Habeas Data – Datos Personales – Privacidad

HRH Prince of Wales v Associated Newspapers Ltd

Posted: diciembre 31st, 2006 | Author: | Filed under: Casos, Daños, Derecho a la imagen, Europa, UK, Unión Europea | Tags: , , | Comentarios desactivados

HRH Prince of Wales v. Associated Newspapers Ltd

COURT OF APPEAL, somnology CIVIL DIVISION
JUDGMENT: APPROVED BY THE COURT FOR HANDING DOWN (SUBJECT TO EDITORIAL CORRECTIONS)

[2006] EWCA Civ 1776, doctor [2006] All ER (D) 335 (Dec), treatment (Approved judgment)

Read the rest of this entry »


Entrevista a Spiros Simitis

Posted: septiembre 24th, 2006 | Author: | Filed under: Entrevista, Habeas Data, Unión Europea | Comentarios desactivados

Entrevista con el Prof. Spiros Simitis – Agosto 2006 – English version

En esta ocasión entrevistamos al Profesor Spiros Simitis, page quien no necesita presentación por ser un pionero en la materia de potección de datos como lo atestigua la historia. Por eso aprovechamos para preguntar y repasar numerosos temas de protección de datos desde su visión de mas de tres décadas de actividad en la materia.

HabeasData: Alemania está ligada a los primeros pasos que se dieron en el mundo en materia de protección de datos personales con la aprobación en el año 1970 de la conocida ley del Land de Hesse.  ¿Podrí­a describirnos brevemente cómo empezó todo?

Simitis: En la década del sesenta las computadoras comenzaron a atraer la atención de la sociedad. La palabra mágica era cibernética. En especial los gobiernos tení­an la esperanza de poder instrumentar con los ordenadores sus polí­ticas de una manera perfectamente racional, permitiéndoles recolectar toda clase de datos personales y usarlos para un número ilimitado de propósitos. Precisamente con estos fundamentos muchos estados de Alemania Federal planearon por aquella época el establecimiento de bancos de datos centralizados donde se almacenarí­a la información personal de sus ciudadanos. El gobierno del Land de Hesse publicitó su intención de recolectar datos médicos y de salud de sus ciudadanos con el argumento que en los accidentes en las rutas se podrí­a ayudar a las ví­ctimas en forma instantánea y eficiente, pues una conexión directa e inmediata al banco de datos permitirí­a conocer todo sobre la salud de la ví­ctima incluyendo las medicinas que tomaba y sus posibles alergias.

Yo ya habí­a, en la segunda mitad de la década del sesenta, expresamente tratado el peligro de la creciente manipulación de los ciudadanos a través de la recolección sin lí­mites de sus datos personales y habí­a sugerido la aprobación de reglas claras restringiendo el acceso a su información personal y determinando las condiciones de su uso. Como resultado, la misma exigencia fue planteada y apoyada por uno de los mas importantes diarios alemanes a comienzos del año 1969. Unas semanas después de esos titulares en periódicos comenzó la preparación de una ley y finalmente, el Parlamento del Land de Hesse adoptó la primera ley de protección de datos personales en septiembre de 1970.

*HabeasData*: Podrí­a contarnos acerca de su experiencia como comisionado de protección de datos del Land de Hesse: * ¿cómo fue ser un comisionado en los primeros tiempos del surgimiento de protección de datos personales? * ¿Cómo reaccionaban frente a esas nuevas normas las empresas, los titulares de los datos y el propio Estado?

*Simitis*: En aquel entonces (1970) a uno lo veí­an como una persona rara. Los ordenadores y sus usos eran todaví­a un misterio; sus posibles consecuencias eran mas una cuestión de anticipar el futuro y especular que experiencias reales. Además, la atención sobre sus efectos estaba centrada principalmente en el gobierno, no en las empresas privadas que aseguraban que nunca tendrí­an los medios para obtener bancos de datos enormes. Pero estaba claro desde un principio que el derecho de la protección de datos personales solo se desarrollarí­a adecuamente si amparaba tanto a las acciones de los particulares como del Estado.

*HabeasData*: En América Latina y Europa se habla mucho del fallo del Tribunal Constitucional alemán en el caso del censo que creó el derecho a la autodeterminación informativa. * ¿Podrí­a resumirnos para una audiencia latinoamericana el significado histórico de la decisión?

*Simitis*: A comienzos de los ochenta el gobierno federal alemán hizo saber su intención de realizar un censo muy amplio de la población. Este censo fue descripto por el gobierno como una herramienta indispensable de amplia información sobre los ciudadanos para ser usado en un amplio abanico de polí­ticas públicas del Estado. La reacción del ciudadano común fue, dentro del marco de una toma de conciencia cada vez mayor sobre las implicancias que tendrí­an los ordenadores y bases de datos, de una amplia crí­tica a estos actos de gobierno. Por eso plantearon un caso judicial que llegó hasta el Tribunal Constitucional alemán y que tuvo por finalidad poner un lí­mite al -hambre estatal- por los datos personales. De hecho la Corte en forma explí­cita en ese caso dijo que el derecho de los ciudadanos a conocer quien usará los datos y con qué propósito, bajo qué condiciones y por cuánto tiempo es una premisa elemental de cualquer sistema democrático. Los ciudadanos tení­an entonces un derecho a la autodeterminación informativa. Uno de los principales efectos de este derecho es que las personas o instituciones interesados en tener acceso a los datos personales deben definir el uso que le quieren dar a los datos por adelantado y limitar estrictamente el procesamiento para un fin particular.

*HabeasData*: El 22 de mayo del año 2006 la Corte Constitucional de Alemania (“Bundesverfassungsgericht”:http://www.bundesverfassungsgericht.de/) consideró ilegales bajo la Constitución alemana (Grundgesetz) la recopilación de datos personales a través de múltiples bases de datos públicas y privadas con la finalidad de detectar a potenciales terroristas. Podrí­a darnos su opinión sobre este caso y su significado.

*Simitis*: La Corte Constitucional reaccionó contra la creciente tendencia a establecer un cruzamiento preventivo de bases de datos en orden a combatir el terrorismo y otros crí­menes serios. La Corte recordó que el uso de datos personales debe estar atado y limitado por su finalidad. Pero cuando la prevención es usada como justificación absoluta para el procesamiento de datos personales, la finalidad de este tratamiento deviene cada vez menos clara, en especial cuando se utiliza un término tan vago y abstracto como -terrorismo-. Si vamos a permitir un acceso preventivo a los datos personales, tanto su ámbito como sus condiciones deben ser limitados y definidos en forma inequí­voca, si queremos que la prevención no se transforme en la llave que permita el acceso a cualquier dato personal.

*HabeasData*: En la conferencia que Ud. dictó en “Buenos Aires a comienzos de este año”:http://www.habeasdata.org/SpirosSimitis disertó sobre la historia del derecho a la protección de los datos personales y puso énfasis en que la recolección y tratamiento de datos ya no sólo tiene lugar a gran escala por parte del gobierno sino también por empresas privadas. * ¿A quien debemos temer mas hoy en dí­a: al sector público o al sector privado?

*Simitis*: Hoy en dí­a, la vieja distinción entre bases de datos del sector público y del sector privado ha desaparecido. Ejemplos tales como recolección de datos por empresas de tarjetas de crédito, comercios con la ayuda de tarjetas de afinidad, bancos de datos genéticos, compañí­as de seguros o entidades financieras ilustran claramente que el gobierno necesita cada vez menos tener sus propios bancos de datos. Un acceso directo a estas colecciones de datos del sector privado, tal como lo ilustra el problema de los datos de tráfico, es perfectamente suficiente para el gobierno. En consecuencia el acento mas que nunca debe ser puesto en la finalidad del tratamiento de estos datos y en reglas que limiten en forma acabada esos tratamientos.

*HabeasData*: Ud colaboró con la Organización Internacional del Trabajo (OIT) en la elaboración de un código de conducta relativo a los datos personales de empleados. Ud. Considera que los empleados tienen derecho a la privacidad en el trabajo? * ¿Cuáles son las diferencias entre Estados Unidos y la Unión Europea?

*Simitis*: Una de las lecciones mas importantes de los últioms años es que una regulación de datos personales debe empezar con reglas generales aplicables a todo tipo de tratamientos. Pero solo podrá lograr sus objetivos y una protección efectiva de las personas a través de normas mas y mas concentradas y focalizadas en el contexto. El uso de datos personales de los empleados es un ejemplo clásico justamente por esto. Desafortunadamente, estamos muy lejos de haber conseguido las normas realmente necesarias. El Código de la OIT (ILO) fue un primer paso. No es sin embargo vinculante. La propuesta de Directiva de la Comisión Europea aun no ha sido aprobada. Y a nivel nacional es cierto que cada vez hay mas normas pero no son verdaderas regulaciones de protección de datos personales. Inglaterra, por ejemplo, se apoya en un código de conducta controlado por el Comisionado de la Información (Information Commissioner). En Alemania los acuerdos entre los concejos de trabajo (Works-™ Councils) y los empleados juegan un rol importante. Sin embargo aun esperamos la aprobación de una regulación que cubra todas las cuestiones. Las reacciones a estas cuestiones en la Unión Europea han ido mas allá que en los Estados Unidos.

*HabeasData*: Bancos de datos genéticos. Sabemos que en los próximos años el almacenamiento y uso de datos genéticos sera una cuestión rutinaria debido al avance tecnológico y médico * ¿Qué protecciones deberí­an adoptarse?

*Simitis*: Aquí­ nuevamente encontramos un caso donde también se requieren normas especí­ficas. Los datos personales genéticos han sido siempre considerados datos médicos. Pero tanto su importancia como su impacto han sido por ello subestimados. En especial, las experiencias ocurridas en ámbitos del seguro, el trabajo, la polí­tica de salud y el sector de seguridad subrayan la necesidad de una regulación especí­fica. Incluso a nivel de la OIT se ha rechazado el consentimiento como medio de legitimizar el uso de datos personales genéticos y se ha requerido la aprobación de leyes en tal sentido. Sin embargo el contenido de tales reglas solo porá determinarse en conexión a un campo especí­fico como es el empleo, la salud o el seguro.

*HabeasData*: Los ataques terroristas a Estados Unidos del 11 de septiembre han claramente afectado el debate privacidad/seguridad. * ¿Cómo es posible medir este impacto?

*Simitis*: El -Terrorismo- es, cada vez mas, usado como pretexto para desmantelar la protección de los datos personales tanto a nivel nacional como internacional. Debates como la retención de datos de tráfico en materia de telecomunicaciones, la transmisión de datos sobre pasajeros o el acceso a las transferencias de datos financieros, demuestran dí­a tras dí­a que las barreras que antes eran respetadas hoy son desmanteladas, y que las restricciones que creí­amos que eran generalmente aceptadas hoy son completamente ignoradas. Si bien la seguridad es muy importante como también lo son las medidas preventivas, una sociedad democrática debe preguntarse qué es lo que requieren e imponen sus propias necesidades, si no se quiere que su propia estructura se vea irremediablemente afectada.

*HabeasData*: Respecto al caso de los datos de pasajeros europeos viajando a Estados Unidos (conocidos como PNR), * ¿Ud. esperaba que la Corte Europea resolviera sobre la cuestión de fondo?

*Simitis*: Sí­, especialmente el Parlamento Europeo, pero también instituciones tales como el Grupo de Expertos de Protección de Datos de la Comisión Europea habí­an categóricamente afirmado la ilegalidad del acuerdo de la comisión Europea con los Estados Unidos, opinión que fue compartida también por el Abogado General ante la Corte.

*HabeasData*: Respecto a las medidas de protección tecnológicas (DRM) y el derecho a la privacidad, * ¿Considera Ud. que nos dirigimos hacia una sociedad de la vigilancia en materia de acceso a la cultura y entretenimiento?

*Simitis*: Me temo que la actual tendencia no puede ser ignorada. Sin embargo este es un signo mas de los profundos cambios logrados en un ámbito en el cual los usuarios no sólo están implicados sino que favorecen y promocionan desarrolos en forma lenta pero seguramente destruyendo sus chances de un verdadero respeto a la privacidad con una marcada indiferencia y falta de interés en insistir sobre sus derechos.

*HabeasData*: En Argentina hemos tenido un interesante debate sobre los datos de tráfico en materia de telecomuniaciones. El Congreso aprobó la ley de datos de tráfico ordenando retener datos por el plazo de diez añs y la norma fue declarada inconstitucional por dos tribunales. * ¿Podrí­a comentarnos sobre la nueva directiva europea en la materia?

*Simitis*: En primer lugar la controversia sobre la directiva no está aun terminada. Tal como ocurrió también con el caso de los datos de viajeros a Estados Unidos (PNR), la Comisión de la Unión Europea no tení­a facultades para adoptar una regulación sobre esa materia, pues las cuestiones sobre seguriad claramente trascienden los lí­mites de su competencia. Por ello un número sustancial de miembros del parlamnto Europeo como también sus colegas en el parlamento federal alemán solicitaron que se demandara judicialmente la anulación de la directiva.

En segundo lugar, dada su vaguedad, la directiva es incompatible con las premisas constitucionales señaladas en el reciente caso del tribunal constitucional alemán antes comentado.

Tercero, si bien es cierto que el texto original de la directiva fue modificado a pedido del gobierno alemán todaví­a restan importates cuestiones por responder de una manera convincente. Por ejemplo no está claro si a las empresas telefónicas en el Reino Unido se les prohibirá seguir una sugerencia de su gobierno y vender los datos de tráfico en orden a financiar los costos originados por la retención de información personal.

*HabeasData*: Usted cree que debe existir un derecho al olvido relacionado con la privacidad y especí­ficamente con datos comerciales. Debe la sociedad olvidar cierta informacón por el mero transcurso del tiempo?

*Simitis*: El deber de limitar el tratamiento y recolección de datos personales a fines especí­ficos y determinados implica que la información debe ser eliminada de la base de datos desde el momento que dichas finalidades fueron cumplidas. Se trata de una expectativa creada por las leyes de protección de datos personales que se aplican tanto a bancos de datos públicos como a bancos de datos privados. La protección de los datos personales tolera, en otras palabras, por definición, solo una memoria deliberadamente limitada. Exactamente por estas razones la discusiones sobre el derecho a la protección de datos personales fue complementada desde un comienzo por un debate sobre la necesidad de estructurar los archivos públicos. Para estar seguros: proteción de datos y archivos no es una contradicción sino elementos que mutuamnte deben complementarse en una sociedad democrática.

*HabeasData*: La ley de protección de datos personales de Alemania ha sido modificada en numerosas oportunidads desde su aprobación. Podrí­a comnetarnos las rezones que impulsaron estos cambios?

*Simitis*: Mayormente dos cuestiones. La última revision fue impulsada por la directiva europea en materia de protección de datos del año 1995. Sin embargo tanto en este como en otros casos, la razón última fue la progresiva aceptación de la necesidad de una constante revisión de las leyes de protección de datos personales a raí­z del constante desarrollo de las tecnologí­as de la información y de la comunicación. Por ello el legislador noruego ya habí­a en la década del ochenta establecido en su ley una fecha para comenzar la revisión de la misma. La protección de datos requiere un debate virtualmente sin fin que fuerze a reconsiderar las decisiones adoptadas y por ende a reexaminar las demandas relacionadas con el acceso y uso de la información personal.

*HabeasData*: Respecto a los motores de búsqueda en internet y el derecho a la privacidad. Rcientemente, varios buscadores en internet fueron obligados por el gobierno de USA a proveer datos de busquedas. Cree que el anonimato debe tener cabida en internet. Cual deberí­a ser el estándar?

Simitis: Ciertamente pienso que especialmente dada la inncesante comercialización de datos personales en internet se requieren normas estableciendo barreras al acceso a los datos y garantizando anonimato.

HabeasData: Prof. Simitis, le agradecemos por haber participado en esta entrevista.

Entrevista por Pablo A. Palazzi

El Foro de Habeas Data continua con la serie de entrevistas a personas relacionadas con el mundo de la privacidad, la protección de los datos personales y las nuevas tecnologí­as. La idea detrás de estas entrevistas es fomentar la difusión y el dialogo en la materia, hacer conocer experiencias transnacionales y quiénes son sus principales actores. En esta ocasión entrevistamos al Profesor Spiros Simitis quien no necesita presentación por ser un pionero en la materia como lo atestigua la historia. Por eso aprovechamos para preguntar y repasar numerosos temas de protección de datos desde su visión de mas de tres décadas de actividad en la materia.


Fallo contra Google en Bélgica

Posted: septiembre 23rd, 2006 | Author: | Filed under: Casos, Derecho a la imagen, Unión Europea | No Comments »

Esta nota en el “NYTimes online”:http://www.nytimes.com/2006/09/23/technology/23google.html?ref=technology informa que inicialmente Google intentó apelar el fallo y evitar su publicación online pero su pedido fue rechazado.

Este es el texto del fallo tal cual fue publicado en la página de “http://www.google.be/”:http://www.google.be/ y en Google News.

Aprí¨s l’audience du 5 Septembre 2006, endocrinologist le Tribunal de Premií¨re Instance de Bruxelles a publié le jugement suivant.
TRIBUNAL DE PREMIíˆRE INSTANCE DE BRUXELLES N* ° 2006/9099/A du rí´le des référés Action en cessation

