversas excepciones a esta norma, que son, sin embargo, más restrictivas que los motivos previstos en el artículo 7 para el tratamiento de datos personales normales. Por ejemplo, la prohibición no se aplicará si el interesado ha dado su consentimiento explícito (letra a) del apartado 2 del artículo 8), en contraposición con el consentimiento inequívoco exigido en la letra a) del artículo 7 de la Directiva 95/46/CE. Además, la legislación de un Estado miembro podrá prescribir que, en determinados casos, ni siquiera el consentimiento explicito del interesado pueda levantar la prohibición. El apartado 3 del artículo 8 se consagra exclusivamente al tratamiento de datos relativos a la salud. A tenor de este apartado, no se aplicará la prohibición del apartado 1 cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

19.

El artículo 8 de la Directiva 95/46/CE hace firme hincapié en el hecho de que los Estados miembros deberán disponer las garantías adecuadas. El apartado 4 del artículo 8, por ejemplo, permite que los Estados miembros establezcan otras excepciones a la prohibición del tratamiento de datos sensibles por motivos de interés público importantes, siempre que se dispongan las garantías adecuadas. Con esto se subraya, en líneas generales, la responsabilidad de los Estados miembros de poner especial cuidado en el tratamiento de datos sensibles, como son los relativos a la salud.

20.

Los Estados miembros deben ser particularmente conscientes de la antedicha responsabilidad cuando se trata de la cuestión del intercambio transfronterizo de datos relativos a la salud. Como ya se ha dicho, el intercambio transfronterizo de datos relativos a la salud incrementa el riesgo de tratamiento erróneo o ilegítimo de dichos datos. Es evidente que de ello pueden derivarse gravísimas consecuencias negativas para el interesado. Tanto el Estado miembro de afiliación (en el que el paciente está asegurado) como el Estado miembro de tratamiento (en el que se presta efectivamente la asistencia sanitaria) están implicados en este proceso, por lo que comparten la responsabilidad del mismo.

21.

En este contexto, la seguridad de los datos relativos a la salud se convierte en una cuestión importante. En el asunto reciente mencionado anteriormente, el Tribunal Europeo de Derechos Humanos atribuía especial trascendencia a la confidencialidad de los datos relativos a la salud: «Respetar la confidencialidad de los datos médicos es un principio vital en los sistemas legales de los Estados Contratantes del Convenio. Es crucial, no sólo respetar el sentido de la privacidad de un paciente, sino también, preservar su confidencialidad en la profesión médica y en los servicios de salud en general» (11).

22.

Las normas de protección de datos establecidas en la Directiva 95/46/CE exigen, además, que el Estado miembro de afiliación proporcione al paciente información adecuada, correcta y actualizada sobre la transmisión de sus datos personales a otro Estado miembro, velando al mismo tiempo por que la transmisión a dicho Estado miembro se efectúe de manera segura. El Estado miembro de tratamiento deberá velar asimismo por la recepción segura de estos datos y proporcionar a estos datos el nivel de protección adecuado cuando efectivamente se sometan a tratamiento, con arreglo a su legislación nacional de protección de datos.

23.

El SEPD desea que se hagan patentes en la propuesta las responsabilidades compartidas de los Estados miembros, teniendo presente asimismo la comunicación electrónica de datos, en particular en el contexto de nuevas aplicaciones de TIC, como se expone más adelante.

24.

La mejora del intercambio transfronterizo de datos relativos a la salud se efectúa en particular mediante el recurso a tecnologías de la información. Si bien aún es posible que el intercambio de datos en un régimen de asistencia sanitaria transfronteriza se efectúe en papel (por ejemplo en caso de que el paciente se traslade a otro Estado miembro y lleve consigo todos sus datos pertinentes relativos a la salud, como exámenes de laboratorio, derivaciones, etc.), se observa claramente que el objetivo final es recurrir en su lugar a los medios electrónicos. La comunicación electrónica de datos relativos a la salud contará con el soporte de los sistemas de información sobre asistencia sanitaria establecidos (o que vayan a establecerse) en los Estados miembros (en hospitales, clínicas, etc.), así como con el recurso a las nuevas tecnologías, como las aplicaciones de historial médico electrónico (que posiblemente funcionarán a través de internet) y otros instrumentos, como las cartillas sanitarias. Desde luego, será posible también el empleo combinado del soporte de papel y el intercambio electrónico, en función de los sistemas de asistencia sanitaria de los Estados miembros.

25.

Las aplicaciones de sanidad en línea y de telemedicina, que se inscriben en el ámbito de aplicación de la Directiva propuesta, dependerán exclusivamente del intercambio electrónico de datos relativos a la salud (por ejemplo signos vitales, imágenes, etc.), por lo regular junto con otros sistemas electrónicos existentes de información sobre asistencia sanitaria instaurados en los Estados miembros de tratamiento y de afiliación. Entre éstos se cuentan sistemas que funcionan tanto para la comunicación entre paciente y médico (por ejemplo el seguimiento y el diagnóstico a distancia) como entre médicos (por ejemplo la teleconsulta entre profesionales sanitarios para solicitar asesoramiento especializado sobre casos concretos de asistencia sanitaria). Otras aplicaciones más específicas de asistencia sanitaria que respaldarán el programa general de asistencia sanitaria transfronteriza podrían asimismo depender exclusivamente del intercambio electrónico de datos, por ejemplo la receta médica electrónica o la derivación electrónica de pacientes, que algunos Estados miembros aplican ya en el plano nacional (12).

26.

Teniendo en cuenta las consideraciones expuestas, junto con la actual diversidad de los sistemas sanitarios de los Estados miembros, así como el desarrollo cada vez mayor de aplicaciones de asistencia sanitaria en línea, surgen los dos siguientes ámbitos principales de inquietud en relación con la protección de datos personales en la asistencia sanitaria transfronteriza: a) los diversos niveles de seguridad que pueden aplicar los Estados miembros para la protección de los datos personales (desde el punto de vista de las medidas técnicas y de organización), y b) la integración de la protección de la intimidad en las aplicaciones de asistencia sanitaria en línea, especialmente en las más novedosas. Además, también podrían requerir especial atención otros aspectos, como la utilización secundaria de datos relativos a la salud, especialmente en el ámbito de la elaboración de estadísticas. Estas cuestiones se analizan con más detalle en el resto de la presente sección.

27.

Si bien las Directivas 95/46/CE y 2002/58/CE se aplican de manera uniforme en Europa, la interpretación y la incorporación de algunos de sus elementos pueden diferir en distintos países, especialmente en ámbitos en los que las disposiciones legales tienen carácter general y se dejan a discreción de los Estados miembros. En este sentido, el principal ámbito de consideración es la seguridad del tratamiento, es decir, las medidas (técnicas y de organización) que toman los Estados miembros para garantizar la seguridad de los datos relativos a la salud.

28.

Aun cuando la protección estricta de los datos relativos a la salud es responsabilidad de todos los Estados miembros, por el momento no existe una definición aceptada universalmente de lo que es un nivel «adecuado» de seguridad para la asistencia sanitaria dentro de la UE, que pueda aplicarse en el ámbito de la asistencia sanitaria transfronteriza. Así pues, por ejemplo, en un Estado miembro un hospital podría verse obligado por la reglamentación de protección de datos aplicada a escala nacional a adoptar medidas de seguridad específicas (como por ejemplo la definición de una política de seguridad y de códigos de conducta, normas específicas sobre externalización y recurso a contratistas externos, requisitos de auditoría, etc.), mientras que esto podría no ocurrir en otros Estados miembros. Esta falta de coherencia podría repercutir en el intercambio transfronterizo de datos, especialmente en formato electrónico, dado que no es posible garantizar que los datos gocen del mismo nivel de protección (desde un punto de vista técnico y de organización) entre distintos Estados miembros.

29.

Es menester, por consiguiente, una mayor armonización en este campo, consistente en la definición de un conjunto de requisitos comunes de seguridad para la asistencia sanitaria, que debería ser adoptado en común por los proveedores de servicios de asistencia sanitaria de los Estados miembros. Esta necesidad está claramente en consonancia con la necesidad general de definir principios comunes en los sistemas sanitarios de la UE, tal como se indica en la propuesta.

30.

Esto debería llevarse a cabo de manera genérica, sin imponer a los Estados miembros soluciones técnicas determinadas, pero sí sentando una base para el reconocimiento y la aceptación mutuos, por ejemplo en los ámbitos de la definición de la política de seguridad, la identificación y autenticación de los pacientes y los profesionales sanitarios, etc. Las normas europeas e internacionales existentes (por ejemplo ISO y CEN) de asistencia sanitaria y seguridad, así como conceptos técnicos con buena aceptación y fundamento jurídico [por ejemplo la firma electrónica (13)], podrían emplearse como referencia para el camino.

31.

El SEPD respalda la idea de una armonización de la seguridad en la asistencia sanitaria en el plano de la UE, y estima que la Comisión debería asumir las iniciativas correspondientes, ya en el marco de la actual propuesta (véase la sección III infra).

32.

La protección de la intimidad y la seguridad deberían integrarse en el diseño y la aplicación de cualquier sistema de asistencia sanitaria, y en particular en las aplicaciones de asistencia sanitaria en línea, como ya se ha mencionado en esta propuesta («privacidad en el diseño»). Este requisito indiscutible ha recibido recientemente el apoyo de otros documentos políticos importantes (14), tanto de carácter general como específico del ámbito de la asistencia sanitaria (15).

33.

En el marco de la interoperabilidad de los sistemas de asistencia sanitaria en línea que se aborda en la propuesta, debería destacarse una vez más el concepto de «privacidad en el diseño» que debería servir de base a todas las novedades previstas. Este concepto se aplica en diversos estratos: organizativo, semántico y técnico.

34.

El SEPD estima que el campo de las recetas médicas electrónicas podría utilizarse como el primer ámbito en el cual integrar las garantías de protección de la intimidad y de seguridad ya desde las primeras fases de su desarrollo (véase la sección III infra).

35.

Otro aspecto que cabría considerar en el marco del intercambio transfronterizo de datos relativos a la salud es la utilización secundaria de los datos de asistencia sanitaria, y en particular su uso con fines estadísticos, como se menciona en la actual propuesta.

36.

