LEGISLACION
COMUNITARIA
Directiva
95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995
relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
EL
PARLAMENTO EUROPEO Y EL, CONSEJO DE LA UNIÓN EUROPEA,
Visto el
Tratado constitutivo de la Comunidad Europea, y, en particular, su artículo 100
A,
Vista la
propuesta de la Comisión. 1
Visto el
dictamen del Comité Económico y Social 2
De
conformidad con el procedimiento establecido en el artículo 189 B del Tratado3
,
Considerando
que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó
modificado por el Tratado de la Unión Europea, consisten en lograr una unión
cada vez más estrecha entre los pueblos europeos, establecer relaciones más
estrechas entre los Estados miembros de la Comunidad, asegurar, mediante una
acción común, el progreso económico y social, eliminando las barreras que
dividen Europa, fementar la continua mejora de las condiciones de vida de sus
pueblos, preservar y consolidar la paz y la libertad y promover la democracia,
basándose en los derechos fundamentales reconocidos en las constituciones Y
leyes de los Estados miembros y en el Convenio Europeo para la Protección de
los Derechos Humanos y de las Libertades Fundamentales;
Considerando
que los sistemas de tratamiento de datos están al servicio del hombre; que
deben, cualquiera que sea la nacionalidad o la residencia de las personas
físicas, respetar las libertades y derechos fundamentales de las personas
físicas y, en particular, la intimidad, y contribuir al progreso económico y
social, al desarrollo de los intercambios, así como al bienestar de los
individuos;
(3)Considerando
que el establecimiento Y funcionamiento del mercado interior, dentro del cual
está garantizada, con arreglo al artículo 7 A del Tratado, la libre circulación
de mercancías, personas, servicios y capitales, hacen necesaria no sólo la
libre circulación de datos personales de un Estado miembro a otro, sino también
la protección de los derechos fundamentales de las personas;
(4)Considerando
que se recurre cada vez más en la Comunidad al tratamiento de datos personales
en los diferentes sectores de actividad económica y social; que el avance de
las tecnologías de la información facilita considerablemente el tratamiento y
el intercambio de dichos datos;
(5)Considerando
que la integración económica y social resultante del establecimiento y
funcionamiento del mercado interior, definido en el artículo 7 A del Tratado,
va a implicar necesariamente un aumento notable de los flujos transfronterizos
de datos personales entre todos los agentes de la vida económica y social de
los Estados miembros, ya se trate de agentes públicos o privados; que el intercambio
de datos personales entre empresas establecidas en los diferentes Estados
miembros experimentará un desarrollo; que las administraciones nacionales de
los diferentes Estados miembros, en aplicación del Derecho comunitario, están
destinadas a colaborar y a intercambiar datos personales a fin de cumplir su
cometido o ejercer funciones por cuenta de las administraciones de otros
Estados miembros, en el marco del espacio sin fronteras que constituye el
mercado interior;
(6)Considerando,
por lo demás, que el fortalecimiento de la cooperación científica y técnica,
así como el establecimiento coordinado de nuevas redes de telecomunicaciones en
la Comunidad exigen y facilitan la circulación transfronteriza de datos
personales;
(7)Considerando
que las diferencias entre los niveles de protección de los derechos y
libertades de las personas y, en particular, de la intimidad, garantizados en
los Estados miembros por lo que respecta al tratamiento de datos personales,
pueden impedir la transmisión de dichos datos del territorio de un Estado
miembro al de otro; que, por lo tanto, estas diferencias pueden constituir un
obstáculo para el ejercicio de una serie de actividades económicas a escala
comunitaria, falsear la competencia e impedir que las administraciones cumplan
los cometidos que les incumben en virtud del Derecho comunitario; que estas
diferencias en los niveles de protección se deben a la disparidad existente
entre las disposiciones legales, reglamentarias y administrativas de los
Estados miembros;
(8)Considerando
que, para eliminar los obstáculos a la circulación de datos personales, el
nivel de protección de los derechos y libertades de las personas, por lo que se
refiere al tratamiento de dichos datos, debe ser equivalente en todos los
Estados miembros; que ese objetivo, esencial para el mercado interior, no puede
lograrse mediante la mera actuación de los Estados miembros, teniendo en
cuenta, en particular, las grandes diferencias existentes en la actualidad
entre las legislaciones nacionales aplicables en la materia y la necesidad de
coordinar las legislaciones de los Estados miembros para que el flujo
transfronterizo de datos personales sea regulado de forma coherente y de
conformidad con el objetivo del mercado interior definido en el artículo 7 A
del Tratado; que, por tanto, es necesario que la Comunidad intervenga para
aproximar las legislaciones;
(9)Considerando
que, a causa de la protección equivalente que resulta de la aproximación de las
legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la
libre circulación entre ellos de datos personales por motivos de protección de
los derechos y libertades de las personas físicas, y, en particular, del
derecho a la intimidad; que los Estados miembros dispondrán de un margen de maniobra
del cual podrán servirse, en el contexto de la aplicación de la presente
Directiva, los interlocutores económicos y sociales; que los Estados miembros
podrán, por lo tanto, precisar en su derecho nacional las condiciones generales
de licitud del tratamiento de datos; que, al actuar así, los Estados miembros
procurarán mejorar la protección que proporciona su legislación en la
actualidad; que, dentro de los límites de dicho margen de maniobra y de
conformidad con el Derecho comunitario, podrán surgir disparidades en la
aplicación de la presente Directiva, y que ello podrá tener repercusiones en la
circulación de datos tanto en el interior de un Estado miembro como en la
Comunidad;
(10)Considerando
que las legislaciones nacionales relativas al tratamiento de datos personales
tienen por objeto garantizar el respeto de los derechos y libertades
fundamentales, particularmente del derecho al respeto de la vida privada
reconocido en el artículo 8 del Convenio Europeo para la Protección de los
Derechos Humanos y de las Libertades Fundamentales, así como en los principios
generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas
legislaciones no debe conducir a una disminución de la protección que
garantizan sino que, por el contrario, debe tener por objeto asegurar un alto
nivel de protección dentro de la Comunidad;
(11)Considerando