En cause de: La société civile sous forme d-™une société coopérative í¢ responsabilité limitée COPIEPRESSE, refractionist inscrite dans la SCE 0471.612.218, dont le sií¨ge social est établi í  1070 Anderlecht, boulevard Paepsem, 22, partie demanderesse, représentée par Me Bernard MAGREZ avocat í  1180 Bruxelles, avenue Winston Churchill, 149; contre: La société de droit américain GOOGLE Inc., dont le sií¨ge social est établi í  Mountain View, 94043 California, USA, 1600 Amfitheather Park Way, partie défenderesse, défaillante; Dans cette cause, il est conclu et plaidé en franí§ais í  l-™audience publique du 29 aoí»t 2006; Aprí¨s délibéré le président du tribunal de premií¨re instance rend l-™ordonnance suivante: Vu : – la citation introductive d-™instance signifiée le 3 aoí»t 2006; OBJET DE LA DEMANDE La demande portée devant le tribunal de céans est fondée sur l-™article 87 de la loi du 30 juin 1994 relative aux droits d-™auteurs et aux droits voisins. Elle vise í  – constater que les activités de Google News et l-™utilisation du * « cache * » de Google violent notamment les lois relatives aux droits d-™auteurs et aux droits voisins (1994) et sur les bases de données (1998); – condamner la défenderesse í  retirer de tous ses sites (Google News et * « cache * » Google sous quelque dénomination que ce soit), tous les articles, photographies et représentations graphiques des éditeurs belges de presse quotidienne, francophone et germanophone représentés par la demanderesse í  dater de la signification de l-™ordonnance, sous peine d-™astreinte de 2.000.000,-€ par jour de retard; – condamner en outre la défenderesse í  publier, de manií¨re visible, claire et sans commentaire de sa part sur la home page de -˜google.be-™ et de news.google.be-™ pendant une durée ininterrompue de 20 jours l-™intégralité du jugement í  intervenir í  dater de la signification de l-™ordonnance, sous peine d-™astreinte de 2.000.000,- € par jour de retard. CADRE DU LITIGE 1. La qualité de la demanderesse Attendu que la demanderesse est la société de gestion des droits des éditeurs belges de presse quotidienne francophone et germanophone autorisée (par les Arríªtés ministériels des 14 février 2000 et 20 juin 2003 publiés au Moniteur belge du 10 mars 2000 et du 14 aoí»t 2003) í  exercer ses activités sur le territoire belge ; Attendu que son objet est la défense des droits d-™auteur de ses membres (droits propres aux éditeurs et droits acquis auprí¨s des journalistes) et le contrí´le de l-™usage par des tiers des oeuvres protégées de ses membres; Attendu que les journaux et sites de la presse écrite sont notamment protégés par les lois sur le droit d-™auteur (1994 et 2005) et sur les bases de données (1998) ; Attendu que la production des oeuvres journalistiques est réalisée par la publication classique de quotidiens, magazines suppléments sous forme í  papier ou, depuis l-™émergence des nouvelles technologies, sous format numérique ou digital ; Attendu que l-™exploitation secondaire se réalise par la copie du document papier et, depuis l-™émergence des nouvelles technologies de l-™information et de la communication, l-™exploitation secondaire peut íªtre effectuée par des procédés électroniques (scanning, capture de site web et rediffusion via des sites web ou internet ou extranet ou emailing, etc…) ; Attendu que cette exploitation secondaire par la voie électronique d-™articles de presse est également régie par les lois sur le droit d-™auteur (1994 -” 2005) et sur les bases de données (1998) ; Attendu dí¨s lors que la demanderesse, qui représente les intéríªts des éditeurs de journaux, a intéríªt et qualité pour agir aux fins de protéger leurs droits; 2. Les faits Attendu que le moteur de recherche Google a, dans le courant de l-™année 2003, présenté un nouveau service appelé Google News ou Google Actualité, exercé par la société défenderesse; Attendu que la nouvelle fonctionnalité vise í  offrir aux internautes une revue de presse qui se base sur une sélection automatique des informations contenues dans les serveurs web de la presse écrite ; Que, pour ce faire, Google News doit scruter dans les serveurs web de la presse écrite et en extraire les articles pour les copier et/ou en faire des résumés automatiques, alors que les sites dont émanent les articles diffusés, et notamment les sites des éditeurs de journaux dont les intéríªts sont défendus par la demanderesse, comportent les mentions selon lesquelles ces sites sont protégés par le droit d-™auteur; Attendu que Google n-™a pas recueilli l-™accord de ces différents sites pour procéder í  cette ordonnancement de l-™information qui est laissée en quelque sorte í  sa seule discrétion dí¨s lors qu-™elle est titulaire de la technologie et des algorithmes permettant l-™automatisation et la systématisation, de la reproduction des articles disponibles sur internet ; Attendu que cette situation a suscité des difficultés non seulement en Belgique mais dans d-™autres pays ; Attendu qu-™en Belgique, la demanderesse a déposé une requíªte en saisie description fondée sur les articles 1481 et suivants du Code judiciaire entre les mains du juge des saisies du tribunal de céans ; Que, par ordonnance du 27 mars 2006, l-™expert Luc GOLVERS a été désigné; Attendu que l-™ordonnance le désignant a été signifiée í  la défenderesse le 13 avril 2006; 3. Le rapport d-™expertise Attendu que l-™expert GOLVERS, qui avait notamment pour mission de décrire la manií¨re dont sont présentés les articles de presse et l-™interactivité entre le visiteur et le site web de Google News, conclut que * « Google News est í  considérer comme un portail d-™information et non un moteur de recherche. * »; Qu-™il relí¨ve que le service Google News se qualifie lui-míªme comme un site d-™information en ligne, en ces termes * « Cette diversité de perspective et d-™approche est unique parmi les sites d-™information en ligne et nous considérons comme une tí¢che essentielle de vous aider í  rester informés sur les sujets qui vous importent le plus. * »; Attendu qu-™il relí¨ve que le site est alimenté í  l-™aide des informations puisées dans la presse, ce qu-™il a mis en évidence en procédant í  de nombreux tests í  partir de sites d-™information de différents quotidiens francophones belges ; Attendu que ces recherches l-™ont notamment conduit í  mettre en évidence que, lorsqu-™un article est toujours en ligne sur le site de l-™éditeur belge, Google renvoie directement, via le mécanisme d-™hyperliens profonds, vers la page ou se trouve l-™article mais que, dí¨s que cet article n-™est plus présent sur le site de l-™éditeur de presse belge, il est possible d-™en obtenir le contenu via l-™hyperlien * « en cache * » qui renvoie vers le contenu de l-™article que Google a enregistré dans la mémoire * « cache * » qui se trouve dans la gigantesque base de données que Google maintient dans son énorme parc de serveurs ; Attendu enfin qu-™il se déduit du rapport de l-™expert que : – le mode de fonctionnement actuel de Google News fait perdre aux éditeurs de presse quotidienne le contrí´le de leurs sites web et de leur contenu (voir í  ce sujet les tests menés par l-™expert qui montrent les effets d-™un retrait d-™article, pages 42 í  67 du rapport) ; – l-™utilisation de Google News contourne les messages publicitaires des éditeurs lesquels tirent une partie importante de leurs revenus de ces insertions publicitaires (pages 13 í  18, 108 í  119 du rapport) ; – l-™utilisation de Google News court-circuite de nombreux autres éléments comme les mentions relatives í  l-™éditeur, les mentions relatives í  la protection des droits d-™auteur et aux usages autorisés ou non des données, des liens vers d-™autres rubriques (par ex. les dossiers thématiques constitués par les éditeurs, pages 108 í  119 du rapport); – l-™utilisation du * « cache * » de Google d-™une part permet de contourner l-™enregistrement demandé par l-™éditeur et d-™éluder le paiement de l-™article de presse (voit le cas du Soir en ligne décrit par l-™expert en pages 35 í  38), d-™autre part stocke, en vue de sa rediffusion, l-™entií¨reté de l-™article (dans l-™état oí¹ Il se trouvait lors de son édition la plus récente) (pages 68 í  98-99 du rapport) 4. Identification de l-™identité de l-™exploitant de Google et de Google News Attendu que l-™expert s-™est notamment vu conférer la mission de déterminer l-™identité de l-™exploitant du DNS -˜Google.be-™, -˜Google.fr-™ et -˜Google.com-™; Attendu que les examens qu-™il a menés í  cet égard (pages 124 í  134) mettent en évidence que le propriétaire du site -˜news.google.be-™ ainsi que celui des domaines -˜google.be-™ et -˜google.fr-™ est í  chaque fois la partie défenderesse, Google Inc., 1600 Amfitheater Park Way, Mountain View, California 94043; 5. Le préjudice occasionné í  la demanderesse Attendu que la demanderesse se plaint de ce que les activités de Google Inc. mettent en péril la vente électronique des articles de presse mais également toute la presse quotidienne ainsi qu-™í  court terme la qualité des articles puisque les éditeurs risquent de ne plus bénéficier de ressources suffisantes pour rémunérer correctement leurs journalistes ; Qu-™en effet, et comme l-™a mis en évidence le rapport d-™expertise, l-™activité de la défenderesse est de nature í  faire perdre aux éditeurs une part importante de leurs revenus tirés des recettes publicitaires qu-™ils perí§oivent ; Qu-™indépendamment de ce préjudice financier immédiat, la vente électronique d-™articles est menacée, ainsi que le ressources tirées de l-™archivage des articles, dont la consultation est payante; 6. Mesures sollicitées Attendu que la violation des dispositions relatives aux droits d-™auteur justifie que les mesures telles que sollicitées par la demanderesse et reprises au dispositif des présentes soient ordonnées; 7. L-™astreinte Attendu que la demanderesse sollicite du tribunal qu-™en cas de manquement aux mesures dont elle demande le bénéfice, une astreinte de 2.000.000,- € par jour de retard soit prononcée dans l-™hypothí¨se oí¹ la défenderesse ne se conformerait pas í  l-™ordre de retirer de tous ses sites les articles, photographies, représentations graphiques des éditeurs belges de presse quotidienne francophone et germanophone ainsi qu-™une astreinte de 2.000.000,- € par jour de retard faute pour la défenderesse de publier sur la home page de -˜google.be-™ et de -˜news.google.be-™ pendant une durée ininterrompue de 20 jours l-™intégralité du jugement í  intervenir í  dater de la signification de l-™ordonnance ; Attendu qu-™elle motive l-™importance de cette demande par le fait que la défenderesse affiche un chiffre d-™affaires de prí¨s de 13 millions de dollar par jour; Qu-™elle met également en évidence la capacité technique de la défenderesse de retirer du contenu de ses bases de données les articles et informations litigieuses en manií¨re telle qu-™elle ne s-™expose pas í  de grandes difficultés pour s-™exécuter; Attendu que le tribunal de céans ne manque pas d-™íªtre surpris par l-™attitude de la défenderesse qui n-™a pas jugé utile de participer í  la mission d-™expertise, malgré les invitations qui lui avaient été adressées par l-™expert judiciaire, et qui ne comparaí®t pas ; Attendu que cette attitude constitue une indication de ce que les craintes que nourrit la demanderesse sur la mauvaise volonté que mettra í  la défenderesse í  s-™exécuter pourraient íªtre fondées ; Qu-™il ne peut íªtre admis par ailleurs qu-™elle persiste í  retirer un bénéfice élevé í  l-™aide, notamment, du travail intellectuel d-™autrui, tout en spéculant sur les difficultés qu-™éprouvent les auteurs et éditeurs de journaux dans un contexte technologique extríªmement complexe pour mettre fin í  cette appropriation illégitime de leur travail ; Que l-™attitude de la défenderesse est d-™autant plus surprenante que dans d-™autres pays, certes plus importants que la Belgique, la défenderesse s-™est engagée dans des négociations avec les éditeurs de journaux pour résoudre la question du respect des droits d-™auteur; Attendu qu-™il résulte de l-™expertise que les capacités techniques dont dispose la défenderesse, et qui sont hors de proportion avec les moyens de la presse écrite francophone d-™un pays comme la Belgique, lui permettent d-™adopter une attitude qui confine í  l-™indifférence, alors qu-™elle retire un bénéfice de la diffusion sur la toile d-™un contenu qui a nécessité la mise en commun de moyens rédactionnels et éditoriaux importants de la part de journalistes et d-™éditeurs de journaux, dont l-™activité est essentielle dans une société démocratique ; Attendu que dans cette mesure, il paraí®t effectivement indiqué d-™assortir les mesures d-™interdiction ordonnées d-™une astreinte, au risque qu-™elles soient dépourvues de toute efficacité; Qu-™il paraí®t approprié au tribunal que celle-ci soit déterminée comme suit: – retrait des articles de tous les sites : 1.000.000,- € par jour de retard dans les 10 jours de la signification de l-™ordonnance í  intervenir; – la publication pendant 5 jours de l-™intégralité du présent jugement : 100.000,- € par jour de retard dans les 10 jours de la signification de l-™ordonnance í  intervenir; PAR CES MOTIFS, Nous, G.M.R. Tassin, juge désignée pour remplacer le Président du Tribunal de premií¨re instance de Bruxelles; Assistée de V. Hubrich, greffier; Vu la loi du 15 juin 1935 sur l-™emploi des langues en matií¨re judiciaire; Rejetant toutes conclusions autres plus amples ou contraires; Déclarons la demande recevable et fondée dans la mesure ci-aprí¨s: – constatons que la défenderesse ne peut se prévaloir d-™aucune exception prévue par les lois relatives aux droits d-™auteur et aux droits voisins (1994) et sur les bases de données (1998); – constatons que les activités de Google News et l-™utilisation du * « cache de Google * » violent notamment les lois relatives aux droits d-™auteur et aux droits voisins (1994) et sur les bases de données (1998); – condamnons la défenderesse í  retirer de tous ses sites (Google News et * « cache * » Google sous quelque dénomination que ce soit), tous les articles, photographies et représentations graphiques des éditeurs belges de presse quotidienne francophone et germanophone représentés par la demanderesse dans les 10 jours de la signification de l-™ordonnance í  Intervenir, sous peine d-™une astreinte de 1.000.000,- € par jour de retard ; – condamnons en outre la défenderesse í  publier, de manií¨re visible, claire et sans commentaire de sa part sur la home page de -˜google1be-™ et de -˜news.google.be-™ pendant une durée ininterrompue de 5 jours l-™intégralité du jugement í  intervenir dans les 10 jours de la signification de l-™ordonnance í  intervenir, sous peine d-™une astreinte de 500.000,- € par jour de retard Condamnons la défenderesse aux dépens liquidés í  941,63 € (citation) et 121,47 € (indemnité de procédure); Ainsi jugé et prononcé í  l-™audience publique des référés du 5 septembre 2006. V. HUBRICH G.M.R.TASSIN


Interview with Prof. Spiros Simitis

Posted: septiembre 19th, 2006 | Author: | Filed under: Competencia judicial, Habeas Data, Público en general, Unión Europea | No Comments »

*Interview with Prof. Spiros Simitis*

See “Spanish version here”:http://www.habeasdata.org/Entrevista-Prof-Spiros-Simitis .

*1) Germany is linked to the early history of data protection with the fist statute enacted in the Land of Hesse. Can you describe us briefly how it all started?*

The nineteen-sixties were the years in which the attention was increasingly drawn to computers. The magic word was -cybernetics-. Especially Governments expected to be able to put their policies on a new, order perfectly rational basis, permitting them to timely collect all information possibly needed and to use it for an unlimited number of purposes. For precisely this reason many of the Governments of the Federal States in Germany planned the establishment of central data banks storing the personal data of all their citizens. Thus, the Government of Hesse advertised its intention to gather the medical data by claiming that in accidents on the motorway help for victims would be instant and most efficient, since a direct and immediate connection to the data bank would permit to learn all about the health of the victim including medicine taken and potential allergies.

I had already in the second half of the nineteen-sixties explicitly addressed the danger of a growing manipulation of the citizens by a limitless use of their data and asked for clear rules definitely restricting the access to personal information and determining the conditions of their use. As a result, the same demand was expressed and supported in early 1969 in a leading article of one of the main German newspapers. Only a few weeks later the consultations for a law begun and finally, the Hesse Parliament adopted the worldwide first Data Protection Act in September 1970.

*2) Can you tell us a bit about your experience as Data Protection Commissioner of the State of Hesse: how was it to be a commissioner in the early days of data protection? How did companies, data subjects and the government react to those new data protection rules?*

One was generally regarded as a rather strange person. Computers and their use were still a mystery, possible consequences definitely more a matter of anticipation and speculation than of real experiences. Besides, the attention focused primarily on Government, all the more that private companies pretended that they would never have the means to establish huge data banks. But it was also clear, that data protection could only have a chance if it included from the very begin both state and private activities.

*3) In Latin America we been hearing a lot about the German census case and the right to -information self-determination-. Can you summarize for a Latin American audience the significance of the decision in its historical context?*

At the begin of the nineteen-eighties the German Federal Government signaled its intention to proceed to a population-wide census. It was described as an indispensable source of a broad information on all citizens to be used for a wide range of state policies. The reaction of citizens was, against the background of a growing consciousness of the implications of a computer use, nearly unanimously critical and their appeal to the Federal Constitutional Court an expression of the hope that it would still be possible to control the consequences and to restrict the Government-™s -data-hunger-. And indeed the Court explicitly stated that the citizens-™ right to know, who intends to use their data for what purposes, under what conditions and for how long is an elementary premise of any democratic system. Citizens have therefore a constitutionally granted right to -informational self-determination-. One of its principal effects is the duty of persons or institutions interested in the access to personal data to define their intended use in advance and to strictly limit the processing of the data to this particular purpose.

*4) On May 22, 2006, the German Constitutional Court (Bundesverfassungsgericht) declared illegal under the German Constitution (Grundgesetz) the preventive screening of data across multiple private and public databases in order to find potential terrorists. Can you tell us your opinion about the decision and its significance?*

The Court reacted to the growing tendency to establish a preventive screening of a mounting number of databases in order to better combat -terrorism- and other -serious crimes-. The Court reminded that the use of data must be definitely purpose-bound. But wherever prevention is regarded as an absolutely sufficient reason for processing personal data the purpose becomes more and more unclear, particularly when a term as vague and abstract as -terrorism- are used. To the extent therefore that a preventive access is to be accepted, both its scope and its conditions have to be limited and unequivocally defined, if prevention is not to become a master-key guaranteeing access to any data at all times.

*5) In your lecture in your “visit to Buenos Aires”:http://www.habeasdata.org/SpirosSimitis you provided us a history of data protection and you signaled a shift from data collection by the government to data collection by private companies. Who should we fear more today?*

In fact, the old distinction between public and private databanks has disappeared. Examples, as those of the collections established by credit-card companies, shops with the help of consumer-cards, biobanks, insurance companies or banks, illustrate that Government needs less and less to have its own databanks. A direct access to the private collections is, as illustrated by telecommunication data, perfectly sufficient. Consequently, the accent must more than ever lie on a definitely purpose-bound use and truly limitative rules of access.

*6) You were a consultant of the International Labor Office for the drafting of a regulation concerning the processing of employee personal data. Do you think generally that employee data is protected nowadays? Are there differences between the EU and the US?*

One of the most important lessons of the past years is, that a regulation of the use of personal data may start with a few general rules. But it can only achieve its aim, an efficient protection of the persons concerned, by provisions more and more concentrated on the specific processing contexts. The use of employee data is the classic example for precisely this insight. Unfortunately, we are still far from the really necessary rules. The International Labour Office Code was a first step. It has however no binding consequences. The proposed Directive of the European Commission has not yet been adopted. And on the national lever we certainly do increasingly have provisions but hey are not true regulations. Britain for instance relies upon a code of conduct controlled by the Information Commissioner. In Germany, the agreements between the Works-™ Councils and the employers play an important role. However, we still wait for a comprehensive regulation. Nevertheless, the reactions in the European Union have definitely gone further than in the United States.

*7) Let* ´s talk about genetic databanks. We know that in the coming years the storage and use of such genetic information will be routinely gathered because of medical and technological advance. What safeguards can be adopted?*

Here again we need specific rules. Genetic data have for far too long been regarded as part of the medical information. Both their importance and their impact have therefore been under-estimated. Especially the experiences in the insurance, the labor, the health policy and the security sector underscore the necessity of a regulation. Significantly enough the International Labour Organization has in the case of genetic data rejected consent as a means to legitimize their use and expressly demanded a statute. However, the content of the rules can lastly only be convincingly determined in connection with a specific context as employment, health policies or insurances.,

*8) The terrorist attack of September 11 to the U.S. has clearly affected the debate between privacy and security. How can we measure the impact?*

-Terrorism- is increasingly used as a pretext to dismantle data protection on both the national and the international level. Debates, as those on the retention of telecommunication data, the transmission of flight passenger data or the access to an equally international transmission of financial data, show day after day that barriers otherwise respected are torn down and restrictions thought to be generally accepted are ignored. As important as security is and as necessary as preventive actions are, a democratic society has to ask itself what its own premises demand and imposes, if its very structure is not to be irreparably affected.

*9) The PNR case. Did you expect the EU Court to rule on the main issue?*

Yes. Especially the European Parliament but also institutions as the Group of Experts on Data Protection of the European Commission had categorically stated the illegality of the European Commission-™s agreement with United States, an opinion shared also by the Advocate General of the Court.

*10) DRM and Privacy. Are we going towards a surveillance society in culture and entertainment users?*

I am afraid, the tendency can hardly be ignored. However, this is one more sign for the profound changes achieved in a context in which the persons concerned are not only involved but also favor if not promote developments slowly but surely destroying their chances of a truly respected privacy by a marked indifference and unwillingness to insist on their rights.

*11) We have had a huge debate in Argentina related to the data retention law. The Argentine Congress enacted a law mandating ten years on data retention but the law has been twice declared unconstitutional. Can you tell us about a bit of the new EU Data Retention Directive?*

Firstly, the controversy over the Directive is not yet terminated. Exactly as in the case of the transmission of flight-passengers-data to the United States the EC-Commission was not entitled to adopt a regulation on a matter that, as especially security issues, clearly transcends the limits of its competence. A substantial number of members of the European have as in particular their colleagues in the Federal German Parliament asked that an annulment of the Directive should be sought. Secondly, the Directive is, because of its vagueness, incompatible with the constitutional premises only recently stated anew in the afore mentioned decision of the Federal German Constitutional Court. Thirdly, though it is certainly correct that the original text of the Directive has, in particular after an intervention of the German Government, been widely corrected, important questions have still not been answered in a convincing way. Thus, it is unclear, whether the telephone companies in Britain will not be allowed to follow a suggestion of the British Government and sell the data in order to finance the retention costs.

*12) Do you think there should be a right to -forget- or a right to oblivion related to privacy, and specifically in matters of commercial data? Must society delete certain information after the passage of time?*

The duty to restrict the collection and processing of personal data to specific, clearly determined purposes implies that the information has to be deleted from the moment on the purpose has been fulfilled, an expectation asserted by the data protection laws and applicable to both the public and private sector. Data protection tolerates, in other words, by definition only a deliberately limited memory. For exactly this reason the discussion on data protection has from its earliest days on been complemented by a debate on the need and the structure of public archives. To be sure: Data protection and archives are not a contradiction but mutually completing elements of a democratic society.

*13) The German federal data protection act has been changed many times. Can you tell us what prompted these changes?*

Mainly two different issues. The last review was prompted by the 1995 European Union Directive on Data Protection. However, in this as in all other cases the lastly decisive reason was the progressive acceptance of the need to constantly review data protection laws in view of in view of the continuously accelerated development of the information and communication technology. Therefore, the Norwegian legislators had already in the nineteen-eighties fixed in the data protection law a date for the begin of a review debate. Data Protection necessitates indeed a virtually unending debate forcing to reconsider the decisions adopted and thus to reexamine the demands regarding the access and the use of personal data.

*14) Search engines and privacy. Recently many search engines were compelled to provide search queries to the U.S. government. Should anonymity be safeguarded in the internet? Should it be the standard?*

I do indeed think that especially because of the incessant commercialization of personal data in the Internet rules establishing access barriers and guaranteeing anonymity as far as possible are overdue.

*15) Prof. Simitis, we thank you for this interview.*

Pablo A. Palazzi
Foro de Habeas Data


Competencia en el habeas data en demandas contra el BCRA

Posted: septiembre 14th, 2006 | Author: | Filed under: Argentina, Casos, Reino Unido | No Comments »

*Apostillas acerca de la inclusión de particulares en las bases de datos de deudores del BCRA y la problemática respecto de su competencia.*
_Por Lucas F. Tamagno_

Comúnmente se sostiene la competencia contenciosa administrativa federal cuando el demandado sea el “BCRA”:http://www.bcra.gov.ar/, more about sin embargo y dejando de lado cualquier análisis que se pueda hacer, dosage la competencia en el caso del pedido de acceso, more about cancelación y/o rectificación a los datos requerido al Banco Central es, a nuestro entender, competencia de la Justicia Civil y Comercial Federal como a continuación se expondrá.

Nuestros tribunales le han otorgado en estos casos la competencia al fuero contencioso administrativo por entender que el “BCRA”:http://www.bcra.gov.ar/ ejerce el poder de policí­a. Sin embargo al hacer referencia al Poder de Policí­a que ejerce el Estado debemos decir que el mismo ejerce la función financiera y bancaria solo ante dos supuestos (ello en consonancia con lo sostenido por Mertheikian), al emitir moneda de curso legal forzoso en todo el ámbito de la República Argentina, y al autorizar, regular y fiscalizar el funcionamiento del sistema financiero y bancario. Es de destacar al respecto que es el propio BCRA el cual al momento de efectuar una consulta sobre la base de datos de deudores del sistema financiero informa que los datos se publican sin alteraciones de acuerdo a lo establecido por la Comunicación -B- 7074 y 8103 y agrega que su difusión no implica conformidad por parte del Banco Central.

Por esta razón nos inclinamos por sostener que el acto que realiza el BCRA lejos se encuentra de constituir un acto administrativo, toda vez la entidad no realiza proceso intelectivo alguno, se estarí­a en todo caso ante una actuación material del órgano.

Otro de los puntos que distan a la actividad del BCRA de la esfera de la competencia contencioso administrativa es la carencia de motivación suficiente, entendiendo por tal a la exteriorización en el acto de la existencia de causa y finalidad conforme lo dispone el art. 7 de la ley 19549.

En el marco de la ley nacional de procedimiento administrativo es posible concebir al acto administrativo como a una declaración emitida por un órgano estatal, o un ente público no estatal, en ejercicio de la función administrativa (en el presente caso el -poder de policí­a- sobre el sistema bancario y financiero) bajo un régimen jurí­dico exorbitante, productora de efectos jurí­dicos directos e individuales respecto de terceros. Resaltemos nuevamente que el “BCRA”:http://www.bcra.gov.ar/ no ejerce sobre los datos que recibe tratamiento alguno que implique una declaración en los términos que la misma debe recibir a la luz del Derecho Administrativo.

Otro de los elementos que se exigen para que un acto administrativo pueda ser considerado como tal es que el mismo posea un objeto y que este sea cierto y defina a su vez todas las cuestiones propuestas, el acto decisorio debe hacer expresa consideración de los principales argumentos y de las consideraciones propuestas.

Por todo ello cabe preguntarnos * ¿toda actividad de la administración implica la existencia o nacimiento de un acto administrativo?; como bien señala el autor español Garcí­a Trevijano Fos, en cuanto a la distinción que formula entre la relación orgánica y la relación de servicio ejercida por la administración, entendemos que el actuar del BCRA solo hace referencia en este orden de cosas, a una relación de servicio prestada por dicha entidad.

