Directiva 2002/58/CE, de 12 de julio, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 95, Vista la propuesta de la Comisión(1),
Visto el dictamen del Comité Económico y Social(2),
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento establecido en el artículo 251 del Tratado(3),
Considerando lo siguiente:
(1) La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos(4), insta a los Estados miembros a garantizar los derechos y libertades de las personas físicas en lo que respecta al tratamiento de los datos personales y, en especial, su derecho a la intimidad, de forma que los datos personales puedan circular libremente en la Comunidad.
(2) La presente Directiva pretende garantizar el respeto de los derechos fundamentales y observa los principios consagrados, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea. Señaladamente, la presente Directiva pretende garantizar el pleno respeto de los derechos enunciados en los artículos 7 y 8 de dicha Carta.
(3) La confidencialidad de las comunicaciones está garantizada de conformidad con los instrumentos internacionales relativos a los derechos humanos, especialmente el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales y las constituciones de los Estados miembros.
(4) La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones(5), tradujo los principios establecidos en la Directiva 95/46/CE en normas concretas para el sector de las telecomunicaciones. La Directiva 97/66/CE debe ser adaptada al desarrollo de los mercados y de las tecnologías de los servicios de comunicaciones electrónicas para que el nivel de protección de los datos personales y de la intimidad ofrecido a los usuarios de los servicios de comunicaciones electrónicas disponibles al público sea el mismo, con independencia de las tecnologías utilizadas. Procede, pues, derogar dicha Directiva y sustituirla por la presente.
(5) Actualmente se están introduciendo en las redes públicas de comunicación de la Comunidad nuevas tecnologías digitales avanzadas que crean necesidades específicas en materia de protección de datos personales y de la intimidad de los usuarios. El desarrollo de la sociedad de la información se caracteriza por la introducción de nuevos servicios de comunicaciones electrónicas. El acceso a las redes móviles digitales está ya disponible y resulta asequible para un público muy amplio. Estas redes digitales poseen gran capacidad y muchas posibilidades en materia de tratamiento de los datos personales. El éxito del desarrollo transfronterizo de estos servicios depende en parte de la confianza de los usuarios en que no se pondrá en peligro su intimidad.
(6) Internet está revolucionando las estructuras tradicionales del mercado al aportar una infraestructura común mundial para la prestación de una amplia gama de servicios de comunicaciones electrónicas. Los servicios de comunicaciones electrónicas disponibles al público a través de Internet introducen nuevas posibilidades para los usuarios, pero también nuevos riesgos para sus datos personales y su intimidad.
(7) En el caso de las redes públicas de comunicación, deben elaborarse disposiciones legales, reglamentarias y técnicas específicas con objeto de proteger los derechos y libertades fundamentales de las personas físicas y los intereses legítimos de las personas jurídicas, en particular frente a la creciente capacidad de almacenamiento y tratamiento informático de datos relativos a abonados y usuarios.
(8) Deben armonizarse las disposiciones legales, reglamentarias y técnicas adoptadas por los Estados miembros para proteger los datos personales, la intimidad y los intereses legítimos de las personas jurídicas en el sector de las comunicaciones electrónicas, a fin de evitar obstáculos para el mercado interior de las comunicaciones electrónicas de conformidad con el artículo 14 del Tratado. La armonización debe limitarse a los requisitos necesarios para garantizar que no se vean obstaculizados el fomento y el desarrollo de los nuevos servicios y redes de comunicaciones electrónicas entre Estados miembros.
(9) Los Estados miembros, los proveedores y usuarios afectados y las instancias comunitarias competentes deben cooperar para el establecimiento y el desarrollo de las tecnologías pertinentes cuando sea necesario para aplicar las garantías previstas en la presente Directiva y teniendo especialmente en cuenta el objetivo de reducir al mínimo el tratamiento de los datos personales y de tratar la información de forma anónima o mediante seudónimos cuando sea posible.
(10) En el sector de las comunicaciones electrónicas es de aplicación la Directiva 95/46/CE, en particular para todas las cuestiones relativas a la protección de los derechos y las libertades fundamentales que no están cubiertas de forma específica por las disposiciones de la presente Directiva, incluidas las obligaciones del responsable del tratamiento de los datos y los derechos de las personas. La Directiva 95/46/CE se aplica a los servicios de comunicaciones electrónicas que no sean de carácter público.
(11) Al igual que la Directiva 95/46/CE, la presente Directiva no aborda la protección de los derechos y las libertades fundamentales en relación con las actividades no regidas por el Derecho comunitario. Por lo tanto, no altera el equilibrio actual entre el derecho de las personas a la intimidad y la posibilidad de que disponen los Estados miembros, según se indica en el apartado 1 del artículo 15 de la presente Directiva, de tomar las medidas necesarias para la protección de la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando las actividades tengan relación con asuntos de seguridad del Estado) y la aplicación del Derecho penal. En consecuencia, la presente Directiva no afecta a la capacidad de los Estados miembros para interceptar legalmente las comunicaciones electrónicas o tomar otras medidas, cuando sea necesario, para cualquiera de estos fines y de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, según la interpretación que se hace de éste en las sentencias del Tribunal Europeo de Derechos Humanos. Dichas medidas deberán ser necesarias en una sociedad democrática y rigurosamente proporcionales al fin que se pretende alcanzar y deben estar sujetas, además, a salvaguardias adecuadas, de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.
