EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado consitutivo de la Comunidad Europea, y, en particular, su artículo
100 A,
Vista la propuesta de la Comisión,
Visto el dictamen del Comité Económico y Social,
De conformidad con el procedimiento establecido en el artículo 189 B
del Tratado,
(1) Considerando que los objetivos de la Comunidad definidos en el Tratado,
tal y como quedó modificado por el Tratado de la Unión Europea,
consisten en lograr una unión cada vez más estrecha entre los
pueblos europeos, establecer relaciones más estrechas entre los Estados
miembros de la Comunidad, asegurar, mediante una acción común,
el progreso económico y social, eliminando las barreras que dividen Europa,
fementar la continua mejora de las condiciones de vida de sus pueblos, preservar
y consolidar la paz y la libertad y promover la democracia, basándose
en los derechos fundamentales reconocidos en las constituciones y leyes de los
Estados miembros y en el Convenio Europeo para la Protección de los Derechos
Humanos y de las Libertades Fundamentales;
(2) Considerando que los sistemas de tratamiento de datos están al servicio
del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de
las personas físicas, respetar las libertades y derechos fundamentales
de las personas físicas y, en particular, la intimidad, y contribuir
al progreso económico y social, al desarrollo de los intercambios, así
como al bienestar de los indiviuos;
(3) Considerando que el establecimiento y funcionamiento del mercado interior,
dentro del cual está garantizada, con arreglo al artículo 7 A
del Tratado, la libre circulación de mercancías, personas, servicios
y capitales, hacen necesaria no sólo la libre circulación de datos
personales de un Estado miembro a otro, sino también la protección
de los derechos fundamentales de las personas;
(4) Considerando que se recurre cada vez más en la Comunidad al tratamiento
de datos personales en los diferentes sectores de actividad económica
y social; que el avance de las tecnologías de la información facilita
considerablemente el tratamiento y el intercambio de dichos datos;
(5) Considerando que la integración económica y social resultante
del establecimiento y funcionamiento del mercado interior, definido en el artículo
7 A del Tratado, va a implicar necesariamente un aumento notable de los flujos
transfronterizos de datos personales entre todos los agentes de la vida económica
y social de los Estados miembros, ya se trate de agentes públicos o privados;
que el intercambio de datos personales entre empresas establecidas en los diferentes
Estados miembros experimentará un desarrollo; que las administraciones
nacionales de los diferentes Estados miembros, en aplicación del Derecho
comunitario, están destinadas a colaborar y a intercambiar datos personales
a fin de cumplir su cometido o ejercer funciones por cuenta de las administraciones
de otros Estados miembros, en el marco del espacio sin fronteras que constituye
el mercado interior;
(6) Considerando, por lo demás, que el fortalecimiento de la cooperación
científica y técnica, así como el establecimiento coordinado
de nuevas redes de telcomunicaciones en la Comunidad exigen y facilitan la circulación
transfronteriza de datos personales;
(7) Considerando que las diferencias entre los niveles de protección
de los derechos y libertades de las personas y, en particular, de la intimidad,
garantizados en los Estados miembros por lo que respecta al tratamiento de datos
personales, pueden impedir la transmisión de dichos datos del territorio
de un Estado miembro al de otro; que, por lo tanto, estas diferencias pueden
constituir un obstáculo para el ejercicio de una serie de actividades
económicas a escala comunitaria, falsear la competencia e impedir que
las administraciones cumplan los cometidos que les incumben en virtud del Derecho
comunitario; que estas diferencias en los niveles de protección se deben
a la disparidad existente entre las disposiciones legales, reglamentarias y
administrativas de los Estados miembros;
(8) Considerando que, para eliminar los obstáculos a la circulación
de datos personales, el nivel de protección de los derechos y libertades
de las personas, por lo que se refiere al tratamiento de dichos datos, debe
ser equivalente en todos los Estados miembros; que ese objetivo, esencial para
el mercado interior, no puede lograrse mediante la mera actuación de
los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias
existentes en la actualidad entre las legislaciones nacionales aplicables en
la materia y la necesidad de coordinar las legislaciones de los Estados miembros
para que el flujo transfronterizo de datos personales sea regulado de forma
coherente y de conformidad con el objetivo del mercado interior definido en
el artículo 7 A del Tratado; que, por tanto, es necesario que la Comunidad
intervenga para aproximar las legislaciones;
(9) Considerando que, a causa de la protección equivalente que resulta
de la aproximación de las legislaciones nacionales, los Estados miembros
ya no podrán obstaculizar la libre circulación entre ellos de
datos personales por motivos de protección de los derechos y libertades
de las personas físicas, y, en particular, del derecho a la intimidad;
que los Estados miembros dispondrán de un margen de maniobra del cual
podrán servirse, en el contexto de la aplicación de la presente
Directiva, los interlocutores económicos y sociales; que los Estados
miembros podrán, por lo tanto, precisar en su derecho nacional las condiciones
generales de licitud del tratamiento de datos; que, al actuar así, los
Estados miembros procurarán mejorar la protección que proporciona
su legislación en la actualidad; que, dentro de los límites de
dicho margen de maniobra y de conformidad con el Derecho comunitario, podrán
surgir disparidades en la aplicación de la presente Directiva, y que
ello podrá tener repercusiones en la circulación de datos tanto
en el interior de un Estado miembro como en la Comunidad;
(10) Considerando que las legislaciones nacionales relativas al tratamiento
de datos personales tienen por objeto garantizar el respeto de los derechos
y libertades fundamentales, particularmente del derecho al respeto de la vida
privada reconocido en el artículo 8 del Convenio Europeo para la Protección
de los Derechos Humanos y de las Libertades Fundamentales, así como en
los principios generales del Derecho comunitario; que, por lo tanto, la aproximación
de dichas legislaciones no debe conducir a una disminución de la protección
que garantizan sino que, por el contratio, debe tener por objeto asegurar un
alto nivel de protección dentro de la Comunidad;
(11) Considerando que los principios de la protección de los derechos
y libertades de las personas y, en particular, del respeto de la intimidad,
contenidos en la presente Directiva, precisan y amplían los del Convenio
de 28 de enero de 1981 del Consejo de Europa para la protección de las
personas en lo que respecta al tratamiento automatizado de los datos personales;
(12) Considerando que los principios de la protección deben aplicarse
a todos los tratamientos de datos personales cuando las actividades del responsable
del tratamiento entren en el ámbito de aplicación del Derecho
comunitario; que debe excluirse el tratamiento de datos efectuado por una persona
física en el ejercicio de actividades exclusivamente personales o domésticas,
como la correspondencia y la llevanza de un repertorio de direcciones;
(13) Considerando que las actividades a que se refieren los títulos
V y VI del Tratado de la Unión Europea relativos a la seguridad pública,
la defensa, la seguridad del Estado y las actividades del Estado en el ámbito
penal no están comprendidas en el ámbito de aplicación
del Derecho comunitario, sin perjuicio de las obligaciones que incumben a los
Estados miembros con arreglo al apartado 2 del artículo 56 y a los artículos
57 y 100 A del Tratado; que el tratamiento de los datos de carácter personal
que sea necesario para la salvaguardia del bienestar económico del Estado
no está comprendido en el ámbito de aplicación de la presente
Directiva en los casos en que dicho tratamiento esté relacionado con
la seguridad del Estado;
(14) Considerando que, habida cuenta de la importancia que, en el marco de
la sociedad de la información, reviste el actual desarrollo de las técnicas
para captar, transmitir, manejar, registrar, conservar o comunicar los datos
relativos a las personas físicas constituidos por sonido e imagen, la
presente Directiva habrá de aplicarse a los tratamientos que afectan
a dichos datos;
(15) Considerando que los tratamientos que afectan a dichos datos sólo
quedan amparados por la presente Directiva cuando están automatizados
o cuando los datos a que se refieren se encuentran contenidos o se destinan
a encontrarse contenidos en un archivo estructurado según criterios específicos
relativos a las pesonas, a fin de que se pueda acceder fácilmente a los
datos de carácter personal de que se trata;
(16) Considerando que los tratamientos de datos constituidos por sonido e imagen,
como los de la vigilancia por videocámara, no están comprendidos
en el ámbito de aplicación de la presente Directiva cuando se
aplican con fines de seguridad pública, defensa, seguridad del Estado
o para el ejercicio de las actividades del Estado relacionadas con ámbitos
del derecho penal o para el ejercicio de otras actividades que no están
comprendidos en el ámbito de aplicación del Derecho comunitario;
(17) Considerando que en lo que respecta al tratamiento del sonido y de la
imagen aplicados con fines periodísticos o de expresión literaria
o artística, en particular en el sector audiovisual, los principios de
la Directiva se aplican de forma restringida según lo dispuesto en al
artículo 9;
(18) Considerando que, para evitar que una persona sea excluida de la protección
garantizada por la presente Directiva, es necesario que todo tratamiento de
datos personales efectuado en la Comunidad respete la legislación de
uno de sus Estados miembros; que, a este respecto, resulta conveniente someter
el tratamiento de datos efectuados por cualquier persona que actúe bajo
la autoridad del responsable del tratamiento establecido en un Estado miembro
a la aplicación de la legislación de tal Estado;
(19) Considerando que el establecimiento en el territorio de un Estado miembro
