51995AG0413(01)

POSICIÓN COMÚN (CE) N° 1/95 adoptada por el Consejo el 20 de febrero de 1995 con vistas a la adopción de la Directiva 95/. . ./CE del Parlamento Europeo y del Consejo, de . . ., relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (95/C 93/01)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea, y en particular su artículo 100 A,

Vista la propuesta de la Comisión (1),

Visto el dictamen del Comité Económico y Social (2),

De conformidad con el procedimiento establecido en el artículo 189 B del Tratado (3),

Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en lograr una unión cada vez más estrecha entre los pueblos europeos, establecer relaciones más estrechas entre los Estados miembros de la Comunidad, asegurar, mediante una acción común, el progreso económico y social, eliminando las barreras que dividen Europa, fomentar la continua mejora de las condiciones de vida de estos pueblos, preservar y consolidar la paz y la libertad y promover la democracia, basándose en los derechos fundamentales reconocidos en las constituciones y leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales;

Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos;

Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado, la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas;

Considerando que, en los diferentes sectores de actividad económica y social, se recurre cada vez más en la Comunidad al tratamiento de datos personales; que el avance de las tecnologías de la información facilita considerablemente el tratamiento y el intercambio de dichos datos;

Considerando que la integración económica y social resultante del establecimiento y funcionamiento del mercado interior, definido en el artículo 7 A del Tratado, va a implicar necesariamente un aumento notable de los flujos transfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros, ya se trate de agentes públicos o privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo; que las administraciones nacionales de los diferentes Estados miembros, en aplicación del Derecho comunitario, están destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido o ejercer funciones en nombre de las administraciones de otros Estados miembros, en el contexto del espacio sin fronteras que supone el mercado interior;

Considerando, por lo demás, que el fortalecimiento de la cooperación científica y técnica, así como el establecimiento coordinado de nuevas redes de telecomunicaciones en la Comunidad exigen y facilitan la circulación transfronteriza de datos personales;

Considerando que la diferencia entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, puede impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, esta diferencia puede constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia y dificultar la misión de las administraciones que intervienen en el ámbito del Derecho comunitario; que esta diferencia en los niveles de protección se debe a la disparidad existente entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;

Considerando que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta en particular las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el artículo 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones;

Considerando que, en razón de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas físicas, y en particular del derecho a la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de la aplicación de la presente Directiva, los interlocutores económicos y sociales; que éstos podrán, por lo tanto, precisar en su derecho nacional las condiciones generales de licitud del tratamiento de datos; que, al actuar así, los Estados miembros procurarán mejorar la protección que proporciona su legislación en la actualidad; que, dentro de los límites de dicho margen de maniobra y de conformidad con el Derecho comunitario, podrán surgir disparidades en la aplicación de la presente Directiva, y que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad;

Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho a la intimidad reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

Considerando que los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplían los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales;

Considerando que los principios de la protección deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que debe excluirse el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, por ejemplo a la correspondencia y la llevanza de un repertorio de direcciones;

Considerando que las actividades a que se refieren los títulos V y VI del Tratado de la Unión Europea relativos a la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en el ámbito penal no son materia del ámbito de aplicación del Derecho comunitario, sin perjuicio de las obligaciones que incumben a los Estados miembros con arreglo al apartado 2 del artículo 56 y a los artículos 57 y 100 A del Tratado; que el tratamiento de los datos de carácter personal que sea necesario para la salvaguardia del bienestar económico del Estado no está comprendido en el ámbito de aplicación de la presente Directiva en los casos en que dicho tratamiento esté relacionado con la seguridad del Estado;

Considerando que, habida cuenta de la importancia que, en el marco de la sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos de sonido e imagen relativos a las personas físicas constituidas por sonidos e imágenes, la presente Directiva debe aplicarse a los tratamientos que afectan a dichos datos;

Considerando que los tratamientos que afectan a dichos datos sólo quedan amparados por la presente Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un registro estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata;

Considerando que los tratamientos de datos constituidos por sonido e imagen, como los de la vigilancia por videocámara, no son materia del ámbito de aplicación de la presente Directiva cuando se aplican con fines de seguridad pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el ejercicio de otras actividades que no son materia del ámbito de aplicación del Derecho comunitario;

Considerando que en lo que respecta a los tratamientos de sonido e imagen aplicados con fines periodísticos o de expresión literaria o artística, en particular en el sector audiovisual, los principios de la Directiva se aplican de forma restringida según lo dispuesto en el artículo 9;

Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter los tratamientos efectuados por cualquier persona que trabaje bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto; que cuando un solo responsable se establezca en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades;

Considerando que el hecho de que el responsable del tratamiento esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos los tratamientos deben regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva;

Considerando que la presente Directiva no afecta a las normas de territorialidad aplicables en materia penal;

Considerando que los Estados miembros precisarán en su legislación o en la aplicación de las disposiciones adoptadas en virtud de la presente Directiva las condiciones generales de licitud de los tratamientos; que, en particular, junto a los artículos 7 y 8, el artículo 5 ofrece a los Estados miembros la posibilidad de prever, independientemente de las normas generales, condiciones especiales de tratamiento de datos en sectores específicos, así como para las diversas categorías de datos contemplados en el artículo 8;

Considerando que los Estados miembros están facultados a garantizar la protección de las personas tanto mediante una ley general relativa a la protección de las personas contra el tratamiento de los datos de carácter personal como mediante leyes sectoriales, como las relativas a los institutos estadísticos;

Considerando que las legislaciones relativas a la protección de las personas jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva;

Considerando que los principios de la protección tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos -obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento- y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de tales datos, de poder acceder a ellos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias;

Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente aplicados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al artículo 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales pueden hacerse anónimos y conservarse en forma que no haga posible identificar ya al interesado;

Considerando que la protección de los individuos debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a los individuos, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no pertenecen en ningún caso al ámbito de aplicación de la presente Directiva;

Considerando que todo tratamiento de datos personales debe efectuarse de forma lícita y leal con respecto al interesado; que debe referirse en particular a datos pertinentes y no excesivos en relación con los objetivos perseguidos; estos objetivos han de ser explícitos y legítimos, y deben estar determinados en el momento de obtener los datos; que los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados;

Considerando que el tratamiento ulterior de datos personales, con fines históricos, estadísticos o científicos no debe por lo general considerarse incompatible con los objetivos para los que se recogieron los datos, siempre y cuando los Estados miembros otorguen las garantías adecuadas; que dichas garantías deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones relativas a cualquier individuo concreto;

Considerando que para ser lícito el tratamiento de datos personales debe basarse además en el consentimiento del interesado o ser necesario con vistas a la celebración o ejecución de un contrato que obligue al interesado, o para la observancia de una obligación legal o para el cumplimiento de una misión de interés público o para el ejercicio de la autoridad pública o incluso para la realización de un interés legítimo de una persona, siempre que no prevalezcan los intereses o los derechos y libertades del interesado; que, en particular, para asegurar el equilibrio de los intereses en cuestión, garantizando a la vez una competencia efectiva, los Estados miembros pueden precisar las condiciones en las que se podrán utilizar y comunicar a terceros datos de carácter personal, en el desempeño de actividades legítimas de gestión ordinaria de empresas y otras entidades; que los Estados miembros pueden asimismo establecer previamente las condiciones en que pueden efectuarse comunicaciones de datos personales a terceros con fines de prospección comercial o de prospección realizada por una institución benéfica u otras asociaciones o fundaciones, por ejemplo de carácter político, dentro del respeto de las disposiciones que permiten a los interesados oponerse, sin alegar los motivos y sin gastos, al tratamiento de los datos que les conciernan;

Considerando que un tratamiento de datos personales debe estimarse lícito cuando se efectúa con el fin de proteger un interés esencial para la vida del interesado;