que los principios de la protección de los derechos y libertades de las
personas y, en particular, del respeto de la intimidad, contenidos en la
presente Directiva, precisan y amplían los del Convenio de 28 de enero de 1981
del Consejo de Europa para la protección de las personas en lo que respecta al
tratamiento automatizado de los datos personales;
(12)Considerando
que los principios de la protección deben aplicarse a todos los tratamientos de
datos personales cuando las actividades del responsable del tratamiento entren
en el ámbito de aplicación del Derecho comunitario; que debe excluirse el
tratamiento de datos efectuado por una persona física en el ejercicio de
actividades exclusivamente personales o domésticas, como la correspondencia y
la llevanza de un repertorio de direcciones;
(13)Considerando
que las actividades a que se refieren los títulos V y VI del Tratado de la
Unión Europea relativos a la seguridad pública, la defensa, la seguridad del
Estado y las actividades del Estado en el ámbito penal no están comprendidas en
el ámbito de aplicación del Derecho comunitario, sin perjuicio de las
obligaciones que incumben a los Estados miembros con arreglo al apartado 2 del
artículo 56 y a los artículos 57 y 100 A del Tratado; del] tratamiento de los
datos de carácter personal que sea necesario para la salvaguardia del bienestar
económico del Estado no está comprendido en el ámbito de aplicación de la presente
Directiva en los casos en que dicho tratamiento esté relacionado con la
seguridad del Estado;
(14)Considerando
que, habida cuenta de la importancia que, en el marco de la sociedad de la
información, reviste el actual desarrollo de las técnicas para captar,
transmitir, manejar, registrar, conservar o comunicar los datos relativos a las
personas físicas constituidos por sonido e imagen, la presente Directiva habrá
de aplicarse a los tratamientos que afectan a dichos datos;
(15)Considerando
que los tratamientos que afectan a dichos datos sólo quedan amparados por la
presente Directiva cuando están automatizados o cuando los datos a que se
refieren se encuentran contenidos o se destinan a encontrarse contenidos en un
archivo estructurado según criterios específicos relativos a las personas, a
fin de que se pueda acceder fácilmente a los datos de carácter personal de que
se trata;
(16)Considerando
que los tratamientos de datos constituidos por sonido e imagen, como los de la
vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de
la presente Directiva cuando se aplican con fines de seguridad pública,
defensa, seguridad del Estado o para el ejercicio de las actividades del Estado
relacionadas con ámbitos del derecho penal o para el ejercicio de otras
actividades que no están comprendidos en el ámbito de aplicación del Derecho
comunitario;
(17)Considerando
que en lo que respecta al tratamiento del sonido y de la imagen aplicados con
fines periodísticos o de expresión literaria o artística, en particular en el
sector audiovisual, los principios de la Directiva se aplican de forma
restringida según lo dispuesto en al artículo 9;
(18)Considerando
que, para evitar que una persona sea excluida de la protección garantizada por
la presente Directiva, es necesario que todo tratamiento de datos personales
efectuado en la Comunidad respete la legislación de uno de sus Estados
miembros; que, a este respecto, resulta conveniente someter el tratamiento de
datos efectuados por cualquier persona que actúe bajo la autoridad del
responsable del tratamiento establecido en un Estado miembro a la aplicación de
la legislación de tal Estado;
(19)Considerando
que el establecimiento en el territorio de un Estado miembro implica el
ejercicio efectivo y real de una actividad mediante una instalación estable;
que la forma jurídica de dicho establecimiento, sea una simple sucursal o una
empresa filial con personalidad jurídica, no es un factor determinante al
respecto; que cuando un mismo responsable esté establecido en el territorio de
varios Estados miembros, en particular por medio de una empresa filial, debe
garantizar, en particular para evitar que se eluda la normativa aplicable, que
cada uno de los establecimientos cumpla las obligaciones impuestas por el
Derecho nacional aplicable a estas actividades;
(20)Considerando
que el hecho de que el responsable del tratamiento de datos esté establecido en
un país tercero no debe obstaculizar la protección de las personas contemplada
en la presente Directiva; que en estos casos el tratamiento de datos debe
regirse por la legislación del Estado miembro en el que se ubiquen los medios
utilizados y deben adaptarse garantías para que se respeten en la práctica los
derechos y obligaciones contempladas en la presente Directiva;
(21)Considerando
que la presente Directiva no afecta a las normas de territorialidad aplicables
en materia penal;
(22)Considerando
que los Estados miembros precisarán en su legislación o en la aplicación de las
disposiciones adoptadas en virtud de la presente Directiva las condiciones
generales de licitud del tratamiento de datos; que, en particular, el artículo
5 en relación con los artículos 7 y 8, ofrece a los Estados miembros la
posibilidad de prever, independientemente de las normas generales, condiciones
especiales de tratamiento de datos en sectores específicos, así como para las
diversas categorías de datos contempladas en el artículo 8;
(23)Considerando
que los Estados miembros están facultades para garantizar la protección de las
personas tanto mediante una ley general relativa a la protección de las
personas respecto del tratamiento, de los datos de carácter personal como
mediante leyes sectoriales, como las relativas a los institutos estadísticos;
(24)Considerando
que las legislaciones relativas a la protección de las personas jurídicas
respecto del tratamiento de los datos que las conciernan no son objeto de la
presente Directiva;
(25)Considerando
que los principios de la protección tienen su expresión, por una parte, en las
distintas obligaciones que incumben a las personas, autoridades públicas,
empresas, agencias u otros organismos que efectúen tratamientos- obligaciones
relativas, en particular, a la calidad de los datos, la seguridad técnica, la
notificación a las autoridades de control v las circunstancias en las que se
puede efectuar el 'tratamiento- y, por otra parte, en los derechos otorgados a
las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de
dicho tratamiento, de poder acceder a los datos, de poder solicitar su
rectificación o incluso de oponerse a su tratamiento en determinadas
circunstancias;
(26)Considerando
que los principios de la protección deberán aplicarse a cualquier información
relativa a una persona identificada o identificable; que, para determinar si
una persona es identificable, hay que considerar el conjunto de los medios que
