COM/2007/0228 final. Comunicación de la Comisión al Parlamento Europeo y al Consejo de 2 de mayo de 2007, sobre el fomento de la protección de datos mediante las tecnologías de protección del derecho a la intimidad (PET).
1. Introducción
El intenso y continuo desarrollo de las tecnologías de la información y la comunicación (TIC) ofrece constantemente servicios nuevos que facilitan la vida de los ciudadanos. En gran medida, la materia prima de las interacciones en el ciberespacio son los datos de carácter personal de quienes circulan en él para comprar bienes o servicios, establecer o mantener contactos con otras personas, o difundir sus ideas en la World Wide Web. Sin embargo, paralelamente a las ventajas que suponen estos progresos, también surgen riesgos nuevos para los usuarios, como la usurpación de identidad, la elaboración de perfiles discriminatorios, la vigilancia permanente o el fraude.
En el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea se reconoce el derecho a la protección de los datos de carácter personal. Ese derecho fundamental está contemplado en un marco jurídico europeo en materia de protección de los datos personales, en concreto, la Directiva 95/46/CE relativa a la protección de datos (1), la Directiva 2002/58/CE sobre la privacidad (2) y el Reglamento (CE) nº 45/2001 relativo a la protección de datos en el tratamiento por las instituciones y los organismos comunitarios (3). Esta normativa impone obligaciones a los responsables del tratamiento de datos y reconoce determinados derechos de las personas a quienes se refieren los datos. Asimismo, establece sanciones y medidas correctivas adecuadas en caso de infracción y contempla mecanismos de aplicación para garantizar su cumplimiento.
Sin embargo, este régimen puede resultar insuficiente cuando los datos personales se difunden por todo el mundo a través de las redes de TIC y en su tratamiento intervienen varias jurisdicciones, a menudo fuera de la UE. En esas situaciones, cabe considerar que las normas actuales son de aplicación y proporcionan una respuesta jurídica clara. Además, es posible identificar una autoridad competente que vele por su cumplimiento. No obstante, pueden presentarse obstáculos prácticos importantes derivados de la tecnología empleada, en la cual son varias las entidades que tratan los datos personales en distintos lugares, y de la aplicación de las resoluciones administrativas y judiciales nacionales en otras jurisdicciones, especialmente en países que no pertenecen a la UE.
Si bien, en sentido estricto, la responsabilidad jurídica del cumplimiento de las normas de protección de datos personales recae en los responsables de su tratamiento, desde el punto de vista social y ético también recae en parte, por ejemplo, en quienes elaboran las especificaciones técnicas y quienes realmente desarrollan o ejecutan programas o sistemas operativos.
El artículo 17 de la Directiva relativa a la protección de datos personales establece la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas y de garantizar un nivel de seguridad apropiado según el carácter de los datos y los riesgos que presente su tratamiento. La Directiva 2002/58/EC sobre la privacidad y las comunicaciones electrónicas ya contempla en cierta medida (4) la utilización de tecnología para favorecer el cumplimiento de la legislación, en particular las normas de protección de datos.
Las denominadas tecnologías de protección de la intimidad (PET) también podrían contribuir al objetivo del marco jurídico, que consiste en minimizar el tratamiento de datos personales y emplear datos anónimos o seudónimos cuando sea posible. En efecto, gracias a dichas tecnologías, las infracciones de las normas de protección de datos y la vulneración de los derechos del ciudadano, además de estar prohibidas y sujetas a sanciones, resultarían más difíciles desde el punto de vista técnico.
La presente Comunicación, que obedece al Primer informe sobre la aplicación de la Directiva sobre protección de datos (5), tiene por objeto exponer las ventajas de las PET, establecer los objetivos de la Comisión en ese ámbito para fomentar dichas tecnologías y definir medidas claras para conseguirlo favoreciendo el desarrollo de las PET y su utilización por parte de los responsables del tratamiento de datos y los consumidores.