implica el ejercicio efectivo y real de una actividad mediante una instalación
estable; que la forma jurídica de dicho establecimiento, sea una simple
sucursal o una empresa filial con personalidad jurídica, no es un factor
determinante al respecto; que cuando un mismo responsable esté establecido
en el territorio de varios Estados miembros, en particular por medio de una
empresa filial, debe garantizar, en particular para evitar que se eluda la normativa
aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas
por el Derecho nacional aplicable a estas actividades;
(20) Considerando que el hecho de que el responsable del tratamiento de datos
esté establecido en un país tercero no debe obstaculizar la protección
de las personas contemplada en la presente Directiva; que en estos casos el
tratamiento de datos debe regirse por la legislación del Estado miembro
en el que se ubiquen los medios utilizados y deben adoptarse garantías
para que se respeten en la práctica los derechos y obligaciones contempladas
en la presente Directiva;
(21) Considerando que la presente Directiva no afecta a las normas de territorialidad
aplicables en materia penal;
(22) Considerando que los Estados miembros precisarán en su legislación
o en la aplicación de las disposiciones adoptadas en virtud de la presente
Directiva las condiciones generales de licitud del tratamiento de datos; que,
en particular, el artículo 5 en relación con los artículos
7 y 8, ofrece a los Estados miembros la posibilidad de prever, independientemente
de las normas generales, condiciones especiales de tratamiento de datos en sectores
específicos, así como para las diversas categorías de datos
contempladas en el artículo 8;
(23) Considerando que los Estados miembros están facultados para garantizar
la protección de las personas tanto mediante una ley general relativa
a la protección de las personas respecto del tratamiento de los datos
de carácter personal como mediante leyes sectoriales, como las relativas
a los institutos estadísticos;
(24) Considerando que las legislaciones relativas a la protección de
las personas jurídicas respecto del tratamiento de los datos que las
conciernan no son objeto de la presente Directiva;
(25) Considerando que los principios de la protección tienen su expresión,
por una parte, en las distintas obligaciones que incumben a las personas, autoridades
públicas, empresas, agencias u otros organismos que efectúen tratamientos-
obligaciones relativas, en particular, a la calidad de los datos, la seguridad
técnica, la notificación a las autoridades de control y las circunstancias
en las que se puede efectuar el tratamiento- y, por otra parte, en los derechos
otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas
acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar
su rectificación o incluso de oponerse a su tratamiento en determinadas
circunstancias;
(26) Considerando que los principios de la protección deberán
aplicarse a cualquier información relativa a una persona identificada
o identificable; que, para determinar si una persona es identificable, hay que
considerar el conjunto de los medios que puedan ser razonablemente utilizados
por el responsable del tratamiento o por cualquier otra persona, para identificar
a dicha persona; que los principios de la protección no se aplicarán
a aquellos datos hechos anónimos de manera tal que ya no sea posible
identificar al interesado; que los códigos de conducta con arreglo al
artículo 27 pueden constituir un elemento útil para proporcionar
indicaciones sobre los medios gracias a los cuales los datos pueden hacerse
anónimos y conservarse de forma tal que impida identificar al interesado;
(27) Considerando que la protección de las personas debe aplicarse tanto
al tratamiento automático de datos como a su tratamiento manual; que
el alcance de esta protección no debe depender, en efecto, de las técnicas
utilizadas, pues la contrario daría lugar a riesgos graves de elusión;
que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva
sólo abarca los ficheros, y no se aplica a las carpetas que no están
estructuradas; que, en particular, el contenido de un fichero debe estructurarse
conforme a criterios específicos relativos a las personas, que permitan
acceder fácilmente a los datos personales; que, de conformidad con la
definición que recoge la letra c) del artículo 2, los distintos
criterios que permiten determinar los elementos de un conjunto estructurado
de datos de carácter personal y los distintos criterios que regulan el
acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro;
que, las carpetas y conjuntos de carpetas, así como sus portadas, que
no estén estructuradas conforme a criterios específicos no están
comprendidas en ningún caso en el ámbito de aplicación
de la presente Directiva;
(28) Considerando que todo tratamiento de datos personales debe efectuarse
de forma lícita y leal con respecto al interesado; que debe referirse,
en particular, a datos adecuados, pertinentes y no excesivos en relación
con los objetivos perseguidos; que estos objetivos han de ser explícitos
y legítimos, y deben estar determinados en el momento de obtener los
datos; que los objetivos de los tratamientos posteriores a la obtención
no pueden ser incompatibles con los objetivos originalmente especificados;
(29) Considerando que el tratamiento ulterior de datos personales, con fines
históricos, estadísticos o científicos no debe por lo general
considerarse incompatible con los objetivos para los que se recogieron los datos,
siempre y cuando los Estados miembros establezcan las garantías adecuadas;
que dichas garantías deberán impedir que dichos datos sean utilizados
para tomar medidas o decisiones contra cualquier persona;
(30) Considerando que para ser lícito el tratamiento de datos personales
debe basarse además en el consentimiento del interesado o ser necesario
con vistas a la celebración o ejecución de un contrato que obligue
al interesado, o para la observancia de una obligación legal o para el
cumplimiento de una misión de interés público o para el
ejercicio de la autoridad pública o incluso para la realización
de un interés legítimo de una persona, siempre que no prevalezcan
los intereses o los derechos y libertades del interesado; que, en particular,
para asegurar el equilibrio de los intereses en juego, garantizando a la vez
una competencia efectiva, los Estados miembros pueden precisar las condiciones
en las que se podrán utilizar y comunicar a terceros datos de carácter
personal, en el desempeño de actividades legítimas de gestión
ordinaria de empresas y otras entidades; que los Estados miembros pueden asimismo
establecer previamente las condiciones en que pueden efectuarse comunicaciones
de datos personales a terceros con fines de prospección comercial o de
prospección realizada por una institución benéfica u otras
asociaciones o fundaciones, por ejemplo de carácter político,
dentro del respeto de las disposiciones que permiten a los interesados oponerse,
sin alegar los motivos y sin gastos, al tratamiento de los datos que les conciernan;
(31) Considerando que un tratamiento de datos personales debe estimarse lícito
cuando se efectúa con el fin de proteger un interés esencial para
la vida del interesado;
(32) Considerando que corresponde a las legislaciones nacionales determinar
si el responsable del tratamiento que tiene conferida una misión de interés
público o inherente al ejercicio del poder público, debe ser una
administración pública u otra persona de derecho público
o privado, como por ejemplo una asociación profesional;
(33) Considerando, por lo demás, que los datos que por su naturaleza
puedan atentar contra las libertades fundamentales o la intimidad no deben ser
objeto de tratamiento alguno, salvo en caso de que el interesado haya dado su
consentimiento explícito; que deberán constar de forma explícita
las excepciones a esta prohibición para necesidades específicas,
en particular cuando el tratamiento de dichos datos se realice con fines relacionados
con la salud, por parte de personas físicas sometidas a una obligación
legal de secreto profesional, o para actividades legítimas por parte
de ciertas asociaciones o fundaciones cuyo objetivo sea hacer posible el ejercicio
de libertades fundamentales;
(34) Considerando que también se deberá autorizar a los Estados
miembros, cuando esté justificado por razones de interés público
importante, a hacer excepciones a la prohibición de tratar categorías
sensibles de datos en sectores como la salud pública y la protección
social, particularmente en lo relativo a la garantía de la calidad y
la rentabilidad, así como los procedimientos utilizados para resolver
las reclamaciones de prestaciones y de servicios en el régimen del seguro
enfermedad, la investigación científica y las estadísticas
públicas; que a ellos corresponde, no obstante, prever las garantías
apropiadas y específicas a los fines de proteger los derechos fundamentales
y la vida privada de las personas;
(35) Considerando, además, que el tratamiento de datos personales por
parte de las autoridades públicas con fines, establecidos en el Derecho
constitucional o en el Derecho internacional público, de asociaciones
religiosas reconocidas oficialmente, se realiza por motivos importantes de interés
público;
(36) Considerando que, si en el marco de actividades relacionadas con las elecciones,
el funcionamiento del sistema democrático en algunos Estados miembros
exige que los partidos políticos recaben datos sobre la ideología
política de los ciudadanos, podrá autorizarse el tratamiento de
estos datos por motivos importantes de interés público, siempre
que se establezcan las garantías adecuadas;
(37) Considerando que para el tratamiento de datos personales con fines periodísticos
o de expresión artística o literaria, en particular en el sector
audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones
de la presente Directiva siempre que resulten necesarias para conciliar los
derechos fundamentales de la persona con la libertad de expresión y,
en particular, la libertad de recibir o cumunicar informaciones, tal y como
se garantiza en el artículo 10 del Convenio Europeo para la Protección
de los Derechos Humanos y de las Libertades Fundamentales; que por lo tanto,
para ponderar estos derechos fundamentales, corresponde a los Estados miembros
prever las excepciones y las restricciones necesarias en lo relativo a las medidas