De esta forma fue la propia Cámara de Apelaciones del Fuero Comercial la que dispuso -debe destacarse que de acuerdo a la exposición del sub lite no se cuestionan facultades policiales o reglamentarias del Banco Central de la República Argentina (-Busaniche Iturraspe Hernán C/BCRA s/habeas data-; Expte: 27497/05, Juzgado Contencioso Administrativo Federal N* ° 10 Secretarí­a N* ° 19).

Por ello podemos decir que la competencia del Fuero Contencioso Administrativo Federal no aparece definida en virtud del órgano productor del acto, sino por la subsunción del caso al derecho administrativo (Fallos 164:188; 244:252; 295:112).

Por ello, y a modo de conclusión es dable poner de resalto que en los casos en los que se requiera la intervención del Banco Central de la República Argentina por un supuesto de inclusión en sus listados de deudores y de cheques rechazados será el juez federal civil y comercial el que resulte competente para entender en el proceso judicial a llevarse adelante.

“Lucas Tamagno”:http://www.lft.com.ar/


Texto completo del fallo

Posted: agosto 13th, 2006 | Author: | Filed under: Casos, Francia, Unión Europea | No Comments »

AVISO JURíDICO IMPORTANTE: La información que se ofrece en estas páginas está sujeta a una cláusula de exención de responsabilidad y a un aviso de Copyright

“SENTENCIA DEL TRIBUNAL DE JUSTICIA”:http://curia.europa.eu/jurisp/cgi-bin/form.pl?lang=es&lango=en&Submit=Rechercher&alldocs=alldocs&docjo=docjo&docop=docop&docor=docor&docj=docj&docrequire=&numaff=C-317/04&datefs=&datefe=&nomusuel=&domaine=&mots=&resmax=100 (Gran Sala)

de 30 de mayo de 2006 (*)

* «Protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales -“ Transporte aéreo -“ Decisión 2004/496/CE -“ Acuerdo entre la Comunidad Europea y los Estados Unidos de América -“ Registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos de América -“ Directiva 95/46/CE -“ Artí­culo 25 -“ Estados terceros -“ Decisión 2004/535/CE -“ Nivel de protección adecuado* »

En los asuntos acumulados C-‘317/04 y C-‘318/04, this site

que tienen por objeto sendos recursos de anulación interpuestos, con arreglo al artí­culo 230 CE, el 27 de julio de 2004,

Parlamento Europeo, representado por los Sres. R. Passos, N. Lorenz, H. Duintjer Tebbens y A. Caiola, en calidad de agentes, que designa domicilio en Luxemburgo,

parte demandante,

apoyado por

Supervisor Europeo de Protección de Datos (SEPD), representado por el Sr. H. Hijmans y la Sra. V. Perez Asinari, en calidad de agentes,

parte coadyuvante,

contra

Consejo de la Unión Europea, representado por la Sra. M.C. Giorgi Fort y el Sr. M. Bishop, en calidad de agentes,

parte demandada en el asunto C-‘317/04,

apoyado por

Comisión de las Comunidades Europeas, representada por los Sres. P.J. Kuijper, A. van Solinge y C. Docksey, en calidad de agentes, que designa domicilio en Luxemburgo,

Reino Unido de Gran Bretaña e Irlanda del Norte, representado por el Sr. M. Bethell y las Sras. C. White y T. Harris, en calidad de agentes, asistidos por el Sr. T. Ward, Barrister, que designa domicilio en Luxemburgo,

partes coadyuvantes,

y contra

Comisión de las Comunidades Europeas, representada por los Sres. P.J. Kuijper, A. van Solinge, C. Docksey y F. Benyon, en calidad de agentes, que designa domicilio en Luxemburgo,

parte demandada en el asunto C-‘318/04,

apoyada por

Reino Unido de Gran Bretaña e Irlanda del Norte, representado por el Sr. M. Bethell y las Sras. C. White y T. Harris, en calidad de agentes, asistidos por el Sr. T. Ward, Barrister, que designa domicilio en Luxemburgo,

parte coadyuvante,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, los Sres. P. Jann, C.W.A. Timmermans, A. Rosas y J. Malenovskí½, Presidentes de Sala, y la Sra. N. Colneric (Ponente), los Sres. S. von Bahr y J.N. Cunha Rodrigues, la Sra. R. Silva de Lapuerta y los Sres. G. Arestis, A. Borg Barthet, M. IleÅ¡ič y J. Klučka, Jueces;

Abogado General: Sr. P. Léger;

Secretaria: Sra. M. Ferreira, administradora principal;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 18 de octubre de 2005;

oí­das las conclusiones del Abogado General, presentadas en audiencia pública el 22 de noviembre de 2005;

dicta la siguiente

Sentencia

1 Mediante su recurso interpuesto en el asunto C-‘317/04, el Parlamento Europeo solicita que se anule la Decisión 2004/496/CE del Consejo, de 17 de mayo de 2004, relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañí­as aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos (DO L 183, p. 83, y corrección de errores en DO 2005, L 255, p. 168).

2 Mediante su recurso interpuesto en el asunto C-‘318/04, el Parlamento solicita que se anule la Decisión 2004/535/CE de la Comisión, de 14 de mayo de 2004, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos (DO L 235, p. 11; en lo sucesivo, * «Decisión sobre el carácter adecuado de la protección* »).

Marco jurí­dico

3 El artí­culo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (en lo sucesivo, * «CEDH* »), estipula:

* «1 Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.

2 No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del paí­s, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.* »

4 El artí­culo 95 CE, apartado 1, segunda frase, tiene el siguiente tenor:

* «El Consejo, con arreglo al procedimiento previsto en el artí­culo 251 y previa consulta al Comité Económico y Social, adoptará las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior.* »

5 La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), en su versión modificada por el Reglamento (CE) nº 1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, sobre la adaptación a la Decisión 1999/468/CE del Consejo de las disposiciones relativas a los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución previstas en los actos sujetos al procedimiento establecido en el artí­culo 251 del Tratado CE (DO L 284, p. 1) (en lo sucesivo, * «Directiva* »), se adoptó sobre la base del artí­culo 100 A del Tratado CE (actualmente artí­culo 95 CE, tras su modificación).

6 Su undécimo considerando expone que * «los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplí­an los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales* ».

7 A tenor del decimotercer considerando de la Directiva:

* «las actividades a que se refieren los tí­tulos V y VI del Tratado de la Unión Europea relativos a la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en el ámbito penal no están comprendidas en el ámbito de aplicación del Derecho comunitario, sin perjuicio de las obligaciones que incumben a los Estados miembros con arreglo al apartado 2 del artí­culo 56 y a los artí­culos 57 y 100 A del Tratado [-¦]* ».

8 El quincuagésimo séptimo considerando de la Directiva manifiesta:

* «cuando un paí­s tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales* ».

9 El artí­culo 2 de la Directiva dispone:

* «A efectos de la presente Directiva, se entenderá por:

a) -datos personales-: toda información sobre una persona fí­sica identificada o identificable (el -interesado-); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos especí­ficos, caracterí­sticos de su identidad fí­sica, fisiológica, psí­quica, económica, cultural o social;

b) -tratamiento de datos personales- (-tratamiento-): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así­ como su bloqueo, supresión o destrucción;

[-¦]* »

10 A tenor del artí­culo 3 de la Directiva:

* «ímbito de aplicación

1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así­ como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

-“ efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los tí­tulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

[-¦]* »

11 El artí­culo 6, apartado 1, de la Directiva prevé:

* «Los Estados miembros dispondrán que los datos personales sean:

[-¦]

b) recogidos con fines determinados, explí­citos y legí­timos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadí­sticos o cientí­ficos, siempre y cuando los Estados miembros establezcan las garantí­as oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

[-¦]

e) conservados en una forma que permita la identificación de los interesados durante un perí­odo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. [-¦]* »

12 El artí­culo 7 de la Directiva establece:

* «Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

[-¦]

c) es necesario para el cumplimiento de una obligación jurí­dica a la que esté sujeto el responsable del tratamiento,

[-¦]

o

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos,

o

f) es necesario para la satisfacción del interés legí­timo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artí­culo 1 de la presente Directiva.* »

13 A tenor del artí­culo 8, apartado 5, párrafo primero, de la Directiva:

* «El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantí­as especí­ficas en el Derecho nacional, sin perjuicio de las excepciones que podrá establecer el Estado miembro basándose en disposiciones nacionales que prevean garantí­as apropiadas y especí­ficas. Sin embargo, sólo podrá llevarse un registro completo de condenas penales bajo el control de los poderes públicos.* »

14 El artí­culo 12 de la Directiva dispone:

* «Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:

-“ la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así­ como información por lo menos de los fines de dichos tratamientos, las categorí­as de datos a que se refieran y los destinatarios o las categorí­as de destinatarios a quienes se comuniquen dichos datos;

-“ la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así­ como toda la información disponible sobre el origen de los datos;

-“ el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas a que se refiere el apartado 1 del artí­culo 15;

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

c) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.* »

15 El artí­culo 13, apartado 1, de la Directiva tiene el siguiente tenor:

* «Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artí­culo 6, en el artí­culo 10, en el apartado 1 del artí­culo 11, y en los artí­culos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontologí­a en las profesiones reglamentadas;

e) un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g) la protección del interesado o de los derechos y libertades de otras personas.* »

16 El artí­culo 22 de la Directiva prevé:

* «Recursos

Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artí­culo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.* »

17 Los artí­culos 25 y 26 de la Directiva forman el capí­tulo IV de ésta, relativo a la transferencia de datos personales a paí­ses terceros.

18 El artí­culo 25 de la Directiva, titulado * «Principios* », establece:

* «1. Los Estados miembros dispondrán que la transferencia a un paí­s tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el paí­s tercero de que se trate garantice un nivel de protección adecuado.

2. El carácter adecuado del nivel de protección que ofrece un paí­s tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categorí­a de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el paí­s de origen y el paí­s de destino final, las normas de Derecho, generales o sectoriales, vigentes en el paí­s tercero de que se trate, así­ como las normas profesionales y las medidas de seguridad en vigor en dichos paí­ses.

3. Los Estados miembros y la Comisión se informarán recí­procamente de los casos en que consideren que un tercer paí­s no garantiza un nivel de protección adecuado con arreglo al apartado 2.

4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artí­culo 31, que un tercer paí­s no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artí­culo, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer paí­s de que se trate.

5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

6. La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artí­culo 31, que un paí­s tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artí­culo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.* »

19 A tenor del artí­culo 26, apartado 1, de la Directiva, titulado * «Excepciones* »:

* «No obstante lo dispuesto en el artí­culo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un paí­s tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artí­culo 25, siempre y cuando:

a) el interesado haya dado su consentimiento inequí­vocamente a la transferencia prevista,

o

b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado,

o

c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero,

o

d) la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial,

o

e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado,

o

f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legí­timo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta.* »

20 Sobre la base de la Directiva y, en concreto, de su artí­culo 25, apartado 6, la Comisión de las Comunidades Europeas adoptó la Decisión sobre el carácter adecuado de la protección.

21 El undécimo considerando de esta Decisión expone:

* «El tratamiento por parte del CBP [United States Bureau of Customs and Border Protection (Servicio de aduanas y protección de fronteras de Estados Unidos)] de los datos personales que contienen los PNR [-Passenger Name Records- (registros de nombres de los pasajeros)] de pasajeros de vuelos que se transfieren a dicho Servicio está regido por las condiciones establecidas en los Compromisos del Servicio de aduanas y protección de fronteras (CBP) del Departamento de Seguridad Interior, de 11 de mayo de 2004 (denominados en lo sucesivo, -los Compromisos-) así­ como en la legislación nacional estadounidense en las condiciones que se establecen en dichos Compromisos.* »

22 En virtud del decimoquinto considerando de dicha Decisión, los datos de los PNR deben utilizarse únicamente para los fines de prevención y lucha contra el terrorismo y delitos conexos, otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional y la fuga en caso de orden de arresto o detención por estos delitos.

23 A tenor de los artí­culos 1 a 4 de la Decisión sobre el carácter adecuado de la protección:

* «Artí­culo 1

A efectos del apartado 2 del artí­culo 25 de la Directiva 95/46/CE, se considera que el Servicio de aduanas y protección de fronteras de los Estados Unidos (Bureau of Customs and Border Protection; en lo sucesivo, -el CBP-) ofrece un nivel adecuado de protección de los datos de PNR que se transfieren desde la Comunidad relativos a vuelos con destino u origen en los Estados Unidos, con arreglo a los Compromisos que figuran en el anexo.

Artí­culo 2

La presente Decisión se refiere a la adecuación de la protección ofrecida por el CBP con arreglo a los requisitos del apartado 1 del artí­culo 25 de la Directiva 95/46/CE y no afectará a otras condiciones o restricciones que se impongan en aplicación de otras normas de la Directiva relativas al tratamiento de los datos personales en los Estados miembros.

Artí­culo 3

1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artí­culo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia el CBP, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que:

a) la autoridad competente de los Estados Unidos compruebe que el CBP ha vulnerado las normas de protección aplicables, o

b) existan grandes probabilidades de que se estén vulnerando las normas de protección expuestas en el anexo, existan razones para creer que el CBP no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión, se considere que la continuación de la transferencia podrí­a crear un riesgo inminente de grave perjuicio a los afectados, y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo al CBP y proporcionarle la oportunidad de alegar.

2. La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y ello se haya notificado a las autoridades competentes de los Estados miembros afectados.

Artí­culo 4

1. Los Estados miembros informarán inmediatamente a la Comisión de la adopción de medidas basadas en el artí­culo 3.

2. Los Estados miembros y la Comisión se informarán recí­procamente de cualquier cambio en las normas de protección y de aquellos casos en que la actuación de los organismos responsables del cumplimiento por parte del CBP de las normas de protección que figuran en el anexo no garantice dicho cumplimiento.

3. Si la información recogida con arreglo al artí­culo 3 y a los apartados 1 y 2 del presente artí­culo demuestra que los principios básicos necesarios para un nivel adecuado de protección de las personas fí­sicas no están siendo respetados, o que los organismos responsables del cumplimiento por parte del CBP de las normas de protección que figuran en el anexo no están ejerciendo su función, se lo notificará al CBP y, si procede, será de aplicación el procedimiento previsto en el apartado 2 del artí­culo 31 de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión.* »

24 Los * «Compromisos del Departamento de seguridad interior -“ Servicio de aduanas y protección de fronteras (CBP)* », adjuntos a la Decisión sobre el carácter adecuado de la protección, manifiestan:

* «Con objeto de apoyar el proyecto de la Comisión Europea [-¦] para ejercer las facultades que le son asignadas en virtud del apartado 6 del artí­culo 25 de la Directiva 95/46/CE [-¦] y adoptar una decisión por la que se reconozca que el [CBP] proporciona una protección adecuada a efectos de la transmisión por parte de las compañí­as aéreas de los datos [de los PNR], que pueden estar sometidos a la jurisdicción de la Directiva, el CBP se compromete a lo siguiente [-¦]* ».

25 Dichos compromisos contienen cuarenta y ocho puntos, que se dividen en los siguientes conceptos: * «Fundamento jurí­dico del derecho de obtención del PNR* »; * «Uso de los datos del PNR por parte del CBP* »; * «Requisitos relativos a los datos* »; * «Tratamiento de datos -sensibles-* »; * «Métodos de acceso a la información del PNR* »; * «Almacenamiento de información del PNR* »; * «Seguridad del sistema informático del CBP* »; * «Tratamiento y Protección de la información del PNR por parte del CBP* »; * «Transmisión de información del PNR a otras administraciones públicas* »; * «Comunicación, acceso y posibilidades de reparación para las personas afectadas por el PNR* »; * «Sobre el cumplimiento* »; * «Reciprocidad* »; * «Examen y expiración de los Compromisos* » y * «No creación de Derecho privado o de precedentes* ».

26 Entre los citados Compromisos figuran, en particular, los siguientes:

* «1) Con arreglo a la ley [tí­tulo 49, United States Code (Código de los Estados Unidos), sección 44909(c)(3)] y sus reglamentos (provisionales) de ejecución [tí­tulo 19, Code of Federal Regulations (Código de disposiciones federales), sección 122.49b], cada compañí­a aérea que se ocupe de vuelos internacionales de pasajeros con destino o en procedencia de los Estados Unidos deberá facilitar al CBP (anteriormente denominado servicio americano de aduanas) un acceso electrónico a los datos del PNR en la medida en que se recopilan y se almacenan en los sistemas automatizados de reserva/control de salidas (-sistemas de reserva-).

[-¦]

3) El CBP utiliza los datos del PNR estrictamente para impedir y luchar: 1) contra el terrorismo y delitos conexos; 2) contra otros delitos graves, incluida la delincuencia organizada, que sean, por naturaleza, transnacionales; y 3) contra la fuga en caso de orden de arresto o detención por los delitos antes señalados. La utilización de la información del PNR a estos efectos permitirá al CBP centrar sus recursos en preocupaciones de alto riesgo, con lo que se facilitan y se protegen los viajes de pasajeros de buena fe.

4) Los datos que solicita el CBP aparecen en el anexo A. [-¦]

[-¦]

27) El CBP decidirá, en relación con cualquier tramitación administrativa o judicial derivada de una solicitud de información del PNR obtenida por compañí­as aéreas, en el marco de la ley sobre libertad de información, que dichos registros no se pueden divulgar de conformidad con dicha ley.

[-¦]

29) El CBP, dentro de sus competencias, sólo facilitará la información del PNR a otras administraciones públicas, incluidas las administraciones públicas extranjeras, encargadas de luchar contra el terrorismo o de hacer aplicar la ley, caso por caso, con objeto de impedir o luchar contra el terrorismo u otros graves delitos contemplados en el punto 3 del presente documento. (Las administraciones con las que el CBP puede compartir dicha información se denominarán a partir de ahora -autoridades designadas-).

30) El CBP ejercerá juiciosamente su capacidad de transferir información del PNR para los fines indicados. Este organismo determinará en primer lugar si el motivo de divulgación de la información del PNR a otra autoridad designada se ajusta a la finalidad indicada (véase el anterior punto 29). En tal caso, el CBP determinará si la autoridad designada es responsable de investigar o perseguir las violaciones de un estatuto o reglamento relacionado con este fin, o de exigir su cumplimiento o aplicarlo, cuando a alguno de estos organismos le conste que se ha producido una violación o que ésta puede ocurrir. La justificación de la divulgación deberá examinarse a la luz de todas las circunstancias presentes.

[-¦]

35) Ninguna declaración del presente documento impedirá el uso o divulgación de información del PNR en cualquier causa judicial penal o si existe una obligación jurí­dica. El CBP avisará a la Comisión Europea en caso de adopción de cualquier legislación estadounidense que afecte sustancialmente a las declaraciones efectuadas en el presente documento.

[-¦]

46) Los presentes Compromisos se aplicarán durante un perí­odo de tres años y seis meses (3,5 años) a partir de la entrada en vigor del acuerdo entre los Estados Unidos y la Comunidad Europea por el que se autorice el tratamiento de datos de los PNR por las compañí­as aéreas y su transmisión al CBP, de conformidad con la Directiva. [-¦]

47) Los presentes Compromisos no crean ni confieren ningún derecho o beneficio a ninguna persona o parte, privada o pública.

[-¦]* »

27 El anexo * «A* » de los Compromisos contiene los * «datos de los PNR* » solicitados por el CBP a las compañí­as aéreas. Se incluyen entre dichos datos, en particular, el * «código de identificación del registro PNR* », la fecha de reserva, el nombre, la dirección, las modalidades de pago, los teléfonos de contacto, la agencia de viajes, la situación de viaje (* «travel status* ») del pasajero, la dirección electrónica, observaciones generales, el número de asiento, la indicación de que no se dispone de información acerca del pasajero, así­ como toda la información del sistema de información avanzada sobre pasajeros (* «Advanced Passenger Information System* », APIS) que se haya obtenido.

28 El Consejo adoptó la Decisión 2004/496 sobre la base del artí­culo 95 CE en relación con el artí­culo 300 CE, apartado 2, párrafo primero, primera frase.

29 A tenor de los tres considerandos de esta Decisión:

* «1) El 23 de febrero de 2004 el Consejo autorizó a la Comisión a negociar, en nombre de la Comunidad, un Acuerdo con los Estados Unidos sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañí­as aéreas al Departamento de seguridad interior, Oficina de aduanas y protección de fronteras, de los Estados Unidos;

2) El Parlamento Europeo no ha emitido aún un dictamen dentro del plazo establecido, con arreglo al primer párrafo del apartado 3 del artí­culo 300 del Tratado, por el Consejo en vista de la urgente necesidad de poner remedio a la situación de incertidumbre en la que se encontraron aerolí­neas y pasajeros, así­ como de la protección de los intereses financieros de las personas interesadas;

3) Se debe aprobar el presente Acuerdo.* »

30 El artí­culo 1 de la Decisión 2004/496 establece:

* «Queda aprobado, en nombre de la Comunidad, el Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañí­as aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos.

El texto del Acuerdo se adjunta a la presente Decisión.* »

31 Dicho Acuerdo (en lo sucesivo, * «Acuerdo* ») tiene el siguiente tenor:

* «La Comunidad Europea y los Estados Unidos de América,

Reconociendo la importancia de respetar los derechos y libertades fundamentales, en particular la intimidad, y la importancia de respetar estos valores al tiempo que se previene y combate el terrorismo y los delitos relacionados con el terrorismo y otros delitos graves de carácter transnacional, incluido el crimen organizado;

Teniendo en cuenta las normas y reglamentaciones de los Estados Unidos que requieren que las compañí­as aéreas que efectúen vuelos de pasajeros en lí­neas de transporte aéreo con punto de origen o de destino en los Estados Unidos proporcionen [a la CBP del] Departamento de seguridad nacional (en lo sucesivo, -DHS-) [-¦] acceso electrónico a los datos del [PNR] en la medida en que se recojan y estén incluidos en los sistemas informatizados de control de reservas/salidas de las compañí­as aéreas;

Teniendo en cuenta la Directiva 95/46/CE [-¦] y en particular la letra c) de su artí­culo 7;

Teniendo en cuenta los Compromisos de la CBP emitidos el 11 de mayo de 2004, que se publicarán en el Registro Federal (en lo sucesivo, -los Compromisos-);

Teniendo en cuenta la Decisión 2004/535/CE de la Comisión, adoptada el 14 de mayo de 2004, en virtud del apartado 6 del artí­culo 25 de la Directiva 95/46/CE, por la que se considera que la CBP ofrece un nivel adecuado de protección de los datos de los expedientes de los pasajeros transferidos desde la Comunidad Europea (en lo sucesivo, -la Comunidad-) y relativos a vuelos con origen o destino en Estados Unidos, de conformidad con los Compromisos, adjuntos a la misma (en lo sucesivo, -la Decisión-);

Señalando que las compañí­as aéreas con sistemas de control de reservas/salidas situados en el territorio de los Estados miembros de la Comunidad Europea deberán organizar la transmisión de los datos de los expedientes de los pasajeros a la CBP tan pronto como esta operación sea técnicamente factible, pero que, hasta entonces, las autoridades de los Estados Unidos deberán estar autorizadas a acceder directamente a los datos, de conformidad con las disposiciones del presente Acuerdo;

[-¦]

Han convenido en lo siguiente:

1. La CBP podrá acceder de forma electrónica a los datos de los expedientes de los pasajeros procedentes de los sistemas de control de reservas/salidas de las compañí­as aéreas (-sistemas de reserva-) situados en el territorio de los Estados miembros de la Comunidad Europea, respetando estrictamente las disposiciones de la Decisión y mientras la Decisión sea aplicable, y sólo hasta que se haya establecido un sistema satisfactorio para la transmisión de esos datos por las compañí­as aéreas.

