COMISIÓN EUROPEA
DIRECCIÓN GENERAL XV
MERCADO INTERIOR Y SERVICIOS FINANCIEROS
Libre Circulación de la Información, Derecho de Sociedades e Información Financiera
Libre circulación de la información, protección de datos y sus aspectos internacionales
XV D/5025/97 – ES/Final
WP 3 Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales
PRIMER INFORME ANUAL
Aprobado por el Grupo de Trabajo el 25 de junio de 1997
EL GRUPO DE TRABAJO DE PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA
AL TRATAMIENTO DE DATOS PERSONALES
Creado mediante la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 19951,
Vistos el artículo 29 y el apartado 6 del artículo 30,
Vistas las normas de procedimiento y en especial, sus artículos 12,13 y 15,
Ha adoptado el presente informe anual.
1. INTRODUCCIÓN
El 24 de octubre de 1995, el Parlamento Europeo y el Consejo aprobaron la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante denominada “la Directiva”).2
La Directiva crea un marco europeo armonizado de normas en el ámbito denominado tradicionalmente “de protección de datos”.
El Artículo 29 de la Directiva prevé la creación de un Grupo de protección de las personas en lo que respecta al tratamiento de datos personales. El Grupo de trabajo deberá presentar a la Comisión, al Parlamento Europeo y al Consejo un informe anual sobre el proceso de datos personales en la Comunidad y en los países terceros. Este informe será publicado.3
El primer informe cubre los principales acontecimientos en el ámbito de la protección de datos en 1996. La sección 2 resume la evolución en la Unión Europea, tanto en los
Estados miembros individuales como a nivel comunitario. La sección 3 trata el trabajo del Consejo de Europa. La sección 4 se ocupa de los principales acontecimientos en los países terceros, y la sección 5 hace referencia a otros acontecimientos internacionales.
2. EVOLUCIÓN DE LA SITUACIÓN EN LA UNIÓN EUROPEA
2.1 La Directiva
El proceso de aplicación de la Directiva se inició en 1996 en todos los Estados miembros y a nivel europeo. En la sección 2.1.1 se describen las funciones del grupo de trabajo y sus actividades de 1996; la sección 2.1.2 describe los procedimientos de incorporación de la Directiva a nivel nacional, y la sección 2.1.3 trata las acciones emprendidas por las
Instituciones Europeas en aplicación de las normas de la Directiva.
1 DO L 281 de 23/11/1995, p.31.
2 DO L 281 de 23/11/1995, p.31.
3 Apartado 6 del artículo 30 de la Directiva.
2.1.1 Grupo de Trabajo sobre protección de datos
El Grupo estará compuesto por representantes de las autoridades nacionales independientes responsables de la protección de datos4, un representante de la Comisión, e incluirá un representante de las autoridades de las Instituciones Europeas responsables
de la protección de datos, a medida y en el momento en que se creen estas autoridades.
Al poner en común la capacidad colectiva de las autoridades nacionales, el Grupo fomentará un enfoque coherente en la aplicación de los amplios principios de la Directiva y asesorará a la Comisión sobre aspectos relativos a la protección de datos. En especial, deberá dar su opinión respecto del nivel de protección en la Unión y en países terceros, y puede hacer recomendaciones sobre todos los aspectos relativos a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
El Grupo se reunió por primera vez el 17 de enero de 1996. Los trabajos del Grupo se iniciaron tempranamente, con arreglo a la petición de las autoridades nacionales responsables de la protección de datos. El Sr. Peter J. Hustinx, Presidente de la autoridad neerlandesa de protección de datos (Registratiekamer) fue elegido presidente del Grupo. La Sra. Louise Cadoux, miembro de la autoridad francesa de protección de datos (Commission Nationale de l'Informatique et des Libertés) fue elegida vicepresidenta. El Grupo se reunió en cuatro ocasiones en 1996. Los debates se centraron en las transferencias de datos hacia países terceros y el nivel de protección en dichos países, en los procedimientos de notificación, en las excepciones a las normas sobre protección de datos y en la aplicación de la ley de protección de datos a los medios de comunicación, a la luz del requisito de la directiva de encontrar un equilibrio entre la libertad de expresión y el derecho a la vida privada. Posteriormente, se aprobó una recomendación sobre este tema en 1997.