2. Qué son las PET
En la comunidad académica y en los proyectos piloto en este ámbito se manejan varias definiciones. Por ejemplo, en el proyecto PISA, que financia la UE, se entiende por PET un sistema coherente de medidas de TIC que protege el derecho a la intimidad suprimiendo o reduciendo los datos personales o evitando el tratamiento innecesario o indeseado de datos personales, sin menoscabo de la funcionalidad del sistema de información. La aplicación de PET puede ayudar a diseñar sistemas y servicios de información y comunicación que reduzcan al mínimo la recogida y el empleo de datos personales y faciliten el cumplimiento de la normativa sobre protección de datos. En su Primer informe sobre la aplicación de la Directiva sobre protección de datos, la Comisión considera que “la aplicación de medidas tecnológicas adecuadas constituye un complemento fundamental de los medios jurídicos y debe constituir una parte de cualquier esfuerzo destinado a obtener un grado suficiente de protección de la intimidad”. La utilización de PET debería dificultar o ayudar a detectar el incumplimiento de determinadas normas de protección de datos.
En el dinámico contexto de las TIC, la eficacia en términos de protección de la intimidad, incluido el cumplimiento de la legislación sobre protección de datos, varía de una PET a otra y cambia con el tiempo. También la tipología de las PET es variada. Puede tratarse de una herramienta independiente, que el consumidor ha de comprar e instalar en su ordenador, o incorporada en la propia arquitectura de los sistemas de información. A continuación se mencionan varios ejemplos de PET:
· La anonimización automática de los datos tras un lapso de tiempo determinado obedece al principio de que los datos tratados deben guardarse en una forma que permita identificar al interesado únicamente durante el tiempo necesario para los fines iniciales para los cuales se facilitan los datos.
· Los instrumentos de cifrado que impiden el pirateo de la información transmitida por Internet responden a la obligación del responsable del tratamiento de datos de adoptar medidas adecuadas para proteger los datos personales frente al tratamiento ilícito.
· Los anuladores de cookies, que bloquean las cookies introducidas en un ordenador para que lleve a cabo determinadas instrucciones sin que el usuario tenga conocimiento de ello, responden al principio de que los datos deben tratarse de forma lícita y transparente y que ha de informarse al interesado del tratamiento que se realice.
· La Plataforma de Preferencias de Privacidad (P3P), que permite a los usuarios de Internet analizar la política de los sitios web por lo que se refiere a la intimidad y compararla con las preferencias del usuario en relación con la información que desee facilitar, contribuye a garantizar que el interesado autoriza el tratamiento de sus datos con conocimiento de causa.
3. La Comisión apoya las PET
La Comisión aboga por el desarrollo y mayor utilización de las PET, en particular cuando se traten datos personales en las redes de TIC. La Comisión considera que la difusión del uso de las PET incrementará la protección de la intimidad y ayudará a cumplir las normas de protección de datos. Dicho uso complementaría el marco jurídico y los mecanismos de aplicación vigentes.
En su Comunicación “Una estrategia para una sociedad de la información segura” (COM (2006) 251, de 31 de mayo de 2006), la Comisión invitaba sobre todo al sector privado a “estimular el despliegue de productos, procesos y servicios que favorezcan la seguridad a fin de evitar y combatir la sustracción de la identidad y otros ataques contra la privacidad”. Además, en el Plan de Trabajo de la Comisión relativo al marco paneuropeo de eIDM para 2010 (6), uno de los principios esenciales que rigen la gestión de la identidad electrónica es “que el sistema sea seguro, conste de las salvaguardias necesarias para proteger la intimidad del usuario y pueda adaptarse en función del interés y las sensibilidades locales”.
La intervención de varios actores y varias jurisdicciones nacionales en el tratamiento de los datos podrían dificultar la aplicación del marco jurídico. Por otra parte, las PET permitirían evitar determinadas infracciones a las normas de protección de datos personales ?que se traducen en vulneraciones de derechos fundamentales como el derecho a la intimidad?, pues dificultarían la realización técnica de tales operaciones. La Comisión es consciente de que la tecnología, pese a desempeñar un papel crucial en la protección de la intimidad, no basta por sí sola para garantizar la intimidad. Las PET han de aplicarse con arreglo a un marco regulador de normas ejecutivas de protección de datos que proporcionen grados variables de protección de la intimidad de las personas. La utilización de PET no exime a los operadores del cumplimiento de algunas de sus obligaciones legales (por ejemplo, permitir que los usuarios tengan acceso a sus datos).