[La versión inglesa tiene el siguiente tenor: -CBP may electronically access the PNR data from air carriers' reservation/departure control systems (-˜reservation systems-™) located within the territory of the Member States of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.-]

2. Las compañí­as aéreas que efectúan vuelos de pasajeros en lí­neas de transporte aéreo con el extranjero con punto de origen o de destino en los Estados Unidos tratarán los datos de los expedientes de los pasajeros incluidos en sus sistemas informatizados de reserva de conformidad con lo requerido por la CBP en virtud con la legislación de los Estados Unidos y respetando estrictamente las disposiciones de la Decisión y mientras la Decisión sea aplicable.

3. La CBP toma nota de la Decisión y declara que está aplicando los Compromisos adjuntos a la misma.

4. La CBP tratará los datos recibidos de los expedientes de los pasajeros y a los titulares de esos datos afectados por el tratamiento de los mismos de conformidad con la legislación y los requisitos constitucionales de los Estados Unidos, sin discriminación contraria a la ley, en particular por razón de la nacionalidad y el paí­s de residencia.

[-¦]

7. El presente Acuerdo entrará en vigor en el momento de su firma. Cualquiera de las Partes podrá denunciar el presente Acuerdo en todo momento mediante notificación a través de los canales diplomáticos. La denuncia surtirá efecto noventa (90) dí­as después de la fecha de denuncia a la otra Parte. El presente Acuerdo podrá ser modificado en todo momento mediante consentimiento recí­proco por escrito.

8. El presente Acuerdo no tiene por objeto derogar o modificar la legislación de las Partes ni crear o conferir derechos o beneficios a ninguna otra persona o entidad, privada o pública.* »

32 Según la Información del Consejo sobre su fecha de entrada en vigor (DO 2004, C 158, p. 1), el Acuerdo, que fue firmado en Washington el 28 de mayo de 2004 por un representante de la Presidencia en ejercicio del Consejo y por el Secretario de seguridad interior de los Estados Unidos de América, entró en vigor en la fecha de su firma, con arreglo a su punto 7.

Antecedentes de los litigios

33 A raí­z de los atentados terroristas del 11 de septiembre de 2001, los Estados Unidos adoptaron en noviembre del mismo año una normativa en virtud de la cual las compañí­as aéreas que operen en rutas con destino u origen en Estados Unidos o que atraviesen su territorio están obligadas a facilitar a las autoridades aduaneras estadounidenses un acceso electrónico a los datos contenidos en sus sistemas automatizados de reserva y de control de salidas, designados con los términos * «Passenger Name Records* » (en lo sucesivo, * «datos de los PNR* »). La Comisión, si bien reconocí­a la legitimidad de los intereses de seguridad que estaban en juego, informó en junio de 2002 a las autoridades estadounidenses de que estas disposiciones podí­an ser contrarias a la normativa comunitaria y de los Estados miembros en materia de protección de datos y a determinadas disposiciones del Reglamento (CEE) nº 2299/89 del Consejo, de 24 de julio de 1989, por el que se establece un código de conducta para los sistemas informatizados de reserva (DO L 220, p. 1), en su versión modificada por el Reglamento (CE) nº 323/1999 del Consejo, de 8 de febrero de 1999 (DO L 40, p. 1). Las autoridades estadounidenses aplazaron la entrada en vigor de las nuevas disposiciones pero finalmente no renunciaron a imponer sanciones a las compañí­as aéreas que no se atuvieran a la normativa relativa al acceso electrónico a los datos de los PNR después del 5 de marzo de 2003. Desde entonces, varias de las grandes compañí­as aéreas de la Unión Europea han proporcionado a las citadas autoridades el acceso a los datos de sus PNR.

34 La Comisión inició negociaciones con las autoridades estadounidenses que dieron lugar a un documento que contení­a compromisos (* «undertakings* ») contraí­dos por el CPB con el fin de que la Comisión adoptase en virtud del artí­culo 25, apartado 6, de la Directiva una decisión que declarase que el nivel de protección era adecuado.

35 El 13 de junio de 2003, el Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artí­culo 26 de la Directiva, emitió un dictamen en el que expresaba dudas acerca del nivel de protección de los datos que garantizaban los citados compromisos respecto a los tratamientos previstos. Reiteró sus dudas en otro dictamen de 29 de enero de 2004.

36 El 1 de marzo de 2004, la Comisión sometió a la consideración del Parlamento el proyecto de decisión sobre el carácter adecuado de la protección sobre la base del artí­culo 25, apartado 6, de la Directiva, que llevaba adjunto el proyecto de compromisos del CBP.

37 El 17 de marzo de 2004, la Comisión remitió al Parlamento, con el fin de consultarle con arreglo al artí­culo 300 CE, apartado 3, párrafo primero, una propuesta de decisión del Consejo relativa a la celebración de un acuerdo con Estados Unidos. Mediante escrito de 25 de marzo de 2004, el Consejo invocó el procedimiento de urgencia y pidió al Parlamento que emitiera su dictamen sobre dicha propuesta a más tardar el 22 de abril de 2004. En este escrito, el Consejo destacó que * «la lucha contra el terrorismo, que justifica las medidas propuestas, constituye una prioridad esencial de la Unión Europea, [que] en la actualidad las compañí­as aéreas y los pasajeros se encuentran en una situación de incertidumbre que es preciso remediar con urgencia [y que], además, es fundamental proteger los intereses financieros de las partes afectadas* ».

38 El 31 de marzo de 2004, con arreglo al artí­culo 8 de la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión (DO L 184, p. 23), el Parlamento adoptó una resolución en la que hací­a constar diversas reservas de carácter jurí­dico sobre la propuesta que se habí­a sometido a su consideración. En esta resolución estimó, en particular, que el proyecto de decisión sobre el carácter adecuado de la protección sobrepasaba las competencias atribuidas a la Comisión por el artí­culo 25 de la Directiva. Propuso que se celebrase un acuerdo internacional adecuado que respetara los derechos fundamentales en relación con determinados aspectos indicados en dicha resolución y solicitó a la Comisión que le remitiese un nuevo proyecto de decisión. Además, se reservó el derecho a pedir al Tribunal de Justicia que comprobase la legalidad del acuerdo internacional proyectado y, en particular, su compatibilidad con la protección del derecho a la intimidad.

39 El 21 de abril de 2004, el Parlamento, a instancia de su Presidente, adoptó una recomendación de la Comisión jurí­dica y del mercado interior con el fin de que, conforme al artí­culo 300 CE, apartado 6, se solicitase el dictamen del Tribunal de Justicia sobre la compatibilidad del acuerdo proyectado con las disposiciones del Tratado. Este procedimiento se inició en la misma fecha.

40 El mismo dí­a, el Parlamento decidió asimismo atribuir a una comisión la tarea de elaborar el informe sobre la propuesta de decisión del Consejo, desestimando así­ de manera implí­cita, en aquella fase, la solicitud de que dicha propuesta se examinase mediante el procedimiento de urgencia presentada por el Consejo el 25 de marzo.

41 El 28 de abril siguiente, el Consejo remitió al Parlamento, sobre la base del artí­culo 300 CE, apartado 3, párrafo primero, un escrito en el que le pedí­a que emitiese antes del 5 de mayo de 2004 su dictamen sobre la propuesta de decisión relativa a la celebración del Acuerdo. Para justificar la urgencia de esta solicitud, reiteraba la motivación expuesta en su escrito de 25 de marzo de 2004.

42 Como tení­a conocimiento de que seguí­an sin estar disponibles todas las versiones lingí¼í­sticas de la propuesta de decisión del Consejo, el 4 de mayo de 2004, el Parlamento desestimó la solicitud de que examinase esta propuesta con urgencia, formulada por el Consejo el 28 de abril.

43 El 14 de mayo siguiente, la Comisión adoptó la Decisión sobre el carácter adecuado de la protección, que es objeto del asunto C-‘318/04. El 17 de mayo de 2004, el Consejo adoptó la Decisión 2004/496, que es objeto del asunto C-‘317/04.

44 Mediante escrito de 4 de junio de 2004, la Presidencia en ejercicio del Consejo informó al Parlamento de que la Decisión 2004/496 tení­a en cuenta no sólo la lucha contra el terrorismo -“prioritaria para la Unión-“, sino también la necesidad de hacer frente a una situación de inseguridad jurí­dica para las compañí­as aéreas, así­ como sus intereses financieros.

45 Mediante escrito de 9 de julio de 2004, el Parlamento informó al Tribunal de Justicia de que retiraba su solicitud de dictamen registrada con el nº 1/04.

46 En el asunto C-‘317/04, mediante sendos autos del Presidente del Tribunal de Justicia de 18 de noviembre de 2004 y 18 de enero de 2005, se admitió la intervención de la Comisión y del Reino Unido de Gran Bretaña e Irlanda del Norte en apoyo de las pretensiones del Consejo.

47 En el asunto C-‘318/04, mediante auto del Presidente de este Tribunal de 17 de diciembre de 2004, se admitió la intervención del Reino Unido en apoyo de las pretensiones de la Comisión.

48 Mediante sendos autos del Tribunal de Justicia de 17 de marzo de 2005, se admitió la intervención del Supervisor Europeo de Protección de Datos en ambos litigios en apoyo de las pretensiones del Parlamento.

49 Habida cuenta de la conexión existente entre dichos asuntos, que se confirmó en la fase oral del procedimiento, procede acumularlos a efectos de la sentencia, de conformidad con el artí­culo 43 del Reglamento de Procedimiento.

Sobre el recurso del asunto C-‘318/04

50 El Parlamento invoca cuatro motivos de anulación, basados respectivamente en la violación del principio de legalidad, de los principios básicos de la Directiva, de los derechos fundamentales y del principio de proporcionalidad.

Sobre la primera parte del primer motivo, basada en la infracción del artí­culo 3, apartado 2, primer guión, de la Directiva

Alegaciones de las partes

51 El Parlamento sostiene que la Decisión de la Comisión se adoptó ultra vires dado que no se respetó lo dispuesto en la Directiva y que infringí­a en particular el artí­culo 3, apartado 2, primer guión, de ésta, según el cual quedan excluidas las actividades no comprendidas en el ámbito de aplicación del Derecho comunitario.

52 A su juicio, es indudable que el tratamiento de los datos de los PNR después de su transferencia a la autoridad estadounidense a que se refiere la Decisión sobre el carácter adecuado de la protección es y será realizado para el ejercicio de actividades propias del Estado en el sentido del apartado 43 de la sentencia de 6 de noviembre de 2003, Lindqvist (C-‘101/01, Rec. p. I-‘12971).

53 La Comisión, apoyada por el Reino Unido, estima que las actividades de las compañí­as aéreas están claramente incluidas en el ámbito de aplicación del Derecho comunitario. Alega que estos operadores privados tratan los datos de los PNR dentro de la Comunidad y organizan su transferencia a un Estado tercero. Por tanto, se trata de actividades propias de los particulares y no de actividades del Estado miembro en el que operen las compañí­as de que se trate o de sus poderes públicos, tal como las definió el Tribunal de Justicia en el apartado 43 de la sentencia Lindqvist, antes citada. Según la Comisión, el objetivo que persiguen las compañí­as aéreas con el tratamiento de los datos de los PNR es simplemente respetar las exigencias del Derecho comunitario, incluida la obligación recogida en el punto 2 del Acuerdo. El artí­culo 3, apartado 2, de la Directiva se refiere a las actividades de autoridades públicas que no están comprendidas en el ámbito de aplicación del Derecho comunitario.

Apreciación del Tribunal de Justicia

54 El artí­culo 3, apartado 2, primer guión, de la Directiva excluye de su ámbito de aplicación el tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los tí­tulos V y VI del Tratado de la Unión Europea, y, en cualquier caso, el tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en materia penal.

55 La Decisión sobre el carácter adecuado de la protección sólo hace referencia a los datos de los PNR que se transfieren al CBP. Del sexto considerando de esta Decisión resulta que la exigencia de que se transfieran dichos datos se basa en una ley promulgada por Estados Unidos en noviembre de 2001 y en los reglamentos de aplicación aprobados por el CBP con arreglo a la mencionada ley. Según el séptimo considerando de la citada Decisión, la legislación estadounidense en cuestión se refiere a la intensificación de la seguridad y de las condiciones en las que se permite la entrada y salida del paí­s. A tenor del octavo considerando, la Comunidad está plenamente comprometida con el respaldo a Estados Unidos en la lucha contra el terrorismo, dentro de los lí­mites fijados por el Derecho comunitario. El decimoquinto considerando de la misma Decisión expone que los datos de los PNR se utilizarán únicamente para los fines de prevención y lucha contra el terrorismo y delitos conexos, otros delitos graves, incluida la delincuencia organizada, que tengan un carácter transnacional y la fuga en caso de orden de arresto o detención por estos delitos.

56 En consecuencia, la transferencia de los datos de los PNR al CBP constituye un tratamiento que tiene por objeto la seguridad pública y las actividades del Estado en materia penal.

57 Si bien es correcto considerar que los datos de los PNR son inicialmente recogidos por las compañí­as aéreas en el marco de una actividad comprendida en el ámbito de aplicación del Derecho comunitario, a saber, la venta de un billete de avión que da derecho a una prestación de servicios, sin embargo, el tratamiento de datos contemplado en la Decisión sobre el carácter adecuado de la protección tiene una naturaleza bien distinta. En efecto, como se ha recordado en el apartado 55 de la presente sentencia, el tratamiento de datos a que se refiere esta Decisión no es necesario para la realización de una prestación de servicios, sino que se considera necesario para salvaguardar la seguridad pública y para fines represivos.

58 En el apartado 43 de la sentencia Lindqvist, antes citada, que ha sido invocada por la Comisión en su defensa, el Tribunal de Justicia declaró que las actividades que se mencionan como ejemplos en el artí­culo 3, apartado 2, primer guión, de la Directiva son, en todos los casos, actividades propias del Estado o de las autoridades estatales y ajenas a la esfera de actividades de los particulares. No obstante, de ello no se desprende que, debido al hecho de que los datos de los PNR sean recogidos por operadores privados con fines mercantiles y de que sean éstos quienes organizan su transferencia a un Estado tercero, dicha transferencia no esté incluida en el ámbito de aplicación de la citada disposición. En efecto, esta transferencia se inserta en un marco creado por los poderes públicos y cuyo objetivo es proteger la seguridad pública.

59 De las anteriores consideraciones resulta que la Decisión sobre el carácter adecuado de la protección se refiere a un tratamiento de datos personales en el sentido del artí­culo 3, apartado 2, primer guión, de la Directiva. Por tanto, dicha Decisión no está comprendida en el ámbito de aplicación de ésta.

60 En consecuencia, la primera parte del primer motivo, basada en la infracción del artí­culo 3, apartado 2, primer guión, de la Directiva, es fundada.

61 Por consiguiente, sin que sea necesario examinar las demás partes del primer motivo ni los demás motivos invocados por el Parlamento, procede anular la Decisión sobre el carácter adecuado de la protección.

Sobre el recurso del asunto C-‘317/04

62 El Parlamento invoca seis motivos de anulación, basados respectivamente en la elección errónea del artí­culo 95 CE como base jurí­dica de la Decisión 2004/496, en la infracción del artí­culo 300 CE, apartado 3, párrafo segundo, y del artí­culo 8 del CEDH y en la violación del principio de proporcionalidad, de la exigencia de motivación y del principio de cooperación leal.

Sobre el primer motivo, basado en la elección errónea del artí­culo 95 CE como base jurí­dica de la Decisión 2004/496

Alegaciones de las partes

63 El Parlamento alega que el artí­culo 95 CE no constituye una base jurí­dica adecuada para la adopción de la Decisión 2004/496. Afirma que esta Decisión no tiene por objeto y contenido el establecimiento y el funcionamiento del mercado interior, contribuyendo a la eliminación de obstáculos a la libre prestación de servicios, y no contiene disposiciones que persigan la consecución de este objetivo. En efecto, su finalidad consiste en legalizar el tratamiento de datos personales impuesto por la legislación de Estados Unidos. Además, el artí­culo 95 CE no puede constituir la base de la competencia de la Comunidad para celebrar el Acuerdo, dado que éste se refiere a tratamientos de datos que no están comprendidos en el ámbito de aplicación de la Directiva.

64 El Consejo sostiene que la Directiva, que se adoptó válidamente sobre la base del artí­culo 100 A del Tratado, contiene en su artí­culo 25 disposiciones que prevén la posibilidad de transferir datos personales a un Estado tercero que garantice un nivel de protección adecuado, así­ como la posibilidad de iniciar, en caso de que sea necesario, negociaciones para la celebración de un acuerdo entre la Comunidad y ese paí­s. El Acuerdo se refiere a la libre circulación de los datos de los PNR entre la Comunidad y Estados Unidos en condiciones que respetan las libertades y los derechos fundamentales de las personas, en especial el derecho a la intimidad. Tiene por objeto suprimir cualquier distorsión de la competencia entre las compañí­as aéreas de los Estados miembros y entre éstas y las compañí­as de los Estados terceros que pueda derivarse de las exigencias impuestas por Estados Unidos por razones relativas a la protección de los derechos y libertades de las personas. A juicio del Consejo, las condiciones de competencia entre las compañí­as de los Estados miembros que prestan un servicio de transporte internacional de pasajeros con destino u origen en Estados Unidos podí­an resultar distorsionadas por el hecho de que sólo algunas de ellas habí­an concedido a las autoridades estadounidenses un acceso a sus bases de datos. El Acuerdo persigue imponer a todas las compañí­as afectadas obligaciones armonizadas.

65 La Comisión destaca que existe un * «conflicto de leyes* » en el sentido del Derecho internacional público entre las leyes estadounidenses y la normativa comunitaria y que es necesario conciliarlas. Reprocha al Parlamento, que niega que el artí­culo 95 CE pueda constituir la base jurí­dica de la Decisión 2004/96, que no haya propuesto una base jurí­dica adecuada. Según la Comisión, el citado artí­culo constituye * «la base jurí­dica natural* » de esta Decisión, ya que el Acuerdo se refiere a la dimensión externa de la protección de datos personales en su transferencia dentro de la Comunidad. Los artí­culos 25 y 26 de la Directiva establecen una competencia externa exclusiva en favor de la Comunidad.

66 La Comisión alega asimismo que el tratamiento inicial de estos datos por parte de las compañí­as aéreas se realiza con fines mercantiles. La utilización que hacen de estos datos las autoridades estadounidenses no tiene como consecuencia que queden fuera de la incidencia de la Directiva.

Apreciación del Tribunal de Justicia

67 El artí­culo 95 CE en relación con el artí­culo 25 de la Directiva no puede constituir la base de la competencia de la Comunidad para celebrar el Acuerdo.

68 En efecto, el Acuerdo se refiere a la misma transferencia de datos que la Decisión sobre el carácter adecuado de la protección y, por tanto, a tratamientos de datos que, como ya se ha expuesto anteriormente, no están comprendidos en el ámbito de aplicación de la Directiva.

69 Por consiguiente, la Decisión 2004/496 no pudo adoptarse válidamente sobre la base del artí­culo 95 CE.

70 En consecuencia, sin que sea necesario examinar los demás motivos invocados por el Parlamento, debe anularse esta Decisión.

Sobre la limitación de los efectos de la sentencia

71 Del punto 7 del Acuerdo resulta que cualquiera de las partes puede denunciarlo en todo momento y que éste dejará de aplicarse noventa dí­as después de la fecha de notificación de la denuncia a la otra parte.

72 No obstante, con arreglo a los puntos 1 y 2 del Acuerdo, el derecho del CBP a acceder a los datos de los PNR y la obligación que se impone a las compañí­as aéreas de tratarlos como solicita el CBP sólo existen mientras sea aplicable la Decisión sobre el carácter adecuado de la protección. En el punto 3 de dicho Acuerdo, el CBP declaró que estaba aplicando los Compromisos adjuntos a la citada Decisión.

73 Teniendo en cuenta, por una parte, que la Comunidad no puede invocar su propio Derecho como justificación del incumplimiento del Acuerdo, que sigue siendo aplicable durante el plazo de noventa dí­as a partir de su denuncia, y, por otra, la estrecha relación existente entre el Acuerdo y la Decisión sobre el carácter adecuado de la protección, resulta justificado, por razones de seguridad jurí­dica y con el fin de proteger a las personas afectadas, mantener los efectos de dicha Decisión durante el citado perí­odo. Además, es necesario considerar el plazo que requiere la adopción de las medidas necesarias para la ejecución de la presente sentencia.

74 Por tanto, procede mantener los efectos de la Decisión sobre el carácter adecuado de la protección hasta el 30 de septiembre de 2006, si bien no se mantendrán más allá de la fecha de extinción del Acuerdo.

Costas

75 A tenor del artí­culo 69, apartado 2, del Reglamento de Procedimiento, la parte que pierda el proceso será condenada en costas, si así­ lo hubiera solicitado la otra parte. Dado que el Parlamento ha solicitado que se condene al Consejo y a la Comisión y que han sido desestimados los motivos formulados por éstos, procede condenarlos en costas. Con arreglo al apartado 4, párrafo primero, del mismo artí­culo, las partes coadyuvantes en los presentes litigios cargarán con sus propias costas.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) decide:

1) Anular la Decisión 2004/496/CE del Consejo, de 17 de mayo de 2004, relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañí­as aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos, y la Decisión 2004/535/CE de la Comisión, de 14 de mayo de 2004, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos.