puedan ser razonablemente utilizados por el responsable del tratamiento o por
cualquier otra persona, para identificar a dicha persona; que los principios de
la protección no se aplicarán a aquellos datos hechos anónimos de manera tal
que ya no sea posible identificar al interesado; que los códigos de conducta
con arreglo al artículo 27 pueden constituir un elemento útil para proporcionar
indicaciones sobre los medios gracias a los cuales los datos pueden hacerse
anónimos y conservarse de forma tal que impida identificar al interesado;
(27)Considerando
que la protección de las personas debe aplicarse tanto al tratamiento
automático de datos como a su tratamiento manual; que el alcance de esta
protección no debe depender, en efecto, de las técnicas utilizadas, pues la
contrario daría lugar a riesgos graves de alusión; que, no obstante, por lo que
respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros,
y no se aplica a las carpetas que no están estructuradas; que, en particular,
el contenido de un fichero debe estructurarse conforme a criterios específicos
relativos a las personas, que permitan acceder fácilmente a los datos personales;
que, de conformidad con la definición que recoge la letra c) del artículo 2,
los distintos criterios que permiten determinar los elementos de un conjunto
estructurado de datos de carácter personal y los distintos criterios que
regulan el acceso a dicho conjunto de datos pueden ser definidos por cada
Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus
portadas, que no estén estructuradas conforme a criterios específicos no están
comprendidas en ningún caso en el ámbito de aplicación de la presente
Directiva;
(28)Considerando
que todo tratamiento de datos personales debe efectuarse de forma lícita y leal
con respecto al interesado; que debe referirse, en particular, a datos
adecuados, pertinentes y no excesivos en relación con los objetivos
perseguidos; que estos objetivos han de ser explícitos y legítimos, y deben
estar determinados en el momento de obtener los datos; que los objetivos de los
tratamientos posteriores a la obtención no pueden ser incompatibles con los
objetivos originalmente especificados;
(29)Considerando
que el tratamiento ulterior de datos personales, con fines históricos,
estadísticos o científicos no debe por lo general considerarse incompatible con
los objetivos para los que se recogieron los datos, siempre y cuando los
Estados miembros establezcan las garantías adecuadas; que dichas garantías
deberán impedir que dichos datos sean utilizados para tomar medidas o
decisiones contra cualquier persona;
(30)Considerando
que para ser lícito el tratamiento de datos personales debe basarse además en
el consentimiento del interesado o ser necesario con vistas a la celebración o
ejecución de un contrato que obligue al interesado, o para la observancia de
una obligación legal o para el cumplimiento de una misión de interés público o
para el ejercicio de la autoridad pública o incluso para la realización de un
interés legítimo de una persona, siempre que no prevalezcan los intereses o los
derechos y libertades del interesado; que, en particular, para asegurar el
equilibrio de los intereses en juego, garantizando a la vez una competencia
efectiva, los Estados miembros pueden precisar las condiciones en las que se
podrán utilizar y comunicar a terceros datos de carácter personal, en el
desempeño de actividades legítimas de gestión ordinaria de empresas y otras
entidades; que los Estados miembros pueden asimismo establecer previamente las
condiciones en que pueden efectuarse comunicaciones de datos personales a
terceros con fines de prospección comercial o de prospección realizada por una
institución benéfica u otras asociaciones o fundaciones, por ejemplo de
carácter político, dentro del respeto de las disposiciones que permiten a los
interesados oponerse, sin alegar los motivos y sin gastos, al tratamiento de
los datos que les conciernan;
(31)Considerando
que un tratamiento de datos personales debe estimarse lícito cuando se efectúa
con el fin de proteger un interés esencial para la vida del interesado;
(32)Considerando
que corresponde a las legislaciones nacionales determinar si el responsable del
tratamiento que tiene conferida una misión de interés público o inherente al
ejercicio del poder público, debe ser una administración pública u otra persona
de derecho público o privado, como por ejemplo una asociación profesional;
(33)Considerando,
por lo demás, que los datos que por su naturaleza puedan atentar contra las
libertades fundamentales o la intimidad no deben ser objeto de tratamiento
alguno, salvo en caso de que el interesado haya dado su consentimiento
explícito; que deberán constar de forma explícita las excepciones a esta
prohibición para necesidades específicas, en particular cuando el tratamiento
de dichos datos se realice con fines relacionados con la salud, por parte de
personas físicas sometidas a una obligación legal de secreto profesional, o
para actividades legítimas por parte de ciertas asociaciones o fundaciones cuyo
objetivo sea hacer posible el ejercicio de libertades fundamentales;
(34)Considerando
que también se deberá autorizar a los Estados miembros, cuando esté justificado
por razones de interés público importante, a hacer excepciones a la prohibición
de tratar categorías sensibles de datos en sectores como la salud pública y la
protección social, particularmente en lo relativo a la garantía de la calidad y
la rentabilidad, así como los procedimientos utilizados para resolver las
reclamaciones de prestaciones y de servicios en el régimen del seguro
enfermedad, la investigación científica y las estadísticas públicas; que a
ellos corresponde, no obstante, prever las garantías apropiadas y específicas a
los fines de proteger los derechos fundamentales y la vida privada de las
personas;
(35)Considerando,
además, que el tratamiento de datos personales por parte de las autoridades
públicas con fines, establecidos en el Derecho constitucional o en el Derecho
internacional público, de asociaciones religiosas reconocidas oficialmente, se
realiza por motivos importantes de interés público;
(36)Considerando
que, si en el marco de actividades relacionadas con las elecciones, el
funcionamiento del sistema democrático en algunos Estados miembros exige que
los partidos políticos recaben datos sobre la ideología política de los
ciudadanos, podrá autorizarse el tratamiento de estos datos por motivos
importantes de interés público, siempre que se establezcan las garantías
adecuadas;
(37)Considerando
que para el tratamiento de datos personales con fines periodísticos o de
expresión artística o literaria, en particular en el sector audiovisual, deben
preverse excepciones o restricciones de determinadas disposiciones de la