2.1.2 Incorporación al derecho nacional y equivalencia del nivel de protección
Esta sección pretende realizar un informe del progreso de la incorporación de la Directiva al derecho nacional.
En Bélgica ya han comenzado los procedimientos parlamentarios de incorporación de la
Directiva al derecho nacional. La autoridad responsable de la protección de datos (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levenssfeer) emitió un dictamen sobre el proyecto de ley del Ministerio de Justicia. En 1996 se aprobaron varios reales decretos de aplicación de la Ley de 1992.
Estos reales decretos ya tienen en cuenta en la medida de lo posible las disposiciones de la Directiva.
En Dinamarca, el Ministro de Justicia creó en 1996 un comité que elaborará una propuesta de ley para incorporar la Directiva. Este comité, compuesto por representantes de organizaciones privadas y autoridades públicas, completará su trabajo para el 1 de julio de 1997 en la medida de lo posible. Su intención es presentar una propuesta en 4 En el Anexo 1 figura la lista de los miembros del Grupo de Trabajo. otoño de 1997. La autoridad danesa responsable de la protección de datos (Registertilsynet) está representada en el Comité.
El Ministerio de Justicia español creó un Comité encargado del trabajo de incorporación de la Directiva al derecho nacional. En octubre de 1996, la autoridad responsable de la protección de datos (Agencia de protección de datos) convocó una reunión de expertos que estudiaron aspectos específicos de la incorporación de la Directiva. Entre estos aspectos figuraban el impacto de la Directiva en el ordenamiento jurídico español, la comparación entre los principios y derechos recogidos en la actual ley sobre protección de datos (Ley Orgánica 5/1992) y los de la Directiva, y la libertad informática y la regulación de la transferencia internacional de datos personales.
El legislador federal es el responsable en primera instancia de la incorporación de la
Directiva al derecho alemán. Esta responsabilidad se extiende no sólo al ámbito público de la Federación, sino también al ámbito no público, donde más cambios pueden esperarse, en virtud del poder legislativo previsto en el artículo 74 de la Ley Básica. El Ministerio Federal de Interior desempeña una función primordial en la incorporación. No sólo la ley federal, sino también, fundamentalmente en el sector público, también las leyes de los Estados Federados sobre protección de datos deberán alinearse con las disposiciones de la Directiva. Además de las leyes generales sobre protección de datos, es necesario examinar un gran número de normas federales y de los estados federados en ámbitos específicos de la protección de datos. El Delegado del Gobierno Federal, los Delegados de los Estados Federados para la protección de datos y las autoridades de control para el sector no público han abordado la enmienda pendiente de la ley alemana de protección de datos como parte de sus respectivas responsabilidades. Mientras tanto, el Gobierno Federal ha presentado unas observaciones respecto a un proyecto de ley.
La ley griega de protección de datos (Ley 2472/97 sobre protección de las personas físicas en lo relativo al tratamiento de datos personales) fue aprobada por el Parlamento griego el 26.3.1997 y publicada el 10.4.1997. Ya está en vigor en lo que respecta a la designación y organización de la autoridad de protección de datos. En lo que respecta a las operaciones de tratamiento, los derechos de las personas físicas, etc., la ley entrará en vigor tras el nombramiento de los miembros de la Autoridad de Protección de Datos.
Con arreglo a las disposiciones de la ley, el Gobierno nombrará al Presidente de la Autoridad (ex officio un juez del Tribunal Supremo) y los seis miembros serán nombrados por el Parlamento. Estos nombramientos deberán tener lugar en el plazo de 60 días tras la publicación de la ley, esto es, el 10.6.1997.
En Francia, el Gobierno tiene la misión de preparar el proyecto de ley y en la actualidad está estudiando el tema. Aún no se conocen los resultados de estas reflexiones ni el momento en que se dispondrá de la nueva legislación. El Gobierno consultará a la autoridad francesa responsable de la protección de datos, la Commission Nationale de l'Informatique et des Libertés (CNIL), respecto de los primeros proyectos, tan pronto el Gobierno haya determinado su política con mayor precisión.
