DG XV D/5027/97. Grupo de Trabajo sobre la protección de las personas en lo referente al tratamiento de datos personales, aprobado por el grupo de trabajo el 3 de diciembre de 1997
COMISIÓN DE LAS COMUNIDADES EUROPEAS
DIRECCIÓN GENERAL XV
MERCADO INTERIOR Y SERVICIOS FINANCIEROS
Libre circulación de la información, Derecho de sociedades e información financiera
Libre circulación de la información, protección de datos y sus aspectos internacionales
XV/5027/97-ES final
WP (8) Grupo de Trabajo sobre la protección de las personas en lo referente al tratamiento de datos personales
Documento de trabajo: Notificación
Aprobado por el grupo de trabajo el 3 de diciembre de 1997
1. INTRODUCCIÓN
La sección IX(1) del capítulo II de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“la Directiva”) se ocupa de la notificación a las autoridades de control nacionales (“las autoridades”) de las operaciones de tratamiento de datos.
El grupo de trabajo, de acuerdo con el mandato establecido en el artículo 30 1 a) de la Directiva, inició durante su segunda reunión los debates sobre la posible aplicación de las disposiciones de la Directiva relativas a la notificación. Las delegaciones de Francia, Países Bajos y Reino Unido presentaron documentos de trabajo que versaban específicamente sobre la simplificación y la exención de la obligación de notificar el tratamiento de datos a las autoridades.
Con respecto a la simplificación y a la exención de la obligación de notificar, la delegación alemana presentó un documento de trabajo sobre el papel que desempeña en Alemania el encargado de la protección de datos independiente (encargado de la protección de datos interno) mencionado en el apartado 2 del artículo 18 de la Directiva.(2) La discusión sobre este tema continuó durante la tercera reunión, a raíz de la presentación realizada por representantes de los encargados de protección de datos de Alemania.
Se llegó a la conclusión de que el grupo de trabajo podría servir de ayuda para interpretar las disposiciones pertinentes de la Directiva. La experiencia de algunas delegaciones con respecto a la aplicación de disposiciones nacionales actuales muy parecidas a las de la Directiva podría mostrar cómo funcionan las diferentes opciones en ella establecidas.
La discusión demostró que la especificación de fines en el momento de efectuar la notificación desempeña un papel importante en la aplicación del principio de especificación de objetivos(3). El papel de los “objetivos notificados” en las actuales legislaciones nacionales varía en los distintos sistemas legales, y el nivel de detalle de la descripción de estos objetivos varía no sólo entre los Estados miembros sino también dentro de ellos.
El grupo de trabajo acordó intercambiar modelos de formularios de notificación para estudiar el tipo de especificación de objetivos de los diferentes Estados miembros. Estos modelos se distribuyeron durante la tercera reunión.
En la cuarta reunión se discutió una versión anterior del presente texto.
En la quinta reunión se intercambiaron ejemplos de descripción de los objetivos de las operaciones de tratamiento de datos llevadas a cabo por un banco, una consulta médica y una compañía telefónica.
(1) En particular los artículos 18 a 20.
(2) Documento de trabajo 1, debatido durante la segunda reunión.
(3) También denominado principio de “finalidad”.
La sección que sigue esboza la historia legislativa de las disposiciones pertinentes de la Directiva. La sección tres resume algunas de las principales características de la situación legislativa actual a nivel nacional. La sección final extrae algunas conclusiones preliminares y plantea algunas cuestiones en cuanto al modo de actuar del grupo de trabajo en relación con la notificación.
2. HISTORIA LEGISLATIVA DE LAS DISPOSICIONES PERTINENTES DE LA DIRECTIVA.
La propuesta original de la Comisión(4) contenía dos disposiciones que se ocupaban de la notificación: el artículo 7, dedicado a los ficheros del sector público, y el artículo 11, dedicado a los ficheros del sector privado. El considerando 13 dejaba claro que la finalidad de ambas disposiciones era la misma: asegurar la “transparencia indispensable para el ejercicio del derecho de acceso del interesado a los datos que le conciernen”. La notificación sólo era obligatoria en relación con ficheros “cuyos datos sean susceptibles de comunicación”.
Algunas enmiendas parlamentarias modificaron substancialmente estas disposiciones. La propuesta modificada siguiendo las enmiendas del Parlamento supuso una reestructuración de todo el sistema de notificación.
Se suprimió la distinción entre sector público y sector privado y se aplicaron las normas sobre la notificación a todas las operaciones de tratamiento. Sin embargo, en la exposición de motivos se subrayaba el hecho de que el alcance potencial de la obligación de notificar debía entenderse en conjunción con la introducción de exenciones y simplificaciones de la notificación.