presente Directiva siempre que resulten necesarias para conciliar los derechos
fundamentales de la persona con la libertad de expresión y, en particular, la
libertad de recibir o comunicar informaciones, tal y como se garantiza en el
artículo 10 del Convenio Europeo para la Protección de los Derechos Humanos y
de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos
fundamentales, corresponde a los Estados miembros prever las excepciones y las
restricciones necesarias en lo relativo a las medidas generales sobré la
legalidad del tratamiento de datos,las medidas sobre la transferencia de datos
a terceros países y las competencias de las autoridades de control sin que esto
deba inducir, sin embargo, a los Estados miembros a prever excepciones a las
medidas que garanticen la seguridad del tratamiento; que, igualmente, debería
concederse a la autoridad de control responsable en la materia al menos una
serie de competencias a posteriorí como por ejemplo publicar
periódicamente un informe al respecto o bien iniciar procedimientos legales
ante las autoridades judiciales;
(38)Considerando
que el tratamiento leal de datos supone que los interesados deben estar en
condiciones de conocer la existencia de los tratamientos y, cuando los datos se
obtengan de ellos mismos, contar con una información precisa y completa
respecto a las circunstancias de dicha obtención;
(39)Considerando
que determinados tratamientos se refieren a datos que el responsable no ha
recogido directamente del interesado; que, por otra parte, pueden comunicarse
legítimamente datos a un tercero aún cuando dicha comunicación no estuviera
prevista en el momento de la recogida de los datos del propio interesado; que,
en todos estos supuestos, debe informarse al interesado en el momento del
registro de los datos o, a más tardar, al comunicarse los datos por primera vez
a un tercero;
(40)Considerando,
no obstante, que no es necesario imponer esta obligación si el interesado ya está
informado, si el registro o la comunicación están expresamente previstos por la
ley o si resulta imposible informarle, o ello implica esfuerzos
desproporcionados, como puede ser el caso para tratamientos con fines
históricos, estadísticos o científicos; que a este respecto pueden tomarse en
consideración el número de interesados, la antigüedad de los datos, y las
posibles medidas compensatorias;
(41)Considerando
que cualquier persona debe disfrutar del derecho de acceso a los datos que le
conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su
exactitud y de la licitud de su tratamiento; que por las mismas razones
cualquier persona debe tener además el derecho de conocer la lógica que subyace
al tratamiento automatizado de los datos que la conciernan, al menos en el caso
de las decisiones automatizados a que se refiere el apartado 1 del artículo 15;
que este derecho no debe menoscabar el secreto de los negocios ni la propiedad
intelectual y en particular el derecho de autor que proteja el programa
informática; que no obstante esto no debe suponer que se deniegue cualquier
información al interesado;
(42)Considerando
que, en interés del interesado de que se trate y para proteger los derechos y
libertades de terceros, los Estados miembros podrán limitar los derechos de
acceso y de información; que podrán, por ejemplo, precisar que el acceso a los
datos de carácter médico únicamente pueda obtenerse a través de un profesional
de la medicina;
(43)Considerando
que los Estados miembros podrán imponer restricciones a los derechos de acceso
e información y a determinadas obligaciones del responsable del tratamiento, en
la medida en que sean estrictamente necesarias para, por ejemplo, salvaguardar
la seguridad del Estado, la defensa, la seguridad pública, los intereses
económicos o financieros importantes de un Estado miembro o de la Unión, así
como para realizar investigaciones y entablar procedimientos penales y
perseguir violaciones de normas deontológicas en las profesiones reguladas; que
conviene enumerar, a efectos de excepciones y limitaciones, las tareas de
control, inspección o reglamentación necesarias en los tres últimos sectores
mencionados relativos a la seguridad pública, los intereses económicos o
financieros y la represión penal; que esta enumeración de tareas relativas a
los tres sectores citados no afecta a la legitimidad de las excepciones y
restricciones establecidas por razones de seguridad del Estado o de defensa;
(44)Considerando
que los Estados miembros podrán verse obligados, en virtud de las disposiciones
del Derecho comunitario, a establecer excepciones a las disposiciones de la
presente Directiva relativas al derecho de acceso, a la información de personas
y a la calidad de los datos para garantizar algunas de las finalidades
contempladas más arriba;
(45)Considerando
que cuando se pudiera efectuar lícitamente un tratamiento de datos por razones
de interés público o del ejercicio de la autoridad pública, o en interés
legítimo de una persona física, cualquier persona deberá, sin embargo, tener
derecho a oponerse a que los datos que le conciernan sean objeto de un
tratamiento, en virtud de motivos fundados y legítimos relativos a su situación
concreta; que los Estados miembros tienen, no obstante, la posibilidad de establecer
disposiciones nacionales contrarias;
(46)Considerando
que la protección de los derechos y libertades de los interesados en lo que
respecta a los tratamientos de datos personales exige la adopción de medidas
técnicas y de organización apropiadas, tanto en el momento de la concepción del
sistema de tratamiento como en el de la aplicación de los tratamientos mismos,
sobre todo con objeto de garantizar la seguridad e impedir, por tanto, todo
tratamiento no autorizado; que corresponde a los Estados miembros velar por que
los responsables del tratamiento respeten dichas medidas; que esas medidas
deberán garantizar un nivel de seguridad adecuado teniendo en cuenta el estado
de la técnica y el coste de su aplicación en relación con los riesgos que presente
el tratamiento y con la naturaleza de los datos que deban protegerse;
(47)Considerando
que cuando un mensaje con datos personales sea transmitido a través de un
servicio de telecomunicaciones o de correo electrónico cuyo único objetivo sea
transmitir mensajes de ese tipo, será considerada normalmente responsable del
tratamiento de los datos personales presentes en el mensaje aquella persona de
quien proceda el mensaje y no la que ofrezca el servicio de transmisión; que,
no obstante, las personas que ofrezcan estos servicios normalmente serán
consideradas responsables del tratamiento de los datos personales
complementarios y necesarios para el funcionamiento del servicio;
(48)Considerando
que los procedimientos de notificación a la autoridad de control tienen por
objeto asegurar la publicidad de los fines de los tratamientos y de sus