(12) Los abonados de un servicio de comunicaciones electrónicas disponible para el público pueden ser personas físicas o jurídicas. Al complementar la Directiva 95/46/CE, la presente Directiva pretende proteger los derechos fundamentales de las personas físicas y, en particular, su derecho a la intimidad, así como los intereses legítimos de las personas jurídicas. La presente Directiva no supone obligación alguna por parte de los Estados miembros de hacer extensiva la aplicación de la Directiva 95/46/CE a la protección de los intereses legítimos de las personas jurídicas, que está garantizada en el marco de la legislación comunitaria y nacional.
(13) La relación contractual entre un abonado y un proveedor de servicios puede implicar un pago periódico o único por el servicio prestado o por prestar. Las tarjetas de prepago se consideran asimismo un contrato.
(14) Los datos de localización pueden referirse a la latitud, la longitud y la altitud del equipo terminal del usuario, a la dirección de la marcha, al nivel de precisión de la información de la localización, a la identificación de la célula de red en la que está localizado el equipo terminal en un determinado momento o a la hora en que la información de localización ha sido registrada.
(15) Una comunicación puede incluir cualquier dato relativo a nombres, números o direcciones facilitado por el remitente de una comunicación o el usuario de una conexión para llevar a cabo la comunicación. Los datos de tráfico pueden incluir cualquier conversión de dicha información efectuada por la red a través de la cual se transmita la comunicación a efectos de llevar a cabo la transmisión. Los datos de tráfico pueden referirse, entre otras cosas, al encaminamiento, la duración, la hora o el volumen de una comunicación, al protocolo utilizado, a la localización del equipo terminal del remitente o destinatario, a la red en que se origina o concluye la transmisión, al principio, fin o duración de una conexión. También pueden referirse al formato en que la red conduce la comunicación.
(16) La información que forma parte de un servicio de radiodifusión suministrado en una red pública de comunicaciones y está dirigida a una audiencia potencialmente ilimitada no constituye una comunicación con arreglo a la presente Directiva. No obstante, en casos en que se pueda identificar al abonado o usuario individual que recibe dicha información, por ejemplo con servicios de vídeo a la carta, la información conducida queda incluida en el significado del término «comunicación» a efectos de la presente Directiva.
(17) A efectos de la presente Directiva, el consentimiento de un usuario o abonado, independientemente de que se trate de una persona física o jurídica, debe tener el mismo significado que el consentimiento de la persona afectada por los datos tal como se define y se especifica en la Directiva 95/46/CE. El consentimiento podrá darse por cualquier medio apropiado que permita la manifestación libre, inequívoca y fundada de la voluntad del usuario, por ejemplo mediante la selección de una casilla de un sitio web en Internet.
(18) Los servicios con valor añadido pueden consistir, por ejemplo, en recomendaciones sobre las tarifas menos costosas, orientación vial, información sobre tráfico, previsiones meteorológicas o información turística.
(19) La aplicación de determinados requisitos relativos a la presentación y a restricciones en la identificación de la línea de origen y de la línea conectada y al desvío automático de las llamadas a las líneas de abonado conectadas a centrales analógicas no debe ser obligatoria en aquellos casos particulares en los que dicha aplicación resulte imposible técnicamente, o en los que requiera un esfuerzo económico desproporcionado. Es importante que las partes interesadas sean informadas de dichos casos, y por consiguiente los Estados miembros deben notificarlos a la Comisión.
(20) Los proveedores de servicios deben tomar las medidas adecuadas para salvaguardar la seguridad de sus servicios, de ser necesario en conjunción con el suministrador de la red, e informar a los abonados de todo riesgo especial relativo a la seguridad de la red. Tales riesgos pueden presentarse especialmente en el caso de los servicios de comunicaciones electrónicas a través de una red abierta como Internet o de una red de telefonía móvil analógica. Resulta particularmente importante que los abonados y usuarios de tales servicios sean plenamente informados por su proveedor de servicios de los riesgos para la seguridad que escapan a posibles soluciones adoptadas por dicho proveedor de servicios. Los proveedores de servicios que ofrecen servicios de comunicaciones electrónicas disponibles al público a través de Internet deben informar a usuarios y abonados de las medidas que pueden adoptar para proteger la seguridad de sus comunicaciones, por ejemplo utilizando determinados tipos de soporte lógico o tecnologías de cifrado. La exigencia de informar a los abonados de riesgos de seguridad particulares no exime al proveedor del servicio de la obligación de tomar a sus expensas medidas inmediatas y adecuadas para solucionar cualesquiera riesgos nuevos e imprevistos de seguridad y restablecer el nivel normal de seguridad del servicio. El suministro de información sobre riesgos de seguridad al abonado debe ser gratuito, salvo los costes nominales en que pueda incurrir el abonado al recibir o recoger la información, por ejemplo al cargar un mensaje de correo electrónico. La seguridad se valora a la luz del artículo 17 de la Directiva 95/46/CE.
(21) Deben adoptarse medidas para evitar el acceso no autorizado a las comunicaciones a fin de proteger la confidencialidad de las mismas, incluidos tanto sus contenidos como cualquier dato relacionado con ellas, por medio de las redes públicas de comunicaciones y los servicios de comunicaciones electrónicas disponibles al público. La legislación nacional de algunos Estados miembros prohíbe solamente el acceso intencionado no autorizado a las comunicaciones.