Considerando que corresponde a las legislaciones nacionales determinar si el responsable del tratamiento que tiene conferida una misión de interés público o inherente al ejercicio del poder público, debe ser una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional;

Considerando, por lo demás, que los datos que por su naturaleza puedan atentar contra las libertades fundamentales o la intimidad no deben ser objeto de tratamiento alguno, salvo en caso de que el interesado haya dado su consentimiento explícito; que deberán constar de forma explícita las excepciones a esta prohibición para necesidades específicas, en particular cuando el tratamiento de dichos datos se realice con fines relacionados con la salud, por parte de personas físicas sometidas a una obligación legal de secreto profesional, o para actividades legítimas por parte de ciertas asociaciones o fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales;

Considerando que también se deberá autorizar a los Estados miembros, cuando esté justificado por razones de interés público importante, a hacer excepciones a la prohibición de tratar categorías sensibles de datos en sectores como la salud pública y la protección social, particularmente en lo relativo a la garantía de la calidad y la rentabilidad, así como los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, la investigación científica y las estadísticas públicas; que a ellos corresponde, no obstante, prever las garantías apropiadas y específicas a los fines de proteger los derechos fundamentales y la vida privada de las personas;

Considerando que, además, el tratamiento de datos personales por parte de las autoridades públicas con fines establecidos en el Derecho constitucional o en el Derecho internacional público, de asociaciones religiosas reconocidas oficialmente, se realiza por motivos importantes de interés público;

Considerando que si en el marco de actividades relacionadas con las elecciones, el funcionamiento del sistema democrático en algunos Estados miembros exige que los partidos políticos recaben datos sobre la ideología política de los ciudadanos, podrá autorizarse el tratamiento de estos datos por motivos importantes de interés público, siempre que se establezcan las garantías adecuadas;

Considerando que para el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la presente Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o comunicar información, tal y como se garantiza en el artículo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Por lo tanto, para ponderar estos derechos fundamentales, corresponde a los Estados miembros prever las excepciones y las restricciones necesarias en lo relativo a las medidas generales sobre la legalidad del tratamiento de datos, las medidas sobre la transferencia de datos a terceros países y las competencias de las autoridades de control. Esto no debería inducir, sin embargo, a los Estados miembros a prever excepciones de las medidas que garanticen la seguridad del tratamiento. Igualmente, debería concederse a la autoridad de control responsable en la materia al menos una serie de competencias a posteriori como por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos legales ante las autoridades judiciales;

Considerando que el tratamiento leal de datos supone que los interesados deban estar en condiciones de conocer la existencia de los tratamientos y beneficiarse de los mismos cuando los datos se obtengan de ellos a partir de una información precisa y completa respecto a las circunstancias de dicha obtención;

Considerando que determinados tratamientos se refieren a datos que el responsable no ha recogido directamente de la persona afectada; que, por otra parte, pueden comunicarse legítimamente datos a un tercero aún cuando dicha comunicación no estuviera prevista en el momento de la recogida de los datos ante la persona afectada; que en todos estos supuestos, debe informarse a la persona afectada en el momento del registro de los datos o, a más tardar, al comunicarse los datos por primera vez a un tercero;

Considerando que además esta obligación no está prevista si la persona afectada ya está informada; si el registro o la comunicación están expresamente previstos por la ley o si resulta imposible informarle, o implicara esfuerzos desproporcionados, como puede ser el caso para tratamientos con fines históricos, estadísticos o científicos; que a este respecto pueden tomarse en consideración el número de personas afectadas, la antigueedad de los datos, y las posibles medidas compensatorias;

Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse en particular de su exactitud y de la licitud de su tratamiento; que por las mismas razones cualquier persona debe tener además el derecho de conocer la lógica que subyace al tratamiento automatizado de los datos que la conciernan, al menos en el caso de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15; que este útlimo derecho no debe menoscabar la propiedad intelectual y en particular el derecho de autor que proteja el «software»; que no obstante esto no debe suponer que se deniegue cualquier información a la persona afectada;

Considerando que, en interés de la persona de que se trate y para proteger los derechos y libertades de terceros, los Estados miembros podrán limitar los derechos de acceso y de información; que podrán, por ejemplo, precisar que el acceso a los datos de carácter médico únicamente pueda ejercerse a través de un profesional de la medicina;

Considerando que los Estados miembros podrán imponer restricciones a los derechos de acceso e información y a determinadas obligaciones del responsable del tratamiento, en la medida en que sean estrictamente necesarias para, por ejemplo, salvaguardar la seguridad del Estado, la seguridad pública, el orden público o intereses económicos o financieros importantes de un Estado miembro o de la Unión, así como investigaciones y acciones penales y violaciones de normas deontológicas en las profesiones reguladas; que conviene enumerar, a efectos de excepciones y limitaciones, las tareas de control, inspección o reglamentación necesarias en los tres últimos sectores mencionados relativos a la seguridad pública, los intereses económicos o financieros y la represión penal; que esta enumeración de tareas relativas a los tres sectores citados no afecta a la legitimidad de las excepciones y restricciones establecidas por razones de seguridad del Estado o de defensa;

Considerando que los Estados miembros podrán verse obligados, en virtud de las disposiciones del derecho comunitario, a establecer excepciones a las disposiciones de la presente Directiva relativas al derecho de acceso, la información de personas y la calidad de los datos para garantizar algunas de las finalidades contempladas más arriba;

Considerando que cuando se pudiera efectuar lícitamente un tratamiento de datos por razones de interés público o del ejercicio de la autoridad pública, o en interés legítimo de una persona física, cualquier persona deberá, sin embargo, tener derecho a oponerse a que los datos que le conciernan sean objeto de un tratamiento, en virtud de motivos fundados y legítimos relativos a su situación concreta; que los Estados miembros tienen, no obstante, la posibilidad de establecer disposiciones nacionales contrarias;

Considerando que la protección de los derechos y libertades de los interesados en lo que respecta a los tratamientos de datos personales exige la adopción de medidas técnicas y de organización apropiadas, tanto en el momento de la concepción del sistema de tratamiento como en el de la aplicación de los tratamientos mismos, sobre todo con objeto de garantizar la seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a los Estados miembros velar por que los responsables del tratamiento respeten dichas medidas; que esas medidas deberán garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste de su aplicación en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deben protegerse;

Considerando que cuando un mensaje con datos personales sea transmitido a través de un servicio de telecomunicación o de correo electrónico cuyo único objetivo sea transmitir mensajes de este tipo, será considerada normalmente responsable del tratamiento de los datos personales presentes en el mensaje aquella persona de quien proceda el mensaje y no la que ofrezca el servicio de transmisión; que, no obstante, las personas que ofrezcan estos servicios normalmente serán consideradas responsables del tratamiento de los datos personales complementarios y necesarios para el funcionamiento del servicio;

Considerando que los procedimientos de notificación tienen por objeto asegurar la publicidad de los fines de los tratamientos y de sus principales características a fin de controlarlos a la luz de las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

Considerando que para evitar trámites administrativos improcedentes, los Estados miembros pueden establecer exenciones o simplificaciones de la notificación para los tratamientos que no atenten contra los derechos y las libertades de los interesados, siempre y cuando sean conformes a un acto adoptado por el Estado miembro en el que se precisen los límites; que se puede igualmente disponer la exención o la simplificación cuando un encargado, nombrado por el responsable del tratamiento, se cerciore de que los tratamientos efectuados no pueden atentar contra los derechos y libertades del interesado; que dicho encargado, sea o no empleado del responsable del tratamiento de datos, deberá ejercer sus funciones con una independencia total;

Considerando que se podrá disponer la exención o la simplificación para los tratamientos cuya única finalidad sea el mantenimiento de registros destinados, según el Derecho nacional, a la información del público y que sean accesibles para la consulta del público o de toda persona que justifique un legítimo interés;