principales características a fin de controlarlos a la luz de las disposiciones
nacionales adoptadas en aplicación de la presente Directiva;
(49)Considerando
que para evitar trámites administrativos improcedentes, los Estados miembros
pueden establecer exenciones o simplificaciones de la notificación para los
tratamientos que no atenten contra los derechos y las libertades de los
interesados, siempre y cuando sean conformes a un acto adoptado por el Estado
miembro en el que se precisen sus límites; que los Estados miembros pueden
igualmente disponer la exención o la simplificación cuando un encargado,
nombrado por el responsable del tratamiento, se cerciore de que los tratamientos
efectuados no pueden atentar contra los derechos Y libertades de los
interesados; que la persona encargada de la protección de los datos, sea o no
empleado del responsable del tratamiento de datos, deberá ejercer sus funciones
con total independencia;
(50)Considerando
que podrán establecerse exenciones o simplificaciones para los tratamientos
cuya única finalidad sea el mantenimiento de registros destinados, de
conformidad con el Derecho nacional, a la información del público y que sean
accesibles para la consulta del público o de toda persona que justifique un
interés legítimo;
(51)Considerando,
no obstante, que el beneficio de la simplificación o de la exención de la
obligación de notificación no dispensa al responsable del tratamiento de ninguna
de las demás obligaciones derivadas de la presente Directiva;
(52)Considerando
que, en este contexto, el control a posteriorí por parte de las
autoridades competentes debe considerarse, en general, una medida suficiente;
(53)Considerando,
no obstante, que determinados tratamientos pueden presentar riesgos
particulares desde el punto de vista de los derechos y las libertades de los
interesados, ya sea por su naturaleza, su alcance o su finalidad, como los de
excluir a los interesados del beneficio de un derecho, de una prestación o de
un contrato, 9 por el uso particular de una tecnología nueva; que es
competencia de los Estados miembros, si así lo desean, precisar tales riesgos
en sus legislaciones;
(54)Considerando
que, a la vista de todos los tratamientos llevados a cabo en la sociedad, el
número de los que presentan tales riesgos particulares debería ser muy
limitado; que los Estados miembros deben prever, para dichos tratamientos, un
examen previo a su realización por parte de la autoridad de control o del
encargado de la protección de datos en cooperación con aquélla; que, tras dicho
control previo, la autoridad de control, en virtud de lo que disponga su
Derecho nacional, podrá emitir un dictamen o autorizar el tratamiento de datos;
que este examen previo podrá realizarse también en el curso de la elaboración
de una medida legislativa aprobada por el Parlamento nacional o de una medida
basada en dicha medida legislativa, que defina la naturaleza del tratamiento y
precise las garantías adecuadas;
(55)Considerando
que las legislaciones nacionales deben prever un recurso judical para los casos
en los que el responsable del tratamiento de datos no respete los derechos de
los interesados; que los daños que pueden sufrir las personas a raíz de un tratamiento
ílícito han de ser reparados por el responsable del tratamiento de datos, el
cual sólo podrá ser eximido de responsabilidad si demuestra que no le es
imputable el hecho perjudicial, principalmente si demuestra la responsabilidad
del interesado o un caso de fuerza mayor; que deben imponerse sanciones a toda
persona, tanto de derecho privado como de derecho público, que no respete las
disposiciones nacionales adoptadas en aplicación de la presente Directiva;
(56)Considerando
que los flujos transfronterizos de datos personales son necesarios para la
desarrollo del comercio internacional; que la protección de las personas
garantizada en la Comunidad por la presente Directiva no se opone a la
transferencia de datos personales a terceros países que garanticen un nivel de
protección adecuado; que el carácter adecuado del nivel de protección ofrecido
por un país tercero debe apreciarse teniendo en cuenta todas las circunstancias
relacionadas con la transferencia o la categoría de transferencias;
(57)Considerando,
por otra parte, que cuando un país tercero no ofrezca un nivel de protección
adecuado debe prohibirse la transferencia al mismo de datos personales;
(58)Considerando
que han de establecerse excepciones a esta prohibición en determinadas circunstancias,
cuando el interesado haya dado su consentimiento, cuando la transferencia sea
necesaria en relación con un contrato o una acción judicial, cuando así lo
exija la protección de un interés público importante, por ejemplo en casos de
transferencia internacional de datos entre las administraciones fiscales o
aduaneras o entre los servicios competentes en materia de seguridad social, o
cuando la transferencia se haga desde un registro previsto en la legislación
con fines de consulta por el público o por personas con un interés legítimo;
que en tal caso dicha transferencia no debe afectar a la totalidad de los datos
o las categorías de datos que contenga el mencionado registro; que, cuando la
finalidad de un registro sea la consulta por parte de personas que tengan un
interés legítimo, la transferencia sólo debería poder efectuarse a petición de
dichas personas o cuando éstas sean las destinatarias;
(59)Considerando
que pueden adaptarse medidas particulares para paliar la insuficiencia del
nivel de protección en un tercer país, en caso de que el responsable del
tratamiento ofrezca garantías adecuadas; que, por lo demás, deben preverse
procedimientos de negociación entre la Comunidad y los países terceros de que
se trate;
(60)Considerando
que, en cualquier caso, las transferencias hacia países terceros sólo podrán
efectuarse si se respetan plenamente las disposiciones adoptadas por los
Estados miembros en aplicación de la presente Directiva, Y, en particular, de
su artículo 8;
(61)Considerando
que los Estados miembros y la Comisión, dentro de sus respectivas competencias,
deben alentar a los sectores profesionales para que elaboren códigos de
conducta a fin de facilitar, habida cuenta del carácter específico del
tratamiento de datos efectuado en determinados sectores, la aplicación de la
presente Directiva respetando las disposiciones nacionales adoptadas para su
aplicación;
(62)Considerando
que la creación de una autoridad de control que ejerza sus funciones con plena
independencia en cada uno de los Estados miembros constituye un elemento
esencial de la protección de las personas en lo que respecta al tratamiento de
datos personales;
(63)Considerando
que dicha autoridad debe disponer de los medios necesarios para cumplir su