En Irlanda, la legislación sobre la protección de datos es competencia del Ministro de Justicia. El Ministro ha declarado que las medidas legislativas necesarias para hacer efectiva la Directiva, que exigirán modificar la Ley sobre Protección de Datos de 1988, se presentarán en cuanto sea posible, con el fin de que entre en vigor antes de octubre de 1998.
En Italia, el Gobierno presentó al Parlamento en junio de 1996 proyectos legislativos sobre protección de datos. La ley se aprobó el 31 de diciembre de 19965 y entró en vigor el 8 de mayo de 19976. El Parlamento autorizó al Gobierno7 a legislar por medio de un instrumento público con el fin de modificar y completar la ley de protección de datos para julio de 1998. En Luxemburgo, el Ministerio de Justicia es competente de la incorporación de la Directiva al derecho nacional. En la actualidad se está preparando un proyecto de ley que se discutirá con los principales representantes de los sectores público y privado antes de su adopción por el Gobierno. Los posteriores procedimientos presupuestarios se han previsto, en la medida de lo posible, para finales de 1997 o como muy tarde, principios de 1998.
El Gobierno de los Países Bajos ha manifestado su intención de sustituir la actual Ley de Protección de Datos, vigente desde el 1 de julio de 1989, por una Ley de Protección de Datos completamente nueva, acorde con la Directiva. En septiembre de 1996 se presentó un anteproyecto de ley para ser comentada por diversas organizaciones, incluida la Autoridad de Protección de Datos (Registratiekamer). Se espera que se presente al Consejo de Estado una versión modificada del proyecto de ley en primavera, y que se presente al Parlamento en otoño de 1997.
La Cancillería Federal de Austria (Österreichisches Bundeskanzleramt) está trabajando en la actualidad en un proyecto para la incorporación de la Directiva al derecho nacional, que se discutirá posteriormente en el Consejo de Protección de Datos y se presentará previsiblemente al Parlamento en otoño de 1997.
La Constitución de la República Portuguesa incluye disposiciones sobre protección de datos, que en algunos casos8 son más restrictivas que las disposiciones de la Directiva.
La incorporación de la Directiva exige por lo tanto revisar la Constitución. A raíz de una petición del comité parlamentario para la revisión de la Constitución, la autoridad portuguesa de protección de datos (Comiss‰o Nacional de Protecç‰o de Dados Pessoais Informatizados, CNPDPI) ha presentado una propuesta para la modificación de la disposición constitucional correspondiente. El acuerdo de los partidos políticos sobre las enmiendas a la Constitución se espera para principios de 1997.
5 Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana n§5, suplemento 3, 8/1/97.
6 Con excepción del tratamiento de datos en el marco del Tratado de Schengen, que entró en vigor el 8 de enero de 1997.
7 Legge 676/96, Gazzetta Ufficiale della Repubblica Italiana n§5, suplemento 3, 8/1/97.
8 Prohibición absoluta de tratamiento automatizado de determinadas categorías de datos tales como tendencias políticas, datos relativos a creencias religiosas, etc.
En Finlandia, un comité ad hoc para la incorporación de la Directiva (Henkilötietotoimikunta) comenzó sus trabajos en octubre de 1995 con la previsión de acabarlos en marzo de 19979.
En Suecia, el comité encargado del examen oficial de la ley de protección de datos (Datalagskommittën) propondrá en marzo de 1997nueva legislación sobre protección de datos que incorpore la Directiva.
El Ministerio del Interior del Reino Unido publicó en marzo de 1996 un documento de consulta sobre la aplicación de la Directiva. La consulta finalizó el 19 de julio de 1996.
El Secretario del RU para la protección de datos publicó asimismo, en abril de 1996, una serie de documentos, “Preguntas que hay que responder” destinados a fomentar el debate y proporcionar información básica para todos aquellos que deseasen responder a la consulta del Ministerio del Interior. Se distribuyeron casi 3000 copias a las partes interesadas. La respuesta formal del Secretario al documento de consulta del Ministerio del Interior, “Nuestras Respuestas”, también se ha distribuido ampliamente desde julio.