Considerando que, no obstante, el beneficio de la simplificación o de la exención de la obligación de notificación no dispensa al responsable del tratamiento de ninguna de las demás obligaciones derivadas de la presente Directiva;

Considerando que, en este contexto, el control a posteriori por parte de las autoridades competentes debe considerarse, en general, una medida suficiente;

Considerando que, no obstante, determinados tratamientos pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los interesados, ya sea por su naturaleza, su alcance o su finalidad, como los de excluir a los interesados del beneficio de un derecho, de una prestación o de un contrato, o por el uso particular de una tecnología nueva; que es competencia de los Estados miembros, si así lo desean, precisar tales riesgos en sus legislaciones;

Considerando que, con respecto a todos los tratamientos llevados a cabo en la sociedad, el número de los que presentan tales riesgos particulares debería ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control o del encargado de la protección de datos en cooperación con aquélla, que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga el Derecho nacional, podrá emitir un dictamen o autorizar el tratamiento; que este examen previo podrá realizarse también como parte de la preparación de una medida legislativa aprobada por el Parlamento nacional o sobre la base de una iniciativa de ese género, en la que se defina la naturaleza del tratamiento y se especifiquen las garantías adecuadas;

Considerando que las legislaciones nacionales deben prever un recurso judicial para los casos en que el responsable del tratamiento no respete los derechos de los interesados; que los daños que pueden sufrir las personas a raíz de un tratamiento ilícito han de ser reparados por el responsable del tratamiento, el cual sólo podrá ser eximido de responsabilidad si demuestra que no se le puede imputar el hecho perjudicial, principalmente si alega la responsabilidad del interesado o un caso de fuerza mayor; que deben imponerse sanciones a cualquier persona, tanto de Derecho privado como de Derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

Considerando que los flujos transfronterizos de datos personales son necesarios para el desarrollo del comercio internacional; que la protección de las personas garantizada en la Comunidad por la presente Directiva no se opone a la transferencia de datos personales a terceros países que garanticen un nivel de protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un país tercero debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la categoría de transferencias;

Considerando, por otra parte, que cuando un país tercero no ofrece un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales;

Considerando que han de establecerse excepciones a esta prohibición en determinadas circunstancias, cuando el interesado haya dado su consentimiento, cuando la transferencia es necesaria en relación con un contrato o una reclamación legal, cuando así lo exige la protección de un interés público importante, por ejemplo en casos de transferencia internacional de datos entre las administraciones fiscales o aduaneras o entre los servicios competentes en asuntos de seguridad social, o cuando la transferencia se haga desde un registro previsto en la legislación con fines de consulta por el público o por personas con un interés legítimo; que dicha transferencia no debe afectar a la totalidad de los datos o las categorías de datos que contenga el mencionado registro; que, cuando la finalidad de un registro sea la consulta por parte de personas que tengan un interés legítimo, la transferencia sólo debería poder efectuarse a petición de dichas personas o cuando éstas sean las destinatarias;

Considerando que pueden adoptarse medidas particulares para paliar la insuficiencia del nivel de protección en un tercer país, en caso de que el responsable del tratamiento ofrezca garantías adecuadas; que, por lo demás, deben preverse procedimientos de negociación entre la Comunidad y los terceros países de que se trate;

Considerando que, en cualquier caso, las transferencias hacia terceros países sólo podrán ejecutarse si se respetan plenamente las disposiciones tomadas por los Estados miembros en aplicación de la presente Directiva, y en particular de su artículo 8;

Considerando que los Estados miembros y la Comisión, dentro de sus respectivas competencias, deben alentar a los sectores profesionales para que elaboren códigos de conducta a fin de facilitar, tomando en consideración el carácter específico de los tratamientos efectuados en determinados sectores, la aplicación de la presente Directiva respetando las disposiciones nacionales adoptadas para su aplicación;

Considerando que la creación de una autoridad de control independiente en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

Considerando que dicha autoridad debe ser dotada de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención, en particular en casos de quejas presentadas a la autoridad o de poderes para incoar procedimientos legales; que tal autoridad ha de contribuir a la transparencia de los tratamientos efectuados en el Estado miembro del que depende;

Considerando que las autoridades de los distintos Estados miembros habrán de prestarse ayuda mutua en el ejercicio de sus funciones, de forma que se garantice el adecuado respeto de las normas de protección en toda la Unión Europea;

Considerando que se debe crear, en el ámbito comunitario, un Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, el cual habrá de ejercer sus funciones con plena independencia; que, teniendo en cuenta este carácter específico, el Grupo deberá asesorar a la Comisión y contribuir, en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva;

Considerando que, por lo que respecta a la transferencia de datos hacia terceros países, la aplicación de la presente Directiva requiere que se atribuya a la Comisión competencias de ejecución y que se cree un procedimiento con arreglo al procedimiento establecido en la Decisión 87/373/CEE del Consejo (4);

Considerando que los principios de la protección de los derechos y libertades de las personas y, en particular, el respeto de la intimidad en lo que se refiere al tratamiento de los datos personales objeto de la presente Directiva podrán completarse o precisarse, sobre todo en determinados sectores, mediante normas específicas conformes a estos principios;

Considerando que resulta oportuno conceder a los Estados miembros un plazo que no podrá ser superior a tres años a partir de la entrada en vigor de las medidas nacionales de transposición de la presente Directiva, a fin de que puedan aplicar de manera progresiva las nuevas disposiciones nacionales mencionadas a todos los tratamientos ya existentes; que, con el fin de facilitar una aplicación que presente una buena relación coste-eficacia, se concederá a los Estados miembros un período que expirará a los doce años de la fecha en que se adopte la presente Directiva, para garantizar que los ficheros manuales existentes en dicha fecha se hayan ajustado a las disposiciones de la Directiva; que si los datos contenidos en dichos ficheros son tratados efectivamente de forma manual en ese período transitorio ampliado deberán, sin embargo, ser ajustados a dichas disposiciones cuando se realice tal tratamiento;

Considerando que no es procedente que el interesado tenga que dar de nuevo su consentimiento a fin de que el responsable pueda seguir efectuando, tras la entrada en vigor de las disposiciones nacionales adoptadas en virtud de la presente Directiva, tratamientos de datos sensibles necesarios para la ejecución de contratos celebrados previo consentimiento libre e informado antes de la entrada en vigor de las disposiciones mencionadas;

Considerando que la presente Directiva no se opone a que un Estado miembro regule las actividades de prospección comercial destinadas a los consumidores que residan en su territorio, en la medida en que dicha regulación no afecte a la protección de las personas en lo que respecta a los tratamientos de datos personales;

Considerando que la Directiva autoriza que se tenga en cuenta el principio de acceso público a los documentos oficiales a la hora de aplicar los principios expuestos en la presente Directiva,

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPÍTULO I DISPOSICIONES GENERALES

Artículo 1

Objeto de la Directiva

1. Los Estados miembros garantizarán con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y los derechos fundamentales de las personas físicas, y en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.

Artículo 2

Definiciones

A efectos de la presente Directiva, se entenderá por:

a) «datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) «tratamiento de datos personales» («tratamiento»): cualquier operación o cualquier conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

c) «fichero de datos personales» («fichero»): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sean centralizados, descentralizados o repartidos de forma funcional o geográfica;

d) «responsable del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que determine los fines y los medios del tratamiento de datos personales; cuando las finalidades del tratamiento vengan determinadas por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para designarlo podrán fijarse por el derecho nacional o comunitario;

e) «subencargado»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento;

f) «tercero», la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo con excepción del interesado, del responsable del tratamiento, del subencargado y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del subencargado;

g) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos durante un trabajo de investigación particular no se considerarán destinatarios;

h) «consentimiento del interesado»: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

Artículo 3

Ámbito de aplicación

1. Las disposiciones de la presente Directiva se aplicarán al tratamiento de datos personales, automatizado completamente o en parte, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en los ficheros.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

- efectuado en el ejercicio de actividades que no entren en el ámbito de aplicación del Derecho comunitario, como aquellas a las que se aplican las disposiciones de los Títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado) y las actividades del Estado en materia penal;

- efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

Artículo 4

Derecho nacional aplicable

1. Los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el contexto de las actividades de un establecimiento en el territorio del Estado miembro del responsable. Cuando el mismo responsable está establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica la legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

CAPÍTULO II CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES

Artículo 5

Los Estados miembros precisarán, dentro de los límites de las disposiciones del presente capítulo, las condiciones en las que son lícitos los tratamientos de datos personales.