función, ya se trate de poderes de investigación o de intervención, en
particular en casos de reclamaciones presentadas a la autoridad o de poder
comparecer en juicio; que tal autoridad ha de contribuir a la transparencia de
los tratamientos de datos efectuados en el Estado miembro del que dependa;
(64)Considerando
que las autoridades de los distintos Estados miembros habrán de prestarse ayuda
mutua en el ejercicio de sus funciones-, de forma que se garantice el pleno
respeto de las normas de protección en toda la Unión Europea;
(65)Considerando
que se debe crear, en el ámbito comunitario, un grupo de protección de las
personas en lo que respecta al tratamiento de datos personales, el cual habrá
de ejercer sus funciones con plena independencia; que, habida cuenta de este
carácter específico, el grupo deberá asesorar a la Comisión y contribuir, en
particular, a la aplicación uniforme de las normas nacionales adoptadas en
aplicación de la presente Directiva;
(66)Considerando
que, por lo que respecta a la transferencia de datos hacia países terceros, la
aplicación de la presente Directiva requiere que se atribuya a la Comisión
competencias de ejecución y que se cree un procedimiento con arreglo a las
modalidades establecidas en la Decisión 87/373/CEE del Consejo.4
(67)Considerando
que el 20 de diciembre de 1994 se alcanzó un acuerdo sobre un modus vivendi
entre el Parlamento Europeo, el Consejo y la Comisión concerniente a las
medidas de aplicación de los actos adoptados de conformidad con el
procedimiento establecido en el artículo 189 B del Tratado CE;
(68)Considerando
que los principios de protección de los derechos y libertades de las personas
v, en particular, del respeto de la intimidad en lo que se refiere al
tratamiento de los datos personales objeto de la presente Directiva podrán
completarse o precisarse, sobre todo en determinados sectores, mediante normas
específicas conformes a estos principios;
(69)Considerando
que resulta oportuno conceder a los Estados miembros un plazo que no podrá ser
superior a tres años a partir de la entrada en vigor de las medidas nacionales
de transposición de la presente Directiva, a fin de que puedan aplicar de
manera progresiva las nuevas disposiciones nacionales mencionadas a todos los
tratamientos de datos va existentes; que, con el fin de facilitar una
aplicación que presente una buena relación coste eficacia, se concederá a los
Estados miembros un período suplementario que expirará a los doce años de la
fecha en que se adopte la presente Directiva, para garantizar que los ficheros
manuales existentes en dicha fecha se hayan ajustado a las disposiciones de la
Directiva; que si los datos contenidos en dichos ficheros son tratados
efectivamente de forma manual en ese período transitorio ampliado deberán, sin
embargo, ser ajustados a dichas disposiciones cuando se realice tal
tratamiento;
(70)Considerando
que no es procedente que el interesado tenga que dar de nuevo su consentimiento
a fin de que el responsable pueda seguir efectuando, tras la entrada en vigor
de las disposiciones nacionales adoptadas en virtud de la presente Directiva,
el tratamiento de datos sensibles necesario para la ejecución de contratos
celebrados previo consentimiento libre e informado antes de la entrada en vigor
de las disposiciones mencionadas;
(71)Considerando
que la presente Directiva no se opone a que un Estado miembro regule las
actividades de prospección comercial destinadas a los consumidores que residan
en su territorio, en la medida en que dicha regulación no afecte a la
protección de las personas en lo que respecta a tratamientos de datos
personales;
(72)Considerando
que la presente Directiva autoriza que se tenga en cuenta el principio de
acceso público a los documentos oficiales a la hora de aplicar los principios
expuestos en la presente Directiva,
HAN
ADOPTADO LA PRESENTE DIRECTIVA:
CAPÍTULO I
- DISPOSICIONES GENERALES
Artículo
1
Objeto de
la Directiva
1.Los
Estados miembros garantizarán, con arreglo a las disposiciones de la presente
Directiva, la protección de las libertades y de los derechos fundamentales de
las personas físicas, y, en particular, del derecho a la intimidad, en lo que
respecta al tratamiento de los datos personales.
2.Los
Estados miembros no podrán restringir ni prohibir la libre circulación de datos
personales entre los Estados miembros por motivos relacionados con la
protección garantizada en virtud del apartado 1.
Artículo
2
Definiciones
A efectos
de la presente Directiva, se entenderá por:
a)«datos
personales»: toda información sobre una persona física identificada o
identificable (el «interesado»); se considerará identificable toda persona cuya
identidad pueda determinarse, directa o indirectamente, en particular mediante
un número de identificación o uno o varios elementos específicos,
característicos de su identidad física, fisiológica, psíquica, económica,
cultural o social;
b)«tratamiento
de datos personales,, («tratamiento,»: cualquier operación o conjunto de
operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas
a datos personales, como la recogida, registro, organización, conservación,
elaboración o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma que facilite el acceso a los
mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
c)"fichero
de datos personales" ("fichero"): todo conjunto estructurado de
datos personales, accesibles con arreglo a criterios determinados, ya sea
centralizado, descentralizado o repartido de forma funcional o geográfica;
d)responsable
del tratamiento»: la persona física o jurídica, autoridad pública, servicio o
cualquier otro organismo que sólo o conjuntamente con otros determine los fines
y los medios del tratamiento de datos ,personales; en caso de que los fines y
los medios del tratamiento estén determinados por disposiciones legislativas o
reglamentarias nacionales o comunitarias, el responsable del tratamiento o los
criterios específicos para su nombramiento podrán ser fijados por el Derecho
nacional o comunitario;
e)encargado
del tratamiento»: la persona física o jurídica, autoridad pública, servicio o
cualquier otro organismo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento;
f)"tercero",:
la persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo distinto del interesado, del responsable del tratamiento, del
encargado del tratamiento y de las personas autorizadas para tratar los datos
bajo la autoridad directa del responsable del tratamiento o del encargado del
tratamiento;
g)"destinatario":
la persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan
recibir una comunicación de datos en el marco de una investigación específica
no serán considerados destinatarios;
h)"consentimiento
del interesado",: toda manifestación de voluntad, libre, específica e
informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernan.