generales sobre la legalidad del tratamiento de datos, las medidas sobre la
transferencia de datos a terceros países y las competencias de las autoridades
de control sin que esto deba inducir, sin embargo, a los Estados miembros a
prever excepciones a las medidas que garanticen la seguridad del tratamiento;
que, igualmente, debería concederse a la autoridad de control responsable
en la materia al menos una serie de competencias a posteriori como por ejemplo
publicar periódicamente un informe al respecto o bien iniciar procedimientos
legales ante las autoridades judiciales;
(38) Considerando que el tratamiento leal de datos supone que los interesados
deben estar en condiciones de conocer la existencia de los tratamientos y, cuando
los datos se obtengan de ellos mismos, contar con una información precisa
y completa respecto a las circunstancias de dicha obtención;
(39) Considerando que determinados tratamientos se refieren a datos que el
responsable no ha recogido directamente del interesado; que, por otra parte,
pueden comunicarse legítimamente datos a un tercero aún cuando
dicha comunicación no estuviera prevista en el momento de la recogida
de los datos del propio interesado; que, en todos estos supuestos, debe informarse
al interesado en el momento del registro de los datos o, a más tardar,
al comunicarse los datos por primera vez a un tercero;
(40) Considerando, no obstante, que no es necesario imponer esta obligación
si el interesado ya está informado, si el registro o la comunicación
están expresamente previstos por la ley o si resulta imposible informarle,
o ello implica esfuerzos desproporcionados, como puede ser el caso para tratamientos
con fines históricos, estadísticos o científicos; que a
este respecto pueden tomarse en consideración el número de interesados,
la antigueedad de los datos, y las posibles medidas compensatorias;
(41) Considerando que cualquier persona debe disfrutar del derecho de acceso
a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse,
en particular, de su exactitud y de la licitud de su tratamiento; que por las
mismas razones cualquier persona debe tener además el derecho de conocer
la lógica que subyace al tratamiento automatizado de los datos que la
conciernan, al menos en el caso de las decisiones automatizadas a que se refiere
el apartado 1 del artículo 15; que este derecho no debe menoscabar el
secreto de los negocios ni la propiedad intelectual y en particular el derecho
de autor que proteja el programa informático; que no obstante esto no
debe suponer que se deniegue cualquier información al interesado;
(42) Considerando que, en interés del interesado de que se trate y para
proteger los derechos y libertades de terceros, los Estados miembros podrán
limitar los derechos de acceso y de información; que podrán, por
ejemplo, precisar que el acceso a los datos de carácter médico
únicamente pueda obtenerse a través de un profesional de la medicina;
(43) Considerando que los Estados miembros podrán imponer restricciones
a los derechos de acceso e información y a determinadas obligaciones
del responsable del tratamiento, en la medida en que sean estrictamente necesarias
para, por ejemplo, salvaguardar la seguridad del Estado, la defensa, la seguridad
pública, los intereses económicos o financieros importantes de
un Estado miembro o de la Unión, así como para realizar investigaciones
y entablar procedimientos penales y perseguir violaciones de normas deontológicas
en las profesiones reguladas; que conviene enumerar, a efectos de excepciones
y limitaciones, las tareas de control, inspección o reglamentación
necesarias en los tres últimos sectores mencionados relativos a la seguridad
pública, los intereses económicos o financieros y la represión
penal; que esta enumeración de tareas relativas a los tres sectores citados
no afecta a la legitimidad de las excepciones y restricciones establecidas por
razones de seguridad del Estado o de defensa;
(44) Considerando que los Estados miembros podrán verse obligados, en
virtud de las disposiciones del Derecho comunitario, a establecer excepciones
a las disposiciones de la presente Directiva relativas al derecho de acceso,
a la información de personas y a la calidad de los datos para garantizar
algunas de las finalidades contempladas más arriba;
(45) Considerando que cuando se pudiera efectuar lícitamente un tratamiento
de datos por razones de interés público o del ejercicio de la
autoridad pública, o en interés legítimo de una persona
física, cualquier persona deberá, sin embargo, tener derecho a
oponerse a que los datos que le conciernan sean objeto de un tratamiento, en
virtud de motivos fundados y legítimos relativos a su situación
concreta; que los Estados miembros tienen, no obstante, la posibilidad de establecer
disposiciones nacionales contrarias;
(46) Considerando que la protección de los derechos y libertades de
los interesados en lo que respecta a los tratamientos de datos personales exige
la adopción de medidas técnicas y de organización apropiadas,
tanto en el momento de la concepción del sistema de tratamiento como
en el de la aplicación de los tratamientos mismos, sobre todo con objeto
de garantizar la seguridad e impedir, por tanto, todo tratamiento no autorizado;
que corresponde a los Estados miembros velar por que los responsables del tratamiento
respeten dichas medidas; que esas medidas deberán garantizar un nivel
de seguridad adecuado teniendo en cuenta el estado de la técnica y el
coste de su aplicación en relación con los riesgos que presente
el tratamiento y con la naturaleza de los datos que deban protegerse;
(47) Considerando que cuando un mensaje con datos personales sea transmitido
a través de un servicio de telecomunicaciones o de correo eletrónico
cuyo único objetivo sea transmitir mensajes de ese tipo, será
considerada normalmente responsable del tratamiento de los datos personales
presentes en el mensaje aquella persona de quien proceda el mensaje y no la
que ofrezca el servicio de transmisión; que, no obstante, las personas
que ofrezcan estos servicios normalmente serán consideradas responsables
del tratamiento de los datos personales complementarios y necesarios para el
funcionamiento del servicio;
(48) Considerando que los procedimientos de notificación a la autoridad
de control tienen por objeto asegurar la publicidad de los fines de los tratamientos
y de sus principales características a fin de controlarlos a la luz de
las disposiciones nacionales adoptadas en aplicación de la presente Directiva;
(49) Considerando que para evitar trámites administrativos improcedentes,
los Estados miembros pueden establecer exenciones o simplificaciones de la notificación
para los tratamientos que no atenten contra los derechos y las libertades de
los interesados, siempre y cuando sean conformes a un acto adoptado por el Estado
miembro en el que se precisen sus límites; que los Estados miembros pueden
igualmente disponer la exención o la simplificación cuando un
encargado, nombrado por el responsable del tratamiento, se cerciore de que los
tratamientos efectuados no pueden atentar contra los derechos y libertades de
los interesados; que la persona encargada de la protección de los datos,
sea o no empleado del responsable del tratamiento de datos, deberá ejercer
sus funciones con total independencia;
(50) Considerando que podrán establecerse exenciones o simplificaciones
para los tratamientos cuya única finalidad sea el mantenimiento de registros
destinados, de conformidad con el Derecho nacional, a la información
del público y que sean accesibles para la consulta del público
o de toda persona que justifique un interés legítimo;
(51) Considerando, no obstante, que el beneficio de la simplificación
o de la exención de la obligación de notificación no dispensa
al responsable del tratamiento de ninguna de las demás obligaciones derivadas
de la presente Directiva;
(52) Considerando que, en este contexto, el control a posteriori por parte
de las autoridades competentes debe considerarse, en general, una medida suficiente;
(53) Considerando, no obstante, que determinados tratamientos pueden presentar
riesgos particulares desde el punto de vista de los derechos y las libertades
de los interesados, ya sea por su naturaleza, su alcance o su finalidad, como
los de excluir a los interesados del beneficio de un derecho, de una prestación
o de un contrato, o por el uso particular de una tecnología nueva; que
es competencia de los Estados miembros, si así lo desean, precisar tales
riesgos en sus legislaciones;
(54) Considerando que, a la vista de todos los tratamientos llevados a cabo
en la sociedad, el número de los que presentan tales riesgos particulares
debería ser muy limitado; que los Estados miembros deben prever, para
dichos tratamientos, un examen previo a su realización por parte de la
autoridad de control o del encargado de la protección de datos en cooperación
con aquélla; que, tras dicho control previo, la autoridad de control,
en virtud de lo que disponga su Derecho nacional, podrá emitir un dictamen
o autorizar el tratamiento de datos; que este examen previo podrá realizarse
también en el curso de la elaboración de una medida legislativa
aprobada por el Parlamento nacional o de una medida basada en dicha medida legislativa,
que defina la naturaleza del tratamiento y precise las garantías adecuadas;
(55) Considerando que las legislaciones nacionales deben prever un recurso
judical para los casos en los que el responsable del tratamiento de datos no
respete los derechos de los interesados; que los daños que pueden sufrir
las personas a raíz de un tratamiento ilícito han de ser reparados
por el responsable del tratamiento de datos, el cual sólo podrá
ser eximido de responsabilidad si demuestra que no le es imputable el hecho
perjudicial, principalmente si demuestra la responsabilidad del interesado o
un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto
de derecho privado como de derecho público, que no respete las disposiciones
nacionales adoptadas en aplicación de la presente Directiva;
(56) Considerando que los flujos transfronterizos de datos personales son necesarios
para la desarrollo del comercio internacional; que la protección de las
personas garantizada en la Comunidad por la presente Directiva no se opone a
la transferencia de datos personales a terceros países que garanticen