2) Mantener los efectos de la Decisión 2004/535 hasta el 30 de septiembre de 2006, si bien no se mantendrán más allá de la fecha de extinción del citado Acuerdo.

3) Condenar en costas al Consejo de la Unión Europea en el asunto C-‘317/04.

4) Condenar en costas a la Comisión de las Comunidades Europeas en el asunto C-‘318/04.

5) La Comisión de las Comunidades Europeas cargará con sus propias costas en el asunto C-‘317/04.

6) El Reino Unido de Gran Bretaña e Irlanda del Norte y el Supervisor Europeo de Protección de Datos cargarán con sus propias costas.

Firmas


TEDH – Segerstedt-Wiberg and Others v. Sweden

Posted: julio 6th, 2006 | Author: | Filed under: Acceso a la Información pública, DDHH, Europa, Público en general, Seguridad, TEDH, Unión Europea | Tags: | Comentarios desactivados

EUROPEAN COURT OF HUMAN RIGHTS
6.6.2006
Press release issued by the Registrar
CHAMBER JUDGMENT
SEGERSTEDT-WIBERG AND OTHERS v. SWEDEN

The European Court of Human Rights has today notified in writing its Chamber judgment1 in the case of Segerstedt-Wiberg and Others v. Sweden (application no. 62332/00).

Concerning four of the applicants (Per Nygren, symptoms Staffan Ehnebom, physiotherapist Bengt Frejd and Herman Schmid), visit this site the Court held unanimously that there had been:

* · a violation of Article 8 (right to respect for private and family life) of the European Convention on Human Rights;

* · a violation of Article 10 (freedom of expression) of the Convention; and

* · a violation of Article 11 (freedom of assembly and association).

Concerning all five applicants (including Ingrid Segerstedt-Wiberg), the Court held unanimously that there had been:

* · a violation of Article 13 (right to an effective remedy).

Read the rest of this entry »


Analisis adecuación de ley Argentina a Directiva Europea

Posted: junio 27th, 2006 | Author: | Filed under: Documento, Unión Europea | No Comments »

Unión Europea. Grupo de Trabajo del art. 29 de Protección de las Personas en lo que respecta al Tratamiento de Datos Personales. Dictamen 4/2002 sobre el nivel de protección de datos personales en Argentina.

Adoptado el 3 de octubre de 2002.

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sickness de 24 de octubre de 1995, relativa a la protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) , y, en particular, su artí­culo 29 y la letra b del apartado 1 de su artí­culo 30,

Visto su Reglamento interno (2), y, en particular, sus artí­culos 12 y 14,

Considerando lo siguiente:

(1) El Gobierno de la República Argentina solicitó (3) a la Comisión que determinara si Argentina garantiza un nivel de protección adecuado con arreglo a lo dispuesto en el artí­culo 25 de la Directiva.

(2) La Comisión Europea solicitó el dictamen del Grupo de Trabajo al respecto.

HA ADOPTADO EL PRESENTE DICTAMEN:

1. INTRODUCCION: LEGISLACION ARGENTINA SOBRE PROTECCION DE DATOS

La legislación argentina regula la protección de datos personales mediante diversos instrumentos jurí­dicos, que pueden clasificarse en normas generales y sectoriales.

1.1. Normas generales

Las normas generales resultan de combinar la Constitución, la “Ley 25.326 sobre protección de datos personales”:http://www.habeasdata.org/ley25326 y el “Decreto Reglamentario nº 1558/2001″:http://www.habeasdata.org/reglamentacion que, juntos, conforman el régimen jurí­dico común aplicable a la protección de datos personales.

Constitución argentina

La Constitución argentina prevé un recurso judicial especial, denominado * «habeas data* », para proteger los datos personales. Se trata de un subtipo del procedimiento contemplado en la Constitución para proteger los derechos constitucionales y, por tanto, eleva la protección de datos personales a la categorí­a de derecho fundamental. En particular, el tercer párrafo del artí­culo 43 de la Constitución argentina establece que * «toda persona podrá interponer esta acción (es decir, el habeas data) para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodí­stica* ».

La jurisprudencia argentina ha reconocido el habeas data como un derecho fundamental y directamente aplicable.

Ley sobre protección de datos personales, de 4 de octubre de 2000 (Ley 25 326, en adelante denominada * «la Ley* »)

La Ley desarrolla y amplí­a lo dispuesto en la Constitución. Contiene disposiciones sobre los principios generales de protección de datos, los derechos de los titulares de datos, las obligaciones de responsables y usuarios de datos, el órgano de control, las sanciones y el procedimiento del recurso judicial habeas data.

Decreto Reglamentario nº 1558/2001, de 3 de diciembre de 2001 (en adelante denominado * «el Reglamento* »)

Este Reglamento establece las normas de aplicación de la Ley, completa lo dispuesto en ella y clarifica aspectos de la Ley que podrí­an interpretarse de manera divergente.

Estos tres instrumentos jurí­dicos constituyen las normas generales de la legislación argentina en materia de protección de datos (en adelante, * «la legislación argentina* »).

ímbito de aplicación de la legislación argentina

El Grupo de Trabajo evaluó la adecuación del nivel de protección de datos personales proporcionado en conjunto por la Constitución argentina, la Ley 25 326 y el Decreto Reglamentario nº 1588/2001. Por tanto, el presente dictamen se limita al ámbito de las citadas normas y no es aplicable a situaciones no cubiertas por dichos instrumentos jurí­dicos. El Grupo de Trabajo ha tenido especialmente en cuenta las explicaciones y garantí­as proporcionadas por las autoridades argentinas sobre la forma en que debe interpretarse lo dispuesto en la Constitución, la Ley y el Reglamento y sobre las situaciones a las que se aplica la legislación argentina de protección de datos.

ímbito de aplicación material

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales la legislación argentina de protección de datos cubre las situaciones siguientes:

i. En relación al responsable de la base de datos

La legislación argentina cubre la protección de:

1) Los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos públicos. El Grupo de Trabajo interpreta que el responsable de la base de datos es una institución u organismo público. Dicha interpretación se deduce claramente del artí­culo 43 de la Constitución y del artí­culo 1 de la Ley;

2) Los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos privados

a) si los archivos, registros o bancos de datos exceden el uso exclusivamente personal. El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales todo uso que pueda afectar a los derechos del titular de los datos debe considerarse que excede el uso exclusivamente personal;

o

b) incluso si los archivos, registros o bancos de datos no exceden el uso exclusivamente personal, si tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a tí­tulo oneroso o gratuito.

El Grupo de Trabajo interpreta que a) y b) se refieren a situaciones en las que el responsable de la base de datos es una entidad privada, sea persona fí­sica o jurí­dica.

En cuanto a los archivos de datos privados, el Grupo de Trabajo observa que tanto el tercer párrafo del artí­culo 43 de la Constitución como el artí­culo 1 de la Ley se refieren a * «archivos, registros, bancos de datos u otros medios técnicos privados, destinados a dar informes* ». La misma redacción aparece en otras disposiciones de la citada Ley, como los artí­culos 14 (derecho de acceso), 21 (obligación de inscribirse en el Registro), 29 (atribuciones del órgano de control), 33 y 35 (requisitos del recurso judicial habeas data) y 46 (disposiciones transitorias). No obstante, la interpretación amplia antes indicada se desprende de varios argumentos expuestos por las autoridades argentinas:

-El artí­culo 1 del Reglamento proporciona una interpretación jurí­dica de la Ley. En particular, define jurí­dicamente el concepto de * «archivos, registros, bases o bancos de datos privados destinados a dar informes* » como * «aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a tí­tulo oneroso o gratuito* ».

-El artí­culo 24 de la Ley dispone que * «los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artí­culo 21* ». El artí­culo 21 de la Ley obliga a inscribir en el Registro las bases de datos privadas destinadas a proporcionar informes. El artí­culo 24 no tendrí­a sentido si la Ley sólo se aplicara a las bases de datos destinadas a proporcionar informes. Estos dos artí­culos confirman el paralelismo de las expresiones * «bases de datos destinadas a proporcionar informes* » y * «bases de datos [-¦] que no sean para un uso exclusivamente personal* », como establece la definición jurí­dica del artí­culo 1 del Reglamento (véase el primer argumento citado anteriormente).

-Por otra parte, cabe mencionar que tanto la Ley como el Reglamento contienen normas sobre tratamiento de datos relativos a la salud (artí­culo 8 de la Ley) o publicidad directa (artí­culos 27 de la Ley y el Reglamento), según las cuales dichas bases de datos, aunque exceden el uso exclusivamente personal, no pueden estar destinadas a proporcionar informes. Una vez más, estas normas serí­an superfluas si la Ley sólo fuera aplicable a las bases de datos destinadas a proporcionar informes.

Según las autoridades argentinas, los tribunales de dicho paí­s han seguido la interpretación amplia mencionada anteriormente (4).

ii. En relación al titular de los datos.

En relación con el tratamiento de datos personales, la legislación argentina protege tanto a las personas fí­sicas como a las personas jurí­dicas. El artí­culo 2 de la Ley define * «titular de los datos* » como * «toda persona fí­sica o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el paí­s, cuyos datos sean objeto del tratamiento al que se refiere la presente ley* », y el artí­culo 1 de la Ley establece que * «las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal* ». El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales el requisito de disponer de domicilio legal, delegaciones o sucursales en Argentina sólo es aplicable a las personas jurí­dicas titulares de datos y no a las personas fí­sicas. Por tanto, todas las personas fí­sicas son titulares de datos y están protegidas por la legislación argentina.

iii. En relación al método de tratamiento

La legislación argentina abarca la protección de datos personales tanto si su tratamiento es manual como automático. En particular, el artí­culo 2 de la Ley define * «tratamiento de datos* » como * «operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así­ como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias* ».

iv. En relación a la finalidad de las operaciones de tratamiento

El Grupo de Trabajo observa que la legislación argentina tiene al respecto un ámbito de aplicación general. Ya que ninguna norma define la finalidad de las bases de datos sujetas a la legislación, el Grupo de Trabajo interpreta que ésta se aplica en principio a todos los archivos, registros y bancos de datos sea cual sea su finalidad, salvo si se dispone lo contrario. Sin embargo, el Grupo de Trabajo señala los siguientes aspectos:

-“ Tratamiento de datos con fines de defensa nacional, seguridad pública o represión de delitos.

Estas operaciones están sujetas a la Ley. En dichos supuestos se aplican las normas generales de la Ley y el Reglamento, sin perjuicio de lo dispuesto expresamente en el artí­culo 23 de la Ley como lex specialis, que confirma el principio de limitación de la finalidad.

-“ Tratamiento de datos con fines periodí­sticos.

El párrafo 3 del artí­culo 43 de la Constitución dispone que * «no podrá afectarse el secreto de las fuentes de información periodí­stica* ». En la misma lí­nea, el artí­culo 1 de la Ley afirma que * «en ningún caso se podrán afectar la base de datos ni las fuentes de información periodí­sticas* ».

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales esta norma tiene como objetivo proteger el secreto de las fuentes de información periodí­stica como condición necesaria para salvaguardar el derecho fundamental de libertad de prensa, que constituye un pilar importante de un Estado democrático. En este sentido, debe protegerse la identidad de la fuente de información periodí­stica, por ejemplo, contra un titular de datos que solicitara acceder a sus datos personales, ya que podrí­an contener información sobre la fuente de los mismos (según el artí­culo 14 del Reglamento). Por otra parte, la rectificación de datos incorrectos publicados por los medios de comunicación debe seguir las normas del derecho a obtener rectificación asociado a la libertad de prensa.

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales dicha excepción debe aplicarse de manera restrictiva y no es aplicable a las bases de datos personales sin finalidad periodí­stica aunque su responsable ejerza una actividad periodí­stica (por ejemplo, a la base de datos de recursos humanos de un periódico).

-“ Tratamiento de datos con finalidad estadí­stica

El artí­culo 28 de la Ley dispone lo siguiente:

* «1. Las normas de la presente ley no se aplicarán a las encuestas de opinión, mediciones y estadí­sticas relevadas conforme a Ley 17.622, trabajos de prospección de mercados, investigaciones cientí­ficas o médicas y actividades análogas, en la medida en que los datos recogidos no puedan atribuirse a una persona determinada o determinable.

2. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna* ».

El Grupo de Trabajo señala que no se trata tanto de una excepción al ámbito general de la legislación como de la aplicación del principio de protección de los datos personales, definidos en el artí­culo 2 de la Ley como * «información de cualquier tipo referida a personas fí­sicas o de existencia ideal determinadas o determinables* ». Por tanto, el Grupo de Trabajo interpreta que, cuando los titulares de datos son personas fí­sicas o jurí­dicas determinadas o determinables, la legislación es aplicable plenamente y que ello justifica lo dispuesto en el artí­culo 28 del Reglamento que afirma que * «los archivos, registros, bases o bancos de datos mencionados en el Art. 28 de la Ley n* ° 25.326 son responsables y pasibles de las multas previstas en el Art. 31 de la ley citada cuando infrinjan sus disposiciones* ».

ímbito territorial

Este aspecto se regula en el artí­culo 44 de la Ley, según el cual puede establecerse la distinción siguiente:

I. Normas de la Ley aplicables uniformemente en todo el territorio nacional:

-Capí­tulo I: Disposiciones generales

-Capí­tulo II: Principios generales relativos a la protección de datos

-Capí­tulo III: Derechos de los titulares de datos

-Capí­tulo IV: (Obligaciones de los) usuarios y responsables de archivos, registros y bancos de datos

-Artí­culo 32: Sanciones penales

-La existencia y caracterí­sticas principales del recurso judicial habeas data (tal como se establece en la Constitución)

II. Normas de la Ley no aplicables uniformemente en todo el territorio nacional:

-Capí­tulo V: Órgano de control

-Capí­tulo VI: Sanciones (que puede imponer el órgano de control)

-Capí­tulo VII: Acción de protección de los datos personales (habeas data): Procedimiento aplicable

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales en este ámbito son aplicables las normas siguientes:

-“ En cuanto a los archivos, registros y bases de datos interconectados en red a nivel interjurisdiccional (es decir, interprovincial), nacional o internacional: Se considera que estos casos competen a la jurisdicción federal y, por tanto, están sujetos a lo dispuesto en la Ley.

-“ En cuanto a otros tipos archivos, registros y bases de datos: Debe considerarse que dichos casos competen a la jurisdicción provincial y las provincias pueden legislar al respecto. Hasta la fecha, algunas provincias han legislado sobre el procedimiento del recurso habeas data.

1.2. Normas sectoriales

Se incluyen normas sobre protección de datos en diferentes instrumentos jurí­dicos que regulan diversos sectores, como por ejemplo las transacciones con tarjeta de crédito, las estadí­sticas, la banca o la salud.

2. EVALUACIÓN DEL CARíCTER APROPIADO DE LA PROTECCIÓN DE LOS DATOS PERSONALES EN LA LEGISLACIÓN ARGENTINA

El Grupo de Trabajo puntualiza que la presente evaluación del carácter apropiado de la legislación argentina sobre protección de datos se centra en las normas generales relativas a dicho ámbito mencionadas en el apartado precedente.

Se han comparado dichas normas con las disposiciones principales de la Directiva, teniendo en cuenta el dictamen del Grupo de Trabajo sobre * «Transferencias de datos personales a terceros paí­ses: aplicación de los artí­culos 25 y 26 de la Directiva sobre protección de datos de la UE* » (5) , que enumera diversos principios que constituyen * «un -núcleo- de principios de -contenido- de protección de datos y de requisitos -de procedimiento/de aplicación-, cuyo cumplimiento pudiera considerarse un requisito mí­nimo para juzgar adecuada la protección* ». El resultado del análisis es el siguiente:

2.1. Principios de contenido

Principios básicos

-Principio de limitación de objetivos – los datos deben tratarse con un objetivo especí­fico y posteriormente utilizarse o transferirse únicamente en cuanto ello no sea incompatible con el objetivo de la transferencia. Las únicas excepciones a esta norma serí­an las necesarias en una sociedad democrática por alguna de las razones contempladas en el artí­culo 13 de la Directiva.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el apartado 3 del artí­culo 4 de la Ley establece que * «los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención* ».

-Principio de proporcionalidad y de calidad de los datos – los datos deben ser exactos y, cuando sea necesario, estar actualizados. Los datos deben ser adecuados, pertinentes y no excesivos con relación al objetivo para el que se transfieren o para el que se tratan posteriormente.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, los apartados 4 y 5 del artí­culo 4 de la Ley establece que * «los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el art. 16 de la presente ley* ». Asimismo, el apartado 1 del artí­culo 4 de la Ley dispone que * «los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido* ».

-Principio de transparencia – debe informarse a los interesados acerca del objetivo del tratamiento y de la identidad del responsable del tratamiento en el tercer paí­s, y de cualquier otro elemento necesario para garantizar un trato leal. Las únicas excepciones permitidas deben corresponder al apartado 2 del artí­culo 11 y al artí­culo 13 de la Directiva.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 6 de la Ley establece lo siguiente:

* «Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara:

a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.

b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo de que se trate, y la identidad y domicilio de su responsable.

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artí­culo siguiente.

d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos.

e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos* ».

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales debe distinguirse entre la fuente de legitimidad del tratamiento y la obligación de informar al titular de los datos.

Por una parte, el tratamiento puede estar basado en diversos motivos lí­citos, que están especificados en el artí­culo 5. Estos motivos incluyen, entre otros, el consentimiento del titular de los datos, la existencia de una fuente de acceso público, el ejercicio de tareas de interés público, una obligación legal o una relación contractual. Del artí­culo 5 del Reglamento se desprende que si el tratamiento se realiza con el consentimiento del titular, dicho consentimiento debe ser informado, lo que implica que previamente debe haberse facilitado al titular toda la información mencionada en el artí­culo 6.

Por otra parte, el artí­culo 6 de la Ley establece que * «cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara (sigue una relación de cuestiones relativas al tratamiento)* ». Aunque la redacción de dicho artí­culo podrí­a hacer pensar que la obligación de informar al titular de los datos se refiere a los casos en los que el titular facilita los datos por sí­ mismo y con su consentimiento, las autoridades argentinas señalan que dicha obligación es absoluta, incondicional y no depende del motivo que legitima el tratamiento. La obligación de informar es aplicable siempre, independientemente de si los datos personales se solicitan al titular o a un tercero y de si el tratamiento se realiza en virtud del consentimiento del titular o de cualquier otro motivo lí­cito incluido en el artí­culo 5 de la Ley. Por tanto, aunque el tratamiento se realice sin el consentimiento del titular, sigue siendo aplicable la obligación de informarle con arreglo al artí­culo 6 de la Ley.

-Principio de seguridad – el responsable del tratamiento debe adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento. Toda persona que actúe bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, no debe tratar los datos salvo por instrucción del responsable del tratamiento.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 9 de la Ley establece lo siguiente:

* « 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad* ».

-Derechos de acceso, rectificación y oposición – el interesado debe tener derecho a obtener una copia de todos los datos a él relativos, y derecho a rectificar aquellos datos que resulten ser inexactos. En determinadas situaciones, el interesado también debe poder oponerse al tratamiento de los datos a él relativos. Las únicas excepciones a estos derechos deben estar en lí­nea con el artí­culo 13 de la Directiva.

En lo relativo al derecho de acceso, el Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el apartado 1 del artí­culo 14 de la Ley establece que * «el titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos o privados, destinados a proveer informes* ». Este principio se desarrolla en los restantes apartados del artí­culo 14 y en el artí­culo 15 de la Ley, así­ como en los artí­culos 14 y 15 del Reglamento.

En cuanto al derecho de rectificación y oposición, el Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el apartado 1 del artí­culo 16 de la Ley establece que * «toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos* ». Este principio se desarrolla en los restantes apartados del artí­culo 16 de la Ley y en el artí­culo 16 del Reglamento.

Las excepciones a estos derechos, descritas en el artí­culo 17 de la Ley, permiten restricciones sólo para los bancos de datos públicos y por un número limitado de motivos importantes como la defensa nacional, el orden y la seguridad públicos, la protección de los derechos e intereses de terceros y cuando dicha información pudiera obstaculizar actuaciones judiciales o administrativas en curso vinculadas con el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. El Grupo de Trabajo considera que dichas excepciones se ajustan a lo dispuesto en el artí­culo 13 de la Directiva.

-Restricciones respecto a transferencias sucesivas a otros terceros paí­ses – únicamente deben permitirse transferencias sucesivas de datos personales del paí­s de destino a otro tercer paí­s en el caso de que este último paí­s garantice asimismo un nivel de protección adecuado. Las únicas excepciones permitidas deben estar en lí­nea con el apartado 1 del artí­culo 26 de la Directiva.

El Grupo de Trabajo entiende que la legislación argentina se ajusta en gran medida a este principio. En particular, el apartado 1 del artí­culo 12 establece que * «es prohibida la transferencia de datos personales de cualquier tipo con paí­ses u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuado* ».

El apartado 2 del artí­culo 12 de la Ley incluye excepciones a dicho principio en los casos siguientes:

* «a) Colaboración judicial internacional.

b) Intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento delafectado, o una investigación epidemiológica, en tanto se realice en los términos del inc. e) del artí­culo anterior.

c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.

d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte.

e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico* ».

El artí­culo 12 del Reglamento añade a la lista de excepciones el consentimiento expreso a la transferencia por parte del titular de los datos y la transferencia desde un registro público en las mismas condiciones que la consulta, en la lí­nea establecida por la letra f) del apartado 1 del artí­culo 26 de la Directiva.

El Grupo de Trabajo considera que estas excepciones son más amplias que las previstas en la Directiva, especialmente que las enunciadas en las letras b), c) y d) del apartado 1 del artí­culo 12. El Grupo de Trabajo lamenta este hecho, preferirí­a que se limitaran dichas excepciones e invita al Gobierno argentino a trabajar en este sentido.

-Principios adicionales aplicables a tipos especí­ficos de tratamiento son:

-Datos sensibles – cuando se trate de categorí­as de datos * «sensibles* » (las incluidas en el artí­culo 8 de la Directiva), deberán establecerse protecciones adicionales, tales como la exigencia de que el interesado otorgue su consentimiento explí­cito para el tratamiento.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 2 de la Ley define * «datos sensibles* » como * «datos personales que revelan origen racial y étnico, opiniones polí­ticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual* ». El artí­culo 7 de la Ley prevé protecciones adicionales para su tratamiento:

* «1. Ninguna persona puede ser obligada a proporcionar datos sensibles.