El Ministerio del Interior ha publicado un resumen de las respuestas a su documento de consulta. Se ha prometido un proyecto de ley sobre protección de datos para la sesión del Parlamento 1997-1998.
2.1.3 Aplicación en las Instituciones Europeas
Las Instituciones Europeas, y en especial la Comisión, procesan habitualmente datos personales en el marco de sus actividades institucionales. La Comisión intercambia datos personales con los Estados miembros en el ámbito de la Política Agrícola Común, la administración del sistema aduanero, la gestión de los fondos estructurales, etc. Con el fin de no crear una laguna en la protección en Europa, la Comisión, al proponer la Directiva en 1990, declaró que también cumpliría los principios de la misma.
En el momento de la adopción de la Directiva, la Comisión y el Consejo se comprometieron, mediante una declaración pública, a cumplir la Directiva e invitaron a los demás organismos e Instituciones comunitarias a hacer otro tanto.10
En la Conferencia Intergubernamental para la revisión de los Tratados, los gobiernos neerlandés y griego plantearon la cuestión de la aplicación a las Instituciones Europeas de las normas sobre protección de datos.
El Parlamento Europeo, en su Resolución n§ 41 sobre el Programa de Trabajo de la Comisión, pidió a ésta que creara un organismo independiente de control sobre protección de datos.
9 El anteproyecto de la nueva ley está localizado en la World Wide Web
(http://www.vn.fi/om/suomi/tiedotteet/henkilottmk.html)
10 Esta declaración se publicó en un comunicado de prensa del Consejo de 24 de julio de 1995 (9012/95 (Press 226)).
Por su parte, la Comisión ha adoptado diversas medidas para garantizar que los principios de protección se aplican a los datos personales que procesa:
– En primer lugar, hay que señalar que la Comisión se considera vinculada por los principios contenidos en la Directiva, y que sus servicios están por lo tanto obligados a aplicarlos siempre que realicen tratamientos de datos personales. Esta protección se aplica a todos las personas físicas, ya sean funcionarios de la Comisión o terceros tales como prestadores de servicios, funcionarios de un Estado miembro que traten con la Comisión o cualquier otra persona que participe en la aplicación de la política comunitaria. Este compromiso de la Comisión se hizo público con la publicación de la mencionada declaración en 1990 y con la declaración conjunta con el Consejo en 1995.
– Mediante un memorándum de 9 de octubre de 1995, el Secretario General de la Comisión comunicó a todos los servicios unas orientaciones destinadas a facilitar la aplicación en la práctica de los principios contenidos en la Directiva. El documento muestra la forma en que estos principios se adecuan a las necesidades específicas de los servicios de la Comisión. La Secretaría General está aplicando una iniciativa destinada a aumentar la toma de conciencia en los servicios. Dado que estas orientaciones se concibieron como un documento interno que establecía disposiciones de organización para el trabajo de los servicios, no se han adoptado medidas específicas para publicarlas.
– Cada Dirección General o servicio deberá aplicar los principios establecidos en la Directiva. Evidentemente, esto se realiza en el contexto de medidas existentes, tales como las medidas de seguridad para las redes de tratamiento de datos en el seno de la Comisión y los artículos del Estatuto de los Funcionarios relativos a la protección. La DG XV (Mercado Interior y Servicios Financieros) ha designado un funcionario interno dedicado a la protección de datos, cuya función será controlar la aplicación correcta de las normas de protección de los datos personales tratados bajo su responsabilidad.
La Secretaría General del Consejo y la Unión Europea han elaborado normas internas destinadas a garantizar la aplicación de los principios de la Directiva a los datos personales tratados bajo su responsabilidad.
2.2 Evolución en el ámbito de la protección de datos. Actividades de las autoridades responsables de la protección de datos
La presente sección destaca los principales rasgos en el ámbito de la protección de datos, con especial referencia al trabajo de las autoridades nacionales responsables de la protección de datos tanto a nivel nacional (2.2.1) como internacional (2.2.2).
