Dictamen 99/5, de 7 de junio de 1999

Dictamen 99/5, sobre el nivel de protección de los datos personales en Suiza, adoptado  el 7 de junio  de 1999 por el Grupo de trabajo de protección de las personas con respecto al tratamiento de datos de carácter personal  (DG XV D 5054/99/final WP 22).

WP 22 Grupo de trabajo sobre la protección de las personas por lo que respecta al tratamiento de datos personales

Dictamen 5/99 sobre el nivel de protección de los datos personales en Suiza.

 

Adoptado el 7 de junio de 1999

Se informó al Grupo(1) de la preparación por parte de la Comisión Europea de un proyecto de decisión basado en el apartado 6 del artículo 25 de la Directiva 95/46/CE, en el que se constata que Suiza, a resultas de su legislación interna, garantiza un nivel de protección adecuado, según lo dispuesto en el apartado 2 del artículo 25 de dicha Directiva.

Con vistas a emitir un dictamen para la Comisión Europea, asistida por el Comité creado por el artículo 31 de la Directiva 95/46/CE, el Grupo ha procedido a efectuar un análisis de las disposiciones sobre protección de datos aplicables en Suiza(2) .

A este respecto, debe establecerse una distinción entre la situación legislativa existente a escala federal (reglamentada por la ley sobre protección de datos de 19 de junio de 1992, modificada y completada posteriormente por la resolución del Consejo federal de 14 de junio de 1993) y la situación existente en cada uno de los cantones.

Habida cuenta de la distribución de competencias entre la Confederación y los cantones, la ley federal se aplica a los tratamientos de datos personales efectuados en el conjunto del sector privado suizo, así como a los tratamientos efectuados por las entidades públicas federales; por su parte, las disposiciones cantonales regulan los tratamientos de datos personales efectuados por el sector público cantonal o municipal. Son competencia de los cantones, por ejemplo, los tratamientos efectuados en los sectores de policía, educación y sanidad, y en concreto los hospitales públicos.

Para ser precisos, hay que especificar que los cantones tienen también que efectuar algunos tratamientos de datos personales en cumplimiento del derecho federal, por ejemplo para la percepción de impuestos federales.

Antes de examinar las normas legislativas federales y cantonales, es necesario tener en cuenta de antemano que las normas federales y cantonales deberían ajustarse a las normas que resultan:

– por una parte, del Convenio del Consejo de Europa para la protección de las personas respecto al tratamiento automatizado de los datos personales (Convenio nº 108), convenio ratificado por Suiza el 2 de octubre 1997 y que, sin ser directamente aplicable, establece compromisos internacionales tanto para la federación como para los cantones;

– por otra parte, de la Constitución federal (modificada por votación popular el pasado 18 de abril), tal como la interpreta la jurisprudencia del Tribunal federal. Se debe destacar que el nuevo texto constitucional concede a cualquier persona el derecho al respeto de su intimidad y, en particular, el derecho a protegerse contra el empleo abusivo de datos que le conciernan (artículo 13 relativo a la protección de la esfera privada).

(1) Creado por el artículo 29 de la Directiva 95/46/CE del Parlamento europeo y del Consejo de 24 octubre 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, 23 de noviembre de 1995, p. 31.Puede consultarse en: http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm.

(2) Para tener información más precisa sobre determinados puntos, el Presidente del Grupo escribió una carta al Representante federal para la protección de los datos con fecha de 15 de marzo de 1999. Éste respondió el 24 de marzo de 1999. Por otra parte, la Secretaría del Grupo ha mantenido diversos contactos con el Representante federal.

 

1. En opinión del Grupo, la ley federal sobre protección de datos garantiza un nivel de protección adecuado.

En su documento de trabajo adoptado el 24 de julio de 1998 relativo a las transferencias de datos personales hacia terceros países(3), el Grupo explicó las exigencias de la Directiva y enumeró los elementos concretos que deberían tenerse en cuenta para la evaluación del nivel de protección adecuado. A la vista de un cuadro de correspondencias entre las exigencias de la Directiva y las disposiciones de la ley federal4, resulta que la ley federal, que se aplica a los tratamientos automatizados de datos y a los tratamientos manuales, prevé el conjunto de principios enumerados en el documento de trabajo antes citado, tanto por lo que respecta a los principios de protección de las personas como a los mecanismos encaminados a garantizar una aplicación efectiva de los principios básicos.

Deben hacerse no obstante precisiones acerca del principio de transparencia y de la protección de datos sensibles.