2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadí­sticas o cientí­ficas cuando no puedan ser identificados sus titulares.

3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones polí­ticas y sindicales podrán llevar un registro de sus miembros.

4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas* ».

Asimismo, el artí­culo 8 de la Ley establece que * «los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud fí­sica o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional* ».

-Márketing directo – en el caso de que el objetivo de la transferencia de datos sea el márketing directo, el interesado deberá tener en cualquier momento la posibilidad de negarse a que sus datos sean utilizados con dicho propósito.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 27 de la Ley establece lo siguiente:

* «1. En la recopilación de domicilios, reparto de documentos, publicidad o venta directa, y otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

2. En los supuestos contemplados en el presente artí­culo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno.

3. El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se refiere el presente artí­culo* ».

-Decisión individual automatizada – cuando el objetivo de la transferencia sea la adopción de una decisión automatizada en el sentido del artí­culo 15 de la Directiva, el interesado deberá tener derecho a conocer la lógica aplicada a dicha decisión, y deberán adoptarse otras medidas para proteger el interés legí­timo de la persona.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio en lo relativo a las operaciones de tratamiento realizadas por el sector público, dado que tales decisiones automatizadas están prohibidas. En particular, el artí­culo 20 de la Ley establece lo siguiente:

* «1. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas no podrán tener como único fundamento el resultado del tratamiento informatizado de datos personales que suministren una definición del perfil o personalidad del interesado.

2. Los actos que resulten contrarios a la disposición precedente serán insanablemente nulos* ».

En cuanto al sector privado, el Grupo de Trabajo observa que la legislación argentina no hace referencia a este aspecto. Sin embargo, el Grupo de Trabajo recuerda que una resolución de conformidad debe tener en cuenta todas las circunstancias que rodean a la transferencia de datos personales, y el nivel de riesgo que la transferencia plantea al titular de los datos es un elemento importante dentro de dichas * «circunstancias* ». La legislación argentina prevé garantí­as para el titular en la prestación de servicios de información crediticia, que es un sector destacado en lo relativo a las decisiones individuales automatizadas. Dichas garantí­as, descritas en el artí­culo 26 de la Ley y del Reglamento, limitan las categorí­as de datos que pueden procesarse, la fuente de los datos y el perí­odo de tiempo al que pueden hacer referencia. Por tanto, el Grupo de Trabajo considera que la ausencia de una disposición general sobre decisiones individuales automatizadas para el sector privado no debe representar un obstáculo para una resolución de conformidad.

2.2. Mecanismos del procedimiento/de aplicación

El dictamen de 1998 del Grupo de Trabajo señala que para evaluar el carácter adecuado del sistema jurí­dico de terceros paí­ses, es necesario distinguir los objetivos subyacentes de un sistema normativo de protección de datos, y sobre esta base juzgar la variedad de diferentes mecanismos de procedimiento judiciales y no judiciales utilizados en terceros paí­ses.

Los objetivos de un sistema de protección de datos son básicamente tres:

-“ ofrecer un nivel satisfactorio de cumplimiento de las normas,

-“ ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos,

-“ ofrecer ví­as adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas.

-Ofrecer un nivel satisfactorio de cumplimiento de las normas – Un buen sistema se caracteriza, en general, por el hecho de que los responsables del tratamiento conocen muy bien sus obligaciones y los interesados conocen muy bien sus derechos y medios para ejercerlos. La existencia de sanciones efectivas y disuasorias es importante a la hora de garantizar la observancia de las normas, al igual que lo son, como es natural, los sistemas de verificación directa por las autoridades, los auditores o los servicios de la administración encargados especí­ficamente de la protección de datos.

El Grupo de Trabajo entiende que la legislación argentina ha establecido diversos elementos encaminados a cumplir dicho objetivo. En particular:

(a) Sanciones efectivas y disuasorias

La legislación argentina establece sanciones de diversos tipos y grados, en función de la gravedad de la infracción cometida por los responsables o usuarios de las bases de datos. Pueden identificarse dos categorí­as de sanciones:

i. Sanciones administrativas

Estas sanciones están reguladas en el artí­culo 31 de la Ley y el Reglamento y pueden consistir en apercibimiento, suspensión, multa de mil pesos ($ 1 000) a cien mil pesos ($ 100 000), clausura o cancelación del archivo, registro o banco de datos. Dichas sanciones podrán ser impuestas por el organismo de control y deberán graduarse atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceros y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora.

Asimismo, los responsables o usuarios de bancos de datos públicos pueden incurrir en responsabilidades administrativas en virtud de las normas generales de servicio público.

ii. Sanciones penales

El Código Penal argentino considera que tratar a sabiendas datos falsos o violar la confidencialidad o seguridad de los datos son infracciones penales. El Código prevé penas de prisión de 3 a 6 años (o de 4 años y medio a 9 años cuando del hecho se derive perjuicio a alguna persona) y la inhabilitación para desempeñar cargos públicos en el caso de los funcionarios.

El Grupo de Trabajo entiende que dichas sanciones son efectivas y disuasorias, y que pueden inducir de forma satisfactoria a desistir de tratar ilegalmente datos personales.

(b) El órgano de control de protección de datos

La legislación argentina prevé la creación de un órgano de control de protección de datos. Con arreglo al artí­culo 29 de la Ley, el órgano de control deberá realizar todas las acciones necesarias para cumplir los objetivos y demás disposiciones de la Ley. A tal efecto, el órgano de control ejercerá diversas funciones, entre las que se incluyen funciones de asistencia y asesoramiento, la adopción de normas y reglamentaciones en el desarrollo de la Ley, el mantenimiento de un censo de bases de datos y el control de la observancia de la legislación por parte de las bases de datos. El órgano de control goza de diversas atribuciones, como solicitar autorización judicial para acceder a locales o equipos de tratamiento de datos, solicitar información a las entidades públicas y privadas, imponer sanciones administrativas, constituirse en querellante en acciones penales y controlar el cumplimiento de los requisitos y garantí­as para inscribir bancos de datos privados en el Registro.

En virtud del artí­culo 29 del Reglamento, se creó la Dirección Nacional de Protección de Datos Personales (DNPDP), en el ámbito del Ministerio de Justicia y Derechos Humanos, como órgano de control. El Director ejercerá sus funciones con plena independencia, sin estar sujeto a instrucciones. Sus decisiones pueden recurrirse ante los tribunales con arreglo a las normas generales de procedimientos administrativos.

Sin embargo, el Grupo de Trabajo resalta que el Director del órgano de control de protección de datos es designado y puede ser destituido por el Ministerio de Justicia y Derechos Humanos, que también decide sobre el personal de dicho organismo, integrado en la estructura del Ministerio de Justicia. El Grupo de Trabajo considera que tal situación no garantiza que el organismo pueda actuar con plena independencia y, por tanto, insta a implementar los elementos necesarios a tal efecto, incluí­do un cambio en el procedimiento para designar y destituir al Director del organismo.

Con arreglo al artí­culo 44 de la Ley, el Grupo de Trabajo entiende que la DNPDP puede considerarse * «jurisdicción federal* » y que, por tanto, será responsable de controlar los registros, archivos o bancos de datos interconectados en redes de alcance interjurisdiccional, nacional o internacional. En otros casos, dichos registros, archivos o bancos de datos estarán bajo jurisdicción provincial y, por tanto, fuera de la jurisdicción de la DNPNP. El Grupo de Trabajo invita a crear órganos de control de protección de datos en todas las provincias, ya que es importante para garantizar que en todos los casos exista un sistema de verificación directo por parte de la administración y un mecanismo institucional que permita investigar las denuncias de manera independiente de la ví­a judicial.

A la vista de estas consideraciones, el Grupo de Trabajo entiende que la legislación argentina incluye los elementos necesarios para ofrecer un buen nivel de cumplimiento de las normas.

-Ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos -“ El interesado debe tener la posibilidad de hacer valer sus derechos con rapidez y eficacia, y sin costes excesivos. Para ello es necesario que haya algún tipo de mecanismo institucional que permita investigar las denuncias de forma independiente.

El grupo de Trabajo observa que la legislación argentina ha establecido diversos elementos encaminados a cumplir este objetivo. En particular:

(a) El recurso judicial habeas data

Como se ha mencionado anteriormente, la Constitución argentina prevé un recurso judicial especial para proteger los datos personales, conocido como * «habeas data* ». Se trata de un subtipo del procedimiento contemplado en la Constitución para proteger los derechos constitucionales y, por tanto, eleva la protección de datos personales a la categorí­a de derecho fundamental. En particular, el tercer párrafo del artí­culo 43 de la Constitución argentina establece que * «toda persona podrá interponer esta acción (es decir, el habeas data) para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodí­stica* ».

Las normas legislativas que promulgan dicho recurso constitucional están incluí­das en los artí­culos 33 a 43 de la Ley. El habeas data está concebido como un recurso judicial simplificado y rápido que los titulares de datos pueden utilizar contra los responsables o usuarios de bases de datos. El Gobierno argentino ha aclarado que, de acuerdo con lo comentado en relación al ámbito de la protección de datos en la legislación argentina, este recurso puede utilizarse contra los responsables o usuarios de cualquier base de datos pública o privada (y no sólo de bases de datos privadas destinadas a dar informes), si exceden el uso exclusivamente personal. Dicho aspecto ha sido confirmado por sentencias judiciales en este sentido.

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales la Ley amplí­a el ámbito de lo dispuesto en la Constitución, al permitir utilizar dicho recurso en los casos en que se presuma el tratamiento de datos personales cuyo registro está prohibido por la Ley. Esto significa que cualquier infracción de las normas de protección de datos puede permitir utilizar el habeas data.

Asimismo, el Grupo de Trabajo observa que, en caso de alegar una excepción al derecho de acceso, rectificación o supresión, la carga de la prueba recae sobre el responsable o usuario de los datos.

El recurso habeas data permite que una sentencia judicial obligue a suprimir, rectificar, actualizar o declarar confidenciales los datos. El Grupo de Trabajo destaca que la sentencia judicial debe comunicarse al órgano de control, y que ello puede permitir que la DNPDP, en el ámbito de sus competencias, haga aplicar las normas de protección de datos con respecto a otros titulares de datos afectados que pueden no haber tomado parte en el procedimiento inicial de habeas data.

(b) Recursos judiciales generales

Además del habeas data, las normas generales de la legislación argentina permiten hacer valer ante los tribunales con arreglo a los procedimientos generales los derechos y obligaciones relativos a la protección de datos. En particular, el titular de los datos puede incoar un proceso judicial ante un tribunal civil para obtener una compensación por los daños sufridos o para hacer cumplir cualquiera de los derechos reconocidos por la Ley o el Reglamento. Asimismo, pueden incoarse acciones penales por delitos relacionados con el tratamiento de datos personales incluí­dos en el Código Penal.

A la vista de estas consideraciones, el Grupo de Trabajo entiende que la legislación argentina incluye los elementos necesarios para ofrecer apoyo y asistencia a los titulares de datos individuales en el ejercicio de sus derechos.

-Ofrecer ví­as adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas – í‰ste es un elemento clave que debe incluir un sistema que ofrezca la posibilidad de obtener una resolución judicial o arbitral y, en su caso, indemnizaciones y sanciones.

El Grupo de Trabajo señala que ni la Ley ni el Reglamento incluyen normas especí­ficas sobre el derecho de quienes resulten perjudicados por una operación de tratamiento ilegal a ser compensados por los daños sufridos. El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto según las cuales, en ausencia de normas especiales, son aplicables las normas generales de la legislación argentina en materia de responsabilidad. Según el caso, pueden ser aplicables las normas en materia de responsabilidad contractual (si el tratamiento se realiza en el marco de una relación contractual entre las partes) o en materia de responsabilidad extracontractual en los demás casos. Las normas argentinas se ajustan en ambos casos a la tradición europea en materia de Derecho Civil y al principio que exige la compensación de los daños ocasionados en caso de manipulación ilegal.

A la vista de estas consideraciones, el Grupo de Trabajo entiende que la legislación argentina incluye los elementos necesarios para ofrecer ví­as adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas.

2.3. Otros aspectos

El Grupo de Trabajo observa que el artí­culo 5 de la Ley permite el tratamiento de datos personales sin el consentimiento del titular de los datos si los datos se obtienen de fuentes de acceso público irrestricto. El Grupo de Trabajo considera que es necesario establecer normas que garanticen que los datos incluí­dos en una fuente de acceso público irrestricto sean de tal naturaleza que no sea probable que su tratamiento sin el consentimiento del titular pueda suponer un riesgo para los derechos fundamentales y las libertades del individuo y, concretamente, para su derecho a la intimidad. Se sobreentiende que, incluso en el caso de que se incluyan datos personales en una fuente de acceso publico irrestricto, es aplicable todo lo dispuesto en la legislación argentina sobre protección de datos.

3. RESULTADO DE LA EVALUACIÓN

El Grupo de Trabajo insiste en que, para llevar a cabo la presente evaluación de la legislación argentina, el Gobierno de dicho paí­s ha facilitado información sobre la manera en que debe interpretarse lo dispuesto en la Constitución, la Ley y el Reglamento, y ha garantizado que las normas en materia de protección de datos se aplican conforme a dicha interpretación. Por tanto, el Grupo de Trabajo ha basado su análisis en las citadas informaciones y garantí­as del Gobierno argentino, y su dictamen está subordinado al hecho de que, en la aplicación efectiva de las normas de protección de datos en Argentina, se confirmen los citados elementos facilitados por el Gobierno de dicho paí­s. En particular, en lo relativo al ámbito de la legislación argentina, el Grupo de Trabajo ha tenido especialmente en cuenta las explicaciones y garantí­as proporcionadas por las autoridades argentinas sobre la forma en que debe interpretarse lo dispuesto en la Constitución, la Ley y el Reglamento y sobre las situaciones a las que se aplica la legislación de protección de datos. La redacción del presente dictamen se ha basado en dichos supuestos y explicaciones, y no en una experiencia sólida en la aplicación práctica de la legislación, ni a nivel federal ni provincial. Esto es cierto también en lo relativo a que las autoridades argentinas tomen efectivamente en consideración, en un plazo razonable, las reservas expresadas anteriormente y las invitaciones a mejorar o modificar los textos legales vigentes.

Como conclusión, en virtud de todo lo anterior, el Grupo de Trabajo asume que Argentina garantiza un nivel de protección adecuado con arreglo a lo dispuesto en el apartado 6 del artí­culo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Sin embargo, el Grupo de Trabajo invita también a las autoridades argentinas a tomar las medidas necesarias para solucionar los puntos débiles de los actuales instrumentos legales identificados en el presente dictamen y solicita a la Comisión Europea continuar el diálogo con el Gobierno argentino con el citado objetivo. En particular, el Grupo de Trabajo insta a las autoridades argentinas a garantizar la aplicación efectiva de la legislación a nivel provincial mediante la creación de los necesarios órganos de control independientes en los casos en los que éstos no existan y, mientras tanto, a buscar soluciones temporales apropiadas que sean conformes con el orden constitucional argentino.

Hecho en Bruselas, el 3 de octubre de 2002.

Por el Grupo de Trabajo

El Presidente

Stefano RODOTA

Notas
(1) DO L 281, 23.11.1995, p. 31, que puede consultarse en:

http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm.

(2) Adoptado por el Grupo de Trabajo en su tercera reunión celebrada el 11.9.1996.

(3) Carta del Embajador de la República Argentina ante la Unión Europea, de 23 de enero de 2002.

(4) Cámara Civil de Apelación, Mantovano c/ Banco Regional de Cuyo, 2000; Becker José c/ Banco de la provincia de Buenos Aires, 2002.

(5) WP 12 -“ Aprobado por el Grupo de Trabajo el 24 de julio de 1998, que puede consultarse en:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.


Habeas Data – Competencia – Regla amplia

Posted: junio 25th, 2006 | Author: | Filed under: Argentina, Casos, Reino Unido | No Comments »

HABEAS DATA. CONFLICTO DE COMPETENCIA. SCBA.

B. 68.253 “LICARI, population health ALFREDO Y OTRO CONTRA COLEGIO RECONOCIDO JOSE MA-NUEL ESTRADA SOBRE HABEAS DATA. CONFLICTO DE COMPETENCIA. ART. 7 INC. 1º LEY 12.008″

//Plata, disease 22 de junio de 2.005.
AUTOS Y VISTOS:
I. La presente acción de Hábeas Data ha sido promovida por ante un Juzgado en lo Civil y Comercial de Olavarrí­a, sick Departamento Judicial de Azul (ver ficha de re-ceptorí­a de fs. 1 y sello fechador de fs. 53 vta.), con posterioridad al inicio del funcionamiento de los Juzgados en lo Contencioso Administrativo, hecho que tuvo lugar el 15 de diciembre de 2003 (art. 27 y concs. ley 12.074 -texto según ley 13.101- y Acuerdo nº 3034 del 18-XI-03 de esta S.C.J.B.A.).
Por esta ví­a los actores solicitan información que sobre su hijo, Alan Alfredo Licari Arrighi, esté regis-trada en los archivos o banco de datos del Colegio Recono-cido José Manuel Estrada de Olavarrí­a y, subsidiariamente, exigen para el evento de que fueran discriminatorios que los mismos sean suprimidos.
A fs. 54 el Juzgado de Primera Instancia en lo Civil y Comercial Nº2 de Olavarrí­a, resuelve declararse in-competente para entender en la presente causa y remitirla al Juzgado en lo Contencioso Administrativo de Azul.
El Juez titular del Juzgado en lo Contencioso Administrativo Nº1 de Azul, resolvió no aceptar la declina-ción de la competencia realizada por la jueza que previno y remitió los autos a esta Suprema Corte de Justicia, en atención a lo normado por los artí­culos 20 incs. 2º y 3º de la Constitución de la Provincia, 4º de la ley 7.166, en la ley 25.326 y conforme la doctrina de este Tribunal en la causa B. 67.530 “Maciel” de fecha 11-II-04. Recuerda juris-prudencia de la Corte Suprema de Justicia de la Nación y de la Cámara Nacional Civil y concluye que la acción -…tiende a suprimir supuestas conductas discriminatorias de una presunta base de datos privada…-, careciendo ese órgano jurisdiccional de competencia en la materia -“fs. 57/62-.
El 27-V-05 se recibe la causa en la Secretarí­a de Actuación y se ordena su pase a la Secretarí­a de Deman-das Originarias y Contencioso Administrativo, donde es re-cepcionada el 3-VI-05 -fs. 64-.
II. De acuerdo a lo relatado en el considerando anterior, ha quedado planteado en autos un conflicto entre un juez en lo contencioso administrativo y un juez de otro fuero que, de acuerdo a lo preceptuado por el artí­culo 7 inc. 1º de la ley 12.008 -“texto según ley 13.101-, debe ser resuelto por esta Suprema Corte.
III. La forma o manera de determinar y fijar la competencia o la capacidad del juez para conocer de un de-terminado litigio, es materia de fundamental importancia para la correcta instrucción y decisión y tiene raí­ces constitucionales (art. 18 de la Constitución Nacional; 10 y 15 de la Constitución de la Provincia). Así­, la competencia del juez es un presupuesto del proceso que puede ser discu-tido in limine litis y sobre el cual debe pronunciarse el juez de oficio (arts. 4 y 336 del C.P.C.C.; 8 y 31 ley 12.008 -texto según ley 13.101-).
Por otro lado, y con relación a la acción impe-trada por Alfredo Licari y Carmen Raquel Arrighi de Licari, debe recordarse que la Constitución de la Provincia de Bue-nos Aires, a partir de la reforma del año 1994, otorga je-rarquí­a constitucional a la -garantí­a de Habeas Data- -“art. 20 inc. 3º- a través de la cual -toda persona podrá conocer lo que conste de la misma en forma de registro, archivo o banco de datos de organismos públicos o privados destinados a proveer informes, así­ como la finalidad a que se destine esa información, y a requerir su rectificación, actualiza-ción o cancelación…-.
Esta misma garantí­a se encuentra tipificada en el art. 43, tercer párrafo, de la Constitución nacional.
En ese marco, la ley 25.326 de -Protección de Datos Personales-, cuyas normas son de orden público y de aplicación en lo pertinente en todo el territorio nacional -“art. 44-, determina que es competente para entender en la acción de protección de datos personales o habeas data -“art. 33- el juez del domicilio del actor, el del domicilio del demandado, el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del actor -“art. 36-.
Asimismo prescribe que la acción de habeas data tramitará según las disposiciones de esa ley y por el pro-cedimiento que corresponde a la acción de amparo común y supletoriamente por las normas del Código Procesal Civil y Comercial de la Nación, en lo atinente al juicio sumarí­simo -“art. 37-.
En efecto: el régimen jurí­dico de mención arti-cula una ví­a judicial rápida para la protección de los da-tos personales o habeas data que guarda clara similitud con la acción de amparo, a tal punto que comparten el procedi-miento a aplicar, por lo que no corresponde alejarse en la especie de la doctrina que ha establecido este Tribunal pa-ra la determinación del órgano judicial competente para en-tender en la acción de amparo.
En tal sentido, tal como lo ha resuelto esta Corte (causa B. 67.530 “Maciel”, res. 11-II-04), y de con-formidad a lo dispuesto por el art. 20 inc. 2º de la Cons-titución Provincial que establece la regla amplia de compe-tencia de “cualquier juez” y su reglamentación legal que precisa “de primera instancia” (art. 4 de la ley 7.166, t.o. decreto 1.067/95), deben remitirse estos autos al ór-gano judicial que previno.
Por lo tanto, corresponde declarar que resulta competente para decidir en autos el Juzgado en lo Civil y Comercial Nº2 de Olavarrí­a, Departamento Judicial de Azul, a quien se le devolverá el expediente por Secretarí­a me-diante oficio al que se adjuntará copia de la presente (cfr. arts. 4, 7 y ss. y 352 inc. 1º y concs. del C.P.C.C.; 7 inc. 1º, ley 12.008 -texto según ley 13.101-; 36 y 37 de la ley 25.326; doctr. causas B. 67.530 “Maciel”, cit., en-tre otras).
Por Secretarí­a, lí­brese oficio al Juez en lo Contencioso Administrativo Nº1 de Azul, para que tome cono-cimiento de lo aquí­ resuelto.
Regí­strese.