2.2.1 Ámbito nacional
La presente sección destaca algunas de las principales preguntas formuladas por las autoridades nacionales responsables de la protección de datos en el marco de la aplicación de la actual legislación sobre protección de datos. Puede obtenerse más información consultando a las autoridades nacionales responsables de la protección de datos que publican amplios informes anuales.
La autoridad belga para la protección de datos (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levenssfeer) emitió unos treinta dictámenes en aplicación de la ley sobre protección de datos de 8 de diciembre de 1992 y otras leyes con disposiciones sobre protección de datos. Varios de estos dictámenes hacían referencia al registro nacional de personas físicas. Las autoridades emitieron una recomendación destinada a los controladores de datos11 y trataron varios cientos de peticiones de información y unas cuarenta reclamaciones. Una de las principales actividades en 1996 fue la gestión de nuevas notificaciones. El plazo límite para notificar las operaciones de tratamiento existentes era el 1 de junio de 1996. Además de las 2000 existentes, se recibieron más de 7500 notificaciones.
En Dinamarca, entró en vigor el 1 de enero de 1997 una pequeña modificación a la ley sobre los registros a cargo de las autoridades públicas, por la que se amplía el derecho de las autoridades públicas a transmitir a agencias privadas de evaluación de solvencia datos sobre las deudas debidas a dichas autoridades.
Un caso especialmente importante tratado en 1996 por la autoridad responsable de la protección de datos afectó a la utilización de Internet por parte de las autoridades públicas para la revelación de datos sobre posesión, direcciones, propiedad y evaluación de todos los bienes inmuebles de Dinamarca. La autoridad en cuestión opinó que la publicación en Internet no violaba la legislación sobre protección de datos y aceptó la publicación en Internet de datos ya accesibles al público. El enfoque adoptado para llegar a la decisión fue que la publicación en una página Web de Internet era equivalente a la publicación por cualquier otro medio.
La autoridad dio su opinión sobre legislación nueva, incluida una propuesta de ley sobre la utilización de datos relativos a la salud para cuestiones de empleo, sobre el Convenio Europol, el proyecto del Convenio Eurodac y el Convenio del Consejo de Europa sobre derechos humanos y biomedicina. Por último, la autoridad realizó unas 50 inspecciones a empresas privadas y autoridades públicas.
En Alemania, la utilización de servicios de telecomunicaciones por proveedores privados de teleservicios, como consecuencia de la liberalización del sector de las telecomunicaciones, hizo necesario sentar las bases jurídicas apropiadas en lo que respecta a la protección de datos. El Parlamento Federal adoptó el 13 de junio de 1997 un estatuto sobre los servicios de comunicación e información. Según éste, el diseño y selección de instalaciones técnicas para los teleservicios debe tener por objetivo evitar recoger o procesar datos personales en absoluto o en la medida de lo posible. Es lamentable que las auditorías sobre protección de datos inicialmente previstas se hayan suprimido. La ley de telecomunicaciones que entró en vigor en agosto de 1996 transfirió
11 Relativa al análisis del consumo de medicamentos sobre la base de las recetas médicas. la supervisión de la protección de datos de todas las empresas que proporcionen servicios de telecomunicaciones al Delegado del Gobierno Federal para la Protección de Datos. Éste ha ampliado considerablemente su función de asesoría y control (más de 1.100 empresas a principios de 1997).
Nuevas áreas están creando creciente preocupación en Alemania. El análisis del genoma es cada vez más importante como método adicional de investigación forense para el enjuiciamiento y castigo de delitos. En 1996, la ley de enjuiciamiento criminal alemana fue ampliada con normas sobre huellas dactilares genéticas. No obstante, los análisis de ADN constituyen una gran invasión de la intimidad. El almacenamiento automático de huellas dactilares genéticas sigue por lo tanto siendo problemático, pero la ley no dice nada a este respecto. Asimismo, el uso generalizado de tarjetas inteligentes tiene graves consecuencias para la protección de la vida privada.