(22) Al prohibirse el almacenamiento de comunicaciones, o de los datos de tráfico relativos a éstas, por terceros distintos de los usuarios o sin su consentimiento no se pretende prohibir el almacenamiento automático, intermedio y transitorio de esta información, en la medida en que sólo tiene lugar para llevar a cabo la transmisión en la red de comunicaciones electrónicas, y siempre que la información no se almacene durante un período mayor que el necesario para la transmisión y para los fines de la gestión del tráfico, y que durante el período de almacenamiento se garantice la confidencialidad. Cuando resulte necesario para hacer más eficaz la transmisión de toda información públicamente asequible a otros destinatarios del servicio a solicitud de los mismos, la presente Directiva no debe evitar que dicha información siga almacenada más tiempo, siempre que la misma sea, en cualquier caso, asequible al público sin restricciones y que se eliminen todos los datos relativos a los abonados o usuarios individuales que pidan tal información.
(23) La confidencialidad de las comunicaciones debe garantizarse también en el curso de las prácticas comerciales lícitas. Cuando sea necesario y esté legalmente autorizado, las comunicaciones podrán grabarse al objeto de proporcionar la prueba de una transacción comercial.
La Directiva 95/46/CE es de aplicación a este tipo de tratamiento. Los interlocutores en las comunicaciones deben ser informados con anterioridad a la grabación sobre la misma, su objeto y la duración de su almacenamiento. La comunicación grabada debe ser eliminada en cuanto sea posible y en cualquier caso a más tardar al concluir el plazo durante el cual dicha transacción puede ser impugnada jurídicamente.
(24) Los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda información almacenada en dichos equipos, forman parte de la esfera privada de los usuarios que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Los denominados «programas espía» (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Sólo debe permitirse la utilización de tales dispositivos con fines legítimos y con el conocimiento de los usuarios afectados.
(25) No obstante, los dispositivos de este tipo, por ejemplo los denominados «chivatos» (cookies), pueden constituir un instrumento legítimo y de gran utilidad, por ejemplo, para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea. En los casos en que estos dispositivos, por ejemplo los denominados «chivatos» (cookies), tengan un propósito legítimo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando. Los usuarios deben tener la posibilidad de impedir que se almacene en su equipo terminal un «chivato» (cookie) o dispositivo semejante. Esto es particularmente importante cuando otros usuarios distintos al usuario original tienen acceso al equipo terminal y, a través de éste, a cualquier dato sensible de carácter privado almacenado en dicho equipo. La información sobre la utilización de distintos dispositivos que se vayan a instalar en el equipo terminal del usuario en la misma conexión y el derecho a impedir la instalación de tales dispositivos se pueden ofrecer en una sola vez durante una misma conexión y abarcar asimismo cualquier posible utilización futura de dichos dispositivos en conexiones posteriores. La presentación de la información y del pedido de consentimiento o posibilidad de negativa debe ser tan asequible para el usuario como sea posible. No obstante, se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un «chivato» (cookie) o dispositivo similar, en caso de que éste tenga un propósito legítimo.
(26) Los datos relativos a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información contienen información sobre la vida privada de las personas físicas, y afectan al derecho de éstas al respeto de su correspondencia, o se refieren a los intereses legítimos de las personas jurídicas. Dichos datos sólo deben poder almacenarse en la medida en que resulten necesarios para la prestación del servicio, para fines de facturación y para los pagos de interconexión, y durante un tiempo limitado. Cualquier otro tratamiento de dichos datos que el proveedor de servicios de comunicaciones electrónicas disponibles al público pretenda llevar a cabo para la comercialización de servicios de comunicaciones electrónicas o para la prestación de servicios de valor añadido sólo puede permitirse si el abonado ha manifestado su consentimiento fundado en una información plena y exacta facilitada por el proveedor de servicios de comunicaciones electrónicas disponibles al público acerca del tipo de tratamiento que pretende llevar a cabo y sobre el derecho del abonado a denegar o a retirar su consentimiento a dicho tratamiento. Los datos sobre tráfico utilizados para la comercialización de los servicios de comunicaciones o para la prestación de servicios de valor añadido deben también eliminarse o hacerse anónimos tras la prestación del servicio. Los proveedores de servicios deben mantener siempre informados a los abonados de los tipos de dato que están tratando y de la finalidad y duración del tratamiento.
(27) El momento exacto en que finaliza la transmisión de una comunicación, tras el cual los datos de tráfico deberán eliminarse salvo a efectos de facturación, puede depender del tipo de servicio de comunicaciones electrónicas que se suministre. Por ejemplo, para una llamada de telefonía vocal la transmisión finalizará en cuanto uno de los usuarios interrumpa la conexión; para el correo electrónico la transmisión finaliza en cuanto el destinatario recoge el mensaje, en general del servidor de su proveedor de servicios.
(28) La obligación de eliminar datos de tráfico o de hacerlos anónimos cuando ya no se necesiten para la transmisión de una comunicación no entra en conflicto con procedimientos existentes en Internet como la prelectura en soporte rápido (caching), en el sistema de nombres de dominio, de direcciones IP o el caching de una dirección IP vinculada a una dirección física, o la utilización de información relativa al usuario para controlar el derecho de acceso a redes o servicios.
(29) De ser necesario, el proveedor del servicio puede tratar, en casos concretos, los datos de tráfico relacionados con los abonados y usuarios, a fin de detectar fallos o errores técnicos en la transmisión de las comunicaciones. El proveedor también puede tratar los datos de tráfico necesarios a efectos de facturación a fin de detectar y frenar el fraude consistente en la utilización sin pago de servicios de comunicaciones electrónicas.