Sección I Principios relativos a la calidad de los datos

Artículo 6

1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros tomen las garantías oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben o para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación del interesado durante un período no superior al necesario para los fines para los que fueron recogidos los datos o para los que se traten ulteriormente. Los Estados miembros estipularán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, por motivos históricos, estadísticos o científicos.

2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento del apartado 1.

Sección II Principios relativos a la legitimación del tratamiento de datos

Artículo 7

Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales adoptadas en respuesta a una solicitud del interesado, o

c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferida al responsable del tratamiento o a un tercero a quien se comunican los datos, o

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comunican los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que invoque una protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Sección III Categorías especiales de tratamientos

Artículo 8

Tratamiento de categorías especiales de datos

1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas y la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad.

2. El apartado 1 no se aplicará cuando:

a) el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en que la legislación del Estado miembro disponga que la prohibición establecida en el apartado 1 no pueda levantarse con el consentimiento del interesado, o

b) el tratamiento sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral en la medida en que esté autorizado por la legislación y ésta prevea garantías adecuadas, o

c) el tratamiento sea necesario para salvaguardar el interés vital de la persona en cuestión o de otra persona, en el supuesto de que la persona en cuestión no esté en condiciones de dar un consentimiento, o

d) el tratamiento lo efectúe una fundación, una asociación o cualquier otro organismo sin finalidad lucrativa, cuyo objeto tenga carácter político, filosófico, religioso o sindical, en el curso de sus actividades legítimas y con las debidas garantías, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan regularmente relaciones con la fundación, la asociación o el organismo en razón de su objeto y con tal de que los datos no se comuniquen a terceros sin el consentimiento de los interesados, o

e) el tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos o sea necesario para el fundamento, ejercicio o defensa de demandas judiciales (5).

3. El apartado 1 no se aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de atención sanitaria o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por organismos nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

4. Siempre que dispongan las garantías adecuadas, los Estados miembros podrán, por motivos de interés público importantes, establecer otras excepciones, además de las previstas en el apartado 2, bien mediante su legislación nacional, bien por decisión de la autoridad de control.

5. El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantías específicas en el Derecho nacional, sin perjuicio de las excepciones que podrá establecer el Estado miembro basándose en disposiciones nacionales que prevean garantías apropiadas y específicas. Sin embargo, sólo podrá llevarse una recopilación completa de condenas penales bajo el control de la autoridad pública.

Los Estados miembros podrán establecer que el tratamiento de datos relativos a sanciones administrativas o procesos civiles se realicen asimismo bajo el control de la autoridad pública.

6. Las excepciones a las disposiciones del apartado 1 que establecen los apartados 4 y 5 se notificarán a la Comisión.

7. Los Estados miembros determinarán las condiciones en las que un número nacional de identificación o cualquier otro medio de identificación de carácter general podrá ser objeto de un tratamiento.

Artículo 9

Tratamiento de datos personales y libertad de expresión

En lo correspondiente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capítulo, del capítulo IV y del capítulo VI, las excepciones que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.

Sección IV Información del interesado

Artículo 10

Información en caso de obtención de datos facilitados por el interesado

Los Estados miembros dispondrán que el responsable del tratamiento o su representante comuniquen a la persona de la que se obtengan datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante,

b) los fines del tratamiento de que van a ser objeto los datos,

c) cualquier otra información tal como:

- los destinatarios o las categorías de destinatarios de los datos,

- el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

- la existencia de derechos de acceso y rectificación de los datos que la conciernen.

Habida cuenta de las circunstancias específicas en que se obtengan los datos que resulte necesaria para garantizar un tratamiento de datos de manera leal respecto a la persona interesada.

Artículo 11

Información cuando los datos no han sido recabados del interesado

1. Cuando los datos no hayan sido recabados del interesado, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar a la persona interesada por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante,

b) los fines del tratamiento de que van a ser objeto los datos,

c) cualquier otra información tal como:

- las categorías de los datos de que se trate,

- los destinatarios o categorías de destinatarios de los datos,

- la existencia de derechos de acceso y rectificación de los datos que la conciernen.

Habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, resulte necesaria para garantizar un tratamiento de datos de buena fe respecto a la persona interesada.

2. Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.

Sección V Derecho de acceso del interesado a los datos

Artículo 12

Derecho de acceso

Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

1) libremente, sin coacción y con una frecuencia razonable y sin retrasos ni gastos excesivos:

- la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así como información por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;

- la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como la información disponible sobre el origen de los datos;

- el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado al menos en los casos de las decisiones automatizadas a las que se refiere el apartado 1 del artículo 15;

2) la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

3) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con el apartado 2, si no resulta imposible o supone un esfuerzo desproporcionado.

Sección VI Excepciones y limitaciones

Artículo 13

Excepciones y restricciones

1. Los Estados miembros podrán tomar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, en el artículo 12 y en el artículo 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la ética en las profesiones reglamentadas;

e) un interés económico y financiero importante del Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia c), d) y e);

g) la protección del interesado o los derechos y libertades de otras personas.

2. Sin perjuicio de las garantías legales apropiadas, que excluyen en particular que los datos puedan ser utilizados en relación con medidas o decisiones relativas a personas concretas, los Estados miembros podrán limitar mediante una disposición legislativa los derechos contemplados en el artículo 2 cuando los datos se vayan a tratar exclusivamente con fines de investigación científica o se guarden en forma de archivos de carácter personal durante un período que no supere el tiempo necesario para la única finalidad de la elaboración estadística.

Sección VII Derecho de oposición del interesado

Artículo 14

Derecho de oposición del interesado

Los Estados miembros reconocerán al interesado el derecho a:

a) oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

b) oponerse, previa petición y sin gastos, al tratamiento de los datos de carácter personal respecto de los cuales el responsable prevea un tratamiento destinado a la prospección; o

ser informado antes de que los datos se comuniquen por primera vez a terceros o se usen en nombre de éstos a efectos de prospección, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha comunicación o utilización.

Los Estados miembros adoptarán todas las medidas necesarias para garantizar que las personas interesadas conozcan la existencia del derecho al que se refiere el primer párrafo de la letra b).

Artículo 15

Decisiones individuales automatizadas

1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que las afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinados a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, credibilidad, fiabilidad, conducta, etc.

2. Los Estados miembros permitirán, sin perjuicio de lo dispuesto en los demás artículos de la presente Directiva, que una persona pueda verse sometida a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que se haya satisfecho la petición del interesado o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para la salvaguardia de su interés legítimo; o

b) esté autorizada por una ley que contenga medidas para la salvaguardia del interés legítimo del interesado.

Sección VIII Confidencialidad y seguridad del tratamiento

Artículo 16

Confidencialidad del tratamiento

Ninguna persona que actúe bajo la autoridad del responsable o del subencargado del tratamiento, incluido este último, tratará datos personales a los que tenga acceso, a menos que se lo encargue el responsable del tratamiento o salvo que se lo exija un imperativo legal.

Artículo 17

Seguridad del tratamiento

1. Los Estados miembros dispondrán la obligatoriedad por parte del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, necesarias para la protección contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizado, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.