Las actividades de la autoridad española responsable de la protección de datos (Agencia de protección de datos) aumentó considerablemente en 1996. Se trataron 1.152 reclamaciones (+245% en comparación con 1995), se realizaron 268 inspecciones de expedientes (+160%), se iniciaron 90 procedimientos disciplinarios (+200%) y se incoaron 534 procedimientos administrativos destinados aplicar los derechos de acceso, rectificación y cancelación (534%). El servicio especial de relaciones con los ciudadanos trató 600 peticiones escritas de información y más de 8.000 peticiones orales. En 1996 se autorizaron 37 transferencias de datos al extranjero.
En Francia, la Commission Nationale de l'Informatique et des Libertés (CNIL) trató varias propuestas destinadas a restringir los gastos de salud y se ocupó del registro nacional de personas físicas cubiertas por la seguridad social. La CNIL contribuyó al trabajo de la Oficina Internacional del Trabajo sobre “directrices para la protección de datos de los trabajadores”. En lo que respecta a la utilización de nuevas tecnologías, la CNIL emitió dictámenes sobre la captación de imágenes en las autopistas, sobre el registro de todos los movimientos de los trabajadores manuales en el marco del certificado de calidad ISO 9000 y en relación con determinadas aplicaciones del voto electrónico y el dinero electrónico. En 1995 la CNIL estableció unas normas relativas a la fijación de directorios en Internet y en 1996 comenzó a considerar diversas cuestiones relativas a los servicios en línea, la recogida de datos para la medición de la audiencia de los sitios Web, el funcionamiento de los foros de debate, condiciones especiales para la apertura de la portada del Primer Ministro, etc.
El Delegado irlandés responsable de la protección de datos mantuvo amplias discusiones con Telecom Eireann, la compañía telefónica nacional de Irlanda, sobre sus planes para introducir la identificación de la línea de origen de la llamada. Hizo hincapié en las consideraciones sobre la intimidad que deberían tenerse en cuenta y las medidas necesarias para ello. Estas discusiones aún continúan. En 1996, las autoridades sanitarias consultaron al Delegado antes de la introducción de un proyecto piloto sobre la utilización de tarjetas inteligentes para los datos relativos a la salud. Estas consultas desembocaron en la plena aplicación por parte de las autoridades sanitarias irlandesas de los requisitos establecidos por el Delegado. En 1996 se publicó un informe del gobierno donde se presentaban propuestas para compartir datos entre los departamentos del Gobierno, utilizando los números de RSI (Seguridad Social e Ingresos) como identificador, y el Delegado respondió expresando su preocupación por la repercusión en la vida privada. Los medios de comunicación se hicieron amplio eco de esta preocupación. Se han producido quejas relativas a la forma en que se obtiene cada vez más información personal por teléfono, especialmente por parte de empresas de los sectores bancario y de seguros. El Comisario adoptó medidas destinadas a concienciar a las empresas en cuestión acerca de la obligación de obtener información de forma limpia, y aludió a este aspecto en su Informe Anual. Las preguntas a la Oficina del Delegado a lo largo de 1996 indicaron un creciente nivel de concienciación en lo relativo a la protección de datos por parte de los controladores de datos.
También siguió creciendo el número de peticiones de ciudadanos individuales, tanto de información como de ayuda con problemas específicos.
Con el régimen de protección de datos vigente (Ley de 31 de marzo de 1979), Luxemburgo no cuenta con una autoridad independiente responsable de la protección de datos, sino con una comisión cuyas funciones consisten en: a) presentar dictámenes al Gobierno respecto de peticiones sobre obtención de licencias para operar bancos de datos, y b) informar al Gobierno respecto de posibles violaciones de la legislación. En 1996 la principal tarea de la comisión fue el análisis de posibles problemas relativos a la privatización del sector de las telecomunicaciones, y en especial la publicación por parte de las empresas privadas de directorios de los suscriptores.