Según se ha indicado anteriormente en el punto 18, el artículo 8, apartado 4 de la Directiva 95/46/CE prevé la posibilidad de una utilización secundaria de datos relativos a la salud. Sin embargo, este tratamiento ulterior sólo debería efectuarse por motivos «de interés público importantes», y habría de estar sujeto a «garantías adecuadas» establecidas bien por la legislación nacional, bien por decisión de la autoridad de control (16). Además, en el caso del tratamiento de datos estadísticos, como también se menciona en el dictamen del SEPD sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (17), se plantea un riesgo adicional derivado del distinto significado que pueden tener los conceptos de «confidencialidad» y de «protección de datos» en la aplicación de la legislación sobre protección de datos, por una parte, y de la legislación sobre estadísticas, por otra.

37.

El SEPD desea hacer hincapié en los antedichos elementos en el contexto de la actual propuesta. Deberían incluirse referencias más explícitas a los requisitos de protección de datos para la utilización ulterior de datos relativos a la salud (véase la sección III infra).

38.

La propuesta incluye, en diversas partes del documento, una serie de referencias a la protección de datos y a la intimidad, y concretamente:

39.

El SEPD celebra que se haya tenido en cuenta la protección de datos en la redacción de la propuesta, y que se haya tratado de poner de manifiesto la necesidad general de intimidad en el contexto de la asistencia sanitaria transfronteriza. Sin embargo, las actuales disposiciones de la propuesta en materia de protección de datos son excesivamente generales, o bien se refieren a las responsabilidades de los Estados miembros de manera algo selectiva y dispersa:

Además, como ya se ha mencionado en la introducción del presente dictamen, no existe nexo ni referencia alguna a los aspectos relativos a la intimidad abordados en otros instrumentos jurídicos de la CE (vinculantes o no) en el ámbito de la asistencia sanitaria, especialmente en relación con el uso de nuevas aplicaciones de TIC (como la telemedicina o las historias clínicas electrónicas).

40.

De este modo, si bien por lo general se alude a la protección de la intimidad como un requisito de la asistencia sanitaria transfronteriza, sigue faltando el marco global, tanto en cuanto a las obligaciones de los Estados miembros como a las particularidades que se introducen con motivo del carácter transfronterizo de la prestación de servicios de asistencia sanitaria (en contraposición con la prestación nacional de servicios de asistencia sanitaria). Más concretamente:

41.

Por otra parte, el artículo 18, que trata de la recopilación de datos con fines estadísticos y de seguimiento, suscita algunas consideraciones particulares. El apartado 1 hace referencia a «datos estadísticos y otros datos complementarios»; emplea además, de manera global, la expresión «para efectuar un seguimiento», y a continuación enumera los ámbitos que están sujetos a esos fines de seguimiento, a saber, la prestación de asistencia sanitaria transfronteriza, la atención dispensada, los prestadores y los pacientes, el coste y los resultados. En este contexto, de por sí bastante confuso, se hace una referencia general a la legislación relativa a la protección de datos pero no se establecen requisitos específicos relativos a la utilización ulterior de los datos relativos a la salud, como se prevé en el artículo 8, apartado 4 de la Directiva 95/46/CE. Además, el apartado 2 contiene la obligación incondicional de transmitir este gran volumen de datos a la Comisión, al menos una vez al año. Como no se hace ninguna referencia expresa a una evaluación de la necesidad de esta transmisión, parecería que el legislador comunitario hubiera determinado ya la necesidad de efectuar estas transmisiones a la Comisión.

42.

Con objeto de atender adecuadamente a los elementos mencionados, el SEPD formula una serie de recomendaciones consistentes en cinco fases básicas de modificación que se describen a continuación.

43.

El artículo 4 define los términos fundamentales empleados en la propuesta. El SEPD recomienda vivamente que se introduzca en este artículo una definición de los datos relativos a la salud. Debería aplicarse una interpretación amplia de los datos relativos a la salud, como la que se describe en la sección II del presente dictamen (apartados 14 y 15).

44.

El SEPD también recomienda vivamente la introducción en la propuesta de un artículo concreto relativo a la protección de datos, que pueda implantar la dimensión global de la intimidad de manera clara y comprensible. Este artículo debería: a) describir las responsabilidades de los Estados miembros de afiliación y de tratamiento, incluyendo, entre otras cosas, la necesidad de seguridad del tratamiento, y b) determinar los principales ámbitos de evolución futura, a saber, la armonización de la seguridad y la integración de la protección de la intimidad en la sanidad en línea. Podrían incluirse disposiciones específicas para estos aspectos (dentro del artículo propuesto), según se presentan en las siguientes fases 3 y 4.

45.

Tras la modificación de la fase 2, el SEPD recomienda que la Comisión adopte un mecanismo para la definición de un nivel de seguridad —aceptable de manera común— correspondiente a los datos de asistencia sanitaria en el plano nacional, que tenga en cuenta las normas técnicas existentes en la materia. Esto debería quedar reflejado en la propuesta. Una posibilidad sería la aplicación por medio del procedimiento de comitología, por cuanto éste ya está descrito en el artículo 19 y se aplica a otras partes de la propuesta. Además, podrían emplearse instrumentos complementarios para la elaboración de directrices pertinentes, con participación de todas las partes interesadas, como el Grupo de Trabajo del Artículo 29 y el SEPD.

46.

El artículo 14, sobre el reconocimiento de recetas emitidas en otro Estado miembro, prevé el desarrollo de un modelo comunitario de receta, en apoyo de la interoperabilidad de las recetas electrónicas. Esta medida se adoptará mediante un procedimiento de comitología, como se define en el artículo 19, apartado 2 de la propuesta.

47.

El SEPD recomienda que el modelo de receta electrónica propuesto incorpore la protección de la intimidad y la seguridad, incluso en la definición semántica más básica de este modelo. Esto debería constar de forma expresa en el artículo 14, apartado 2, letra a). También en este caso la participación de todas las partes interesadas reviste la máxima importancia. En este sentido, el SEPD desea que se le informe y se le implique en futuras actuaciones relacionadas con este asunto, a través del procedimiento de comitología propuesto.

48.

Para evitar confusiones, el SEPD aboga por que se aclare el concepto de «otros datos complementarios» en el artículo 18, apartado 1. Además, debería modificarse este artículo en el sentido de hacer una referencia más explícita a los requisitos para la utilización ulterior de los datos relativos a la salud conforme a lo establecido en el artículo 8, apartado 4 de la Directiva 95/46/CE. Además, la obligación de transmitir todos los datos a la Comisión que figura en el apartado 2 debería supeditarse a una evaluación de la necesidad de esta transmisión, con fines legítimos que deberían precisarse debidamente con antelación.

49.

El SEPD desea expresar su respaldo a las iniciativas destinadas a mejorar las condiciones de la asistencia sanitaria transfronteriza. Le inquieta, sin embargo, el hecho de que las iniciativas en este ámbito no siempre están bien coordinadas en lo tocante a la utilización de TIC, la protección de la intimidad y la seguridad, lo que obstaculiza la adopción de un planteamiento universal de protección de datos en el ámbito de la asistencia sanitaria.

50.

El SEPD celebra que en la presente propuesta se haga referencia a la protección de la intimidad. Ahora bien, se requiere una serie de modificaciones, como se explica en la sección III del presente dictamen, para establecer requisitos claros tanto para el Estado miembro de tratamiento como para el de afiliación, así como para abordar adecuadamente la dimensión de protección de datos de la asistencia sanitaria transfronteriza:

6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/28

1.

El 13 de noviembre de 2007, la Comisión Europea adoptó una propuesta por la que se modificaba, entre otras, la Directiva sobre la privacidad y las comunicaciones electrónicas (1) (denominada en lo sucesivo «propuesta» o «propuesta de la Comisión»). El 10 de abril de 2008, el SEPD adoptó un dictamen sobre la Propuesta de la Comisión en la que hacía recomendaciones para mejorarla, en un intento de lograr que los cambios propuestos ofrecieran la mejor protección posible de la privacidad y de los datos personales («primer dictamen del SEPD») (2).

2.

El SEPD acogió con especial agrado la propuesta de la Comisión de crear un sistema de notificación obligatoria de los casos de violación de la seguridad, que obliga a las empresas a notificar a las personas afectadas que sus datos personales han estado expuestos a riesgos. Además, elogió también la nueva disposición que permitía a las personas jurídicas (p. ej. asociaciones de consumidores o proveedores de servicios de internet) incoar acciones judiciales contra quienes envíen «correo basura» como forma de complementar mejor los actuales instrumentos de lucha contra las comunicaciones no solicitadas.

3.

Durante los debates parlamentarios que precedieron a la primera lectura del Parlamento Europeo, el SEPD siguió asesorando con observaciones sobre determinadas cuestiones que surgían en los informes de las comisiones del Parlamento Europeo encargadas de revisar las Directivas sobre el servicio universal (3) y sobre la privacidad y las comunicaciones electrónicas («Observaciones») (4). Las observaciones abordaban sobre todo cuestiones relativas al tratamiento de datos de tráfico y la protección de los derechos de propiedad intelectual e industrial.

4.

El 24 de septiembre de 2008, el Parlamento Europeo («PE») adoptó una resolución legislativa sobre la Directiva sobre la privacidad y las comunicaciones electrónicas («primera lectura») (5). El SEPD consideró positivas varias de las enmiendas del PE que se adoptaron de acuerdo con el dictamen y los comentarios del SEPD antes citados. Entre los cambios importantes se encuentra la extensión a los proveedores de servicios de comunicaciones electrónicas (es decir, a las empresas activas en internet) de la obligación de notificar los casos de violación de la seguridad. El SEPD se felicitó asimismo de la enmienda que permite a las personas físicas y jurídicas incoar acciones por infracción de cualquier disposición de la Directiva sobre la privacidad y las comunicaciones electrónicas (y no sólo por las infracciones de las disposiciones relativas a las comunicaciones comerciales no solicitadas, como proponía, en principio, la Comisión). La primera lectura del Parlamento fue seguida de la adopción por la Comisión de una propuesta modificada de la Directiva sobre la privacidad y las comunicaciones electrónicas (en lo sucesivo, «propuesta modificada») (6).

5.

El 27 de noviembre de 2008, el Consejo llegó a un acuerdo político sobre la revisión del conjunto telecomunicaciones, incluida la Directiva sobre la privacidad y las comunicaciones electrónicas, que se convertirá en la posición común del Consejo («posición común») (7). La posición común se comunicará al PE de conformidad con el artículo 251.2 del Tratado constitutivo de la Comunidad Europea, lo que puede conllevar la propuesta de enmiendas por parte del PE.

6.