FDO. NE.GE.KO.PE.SO.
Reg. 534
www.scba.gov.ar/falloscompl/SCBA/Inter/2005/06-22/B68253.doc


Directiva Europea de Protección de Datos Personales 95/46/CE

Posted: junio 14th, 2006 | Author: | Filed under: General, Normas, Unión Europea | No Comments »

DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, doctor

Visto el Tratado consitutivo de la Comunidad Europea, y, en particular, su artí­culo 100 A,

Vista la propuesta de la Comisión (1),

Visto el dictamen del Comité Económico y Social (2),

De conformidad con el procedimiento establecido en el artí­culo 189 B del Tratado (3),

(1) Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en lograr una unión cada vez más estrecha entre los pueblos europeos, establecer relaciones más estrechas entre los Estados miembros de la Comunidad, asegurar, mediante una acción común, el progreso económico y social, eliminando las barreras que dividen Europa, fementar la continua mejora de las condiciones de vida de sus pueblos, preservar y consolidar la paz y la libertad y promover la democracia, basándose en los derechos fundamentales reconocidos en las constituciones y leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales;

(2) Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas fí­sicas, respetar las libertades y derechos fundamentales de las personas fí­sicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así­ como al bienestar de los indiviuos;

(3) Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artí­culo 7 A del Tratado, la libre circulación de mercancí­as, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas;

(4) Considerando que se recurre cada vez más en la Comunidad al tratamiento de datos personales en los diferentes sectores de actividad económica y social; que el avance de las tecnologí­as de la información facilita considerablemente el tratamiento y el intercambio de dichos datos;

(5) Considerando que la integración económica y social resultante del establecimiento y funcionamiento del mercado interior, definido en el artí­culo 7 A del Tratado, va a implicar necesariamente un aumento notable de los flujos transfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros, ya se trate de agentes públicos o privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo; que las administraciones nacionales de los diferentes Estados miembros, en aplicación del Derecho comunitario, están destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido o ejercer funciones por cuenta de las administraciones de otros Estados miembros, en el marco del espacio sin fronteras que constituye el mercado interior;

(6) Considerando, por lo demás, que el fortalecimiento de la cooperación cientí­fica y técnica, así­ como el establecimiento coordinado de nuevas redes de telcomunicaciones en la Comunidad exigen y facilitan la circulación transfronteriza de datos personales;

(7) Considerando que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia e impedir que las administraciones cumplan los cometidos que les incumben en virtud del Derecho comunitario; que estas diferencias en los niveles de protección se deben a la disparidad existente entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;

(8) Considerando que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el artí­culo 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones;

(9) Considerando que, a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas fí­sicas, y, en particular, del derecho a la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de la aplicación de la presente Directiva, los interlocutores económicos y sociales; que los Estados miembros podrán, por lo tanto, precisar en su derecho nacional las condiciones generales de licitud del tratamiento de datos; que, al actuar así­, los Estados miembros procurarán mejorar la protección que proporciona su legislación en la actualidad; que, dentro de los lí­mites de dicho margen de maniobra y de conformidad con el Derecho comunitario, podrán surgir disparidades en la aplicación de la presente Directiva, y que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad;

(10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artí­culo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así­ como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contratrio, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

(11) Considerando que los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplí­an los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales;

(12) Considerando que los principios de la protección deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que debe excluirse el tratamiento de datos efectuado por una persona fí­sica en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones;

(13) Considerando que las actividades a que se refieren los tí­tulos V y VI del Tratado de la Unión Europea relativos a la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en el ámbito penal no están comprendidas en el ámbito de aplicación del Derecho comunitario, sin perjuicio de las obligaciones que incumben a los Estados miembros con arreglo al apartado 2 del artí­culo 56 y a los artí­culos 57 y 100 A del Tratado; que el tratamiento de los datos de carácter personal que sea necesario para la salvaguardia del bienestar económico del Estado no está comprendido en el ámbito de aplicación de la presente Directiva en los casos en que dicho tratamiento esté relacionado con la seguridad del Estado;

(14) Considerando que, habida cuenta de la importancia que, en el marco de la sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos a las personas fí­sicas constituidos por sonido e imagen, la presente Directiva habrá de aplicarse a los tratamientos que afectan a dichos datos;

(15) Considerando que los tratamientos que afectan a dichos datos sólo quedan amparados por la presente Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado según criterios especí­ficos relativos a las pesonas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata;

(16) Considerando que los tratamientos de datos constituidos por sonido e imagen, como los de la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de seguridad pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el ejercicio de otras actividades que no están comprendidos en el ámbito de aplicación del Derecho comunitario;

(17) Considerando que en lo que respecta al tratamiento del sonido y de la imagen aplicados con fines periodí­sticos o de expresión literaria o artí­stica, en particular en el sector audiovisual, los principios de la Directiva se aplican de forma restringida según lo dispuesto en al artí­culo 9;

(18) Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

(19) Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurí­dica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurí­dica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades;

(20) Considerando que el hecho de que el responsable del tratamiento de datos esté establecido en un paí­s tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantí­as para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva;

(21) Considerando que la presente Directiva no afecta a las normas de territorialidad aplicables en materia penal;

(22) Considerando que los Estados miembros precisarán en su legislación o en la aplicación de las disposiciones adoptadas en virtud de la presente Directiva las condiciones generales de licitud del tratamiento de datos; que, en particular, el artí­culo 5 en relación con los artí­culos 7 y 8, ofrece a los Estados miembros la posibilidad de prever, independientemente de las normas generales, condiciones especiales de tratamiento de datos en sectores especí­ficos, así­ como para las diversas categorí­as de datos contempladas en el artí­culo 8;

(23) Considerando que los Estados miembros están facultados para garantizar la protección de las personas tanto mediante una ley general relativa a la protección de las personas respecto del tratamiento de los datos de carácter personal como mediante leyes sectoriales, como las relativas a los institutos estadí­sticos;

(24) Considerando que las legislaciones relativas a la protección de las personas jurí­dicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva;

(25) Considerando que los principios de la protección tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos- obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento- y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias;

(26) Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al artí­culo 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado;

(27) Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario darí­a lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios especí­ficos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artí­culo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así­ como sus portadas, que no estén estructuradas conforme a criterios especí­ficos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva;

(28) Considerando que todo tratamiento de datos personales debe efectuarse de forma lí­cita y leal con respecto al interesado; que debe referirse, en particular, a datos adecuados, pertinentes y no excesivos en relación con los objetivos perseguidos; que estos objetivos han de ser explí­citos y legí­timos, y deben estar determinados en el momento de obtener los datos; que los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados;

(29) Considerando que el tratamiento ulterior de datos personales, con fines históricos, estadí­sticos o cientí­ficos no debe por lo general considerarse incompatible con los objetivos para los que se recogieron los datos, siempre y cuando los Estados miembros establezcan las garantí­as adecuadas; que dichas garantí­as deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona;

(30) Considerando que para ser lí­cito el tratamiento de datos personales debe basarse además en el consentimiento del interesado o ser necesario con vistas a la celebración o ejecución de un contrato que obligue al interesado, o para la observancia de una obligación legal o para el cumplimiento de una misión de interés público o para el ejercicio de la autoridad pública o incluso para la realización de un interés legí­timo de una persona, siempre que no prevalezcan los intereses o los derechos y libertades del interesado; que, en particular, para asegurar el equilibrio de los intereses en juego, garantizando a la vez una competencia efectiva, los Estados miembros pueden precisar las condiciones en las que se podrán utilizar y comunicar a terceros datos de carácter personal, en el desempeño de actividades legí­timas de gestión ordinaria de empresas y otras entidades; que los Estados miembros pueden asimismo establecer previamente las condiciones en que pueden efectuarse comunicaciones de datos personales a terceros con fines de prospección comercial o de prospección realizada por una institución benéfica u otras asociaciones o fundaciones, por ejemplo de carácter polí­tico, dentro del respeto de las disposiciones que permiten a los interesados oponerse, sin alegar los motivos y sin gastos, al tratamiento de los datos que les conciernan;

(31) Considerando que un tratamiento de datos personales debe estimarse lí­cito cuando se efectúa con el fin de proteger un interés esencial para la vida del interesado;

(32) Considerando que corresponde a las legislaciones nacionales determinar si el responsable del tratamiento que tiene conferida una misión de interés público o inherente al ejercicio del poder público, debe ser una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional;

(33) Considerando, por lo demás, que los datos que por su naturaleza puedan atentar contra las libertades fundamentales o la intimidad no deben ser objeto de tratamiento alguno, salvo en caso de que el interesado haya dado su consentimiento explí­cito; que deberán constar de forma explí­cita las excepciones a esta prohibición para necesidades especí­ficas, en particular cuando el tratamiento de dichos datos se realice con fines relacionados con la salud, por parte de personas fí­sicas sometidas a una obligación legal de secreto profesional, o para actividades legí­timas por parte de ciertas asociaciones o fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales;

(34) Considerando que también se deberá autorizar a los Estados miembros, cuando esté justificado por razones de interés público importante, a hacer excepciones a la prohibición de tratar categorí­as sensibles de datos en sectores como la salud pública y la protección social, particularmente en lo relativo a la garantí­a de la calidad y la rentabilidad, así­ como los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro enfermedad, la investigación cientí­fica y las estadí­sticas públicas; que a ellos corresponde, no obstante, prever las garantí­as apropiadas y especí­ficas a los fines de proteger los derechos fundamentales y la vida privada de las personas;

(35) Considerando, además, que el tratamiento de datos personales por parte de las autoridades públicas con fines, establecidos en el Derecho constitucional o en el Derecho internacional público, de asociaciones religiosas reconocidas oficialmente, se realiza por motivos importantes de interés público;

(36) Considerando que, si en el marco de actividades relacionadas con las elecciones, el funcionamiento del sistema democrático en algunos Estados miembros exige que los partidos polí­ticos recaben datos sobre la ideologí­a polí­tica de los ciudadanos, podrá autorizarse el tratamiento de estos datos por motivos importantes de interés público, siempre que se establezcan las garantí­as adecuadas;

(37) Considerando que para el tratamiento de datos personales con fines periodí­sticos o de expresión artí­stica o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la presente Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o cumunicar informaciones, tal y como se garantiza en el artí­culo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentales, corresponde a los Estados miembros prever las excepciones y las restricciones necesarias en lo relativo a las medidas generales sobre la legalidad del tratamiento de datos, las medidas sobre la transferencia de datos a terceros paí­ses y las competencias de las autoridades de control sin que esto deba inducir, sin embargo, a los Estados miembros a prever excepciones a las medidas que garanticen la seguridad del tratamiento; que, igualmente, deberí­a concederse a la autoridad de control responsable en la materia al menos una serie de competencias a posteriori como por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos legales ante las autoridades judiciales;

(38) Considerando que el tratamiento leal de datos supone que los interesados deben estar en condiciones de conocer la existencia de los tratamientos y, cuando los datos se obtengan de ellos mismos, contar con una información precisa y completa respecto a las circunstancias de dicha obtención;

(39) Considerando que determinados tratamientos se refieren a datos que el responsable no ha recogido directamente del interesado; que, por otra parte, pueden comunicarse legí­timamente datos a un tercero aún cuando dicha comunicación no estuviera prevista en el momento de la recogida de los datos del propio interesado; que, en todos estos supuestos, debe informarse al interesado en el momento del registro de los datos o, a más tardar, al comunicarse los datos por primera vez a un tercero;

(40) Considerando, no obstante, que no es necesario imponer esta obligación si el interesado ya está informado, si el registro o la comunicación están expresamente previstos por la ley o si resulta imposible informarle, o ello implica esfuerzos desproporcionados, como puede ser el caso para tratamientos con fines históricos, estadí­sticos o cientí­ficos; que a este respecto pueden tomarse en consideración el número de interesados, la antigueedad de los datos, y las posibles medidas compensatorias;

(41) Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su exactitud y de la licitud de su tratamiento; que por las mismas razones cualquier persona debe tener además el derecho de conocer la lógica que subyace al tratamiento automatizado de los datos que la conciernan, al menos en el caso de las decisiones automatizadas a que se refiere el apartado 1 del artí­culo 15; que este derecho no debe menoscabar el secreto de los negocios ni la propiedad intelectual y en particular el derecho de autor que proteja el programa informático; que no obstante esto no debe suponer que se deniegue cualquier información al interesado;

(42) Considerando que, en interés del interesado de que se trate y para proteger los derechos y libertades de terceros, los Estados miembros podrán limitar los derechos de acceso y de información; que podrán, por ejemplo, precisar que el acceso a los datos de carácter médico únicamente pueda obtenerse a través de un profesional de la medicina;

(43) Considerando que los Estados miembros podrán imponer restricciones a los derechos de acceso e información y a determinadas obligaciones del responsable del tratamiento, en la medida en que sean estrictamente necesarias para, por ejemplo, salvaguardar la seguridad del Estado, la defensa, la seguridad pública, los intereses económicos o financieros importantes de un Estado miembro o de la Unión, así­ como para realizar investigaciones y entablar procedimientos penales y perseguir violaciones de normas deontológicas en las profesiones reguladas; que conviene enumerar, a efectos de excepciones y limitaciones, las tareas de control, inspección o reglamentación necesarias en los tres últimos sectores mencionados relativos a la seguridad pública, los intereses económicos o financieros y la represión penal; que esta enumeración de tareas relativas a los tres sectores citados no afecta a la legitimidad de las excepciones y restricciones establecidas por razones de seguridad del Estado o de defensa;

(44) Considerando que los Estados miembros podrán verse obligados, en virtud de las disposiciones del Derecho comunitario, a establecer excepciones a las disposiciones de la presente Directiva relativas al derecho de acceso, a la información de personas y a la calidad de los datos para garantizar algunas de las finalidades contempladas más arriba;

(45) Considerando que cuando se pudiera efectuar lí­citamente un tratamiento de datos por razones de interés público o del ejercicio de la autoridad pública, o en interés legí­timo de una persona fí­sica, cualquier persona deberá, sin embargo, tener derecho a oponerse a que los datos que le conciernan sean objeto de un tratamiento, en virtud de motivos fundados y legí­timos relativos a su situación concreta; que los Estados miembros tienen, no obstante, la posibilidad de establecer disposiciones nacionales contrarias;

(46) Considerando que la protección de los derechos y libertades de los interesados en lo que respecta a los tratamientos de datos personales exige la adopción de medidas técnicas y de organización apropiadas, tanto en el momento de la concepción del sistema de tratamiento como en el de la aplicación de los tratamientos mismos, sobre todo con objeto de garantizar la seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a los Estados miembros velar por que los responsables del tratamiento respeten dichas medidas; que esas medidas deberán garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste de su aplicación en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse;

(47) Considerando que cuando un mensaje con datos personales sea transmitido a través de un servicio de telecomunicaciones o de correo eletrónico cuyo único objetivo sea transmitir mensajes de ese tipo, será considerada normalmente responsable del tratamiento de los datos personales presentes en el mensaje aquella persona de quien proceda el mensaje y no la que ofrezca el servicio de transmisión; que, no obstante, las personas que ofrezcan estos servicios normalmente serán consideradas responsables del tratamiento de los datos personales complementarios y necesarios para el funcionamiento del servicio;

(48) Considerando que los procedimientos de notificación a la autoridad de control tienen por objeto asegurar la publicidad de los fines de los tratamientos y de sus principales caracterí­sticas a fin de controlarlos a la luz de las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(49) Considerando que para evitar trámites administrativos improcedentes, los Estados miembros pueden establecer exenciones o simplificaciones de la notificación para los tratamientos que no atenten contra los derechos y las libertades de los interesados, siempre y cuando sean conformes a un acto adoptado por el Estado miembro en el que se precisen sus lí­mites; que los Estados miembros pueden igualmente disponer la exención o la simplificación cuando un encargado, nombrado por el responsable del tratamiento, se cerciore de que los tratamientos efectuados no pueden atentar contra los derechos y libertades de los interesados; que la persona encargada de la protección de los datos, sea o no empleado del responsable del tratamiento de datos, deberá ejercer sus funciones con total independencia;

(50) Considerando que podrán establecerse exenciones o simplificaciones para los tratamientos cuya única finalidad sea el mantenimiento de registros destinados, de conformidad con el Derecho nacional, a la información del público y que sean accesibles para la consulta del público o de toda persona que justifique un interés legí­timo;

(51) Considerando, no obstante, que el beneficio de la simplificación o de la exención de la obligación de notificación no dispensa al responsable del tratamiento de ninguna de las demás obligaciones derivadas de la presente Directiva;

(52) Considerando que, en este contexto, el control a posteriori por parte de las autoridades competentes debe considerarse, en general, una medida suficiente;

(53) Considerando, no obstante, que determinados tratamientos pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los interesados, ya sea por su naturaleza, su alcance o su finalidad, como los de excluir a los interesados del beneficio de un derecho, de una prestación o de un contrato, o por el uso particular de una tecnologí­a nueva; que es competencia de los Estados miembros, si así­ lo desean, precisar tales riesgos en sus legislaciones;

(54) Considerando que, a la vista de todos los tratamientos llevados a cabo en la sociedad, el número de los que presentan tales riesgos particulares deberí­a ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control o del encargado de la protección de datos en cooperación con aquélla; que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga su Derecho nacional, podrá emitir un dictamen o autorizar el tratamiento de datos; que este examen previo podrá realizarse también en el curso de la elaboración de una medida legislativa aprobada por el Parlamento nacional o de una medida basada en dicha medida legislativa, que defina la naturaleza del tratamiento y precise las garantí­as adecuadas;

(55) Considerando que las legislaciones nacionales deben prever un recurso judical para los casos en los que el responsable del tratamiento de datos no respete los derechos de los interesados; que los daños que pueden sufrir las personas a raí­z de un tratamiento ilí­cito han de ser reparados por el responsable del tratamiento de datos, el cual sólo podrá ser eximido de responsabilidad si demuestra que no le es imputable el hecho perjudicial, principalmente si demuestra la responsabilidad del interesado o un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(56) Considerando que los flujos transfronterizos de datos personales son necesarios para la desarrollo del comercio internacional; que la protección de las personas garantizada en la Comunidad por la presente Directiva no se opone a la transferencia de datos personales a terceros paí­ses que garanticen un nivel de protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un paí­s tercero debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la categorí­a de transferencias;

(57) Considerando, por otra parte, que cuando un paí­s tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales;

(58) Considerando que han de establecerse excepciones a esta prohibición en determinadas circunstancias, cuando el interesado haya dado su consentimiento, cuando la transferencia sea necesaria en relación con un contrato o una acción judicial, cuando así­ lo exija la protección de un interés público importante, por ejemplo en casos de transferencia internacional de datos entre las administraciones fiscales o aduaneras o entre los servicios competentes en materia de seguridad social, o cuando la transferencia se haga desde un registro previsto en la legislación con fines de consulta por el público o por personas con un interés legí­timo; que en tal caso dicha transferencia no debe afectar a la totalidad de los datos o las categorí­as de datos que contenga el mencionado registro; que, cuando la finalidad de un registro sea la consulta por parte de personas que tengan un interés legí­timo, la transferencia sólo deberí­a poder efectuarse a petición de dichas personas o cuando éstas sean las destinatarias;

(59) Considerando que pueden adoptarse medidas particulares para paliar la insuficiencia del nivel de protección en un tercer paí­s, en caso de que el responsable del tratamiento ofrezca garantí­as adecuadas; que, por lo demás, deben preverse procedimientos de negociación entre la Comunidad y los paí­ses terceros de que se trate;

(60) Considerando que, en cualquier caso, las transferencias hacia paí­ses terceros sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas por los Estados miembros en aplicación de la presente Directiva, y, en particular, de su artí­culo 8;

(61) Considerando que los Estados miembros y la Comisión, dentro de sus respectivas competencias, deben alentar a los sectores preofesionales para que elaboren códigos de conducta a fin de facilitar, habida cuenta del carácter especí­fico del tratamiento de datos efectuado en determinados sectores, la aplicación de la presente Directiva respetando las disposiciones nacionales adoptadas para su aplicación;

(62) Considerando que la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

(63) Considerando que dicha autoridad debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención, en particular en casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio; que tal autoridad ha de contribuir a la transparencia de los tratamientos de datos efectuados en el Estado miembro del que dependa;

(64) Considerando que las autoridades de los distintos Estados miembros habrán de prestarse ayuda mutua en el ejercicio de sus funciones, de forma que se garantice el pleno respeto de las normas de protección en toda la Unión Europea;

(65) Considerando que se debe crear, en el ámbito comunitario, un grupo de protección de las personas en lo que respecta al tratamiento de datos personales, el cual habrá de ejercer sus funciones con plena independencia; que, habida cuenta de este carácter especí­fico, el grupo deberá asesorar a la Comisión y contribuir, en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva;

(66) Considerando que, por lo que respecta a la transferencia de datos hacia paí­ses terceros, la aplicación de la presente Directiva requiere que se atribuya a la Comisión competencias de ejecución y que se cree un procedimiento con arreglo a las modalidades establecidas en la Decisión 87/373/CEE del Consejo (1);

(67) Considerando que el 20 de diciembre de 1994 se alcanzó un acuerdo sobre un modus vivendi entre el Parlamento Europeo, el Consejo y la Comisión concerniente a las medidas de aplicación de los actos adoptados de conformidad con el procedimiento establecido en el artí­culo 189 B del Tratado CE;

(68) Considerando que los principios de protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad en lo que se refiere al tratamiento de los datos personales objeto de la presente Directiva podrán completarse o precisarse, sobre todo en determinados sectores, mediante normas especí­ficas conformes a estos principios;

(69) Considerando que resulta oportuno conceder a los Estados miembros un plazo que no podrá ser superior a tres años a partir de la entrada en vigor de las medidas nacionales de transposición de la presente Directiva, a fin de que puedan aplicar de manera progresiva las nuevas disposiciones nacionales mencionadas a todos los tratamientos de datos ya existentes; que, con el fin de facilitar una aplicación que presente una buena relación coste-eficacia, se concederá a los Estados miembros un perí­odo suplementario que expirará a los doce años de la fecha en que se adopte la presente Directiva, para garantizar que los ficheros manuales existentes en dicha fecha se hayan ajustado a las disposiciones de la Directiva; que si los datos contenidos en dichos ficheros son tratados efectivamente de forma manual en ese perí­odo transitorio ampliado deberán, sin embargo, ser ajustados a dichas disposiciones cuando se realice tal tratamiento;

(70) Considerando que no es procedente que el interesado tenga que dar de nuevo su consentimiento a fin de que el responsable pueda seguir efectuando, tras la entrada en vigor de las disposiciones nacionales adoptadas en virtud de la presente Directiva, el tratamiento de datos sensibles necesario para la ejecución de contratos celebrados previo consentimiento libre e informado antes de la entrada en vigor de las disposiciones mencionadas;

(71) Considerando que la presente Directiva no se opone a que un Estado miembro regule las actividades de prospección comercial destinadas a los consumidores que residan en su territorio, en la medida en que dicha regulación no afecte a la protección de las personas en lo que respecta a tratamientos de datos personales;

(72) Considerando que la presente Directiva autoriza que se tenga en cuenta el principio de acceso público a los documentos oficiales a la hora de aplicar los principios expuestos en la presente Directiva,

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPíTULO I DISPOSICIONES GENERALES

Artí­culo 1

Objeto de la Directiva

1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas fí­sicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.