(30) Los sistemas para el suministro de redes y servicios de comunicaciones electrónicas deben diseñarse de modo que se limite la cantidad de datos personales al mínimo estrictamente necesario. Cualesquiera actividades relacionadas con el suministro del servicio de comunicaciones electrónicas que vayan más allá de la transmisión de una comunicación y su facturación debe basarse en datos de tráfico acumulados que no puedan referirse a abonados o usuarios. Cuando dichas actividades no puedan basarse en datos acumulados, deben considerarse servicios con valor añadido para los cuales se requiere el consentimiento del abonado.
(31) El consentimiento que deberá obtenerse para el tratamiento de datos personales a efectos de proporcionar un particular servicio con valor añadido debe ser el del abonado o el del usuario, en función de los datos que deban tratarse y el tipo de servicio que se suministre y de que sea posible desde el punto de vista técnico, de procedimiento y del contrato distinguir la persona que utiliza un servicio de comunicaciones electrónicas de la persona física o jurídica que ha suscrito el mismo.
(32) Si el proveedor de un servicio de comunicaciones electrónicas o de un servicio con valor añadido subcontrata el tratamiento de datos personales necesario para la prestación de dichos servicios a otra entidad, dicha subcontratación y el tratamiento de datos subsiguiente deben cumplir plenamente los requisitos relativos a los responsables y a los encargados del tratamiento de datos personales que establece la Directiva 95/46/CE. Si la prestación de un servicio con valor añadido requiere que los datos de tráfico o de localización sean transmitidos por un proveedor de servicios de comunicaciones electrónicas hacia un proveedor de servicios con valor añadido, los abonados o usuarios a los que se refieran dichos datos deben asimismo estar plenamente informados sobre dicha transmisión antes de dar su consentimiento al tratamiento de los datos.
(33) La introducción de facturas desglosadas ha aumentado la posibilidad de que el abonado pueda comprobar que las tarifas aplicadas por el proveedor del servicio son correctas, pero, al mismo tiempo, puede poner en peligro la intimidad de los usuarios de servicios de comunicaciones electrónicas disponibles al público. Por consiguiente, a fin de proteger la intimidad de los usuarios, los Estados miembros deben fomentar el desarrollo de opciones de servicios de comunicaciones electrónicas tales como posibilidades de pago alternativas que permitan el acceso anónimo o estrictamente privado a los servicios de comunicaciones electrónicas disponibles al público, por ejemplo tarjetas de llamada y posibilidad de pago con tarjetas de crédito. Con idéntico propósito, los Estados miembros podrán pedir a los operadores que ofrezcan a sus abonados otro tipo de factura detallada en la que se omita cierto número de cifras del número llamado.
(34) Es necesario, por lo que respecta a la identificación de la línea de origen, proteger el derecho del interlocutor que efectúa la llamada a reservarse la identificación de la línea desde la que realiza dicha llamada y el derecho del interlocutor llamado a rechazar llamadas procedentes de líneas no identificadas. Está justificado anular la eliminación de la presentación de la identificación de la línea de origen en casos particulares. Determinados abonados, en particular las líneas de ayuda y otras organizaciones similares, tienen interés en garantizar el anonimato de sus interlocutores. Es necesario, por lo que respecta a la identificación de la línea conectada, proteger el derecho y el interés legítimo del interlocutor llamado a impedir la presentación de la identificación de la línea a la que está conectado realmente el interlocutor llamante, en particular en el caso de las llamadas que han sido desviadas. Los proveedores de servicios de comunicaciones electrónicas disponibles al público deben informar a sus abonados de la existencia de la identificación de líneas llamantes y conectadas en la red y de todos los servicios ofrecidos a partir de la identificación de las líneas llamantes y conectadas, así como sobre las opciones de confidencialidad disponibles. Esto permitirá a los abonados decidir con conocimiento de causa las posibilidades de confidencialidad que deseen utilizar. Las opciones de confidencialidad ofrecidas caso por caso no tienen que estar disponibles necesariamente como servicio de la red automática, pero sí obtenerse mediante simple solicitud al proveedor del servicio de comunicaciones electrónicas disponibles al público.
(35) En las redes móviles digitales se tratan los datos sobre localización que proporcionan la posición geográfica del equipo terminal del usuario móvil para hacer posible la transmisión de las comunicaciones. Tales datos constituyen datos sobre tráfico a los que es aplicable el artículo 6 de la presente Directiva. Sin embargo, además, las redes móviles digitales pueden tener la capacidad de tratar datos sobre localización más precisos de lo necesario para la transmisión de comunicaciones y que se utilizan para la prestación de servicios de valor añadido tales como los servicios que facilitan información sobre tráfico y orientaciones individualizadas a los conductores. El tratamiento de tales datos para la prestación de servicios de valor añadido sólo debe permitirse cuando los abonados hayan dado su consentimiento. Incluso en los casos en que los abonados hayan dado su consentimiento, éstos deben contar con un procedimiento sencillo y gratuito de impedir temporalmente el tratamiento de los datos sobre localización.
(36) Los Estados miembros podrán restringir el derecho a la intimidad de los usuarios y abonados por lo que se refiere a la identificación de la línea de origen en los casos en que ello sea necesario para rastrear llamadas malevolentes, y en lo tocante a la identificación y localización de dicha línea cuando sea preciso para que los servicios de socorro cumplan su cometido con la máxima eficacia posible. Para ello, los Estados miembros podrán adoptar disposiciones específicas que permitan a los proveedores de servicios de comunicaciones electrónicas ofrecer el acceso a la identificación y localización de la línea de origen sin el consentimiento previo de los usuarios o abonados de que se trate.