También se modificó el objetivo global de la notificación: debería servir de base para el control selectivo de la legitimidad de las operaciones de tratamiento a cargo de la autoridad de control.
Algunos aspectos de la propuesta modificada contribuyen en efecto a limitar los requisitos burocráticos innecesarios. Una sola notificación podía servir para un grupo de operaciones de tratamiento dirigidas a alcanzar un único objetivo. Además, no se exigía a los responsables de los ficheros que dieran demasiados detalles, pues la notificación no tenía que mencionar más que las categorías de interesados, de destinatarios y de datos. No se exigía la notificación del tratamiento de datos relativo a miembros y contactos habituales de los organismos sin ánimo de lucro mencionados en el artículo 8 2 d. Por último, se estableció que la notificación del tratamiento de datos personales no automático fuera opcional.
Sin embargo, la propuesta modificada no tenía como única finalidad limitar y simplificar la obligación de notificar, sino que, siguiendo los deseos del Parlamento, se proponía establecer un sistema de tres fases que, al mismo tiempo que evitaría unos requisitos burocráticos excesivos, proporcionaría diferentes niveles de protección contra los riesgos que plantean los distintos tipos de operaciones de tratamiento.
(4) COM (90) 314 final – SYN 287.
Se introdujo un sistema de autorización preventiva en relación con las operaciones de tratamiento que presentaban “riesgos específicos”. El informe explicativo hacía referencia al tratamiento de datos delicados, a “listas negras” y a “operaciones dirigidas a informar a terceros de la solvencia de particulares”, como ejemplos de operaciones de tratamiento que podían exigir un control previo.
El texto final de las disposiciones sobre la notificación mantuvo la estructura global de la propuesta modificada. Sin embargo, se añadieron la simplificación y las exenciones de la obligación de notificar en relación con los registros públicos y en los casos en que el responsable del fichero, de acuerdo con la legislación nacional, nombra un encargado interno de la protección de datos.
El considerando 48 deja claro que el propósito de los procedimientos de notificación es desvelar los objetivos y las principales características de la operación de tratamiento, con el fin de controlar el cumplimiento de la legislación sobre protección de datos.
El considerando 52 expone que el control a posteriori es el modo habitual de control ejercido por las autoridades. Los considerandos 53 y 54 confirman que el control previo constituye un procedimiento en cierto modo excepcional que solo ha de emplearse en relación con riesgos específicos.
3. SITUACIÓN ACTUAL EN LAS LEGISLACIONES NACIONALES
La notificación del tratamiento de datos a las autoridades existe actualmente en todas las leyes nacionales de protección de datos. Sin embargo, el alcance de la obligación de notificar varía.
En España, Luxemburgo, Austria, Portugal, Suecia y el Reino Unido, generalmente todas las operaciones de tratamiento que están dentro del ámbito de aplicación de la ley de protección de datos(5) han de ser notificadas a las autoridades competentes.
Algunos de estos países están en la actualidad simplificando los requisitos de notificación o introduciendo exenciones de la obligación de notificar. En algunos casos, los sistemas generales de notificación demostraron ser muy costosos para las autoridades de protección de datos. Además, se comprobó la dificultad de realizar un control sustancial basado en las notificaciones.
En Bélgica y en los Países Bajos se ha eximido de la notificación a las operaciones de tratamiento más corrientes y con menos riesgo, por medio de una ley gubernamental en el marco de la legislación general de protección de datos. Las exenciones abarcan una proporción muy amplia del tratamiento de datos en su conjunto (estimaciones de alrededor del 80%).
(5) En algunos de estos países la ley de protección de datos sólo se aplica hoy en día a los datos procesados por medios automatizados. Otro tipo de operaciones de tratamiento pueden no estar cubiertas en algunos países por la ley de protección de datos. Así, en el Reino Unido, por ejemplo, están exentos de la aplicación de la mayoría de las disposiciones de la ley de protección de datos los datos personales destinados a un uso doméstico o recreativo, la información que la ley exige se haga pública, los datos relacionados con la seguridad nacional, la gestión de nóminas, pensiones y contabilidad, los clubes de miembros no inscritos en un registro oficial y las listas de buzoneo.
En Francia, las operaciones más corrientes y con menos riesgo están sujetas a una notificación simplificada en la que el responsable del fichero declara simplemente que los datos se procesan de acuerdo con lo que se llama una “norme simplifiée” predefinida por la Commission Nationale Informatique et Libertés (CNIL). Hasta ahora se han definido cuarenta de estas “normes simplifiées”, que cubren la gran mayoría de las operaciones de tratamiento (el 75% de las notificaciones de 1995 fueron simplificadas).