Las PET también podrían favorecer la protección de intereses públicos importantes. Con arreglo al marco jurídico de la protección de datos personales, la aplicación de los principios generales y el respeto de los derechos de los ciudadanos pueden limitarse para preservar intereses públicos importantes, como la seguridad pública, la lucha contra la delincuencia o la salud pública. Las condiciones de tales restricciones están recogidas en el artículo 13 de la Directiva relativa a la protección de datos personales y en el artículo 15 de la Directiva sobre privacidad en las comunicaciones electrónicas. Estas condiciones son, en esencia, análogas a las contempladas en el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH), es decir, que una injerencia de ese tipo ha de estar prevista por la ley, ser proporcionada y constituir una medida que, en una sociedad democrática, sea necesaria para un fin público legítimo (7). El uso de PET no debe impedir que los organismos responsables del cumplimiento de la ley y otras autoridades competentes ejerzan sus funciones de forma legítima en defensa de un interés público importante, como la lucha contra la ciberdelincuencia o el terrorismo o la prevención de la propagación de enfermedades contagiosas. Las autoridades responsables han de poder acceder a los datos personales cuando sea necesario para esos fines, respetando los procedimientos, condiciones y salvaguardias contemplados en la ley.
El mayor cumplimiento de las normas de protección de datos también aumentaría la confianza de los consumidores, en particular en el ciberespacio. Son muchos los servicios prometedores que presentan un valor añadido y se basan en la transferencia de datos personales en las redes de TI (como los empleados en el aprendizaje electrónico, la administración electrónica, los servicios bancarios electrónicos y el comercio electrónicos, la salud en línea o los “vehículos inteligentes”) que indudablemente se verían favorecidos. Los usuarios tendrían la certeza de que los datos que facilitan para identificarse, recibir servicios o efectuar pagos sólo se emplean para fines legítimos, y de que pueden utilizar los medios informáticos sin tener que sacrificar sus derechos.
4. Labor anterior y futura
La Comisión se propone llevar a cabo las siguientes actividades con la participación de muy diversos actores, entre los que figuran sus propios servicios, las autoridades nacionales, el sector empresarial y los consumidores, con objeto de aumentar la defensa de la intimidad e intensificar la protección de datos en la Comunidad, entre otras cosas fomentando el desarrollo y el uso de PET.
En estos foros se prestará atención a la situación particular de las pequeñas y medianas empresas (PYMEs) y a las posibilidades o incentivos para que empleen PET. Entre otros problemas, la Comisión debería abordar la confianza y la sensibilización, aspectos especialmente importantes en el caso de las PYMEs.
4.1. Primer objetivo: respaldar el desarrollo de las PET
Antes de generalizar el uso de PET es necesario perfeccionar su diseño, desarrollo y elaboración. Si bien es cierto que los sectores público y privado ya llevan a cabo esta labor en cierta medida, la Comisión considera que debe incidirse en este sentido, para lo cual es preciso determinar la necesidad de PET y sus requisitos tecnológicos, y desarrollar las herramientas pertinentes mediante actividades de IDT.
4.1.1. Acción 1.1: Determinación de la necesidad de PET y de los requisitos tecnológicos
Las PET dependen en gran medida de la evolución de las TIC. Una vez detectados los peligros que plantean los progresos tecnológicos, procede identificar los requisitos que ha de cumplir una solución técnica.
La Comisión alentará los encuentros y el debate acerca de las PET entre diversos grupos de actores interesados, en particular, representantes del sector de las TIC, diseñadores de PET, autoridades de protección de datos, órganos responsables de la aplicación de la legislación, entidades especializadas en tecnología, incluidos los especialistas en ámbitos pertinentes como la salud en línea o la seguridad de la información, y asociaciones defensoras de los consumidores y de los derechos civiles. Dichos grupos se encargarían de seguir la evolución de la tecnología, detectar los peligros que plantea en relación con los derechos fundamentales y la protección de datos personales, y definir los requisitos técnicos para hacerles frente mediante las PET (afinar las medidas tecnológicas conforme a los distintos riesgos y datos de que se trate, tener presente la necesidad de salvaguardar intereses públicos como la seguridad pública, etc.).
4.1.2. Acción 1.2: Desarrollo de las PET
Una vez determinados la necesidad de PET y los requisitos técnicos correspondientes, es preciso adoptar medidas concretas para obtener un producto final listo para el uso.