El Consejo modificó elementos esenciales del texto de la propuesta y no aceptó muchas de las enmiendas adoptadas por el PE. Aunque la posición común contiene, ciertamente, elementos positivos en su conjunto, al SEPD le preocupa su contenido, sobre todo porque no incorpora algunas de las enmiendas positivas propuestas por el PE, la propuesta modificada o los dictámenes del SEPD y de los organismos nacionales de protección de datos emitidos a través del Grupo del Artículo 29 sobre Protección de Datos (8).

7.

Por el contrario, en unos cuantos casos se han suprimido o debilitado sustancialmente las disposiciones de la propuesta modificada o las enmiendas del PE que ofrecían salvaguardias al ciudadano. Por ello, el grado de protección que se ofrece a la persona en la posición común resulta sustancialmente debilitado. Esta es la razón de que el SEPD emita un segundo dictamen, con la esperanza de que, a medida que la Directiva sobre la privacidad y las comunicaciones electrónicas avance en el proceso legislativo, se vayan adoptando nuevas modificaciones que restauren las salvaguardias de protección de datos.

8.

Este segundo dictamen se centra en algunos motivos esenciales de preocupación y no repite todos los argumentos del primer dictamen ni las observaciones del SEPD, todos los cuales conservan su validez. En particular, el presente dictamen trata las siguientes cuestiones:

9.

Al tratar las cuestiones citadas, este dictamen analiza la posición común del Consejo y la compara con la primera lectura del PE y con la propuesta modificada de la Comisión. El dictamen incluye recomendaciones para simplificar las disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas y para lograr que la Directiva siga protegiendo adecuadamente la intimidad y los datos personales de los particulares.

10.

El SEPD apoya la adopción de un sistema de notificación de las violaciones de la seguridad según el cual se comunique a las autoridades y a los particulares afectados en caso de riesgo para sus datos personales (9). La notificación de violaciones de la seguridad puede permitir a los interesados adoptar las medidas necesarias para atenuar los posibles daños consiguientes al riesgo. Además, la obligación de notificar las violaciones de la seguridad alentará a las empresas a mejorar la seguridad de los datos y su rendición de cuentas sobre los datos personales de los que son responsables.

11.

La propuesta modificada de la Comisión, la primera lectura del Parlamento y la posición común del Consejo representan tres planteamientos diferentes de la notificación de las violaciones de seguridad actualmente en estudio. Cada uno de los planteamientos tiene aspectos positivos, aunque el SEPD cree que caben mejoras en los tres y aconseja que se tengan en cuenta las recomendaciones que se describen más adelante cuando se estudien los últimos pasos para la adopción de un sistema de notificación de las violaciones de seguridad.

12.

Al analizar los tres sistemas de notificación de las violaciones de seguridad, hay que considerar cinco puntos esenciales: i) la definición de violación de la seguridad, ii) las entidades obligadas a notificar («entidades obligadas»), iii) las circunstancias o condiciones del suceso que desencadenan la obligación de notificar («condición desencadenante»), iv) la designación del organismo encargado de determinar si en una violación de seguridad se dan o no las circunstancias o condiciones que obligan a notificar y v) los destinatarios de la notificación.

13.

El Parlamento Europeo, la Comisión y el Consejo han adoptado planteamientos diversos para la notificación de las violaciones de seguridad. La primera lectura del PE modificaba el sistema inicial de notificación de las violaciones de seguridad establecido en la propuesta de la Comisióneach notification scheme set forth in the Commission's Proposal (10). Según el planteamiento del PE, la obligación de notificar no es aplicable únicamente a los proveedores de servicios de comunicaciones electrónicas de acceso público («PSCEP»), sino también a los proveedores de servicios de la sociedad de la información («PSSI»). Además, según este planteamiento, todas las violaciones de los datos personales tendrían que notificarse a la autoridad nacional de reglamentación o a las autoridades competentes (denominadas, en conjunto «las autoridades»). Si las autoridades determinan que la violación es grave, exigirán a los PSCEP y PSSI que se lo notifiquen al usuario afectado sin dilaciones indebidas. En caso de violaciones que representen un peligro directo e inminente, los PSCEP y PSSI deberán notificárselo al usuario afectado antes de notificar a las autoridades y no deberán esperar la determinación de la gravedad por las autoridades de reglamentación. Están exentas de la obligación de notificar al usuario las entidades que puedan demostrar a las autoridades que «se han aplicado las medidas de protección tecnológica convenientes», haciendo ininteligibles los datos a cualquier persona que no esté autorizada a acceder a ellos.

14.

Según el planteamiento del Consejo, la notificación también debe hacerse a los abonados y a las autoridades, pero sólo en casos en que la entidad obligada considere que la violación constituye un riesgo grave para la intimidad del abonado (es decir, fraude o usurpación de identidad, daño físico, humillación grave o daño para la reputación).

15.

La propuesta modificada de la Comisión mantiene la obligación del PE de notificar todas las violaciones a las autoridades, pero, a diferencia del planteamiento del PE, la propuesta modificada incluye una exención de la obligación de notificar a los afectados si el PSCEP ha demostrado a la autoridad competente que «no es razonablemente probable» que ocurra i) «ningún perjuicio» (pérdidas económicas, perjuicios sociales o usurpación de la identidad) de resultas de la violación de los datos personales, o ii) que ha aplicado «las medidas de protección tecnológica convenientes» a los datos objeto de la violación. Así, el planteamiento de la Comisión incluye un análisis de los perjuicios a los efectos de la notificación a los usuarios.

16.

Es importante advertir que según los planteamientos del PE (11) y de la Comisión, es a las autoridades a quienes corresponde determinar en última instancia si la violación es grave o si es probable que ocasione perjuicios. En cambio, según el planteamiento del Consejo, esa decisión incumbe a las entidades afectadas.

17.

Los planteamientos del Consejo y de la Comisión son aplicables únicamente a los PSCEP pero no, como el del PE, a los PSSI.

18.

El SEPD observa con agrado que las tres propuestas legislativas contienen la misma definición de violación de la seguridad: «violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo[…]» (12).

19.

Como se explica a continuación con detenimiento, esta definición se considera positiva, en la medida en que es lo suficientemente amplia para abarcar la mayor parte de las situaciones en que podría estar justificada la notificación de las violaciones de seguridad.

20.

En primer lugar, la definición incluye los casos en que ocurre el acceso no autorizado de terceros a los datos personales, por ejemplo cuando se produce una intrusión en un servidor que contiene datos personales y la captación de éstos.

21.

En segundo lugar, esta definición podría incluir las situaciones en que ha habido una pérdida o difusión de datos personales, aunque aún no se haya podido demostrar el acceso no autorizado. En este supuesto podrían incluirse situaciones tales como el extravío de datos personales (p. ej. en CD-ROM, memorias USB u otros dispositivos portátiles), o su puesta a disposición del público por usuarios autorizados (un fichero de datos de empleados que se muestra temporal e involuntariamente en una zona de acceso público a través de internet). Como frecuentemente no habrá pruebas de que esos datos puedan o no ser vistos o usados en algún momento por terceros no autorizados, parece adecuado incluir esos casos en el ámbito de aplicación de la definición. Por tanto, el SEPD recomienda que se mantenga esta definición. Recomienda, asimismo, que se incluya la definición de violación de la seguridad en el artículo 2 de la Directiva sobre la privacidad y las comunicaciones electrónicas, ya que ello es más coherente con la estructura general de la Directiva y aporta mayor claridad.

22.

La obligación de notificar según el planteamiento del PE se aplica tanto a las PSCEP como a las PSSI; en cambio, según el enfoque del Consejo y de la Comisión, sólo las PSCEP del tipo de empresas de telecomunicaciones y proveedores de acceso a internet estarán obligadas a notificar a los usuarios las violaciones de seguridad que experimenten y que supongan un riesgo para los datos personales. Otros sectores, tales como los servicios electrónicos de banca, de venta al por menor, de sanidad y otros, no están obligados. Por las razones que se exponen a continuación, el SEPD cree que, desde el punto de vista del orden público, es esencial garantizar que los servicios de la sociedad de la información, que incluyen a las empresas, los bancos, los proveedores sanitarios, etc. que actúan en línea, estén obligados a notificar.

23.

En primer lugar, el SEPD observa que aunque las empresas de telecomunicación son ciertamente blanco de violaciones de la seguridad, lo que justifica que estén obligadas a notificarlas, lo mismo sucede con otros tipos de empresas y proveedores. La venta electrónica, la banca electrónica, las farmacias que venden por internet, tienen la misma probabilidad, si no más, de sufrir violaciones de seguridad que las empresas de telecomunicaciones. Por ello, las consideraciones relativas al riesgo no se inclinan a favor de limitar a las PSCEP la obligación de notificar. La necesidad de ampliar el alcance de la obligación la ilustra la experiencia de otros países. Por ejemplo, en Estados Unidos, casi todos los Estados (cuarenta de ellos en este momento) han promulgado leyes sobre la notificación de las violaciones de la seguridad con un ámbito de aplicación más amplio, que incluye no solo a las PSCEP, sino a cualquier entidad que almacene los datos personales requeridos.

24.

Segundo, si bien una violación de los tipos de datos personales que tratan habitualmente las PSCEP tiene una clara repercusión en la intimidad del interesado, con la misma o mayor razón la tiene la violación de los tipos de información que tratan las PSSI. Seguramente los bancos o entidades financieras pueden estar en posesión de información sumamente confidencial (datos de las cuentas bancarias), cuya difusión puede permitir la usurpación de identidad, por ejemplo. Del mismo modo, la difusión de información muy sensible en relación con la salud por parte de servicios sanitarios en línea puede ser especialmente perjudicial para los interesados. Por tanto, los tipos de datos que pueden exponerse a riesgos también exigen una aplicación más extendida de la obligación de notificar las violaciones de seguridad, que afectaría, como mínimo, a las PSSI.

25.

Se han suscitado ciertas cuestiones jurídicas contra la ampliación del ámbito de aplicación de este artículo, es decir, las entidades obligadas a notificar. En particular, el hecho de que el ámbito de aplicación general de la Directiva sobre la privacidad y las comunicaciones electrónicas recoja únicamente las PSCEP se ha presentado como óbice a la imposición de tal obligación a las PSSI.

26.

En este contexto, el SEPD desearía recordar lo siguiente: i) No hay obstáculo legal alguno para incluir a agentes distintos de las PSCEP en el ámbito de aplicación de determinadas disposiciones de la Directiva. El legislador comunitario goza de plena discrecionalidad a este respecto. ii) En la Directiva en vigor sobre la intimidad y las comunicaciones electrónicas existen precedentes de aplicación a entidades distintas de las PSCEP.