un nivel de protección adecuado; que el carácter adecuado del
nivel de protección ofrecido por un país tercero debe apreciarse
teniendo en cuenta todas las circunstancias relacionadas con la transferencia
o la categoría de transferencias;
(57) Considerando, por otra parte, que cuando un país tercero no ofrezca
un nivel de protección adecuado debe prohibirse la transferencia al mismo
de datos personales;
(58) Considerando que han de establecerse excepciones a esta prohibición
en determinadas circunstancias, cuando el interesado haya dado su consentimiento,
cuando la transferencia sea necesaria en relación con un contrato o una
acción judicial, cuando así lo exija la protección de un
interés público importante, por ejemplo en casos de transferencia
internacional de datos entre las administraciones fiscales o aduaneras o entre
los servicios competentes en materia de seguridad social, o cuando la transferencia
se haga desde un registro previsto en la legislación con fines de consulta
por el público o por personas con un interés legítimo;
que en tal caso dicha transferencia no debe afectar a la totalidad de los datos
o las categorías de datos que contenga el mencionado registro; que, cuando
la finalidad de un registro sea la consulta por parte de personas que tengan
un interés legítimo, la transferencia sólo debería
poder efectuarse a petición de dichas personas o cuando éstas
sean las destinatarias;
(59) Considerando que pueden adoptarse medidas particulares para paliar la
insuficiencia del nivel de protección en un tercer país, en caso
de que el responsable del tratamiento ofrezca garantías adecuadas; que,
por lo demás, deben preverse procedimientos de negociación entre
la Comunidad y los países terceros de que se trate;
(60) Considerando que, en cualquier caso, las transferencias hacia países
terceros sólo podrán efectuarse si se respetan plenamente las
disposiciones adoptadas por los Estados miembros en aplicación de la
presente Directiva, y, en particular, de su artículo 8;
(61) Considerando que los Estados miembros y la Comisión, dentro de
sus respectivas competencias, deben alentar a los sectores preofesionales para
que elaboren códigos de conducta a fin de facilitar, habida cuenta del
carácter específico del tratamiento de datos efectuado en determinados
sectores, la aplicación de la presente Directiva respetando las disposiciones
nacionales adoptadas para su aplicación;
(62) Considerando que la creación de una autoridad de control que ejerza
sus funciones con plena independencia en cada uno de los Estados miembros constituye
un elemento esencial de la protección de las personas en lo que respecta
al tratamiento de datos personales;
(63) Considerando que dicha autoridad debe disponer de los medios necesarios
para cumplir su función, ya se trate de poderes de investigación
o de intervención, en particular en casos de reclamaciones presentadas
a la autoridad o de poder comparecer en juicio; que tal autoridad ha de contribuir
a la transparencia de los tratamientos de datos efectuados en el Estado miembro
del que dependa;
(64) Considerando que las autoridades de los distintos Estados miembros habrán
de prestarse ayuda mutua en el ejercicio de sus funciones, de forma que se garantice
el pleno respeto de las normas de protección en toda la Unión
Europea;
(65) Considerando que se debe crear, en el ámbito comunitario, un grupo
de protección de las personas en lo que respecta al tratamiento de datos
personales, el cual habrá de ejercer sus funciones con plena independencia;
que, habida cuenta de este carácter específico, el grupo deberá
asesorar a la Comisión y contribuir, en particular, a la aplicación
uniforme de las normas nacionales adoptadas en aplicación de la presente
Directiva;
(66) Considerando que, por lo que respecta a la transferencia de datos hacia
países terceros, la aplicación de la presente Directiva requiere
que se atribuya a la Comisión competencias de ejecución y que
se cree un procedimiento con arreglo a las modalidades establecidas en la Decisión
87/373/CEE del Consejo (1);
(67) Considerando que el 20 de diciembre de 1994 se alcanzó un acuerdo
sobre un modus vivendi entre el Parlamento Europeo, el Consejo y la Comisión
concerniente a las medidas de aplicación de los actos adoptados de conformidad
con el procedimiento establecido en el artículo 189 B del Tratado CE;
(68) Considerando que los principios de protección de los derechos y
libertades de las personas y, en particular, del respeto de la intimidad en
lo que se refiere al tratamiento de los datos personales objeto de la presente
Directiva podrán completarse o precisarse, sobre todo en determinados
sectores, mediante normas específicas conformes a estos principios;
(69) Considerando que resulta oportuno conceder a los Estados miembros un plazo
que no podrá ser superior a tres años a partir de la entrada en
vigor de las medidas nacionales de transposición de la presente Directiva,
a fin de que puedan aplicar de manera progresiva las nuevas disposiciones nacionales
mencionadas a todos los tratamientos de datos ya existentes; que, con el fin
de facilitar una aplicación que presente una buena relación coste-eficacia,
se concederá a los Estados miembros un período suplementario que
expirará a los doce años de la fecha en que se adopte la presente
Directiva, para garantizar que los ficheros manuales existentes en dicha fecha
se hayan ajustado a las disposiciones de la Directiva; que si los datos contenidos
en dichos ficheros son tratados efectivamente de forma manual en ese período
transitorio ampliado deberán, sin embargo, ser ajustados a dichas disposiciones
cuando se realice tal tratamiento;
(70) Considerando que no es procedente que el interesado tenga que dar de nuevo
su consentimiento a fin de que el responsable pueda seguir efectuando, tras
la entrada en vigor de las disposiciones nacionales adoptadas en virtud de la
presente Directiva, el tratamiento de datos sensibles necesario para la ejecución
de contratos celebrados previo consentimiento libre e informado antes de la
entrada en vigor de las disposiciones mencionadas;
(71) Considerando que la presente Directiva no se opone a que un Estado miembro
regule las actividades de prospección comercial destinadas a los consumidores
que residan en su territorio, en la medida en que dicha regulación no
afecte a la protección de las personas en lo que respecta a tratamientos
de datos personales;
(72) Considerando que la presente Directiva autoriza que se tenga en cuenta
el principio de acceso público a los documentos oficiales a la hora de
aplicar los principios expuestos en la presente Directiva,
HAN ADOPTADO LA PRESENTE DIRECTIVA:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto de la Directiva
1. Los Estados miembros garantizarán, con arreglo a las disposiciones
de la presente Directiva, la protección de las libertades y de los derechos
fundamentales de las personas físicas, y, en particular, del derecho
a la intimidad, en lo que respecta al tratamiento de los datos personales.
2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.
Artículo 2
Definiciones
A efectos de la presente Directiva, se entenderá por:
a) «datos personales»: toda información sobre una persona
física idientificada o identificable (el «interesado»); se
considerará identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un número de identificación
o uno o varios elementos específicos, característicos de su identidad
física, fisiológica, psíquica, económica, cultural
o social;
b) «tratamiento de datos personales» («tratamiento»):
cualquier operación o conjunto de operaciones, efectuadas o no mediante
procedimientos automatizados, y aplicadas a datos personales, como la recogida,
registro, organización, conservación, elaboración o modificación,
extracción, consulta, utilización, comunicación por transmisión,
difusión o cualquier otra forma que facilite el acceso a los mismos,
cotejo o interconexión, así como su bloqueo, supresión
o destrucción;
c) «fichero de datos personales» («fichero»): todo
conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma funcional
o geográfica;
d) «responsable del tratamiento»: la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que sólo
o conjuntamente con otros determine los fines y los medios del tratamiento de
datos personales; en caso de que los fines y los medios del tratamiento estén
determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias,
el responsable del tratamiento o los criterios específicos para su nombramiento
podrán ser fijados por el Derecho nacional o comunitario;
e) «encargado del tratamiento»: la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente
con otros, trate datos personales por cuenta del responsable del tratamiento;
f) «tercero»: la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo distinto del interesado,
del responsable del tratamiento, del encargado del tratamiento y de las personas
autorizadas para tratar los datos bajo la autoridad directa del responsable
del tratamiento o del encargado del tratamiento;
g) «destinatario»: la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que reciba comunicación
de datos, se trate o no de un tercero. No obstante, las autoridades que puedan
recibir una comunicación de datos en el marco de una investigación
específica no serán considerados destinatarios;
h) «consentimiento del interesado»: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.
Artículo 3
Ámbito de aplicación
1. Las disposiciones de la presente Directiva se aplicarán al tratamineto
total o parcialmente automatizado de datos personales, así como al tratamiento
no automatizado de datos personales contenidos o destinados a ser incluidos
en un fichero.
2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento
de datos personales:
- efectuado en el ejercicio de actividades no comprendidas en el ámbito
de aplicación del Derecho comunitario, como las previstas por las disposiciones
de los títulos V y VI del Tratado de la Unión Europea y, en cualquier
caso, al tratamiento de datos que tenga por objeto la seguridad pública,
la defensa, la seguridad del Estado (incluido el bienestar económico
del Estado cuando dicho tratamiento esté relacionado con la seguridad
del Estado) y las actividades del Estado en materia penal;
- efectuado por una persona física en el ejercicio de actividades exclusivamente
personales o domésticas.