La autoridad neerlandesa responsable de la protección de datos (Registratiekamer) participó en la elaboración de un código de conducta para la utilización de tarjetas inteligentes multifunciones. Publicó informes sobre datos genéticos, sobre el registro de llamadas telefónicas en el lugar de trabajo y sobre la vigilancia por vídeo de espacios abiertos al público. Otros aspectos importantes hacían referencia a la privatización de la seguridad social y al creciente uso de números de identificación personal. La Registratiekamer ha participado en el desarrollo de normas para la seguridad de la información y en el fomento de la utilización de tecnologías destinadas a proteger la intimidad (PET's). Realizó controles sobre la situación de la protección de la vida privada en un hospital psiquiátrico, un centro de información sobre riesgos de créditos y el sistema de información penal de un importante servicio policial. En todos los casos, las conclusiones del control dieron lugar a actividades en los sectores en cuestión, ejecutadas conjuntamente con instituciones del sector.
En vista de las numerosas quejas recibidas por la Comisión austríaca para la protección de datos, competente únicamente del control del sector público, no existen cuestiones específicas que puedan considerarse aspectos centrales de los problemas de la protección de datos en el sector público. No obstante, parece interesante mencionar que tras una decisión de la Comisión para la protección de datos, que consideraba ilegales los expedientes sobre enfermos mentales elaborados manualmente por la policía (como consecuencia de su asistencia en casos de detención forzosa de personas en hospitales psiquiátricos), estos expedientes fueron suprimidos mediante nueva legislación.
La autoridad portuguesa responsable de la protección de datos (Comiss‰o Nacional de Protecç‰o de Dados Pessoais Informatizados, CNPDPI) ha trabajado para elevar la concienciación del público respecto de la protección de datos, especialmente a través de contactos periódicos con la prensa y la participación en conferencias y debates. La aplicación de la legislación actual, especialmente en respuesta a las quejas, se ha centrado en empresas de marketing directo, bancos y autoridades fiscales y sanitarias. La CNPDPI ha dado su opinión a petición del gobierno sobre proyectos de leyes sobre datos médicos, sobre una tarjeta del servicio nacional de salud, sobre el tratamiento de datos relativos a condenas y el tratamiento de datos personales por parte de las autoridades fiscales. La CNPDPI expidió autorizaciones para el tratamiento de datos sensibles por parte de controladores de datos no pertenecientes al sector de los servicios públicos.
El Defensor del Pueblo finlandés para la protección de datos ha tenido que tratar cuestiones relativas a los servicios de Internet, planes sobre dinero electrónico y tarjetas de identidad inteligentes.
La modificación en 1995 de la ley sueca sobre datos de 1973 ha permitido a la autoridad responsable de la protección de datos (Datainspektionen) promulgar normas administrativas relativas a operaciones comunes de tratamiento en diversos sectores, eximiendo por lo tanto a estas operaciones de la obligación de obtener permiso de la autoridad responsable de la protección de datos. Se han promulgado nueve de estas normas12 y el número de solicitudes de permisos ha pasado de unos 7000 anuales a unos 5000 al año.
En el Reino Unido, las medidas organizativas de la oficina del Secretario han simplificado el proceso de notificación. Se produjo una tendencia ascendente de registros, siendo el número actual de registros de más de 200.000. En mayo de 1996 se publicó un documento de consulta sobre otros cambios en el registro, y se ha realizado una revisión de las respuestas de los usuarios de datos. El número de enjuiciamientos en 1996 fue de 39. Entre estos, se dio un caso que fue el primero en llegar a la Cámara de los Lores desde la aprobación de la legislación en 1984. Se ha intensificado la utilización de Internet; el Registro de Protección de Datos está en la actualidad disponible en Internet13, al igual que las principales guías y publicaciones14. La Secretaría organizó tres conferencias: la Conferencia de Primavera de 1996 de los Comisarios de la UE responsables de la Protección de Datos, una conferencia en abril sobre “Vida privada en el trabajo” y una Conferencia en diciembre sobre “Cotejo de datos”. Aparte de publicaciones sobre la Directiva, la oficina elaboró notas orientativas sobre la seguridad para los prestadores de servicios financieros respecto a preguntas realizadas por teléfono, información sobre créditos, marketing directo y tratamiento de imágenes de documentos.