27.

Por ejemplo, el artículo 13 es aplicable no sólo a las PSCEP sino a cualquier empresa que envíe comunicaciones no solicitadas, a las que se exige contar con el consentimiento previo de los interesados. Por otro lado, el artículo 5.3 de dicha Directiva, que prohíbe el almacenamiento de información, por ejemplo por medio de cookies, en el equipo terminal de un usuario, no es aplicable únicamente a las PSCEP, sino a cualquiera que intente almacenar información u obtener información almacenada en el en el equipo terminal de un usuario. Por otra parte, en el actual proceso legislativo, la Comisión ha propuesto incluso la extensión de la aplicación del artículo 5.3 al caso en que tecnologías similares (cookies, programas espía) no se expidan únicamente por medio de los sistemas de comunicaciones electrónicas sino por cualquier otro método posible (distribución a través de las descargas de internet o por medio de medios de almacenamiento externo de datos, tales como CD-ROM, memorias USB, etc.). Todos esos elementos son muy positivos y deben conservarse, y, además, sientan precedentes muy pertinentes para el actual debate sobre el ámbito de aplicación.

28.

Por otro lado, en el actual proceso legislativo, la Comisión y el PE, y puede considerarse que también el Consejo, han propuesto un nuevo artículo 6.6 bis, del que tratamos más adelante, que es aplicable a entidades distintas de las PSCEP.

29.

Por último, habida cuenta de las ventajas generales que se derivan de la obligación de notificar las violaciones de la seguridad, los ciudadanos esperarán, muy probablemente, contar con ellas no sólo cuando sea una PSCEP la que haya expuesto a un riesgo los datos personales suyos que posea, sino también cuando se trate de una PSSI. No se cumplirán las expectativas de los ciudadanos si no se les notifica, por ejemplo, cuando un banco electrónico pierde información sobre su cuenta corriente.

30.

Resumiendo: el SEPD está convencido de que todas las ventajas de la notificación de las violaciones de la seguridad se aprovecharán más plenamente si entre las entidades obligadas se encuentran tanto las PSCEP como las PSSI.

31.

Respecto del suceso que obliga a notificar, como se explica con mayor detenimiento a continuación, el SEPD opina que la condición establecida en la propuesta modificada, a saber: «[que sea] razonablemente probable que cause perjuicio» es la más adecuada de las tres condiciones propuestas. Sin embargo, es importante asegurarse de que «perjuicio» tiene un sentido suficientemente amplio para abarcar todos los casos de efectos negativos sobre la intimidad u otros intereses legítimos de los usuarios. Si no, sería preferible formular una nueva condición según la cual la notificación fuera obligatoria «si es razonablemente probable que la violación cause efectos adversos a los usuarios».

32.

Como se ha señalado en la sección anterior, las condiciones que hacen obligatoria la notificación a los usuarios varían en los planteamientos del PE, la Comisión y el Consejo. Como es natural, el volumen de notificaciones que recibirán los usuarios dependerá, en gran medida, de la condición desencadenante que se establezca.

33.

Según los planteamientos del Consejo y la Comisión, la notificación debe realizarse cuando la violación «represente un grave riesgo para la intimidad del abonado» (Consejo) y cuando «[sea] razonablemente probable que ocurra […] perjuicio para los derechos e intereses de los consumidores de resultas de la violación de los datos personales» (Comisión). Según el planteamiento del PE, la condición desencadenante de la notificación al usuario es la «gravedad de la violación» (es decir, la notificación es necesaria si la violación se considera «grave»). Por debajo de ese umbral, no es necesario notificar (13).

34.

El SEPD entiende que si los datos personales se han expuesto a riesgo, puede argüirse que los titulares de los datos tienen derecho a saberlo, en todas las circunstancias. Sin embargo, es justo ponderar si ésta es la situación adecuada a la luz de otros intereses y consideraciones.

35.

Se ha sugerido que la obligación de enviar una notificación siempre que los datos personales se hayan visto expuestos a riesgo, es decir, sin limitaciones de ningún tipo, podría llevar a un exceso de notificaciones y a un posible «cansancio de notificaciones», que podría producir insensibilización. Como se expone más adelante, el SEPD es sensible a este argumento; con todo, desea hacer hincapié al mismo tiempo en que le preocupa que el exceso de notificaciones pueda ser un indicador de un fallo generalizado en las prácticas relativas a la seguridad de la información.

36.

Como se ha dicho, el SEPD ve las consecuencias potencialmente negativas del exceso de notificación y querría contribuir a que el marco jurídico que se adopte para la notificación de violaciones de seguridad no tenga ese resultado. Si los usuarios recibieran notificaciones frecuentes de violaciones incluso en situaciones en que éstas no causan efectos adversos, perjuicios ni problemas, podemos llegar a socavar uno de los principales objetivos de las notificaciones, ya que los usuarios podrían hacer caso omiso de las notificaciones precisamente en los casos en que sí que tendrían que tomar medidas para protegerse. Lograr el equilibrio en la pertinencia de las notificaciones es, pues, de gran importancia, puesto que si los usuarios no reaccionan ante las notificaciones recibidas, su eficacia se ve sumamente reducida.

37.

Para establecer unas condiciones desencadenantes adecuadas, que no provoquen un exceso de notificaciones, además de considerar las circunstancias y condiciones deben tomarse en consideración otros factores como la definición de violación de la seguridad o la información a que se refiere la obligación de notificar. A este respecto, el SEPD advierte que según los tres planteamientos propuestos, el volumen de notificaciones puede ser elevado en vista de lo amplia que es la definición de violación de la seguridad que se ha tratado anteriormente. Esta preocupación por el exceso de notificaciones se ve aumentada por el hecho de que la definición de violación de la seguridad afecta a todos los tipos de datos personales. Aunque el SEPD considera que ése es el planteamiento adecuado (no limitar los tipos de datos personales sujetos a notificación), a diferencia de otros planteamientos, como el del Derecho de Estados Unidos, en que los requisitos se centran en lo sensible de la información, no deja de ser un factor que debe tomarse en cuenta.

38.

En vista de lo que antecede y teniendo en cuenta las distintas variables consideradas, el SEPD juzga adecuado incluir un umbral o condición desencadenante por debajo de los cuales no sea obligatorio notificar.

39.

Ambas condiciones desencadenantes propuestas, es decir, que la violación represente «un riesgo grave para la intimidad» o que sea «razonablemente probable que cause perjuicio», parecen incluir, por ejemplo, el perjuicio social o para la buena reputación y las pérdidas económicas. Esas condiciones, por ejemplo, abarcan los casos de riesgo de usurpación de la identidad a través de la revelación de identificadores que no son públicos, tales como números de pasaporte, así como la exposición de información sobre la vida privada de un usuario. El SEPD se muestra muy favorable a este planteamiento, porque está convencido de que los beneficios de la notificación de violaciones de la seguridad no se alcanzarían plenamente si el sistema se aplicase únicamente a violaciones que provoquen daños económicos.

40.

De las dos condiciones desencadenantes propuestas, el SEPD prefiere la de la Comisión: «razonablemente probable que cause perjuicio», porque procura un nivel de protección más adecuado. Las violaciones entrarán más fácilmente entre las que requieren notificación si es «razonablemente probable que causen perjuicio» a la intimidad de las personas que si se limitan a representar «un riesgo grave» de perjuicio. Así pues, la limitación a las violaciones que representen un riesgo grave para la intimidad de los usuarios reduciría considerablemente el número de violaciones que tendrían que ser notificadas. Si la obligación afectase solamente a ese tipo de violaciones, ello otorgaría una discrecionalidad desmedida a las PSCEP y las PSSI para determinar la obligatoriedad de la notificación, puesto que les sería mucho más fácil justificar que no existe «riesgo grave» que demostrar que no es «razonablemente probable que se cause perjuicio». Si bien está claro que el exceso de notificación debe evitarse, en caso de duda debe inclinarse la balanza hacia la protección de la intimidad de la persona, que debe ser protegida como mínimo cuando es razonablemente probable que una violación le cause perjuicio. Además, la expresión «razonablemente probable» será más eficaz en la práctica, tanto para las entidades obligadas como para las autoridades competentes, ya que requiere una valoración objetiva del caso y su contexto.

41.

Aún más, las violaciones de los datos personales pueden causar perjuicios difíciles de cuantificar y que pueden variar. En efecto, la difusión del mismo tipo de datos, dependiendo de las circunstancias de la persona, puede causar un perjuicio considerable a una persona y bastante menor a otra. Una condición desencadenante que exigiera que el daño fuera material, significativo o grave no sería adecuada. Por ejemplo, el planteamiento del Consejo, que requiere que la violación afecte gravemente a la intimidad del usuario, no otorgaría protección adecuada a los usuarios, ya que la condición exige que las consecuencias para la intimidad sean «graves». Además, eso da margen para valoraciones subjetivas.

42.

Aunque, como se ha dicho, la condición de que sea «razonablemente probable que se cause perjuicio» parece adecuada para obligar a la notificación de las violaciones de la seguridad, al SEPD le sigue preocupando que tal vez no incluya todas las situaciones en que esté justificada la notificación al usuario, es decir todas las situaciones en que sea razonablemente probable que se produzcan efectos negativos para la intimidad u otros derechos legítimos de los usuarios. Por esa razón, podría considerarse una condición que exigiera la notificación «cuando sea razonablemente probable que la violación cause efectos adversos a las personas».

43.

Esta condición desencadenante alternativa tiene la ventaja adicional de su coherencia con la legislación comunitaria sobre protección de datos personales. En efecto, la Directiva de protección de datos personales se refiere a menudo a la merma de los derechos y libertades de los interesados. Por ejemplo, el artículo 18 y el considerando 49, que tratan de la obligación de notificar a las autoridades las operaciones de tratamiento de datos, autorizan a los Estados miembros a eximir de esta obligación en casos en que los tratamientos «no [puedan] atentar contra los derechos y libertades de los interesados». El artículo 13.6 de la posición común emplea una expresión de similar alcance («cualquier persona física o jurídica adversamente afectada […]»), a fin de permitir a las personas jurídicas emprender acciones judiciales contra los remitentes de comunicaciones comerciales no solicitadas.

44.

Además, teniendo en cuenta lo anterior, también cabría esperar que las entidades obligadas y, en particular, las autoridades competentes en la aplicación de la legislación de protección de datos, estuvieran más familiarizadas con la condición desencadenante recién enunciada, lo que facilitaría su valoración de cuándo una determinada violación cumple dicha condición.