Artículo 4
Derecho nacional aplicable
1. Los Estados miembros aplicarán las disposiciones nacionales que haya
aprobado para la aplicación de la presente Directiva a todo tratamiento
de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento
del responsable del tratamiento en el territorio del Estado miembro. Cuando
el mismo responsable del tratamiento esté establecido en el territorio
de varios Estados miembros deberá adoptar las medidas necesarias para
garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas
por el Derecho nacional aplicable;
b) el responsable del tratamiento no esté establecido en el territorio
del Estado miembro, sino en un lugar en que se aplica su legislación
nacional en virtud del Derecho internacional público;
c) el responsable del tratamiento no esté establecido en el territorio
de la Comunidad y recurra, para el tratamiento de datos personales, a medios,
automatizados o no, situados en el territorio de dicho Estado miembro, salvo
en caso de que dichos medios se utilicen solamente con fines de tránsito
por el territorio de la Comunidad Europea.
2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
CAPÍTULO II
CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES
Artículo 5
Los Estados miembros precisarán, dentro de los límites de las
disposiciones del presente capítulo, las condiciones en que son lícitos
los tratamientos de datos personales.
SECCIÓN I
PRINCIPIOS RELATIVOS A LA CALIDAD DE LOS DATOS
Artículo 6
1. Los Estados miembros dispondrán que los datos personales sean:
a) tratados de manera leal y lícita;
b) recogidos con fines determinados, explícitos y legítimos, y
no sean tratados posteriormente de manera incompatible con dichos fines; no
se considerará incompatible el tratamiento posterior de datos con fines
históricos, estadísticos o científicos, siempre y cuando
los Estados miembros establezcan las garantías oportunas;
c) adecuados, pertinentes y no excesivos con relación a los fines para
los que se recaben y para los que se traten posteriormente;
d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas
las medidas razonables para que los datos inexactos o incompletos, con respecto
a los fines para los que fueron recogidos o para los que fueron tratados posteriormente,
sean suprimidos o rectificados;
e) conservados en una forma que permita la identificación de los interesados
durante un período no superior al necesario para los fines para los que
fueron recogidos o para los que se traten ulteriormente. Los Estados miembros
establecerán las garantías apropiadas para los datos personales
archivados por un período más largo del mencionado, con fines
históricos, estadísticos o científicos.
2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento
de lo dispuesto en el apartado 1.
SECCIÓN II
PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL TRATAMIENTO DE DATOS
Artículo 7
Los Estados miembros dispondrán que el tratamiento de datos personales
sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca, o
b) es necesario para la ejecución de un contrato en el que el interesado
sea parte o para la aplicación de medidas precontractuales adoptadas
a petición del interesado, o
c) es necesario para el cumplimiento de una obligación jurídica
a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés
público o inherente al ejercicio del poder público conferido al
responsable del tratamiento o a un tercero a quien se comuniquen los datos,
o
f) es necesario para la satisfacción del interés legítimo
perseguido por el responsable del tratamiento o por el tercero o terceros a
los que se comuniquen los datos, siempre que no prevalezca el interés
o los derechos y libertades fundamentales del interesado que requieran protección
con arreglo al apartado 1 del artículo 1 de la presente Directiva.
SECCIÓN III
CATEGORÍAS ESPECIALES DE TRATAMIENTOS
Artículo 8
Tratamiento de categorías especiales de datos
1. Los Estados miembros prohibirán el tratamiento de datos personales
que revelen el origen racial o étnico, las opiniones políticas,
las convicciones religiosas o filosóficas, la pertenencia a sindicatos,
así como el tratamiento de los datos relativos a la salud o a la sexualidad.
2. Lo dispuesto en el apartado 1 no se aplicará cuando:
a) el interesado haya dado su consentimiento explícito a dicho tratamiento,
salvo en los casos en los que la legislación del Estado miembro disponga
que la prohibición establecida en el apartado 1 no pueda levantarse con
el consentimiento del interesado, o
b) el tratamiento sea necesario para respetar las obligaciones y derechos específicos
del responsable del tratamiento en materia de Derecho laboral en la medida en
que esté autorizado por la legislación y ésta prevea garantías
adecuadas, o
c) el tratamiento sea necesario para salvaguardar el interés vital del
interesado o de otra persona, en el supuesto de que el interesado esté
física o jurídicamente incapacitado para dar su consentimiento,
o
d) el tratamiento sea efectuado en el curso de sus actividades legítimas
y con las debidas garantías por una fundación, una asociación
o cualquier otro organismo sin fin de lucro, cuya finalidad sea política,
filosófica, religiosa o sindical, siempre que se refiera exclusivamente
a sus miembros o a las personas que mantengan contactos regulares con la fundación,
la asociación o el organismo por razón de su finalidad y con tal
de que los datos no se comuniquen a terceros sin el consentimiento de los interesados,
o
e) el tratamiento se refiera a datos que el interesado haya hecho manifiestamente
públicos o sea necesario para el reconocimiento, ejercicio o defensa
de un derecho en un procedimiento judicial.
3. El apartado 1 no se aplicará cuando el tratamiento de datos resulte
necesario para la prevención o para el diagnóstico médicos,
la prestación de asistencia sanitaria o tratamientos médicos o
la gestión de servicios sanitarios, siempre que dicho tratamiento de
datos sea realizado por un profesional sanitario sujeto al secreto profesional
sea en virtud de la legislación nacional, o de las normas establecidas
por las autoridades nacionales competentes, o por otra persona sujeta asimismo
a una obligación equivalente de secreto.
4. Siempre que dispongan las garantías adecuadas, los Estados miembros
podrán, por motivos de interés público importantes, establecer
otras excepciones, además de las previstas en el apartado 2, bien mediante
su legislación nacional, bien por decisión de la autoridad de
control.
5. El tratamiento de datos relativos a infracciones, condenas penales o medidas
de seguridad, sólo podrá efectuarse bajo el control de la autoridad
pública o si hay previstas garantías específicas en el
Derecho nacional, sin perjuicio de las excepciones que podrá establecer
el Estado miembro basándose en disposiciones nacionales que prevean garantías
apropiadas y específicas. Sin embargo, sólo podrá llevarse
un registro completo de condenas penales bajo el control de los poderes públicos.
Los Estados miembros podrán establecer que el tratamiento de datos relativos
a sanciones administrativas o procesos civiles se realicen asimismo bajo el
control de los poderes públicos.
6. Las excepciones a las disposiciones del apartado 1 que establecen los apartados
4 y 5 se notificarán a la Comisión.
7. Los Estados miembros determinarán las condiciones en las que un número nacional de identificación o cualquier otro medio de identificación de carácter general podrá ser objeto de tratamiento.
Artículo 9
Tratamiento de datos personales y libertad de expresión
En lo referente al tratamiento de datos personales con fines exclusivamente
periodísticos o de expresión artística o literaria, los
Estados miembros establecerán, respecto de las disposiciones del presente
capítulo, del capítulo IV y del capítulo VI, exenciones
y excepciones sólo en la medida en que resulten necesarias para conciliar
el derecho a la intimidad con las normas que rigen la libertad de expresión.
SECCIÓN IV
INFORMACIÓN DEL INTERESADO
Artículo 10
Información en caso de obtención de datos recabados del propio
interesado
Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
- los destinatarios o las categorías de destinatarios de los datos,
- el carácter obligatorio o no de la respuesta y las consecuencias que
tendría para la persona interesada una negativa a responder,
- la existencia de derechos de acceso y rectificación de los datos que
la conciernen,
en la medida en que, habida cuenta de las circunstancias específicas
en que se obtengan los datos, dicha información suplementaria resulte
necesaria para garantizar un tratamiento de datos leal respecto del interesado.
Artículo 11
Información cuando los datos no han sido recabados del propio interesado
1. Cuando los datos no hayan sido recabados del interesado, los Estados miembros
dispondrán que el responsable del tratamiento o su representante deberán,
desde el momento del registro de los datos o, en caso de que se piense comunicar
datos a un tercero, a más tardar, en el momento de la primera comunicación
de datos, comunicar al interesado por lo menos la información que se
enumera a continuación, salvo si el interesado ya hubiera sido informado
de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
- las categorías de los datos de que se trate,
- los destinatarios o las categorías de destinatarios de los datos,
- la existencia de derechos de acceso y rectificación de los datos que
la conciernen,
en la medida en que, habida cuenta de las circunstancias específicas
en que se hayan obtenido los datos, dicha información suplementaria resulte
necesaria para garantizar un tratamiento de datos leal respecto del interesado.
2. Las disposiciones del apartado 1 no se aplicarán, en particular para
el tratamiento con fines estadísticos o de investigación histórica
o científica, cuando la información al interesado resulte imposible
o exija esfuerzos desproporcionados o el registro o la comunicación a
un tercero estén expresamente prescritos por ley. En tales casos, los
Estados miembros establecerán las garantías apropiadas.