(37) Deben ofrecerse garantías a los abonados contra las molestias que puedan causar las llamadas desviadas automáticamente por otros. Además en tales casos, los abonados deben poder detener las llamadas desviadas hacia sus terminales mediante simple solicitud al proveedor de servicios de comunicaciones electrónicas disponibles al público.
(38) Las guías de abonados a los servicios de comunicaciones electrónicas alcanzan gran difusión y tienen carácter público. El derecho a la intimidad de las personas físicas y el interés legítimo de las personas jurídicas exigen que los abonados puedan decidir si se hacen públicos sus datos personales en dichas guías y, caso de hacerse públicos, cuáles de ellos. Los suministradores de guías públicas deben informar a los abonados que vayan a incluirse en tales guías acerca de la finalidad de las mismas y de cualquier uso particular que pueda hacerse de las versiones electrónicas de las guías públicas, especialmente a través de funciones de búsqueda incorporadas al soporte lógico, tales como las funciones de búsqueda inversa que permiten al usuario de la guía averiguar el nombre y la dirección del abonado a partir exclusivamente de un número de teléfono.
(39) Debe imponerse a quien recoja datos para ser incluidos en las guías públicas en las que figuren los datos personales de los abonados la obligación de informar a estos últimos acerca de los objetivos de dichas guías. Cuando los datos puedan ser transmitidos a una o más terceras partes, debe informarse al abonado de esta posibilidad, así como acerca del destinatario o de las categorías de posibles destinatarios. Cualquier transmisión debe estar sujeta a la condición de que los datos no puedan utilizarse para otros fines más que aquéllos para los que se recojan. Si quien recoge datos del usuario o cualquier tercero a quien se hayan transmitido los datos desea utilizarlos con un fin suplementario, la renovación del consentimiento del abonado deberá obtenerla ya sea quien recogió inicialmente los datos o el tercero a quien se hayan transmitido.
(40) Deben ofrecerse garantías a los abonados contra la intrusión en su intimidad mediante comunicaciones no solicitadas con fines de venta directa, especialmente a través de llamadores automáticos, faxes y mensajes de correo electrónico, incluidos los de SMS. Por una parte, el envío de estas formas de comunicaciones comerciales no solicitadas puede resultar relativamente sencillo y económico, y por otra, puede conllevar una molestia e incluso un coste para el receptor. Además, en algunos casos su volumen puede dar lugar a dificultades en las redes de comunicaciones electrónicas y en los equipos terminales. Se justifica, para este tipo de comunicaciones no solicitadas con fines de venta directa, la exigencia de obtener el consentimiento expreso previo de los receptores antes de que puedan dirigírseles comunicaciones de esta índole. El mercado único requiere un planteamiento armonizado que garantice la existencia de normas sencillas aplicadas a escala comunitaria, tanto para las empresas como para los usuarios.
(41) En el contexto de una relación preexistente con el cliente, es razonable admitir el uso de las señas electrónicas del cliente con objeto de ofrecer productos o servicios similares, pero exclusivamente por parte de la misma empresa que haya obtenido las señas electrónicas de conformidad con la Directiva 95/46/CE. En el momento de recabarse las señas electrónicas, debe informarse al cliente de manera clara e inequívoca sobre su uso ulterior con fines de venta directa, y debe dársele la posibilidad de negarse a dicho uso. Debe seguir ofreciéndose al cliente esta posibilidad cada vez que reciba un mensaje ulterior de venta directa, sin cargo alguno salvo los posibles costes de transmisión de esta negativa.
(42) El caso de otras formas de venta directa que resultan más onerosas para el remitente y no implican costes financieros para los abonados y usuarios, como las llamadas personales de telefonía vocal, se puede justificar el mantenimiento de un sistema que dé a los abonados o usuarios la posibilidad de indicar que no desean recibir llamadas de ese tipo. Sin embargo, a fin de no disminuir los niveles actuales de protección de la intimidad, debe facultarse a los Estados miembros para mantener sus sistemas nacionales que únicamente autoricen ese tipo de llamadas cuando los abonados y usuarios hayan dado su consentimiento previo.
(43) Para facilitar la aplicación efectiva de las normas comunitarias en materia de mensajes no solicitados con fines de venta directa, es preciso prohibir el uso de identidades falsas y de domicilios y números de contacto falsos cuando se envían mensajes no solicitados con fines de venta directa.
(44) Determinados sistemas de correo electrónico ofrecen al usuario la posibilidad de ver la identidad del remitente y el asunto del mensaje, así como borrar el mensaje, sin tener que descargar el resto del contenido ni los ficheros anexos, reduciendo con ello los costes que podrían derivarse de descargar mensajes o ficheros no solicitados. Estas modalidades de funcionamiento pueden seguir siendo útiles en determinados casos, como instrumento añadido a las obligaciones generales que se establecen en la presente Directiva.
(45) La presente Directiva no afecta a las disposiciones tomadas por los Estados miembros para proteger los intereses legítimos de las personas jurídicas en lo que se refiere a las comunicaciones no solicitadas con fines de venta directa. En caso de que los Estados miembros establezcan un registro de autoexclusión de dicho tipo de comunicaciones con destino a las personas jurídicas, en su mayor parte usuarios comerciales, serán de plena aplicación las disposiciones del artículo 7 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico)(6).