En Italia se han introducido gradualmente varias exenciones de la notificación, por medio de decretos aprobados en el marco de la legislación general de protección de datos. Estas exenciones se aplican a determinadas categorías de operaciones de tratamiento y están sujetas a unas condiciones detalladas.
En Dinamarca(6), Alemania, Irlanda y Finlandia la obligación de notificar sólo implica a determinadas operaciones de tratamiento.(7)
La notificación se hace normalmente mediante formularios impresos especiales. En Bélgica también se puede hacer sobre disquetes de ordenador.(8) En el Reino Unido el registro puede hacerse en parte por vía telefónica, aunque el solicitante debe rellenar un formulario impreso en el que se ofrece información complementaria. Por lo general, los formularios de notificación pueden cubrir todo tipo de operaciones de tratamiento. En el Reino Unido se han creado sin embargo plantillas especiales, que son formularios de notificación normales en los que se han destacado todas las partes que suelen ser importantes para un tipo determinado de responsables de ficheros.
Los formularios de notificación incluyen normalmente detalles sobre el responsable del fichero y sobre las operaciones de tratamiento como, por ejemplo, tipo de datos que se procesan, objetivos, personas con acceso a los datos, etc.
Un elemento clave de la notificación es la descripción del objetivo de la operación de tratamiento. La práctica en relación con la especificación de fines varía en los diferentes Estados miembros.
En Bélgica y el Reino Unido se adjunta al formulario de notificación una lista de objetivos predefinidos. Por lo general, los responsables de los ficheros no tienen más que elegir uno de estos objetivos(9), aunque en ninguno de los dos países están obligados a hacerlo.
(6) En Dinamarca, la obligación de notificar se aplica a todas las operaciones de tratamiento de datos del sector público, pero solamente a determinadas operaciones del sector privado.
(7) En Alemania, los organismos federales del sector público deben notificar al comisario federal de protección de datos y a los organismos y comisarios de los Länder, aunque no es un requisito exigido en todos ellos. En el sector privado, sólo deben cumplir la obligación de notificar los operadores de calificación de riesgos, las agencias de comercialización directa y las organizaciones que procesan datos en nombre de otros. En Finlandia debe notificarse el tratamiento de datos para comercialización directa, estudio de opinión o de mercado e información telefónica.
(8) Este tipo de notificación se fomenta mediante una tasa de notificación bastante más baja.
(9) En Bélgica hay unos 54 objetivos predefinidos, y 70 en el Reino Unido.
Pueden añadir en su lugar una descripción en texto libre del objetivo en cuestión.
Los debates durante la segunda reunión y los modelos de notificación intercambiados durante la tercera han demostrado que los responsables de los ficheros tienden a ofrecer descripciones muy breves y a menudo genéricas de los objetivos de su operación de tratamiento.
En la mayoría de los Estados miembros, el análisis de la compatibilidad de la operación con la finalidad del tratamiento de datos, al aplicar la Directiva a posteriori, no se hace en relación con la descripción abstracta del tratamiento sino referido al objetivo material de la operación concreta de que se trata.
La exposición de objetivos demasiado genéricos en la notificación despoja a ésta de su función. Una descripción genérica de objetivos impide a las autoridades de protección de datos determinar si una operación de tratamiento cumple la ley o no, y tiene muy poca utilidad para los ciudadanos que consultan el registro público de operaciones de tratamiento.
4. CONCLUSIONES
La notificación contribuye a respetar los principios de la Directiva, pues para efectuarla los responsables de los ficheros deben evaluar y describir sus operaciones de tratamiento y definir previamente qué datos se van a utilizar y con qué fines. Para desempeñar adecuadamente estas funciones y contribuir a la transparencia del tratamiento de datos, la información proporcionada no debe ser genérica, sino específica.
Es muy importante que los objetivos de las operaciones de tratamiento se especifiquen adecuadamente. Las definiciones demasiado genéricas privan al sistema de notificaciones de su utilidad. Ni los interesados ni las autoridades de control estarán en disposición de valorar la operación notificada ni si las diversas operaciones planeadas o realizadas por los responsables de los ficheros son compatibles con el objetivo para el que los datos originalmente se recogieron o se han seguido procesando.