45.

Según el planteamiento del PE (salvo en casos de peligro inminente) y la propuesta modificada de la Comisión, incumbe a las autoridades de los Estados miembros determinar si una violación de la seguridad cumple o no la condición desencadenante de la obligación de notificar a los usuarios interesados.

46.

El SEPD juzga muy importante la participación de una autoridad en la determinación de si se cumple o no la condición que obliga a notificar, ya que, en cierta medida, constituye una garantía de la correcta aplicación de la ley. De esta forma se evita que las empresas valoren inadecuadamente la violación como no perjudicial o grave y eludan la notificación cuando, en realidad, ésta es necesaria.

47.

Por otro lado, al SEPD le preocupa que pueda resultar poco práctico y de difícil aplicación el exigir a las autoridades esa valoración o que, en la práctica, resulte contraproducente. De ese modo, podrían incluso disminuir las garantías de protección de los datos personales.

48.

Efectivamente, según ese sistema, las autoridades de protección de datos corren el riesgo de verse inundadas de notificaciones de violaciones de la seguridad y afrontar serias dificultades para evaluarlas como corresponde. Importa recordar que para valorar si una violación cumple la condición desencadenante, las autoridades necesitarán contar con suficiente información interna, con frecuencia de naturaleza técnica compleja, que tendrán que tratar con gran rapidez. Teniendo en cuenta la dificultad de la valoración y el hecho de que algunas autoridades cuentan con recursos limitados, el SEPD teme que les sea muy difícil a las autoridades cumplir esta obligación y que detraigan recursos de otras prioridades importantes. Asimismo, ese sistema podría someter a las autoridades a una presión excesiva; en efecto, si deciden que la violación no es grave y, a pesar de todo, el usuario sufre un perjuicio, podría ocurrir que se considerase responsables a las autoridades.

49.

Esta dificultad queda aún más de manifiesto si se considera que el tiempo es un factor determinante para reducir los riesgos derivados de las violaciones de la seguridad. Salvo que las autoridades logren hacer la valoración en un plazo muy breve, el tiempo adicional que empleen en hacer tal valoración puede aumentar el perjuicio que sufran los usuarios. Por tanto, una medida adicional que tiene por objeto procurar mayor protección al usuario puede tener la consecuencia de ofrecer menos protección que los sistemas de notificación directa.

50.

Por las razones expuestas, el SEPD considera que sería preferible establecer un sistema en que correspondiera a las entidades afectadas valorar si la violación cumple o no las condiciones que obligan a notificar, tal como establece el planteamiento del Consejo.

51.

No obstante, a fin de prevenir los riesgos de abuso, por ejemplo que las entidades no notifiquen en circunstancias en que la notificación está claramente justificada, es imprescindible incluir ciertas garantías de protección de los datos, que se describen a continuación.

52.

En primer lugar, la obligación impuesta a las entidades afectadas de determinar si tienen que notificar, debe ir acompañada, desde luego, de la correspondiente obligación de notificar a las autoridades todas las violaciones que cumplan la condición desencadenante. A las entidades afectadas debe exigírseles en tales casos que informen a las autoridades de la violación y de las razones de su decisión en relación con la notificación, así como del contenido de la notificación realizada.

53.

En segundo lugar, las autoridades deben cumplir una auténtica función de supervisión. En su ejercicio, deben estar autorizadas, pero no obligadas, a investigar las circunstancias de la violación y a exigir la reparación que estimen adecuada (14) y que debe incluir no solo la notificación a los usuarios (cuando aún no se haya hecho) sino también la facultad de imponer la obligación de actuar para prevenir futuras violaciones. Deben conferirse a las autoridades facultades efectivas y recursos, así como discrecionalidad suficiente para decidir cuándo responder ante una notificación de violación de la seguridad. Dicho de otro modo, esto permitiría a las autoridades ser selectivas y emprender investigaciones, por ejemplo, en relación con violaciones de la seguridad importantes y verdaderamente perjudiciales, así como cerciorarse del cumplimiento de la ley e imponerlo.

54.

Para lograrlo, además de las competencias que se les confieran en aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas, por ejemplo en su artículo 15 bis, apartado 3, y en la Directiva de protección de datos personales, el SEPD recomienda que se inserte el siguiente texto: «Si no se hubiera notificado aún al abonado o interesado, la autoridad nacional competente, tras considerar la naturaleza de la violación, podrá obligar a la PSCEP o a la PSSI a hacerlo».

55.

Asimismo, el SEPD recomienda al PE y al Consejo que confirmen la obligación propuesta por el PE [enmienda 122, artículo 4.1.a)] de que las entidades realicen una evaluación y determinación del riesgo en relación con sus sistemas y los datos personales que van a tratar. Partiendo de esta obligación, las entidades elaborarán una definición adaptada y precisa de las medidas de seguridad de habrán de aplicar a sus operaciones y que deberán estar a disposición de las autoridades. Si se produce una violación, esta obligación permitirá a las entidades afectadas — y posteriormente también a las autoridades en su función de supervisión — determinar si el riesgo al que ha estado expuesta dicha información puede causar efectos adversos u ocasionar perjuicios a las personas.

56.

En tercer lugar, la obligación impuesta a las entidades afectadas de determinar si tienen que notificar o no a los usuarios debe ir acompañada de la obligación de mantener un registro interno de auditoría detallado y completo en que se describan todas las violaciones de la seguridad que se hayan producido y las correspondientes notificaciones, así como las medidas adoptadas para impedir futuras violaciones. Este registro interno de auditoría debe estar a disposición de las autoridades para su examen y posible investigación. Ello permitirá a las autoridades ejercer sus funciones de supervisión. Podría lograrse añadiendo un texto del siguiente tenor: «Las PSCEP y las PSSI mantendrán y conservarán registros completos donde se detallen todas las violaciones de la seguridad que se hayan producido, la información técnica atinente a ellas y las medidas correctoras adoptadas. Las anotaciones del registro contendrán una referencia a todas las notificaciones expedidas a los abonados o interesados y a las autoridades nacionales competentes, así como su fecha y contenido. Los registros se presentarán a la autoridad nacional competente cuando ésta lo solicite».

57.

Naturalmente, para garantizar la coherencia en la aplicación de esta condición, así como otros aspectos pertinentes del marco relativo a las violaciones de la seguridad, tales como el formato de la notificación y los procedimientos para efectuarla, sería conveniente que la Comisión adoptase disposiciones de aplicación, previa consulta al SEDP, al Grupo del Artículo 29 y a las partes interesadas.

58.

En cuanto a los destinatarios de las notificaciones, el SEPD prefiere la terminología de la Comisión y el PE a la del Consejo. En efecto, el PE ha sustituido el término «abonados» por «usuarios»; la Comisión utiliza «abonados» y «el afectado». Los términos empleados por el PE y la Comisión pueden incluir como destinatarios de las notificaciones no solo a los abonados actuales sino a antiguos abonados y a terceros, tales como usuarios que interactúan con algunas de las entidades afectadas sin estar abonados a ellas. El SEPD prefiere este planteamiento y pide al PE y al Consejo que lo mantengan.

59.

No obstante, el SEPD observa una serie de incongruencias en los términos utilizados en la primera lectura del PE, que deben ser fijados. Por ejemplo, el término ‘abonados» se ha sustituido, en la mayoría de los casos pero no en todos, por «usuarios» y en otros casos, por «consumidores». Hay que unificar estos términos.

60.

El artículo 3.1 de la Directiva sobre la privacidad y las comunicaciones electrónicas establece cuáles son las entidades principalmente afectadas por la Directiva, es decir, aquellas que tratan datos «en relación con» la prestación de servicios de comunicaciones electrónicas en las redes públicas (a las que nos hemos referido como «PSCEP») (15). Entre los servicios que prestan las PSCEP se incluyen el acceso a internet, la transmisión de información a través de redes electrónicas, conexiones de teléfonos fijos y móviles, etc.

61.

El PE aprobó la enmienda 121 por la que se modificaba el artículo 3 de la propuesta inicial de la Comisión; según la enmienda, se ampliaba el ámbito de aplicación de la Directiva para incluir «[el ]tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas de acceso público en las redes públicas y privadas y redes privadas de acceso público de comunicaciones de la Comunidad, […]» (artículo 3 de la Directiva sobre la privacidad y las comunicaciones electrónicas). Desgraciadamente, el Consejo y la Comisión han juzgado difícil aceptar esta enmienda y no han incluido este planteamiento en la posición común ni en la propuesta modificada.

62.

Por los motivos que se exponen a continuación y para fomentar el consenso, el SEPD anima a que se mantenga el espíritu de la enmienda 121. Además, el SEPD sugiere que se incluya una enmienda que aclare mejor los tipos de servicios a los que se aplicaría la Directiva tras la ampliación de su ámbito de aplicación.

63.

Las redes privadas se usan con frecuencia para facilitar servicios de comunicaciones electrónicas tales como acceso a internet a un número indeterminado de personas, que puede ser muy grande. Así ocurre, por ejemplo, con el acceso a internet en los cibercafés o con los puntos wi fi de hoteles, restaurantes, aeropuertos, ferrocarriles y otros establecimientos abiertos al público en los que se ofrecen estos servicios como complemento de otros (bebidas, alojamiento, etc.).

64.

En todos los ejemplos citados, se pone a disposición del público un servicio de comunicaciones, por ejemplo, el acceso a internet, por medio no de una red pública sino de la que se considera una red de explotación privada. Asimismo, aunque en los casos citados el servicio de comunicaciones se presta al público, como el tipo de red utilizado es privado y no público podría aducirse que la prestación de estos servicios no entra en el campo de aplicación de toda la Directiva sobre la privacidad y las comunicaciones electrónicas o al menos de algunos de sus artículos (16). Como consecuencia de ello, los derechos fundamentales de las personas garantizados por dicha Directiva quedan desprotegidos en esos casos y se crea una situación de desigualdad jurídica entre los usuarios que acceden a los mismos servicios de internet por medio de las telecomunicaciones públicas y aquellos que lo hacen por medio de las privadas. Y ello a pesar de que el grado de riesgo para los datos personales y la intimidad es el mismo en ambos casos. En resumen, no parece haber justificación para que la Directiva dé un trato diferente a los servicios de comunicaciones prestados a través de una red privada y a los prestados a través de una red pública.

65.

Por tanto, el SEPD está a favor de una enmienda, como la 121 del PE, según la cual la Directiva se aplicaría también al tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas de acceso público en las redes privadas de comunicaciones.

66.