Dichas medidas deberán garantizar, habida cuenta de los progresos técnicos y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

2. Los Estados miembros dispondrán que el responsable del tratamiento, en caso de tratamiento por cuenta propia, elija un encargado del tratamiento que reúna garantías suficientes sobre las medidas de seguridad técnica de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.

3. La realización de tratamientos por cuenta de un encargado deberá estar regulada por un contrato u otro acto jurídico que le vincule con el responsable del tratamiento, y que disponga, en particular:

- que el encargado del tratamiento actúa sólo siguiendo instrucciones del responsable del tratamiento;

- que las obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.

4. A efectos de conservación de la prueba, las partes del contrato o del acto jurídico relativas a la protección de datos y a los requisitos relativos a las medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente.

Sección IX Notificación

Artículo 18

Obligación de notificación a la autoridad de control

1. Los Estados miembros dispondrán que el responsable del tratamiento o, en su caso, su representante, efectúe una notificación a la autoridad de control contemplada en el artículo 28, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos, total o parcialmente automatizados, destinados a la consecución de un fin o de varios fines conexos.

2. Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones:

- cuando, para las categorías de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere el tratamiento, se precisen los fines de los tratamientos, los datos o categorías de datos tratados, la categoría o categorías de los interesados, los destinatarios o categorías de destinatarios a los que se comuniquen los datos y el período de conservación de los datos y/o

- cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que se hará cargo, en particular,

- de hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,

- de llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21,

garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.

3. Los Estados miembros podrán disponer que no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar registros que, con arreglo al derecho nacional, estén destinados a facilitar información y estén abiertos a la consulta por el público en general o por toda persona que pueda demostrar un interés legítimo.

4. Los Estados miembros podrán eximir de la obligación de notificación a los tratamientos a que se refiere la letra d) del apartado 2 del artículo 8, o disponer una simplificación de la notificación.

5. Los Estados miembros podrán disponer que los tratamientos no automatizados de datos de carácter personal sean notificados en general o en casos concretos, o contemplar medidas de simplificación para la notificación de dichos tratamientos.

Artículo 19

Contenido de la notificación

1. Los Estados miembros definirán los datos que deben figurar en la notificación, que serán como mínimo:

a) el nombre y la dirección del responsable del tratamiento y, en su caso, de su representante;

b) el o los objetivos del tratamiento;

c) una descripción de la categoría o categorías de interesados y de los datos o categorías de datos a los que se refiere el tratamiento;

d) los destinatarios o categorías de destinatarios a los que se pueden comunicar los datos;

e) las transferencias previstas de datos a terceros países;

f) una descripción general que permita evaluar si resultan adecuadas las medidas adoptadas para garantizar la seguridad del tratamiento, en aplicación del artículo 17.

2. Los Estados miembros precisarán los procedimientos por los que se notificarán a la autoridad de control las modificaciones que afecten a las informaciones contempladas en el apartado 1.

Artículo 20

Controles previos

1. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades individuales y velarán por que sean examinados antes del comienzo del tratamiento.

2. Estas comprobaciones previas serán realizadas por la autoridad de control una vez que haya recibido la notificación del responsable del tratamiento o por el encargado de la protección de datos, quien en caso de duda deberá consultar a la autoridad de control.

3. Los Estados miembros podrán también llevar a cabo dicha comprobación en el marco de la elaboración de una norma aprobada por el Parlamento o basada en la misma norma, que defina el carácter del tratamiento y establezca las oportunas garantías.

Artículo 21

Publicidad de los tratamientos

1. Los Estados miembros adoptarán las medidas necesarias para garantizar la publicidad de los tratamientos.

2. Los Estados miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18.

En el registro se incluirán, como mínimo, las informaciones a las que se refieren las letras a) a e) del apartado 1 del artículo 19.

El registro podrá ser consultado por cualquier persona.

3. Los Estados miembros dispondrán, en lo que respecta a los tratamientos no sometidos a notificación, que los responsables de los tratamientos u otro órgano designado por los Estados miembros comuniquen en las formas adecuadas al menos las informaciones a que se refieren las letras a) a e) del apartado 1 del artículo 19 a toda persona que lo pida.

Los Estados miembros podrán establecer que esta disposición no se aplique a los tratamientos cuyo fin único sea disponer de un registro, que, en virtud de leyes o de reglamentos, esté concebido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo.

CAPÍTULO III RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES

Artículo 22

Recursos

Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28 y antes de acudir a la autoridad judicial, los Estados miembros dispondrán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.

Artículo 23

Responsabilidad

1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.

Artículo 24

Sanciones

Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.

CAPÍTULO IV TRANSFERENCIA DE DATOS PERSONALES A PAÍSES TERCEROS

Artículo 25

Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2. El carácter adecuado del nivel de protección que ofrece un tercer país se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, el fin o los fines y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el tercer país de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

3. Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2.

4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho, en aplicación del apartado 4.

6. La Comisión podrá comprobar, según el procedimiento mencionado en el apartado 2 del artículo 31, que un tercer país garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, con fines de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

Artículo 26

Excepciones

1. No obstante lo dispuesto en el artículo 25 y salvo disposición contraria del Derecho nacional que rija los casos particulares, los Estados miembros dispondrán que una transferencia de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, pueda efectuarse siempre y cuando:

1) el interesado haya dado su consentimiento inequívocamente, o

2) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento para la ejecución de medidas preliminares al contrato tomadas en respuesta a una petición del interesado, o

3) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado en interés del interesado, entre el responsable del tratamiento y un tercero, o

4) la transferencia sea necesaria para la salvaguardia de un interés público importante, o para el fundamento, ejercicio o defensa de demandas judiciales, o

5) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

6) la transferencia tenga lugar desde un registro que, en virtud de disposiciones legislativas o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en el caso particular, las condiciones que establece el Derecho para la consulta.

2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento aduzca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los derechos con ello relacionados; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

3. Los Estados miembros informarán a la Comisión y a los demás Estados miembros acerca de las autorizaciones que concedan con arreglo al apartado 2.

En caso de oposición expresada por un Estado miembro o por la Comisión y debidamente justificada respecto de la protección de la vida privada y de los derechos y libertades fundamentales de las personas, la Comisión adoptará las medidas apropiadas de conformidad con el procedimiento establecido en el apartado 2 del artículo 31.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

4. Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

CAPÍTULO V CÓDIGOS DE CONDUCTA

Artículo 27

1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a una aplicación adecuada de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.

2. Los Estados miembros establecerán que las asociaciones profesionales, así como otros organismos representativos de otras categorías de responsables de tratamientos, que elaboren proyectos de códigos nacionales o que tengan la intención de modificar o prorrogar códigos nacionales existentes puedan presentarlos a las autoridades nacionales para su dictamen.

Los Estados miembros establecerán que dicha autoridad vele, en particular, por la conformidad de los proyectos que se le presenten con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus representantes.

3. Los proyectos de códigos comunitarios, así como las modificaciones o prórrogas de códigos comunitarios existentes, podrán presentarse al Grupo contemplado en el artículo 29. Este se pronunciará, entre otras cosas, sobre la conformidad de los proyectos presentados con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, el Grupo recogerá las observaciones de los interesados o de sus representantes. La Comisión podrá efectuar una publicidad adecuada de los códigos que han recibido un dictamen favorable del Grupo.

CAPÍTULO VI AUTORIDAD DE CONTROL Y GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

Artículo 28

Autoridad de control

1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal.

3. La autoridad de control dispondrá, en particular, de:

- poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

- poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20 y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

- el poder de litigar en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4. Toda autoridad de control entenderá de las demandas que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su demanda.

Toda autoridad de control entenderá, en particular, de las demandas de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artículo 13 de la presente Directiva. Esa persona será informada en todos los casos de que ha tenido lugar una verificación.

5. Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado.