(46) Las funcionalidades para la prestación de servicios de comunicaciones electrónicas pueden estar integradas en la red o en cualquier parte del equipo terminal del usuario, incluido el soporte lógico. La protección de los datos personales y la intimidad del usuario de los servicios de comunicaciones electrónicas disponibles al público debe ser independiente de la configuración de los distintos componentes necesarios para prestar el servicio y de la distribución de las funcionalidades necesarias entre dichos componentes. La Directiva 95/46/CE cubre cualquier forma de tratamiento de datos personales con independencia de la tecnología utilizada. La existencia de normas específicas para los servicios de comunicaciones electrónicas, junto a las normas generales para los demás componentes necesarios para la prestación de tales servicios, podría no facilitar la protección de los datos personales y la intimidad de modo tecnológicamente neutro. Por consiguiente, puede resultar necesario adoptar medidas que exijan a los fabricantes de determinados tipos de equipos utilizados en los servicios de comunicaciones electrónicas que fabriquen sus productos de manera que incorporen salvaguardias para garantizar la protección de los datos personales y la intimidad del usuario y el abonado. La adopción de dichas medidas de conformidad con la Directiva 1999/5/CE del Parlamento Europeo y del Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos terminales de telecomunicación y reconocimiento mutuo de su conformidad(7), garantizará que la introducción de características técnicas en los equipos de comunicaciones electrónicas, incluido el soporte lógico, para fines de protección de datos esté armonizada a fin de que sea compatible con la realización del mercado interior.
(47) En los casos en que no se respeten los derechos de los usuarios y abonados, el Derecho nacional debe prever vías de recurso judiciales. Deben imponerse sanciones a aquellas personas, ya sean de Derecho público o privado, que incumplan las medidas nacionales adoptadas en virtud de la presente Directiva.
(48) Resulta útil en el ámbito de aplicación de la presente Directiva aprovechar las experiencias del Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, compuesto por representantes de las autoridades de control de los Estados miembros y creado por el artículo 29 de la Directiva 95/46/CE.
(49) Para facilitar el cumplimiento de lo dispuesto en la presente Directiva, son necesarias determinadas disposiciones particulares para el tratamiento de datos ya en curso el día en que entre en vigor la legislación nacional de aplicación de la presente Directiva.
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Artículo 1.- Ámbito de aplicación y objetivo
1. La presente Directiva armoniza las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.
2. Las disposiciones de la presente Directiva especifican y completan la Directiva 95/46/CE a los efectos mencionados en el apartado 1. Además, protegen los intereses legítimos de los abonados que sean personas jurídicas.
3. La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de aplicación del Tratado constitutivo de la Comunidad Europea, como las reguladas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea, ni, en cualquier caso, a las actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dichas actividades estén relacionadas con la seguridad del mismo) y a las actividades del Estado en materia penal.
Artículo 2.- Definiciones
Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco)(8).
Además, a efectos de la presente Directiva se entenderá por:
a) «usuario»: una persona física que utiliza con fines privados o comerciales un servicio de comunicaciones electrónicas disponible para el público, sin que necesariamente se haya abonado a dicho servicio;
b) «datos de tráfico»: cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma;
c) «datos de localización»: cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público;
d) «comunicación»: cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponible para el público. No se incluye en la presente definición la información conducida, como parte de un servicio de radiodifusión al público, a través de una red de comunicaciones electrónicas, excepto en la medida en que la información pueda relacionarse con el abonado o usuario identificable que reciba la información;
e) «llamada»: una conexión establecida por medio de un servicio telefónico disponible para el público que permita la comunicación bidireccional en tiempo real;
f) «consentimiento» de un usuario o abonado: el consentimiento del interesado, con arreglo a la definición de la Directiva 95/46/CE;
g) «servicio con valor añadido»: todo servicio que requiere el tratamiento de datos de tráfico o datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la transmisión de una comunicación o su facturación;
h) «correo electrónico»: todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo.
Artículo 3.- Servicios afectados
1. La presente Directiva se aplicará al tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Comunidad.
2. Los artículos 8, 10 y 11 se aplicarán a las líneas de abonado conectadas a centrales digitales y, siempre y cuando sea técnicamente posible y no exija un esfuerzo económico desproporcionado, a las líneas de abonado conectadas a centrales analógicas.
3. Los Estados miembros notificarán a la Comisión aquellos casos en los que no sea posible técnicamente o exija un esfuerzo económico desproporcionado cumplir los requisitos de los artículos 8, 10 y 11.
Artículo 4.- Seguridad
1. El proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con el proveedor de la red pública de comunicaciones por lo que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado al riesgo existente.
2. En caso de que exista un riesgo particular de violación de la seguridad de la red, el proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá informar a los abonados sobre dicho riesgo y, cuando el riesgo quede fuera del ámbito de las medidas que deberá tomar el proveedor del servicio, sobre las posibles soluciones, con una indicación de los posibles costes.
Artículo 5.- Confidencialidad de las comunicaciones
1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.
2. El apartado 1 no se aplicará a las grabaciones legalmente autorizadas de comunicaciones y de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica comercial lícita con el fin de aportar pruebas de una transacción comercial o de cualquier otra comunicación comercial.
3. Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento. La presente disposición no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado.
Artículo 6.- Datos de tráfico
1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.
2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.
3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento. Los usuarios o abonados dispondrán de la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento.
4. El proveedor del servicio deberá informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la duración de este tratamiento a los efectos mencionados en el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados en el apartado 3.
5. Sólo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.
6. Los apartados 1, 2, 3 y 5 se aplicarán sin perjuicio de la posibilidad de que los organismos competentes sean informados de los datos de tráfico con arreglo a la legislación aplicable, con vistas a resolver litigios, en particular los relativos a la interconexión o a la facturación.