La Comisión ya lo está haciendo: dentro del Sexto Programa Marco, patrocina el proyecto PRIME (8), que hace frente a los problemas relacionados con la gestión de la identidad electrónica y la protección de la intimidad en la sociedad de la información. El proyecto OPEN-TC (9) permitirá proteger la intimidad mediante sistemas informáticos abiertos fiables y el proyecto DISCREET (10) desarrolla middleware para proteger la intimidad en los servicios de red avanzados. En el futuro, dentro del Séptimo Programa Marco, la Comisión tiene previsto financiar otros proyectos de IDT y demostraciones piloto a gran escala para desarrollar y favorecer la incorporación de las PET. El objetivo consiste en sentar las bases de unos sistemas de protección de la intimidad que responsabilicen al usuario y superen las disparidades jurídicas y técnicas observadas en Europa mediante asociaciones entre el sector público y el privado.
La Comisión invita asimismo a las autoridades nacionales y el sector privado a invertir en el desarrollo de PET. Esas inversiones resultan fundamentales para situar a la industria europea a la cabeza de un sector destinado a crecer, pues tanto las normas tecnológicas como los consumidores más conscientes de la necesidad de proteger sus derechos en el ciberespacio exigen cada vez más dichas tecnologías.
4.2. Segundo objetivo: alentar a los responsables del tratamiento de datos a emplear las PET disponibles
Las PET no serán realmente provechosas hasta que no se incorporen efectivamente y se utilicen en los equipos técnicos y lógicos que realizan el tratamiento de los datos personales. De ahí que resulte fundamental la participación del sector industrial que fabrica dichos equipos y la de los responsables del tratamiento de datos que los emplean en el ejercicio de sus funciones.
4.2.1. Acción 2.1: Fomento del uso de PET en la industria
La Comisión considera que el mayor recurso a las PET redundaría en beneficio de todos aquéllos que intervienen en el tratamiento de datos personales. La industria de las TIC, como primera diseñadora y proveedora de PET, desempeña un papel especialmente importante en el fomento de dichas tecnologías. La Comisión invita a todos los responsables del tratamiento de datos a incorporar y emplear las PET de forma más amplia e intensa en el desarrollo de su actividad. A tal fin, la Comisión organizará seminarios con actores clave de la industria de las TIC, y en particular los diseñadores de PET, con objeto de analizar su posible contribución para fomentar el uso de PET por parte de los responsables del tratamiento de datos.
La Comisión realizará asimismo un estudio de las ventajas económicas de las PET y difundirá sus resultados para alentar a las empresas, en especial las PYME, a utilizarlas.
4.2.2. Acción 2.2: Respeto de unas normas pertinentes de protección de datos personales mediante PET
Si bien una labor de fomento a gran escala requiere la participación activa de la industria de las TIC en calidad de productora de PET, el respeto de unas normas pertinentes requiere una intervención que vaya más allá de la autorregulación o la buena voluntad de los actores implicados. La Comisión valorará mediante evaluaciones de impacto adecuadas la necesidad de desarrollar unas normas de tratamiento lícito de datos personales con PET. A la luz del resultado de dichas evaluaciones, cabrá considerar dos tipos de instrumentos:
· Acción 2.2. a) Normalización
La Comisión estudiará la necesidad de que las actividades de normalización contemplen el respeto de las normas de protección de datos personales. A la hora de preparar sus iniciativas y la labor de los organismos europeos de normalización, la Comisión se esforzará por tener en cuenta el fruto del debate sobre las PET celebrado entre las distintas partes interesadas. Ello será fundamental sobre todo si en dicho debate se definen unas normas pertinentes de protección de datos que requieran la incorporación y utilización de determinadas PET.
La Comisión podrá solicitar a los organismos europeos de normalización (CEN, CENELEC, ETSI, etc.) que evalúen las necesidades europeas específicas y las hagan llegar posteriormente al ámbito internacional aplicando los acuerdos vigentes entre organismos de normalización europeos e internacionales. En su caso, los organismos europeos de normalización deberían establecer un programa de trabajo de normalización específico que aborde las necesidades europeas y, de ese modo, complemente la labor actual a nivel internacional.