6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Cualquier autoridad de otro Estado miembro podrá pedir a dicha autoridad que ejerza sus poderes.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información.

7. Los Estados miembros dispondrán que los miembros y la plantilla de las autoridades de control deban estar sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre informaciones confidenciales a las que hayan tenido acceso.

Artículo 29

Grupo de protección de las personas en lo que respecta al tratamiento de datos personales

1. Se crea un Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, en lo sucesivo denominado »Grupo».

Dicho Grupo tendrá un carácter consultivo e independiente.

2. El Grupo estará compuesto por un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro y por un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, así como por un representante de la Comisión.

Cada miembro del Grupo será designado por la institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades de control, éstas nombrarán a un representante común. Lo mismo harán las autoridades creadas por las instituciones y organismos comunitarios.

3. El Grupo tomará sus decisiones por mayoría simple de los representantes de las autoridades de control.

4. El Grupo elegirá su presidente. El mandato del presidente tendrá una duración de dos años. El mandato será renovable.

5. La Comisión desempeñará la secretaría del Grupo.

6. El Grupo aprobará su reglamento interno.

7. El Grupo examinará los asuntos incluidos en el orden del día por su presidente, bien por iniciativa de éste, bien previa solicitud motivada de un representante de las autoridades de control, bien a solicitud de la Comisión.

Artículo 30

1. El Grupo tendrá la misión de:

a) estudiar toda cuestión relativa a la ejecución de las disposiciones nacionales tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea;

b) emitir un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en los terceros países;

c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de medidas adicionales o específicas que deban adoptarse para salvaguardar los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales, así como sobre cualquier otro proyecto de medidas comunitarias que afecte a dichos derechos y libertades;

d) emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria.

2. Si el Grupo comprobare la existencia de divergencias entre la legislación o la práctica de los Estados miembros que pudieren afectar a la equivalencia de la protección de las personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión.

3. El Grupo podrá, por iniciativa propia, formular recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad.

4. Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión y al Comité contemplado en el artículo 31.

5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones. A tal efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe se publicará.

6. El Grupo elaborará un informe anual sobre la situación de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los terceros países, y lo comunicará a la Comisión, al Parlamento Europeo y al Consejo. Dicho informe se publicará.

CAPÍTULO VII MEDIDAS DE EJECUCIÓN COMUNITARIAS

Artículo 31

El Comité

1. La Comisión estará asistida por un Comité compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión.

2. El representante de la Comisión presentará al Comité un proyecto de medidas. El Comité emitirá su dictamen sobre dicho proyecto en un plazo que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate.

El dictamen se emitirá según la mayoría prevista en el apartado 2 del artículo 148 del Tratado. Con motivo de la votación en el Comité, los votos de los representantes de los Estados miembros se ponderarán de la manera definida en el artículo anteriormente citado. El presidente no tomará parte en la votación.

La Comisión adoptará las medidas previstas cuando sean conformes al dictamen del Comité.

Cuando las medidas previstas no sean conformes al dictamen del Comité o en caso de ausencia de dictamen, la Comisión someterá sin demora al Consejo una propuesta relativa a las medidas que deban tomarse. El Consejo se pronunciará por mayoría cualificada.

Si transcurrido un plazo de tres meses a partir del momento en que la propuesta se haya sometido al Consejo, éste no se hubiere pronunciado, la Comisión adoptará las medidas propuestas.

DISPOSICIONES FINALES

Artículo 32

1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva, a más tardar al final de un período de tres años a partir de la adopción de la Directiva.

Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Los Estados miembros velarán por que todo tratamiento ya iniciado en la fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas en virtud de la presente Directiva se ajuste a dichas disposiciones dentro de un plazo de tres años a partir de dicha fecha.

No obstante lo dispuesto en el párrafo primero, los Estados miembros podrán establecer que el tratamiento de los datos que ya se encuentren incluidos en ficheros manuales en la fecha de entrada en vigor de las disposiciones nacionales adoptadas en aplicación de la presente Directiva, deba ajustarse a lo dispuesto en los artículos 6, 7 y 8 en un plazo de doce años a partir de la adopción de la misma. Los Estados miembros otorgarán no obstante a la persona interesada, previa solicitud y, en particular, en el ejercicio de su derecho de acceso, el derecho a rectificar, suprimir o bloquear los datos que no estén completos o inexactos o hayan sido almacenados de forma incompatible con los fines legítimos perseguidos por el responsable del tratamiento.

3. No obstante lo dispuesto en el apartado 2, los Estados miembros podrán disponer, con sujeción a las salvaguardas oportunas, que los datos conservados con el único fin de la investigación histórica no se ajusten a los artículos 6, 7 y 8 de la presente Directiva.

4. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 33

La Comisión presentará al Consejo y al Parlamento Europeo periódicamente y por primera vez en un plazo de tres años a partir de la fecha mencionada en el apartado 1 del artículo 32 un informe sobre la aplicación de la presente Directiva, acompañado, en su caso, de las oportunas propuestas de modificación. Dicho informe se publicará.

La Comisión estudiará, en particular, la aplicación de la presente Directiva al tratamiento de sonidos e imágenes personales y presentará las propuestas pertinentes que puedan resultar necesarias en función de los avances de la tecnología de la información, y a la luz de los trabajos de la sociedad de la información.

Artículo 34

Los destinatarios de la presente Directiva son los Estados miembros.

Hecho en . . .

Por el Parlamento Europeo

El Presidente

Por el Consejo

El Presidente

(1) DO n° C 277 de 5. 11. 1990, p. 3 y DO n° C 311 de 27. 11. 1992, p. 30.

(2) DO n° C 159 de 17. 6. 1991, p. 38.

(3) Dictamen del Parlamento Europeo de . . . (no publicado aún en el Diario Oficial), Posición común del Consejo de . . . (no publicada aún en el Diario Oficial) y Decisión del Parlamento Europeo de . . . (no publicada aún en el Diario Oficial).

(4) DO n° L 197 de 18. 7. 1987, p. 33.

(5) Cf. doc. 11369/94, punto B. II. iv) b).

EXPOSICIÓN DE MOTIVOS DEL CONSEJO

I. Introducción

La Comisión presentó el 18 de julio de 1990 una propuesta de Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, basada en los artículos 100 A y 113 del Tratado.

El Parlamento Europeo emitió su dictamen el 11 de marzo de 1992 en primera lectura y sugirió numerosas enmiendas a la propuesta de la Comisión.

El Comité Económico y Social emitió su dictamen el 24 de abril de 1991.

En vista de dichos dictámenes, la Comisión presentó el 15 de octubre de 1992 una propuesta modificada de Directiva.

El Consejo adoptó su posición común el 20 de febrero de 1995, de conformidad con el apartado 2 del artículo 189 B del Tratado.

II. Objetivo

Esta propuesta de Directiva forma parte del marco jurídico claro y estable que es imprescindible para el desarrollo de la sociedad de la información de forma aceptable para el ciudadano europeo.

Más en particular, está encaminada a garantizar la libre circulación de los datos de carácter personal dentro de la Comunidad y suprimir las distorsiones de la competencia y los riesgos de deslocalización que pudieran derivarse de éstas, estableciendo en todos los Estados miembros una protección equivalente de alto nivel para las personas físicas, en lo que se refiere al tratamiento de estos datos.

Esta protección de alto nivel se garantiza, por una parte, mediante las obligaciones impuestas a las personas, autoridades públicas, empresas u organismos asociativos que, bajo su responsabilidad, efectúen tratamientos y, por otra parte, mediante los derechos otorgados a las personas físicas cuyos datos son objeto de tratamiento.

Las obligaciones de los responsables se refieren, en particular, a la calidad de los datos cuyo uso debe responder a una finalidad determinada y legítima en lo relativo al fundamento de los tratamientos, pudiendo ser uno de dichos fundamentos el consentimiento de las personas afectadas, la seguridad técnica para impedir el acceso no autorizado a los ficheros y la notificación de los tratamientos a la autoridad de control nacional.