El SEPD reconoce, sin embargo, que esta redacción podría traer consecuencias imprevisibles y quizá no deseadas. En efecto, podría interpretarse que la mera referencia a las redes privadas afecta a situaciones a las que claramente no pretende aplicarse la Directiva. Por ejemplo, podría afirmarse que una interpretación literal o estricta de este texto podría incluir en el ámbito de aplicación de la Directiva a los dueños de hogares equipados con wi-fi (17), ya que permite conectarse a cualquiera que se encuentre en la zona (normalmente la casa), a pesar de que no es ésa la intención de la enmienda 121. Para evitar ese efecto, el SEPD sugiere que se redacte de otro modo la enmienda 121, para incluir en el ámbito de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas «el tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas de acceso público en las redes públicas de comunicaciones o en las redes privadas de acceso público en la Comunidad, […]».

67.

Esto contribuiría a aclarar que sólo las redes privadas de acceso público están cubiertas por la Directiva. Al aplicar las disposiciones de ésta únicamente a las redes privadas de acceso público (y no a todas las redes privadas) se limita el alcance de la Directiva a los servicios de comunicaciones prestados en redes privadas que se hacen accesibles al público intencionadamente. Esta formulación contribuirá a subrayar más claramente que la accesibilidad de la red privada al público en general es el factor clave en la determinación de si la Directiva es o no de aplicación (además de la prestación de un servicio de comunicaciones de acceso público). Dicho de otro modo, con independencia de que la red sea pública o privada, si se pone a disposición del público de forma intencionada con el fin de prestar un servicio de comunicaciones al público, tal como el acceso a internet, aunque sea un servicio complementario de otro (p.ej. el alojamiento en un hotel), este tipo de servicio y de red entrará dentro del ámbito de aplicación de la Directiva.

68.

El SEPD observa que el planteamiento que propugna, según el cual las disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas son de aplicación a las redes privadas de acceso público es consecuente con el adoptado por varios Estados miembros, donde las autoridades ya han considerado que esos tipos de servicios, al igual que los prestados por redes puramente privadas, entraban en el ámbito de aplicación de las disposiciones por las que se da cumplimiento a la Directiva sobre la privacidad y las comunicaciones electrónicas (18).

69.

Para aumentar la seguridad jurídica respecto de las entidades afectadas debido a la ampliación del ámbito de aplicación, puede ser útil incluir una enmienda en la Directiva en la que se definan las «redes privadas de acceso público» y que podría rezar: «red privada de acceso público: la red de explotación privada a la que el público en general tiene generalmente acceso ilimitado, ya sea mediante pago o no, o en conjunción o no con otros servicios u ofertas, previa aceptación de las condiciones de uso aplicables».

70.

En la práctica, el planteamiento propuesto significaría que la Directiva se aplicaría a las redes de los hoteles y otros establecimientos que proporcionen acceso a internet al público en general por medio de una red privada. A la inversa, la prestación de servicios de comunicaciones en redes puramente privadas en que el servicio se reduce a un grupo limitado de personas concretas no entraría en el ámbito de aplicación de la Directiva. Por tanto no entrarían en el ámbito de aplicación de la Directiva las redes privadas virtuales y los hogares de los consumidores equipados con wi-fi. Tampoco entrarían los servicios proporcionados a través de redes propias de sociedades u organismos.

71.

La exclusión de las redes privadas en sí, tal como se ha sugerido anteriormente, debe considerarse como una medida provisional sobre la que se ha de seguir debatiendo. En efecto, visto, por un lado, el efecto que para la intimidad puede tener la exclusión de las redes puramente privadas como tales y, por otro, el hecho de que afecta a un elevado número de personas que suelen acceder a internet a través de redes de sociedades u organismos, esta exclusión podría tener que reconsiderarse en un futuro. Por esta razón, y para fomentar el debate sobre la cuestión, el SEPD recomienda que se incluya un considerando en la Directiva, según el cual la Comisión deberá realizar una consulta pública sobre la aplicación de la Directiva a todas las redes privadas, con las contribuciones del SEPD, las autoridades de protección de datos y otras partes interesadas. Además, el considerando podría especificar que como consecuencia de la consulta pública, la Comisión deberá hacer las propuestas pertinentes de ampliar o limitar el tipo de entidades que entrarán en el ámbito de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas.

72.

Además de lo antedicho, los distintos artículos de la Directiva deberían modificarse en consecuencia, para que la parte dispositiva se refiera explícitamente a las redes privadas de acceso público, además de a las redes públicas.

73.

Durante el proceso legislativo de revisión de la Directiva sobre la privacidad y las comunicaciones electrónicas, las sociedades que prestan servicios de seguridad afirmaron que era preciso introducir en la Directiva una disposición que legitimase la recopilación de datos de tráfico para garantizar una seguridad electrónica efectiva.

74.

De resultas de ello, el PE incorporó la enmienda 181, que añadía un nuevo apartado 6 bis en el artículo 6 y que autoriza expresamente el tratamiento de los datos de tráfico por motivos de de seguridad: «Sin perjuicio del cumplimiento de disposiciones distintas a las contempladas en el artículo 7 de la Directiva 95/46/CE y en el artículo 5 de la presente Directiva, los datos de tráfico podrán ser tratados en interés legítimo del responsable del tratamiento de los datos con miras a la aplicación de medidas técnicas para garantizar la seguridad de las redes y de la información, tal como se define en el artículo 4, letra c), del Reglamento (CE) no 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información, de un servicio público de comunicaciones electrónicas, una red pública o privada de comunicaciones electrónicas, un servicio de la sociedad de la información o equipos terminales u otros equipos de comunicaciones electrónicas relacionados, excepto cuando los derechos y las libertades fundamentales prevalezcan sobre esos intereses. Dicho tratamiento deberá limitarse a lo estrictamente necesario a efectos de dicha actividad de seguridad».

75.

La propuesta modificada de la Comisión aceptaba esa enmienda en principio, pero suprimía una cláusula fundamental concebida para garantizar el respeto de las demás disposiciones de la Directiva, al eliminar la frase que dice: «Sin perjuicio […] de la presente Directiva». El Consejo adoptó una versión redactada de forma diferente, que avanzaba un paso más en el debilitamiento de aspectos importantes de la protección y el equilibrio de los distintos intereses incorporados en la enmienda 181, al adoptar un texto que dice: «Los datos de tráfico podrán ser tratados en la medida estrictamente necesaria para garantizar la seguridad de las redes y de la información, tal como se define en el artículo 4, letra c), del Reglamento (CE) n° 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información».

76.

Como se explicará con mayor detenimiento más adelante, el artículo 6.6 bis es innecesario y supone un riesgo de abuso, sobre todo si se adopta en una forma que no incorpore salvaguardias importantes, cláusulas que exijan el respeto de otras disposiciones de la Directiva y un equilibrio entre los distintos intereses. Por tanto, el SEPD recomienda que se rechace este apartado o, como mínimo, que se procure que el apartado sobre esta cuestión incorpore los tipos de salvaguardias que contenía la enmienda 181 tal como la aprobó el PE.

77.

La medida en que los proveedores de servicios de comunicaciones electrónicas de acceso público puedan tratar legalmente los datos de tráfico está regulada por el artículo 6 de la Directiva sobre la privacidad y las comunicaciones electrónicas, el cual limita el tratamiento de los datos a unos fines muy concretos, tales como la facturación, la interconexión y la promoción comercial. Este tratamiento sólo puede efectuarse en condiciones concretas, tales como el consentimiento del interesado en el caso de la promoción comercial. Asimismo, otros responsables del tratamiento, tales como los proveedores de servicios de la sociedad de la información, pueden tratar datos de tráfico con arreglo al artículo 7 de la Directiva de protección de datos, que dispone que los responsables del tratamiento pueden tratar datos personales si se cumple al menos una de las condiciones (bases jurídicas) enumeradas en el artículo, a las que también se denomina fundamentos jurídicos.

78.

Ejemplo de una de esas bases jurídicas se encuentra en la letra a) del artículo 7 de la Directiva de protección de datos, que requiere el consentimiento del interesado. Por ejemplo, si un vendedor por vía electrónica desea tratar datos de tráfico para enviar publicidad o material de promoción comercial, debe obtener primero el consentimiento del interesado. Otra base jurídica que establece el artículo 7 puede permitir, en ciertos casos, que, por ejemplo, las empresas que ofrecen servicios de seguridad traten datos de tráfico por motivos de seguridad. Este tratamiento se funda en la letra f) del artículo 7, que dispone que los responsables puedan efectuar el tratamiento de los datos si «es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado […]». La Directiva de protección de datos no especifica los casos en que el tratamiento de datos personales cumpliría este requisito, sino que la determinación corre a cargo de los responsables del tratamiento atendiendo a cada caso particular, a menudo con el consentimiento de las autoridades nacionales de protección de datos o de otras autoridades.

79.

Debe tenerse en cuenta la interacción entre el artículo 7 de la Directiva de protección de datos y la propuesta de artículo 6.6 bis de la Directiva sobre la privacidad y las comunicaciones electrónicas. El artículo 6.6 bis propuesto es una especificación de las circunstancias en que podrían cumplirse los requisitos del artículo 7.f). En efecto, al autorizar el tratamiento de datos de tráfico para contribuir a la seguridad de las redes y de la información, el artículo 6.6 bis permite dicho tratamiento a los fines del interés legítimo del responsable de los datos.

80.

Como se expone más adelante, el SEPD cree que el artículo 6.6 bis no es ni necesario ni útil. En efecto, desde un punto de vista jurídico, en principio, es innecesario establecer si un tipo determinado de actividad de tratamiento de datos, en este caso el de los datos de tráfico por motivos de seguridad, cumple o deja de cumplir los requisitos que establece el artículo 7.f) de la Directiva de protección de datos, en cuyo caso, el consentimiento del interesado puede ser necesario, conforme a la letra a) del mismo artículo. Como se ha observado, la determinación suelen hacerla los responsables del tratamiento, es decir, las empresas, al aplicar las disposiciones, en consulta con las autoridades de protección de datos y, cuando procede, los tribunales. En general, el SEPD cree que, en casos específicos, el tratamiento legítimo de datos de tráfico por motivos de seguridad que se efectúe sin menoscabo de los derechos y las libertades fundamentales de las personas cumplirá los requisitos del artículo 7.f) de la Directiva de protección de datos y, por tanto, puede realizarse. Además, no hay otros precedentes en la Directiva de protección de datos ni en la Directiva sobre la privacidad y las comunicaciones electrónicas para distinguir o dar un trato especial a determinados tipos de actividades de tratamiento de datos que satisfagan los requisitos que establece el artículo 7.f) y tampoco se ha demostrado la necesidad de hacerlo. En cambio, como se ha dicho, parece que en muchas circunstancias este tipo de actividad encaja cómodamente en el texto actual. Por tanto, es innecesaria, en principio, una disposición legal que confirme dicha determinación.