SECCIÓN V
DERECHO DE ACCESO DEL INTERESADO A LOS DATOS
Artículo 12
Derecho de acceso
Los Estados miembros garantizarán a todos los interesados el derecho
de obtener del responsable del tratamiento:
a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos
ni gastos excesivos:
- la confirmación de la existencia o inexistencia del tratamiento de
datos que le conciernen, así como información por lo menos de
los fines de dichos tratamientos, las categorías de datos a que se refieran
y los destinatarios o las categorías de destinatarios a quienes se comuniquen
dichos datos;
- la comunicación, en forma inteligible, de los datos objeto de los tratamientos,
así como toda la información disponible sobre el origen de los
datos;
- el conocimiento de la lógica utilizada en los tratamientos automatizados
de los datos referidos al interesado, al menos en los casos de las decisiones
automatizadas a que se refiere el apartado 1 del artículo 15;
b) en su caso, la rectificación, la supresión o el bloqueo de
los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva,
en particular a causa del carácter incompleto o inexacto de los datos;
c) la notificación a los terceros a quienes se hayan comunicado los
datos de toda rectificación, supresión o bloqueo efectuado de
conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.
SECCIÓN VI
EXCEPCIONES Y LIMITACIONES
Artículo 13
Excepciones y limitaciones
1. Los Estados miembros podrán adoptar medidas legales para limitar
el alcance de las obligaciones y los derechos previstos en el apartado 1 del
artículo 6, en el artículo 10, en el apartado 1 del artículo
11, y en los artículos 12 y 21 cuando tal limitación constituya
una medida necesaria para la salvaguardia de:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, la investigación, la detección y la represión
de infracciones penales o de las infracciones de la deontología en las
profesiones reglamentadas;
e) un interés económico y financiero importante de un Estado miembro
o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios
y fiscales;
f) una función de control, de inspección o reglamentaria relacionada,
aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública
en los casos a que hacen referencia las letras c), d) y e);
g) la protección del interesado o de los derechos y libertades de otras
personas.
2. Sin perjuicio de las garantías legales apropiadas, que excluyen,
en particular, que los datos puedan ser utilizados en relación con medidas
o decisiones relativas a personas concretas, los Estados miembros podrán,
en los casos en que manifiestamente no exista ningún riesgo de atentado
contra la intimidad del interesado, limitar mediante una disposición
legal los derechos contemplados en el artículo 12 cuando los datos se
vayan a tratar exclusivamente con fines de investigación científica
o se guarden en forma de archivos de carácter personal durante un período
que no supere el tiempo necesario para la exclusiva finalidad de la elaboración
de estadísticas.
SECCIÓN VII
DERECHO DE OPOSICIÓN DEL INTERESADO
Artículo 14
Derecho de oposición del interesado
Los Estados miembros reconocerán al interesado el derecho a:
a) oponerse, al menos en los casos contemplados en las letras e) y f) del artículo
7, en cualquier momento y por razones legítimas propias de su situación
particular, a que los datos que le conciernan sean objeto de tratamiento, salvo
cuando la legislación nacional disponga otra cosa. En caso de oposición
justificada, el tratamiento que efectúe el responsable no podrá
referirse ya a esos datos;
b) oponerse, previa petición y sin gastos, al tratamiento de los datos
de carácter personal que le conciernan respecto de los cuales el responsable
prevea un tratamiento destinado a la prospección; o ser informado antes
de que los datos se comuniquen por primera vez a terceros o se usen en nombre
de éstos a efectos de prospección, y a que se le ofrezca expresamente
el derecho de oponerse, sin gastos, a dicha comunicación o utilización.
Los Estados miembros adoptarán todas las medidas necesarias para garantizar
que los interesados conozcan la existencia del derecho a que se refiere el párrafo
primero de la letra b).
Artículo 15
Decisiones individuales automatizadas
1. Los Estados miembros reconocerán a las personas el derecho a no verse
sometidas a una decisión con efectos jurídicos sobre ellas o que
les afecte de manera significativa, que se base únicamente en un tratamiento
automatizado de datos destinado a evaluar determinados aspectos de su personalidad,
como su rendimiento laboral, crédito, fiabilidad, conducta, etc.
2. Los Estados miembros permitirán, sin perjuicio de lo dispuesto en
los demás artículos de la presente Directiva, que una persona
pueda verse sometida a una de las decisiones contempladas en el apartado 1 cuando
dicha decisión:
a) se haya adoptado en el marco de la celebración o ejecución
de un contrato, siempre que la petición de celebración o ejecución
del contrato presentada por el interesado se haya satisfecho o que existan medidas
apropiadas, como la posibilidad de defender su punto de vista, para la salvaguardia
de su interés legítimo; o
b) esté autorizada por una ley que establezca medidas que garanticen
el interés legítimo del interesado.
SECCIÓN VIII
CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO
Artículo 16
Confidencialidad del tratamiento
Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal.
Artículo 17
Seguridad del tratamiento
1. Los Estados miembros establecerán la obligación del responsable
del tratamiento de aplicar las medidas técnicas y de organización
adecuadas, para la protección de los datos personales contra la destrucción,
accidental o ilícita, la pérdida accidental y contra la alteración,
la difusión o el acceso no autorizados, en particular cuando el tratamiento
incluya la transmisión de datos dentro de una red, y contra cualquier
otro tratamiento ilícito de datos personales.
Dichas medidas deberán garantizar, habida cuenta de los conocimientos
técnicos existentes y del coste de su aplicación, un nivel de
seguridad apropiado en relación con los riesgos que presente el tratamiento
y con la naturaleza de los datos que deban protegerse.
2. Los Estados miembros establecerán que el responsable del tratamiento,
en caso de tratamiento por cuenta del mismo, deberá elegir un encargado
del tratamiento que reúna garantías suficientes en relación
con las medidas de seguridad técnica y de organización de los
tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.
3. La realización de tratamientos por encargo deberá estar regulada
por un contrato u otro acto jurídico que vincule al encargado del tratamiento
con el responsable del tratamiento, y que disponga, en particular:
- que el encargado del tratamiento sólo actúa siguiendo instrucciones
del responsable del tratamiento;
- que las obligaciones del apartado 1, tal como las define la legislación
del Estado miembro en el que esté establecido el encargado, incumben
también a éste.
4. A efectos de conservación de la prueba, las partes del contrato o
del acto jurídico relativas a la protección de datos y a los requisitos
relativos a las medidas a que hace referencia el apartado 1 constarán
por escrito o en otra forma equivalente.
SECCIÓN IX
NOTIFICACIÓN
Artículo 18
Obligación de notificación a la autoridad de control
1. Los Estados miembros dispondrán que el responsable del tratamiento
o, en su caso, su representante, efectúe una notificación a la
autoridad de control contemplada en el artículo 28, con anterioridad
a la realización de un tratamiento o de un conjunto de tratamientos,
total o parcialmente automatizados, destinados a la consecución de un
fin o de varios fines conexos.
2. Los Estados miembros podrán disponer la simplificación o la
omisión de la notificación, sólo en los siguientes casos
y con las siguientes condiciones:
- cuando, para las categorías de tratamientos que no puedan afectar a
los derechos y libertades de los interesados habida cuenta de los datos a que
se refiere el tratamiento, los Estados miembros precisen los fines de los tratamientos,
los datos o categorías de datos tratados, la categoría o categorías
de los interesados, los destinatarios o categorías de destinatarios a
los que se comuniquen los datos y el período de conservación de
los datos y/o
- cuando el responsable del tratamiento designe, con arreglo al Derecho nacional
al que está sujeto, un encargado de protección de los datos personales
que tenga por cometido, en particular:
- hacer aplicar en el ámbito interno, de manera independiente, las disposiciones
nacionales adoptadas en virtud de la presente Directiva,
- llevar un registro de los tratamientos efectuados por el responsable del tratamiento,
que contenga la información enumerada en el apartado 2 del artículo
21,
garantizando así que el tratamiento de los datos no pueda ocasionar una
merma de los derechos y libertades de los interesados.
3. Los Estados miembros podrán disponer que no se aplique el apartado
1 a aquellos tratamientos cuya única finalidad sea la de llevar un registro
que, en virtud de disposiciones legales o reglamentarias, esté destinado
a facilitar información al público y estén abiertos a la
consulta por el público en general o por toda persona que pueda demostrar
un interés legítimo.
4. Los Estados miembros podrán eximir de la obligación de notificación
o disponer una simplificación de la misma respecto de los tratamientos
a que se refiere la letra d) del apartado 2 del artículo 8.
5. Los Estados miembros podrán disponer que los tratamientos no automatizados de datos de carácter personal o algunos de ellos sean notificados eventualmente de una forma simplificada.
Artículo 19
Contenido de la notificación
1. Los Estados miembros determinarán la información que debe
figurar en la notificación, que será como mínimo:
a) el nombre y la dirección del responsable del tratamiento y, en su
caso, de su representante;
b) el o los objetivos del tratamiento;
c) una descripción de la categoría o categorías de interesados
y de los datos o categorías de datos a los que se refiere el tratamiento;
d) los destinatarios o categorías de destinatarios a los que se pueden
comunicar los datos;
e) las transferencias de datos previstas a países terceros;
f) una descripción general que permita evaluar de modo preliminar si
las medidas adoptadas en aplicación del artículo 17 resultan adecuadas
para garantizar la seguridad del tratamiento.
2. Los Estados miembros precisarán los procedimientos por los que se notificarán a la autoridad de control las modificaciones que afecten a la información contemplada en el apartado 1.