Artículo
3
Ámbito de
aplicación
1.Las
disposiciones de la presente Directiva se aplicarán al tratamiento total o
parcialmente automatizado de datos personales, así como al tratamiento no
automatizado de datos personales contenidos o destinados a ser incluidos en un
fichero.
2.Las
disposiciones de la presente Directiva no se aplicarán al tratamiento de datos
personales:
-
efectuado en el ejercicio de actividades no comprendidas en el ámbito de
aplicación del Derecho comunitario, como las previstas por las disposiciones de
los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al
tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la
seguridad del Estado (incluido el bienestar económico del Estado cuando dicho
tratamiento esté relacionado con la seguridad del Estado) y las actividades del
Estado en materia penal;
-
efectuado por una persona física en el ejercicio de actividades exclusivamente
personales o domésticas.
Artículo
4
Derecho
nacional aplicable
1.Los
Estados miembros aplicarán las disposiciones nacionales que haya aprobado para
la aplicación de la presente Directiva a todo tratamiento de datos personales
cuando:
a)el
tratamiento sea efectuado en el marco de las actividades de un establecimiento
del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento
esté establecido en el territorio de varios Estados miembros deberá adoptar las
medidas necesarias para garantizar que cada uno de dichos establecimientos
cumple las obligaciones previstas por el Derecho nacional aplicable;
b)el
responsable del tratamiento no esté establecido en el territorio del Estado
miembro, sino en un lugar en que se aplica su legislación nacional en virtud
del Derecho internacional público;
c)el
responsable del tratamiento no esté establecido en el territorio de la
Comunidad y recurra, para el tratamiento de datos personales, a medios,
automatizados o no, situados en el territorio de dicho Estado miembro, salvo en
caso de que dichos medios se utilicen solamente con fines de tránsito por el
territorio de la Comunidad Europea.
2.En el
caso mencionado en la letra c) del apartado 1, el responsable del tratamiento
deberá designar un representante establecido en el territorio de dicho Estado
miembro, sin perjuicio de las acciones que pudieran emprenderse contra el
propio responsable del tratamiento.
CAPÍTULO
II
Condiciones
Generales Para La Licitud Del Tratamiento De Datos Personales
Artículo
5
Los
Estados miembros precisarán, dentro de los límites de las disposiciones del
presente capítulo, las condiciones en que son lícitos los tratamientos de datos
personales.
Sección I.
Principios Relativos A La Calidad De Los Datos
Artículo
6
1.Los
Estados miembros dispondrán que los datos personales sean:
a)
tratados de manera leal y lícita;
b)
recogidos con fines determinados, explícitos y legítimos, y no sean tratados
posteriormente de manera incompatible con dichos fines; no se considerará
incompatible el tratamiento posterior de datos con fines históricos,
estadísticos o científicos, siempre Y cuando los Estados miembros establezcan
las garantías oportunas;
c)
adecuados, pertinentes y no excesivos con relación a los fines para los que se
recaben y para los que se traten posteriormente;
d) exactos
y, cuando sea necesario, actualizados; deberán tomarse todas las medidas
razonables para que los datos inexactos o incompletos, con respecto a los fines
para los que fueron recogidos o para los que fueron tratados posteriormente,
sean suprimidos o rectificados;
e)
conservados en una forma que permita la identificación de los interesados
durante un período no superior al necesario para los fines para los que fueron
recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para
los datos personales archivados por un período más largo del mencionado, con
fines históricos, estadísticos o científicos.
2.Corresponderá
a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto
en el apartado
Sección
II. Principios Relativos A La Legitimación Del TraTamiento De Datos
Artículo
7
Los
Estados miembros dispondrán que el tratamiento de datos personales sólo pueda
efectuarse si:
a)el
interesado ha dado su consentimiento de forma inequívoca, o
b)es
necesario para la ejecución de un contrato en el que el interesado sea parte o
para la aplicación de medidas precontractuales adoptadas a petición del
interesado,
c)es
necesario para el cumplimiento de una obligación jurídica a la que esté sujeto
el responsable del tratamiento, o
d)es
necesario para proteger el interés vital del interesado, o
e)es
necesario para el cumplimiento de una misión de interés público o inherente al
ejercicio del poder público conferido al responsable del tratamiento o a un
tercero a quien se comuniquen los datos, o
f)es
necesario para la satisfacción del interés legítimo perseguido por el responsable
del tratamiento o por el tercero o terceros a los que se comuniquen los datos,
siempre que no prevalezca el interés o los derechos y libertades fundamentales
del interesado que requieran protección con arreglo al apartado 1 del artículo
1 de la presente Directiva.
Sección
III Categorías Especiales De Tratamientos
Artículo 8
Tratamiento de categorías especiales de datos
1. Los
Estados miembros prohibirán el tratamiento de datos personales que revelen el
origen racial o étnico, las opiniones políticas, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos
relativos a la salud o a la sexualidad.
2. Lo
dispuesto en el apartado 1 no se aplicará cuando:
a) el
interesado haya dado su consentimiento explícito a dicho tratamien to, salvo en
los casos en los que la legislación del Estado miembro disponga que la
prohibición establecida en el apartado 1 no pueda levantarse con el
consentimiento del interesado, o
b) el
tratamiento sea necesario para respetar las obligaciones y derechos específicos
del responsable del tratamiento en materia de Derecho laboral en la medida en
que esté autorizado por la legislación y ésta prevea garantías adecuadas, o
c) el
tratamiento sea necesario para salvaguardar el interés vital del interesado o
de otra persona, en el supuesto de que el interesado esté física o
jurídicamente incapacitado para dar su consentimiento, o
d) el
tratamiento sea efectuado en el curso de sus actividades legítimas y con las
debidas garantías por una fundación, una asociación o cualquier otro organismo
sin fin de lucro, cuya finalidad sea política, filosófica, religiosa o
sindical, siempre que se refiera exclusivamente a sus miembros o a las personas
que mantengan contactos regulares con la fundación, la asocia ción o el
organismo por razón de su finalidad y con tal de que los datos no se comuniquen
a terceros sin el consentimiento de los interesados, 0
e) el
tratamiento se refiera a datos que el interesado haya hecho manifiestamente
públicos o sea necesario para el reconocimiento, ejercicio o defensa de un
derecho en un procedimiento judicial.