81.

Como se ha dicho, aunque innecesaria, es importante destacar que la enmienda 181 tal como la adoptó el PE se había redactado, en cierta medida, teniendo en cuenta los principios de protección de la intimidad y los datos personales consagrados en la legislación de protección de datos. La enmienda 181 del PE podría abordar de forma más completa los intereses de la protección de la intimidad y los datos personales añadiendo, por ejemplo, las palabras «en casos específicos», a fin de garantizar la aplicación selectiva de dicho artículo, o bien incluyendo un plazo específico de conservación.

82.

La enmienda 181 contiene algunos elementos positivos. Confirma que el tratamiento de datos debe cumplir todos los demás principios de protección de datos aplicables al tratamiento de datos personales («Sin perjuicio del cumplimiento de disposiciones […] de la Directiva 95/46/CE y […] de la presente Directiva […]»). Además, aunque la enmienda 181 permite el tratamiento de datos de tráfico por motivos de seguridad, equilibra los intereses de la entidad que trata los datos personales y los de los interesados cuyos datos se tratan, de forma que ese tratamiento sólo puede efectuarse si los intereses de la entidad que trata los datos no prevalecen sobre los derechos y libertades fundamentales de los interesados («excepto cuando los derechos y las libertades fundamentales prevalezcan sobre esos intereses»). Este requisito es esencial en el sentido de que permite el tratamiento de datos de tráfico en casos específicos, pero no permite que una entidad trate los datos de tráfico en masa.

83.

La versión de la enmienda reelaborada por el Consejo contiene elementos dignos de elogio, tales como la retención de la expresión «en la medida estrictamente necesaria», que subraya el estrecho margen de aplicación de este artículo. Sin embargo, la versión del Consejo elimina las salvaguardias de protección de la intimidad y los datos personales que se han mencionado más arriba. Aunque, en principio, son de aplicación las disposiciones generales de protección de datos, con independencia de que se haga referencia a ellas en cada caso, la versión del Consejo del artículo 6.6 bis puede interpretarse en el sentido de que otorga plena discrecionalidad para el tratamiento de los datos de tráfico sin sujeción a ninguna de las salvaguardias de protección de la intimidad y los datos personales que son aplicables siempre que se tratan datos de tráfico. Por tanto, podría argüirse que los datos de tráfico pueden recopilarse, almacenarse y utilizarse posteriormente sin cumplir los principios de protección de datos ni las obligaciones específicas aplicables en otras circunstancias a las partes responsables, tales como el principio de calidad de los datos o la obligación de tratamiento leal y lícito de los datos y de mantenerlos confidenciales y en seguridad. Además, como tampoco se hace referencia a los principios de protección de datos aplicables que limitan la duración del almacenamiento de la información ni a los límites específicos en el propio artículo, la versión del Consejo puede interpretarse en el sentido de que permite la recopilación y el tratamiento de datos de tráfico con fines de seguridad durante un plazo indeterminado.

84.

Asimismo, el Consejo ha debilitado la protección de la intimidad en determinadas partes del texto al ampliar el significado que puede darse al texto. Por ejemplo, se ha suprimido la referencia al «interés legítimo del responsable del tratamiento», lo que suscita dudas respecto de los tipos de entidades que podrían acogerse a esta excepción. Es fundamental evitar que cualquier usuario o persona jurídica pueda aprovecharse de esta modificación.

85.

Las experiencias recientes en el PE y el Consejo demuestran que es difícil definir por ley la medida y las condiciones en las que el tratamiento de datos con fines de seguridad puede efectuarse de forma legítima. Ningún artículo existente o futuro tiene grandes posibilidades de eliminar los riesgos evidentes de una aplicación excesivamente amplia de la excepción por motivos distintos de los relacionados estrictamente con la seguridad o por parte de entidades que no deberían beneficiarse de la excepción. Esto no equivale a decir que no es permisible que ese tratamiento se efectúe bajo ningún concepto. Sin embargo, el hecho de sí es posible efectuarlo y en qué medida es algo que puede apreciarse mejor al aplicar las disposiciones. Las entidades que quieran realizar este tipo de tratamiento deben consultar el margen y las condiciones con las autoridades de protección de datos y, posiblemente, con el Grupo del Artículo 29. O bien, podría incluirse en la Directiva sobre la privacidad y las comunicaciones electrónicas un artículo que permitiera el tratamiento de los datos de tráfico por motivos de seguridad, sujeto a la autorización explícita de las autoridades de protección de datos.

86.

Teniendo en cuenta, por un lado, los riesgos que supone el artículo 6.6 bis para el derecho fundamental a la protección de la intimidad y los datos personales y, por otro, el hecho de que, como se explica en el presente dictamen, desde un punto de vista jurídico, ese artículo es innecesario, el SEPD ha llegado a la conclusión de que la mejor solución consistiría en suprimir por completo el artículo 6.6 bis propuesto.

87.

Si, contra la recomendación del SEPD, se adopta un texto del tenor de la versión actual del artículo 6.6 bis, deberá incorporar, en todo caso, las salvaguardias para la protección de los datos que se han mencionado. Asimismo, deberá incorporarse debidamente en la estructura actual del artículo 6, preferentemente como un nuevo apartado 2 bis.

88.

El PE aprobó la enmienda 1 por la que facultaba a los proveedores de acceso a internet y a otras personas jurídicas, tales como las asociaciones de consumidores, para emprender acciones legales por incumplimiento de las disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas (19). Desgraciadamente, ni la Comisión ni el Consejo la han aceptado. El SEPD considera muy positiva esta enmienda y recomienda que se mantenga.

89.

Para comprender la importancia de esta enmienda hay que percatarse de que en el ámbito de la protección de la intimidad y los datos personales, los perjuicios infligidos a una persona considerada individualmente no son en sí suficientes, normalmente, para que emprenda una acción legal. Las personas no suelen acudir a los tribunales por su cuenta porque les envíen comunicaciones comerciales no solicitadas o porque su nombre figure indebidamente en un listín telefónico. Esta enmienda permitiría a las asociaciones de consumidores y asociaciones profesionales que representen colectivamente los intereses de los consumidores emprender acciones legales en nombre de estos ante los tribunales. Una mayor diversidad en los mecanismos de represión puede fomentar un mayor grado de respeto de las disposiciones y, por tanto, obra en interés de la aplicación eficaz de las disposiciones de la Directiva que nos ocupa.

90.

En el marco jurídico de algunos Estados miembros existen precedentes legales, ya que se establece la posibilidad de las demandas colectivas, con el fin de permitir a los consumidores o grupos de interés exigir indemnización a la parte que causó el perjuicio.

91.

Asimismo, las leyes de competencia de algunos Estados miembros (20) facultan a los consumidores y a los grupos de interés (además de al competidor afectado) para demandar a la entidad infractora. La justificación de este planteamiento es que las empresas que contravienen las leyes de la competencia tienen muchas probabilidades de salir beneficiadas, ya que los consumidores que no sufren más que perjuicios marginales son reacios, en general, a presentar demandas. Este razonamiento puede aplicarse mutatis mutandi en el ámbito de la protección de la intimidad y los datos personales.

92.

Aún más importante, como ya se ha dicho, es el hecho de que facultar a personas jurídicas como las asociaciones de consumidores o las PSCEP para presentar demandas realza la posición de los consumidores y fomenta el cumplimiento general de la legislación de protección de datos. Si las empresas infractoras corren un mayor riesgo de tener que comparecer ante los tribunales, probablemente invertirán más en cumplir la legislación de protección de datos, lo que, a la larga, aumenta el grado de protección de la intimidad y de los consumidores. Por todos estos motivos, el SEPD pide al PE y al Consejo que adopten una disposición que permita a las personas jurídicas emprender acciones legales contra las infracciones de cualquiera de las disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas.

93.

La posición común del Consejo, la primera lectura del PE y la propuesta modificada de la Comisión contienen, en grados diferentes, elementos positivos que podrían fortalecer la protección de la intimidad y los datos personales.

94.

No obstante, el SEPD cree que aún pueden mejorarse, sobre todo la posición común del Consejo, que, desgraciadamente, no ha mantenido algunas de las enmiendas del PE que pretendían lograr una adecuada protección de la intimidad y los datos personales. El SEPD insta al PE y al Consejo a restablecer las salvaguardias de la intimidad que incorpora la primera lectura del PE.

95.

Además, el SEPD cree que sería conveniente simplificar algunas disposiciones de la Directiva, en particular en lo concerniente a las disposiciones sobre las violaciones de la seguridad, ya que el SEPD considera que la notificación de las violaciones será tanto más beneficiosa cuanto más claro sea el marco jurídico desde el principio. Por último, el SEPD considera que sería apropiado mejorar y aclarar la formulación de algunas de las disposiciones de la Directiva.

96.

En vista de lo que antecede, el SEPD insta al PE y al Consejo a redoblar sus esfuerzos por mejorar y aclarar algunas de las disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas, restableciendo al mismo tiempo las enmiendas adoptadas por el PE en su primera lectura y que tienen por finalidad proporcionar el grado adecuado de protección de la intimidad y los datos personales. A tal fin, los apartados 97, 98, 99 y 100 resumen las cuestiones en juego y presentan algunas recomendaciones y propuestas de redacción. El SEPD hace un llamamiento a las partes implicadas para que las tengan en cuenta a lo largo del proceso que culminará con la adopción definitiva de la Directiva sobre la privacidad y las comunicaciones electrónicas.

97.

El Parlamento Europeo, la Comisión y el Consejo han adoptado diversos planteamientos respecto de la notificación de las violaciones de la seguridad. Hay diferencias entre los tres modelos en lo relativo, entre otros aspectos, a las entidades afectadas, la circunstancia o condición que desencadena la obligación de notificar, los titulares de los datos con derecho a recibir notificación, etc. Es menester que tanto el PE como el Consejo hagan cuanto esté en sus manos para establecer un marco jurídico sólido en lo que respecta a las violaciones de la seguridad. Para ello, el PE y el Consejo deben:

98.