· Acción 2.2. b) Coordinación de las normas técnicas nacionales sobre medidas de seguridad en el tratamiento de datos
Las legislaciones nacionales adoptadas de conformidad con la Directiva relativa a la protección de datos personales (11) otorgan a las autoridades nacionales de protección de datos personales una cierta influencia en la determinación de requisitos técnicos precisos, como la prestación de orientación a los responsables del tratamiento de datos, el examen de los sistemas implantados o la formulación de instrucciones técnicas. Las autoridades nacionales de protección de datos personales también podrían exigir la incorporación y utilización de determinadas PET cuando el tratamiento de datos personales en cuestión lo requiera. En opinión de la Comisión, se trata de un ámbito en el cual la coordinación de las prácticas nacionales podría fomentar el uso de PET. En particular, el Grupo de Trabajo del artículo 29 (12), que persigue la aplicación uniforme de las medidas nacionales adoptadas conforme a la Directiva, podría contribuir a ello. Así pues, la Comisión invita a dicho Grupo de Trabajo a que prosiga su labor en ese ámbito incluyendo en su programa una actividad permanente de análisis de las necesidades relativas a la incorporación de PET en las operaciones de tratamiento de datos como medio eficaz para garantizar el respeto de las normas de protección de datos. Esa labor debería plasmarse en unas directrices que las autoridades de protección de datos personales aplicarían a nivel nacional gracias a la adopción coordinada de los instrumentos pertinentes.
4.2.3. Acción 2.3: Fomento del uso de PET por parte de las administraciones públicas
En el ejercicio de sus competencias nacionales y comunitarias, las administraciones públicas llevan a cabo un importante número de operaciones en las que se tratan datos personales. Dado que los organismos públicos están obligados tanto a respetar los derechos fundamentales, que incluyen la protección de los datos personales, como a velar por que otras partes los respeten, deberían dar un claro ejemplo.
Por lo que se refiere a las autoridades nacionales, la Comisión observa la proliferación de programas de administración electrónica como medio para incrementar la eficacia de la administración pública. Tal como se menciona en la Comunicación de la Comisión sobre el papel de la administración electrónica en el futuro de Europa (13), la administración electrónica debe emplear PET con objeto de generar la confianza necesaria para funcionar de forma satisfactoria. La Comisión invita a los Gobiernos a que garanticen la protección de datos en los programas de administración electrónica, entre otras cosas recurriendo en la mayor medida posible a las PET en el diseño y aplicación de los mismos.
En cuanto a las instituciones y organismos comunitarios, la propia Comisión velará por que cumplan los requisitos establecidos en el Reglamento (CE) nº 45/2001, en particular incrementando el recurso a las PET en los programas que emplean TIC e implican un tratamiento de datos personales. La Comisión invita asimismo a las demás instituciones de la UE a hacer lo propio. El Supervisor Europeo de Protección de Datos podría contribuir asesorando a las instituciones y organismos comunitarios en la elaboración de normas internas relativas al tratamiento de datos personales. A la hora de implantar nuevos programas de TIC para su propio uso o de desarrollar los que ya emplee, la Comisión considerará la posibilidad de introducir tecnologías de protección de la intimidad. La importancia de las PET quedará reflejada en la estrategia global de gobernanza de las TI de la Comisión. La Institución seguirá concienciando a su propio personal. Sin embargo, la utilización de PET en los programas de la Comisión que emplean TIC depende de la disponibilidad de tales productos y habrá de valorarse caso por caso, conforme al ciclo de desarrollo de los programas.
4.3. Tercer objetivo: alentar a los consumidores para que utilicen PET
Los consumidores seguirán siendo los más interesados en tener la seguridad de que la información personal se emplea debidamente, en que las normas de protección de datos personales se apliquen correctamente y en que las PET constituyan un medio eficaz para ello.
Así pues, los consumidores deberían tener pleno conocimiento de las ventajas que puede suponer el uso de PET a la hora de reducir los riesgos que entrañan las operaciones en las que se tratan sus datos personales. Deberían asimismo estar en condiciones de elegir con conocimiento de causa en el momento de adquirir equipos y programas de TI o de utilizar servicios electrónicos. Quedaría así patente su concienciación acerca de los riesgos en juego, en particular por saber si las PET ofrecen una protección apropiada. Por consiguiente, debe proporcionarse al usuario información sencilla y comprensible sobre las posibles herramientas tecnológicas para proteger su derecho a la intimidad. La utilización creciente de PET y el mayor uso de servicios electrónicos que incorporen PET generarán una compensación económica para las empresas que las empleen y podrán dar lugar a un efecto de bola de nieve que alentará a otras empresas a prestar mayor atención al cumplimiento de las normas de protección de datos personales. Para ello, deberían llevarse a cabo diversas iniciativas.
4.3.1. Acción 3.1: Sensibilización de los consumidores
Debería adoptarse una estrategia coherente de sensibilización de los consumidores acerca de los riesgos que entraña el tratamiento de sus datos y de las soluciones que las PET pueden aportar como complemento de los sistemas actuales contemplados en la legislación sobre protección de datos personales. La Comisión tiene previsto llevar a cabo una serie de actividades de sensibilización a escala comunitaria sobre las PET.