Evaluar si una determinada operación es compatible con el objetivo para el que los datos se recogieron originalmente y que quizá haya habido que notificar a la autoridad de protección de datos es una de las tareas más difíciles e importantes a la hora de verificar el cumplimiento de la legislación. El grupo de trabajo está decidido a crear métodos comunes de evaluación de la compatibilidad del objetivo de las operaciones de tratamiento de datos.
La existencia de divergencias significativas en la descripción de este objetivo en los distintos Estados miembros no sólo supondría una carga para los responsables de los ficheros, sino que podría poner en peligro la equivalencia del nivel de protección dentro de la Comunidad. El análisis de cómo se organiza actualmente la notificación a nivel nacional demuestra que entre los Estados miembros no hay diferencias fundamentales en cuanto al planteamiento de la descripción de objetivos . Sin embargo, sí varían el tipo y la cantidad de detalles que se proporcionan, dependiendo de los diferentes procedimientos nacionales y según la estructura de los formularios de notificación.
Un exceso de requisitos burocráticos en relación con la notificación no sólo constituye una carga para las empresas, sino que mina el fundamento de la notificación al convertirse en una carga excesiva para las autoridades de protección de datos. Algunos países han introducido o han manifestado su interés por una notificación simplificada o por exenciones de la notificación. Conforme a la Directiva, pueden acordarse notificaciones simplificadas o exenciones de la obligación de notificar a operaciones de tratamiento de datos que es poco probable que menoscaben los derechos y libertades de los interesados.
En relación con estas operaciones de tratamiento deben especificarse algunos elementos.(10) También puede otorgarse una notificación simplificada o exenciones cuando el responsable del tratamiento designa, con arreglo a la legislación nacional, un encargado de la protección de datos interno que debe asegurarse de que no es probable que las operaciones de tratamiento mermen los derechos y libertades de los interesados. Para actuar de acuerdo con la Directiva, este encargado debe garantizar al menos, de una manera independiente, la aplicación de las disposiciones nacionales aprobadas conforme a la Directiva, y llevar el registro de operaciones de tratamiento que contenga la información que normalmente aparecería en el registro público pertinente. ²
La introducción de encargados internos de la protección de datos hace menos necesaria la supervisión centralizada. El grupo de trabajo defiende la introducción de estos encargados, ya sea de manera obligatoria o voluntaria. No obstante, es necesario dar a los encargados los medios para desempeñar sus tareas de un modo eficaz. Si las facultades y recursos concedidos a los encargados internos de la protección de datos resultaran insuficientes para asegurarse de que no es probable que los derechos y libertades de los interesados se vean mermados, dejaría de estar justificado anular las exigencias de notificación ordinaria.
La independencia efectiva de estos encargados a la hora de asegurar la aplicación de la legislación sobre protección de datos resulta esencial para garantizar los derechos de los interesados y el cumplimiento de la legislación. Deben ofrecerse garantías de que los encargados de la protección de datos ejercen sus funciones con independencia, sobre todo respecto de las jerarquías.
Existe un cierto grado de coherencia en relación con las categorías de operaciones que no es probable que menoscaben los derechos y libertades de los interesados. Entre ellas están el tratamiento de datos relacionado con la gestión de nóminas, contabilidad, socios y accionistas, clientes y proveedores, etc.
El grupo de trabajo está decidido a continuar su labor para llegar a la definición de una lista de operaciones de tratamiento que, independientemente del procedimiento adoptado por los Estados miembros para la incorporación de las disposiciones pertinentes de la Directiva, podría usarse como referencia al decidir qué operaciones es menos probable que mermen los derechos y libertades de los interesados.
(10) “[…] los fines de los tratamientos, los datos o categorías de datos tratados, la categoría o categorías de los interesados, los destinatarios o categorías de destinatarios a los que se comuniquen los datos y el período de conservación de los datos” (apartado 2 del artículo 18).
La utilización de medios distintos a los formularios impresos hace que la notificación sea más eficaz tanto para los responsables de los ficheros como para las autoridades. El grupo de trabajo apoya el uso de estas formas de notificación como una manera de reducir los costes de cumplimiento de los operadores económicos y de permitir que la supervisión a cargo de las autoridades sea menos costosa y más eficaz.
Una de las funciones de la notificación es la de informar a los ciudadanos sobre las operaciones de tratamiento de datos a través del registro público pertinente. El grupo de trabajo considera muy importante que el registro sea fácilmente accesible al público y se interesa por los proyectos que permiten el acceso a los registros públicos vía Internet.
Señala además la necesidad de adoptar medidas protectoras adecuadas para impedir un uso indebido de los datos personales que figuran en los registros de operaciones de tratamiento