Artículo 20
Controles previos
1. Los Estados miembros precisarán los tratamientos que puedan suponer
riesgos específicos para los derechos y libertades de los interesados
y velarán por que sean examinados antes del comienzo del tratamiento.
2. Estas comprobaciones previas serán realizadas por la autoridad de
control una vez que haya recibido la notificación del responsable del
tratamiento o por el encargado de la protección de datos quien, en caso
de duda, deberá consultar a la autoridad de control.
3. Los Estados miembros podrán también llevar a cabo dicha comprobación en el marco de la elaboración de una norma aprobada por el Parlamento o basada en la misma norma, que defina el carácter del tratamiento y establezca las oportunas garantías.
Artículo 21
Publicidad de los tratamientos
1. Los Estados miembros adoptarán las medidas necesarias para garantizar
la publicidad de los tratamientos.
2. Los Estados miembros establecerán que la autoridad de control lleve
un registro de los tratamientos notificados con arreglo al artículo 18.
En el registro se harán constar, como mínimo, las informaciones
a las que se refieren las letras a) a e) del apartado 1 del artículo
19.
El registro podrá ser consultado por cualquier persona.
3. Los Estados miembros dispondrán, en lo que respecta a los tratamientos
no sometidos a notificación, que los responsables del tratamiento u otro
órgano designado por los Estados miembros comuniquen, en la forma adecuada,
a toda persona que lo solicite, al menos las informaciones a que se refieren
las letras a) a e) del apartado 1 del artículo 19.
Los Estados miembros podrán establecer que esta disposición no
se aplique a los tratamientos cuyo fin único sea llevar un registro,
que, en virtud de disposiciones legales o reglamentarias, esté concebido
para facilitar información al público y que esté abierto
a la consulta por el público en general o por cualquier persona que pueda
demostrar un interés legítimo.
CAPÍTULO III
RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES
Artículo 22
Recursos
Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.
Artículo 23
Responsabilidad
1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio
como consecuencia de un tratamiento ilícito o de una acción incompatible
con las disposiciones nacionales adoptadas en aplicación de la presente
Directiva, tenga derecho a obtener del responsable del tratamiento la reparación
del perjuicio sufrido.
2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.
Artículo 24
Sanciones
Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.
CAPÍTULO IV
TRANSFERENCIA DE DATOS PERSONALES A PAÍSES TERCEROS
Artículo 25
Principios
1. Los Estados miembros dispondrán que la transferencia a un país
tercero de datos personales que sean objeto de tratamiento o destinados a ser
objeto de tratamiento con posterioridad a su transferencia, únicamente
pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones
de Derecho nacional adoptadas con arreglo a las demás disposiciones de
la presente Directiva, el país tercero de que se trate garantice un nivel
de protección adecuado.
2. El carácter adecuado del nivel de protección que ofrece un
país tercero se evaluará atendiendo a todas las circunstancias
que concurran en una transferencia o en una categoría de transferencias
de datos; en particular, se tomará en consideración la naturaleza
de los datos, la finalidad y la duración del tratamiento o de los tratamientos
previstos, el país de origen y el país de destino final, las normas
de Derecho, generales o sectoriales, vigentes en el país tercero de que
se trate, así como las normas profesionales y las medidas de seguridad
en vigor en dichos países.
3. Los Estados miembros y la Comisión se informarán recíprocamente
de los casos en que consideren que un tercer país no garantiza un nivel
de protección adecuado con arreglo al apartado 2.
4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido
en el apartado 2 del artículo 31, que un tercer país no garantiza
un nivel de protección adecuado con arreglo al apartado 2 del presente
artículo, los Estado miembros adoptarán las medidas necesarias
para impedir cualquier transferencia de datos personales al tercer país
de que se trate.
5. La Comisión iniciará en el momento oportuno las negociaciones
destinadas a remediar la situación que se produzca cuando se compruebe
este hecho en aplicación del apartado 4.
6. La Comisión podrá hacer constar, de conformidad con el procedimiento
previsto en el apartado 2 del artículo 31, que un país tercero
garantiza un nivel de protección adecuado de conformidad con el apartado
2 del presente artículo, a la vista de su legislación interna
o de sus compromisos internacionales, suscritos especialmente al término
de las negociaciones mencionadas en el apartado 5, a efectos de protección
de la vida privada o de las libertades o de los derechos fundamentales de las
personas.
Los Estados miembros adoptarán las medidas necesarias para ajustarse
a la decisión de la Comisión.
Artículo 26
Excepciones
1. No obstante lo dispuesto en el artículo 25 y salvo disposición
contraria del Derecho nacional que regule los casos particulares, los Estados
miembros dispondrán que pueda efectuarse una transferencia de datos personales
a un país tercero que no garantice un nivel de protección adecuado
con arreglo a lo establecido en el apartado 2 del artículo 25, siempre
y cuando:
a) el interesado haya dado su consentimiento inequívocamente a la transferencia
prevista, o
b) la transferencia sea necesaria para la ejecución de un contrato entre
el interesado y el responsable del tratamiento o para la ejecución de
medidas precontractuales tomadas a petición del interesado, o
c) la transferencia sea necesaria para la celebración o ejecución
de un contrato celebrado o por celebrar en interés del interesado, entre
el responsable del tratamiento y un tercero, o
d) La transferencia sea necesaria o legalmente exigida para la salvaguardia
de un interés público importante, o para el reconocimiento, ejercicio
o defensa de un derecho en un procedimiento judicial, o
e) la transferencia sea necesaria para la salvaguardia del interés vital
del interesado, o
f) la transferencia tenga lugar desde un registro público que, en virtud
de disposiciones legales o reglamentarias, esté concebido para facilitar
información al público y esté abierto a la consulta por
el público en general o por cualquier persona que pueda demostrar un
interés legítimo, siempre que se cumplan, en cada caso particular,
las condiciones que establece la ley para la consulta.
2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán
autorizar una transferencia o una serie de transferencias de datos personales
a un tercer país que no garantice un nivel de protección adecuado
con arreglo al apartado 2 del artículo 25, cuando el responsable del
tratamiento ofrezca garantías suficientes respecto de la protección
de la vida privada, de los derechos y libertades fundamentales de las personas,
así como respecto al ejercicio de los respectivos derechos; dichas garantías
podrán derivarse, en particular, de cláusulas contractuales apropiadas.
3. Los Estados miembros informarán a la Comisión y a los demás
Estados miembros acerca de las autorizaciones que concedan con arreglo al apartado
2.
En el supuesto de que otro Estado miembro o la Comisión expresaren su
oposición y la justificaren debidamente por motivos derivados de la protección
de la vida privada y de los derechos y libertades fundamentales de las personas,
la Comisión adoptará las medidas adecuadas con arreglo al procedimiento
establecido en el apartado 2 del artículo 31.
Los Estados miembros adoptarán las medidas necesarias para ajustarse
a la decisión de la Comisión.
4. Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.
CAPÍTULO V
CÓDIGOS DE CONDUCTA
Artículo 27
1. Los Estados miembros y la Comisión alentarán la elaboración
de códigos de conducta destinados a contribuir, en función de
las particularidades de cada sector, a la correcta aplicación de las
disposiciones nacionales adoptadas por los Estados miembros en aplicación
de la presente Directiva.
2. Los Estados miembros establecerán que las asociaciones profesionales,
y las demás organizaciones representantes de otras categorías
de responsables de tratamientos, que hayan elaborado proyectos de códigos
nacionales o que tengan la intención de modificar o prorrogar códigos
nacionales existentes puedan someterlos a examen de las autoridades nacionales.
Los Estados miembros establecerán que dicha autoridad vele, entre otras
cosas, por la conformidad de los proyectos que le sean sometidos con las disposiciones
nacionales adoptadas en aplicación de la presente Directiva. Si lo considera
conveniente, la autoridad recogerá las observaciones de los interesados
o de sus representantes.
3. Los proyectos de códigos comunitarios, así como las modificaciones o prórrogas de códigos comunitarios existentes, podrán ser sometidos a examen del grupo contemplado en el artículo 29. Éste se pronunicará, entre otras cosas, sobre la conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, el Grupo recogerá las observaciones de los interesados o de sus representantes. La Comisión podrá efectuar una publicidad adecuada de los códigos que hayan recibido un dictamen favorable del grupo.
CAPÍTULO VI
AUTORIDAD DE CONTROL Y GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES
Artículo 28
Autoridad de control
1. Los Estados miembros dispondrán que una o más autoridades
públicas se encarguen de vigilar la aplicación en su territorio
de las disposiciones adoptadas por ellos en aplicación de la presente
Directiva.
Estas autoridades ejercerán las funciones que les son atribuidas con
total independencia.
2. Los Estados miembros dispondrán que se consulte a las autoridades
de control en el momento de la elaboración de las medidas reglamentarias
o administrativas relativas a la protección de los derechos y libertades
de las personas en lo que se refiere al tratamiento de datos de carácter
personal.