Los derechos otorgados a las personas físicas consisten en el derecho de ser informadas en distintas circunstancias sobre los tratamientos efectuados a partir de los datos que les conciernan, en poder conocer dichos datos, pedir su rectificación si resultan ser erróneos e incluso en oponerse a los tratamientos.

III. Análisis de la posición común

A. Observaciones generales

La posición común tiene especialmente en cuenta las preocupaciones que expresó el Parlamento Europeo en su primera lectura.

En particular, recoge una modificación muy importante sugerida por dicha institución y que se refiere al abandono de la distinción formal entre las normas aplicables al sector público y las aplicables al sector privado, lo que ha conllevado una reestructuración completa del texto (enmiendas nos 7 a 29, 39 a 41, 118, 119).

La posición común recoge también la idea del Parlamento de elegir, para poner en práctica la protección, un concepto amplio que abarca los distintos usos de los datos. Se ha optado a tal efecto por el concepto de tratamiento. El concepto de fichero sólo se utilizará de ahora en adelante para los datos manuales. El Parlamento Europeo había considerado, en efecto, que el concepto de fichero ya está superado y no era pertinente en el contexto del desarrollo de la informatización y las telecomunicaciones.

Hay, por otra parte, numerosas modificaciones que o bien son precisiones o simplificaciones de redacción útiles, o bien introducen una flexibilidad por la cual, a la vez que garantizan un nivel equivalente de protección en los Estados miembros, no deberían conducir a una disminución del nivel de protección, porque permiten una aplicación eficaz y no burocrática de los principios generales establecidos en función de la gran variedad de características específicas de los tratamientos de datos de carácter personal.

Por último, cabe destacar que el Consejo y la Comisión han considerado que el artículo 100 A constituye una base jurídica suficiente para la Directiva, por lo que ha rechazado el 113, que la Comisión había propuesto también como base jurídica en su propuesta modificada. En efecto, el Consejo ha considerado que los artículos 25 y 26 de la Directiva, que se refieren a la transferencia de datos de carácter personal a terceros países, no perseguían un objetivo de política comercial propiamente dicho. Dichos artículos se analizan más bien como un simple corolario de los demás artículos de la Directiva, de los que no se pueden disociar, y su objetivo es garantizar una cierta «impermeabilidad» del sistema impidiendo todo «laxismo» en lo relativo a la transferencia de datos a terceros países.

B. Observaciones específicas

1. Enmiendas del Parlamento Europeo que se tienen en cuenta en la posición común

i) Definiciones (artículo 2):

Se han incluido en la definición del tratamiento la fase de recogida de datos y las distintas formas de comunicación de los mismos (enmiendas nos 10, 15, 16, 34).

Se ha precisado más la definición de datos de carácter personal (enmienda n° 12).

Se ha introducido la definición de tercero y de encargado (enmiendas nos 18, 134).

ii) Principios relativos a la calidad de los datos (artículo 6):

Se ha introducido una excepción al principio de duración máxima de conservación de los datos, que depende de las finalidades del tratamiento, en beneficio de los datos conservados con fines históricos, estadísticos o científicos (enmienda n° 60).

Debe conocerse la finalidad de una recogida de datos antes de realizarla (enmienda n° 59).

iii) Categorías específicas de tratamientos (artículo 8):

Los tratamientos de datos de carácter personal efectuados por asociaciones con fines no lucrativos y de carácter político, religioso o sindical se benefician de una excepción específica cuando se refieren a datos sensibles de sus miembros que, en cualquier otro caso, estarían prohibidos (enmienda n° 149).

El texto actual responde al deseo del Parlamento Europeo de introducir una mayor flexibilidad en lo relativo a los tratamientos de datos referentes a las infracciones, las condenas penales, etc. (enmienda n° 65).

Corresponde a los Estados miembros determinar las condiciones en las que un número nacional o cualquier otro signo de identificación de alcance general puede ser objeto de tratamiento (enmienda n° 65).

iv) Derechos de la persona afectada (artículos 10, 11, 12, 14, 15, 22):

Se han reforzado y precisado los derechos de la persona afectada. En particular,

- el derecho a ser informado se ha extendido al origen de los datos y a la lógica subyacente a determinados tratamientos automatizados (enmiendas nos 46, 48);

- el derecho de acceso deberá poder ejercerse sin ningún tipo de coacción por parte de terceros (enmienda n° 132);

- el derecho de oposición podrá ejercerse en todo momento y, en particular, frente a los tratamientos con fines de prospección (enmiendas nos 30, 145);

- se han ampliado las posibilidades de recurso que deberán prever los Estados miembros a todos los derechos garantizados por la Directiva; conviene señalar en este contexto que se ha recogido en el considerando 55 la exigencia del Parlamento Europeo de que las sanciones se apliquen también a los responsables en el sector público (enmiendas nos 52, 77).

v) Notificación de los tratamientos y examen previo por las autoridades de control (artículos 18, 19 y 20):

Para responder al deseo de menos burocracia y más eficacia, se ha hecho más selectivo el procedimiento de notificación. Se ofrecen a los Estados miembros posibilidades de excepciones a la obligación de notificación o de simplificación de la notificación, en particular cuando el tratamiento no pueda menoscabar los derechos y libertades de las personas afectadas o cuando quien efectúe el tratamiento sea una asociación de carácter político, filosófico, religioso o sindical (enmienda n° 149). De estas exenciones o simplificaciones se podrá beneficiar en la práctica toda una serie de tratamientos (en particular, los contemplados por el Parlamento Europeo en su enmienda n° 23).

Por otra parte, se ha previsto el principio de estudio por la autoridad de control antes de la realización de los tratamientos que supongan riesgos específicos para los derechos y libertades de las personas; en los considerandos figuran a título indicativo algunos ejemplos de tales tratamientos, contemplados por el Parlamento Europeo (enmiendas nos 40, 42, 118, 119).

Este enfoque deberá permitir que los Estados miembros adapten los procedimientos a las características particulares nacionales que se relacionan inevitablemente con las distintas prácticas y con la diversidad en el desarrollo de los tratamientos de datos.

Se mantiene la posibilidad de que el público consulte el registro de los tratamientos notificados llevado por la autoridad de control (enmiendas nos 37, 39).

vi) Códigos de conducta (artículo 27):

Se confirma la invitación a que se elaboren códigos de conducta tanto a nivel nacional como europeo para aplicar los principios de la Directiva según las características específicas de los sectores; además, se podrá asociar a la elaboración de estos códigos a las autoridades de control, al grupo de protección de personas contemplado en el artículo 29 y a las personas afectadas o su representante (enmiendas nos 72, 91).

vii) Autoridades de control (artículo 28):

Cada Estado miembro dispondrá que, para tener en cuenta en particular la estructura federal de algunos Estados miembros, una o más autoridades de control se encarguen de vigilar la aplicación de las disposiciones adoptadas en aplicación de la Directiva (enmienda n° 84). Los poderes de la autoridad de control pueden llegar hasta ordenar el bloqueo, la supresión de los datos o incluso prohibir el tratamiento (enmienda n° 86). Las autoridades de control deben publicar su informe periódico (enmienda n° 87).

viii) El Grupo de protección de las personas (artículo 29):

Se han confiado al Grupo las siguiente misiones, propuestas por el Parlamento Europeo:

- dictaminar sobre la ejecución de las disposiciones nacionales tomadas para la aplicación de la Directiva;

- dictaminar sobre el nivel de protección en la Comunidad y en los países terceros, así como sobre las medidas que deban tomarse para salvaguardar los derechos y libertades de las personas;

- posibilidad de emitir dictámenes por iniciativa propia.