Téngase en cuenta que el principio de transparencia está previsto, de forma explícita, para el caso particular de recogida sistemática de datos por un organismo federal. Sin embargo este principio se deriva, generalmente, del principio de buena fe del párrafo 2 del artículo 4 de la ley.5

La ley no prevé en absoluto la prohibición del tratamiento de los datos sensibles, sino que inserta disposiciones específicas para su tratamiento, así como para los perfiles personales, sujetos a las mismas normas de protección: el artículo 17 dispone que estos datos sólo pueden ser tratados por organismos federales si una ley lo prevé expresamente o si, en circunstancias excepcionales, una tarea definida en una ley lo exige absolutamente, si el Consejo federal lo ha autorizado, o si la persona interesada ha dado su consentimiento o ha hecho los datos accesibles para todo el mundo. Por lo que se refiere al sector privado, el apartado 1 del artículo 13 supedita el tratamiento de cualquier dato al consentimiento de la persona, a un interés público o privado preponderante o a una autorización legal; el artículo 12 prohíbe la comunicación a terceros de datos sensibles, de no existir motivos que lo justifiquen. Finalmente, la protección de los datos sensibles se ve reforzada por el artículo 35 de la ley, que prevé sanciones penales contra toda persona que viole el deber de discreción revelando tales datos de manera ilícita.

(3) Disponible en la dirección indicada en la nota nº1.

(4) Documento 5007/99, disponible en los servicios de la Comisión Europea, Dirección General XV “Mercado interior y servicios financieros”, Unidad E1 “Libre circulación de la información, protección de datos”, Rue de la Loi 200, B – 1049 Bruselas.

(5) Esta interpretación la confirmó el Representante federal en sus contactos informales con los servicios de la Comisión.

 

2. La situación en los cantones es más difícil de evaluar. (6) Los elementos de valoración siguientes aparecen no obstante a la luz del estudio hecho a petición de los servicios de la Comisión(7) que se refiere más concretamente a la legislación de varios cantones e indicaciones proporcionadas por el funcionario federal:

– las legislaciones adoptadas por los cantones se inspiran ampliamente en el Convenio 108, observación obviamente coherente con los compromisos de Suiza que resultan de su ratificación del Convenio;

– los tratamientos de datos personales deben responder, en particular, a los principios generales que se derivan de la jurisprudencia del Tribunal federal relativa al artículo 4 de la Constitución federal (igualdad de trato) y a la libertad personal que determina un tipo mínimo en cuanto a protección de los datos (sobre todo por lo que se refiere a los principios de calidad de los datos: legalidad, buena fe, finalidad, proporcionalidad o exactitud) o el derecho de acceso, rectificación o destrucción. Esta jurisprudencia debería confirmarse, o incluso probablemente reforzarse, sobre la base del nuevo texto constitucional antes citado;

– cuando no está sujeto a disposiciones cantonales de protección de datos, el tratamiento de datos personales por organismos cantonales efectuados en cumplimiento del derecho federal está reglamentado por la ley federal. Además, para estos tratamientos los cantones deben contar con un organismo encargado de velar por el respeto de la protección de los datos y que goce de las mismas competencias que el Representante federal. Tal es el caso, en particular, del tratamiento de datos de seguridad social y de los tratamientos de datos en los ámbitos del derecho de extranjería o del derecho de asilo, impuestos federales o estadística;

– algunos tratamientos de datos deben obedecer a normas específicas de confidencialidad, como por ejemplo el tratamiento de datos médicos en hospitales públicos, sometido a secreto médico. En conclusión, el Grupo recomienda a la Comisión y al Comité establecido por el artículo 31 de la Directiva 95/46/EC constatar que Suiza garantiza un nivel de protección adecuado según lo dispuesto en el apartado 6 del artículo 25 de esta Directiva.

-17 disponen de legislación propia en cuanto a protección de los datos (…); tres de ellos, por otra parte, introducen una disposición de protección de los datos en su constitución cantonal;

– 4 han adoptado directivas gubernamentales; dos también han introducido una disposición en su constitución cantonal y uno de ellos tiene un proyecto de ley;

– los demás cantones no tienen normativa cantonal específica (tres de ellos están desarrollando un proyecto de ley).

(6)De los 26 Cantones con que cuenta la Confederación:

(7) Disponible en los servicios de la Comisión Europea. Véase arriba la dirección en nota 4.

 

Hecho en Bruselas el 7 de junio de 1999

Por el Grupo

Peter HUSTINX

Presidente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.