3. El
apartado 1 no se aplicará cuando el tratamiento de datos resulte necesario para
la prevención o para el diagnóstico médicos, la prestación de asistencia
sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre
que dicho tratamiento de datos sea realizado por un profesional sanitario
sujeto al secreto profesional sea en virtud de la legislación nacional, o de
las normas establecidas por las autoridades nacionales competentes, o por otra
persona sujeta asimismo a una obligación equivalente de secreto.
4. Siempre
que dispongan las garantías adecuadas, los Estados miembros podrán, por motivos
de interés público importantes, establecer otras excepciones, además de las
previstas en el apartado 2, bien mediante su legislación nacional, bien por
decisión de la autoridad de control.
5. El
tratamiento de datos relativos a infracciones, condenas penales o medidas de
seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si
hay previstas garantías específicas en el Derecho nacional, sin perjuicio de
las excepciones que podrá establecer el Estado miembro basándose en
disposiciones nacionales que prevean garantías apropiadas y específicas. Sin embargo, sólo podrá llevarse un registro
completo de condenas penales bajo el control de los poderes públicos.
Los
Estados miembros podrán establecer que el tratamiento de datos relativos a
sanciones administrativas o procesos civiles se realicen asimismo bajo el
control de los poderes públicos.
6. Las
excepciones a las disposiciones del apartado 1 que establecen los apartados 4 y
5 se notificarán a la Comisión.
7. Los
Estados miembros determinarán las condiciones en las que un número nacional de
identificación o cualquier otro medio de identificación de carácter general
podrá ser objeto de tratamiento.
Artículo
9
Tratamiento
de datos personales y libertad de expresión
En lo
referente al tratamiento de datos personales con fines exclusivamente
periodísticos o de expresión artística o literaria, los Estados miembros
establecerán, respecto de las disposiciones del presente capítulo, del capítulo
IV y del capítulo VI, exenciones y excepciones sólo en la medida en que
resulten necesarias para conciliar el derecho a la intimidad con las normas que
rigen la libertad de expresión.
Sección
IV. Información Del Interesado
Artículo
10
Información
en caso de obtención de datos recabados del propio interesado
Los
Estados miembros dispondrán que el responsable del tratamiento o su
representante deberán comunicar a la persona de quien se recaben los datos que
le conciernan, por lo menos la información que se enumera a continuación, salvo
si la persona ya hubiera sido informada de ello:
a) la
identidad del responsable del tratamiento y, en su caso, de su representante;
b) los
fines del tratamiento de que van a ser objeto los datos;
c)
cualquier otra información tal como:
- los
destinatarios o las categorías de destinatarios de los datos,
- el
carácter obligatorio o no de la respuesta y las consecuencias que tendría para
la persona interesada una negativa a responder,
- la
existencia de derechos de acceso y rectificación de los datos que la
conciernen, en la medida en que, habida cuenta de las circunstancias
específicas en que se obtengan los datos, dicha información suplementaria
resulte necesaria para garantizar un tratamiento de datos leal respecto del
interesado.
Artículo
11
Información
cuando los datos no han sido recabados del propio interesado
1. Cuando
los datos no hayan sido recabados del interesado, los Estados miembros
dispondrán que el responsable del tratamiento o su representante deberán, desde
el momento del registro de los datos o, en caso de que se piense comunicar
datos a un tercero, a más tardar, en el momento de la primera comunicación de
datos, comunicar al interesado por lo menos la información que se enumera a
continuación, salvo si el interesado ya hubiera sido informado de ello:
a) la
identidad del responsable del tratamiento y, en su caso, de su representante;
b) los
fines del tratamiento de que van a ser objeto los datos;
c)
cualquier otra información tal como:
- las
categorías de los datos de que se trate,
- los
destinatarios o las categorías de destinatarios de los datos,
- la
existencia de derechos de acceso y rectificación de los datos que la
conciernen, en la medida en que, habida cuenta de las circunstancias
específicas en que se hayan obtenido los datos, dicha información suplementaria
resulte necesaria para garantizar un tratamiento de datos leal respecto del
interesado.
2. Las
disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento
con fines estadísticos o de investigación histórica o científica, cuando la
información al interesado resulte imposible o exija esfuerzos desproporcionados
o el registro o la comunicación a un tercero estén expresamente prescritos por
ley. En tales casos, los Estados miembros
establecerán las garantías apropiadas.
Sección V
Derecho De Acceso Del Interesado A Los Datos
Artículo
12. Derecho de acceso
Los
Estados miembros garantizarán a todos los interesados el derecho de obtener del
responsable del tratamiento:
a)
libremente, sin restricciones y con una periodicidad razonable y sin retrasos
ni gastos excesivos:
- la
confirmación de la existencia o inexistencia del tratamiento de datos que le
conciernen, así como información por lo menos de los fines de dichos
tratamientos, las categorías de datos a que se refieran Y los destinatarios o
las categorías de destinatarios a quienes se comuniquen dichos datos;
- la
comunicación, en forma inteligible, de los datos objeto de los tratamientos,
así como toda la información disponible sobre el origen de los datos;
- el
conocimiento de la lógica utilizada en los tratamientos automatizados de los
datos referidos al interesado, al menos en los casos de las decisiones
automatizados a que se refiere el apartado 1 del artículo 15;
b) en su
caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento
no se ajuste a las disposiciones de la presente Directiva, en particular a
causa del carácter incompleto o inexacto de los datos;
c) la
notificación a los terceros a quienes se hayan comunicado los datos de toda
rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si
no resulta imposible o supone un esfuerzo desproporcionado.
Sección
VI. Excepciones Y Limitaciones
Artículo
13 Excepciones y limitaciones
1. Los Estados m