Artículo 7.- Facturación desglosada
1. Los abonados tendrán derecho a recibir facturas no desglosadas.
2. Los Estados miembros aplicarán las disposiciones nacionales a fin de conciliar los derechos de los abonados que reciban facturas desglosadas con el derecho a la intimidad de los usuarios que efectúen las llamadas y de los abonados que las reciban, por ejemplo, garantizando que dichos usuarios y abonados dispongan de suficientes modalidades alternativas de comunicación o de pago que potencien la intimidad.
Artículo 8.- Presentación y restricción de la identificación de la línea de origen y de la línea conectada
1. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea de origen, el proveedor del servicio deberá ofrecer al usuario que efectúe la llamada la posibilidad de impedir en cada llamada, mediante un procedimiento sencillo y gratuito, la presentación de la identificación de la línea de origen. El abonado que origine la llamada deberá tener esta posibilidad para cada línea.
2. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea de origen, el proveedor del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad, mediante un procedimiento sencillo y gratuito, siempre que haga un uso razonable de esta función, de impedir la presentación de la identificación de la línea de origen en las llamadas entrantes.
3. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea de origen y ésta se presente antes de que se establezca la llamada, el proveedor del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad, mediante un procedimiento sencillo, de rechazar las llamadas entrantes procedentes de usuarios o abonados que hayan impedido la presentación de la identificación de la línea de origen.
4. Cuando se ofrezca la posibilidad de visualizar la identificación de la línea conectada, el proveedor del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad, por un procedimiento sencillo y gratuito, de impedir la presentación de la identificación de la línea conectada al usuario que efectúa la llamada.
5. Las disposiciones del apartado 1 se aplicarán también a las llamadas efectuadas desde la Comunidad a terceros países. Las disposiciones de los apartados 2, 3 y 4 se aplicarán también a las llamadas entrantes procedentes de terceros países.
6. Los Estados miembros velarán por que, cuando se ofrezca la posibilidad de visualizar la identificación de la línea de origen o de la línea conectada, los proveedores de servicios de comunicaciones electrónicas disponibles al público informen al público sobre dicha posibilidad y sobre las que se establecen en los apartados 1 a 4.
Artículo 9.- Datos de localización distintos de los datos de tráfico
1. En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a los usuarios y abonados la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de localización distintos de los datos de tráfico.
2. Cuando se haya obtenido el consentimiento de un usuario o abonado para el tratamiento de datos de localización distintos de los datos de tráfico, el usuario o abonado deberá seguir contando con la posibilidad, por un procedimiento sencillo y gratuito, de rechazar temporalmente el tratamiento de tales datos para cada conexión a la red o para cada transmisión de una comunicación.
3. Sólo podrán encargarse del tratamiento de datos de localización distintos de los datos de tráfico de conformidad con los apartados 1 y 2 personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público o del tercero que preste el servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario a efectos de la prestación del servicio con valor añadido.
Artículo 10.- Excepciones
Los Estados miembros velarán por que existan procedimientos transparentes que determinen la forma en que el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público podrá anular:
a) la supresión de la presentación de la identificación de la línea de origen por un período de tiempo limitado, a instancia de un abonado que solicite la identificación de llamadas malevolentes o molestas; en tal caso, los datos que incluyan la identificación del abonado que origina la llamada serán almacenados y facilitados por el proveedor de la red pública de comunicaciones o del servicio de comunicaciones electrónicas disponible para el público, de acuerdo con el Derecho nacional;
b) la supresión de la presentación de la identificación de la línea de origen y el rechazo temporal o la ausencia de consentimiento de un abonado o un usuario para el tratamiento de los datos de localización, de manera selectiva por línea, para las entidades reconocidas por un Estado miembro para atender llamadas de urgencia, incluidos los cuerpos de policía, los servicios de ambulancias y los cuerpos de bomberos, para que puedan responder a tales llamadas.
Artículo 11.- Desvío automático de llamadas
Los Estados miembros velarán por que todo abonado tenga la posibilidad, por un procedimiento sencillo y gratuito, de detener el desvío automático de llamadas a su terminal por parte de un tercero.
Artículo 12.- Guías de abonados
1. Los Estados miembros velarán por que se informe gratuitamente a los abonados antes de ser incluidos en las guías acerca de los fines de las guías de abonados, impresas o electrónicas, disponibles al público o accesibles a través de servicios de información sobre las mismas, en las que puedan incluirse sus datos personales, así como de cualquier otra posibilidad de uso basada en funciones de búsqueda incorporadas en las versiones electrónicas de la guía.
2. Los Estados miembros velarán por que los abonados tengan oportunidad de decidir si sus datos personales figuran en una guía pública, y en su caso cuáles de ellos, en la medida en que tales datos sean pertinentes para la finalidad de la guía que haya estipulado su proveedor, y de comprobar, corregir o suprimir tales datos. La no inclusión en una guía pública de abonados, así como la comprobación, corrección o supresión de datos personales de una guía, no deberán dar lugar al cobro de cantidad alguna.
3. Los Estados miembros podrán exigir que para cualquier finalidad de una guía pública distinta de la búsqueda de datos de contacto de personas a partir de su nombre y, si resulta necesario, de un mínimo de otros identificadores, se recabe el consentimiento específico de los abonados.
4. Los apartados 1 y 2 se aplicarán a los abonados que sean personas físicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a su inclusión en guías públicas.
Artículo 13.- Comunicaciones no solicitadas
1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo.
2. No obstante lo dispuesto en el apartado 1, cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa misma persona física o jurídica podrá utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares, a condición de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el momento en que se recojan las mismas y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior.
3. Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.
4. Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones.
5. Los apartados 1 y 3 se aplicarán a los abonados que sean personas físicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a las comunicaciones no solicitadas.
Artículo 14.- Características técnicas y normalización
1. Al aplicar las disposiciones de la presente Directiva, los Estados miembros velarán, sin perjuicio de los apartados 2 y 3, por que no se impongan requisitos obligatorios respecto de características técnicas específicas a los equipos terminales u otros equipos de comunicaciones electrónicas que puedan obstaculizar la puesta en el mercado de dichos equipos y su libre circulación en los Estados miembros y entre estos últimos.
2. Cuando las disposiciones de la presente Directiva sólo puedan aplicarse mediante la implantación de características técnicas específicas en las redes de comunicaciones electrónicas, los Estados miembros informarán a la Comisión de conformidad con el procedimiento establecido en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información(9).
3. Cuando proceda, se podrán adoptar medidas para garantizar que los equipos terminales estén fabricados de manera compatible con el derecho de los usuarios de proteger y controlar el uso de sus datos personales, de conformidad con la Directiva 1999/5/CE y la Decisión 87/95/CEE del Consejo, de 22 de diciembre de 1986, relativa a la normalización en el campo de la tecnología de la información y de las telecomunicaciones(10).
Artículo 15.- Aplicación de determinadas disposiciones de la Directiva 95/46/CE
1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.
2. Las disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma.
3. El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ejercerá también las funciones especificadas en el artículo 30 de dicha Directiva por lo que se refiere a los asuntos objeto de la presente Directiva, a saber, la protección de los derechos y las libertades fundamentales y de los intereses legítimos en el sector de las comunicaciones electrónicas.
Artículo 16.- Disposiciones transitorias
1. El artículo 12 no se aplicará a las ediciones de guías ya producidas o puestas en el mercado en forma impresa o electrónica no conectada antes de que entren en vigor las disposiciones nacionales adoptadas en virtud de la presente Directiva.
2. Cuando los datos personales de los abonados a la telefonía vocal pública de tipo fijo o móvil se hayan incluido en una guía de abonados pública de conformidad con las disposiciones de la Directiva 95/46/CE y del artículo 11 de la Directiva 97/66/CE antes de que las disposiciones nacionales adoptadas en cumplimiento de la presente Directiva entren en vigor, los datos personales de dichos abonados podrán seguir incluidos en dicha guía pública, en su versión impresa o electrónica, incluidas las versiones con funciones de búsqueda retrospectiva, a menos que los abonados indiquen lo contrario, tras haber recibido información completa sobre los fines y opciones con arreglo al artículo 12 de la presente Directiva.
Artículo 17.- Incorporación al Derecho nacional
1. Los Estados miembros pondrán en vigor antes del 31 de octubre de 2003 las disposiciones necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán inmediatamente de ello a la Comisión.
Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva, así como cualquier modificación ulterior de las mismas.
Artículo 18.- Revisión
La Comisión presentará al Parlamento Europeo y al Consejo, a más tardar tres años después de la fecha contemplada en el apartado 1 del artículo 17, un informe sobre la aplicación de la presente Directiva y su impacto en los operadores económicos y los consumidores, con especial atención a las disposiciones sobre comunicaciones no solicitadas y teniendo en cuenta la situación internacional. Para ello, la Comisión podrá recabar información de los Estados miembros, quienes deberán facilitarla sin retrasos indebidos. Cuando proceda, la Comisión presentará propuestas para modificar la presente Directiva teniendo en cuenta los resultados del informe mencionado, los cambios que hayan podido tener lugar en el sector y cualquier otra propuesta que juzgue necesaria para mejorar la eficacia de la presente Directiva.
Artículo 19.- Derogación
Se deroga la Directiva 97/66/CE con efecto a partir de la fecha contemplada en el apartado 1 del artículo 17.
Las referencias a la Directiva derogada se entenderán hechas a la presente Directiva.
Artículo 20.- Entrada en vigor
La presente Directiva entrará en vigor el día de su publicación en el Diario Oficial de las Comunidades Europeas.
Artículo 21.- Destinatarios
Los destinatarios de la presente Directiva serán los Estados miembros.
Hecho en Bruselas, el 12 de julio de 2002.
Por el Parlamento Europeo
El Presidente: P. Cox
Por el Consejo
El Presidente: T. Pedersen
(1) DO C 365 E de 19.12.2000, p. 223.
(2) DO C 123 de 25.4.2001, p. 53.
(3) Dictamen del Parlamento Europeo de 13 de noviembre de 2001 (no publicado aún en el Diario Oficial), Posición común del Consejo de 28 de enero de 2002 (DO C 113 E de 14.5.2002, p. 39) y Decisión del Parlamento Europeo de 30 de mayo de 2002 (no publicada aún en el Diario oficial). Decisión del Consejo de 25 de junio de 2002.
(4) DO L 281 de 23.11.1995, p. 31.
(5) DO L 24 de 30.1.1998, p. 1.
(6) DO L 178 de 17.7.2000, p. 1.
(7) DO L 91 de 7.4.1999, p. 10.
(8) DO L 108 de 24.4.2002, p. 33.
(9) DO L 204 de 21.7.1998, p. 37; Directiva modificada por la Directiva 98/48/CE (DO L 217 de 5.8.1998, p. 18).
(10) DO L 36 de 7.2.1987, p. 31; Decisión cuya última modificación la constituye el Acta de adhesión de 1994.