La responsabilidad principal de la realización de esta labor compete a las autoridades nacionales de protección de datos personales, que ya disponen de la experiencia oportuna en este ámbito. La Comisión invita a dichas autoridades a intensificar las actividades de sensibilización e incluir información sobre las PET por todos los medios a su alcance. Por otra parte, la Comisión insta al Grupo de Trabajo del artículo 29 a coordinar las prácticas nacionales en un plan de trabajo coherente de sensibilización acerca de las PET y a servir de foro para el intercambio de las buenas prácticas en uso a escala nacional. En particular, cabría asociar a esta labor educativa a las asociaciones de consumidores y otras entidades, como la Red de Centros Europeos del Consumidor (Red CEC) por el papel que desempeña a escala comunitaria en el asesoramiento de los ciudadanos sobre sus derechos como consumidores.
4.3.2. Acción 3.2: Facilitación de la elección de los consumidores con conocimiento de causa (distintivos de protección de la intimidad)
Podría favorecerse la integración y utilización de PET si la presencia de dichas tecnologías en un determinado producto y sus características esenciales fueran fácilmente reconocibles. A tal efecto, la Comisión tiene previsto estudiar la viabilidad de un sistema europeo de distintivos de protección de la intimidad, que incluiría asimismo un análisis de las repercusiones económicas y sociales. Gracias a dichos distintivos, los consumidores podrían reconocer fácilmente los productos que cumplen o favorecen el cumplimiento de las normas de protección de datos en el tratamiento de éstos, en concreto mediante la aplicación de PET apropiadas.
La Comisión considera que, para que los distintivos cumplieran su objetivo, habrían de respetarse los principios siguientes:
– El número de sistemas de distintivos debería reducirse al mínimo, pues la proliferación de distintivos podría crear mayor confusión al consumidor y mermar su confianza en todos los distintivos; de ahí la pertinencia de valorar si sería preciso integrar ?y en qué medida? un distintivo europeo de protección de la intimidad en un sistema más general de certificación de seguridad (14).
– Los distintivos deberían concederse únicamente a los productos que cumplan una serie de reglas que corresponden a las normas de protección de datos. Las reglas deberían ser tan uniformes como fuera posible en toda la UE.
– Las autoridades públicas, en particular las autoridades nacionales responsables de la protección de datos personales, deberían desempeñar un papel importante en el sistema participando en la definición de reglas y procedimientos pertinentes, y en la supervisión del funcionamiento del mismo.
Teniendo presente lo anterior y a la luz de la experiencia previa en programas de distintivos en otros ámbitos (medio ambiente, agricultura, certificación de seguridad para productos y servicios, etc.), la Comisión mantendrá un diálogo con todas las partes afectadas, incluidas las autoridades nacionales responsables de la protección de datos personales, las asociaciones empresariales y de consumidores y los organismos de normalización.
—————————————————————————————————
(1) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
(2) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
(3) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, págs. 1 a 22).
(4) Considerando 46 y artículo 14, apartado 3, de la Directiva 2002/58/CE.
(5) COM (2003) 265 final, de 15.5.2003 (véase el sitio: http://eur-lex.europa.eu/LexUriServ/site/es/com/2003/com2003_0265es01.pdf).
(6) http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf
(7) Sentencia del Tribunal de Justicia de las Comunidades Europeas de 20 de mayo de 2003 en los asuntos acumulados C-465/00, C-138/01 y C-139/01, “Österreichischer Rundfunk y otros” (Rechnungshof), Rec. (2003) I-04989, apartados 71 y 72.
(8) https://www.prime-project.eu/
(10) http://www.ist-discreet.org/
(11) Por ejemplo, con el artículo 17.
(12) Grupo de Trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE.
(13) COM (2003) 567 final, de 26.9.2003.
(14) En su Comunicación de 31 de mayo de 2006, titulada Una estrategia para una sociedad de la información segura – “Diálogo, asociación y potenciación” (COM (251) final), la Comisión invita al sector privado a “Trabajar en favor de unos regímenes de certificación de la seguridad aplicables a productos, procesos y servicios que sean asequibles y respondan a las necesidades específicas de la UE (en particular, en relación con la privacidad)”.