Por su parte, la Comisión deberá redactar y publicar un informe para informar al Grupo sobre la forma en que ha tenido en cuenta sus dictámenes; dicho informe también se debe remitir al Parlamento Europeo y al Consejo (enmiendas nos 90, 91, 92).

ix) Disposiciones finales (artículo 36):

El informe que la Comisión remita periódicamente al Consejo y al Parlamento Europeo deberá publicarse (enmienda n° 95).

2. Otras modificaciones de la propuesta que se han introducido en la posición común del Consejo

i) Definiciones (artículo 2):

Se ha introducido una definición del destinatario, que es útil para garantizar la transparencia de los tratamientos con respecto a las personas afectadas.

ii) Datos contenidos en ficheros manuales (artículos 2 y 33):

Para facilitar la ejecución de la Directiva a los Estados miembros que hasta ahora no incluían los datos manuales, se contempla un período transitorio de doce años para la aplicación de algunas disposiciones de la Directiva.

iii) Derecho nacional aplicable (artículo 4):

El Consejo confirmó el criterio de vinculación, clásico en materia de mercado interior, propuesto por la Comisión; el del lugar de establecimiento del responsable del tratamiento. Por otra parte, se han aportado aclaraciones útiles acerca del concepto de establecimiento del responsable del tratamiento (considerando 19), sobre las obligaciones de seguridad que incumben al encargado en el artículo 17 y sobre las competencias de las autoridades de control en lo relativo a las operaciones de tratamiento efectuadas en su territorio que figuran en el artículo 28.

iv) Tratamiento de datos sensibles (artículo 8):

Se han añadido excepciones a la prohibición de datos que revelen el origen racional o étnico, las opiniones o que se refieran a la salud o a la vida sexual, con el fin de responder a necesidades justificadas, esencialmente en el ámbito médico y laboral, sin perjuicio de las garantías apropiadas.

Las excepciones que se adopten por motivos de interés público importante, así como las relativas a las normas que rigen el tratamiento de los datos penales deberán notificarse a la Comisión.

v) Libertad de expresión (artículo 9):

El Consejo confirmó el enfoque de la Comisión destinado a incluir los tratamientos con fines periodísticos en el ámbito de la Directiva. Además de estos tratamientos, los tratamientos efectuados con fines de expresión artística o literaria deberán beneficiarse de un régimen particular por la necesidad de conciliar en este ámbito la libertad de expresión y la protección de la intimidad. Los Estados miembros se encargarán de aplicar este régimen.

vi) Tratamientos con fines estadísticos, históricos o científicos:

Aunque conservando el carácter de directiva-marco de esta Directiva, el Consejo añadió a la excepción introducida para la duración máxima de conservación de los datos con fines estadísticos, históricos o científicos [letra e) del apartado 1 del artículo 6] algunas precisiones útiles, en particular en la letra b) del apartado 1 del artículo 6, sobre la compatibilidad de los tratamientos que tengan estos fines con los de los datos recogidos para otros fines, así como en el artículo 11, sobre la información de las personas. Se ha ampliado el ámbito de la excepción facultativa al derecho de acceso a los datos tratados con estos fines (apartado 2 del artículo 13).

vii) Transparencia de los tratamientos (artículos 10, 11 y 21):

Las obligaciones relativas a la información de las personas afectadas acerca del tratamiento de sus datos se han hecho más flexibles para tener en cuenta la gran diversidad de las circunstancias en las que se pueden realizar tales tratamientos (artículos 10 y 11). Por otra parte, la obligación impuesta a los Estados miembros de garantizar a toda persona el derecho a conocer la existencia de un tratamiento, previsto en el antiguo artículo 10 de la propuesta modificada, se ha recogido en el artículo 21 en forma de obligación de garantizar la publicidad de los tratamientos.

viii) Excepciones y limitaciones (artículo 13, antiguo artículo 14):

Las excepciones o limitaciones previstas en los artículos relativos a las obligaciones de información y a la transparencia de los tratamientos (artículos 11, 12 y 21 antiguos, que equivalen a los artículos 10, 11 y 21 nuevos), que hacían referencia al artículo 14, reservado inicialmente a las excepciones al derecho de acceso, se han insertado en este antiguo artículo.

El ámbito de las excepciones y limitaciones en beneficio de los intereses contemplados en este artículo se ha ampliado al principio de finalidad formulado en el artículo 6.

Además, se ha precisado que las excepciones y limitaciones deben establecerse mediante una medida legislativa.

En el artículo 28 se ha recogido la medida compensatoria constituida por el control efectuado por la autoridad de control a petición del interesado en caso de que se restrinja el derecho de acceso.

ix) Seguridad de los tratamientos (artículos 16 y 17):

Las disposiciones sobre confidencialidad se han incluido en un artículo aparte (artículo 16), las relativas a la seguridad que incumben tanto al responsable del tratamiento como al encargado (artículo 17) se han simplificado en su redacción. Se ha vuelto a introducir la consideración de los costes con respecto a las medidas que se vayan a adoptar, aunque manteniendo el criterio del riesgo para apreciar la adecuación de las medidas adoptadas.

x) Notificación y examen previo (artículos 18, 19 y 20):

Por lo que se refiere a la notificación, además de la posibilidad de exenciones para categorías de tratamientos que no puedan menoscabar los derechos y libertades de las personas afectadas (propuesta de la Comisión), se han permitido excepciones en el caso de que se haya designado a un encargado que se ocupe de las tareas descritas y garantice así que los tratamientos no pueden menoscabar los derechos y libertades de las personas afectadas.

Por lo que se refiere al control previo de los tratamientos que presenten riesgos específicos para los derechos y libertades de las personas afectadas, pueden efectuar este examen bien la autoridad de control (propuesta de la Comisión), bien el encargado en cooperación con la autoridad de control. Según su derecho nacional, las autoridades de control podrán emitir un dictamen o dar una autorización una vez realizado el examen previo.

Estas normas de notificación y control representan una solución transaccional en la medida en que garantizan la equivalencia entre dos tipos de procedimientos que han dado buenos resultados en los Estados miembros.

xi) Países terceros (artículos 25 y 26):

El Consejo confirmó el enfoque general propuesto por la Comisión, a saber, el principio de la existencia de un nivel de protección adecuada en los países terceros y que los Estados miembros velen por el respeto de tal principio. Se han previsto no obstante disposiciones para garantizar la aplicación homogénea de una política comunitaria en esta materia. El Consejo introdujo precisiones sobre los elementos que se deberán tener en cuenta en la evaluación del nivel de protección, así como sobre las excepciones que se vayan a contemplar.

xii) Autoridades de control (artículo 28):

Se ha previsto la consulta sistemática de las autoridades de control con motivo de la elaboración de medidas reglamentarias o administrativas nacionales. Los poderes de intervención de dichas autoridades de control sólo se describen de forma indicativa con el fin de conceder a los Estados miembros la flexibilidad necesaria en este ámbito. Por último, se han introducido precisiones sobre la cooperación entre las autoridades de control en materia de flujos transfronterizos.

xiii) Comité (artículo 31):

Por lo que se refiere a la transferencia de datos hacia países terceros, que exige la atribución de competencias de ejecución a la Comisión, el Consejo eligió el procedimiento III variante a) previsto en el artículo 2 de la Decisión 87/373/CEE, de 13 de julio de 1987.

xiv) Disposiciones finales (artículos 32 y 33):

Además de la elaboración de las medidas transitorias anteriormente citadas para hacer que los ficheros manuales sean conformes, se consideró necesario que el plazo concedido para transponer la Directiva en las normativas nacionales fuera de tres años a partir de la fecha de adopción de la Directiva.

Para tener en cuenta los desarrollos tecnológicos, sobre todo en el marco de la evolución de la sociedad de información, la Comisión estudiará en particular en su informe periódico la aplicación de la Directiva a los tratamientos de datos de carácter personal en forma de sonidos e imágenes.