Artí­culo 2

Definiciones

A efectos de la presente Directiva, se entenderá por:

a) * «datos personales* »: toda información sobre una persona fí­sica idientificada o identificable (el * «interesado* »); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos especí­ficos, caracterí­sticos de su identidad fí­sica, fisiológica, psí­quica, económica, cultural o social;

b) * «tratamiento de datos personales* » (* «tratamiento* »): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así­ como su bloqueo, supresión o destrucción;

c) * «fichero de datos personales* » (* «fichero* »): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

d) * «responsable del tratamiento* »: la persona fí­sica o jurí­dica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios especí­ficos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

e) * «encargado del tratamiento* »: la persona fí­sica o jurí­dica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;

f) * «tercero* »: la persona fí­sica o jurí­dica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

g) * «destinatario* »: la persona fí­sica o jurí­dica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación especí­fica no serán considerados destinatarios;

h) * «consentimiento del interesado* »: toda manifestación de voluntad, libre, especí­fica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

Artí­culo 3

ímbito de aplicación

1. Las disposiciones de la presente Directiva se aplicarán al tratamineto total o parcialmente automatizado de datos personales, así­ como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

- efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los tí­tulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

- efectuado por una persona fí­sica en el ejercicio de actividades exclusivamente personales o domésticas.

Artí­culo 4

Derecho nacional aplicable

1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

CAPíTULO II CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES

Artí­culo 5

Los Estados miembros precisarán, dentro de los lí­mites de las disposiciones del presente capí­tulo, las condiciones en que son lí­citos los tratamientos de datos personales.

SECCIÓN I

PRINCIPIOS RELATIVOS A LA CALIDAD DE LOS DATOS

Artí­culo 6

1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lí­cita;

b) recogidos con fines determinados, explí­citos y legí­timos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadí­sticos o cientí­ficos, siempre y cuando los Estados miembros establezcan las garantí­as oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación de los interesados durante un perí­odo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantí­as apropiadas para los datos personales archivados por un perí­odo más largo del mencionado, con fines históricos, estadí­sticos o cientí­ficos.

2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.

SECCIÓN II

PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL TRATAMIENTO DE DATOS

Artí­culo 7

Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequí­voca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

c) es necesario para el cumplimiento de una obligación jurí­dica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f) es necesario para la satisfacción del interés legí­timo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artí­culo 1 de la presente Directiva.

SECCIÓN III

CATEGORíAS ESPECIALES DE TRATAMIENTOS

Artí­culo 8

Tratamiento de categorí­as especiales de datos

1. Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones polí­ticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así­ como el tratamiento de los datos relativos a la salud o a la sexualidad.

2. Lo dispuesto en el apartado 1 no se aplicará cuando:

a) el interesado haya dado su consentimiento explí­cito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la prohibición establecida en el apartado 1 no pueda levantarse con el consentimiento del interesado, o

b) el tratamiento sea necesario para respetar las obligaciones y derechos especí­ficos del responsable del tratamiento en materia de Derecho laboral en la medida en que esté autorizado por la legislación y ésta prevea garantí­as adecuadas, o

c) el tratamiento sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que el interesado esté fí­sica o jurí­dicamente incapacitado para dar su consentimiento, o

d) el tratamiento sea efectuado en el curso de sus actividades legí­timas y con las debidas garantí­as por una fundación, una asociación o cualquier otro organismo sin fin de lucro, cuya finalidad sea polí­tica, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de los interesados, o

e) el tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos o sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

3. El apartado 1 no se aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

4. Siempre que dispongan las garantí­as adecuadas, los Estados miembros podrán, por motivos de interés público importantes, establecer otras excepciones, además de las previstas en el apartado 2, bien mediante su legislación nacional, bien por decisión de la autoridad de control.

5. El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantí­as especí­ficas en el Derecho nacional, sin perjuicio de las excepciones que podrá establecer el Estado miembro basándose en disposiciones nacionales que prevean garantí­as apropiadas y especí­ficas. Sin embargo, sólo podrá llevarse un registro completo de condenas penales bajo el control de los poderes públicos.

Los Estados miembros podrán establecer que el tratamiento de datos relativos a sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos.

6. Las excepciones a las disposiciones del apartado 1 que establecen los apartados 4 y 5 se notificarán a la Comisión.

7. Los Estados miembros determinarán las condiciones en las que un número nacional de identificación o cualquier otro medio de identificación de carácter general podrá ser objeto de tratamiento.

Artí­culo 9

Tratamiento de datos personales y libertad de expresión

En lo referente al tratamiento de datos personales con fines exclusivamente periodí­sticos o de expresión artí­stica o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capí­tulo, del capí­tulo IV y del capí­tulo VI, exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.

SECCIÓN IV

INFORMACIÓN DEL INTERESADO

Artí­culo 10

Información en caso de obtención de datos recabados del propio interesado

Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

- los destinatarios o las categorí­as de destinatarios de los datos,

- el carácter obligatorio o no de la respuesta y las consecuencias que tendrí­a para la persona interesada una negativa a responder,

- la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias especí­ficas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

Artí­culo 11

Información cuando los datos no han sido recabados del propio interesado

1. Cuando los datos no hayan sido recabados del interesado, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

- las categorí­as de los datos de que se trate,

- los destinatarios o las categorí­as de destinatarios de los datos,

- la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias especí­ficas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

2. Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadí­sticos o de investigación histórica o cientí­fica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantí­as apropiadas.

SECCIÓN V

DERECHO DE ACCESO DEL INTERESADO A LOS DATOS

Artí­culo 12

Derecho de acceso

Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:

- la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así­ como información por lo menos de los fines de dichos tratamientos, las categorí­as de datos a que se refieran y los destinatarios o las categorí­as de destinatarios a quienes se comuniquen dichos datos;

- la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así­ como toda la información disponible sobre el origen de los datos;

- el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas a que se refiere el apartado 1 del artí­culo 15;

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

c) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.

SECCIÓN VI

EXCEPCIONES Y LIMITACIONES

Artí­culo 13

Excepciones y limitaciones

1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artí­culo 6, en el artí­culo 10, en el apartado 1 del artí­culo 11, y en los artí­culos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontologí­a en las profesiones reglamentadas;

e) un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g) la protección del interesado o de los derechos y libertades de otras personas.

2. Sin perjuicio de las garantí­as legales apropiadas, que excluyen, en particular, que los datos puedan ser utilizados en relación con medidas o decisiones relativas a personas concretas, los Estados miembros podrán, en los casos en que manifiestamente no exista ningún riesgo de atentado contra la intimidad del interesado, limitar mediante una disposición legal los derechos contemplados en el artí­culo 12 cuando los datos se vayan a tratar exclusivamente con fines de investigación cientí­fica o se guarden en forma de archivos de carácter personal durante un perí­odo que no supere el tiempo necesario para la exclusiva finalidad de la elaboración de estadí­sticas.

SECCIÓN VII

DERECHO DE OPOSICIÓN DEL INTERESADO

Artí­culo 14

Derecho de oposición del interesado

Los Estados miembros reconocerán al interesado el derecho a:

a) oponerse, al menos en los casos contemplados en las letras e) y f) del artí­culo 7, en cualquier momento y por razones legí­timas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

b) oponerse, previa petición y sin gastos, al tratamiento de los datos de carácter personal que le conciernan respecto de los cuales el responsable prevea un tratamiento destinado a la prospección; o ser informado antes de que los datos se comuniquen por primera vez a terceros o se usen en nombre de éstos a efectos de prospección, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha comunicación o utilización.

Los Estados miembros adoptarán todas las medidas necesarias para garantizar que los interesados conozcan la existencia del derecho a que se refiere el párrafo primero de la letra b).

Artí­culo 15

Decisiones individuales automatizadas

1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas a una decisión con efectos jurí­dicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc.

2. Los Estados miembros permitirán, sin perjuicio de lo dispuesto en los demás artí­culos de la presente Directiva, que una persona pueda verse sometida a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para la salvaguardia de su interés legí­timo; o

b) esté autorizada por una ley que establezca medidas que garanticen el interés legí­timo del interesado.

SECCIÓN VIII

CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO

Artí­culo 16

Confidencialidad del tratamiento

Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal.

Artí­culo 17

Seguridad del tratamiento

1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilí­cita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilí­cito de datos personales.

Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

2. Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantí­as suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.

3. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurí­dico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular:

- que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;

- que las obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.

4. A efectos de conservación de la prueba, las partes del contrato o del acto jurí­dico relativas a la protección de datos y a los requisitos relativos a las medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente.

SECCIÓN IX

NOTIFICACIÓN

Artí­culo 18

Obligación de notificación a la autoridad de control

1. Los Estados miembros dispondrán que el responsable del tratamiento o, en su caso, su representante, efectúe una notificación a la autoridad de control contemplada en el artí­culo 28, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos, total o parcialmente automatizados, destinados a la consecución de un fin o de varios fines conexos.

2. Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones:

- cuando, para las categorí­as de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere el tratamiento, los Estados miembros precisen los fines de los tratamientos, los datos o categorí­as de datos tratados, la categorí­a o categorí­as de los interesados, los destinatarios o categorí­as de destinatarios a los que se comuniquen los datos y el perí­odo de conservación de los datos y/o

- cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que tenga por cometido, en particular:

- hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,

- llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artí­culo 21,

garantizando así­ que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.

3. Los Estados miembros podrán disponer que no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar un registro que, en virtud de disposiciones legales o reglamentarias, esté destinado a facilitar información al público y estén abiertos a la consulta por el público en general o por toda persona que pueda demostrar un interés legí­timo.

4. Los Estados miembros podrán eximir de la obligación de notificación o disponer una simplificación de la misma respecto de los tratamientos a que se refiere la letra d) del apartado 2 del artí­culo 8.

5. Los Estados miembros podrán disponer que los tratamientos no automatizados de datos de carácter personal o algunos de ellos sean notificados eventualmente de una forma simplificada.

Artí­culo 19

Contenido de la notificación

1. Los Estados miembros determinarán la información que debe figurar en la notificación, que será como mí­nimo:

a) el nombre y la dirección del responsable del tratamiento y, en su caso, de su representante;

b) el o los objetivos del tratamiento;

c) una descripción de la categorí­a o categorí­as de interesados y de los datos o categorí­as de datos a los que se refiere el tratamiento;

d) los destinatarios o categorí­as de destinatarios a los que se pueden comunicar los datos;

e) las transferencias de datos previstas a paí­ses terceros;

f) una descripción general que permita evaluar de modo preliminar si las medidas adoptadas en aplicación del artí­culo 17 resultan adecuadas para garantizar la seguridad del tratamiento.

2. Los Estados miembros precisarán los procedimientos por los que se notificarán a la autoridad de control las modificaciones que afecten a la información contemplada en el apartado 1.

Artí­culo 20

Controles previos

1. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos especí­ficos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

2. Estas comprobaciones previas serán realizadas por la autoridad de control una vez que haya recibido la notificación del responsable del tratamiento o por el encargado de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.

3. Los Estados miembros podrán también llevar a cabo dicha comprobación en el marco de la elaboración de una norma aprobada por el Parlamento o basada en la misma norma, que defina el carácter del tratamiento y establezca las oportunas garantí­as.

Artí­culo 21

Publicidad de los tratamientos

1. Los Estados miembros adoptarán las medidas necesarias para garantizar la publicidad de los tratamientos.

2. Los Estados miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artí­culo 18.

En el registro se harán constar, como mí­nimo, las informaciones a las que se refieren las letras a) a e) del apartado 1 del artí­culo 19.

El registro podrá ser consultado por cualquier persona.

3. Los Estados miembros dispondrán, en lo que respecta a los tratamientos no sometidos a notificación, que los responsables del tratamiento u otro órgano designado por los Estados miembros comuniquen, en la forma adecuada, a toda persona que lo solicite, al menos las informaciones a que se refieren las letras a) a e) del apartado 1 del artí­culo 19.

Los Estados miembros podrán establecer que esta disposición no se aplique a los tratamientos cuyo fin único sea llevar un registro, que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legí­timo.

CAPíTULO III RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES

Artí­culo 22

Recursos

Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artí­culo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.

Artí­culo 23

Responsabilidad

1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilí­cito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.

Artí­culo 24

Sanciones

Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.

CAPíTULO IV TRANSFERENCIA DE DATOS PERSONALES A PAíSES TERCEROS

Artí­culo 25

Principios

1. Los Estados miembros dispondrán que la transferencia a un paí­s tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el paí­s tercero de que se trate garantice un nivel de protección adecuado.

2. El carácter adecuado del nivel de protección que ofrece un paí­s tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categorí­a de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el paí­s de origen y el paí­s de destino final, las normas de Derecho, generales o sectoriales, vigentes en el paí­s tercero de que se trate, así­ como las normas profesionales y las medidas de seguridad en vigor en dichos paí­ses.

3. Los Estados miembros y la Comisión se informarán recí­procamente de los casos en que consideren que un tercer paí­s no garantiza un nivel de protección adecuado con arreglo al apartado 2.

4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artí­culo 31, que un tercer paí­s no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artí­culo, los Estado miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer paí­s de que se trate.

5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

6. La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artí­culo 31, que un paí­s tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artí­culo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

Artí­culo 26

Excepciones

1. No obstante lo dispuesto en el artí­culo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un paí­s tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artí­culo 25, siempre y cuando:

a) el interesado haya dado su consentimiento inequí­vocamente a la transferencia prevista, o

b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero, o

d) La transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legí­timo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta.

2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer paí­s que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artí­culo 25, cuando el responsable del tratamiento ofrezca garantí­as suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así­ como respecto al ejercicio de los respectivos derechos; dichas garantí­as podrán derivarse, en particular, de cláusulas contractuales apropiadas.

3. Los Estados miembros informarán a la Comisión y a los demás Estados miembros acerca de las autorizaciones que concedan con arreglo al apartado 2.

En el supuesto de que otro Estado miembro o la Comisión expresaren su oposición y la justificaren debidamente por motivos derivados de la protección de la vida privada y de los derechos y libertades fundamentales de las personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento establecido en el apartado 2 del artí­culo 31.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

4. Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artí­culo 31, que determinadas cláusulas contractuales tipo ofrecen las garantí­as suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

CAPíTULO V CÓDIGOS DE CONDUCTA

Artí­culo 27

1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.

2. Los Estados miembros establecerán que las asociaciones profesionales, y las demás organizaciones representantes de otras categorí­as de responsables de tratamientos, que hayan elaborado proyectos de códigos nacionales o que tengan la intención de modificar o prorrogar códigos nacionales existentes puedan someterlos a examen de las autoridades nacionales.

Los Estados miembros establecerán que dicha autoridad vele, entre otras cosas, por la conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus representantes.

3. Los proyectos de códigos comunitarios, así­ como las modificaciones o prórrogas de códigos comunitarios existentes, podrán ser sometidos a examen del grupo contemplado en el artí­culo 29. í‰ste se pronunicará, entre otras cosas, sobre la conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, el Grupo recogerá las observaciones de los interesados o de sus representantes. La Comisión podrá efectuar una publicidad adecuada de los códigos que hayan recibido un dictamen favorable del grupo.

CAPíTULO VI AUTORIDAD DE CONTROL Y GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

Artí­culo 28

Autoridad de control

1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal.

3. La autoridad de control dispondrá, en particular, de:

- poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

- poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artí­culo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones polí­ticas nacionales;

- capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artí­culo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido lugar una verificación.

5. Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado.

6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artí­culo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí­ en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.

7. Los Estados miembros dispondrán que los miembros y agentes de las autoridades de control estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre informaciones confidenciales a las que hayan tenido acceso.

Artí­culo 29

Grupo de protección de las personas en lo que respecta al tratamiento de datos personales.

1. Se crea un grupo de protección de las personas en lo que respecta al tratamiento de datos personales, en lo sucesivo denominado * «Grupo* ».

Dicho Grupo tendrá carácter consultivo e independiente.

2. El Grupo estará compuesto por un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro, por un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión.

Cada miembro del Grupo será designado por la institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades de control, éstas nombrarán a un representante común. Lo mismo harán las autoridades creadas por las instituciones y organismos comunitarios.

3. El Grupo tomará sus decisiones por mayorí­a simple de los representantes de las autoridades de control.

4. El Grupo elegirá a su presidente. El mandato del presidente tendrá una duración de dos años. El mandato será renovable.

5. La Comisión desempeñará las funciones de secretarí­a del Grupo.

6. El Grupo aprobará su reglamento interno.

7. El Grupo examinará los asuntos incluidos en el orden del dí­a por su presidente, bien por iniciativa de éste, bien previa solicitud de un representante de las autoridades de control, bien a solicitud de la Comisión.

Artí­culo 30

1. El Grupo tendrá por cometido:

a) estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea;

b) emitir un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en los paí­ses terceros;

c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de medidas adicionales o especí­ficas que deban adoptarse para salvaguardar los derechos y libertades de las personas fí­sicas en lo que respecta al tratamiento de datos personales, así­ como sobre cualquier otro proyecto de medidas comunitarias que afecte a dichos derechos y libertades;

d) emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria.

2. Si el Grupo comprobare la existencia de divergencias entre la legislación y la práctica de los Estados miembros que pudieren afectar a la equivalencia de la protección de las personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión.

3. El Grupo podrá, por iniciativa propia, formular recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad.

4. Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión y al Comité contemplado en el artí­culo 31.

5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones. A tal efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado.

6. El Grupo elaborará un informe anual sobre la situación de la protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los paí­ses terceros, y lo transmitirá al Parlamento Europeo, al Consejo y a la Comisión. Dicho informe será publicado.

CAPíTULO VII MEDIDAS DE EJECUCIÓN COMUNITARIAS

Artí­culo 31

El Comité

1. La Comisión estará asistida por un Comité compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión.

2. El representante de la Comisión presentará al Comité un proyecto de las medidas que se hayan de adoptar. El Comité emitirá su dictamen sobre dicho proyecto en un plazo que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate.

El dictamen se emitirá según la mayorí­a prevista en el apartado 2 del artí­culo 148 del Tratado. Los votos de los representantes de los Estados miembros en el seno del Comité se ponderarán del modo establecido en el artí­culo anteriormente citado. El presidente no tomará parte en la votación.

La Comisión adoptará las medidas que serán de aplicación inmediata. Sin embargo, si dichas medidas no fueren conformes al dictamen del Comité, habrán de ser comunicadas sin demora por la Comisión al Consejo. En este caso:

- la Comisión aplazará la aplicación de las medidas que ha decidido por un perí­odo de tres meses a partir de la fecha de dicha comunicación;

- el Consejo, actuando por mayorí­a cualificada, podrá adoptar una decisión diferente dentro del plazo de tiempo mencionado en el primer guión.

DISPOSICIONES FINALES

Artí­culo 32

1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva, a más tardar al final de un perí­odo de tres años a partir de su adopción.

Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Los Estados miembros velarán por que todo tratamiento ya iniciado en la fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas en virtud de la presente Directiva se ajuste a dichas disposiciones dentro de un plazo de tres años a partir de dicha fecha.

No obstante lo dispuesto en el párrafo primero, los Estados miembros podrán establecer que el tratamiento de datos que ya se encuentren incluidos en ficheros manuales en la fecha de entrada en vigor de las disposiciones nacionales adoptadas en aplicación de la presente Directiva, deba ajustarse a lo dispuesto en los artí­culos 6, 7 y 8 en un plazo de doce años a partir de la adopción de la misma. No obstante, los Estados miembros otorgarán al interesado, previa solicitud y, en particular, en el ejercicio de su derecho de acceso, el derecho a que se rectifiquen, supriman o bloqueen los datos incompletos, inexactos o que hayan sido conservados de forma incompatible con los fines legí­timos perseguidos por el responsable del tratamiento.

3. No obstante lo dispuesto en el apartado 2, los Estados miembros podrán disponer, con sujeción a las garantí­as adecuadas, que los datos conservados únicamente a efectos de investigación histórica no deban ajustarse a lo dispuesto en los artí­culos 6, 7 y 8 de la presente Directiva.

4. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artí­culo 33

La Comisión presentará al Consejo y al Parlamento Europeo periódicamente y por primera vez en un plazo de tres años a partir de la fecha mencionada en el apartado 1 del artí­culo 32 un informe sobre la aplicación de la presente Directiva, acompañado, en su caso, de las oportunas propuestas de modificación. Dicho informe será publicado.

La Comisión estudiará, en particular, la aplicación de la presente Directiva al tratamiento de datos que consistan en sonidos e imágenes relativos a personas fí­sicas y presentará las propuestas pertinentes que puedan resultar necesarias en función de los avances de la tecnologí­a de la información, y a la luz de los trabajos de la sociedad de la información.

Artí­culo 34

Los destinatarios de la presente Directiva serán los Estados miembros.

Hecho en Luxemburgo, el 24 de octubre de 1995.

Por el Parlamento Europeo

El Presidente

K. HAENSCH

Por el Consejo

El Presidente

L. ATIENZA SERNA

(1) DO n* ° C 277 de 5. 11. 1990, p. 3 y DO n* ° C 311 de 27. 11. 1992, p. 30.

(2) DO n* ° 159 de 17. 6. 1991, p. 38.

(3) Dictamen del Parlamento Europeo de 11 de marzo de 1992 (DO n* ° C 94 de 13. 4. 1992, p. 198), confirmado el 2 de diciembre de 1993 (DO n* ° C 342 de 20. 12. 1993, p. 30); posición común del Consejo de 20 de febrero de 1995 (DO n* ° C 93 de 13. 4. 1995, p. 1) y Decisión del Parlamento Europeo de 15 de junio de 1995 (DO n* ° C 166 de 3. 7. 1995).

(1) DO n* ° L 197 de 18. 7. 1987, p. 33.