Con frecuencia, los servicios de comunicaciones se ponen a disposición del público no por medio de redes públicas, sino de redes de explotación privada (por ejemplo, los puntos wi-fi de los hoteles, los aeropuertos), a las que podría considerarse que no afecta la Directiva. El PE adoptó la enmienda 121 (artículo 3) para ampliar el ámbito de aplicación de la Directiva de modo que abarcase las redes públicas y privadas y las redes privadas de acceso público de comunicaciones. A este respecto, el PE y el Consejo deben:

99.

El PE adoptó en su primera lectura la enmienda 181 (artículo 6.6 bis) que autorizaba el tratamiento de datos de tráfico por motivos de seguridad. La posición común del Consejo adoptó una nueva versión que debilitaba algunas de las salvaguardias para la intimidad. A este respecto, el SEPD recomienda que el PE y el Consejo:

100.

El PE aprobó la enmienda 133 (artículo 13.6) por la que facultaba a las personas jurídicas para emprender acciones legales por incumplimiento de cualquiera de las disposiciones de la Directiva. Desgraciadamente, ni la Comisión ni el Consejo la han mantenido. El Consejo y el PE deben:

101.

En todas las cuestiones tratadas, el PE y el Consejo deben estar a la altura del desafío de concebir normas y disposiciones adecuadas que sean practicables y funcionales y respeten el derecho a la protección de la intimidad y los datos personales. El SEPD tiene la esperanza de que las partes implicadas harán cuanto esté en sus manos para afrontar el reto y espera que el presente dictamen contribuya a este empeño.

6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/42

1.

El 13 de noviembre de 2008, la Comisión adoptó una Propuesta de Directiva del Consejo por la que se obliga a los Estados miembros a mantener un nivel mínimo de reservas de petróleo crudo y/o productos petrolíferos (en lo sucesivo «la propuesta») (3).

2.

La propuesta tiene como objetivo garantizar un nivel elevado de seguridad en el abastecimiento de petróleo en la Comunidad gracias a mecanismos fiables y transparentes basados en la solidaridad entre los Estados miembros, manteniendo un nivel mínimo de reservas de petróleo y productos petrolíferos y estableciendo los procedimientos necesarios para hacer frente a problemas de escasez.

3.

El 14 de noviembre de 2008, la Comisión envió la propuesta al SEPD para su consulta, de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001. El SEPD agradece haber sido consultado sobre esta cuestión y observa que en el preámbulo de la propuesta se hace referencia a esta consulta, de conformidad con el artículo 28 del Reglamento (CE) no 45/2001.

4.

Antes de la adopción de la propuesta, la Comisión consultó de forma informal al SEPD sobre un artículo concreto del proyecto de propuesta (el actual artículo 19). El SEPD mostró su satisfacción por la consulta informal, ya que le brindaba la oportunidad de hacer algunas sugerencias antes de la adopción de la propuesta por la Comisión.

5.

La cuestión que nos ocupa constituye una buena ilustración del hecho de que deberían tenerse constantemente presentes las normas relativas a la protección de datos. En una situación que afecta a los Estados miembros y a su obligación de mantener reservas de emergencia de petróleo, que en la mayoría de los casos pertenecen a personas jurídicas, no es muy evidente que vayan a tratarse datos personales. No obstante, aun cuando no se haya previsto como tal, podría producirse. En todo caso se debería tener en cuenta la posibilidad de que se produzca el tratamiento de datos personales y actuar en consecuencia.

6.

En la situación actual, hay, en principio, dos actividades que figuran en la Directiva y que podrían incluir el tratamiento de datos personales. La primera es la recogida de información sobre las reservas de petróleo por parte de los Estados miembros y su posterior transmisión a la Comisión. La segunda actividad se relaciona con las atribuciones de la Comisión de efectuar controles en los Estados miembros. La recogida de información sobre los propietarios de las reservas de petróleo podría incluir datos personales, como el nombre y los datos de contacto de los directores de las empresas. Esta recogida, así como su posterior transmisión a la Comisión, supondría, por tanto, un tratamiento de datos personales y determinaría la aplicabilidad de, o bien la legislación nacional por la que se aplican las disposiciones de la Directiva 95/46/CE, o del Reglamento (CE) no 45/2001, según quién realice realmente el tratamiento de los datos. La concesión de atribuciones a la Comisión para efectuar controles sobre las reservas de emergencia en los Estados miembros, que incluye la capacidad de recabar información en general, podría incluir asimismo la recogida y, por ende, el tratamiento de datos personales.

7.

En la consulta informal, limitada exclusivamente a la disposición relativa a la capacidad de investigación de la Comisión, el SEPD aconsejó a la Comisión que determinase si el tratamiento de datos personales en el contexto de una investigación de la Comisión sería sólo incidental o si se produciría de forma periódica y serviría para los fines de la investigación. A raíz del resultado de esta evaluación se sugirieron dos planteamientos.

8.

En caso de que no se previera el tratamiento de datos personales y éste fuera meramente incidental, el SEPD recomendó que, en primer lugar, se excluyese explícitamente el tratamiento de datos personales como elementos útiles para la investigación de la Comisión y, en segundo lugar, se estipulase que ningún dato personal que la Comisión encontrase a lo largo de la investigación sería recogido o tenido en cuenta y que en caso de fueran recogidos accidentalmente serían destruidos de inmediato. Como cláusula de seguridad general, el SEPD sugirió además que se incluyese una disposición en la que se estipulase que la Directiva se aplicaría sin perjuicio de las normas sobre protección de datos establecidas en la Directiva 95/46/CE y en el Reglamento (CE) no 45/2001.

9.

Por otra parte, en caso de que se hubiese previsto que el tratamiento de datos se llevase a cabo de forma periódica en el marco de una investigación de la Comisión, el SEPD recomendó que la Comisión incluyese un texto en el que quede reflejado el resultado de una evaluación adecuada sobre protección de datos. Esta evaluación podría incluir los siguientes elementos: (I) La finalidad real del tratamiento de los datos, (II) la necesidad del tratamiento de datos para lograr ese objetivo, y (III) la proporcionalidad del tratamiento de los datos.

10.

Aunque el asesoramiento informal del PESD se refería exclusivamente a las atribuciones de investigación de la Comisión, sus comentarios se aplican igualmente a la otra actividad principal incluida en la propuesta de Directiva, a saber, la recogida de información por los Estados miembros y su transmisión a la Comisión.

11.

La propuesta definitiva de Directiva muestra claramente que la Comisión había concluido que a efectos de la Directiva no se preveía el tratamiento de datos personales. EL SEPD se felicita de que su primer planteamiento sugerido ha quedado plenamente reflejado en la propuesta.

12.

Por ello el SEPD expresa su respaldo a la manera en la que la Comisión ha garantizado el cumplimiento de las normas de protección de datos en la Directiva propuesta. En el resto del presente dictamen sólo se expondrán algunas recomendaciones pormenorizadas.

13.

El artículo 15 de la Directiva propuesta se refiere a la obligación de los Estados miembros de transmitir a la Comisión una relación estadística semanal sobre los niveles de las reservas comerciales mantenidas en su territorio nacional. Esta información contendrá probablemente pocos datos personales. No obstante podría contener información sobre personas físicas que poseen reservas de petróleo o que trabajan para personas jurídicas que poseen las reservas. Para evitar que los Estados miembros suministren esa información a la Comisión, el apartado 1 del artículo 15 establece que cuando los Estados miembros lo hagan «se abstendrán de mencionar los nombres de los propietarios de las reservas en cuestión». Aunque se debería ser consciente de que el hecho de que se supriman los nombres no siempre significa que a través de los datos resultantes no se pueda identificar a la persona física, parece, sin embargo, que en la situación actual (relaciones estadísticas de los niveles de las reservas de petróleo) esta frase adicional será suficiente para garantizar que no se produce una transmisión de datos personales a la Comisión.

14.

Las competencias de investigación de la Comisión quedan establecidas en el artículo 19 de la Directiva propuesta. El artículo muestra con claridad que la Comisión ha seguido el primer planteamiento expuesto en el punto 8. Según dicho planteamiento la recogida de datos personales no puede formar parte de los controles efectuados por la Comisión. Y en caso de que la Comisión encontrase dichos datos no puede tenerlos en cuenta y ha de destruirlos cuando su recogida se haya producido de manera accidental. A fin de adaptar esta formulación a la utilizada en la legislación sobre protección de datos y evitar cualquier malentendido, el SEPD recomienda sustituir en la primera frase del apartado 2 la palabra «recogida» por «tratamiento».

15.

El SEPD se alegra de ver que se ha incluido también en la propuesta una cláusula de seguridad general sobre la legislación pertinente de protección de datos. El artículo 20 recuerda claramente a los Estados miembros, así como a la Comisión y a otros órganos comunitarios sus obligaciones en virtud de la Directiva 95/46/CE y del Reglamento (CE) no 45/2001, respectivamente. La cláusula subraya además los derechos de los interesados con arreglo a estas normas, como el derecho a oponerse al tratamiento de sus datos, el derecho de acceso a sus datos y el derecho a que se rectifiquen sus datos en caso de inexactitud. Se podría hacer quizás un comentario sobre el lugar de esta disposición en la propuesta. Pues, habida cuenta de su carácter general, no se limita a las competencias de investigación de la Comisión. Por eso, el SEPD recomienda que el artículo se traslade a la primera parte de la Directiva, por ejemplo, después del artículo 2.

16.

En el considerando 25 también se hace referencia a la Directiva 95/46/CE y al Reglamento (CE) no 45/2001. El objetivo del considerando no queda muy claro, sin embargo, ya que sólo se menciona la legislación relativa a la protección de datos como tal, sin decir nada más. El considerando debería establecer con claridad que las disposiciones de la directiva se entienden sin perjuicio de la legislación mencionada. Además, la última frase del considerando parece dar a entender que la legislación sobre protección de datos exige explícitamente que los inspectores destruyan inmediatamente los datos recabados accidentalmente. Aunque pueda entenderse como una consecuencia de las normas establecidas, esa obligación no figura en dicha legislación. Constituye un principio general de la protección de datos el que los datos personales sólo se conserven el tiempo necesario para los fines por los que fueron recogidos o tratados. Si la primera parte del considerando se modifica como acabamos de proponer, la última frase pasa a ser superflua. Por lo tanto, el SEPD propone que se suprima la última frase del considerando 25.

17.

El SEPD desea expresar su respaldo a la manera en la que la Comisión ha garantizado el cumplimiento de las normas de protección de datos en la Directiva propuesta.

18.

En un plano más detallado, el SEPD recomienda lo siguiente:

6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/45

6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/46