3. La autoridad de control dispondrá, en particular, de:
- poderes de investigación, como el derecho de acceder a los datos que
sean objeto de un tratamiento y el de recabar toda la información necesaria
para el cumplimiento de su misión de control;
- poderes efectivos de intervención, como, por ejemplo, el de formular
dictámenes antes de realizar los tratamientos, con arreglo al artículo
20, y garantizar una publicación adecuada de dichos dictámenes,
o el de ordenar el bloqueo, la supresión o la destrucción de datos,
o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir
una advertencia o amonestación al responsable del tratamiento o el de
someter la cuestión a los parlamentos u otras instituciones políticas
nacionales;
- capacidad procesal en caso de infracciones a las disposiciones nacionales
adoptadas en aplicación de la presente Directiva o de poner dichas infracciones
en conocimiento de la autoridad judicial.
Las decisiones de la autoridad de control lesivas de derechos podrán
ser objeto de recurso jurisdiccional.
4. Toda autoridad de control entenderá de las solicitudes que cualquier
persona, o cualquier asociación que la represente, le presente en relación
con la protección de sus derechos y libertades respecto del tratamiento
de datos personales. Esa persona será informada del curso dado a su solicitud.
Toda autoridad de control entenderá, en particular, de las solicitudes
de verificación de la licitud de un tratamiento que le presente cualquier
persona cuando sean de aplicación las disposiciones nacionales tomadas
en virtud del artículo 13 de la presente Directiva. Dicha persona será
informada en todos los casos de que ha tenido lugar una verificación.
5. Toda autoridad de control presentará periódicamente un informe
sobre sus actividades. Dicho informe será publicado.
6. Toda autoridad de control será competente, sean cuales sean las disposiciones
de Derecho nacional aplicables al tratamiento de que se trate, para ejercer
en el territorio de su propio Estado miembro los poderes que se le atribuyen
en virtud del apartado 3 del presente artículo. Dicha autoridad podrá
ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.
Las autoridades de control cooperarán entre sí en la medida necesaria
para el cumplimiento de sus funciones, en particular mediante el intercambio
de información que estimen útil.
7. Los Estados miembros dispondrán que los miembros y agentes de las
autoridades de control estarán sujetos, incluso después de haber
cesado en sus funciones, al deber de secreto profesional sobre informaciones
confidenciales a las que hayan tenido acceso.
Artículo 29
Grupo de protección de las personas en lo que respecta al tratamiento
de datos personales.
1. Se crea un grupo de protección de las personas en lo que respecta
al tratamiento de datos personales, en lo sucesivo denominado «Grupo».
Dicho Grupo tendrá carácter consultivo e independiente.
2. El Grupo estará compuesto por un representante de la autoridad o
de las autoridades de control designadas por cada Estado miembro, por un representante
de la autoridad o autoridades creadas por las instituciones y organismos comunitarios,
y por un representante de la Comisión.
Cada miembro del Grupo será designado por la institución, autoridad
o autoridades a que represente. Cuando un Estado miembro haya designado varias
autoridades de control, éstas nombrarán a un representante común.
Lo mismo harán las autoridades creadas por las instituciones y organismos
comunitarios.
3. El Grupo tomará sus decisiones por mayoría simple de los representantes
de las autoridades de control.
4. El Grupo elegirá a su presidente. El mandato del presidente tendrá
una duración de dos años. El mandato será renovable.
5. La Comisión desempeñará las funciones de secretaría
del Grupo.
6. El Grupo aprobará su reglamento interno.
7. El Grupo examinará los asuntos incluidos en el orden del día por su presidente, bien por iniciativa de éste, bien previa solicitud de un representante de las autoridades de control, bien a solicitud de la Comisión.
Artículo 30
1. El Grupo tendrá por cometido:
a) estudiar toda cuestión relativa a la aplicación de las disposiciones
nacionales tomadas para la aplicación de la presente Directiva con vistas
a contribuir a su aplicación homogénea;
b) emitir un dictamen destinado a la Comisión sobre el nivel de protección
existente dentro de la Comunidad y en los países terceros;
c) asesorar a la Comisión sobre cualquier proyecto de modificación
de la presente Directiva, cualquier proyecto de medidas adicionales o específicas
que deban adoptarse para salvaguardar los derechos y libertades de las personas
físicas en lo que respecta al tratamiento de datos personales, así
como sobre cualquier otro proyecto de medidas comunitarias que afecte a dichos
derechos y libertades;
d) emitir un dictamen sobre los códigos de conducta elaborados a escala
comunitaria.
2. Si el Grupo comprobare la existencia de divergencias entre la legislación
y la práctica de los Estados miembros que pudieren afectar a la equivalencia
de la protección de las personas en lo que se refiere al tratamiento
de datos personales en la Comunidad, informará de ello a la Comisión.
3. El Grupo podrá, por iniciativa propia, formular recomendaciones sobre
cualquier asunto relacionado con la protección de las personas en lo
que respecta al tratamiento de datos personales en la Comunidad.
4. Los dictámenes y recomendaciones del Grupo se transmitirán
a la Comisión y al Comité contemplado en el artículo 31.
5. La Comisión informará al Grupo del curso que haya dado a los
dictámenes y recomendaciones. A tal efecto, elaborará un informe,
que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho
informe será publicado.
6. El Grupo elaborará un informe anual sobre la situación de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los países terceros, y lo transmitirá al Parlamento Europeo, al Consejo y a la Comisión. Dicho informe será publicado.
CAPÍTULO VII
MEDIDAS DE EJECUCIÓN COMUNITARIAS
Artículo 31
El Comité
1. La Comisión estará asistida por un Comité compuesto
por representantes de los Estados miembros y presidido por el representante
de la Comisión.
2. El representante de la Comisión presentará al Comité
un proyecto de las medidas que se hayan de adoptar. El Comité emitirá
su dictamen sobre dicho proyecto en un plazo que el presidente podrá
determinar en función de la urgencia de la cuestión de que se
trate.
El dictamen se emitirá según la mayoría prevista en el
apartado 2 del artículo 148 del Tratado. Los votos de los representantes
de los Estados miembros en el seno del Comité se ponderarán del
modo establecido en el artículo anteriormente citado. El presidente no
tomará parte en la votación.
La Comisión adoptará las medidas que serán de aplicación
inmediata. Sin embargo, si dichas medidas no fueren conformes al dictamen del
Comité, habrán de ser comunicadas sin demora por la Comisión
al Consejo. En este caso:
- la Comisión aplazará la aplicación de las medidas que
ha decidido por un período de tres meses a partir de la fecha de dicha
comunicación;
- el Consejo, actuando por mayoría cualificada, podrá adoptar
una decisión diferente dentro del plazo de tiempo mencionado en el primer
guión.
DISPOSICIONES FINALES
Artículo 32
1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias
y administrativas necesarias para dar cumplimiento a lo establecido en la presente
Directiva, a más tardar al final de un período de tres años
a partir de su adopción.
Cuando los Estados miembros adopten dichas disposiciones, éstas harán
referencia a la presente Directiva o irán acompañadas de dicha
referencia en su publicación oficial. Los Estados miembros establecerán
las modalidades de la mencionada referencia.
2. Los Estados miembros velarán por que todo tratamiento ya iniciado
en la fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas
en virtud de la presente Directiva se ajuste a dichas disposiciones dentro de
un plazo de tres años a partir de dicha fecha.
No obstante lo dispuesto en el párrafo primero, los Estados miembros
podrán establecer que el tratamiento de datos que ya se encuentren incluidos
en ficheros manuales en la fecha de entrada en vigor de las disposiciones nacionales
adoptadas en aplicación de la presente Directiva, deba ajustarse a lo
dispuesto en los artículos 6, 7 y 8 en un plazo de doce años a
partir de la adopción de la misma. No obstante, los Estados miembros
otorgarán al interesado, previa solicitud y, en particular, en el ejercicio
de su derecho de acceso, el derecho a que se rectifiquen, supriman o bloqueen
los datos incompletos, inexactos o que hayan sido conservados de forma incompatible
con los fines legítimos perseguidos por el responsable del tratamiento.
3. No obstante lo dispuesto en el apartado 2, los Estados miembros podrán
disponer, con sujeción a las garantías adecuadas, que los datos
conservados únicamente a efectos de investigación histórica
no deban ajustarse a lo dispuesto en los artículos 6, 7 y 8 de la presente
Directiva.
4. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 33
La Comisión presentará al Consejo y al Parlamento Europeo periódicamente
y por primera vez en un plazo de tres años a partir de la fecha mencionada
en el apartado 1 del artículo 32 un informe sobre la aplicación
de la presente Directiva, acompañado, en su caso, de las oportunas propuestas
de modificación. Dicho informe será publicado.
La Comisión estudiará, en particular, la aplicación de
la presente Directiva al tratamiento de datos que consistan en sonidos e imágenes
relativos a personas físicas y presentará las propuestas pertinentes
que puedan resultar necesarias en función de los avances de la tecnología
de la información, y a la luz de los trabajos de la sociedad de la información.
Artículo 34
Los destinatarios de la presente Directiva serán los Estados miembros.
Hecho en Luxemburgo, el 24 de octubre de 1995.
Por el Parlamento Europeo
El Presidente
K. HAENSCH
Por el Consejo
El Presidente
L. ATIENZA SERNA