Además, la Secretaría presentó su respuesta a las propuestas del gobierno relativas a la introducción de una tarjeta de identidad nacional voluntaria. La Secretaría presentó su
respuesta en un libro verde titulado “El Gobierno en directo” en febrero de 1997. En su respuesta, apostó por la utilización de tecnologías que protejan la vida privada15. 12 Hacen referencia al tratamiento de datos por parte de la Iglesia sueca, el tratamiento con fines de investigación, el tratamiento por parte de municipios, el tratamiento con fines de marketing directo, el tratamiento por parte de compañías de seguros, la publicación de actas de reuniones de municipios en Internet, el tratamiento por parte de abogados, los registros de miembros de jurados en poder de los tribunales y los registros de intérpretes de los tribunales.
13 http://www.dpr.gov.uk
14 http://www.open.gov.uk/dpr/dprhome.htm
15 Para más información, véase el 12 Informe Anual, ISBN 0-10-281296-9, disponible en HMSO,
Publications Centre, PO Box 276, London SW8 5DT, Reino Unido.
2.2.2 Ámbito internacional
Aparte de las reuniones del Grupo de Trabajo para la protección de datos personales, celebradas con arreglo al artículo 29 de la Directiva, los Comisarios de la UE responsables de la protección de datos continúan reuniéndose dos veces al año. La conferencia de primavera de 1996 se celebró en Manchester en abril, y la reunión de otoño coincidente con la Conferencia Internacional en Ottawa en septiembre. El Grupo está compuesto actualmente por 13 países; Italia y Grecia se adherirán probablemente una vez hayan creado autoridades independientes para la protección de datos.
Tras la Conferencia de primavera de 1996, la Secretaría del RU responsable de la protección de datos asegura la secretaría permanente de la conferencia. La secretaría proporciona apoyo administrativo, advierte a los Comisarios de la UE responsables de la protección de datos acerca de acontecimientos que requieren acción conjunta, prepara proyectos de propuestas, y en general, facilita la acción conjunta de los Comisarios. Los
Comisarios tienen en la actualidad un pequeño número de grupos de trabajo: grupo de trabajo de policía, aduanas y cuestiones afines, grupo de trabajo sobre telecomunicaciones, y el grupo GERI que se ocupa de cuestiones relacionadas con Internet y los servicios en línea. También existen comités ad hoc sobre crédito a los consumidores y transporte por carretera. En 1996, los Comisarios celebraron un seminario sobre relaciones públicas y cuestiones de marketing.
Por lo que respecta a las posiciones comunes, los Comisarios de la UE responsables de la protección de datos adoptaron declaraciones sobre Europol y la Directiva RDSI, y reafirmaron su declaración de 1995 relativa a la protección de datos y las instituciones de la Unión Europea. También presentaron comentarios sobre el proyecto de Código de práctica de la OIT sobre protección de los datos personales de los trabajadores, y estuvieron representados como observadores en la reunión de la OIT de octubre donde se discutió este código.
La Secretaría del RU también ha tenido representantes en calidad de observadores en las reuniones del Grupo ad hoc de expertos sobre orientaciones de la política de criptografía de la OCDE en nombre de todos los Comisarios responsables de la protección de datos y de la vida privada.
Los Comisarios de la UE responsables de la protección de datos también presentaron una respuesta al Libro Verde “Vivir y trabajar en la sociedad de la información” y adoptaron un documento sobre telecomunicaciones y vida privada en las relaciones laborales.
2.3 Evolución de la política de protección de datos en la Unión Europea
Si bien la Directiva es la pieza central de la política europea de protección de datos, está complementada por diversas iniciativas dirigidas a garantizar un marco coherente de protección de los ciudadanos.
La presente sección destaca la evolución en la Unión Europea tanto dentro de la competencia de la CE (subsecciones 2.3.1 a 2.3.4) y bajo el título VI del Tratado de la Unión Europea (subsección 2.3.5).
2.3.1 Coordinación comunitaria en foros internacionales
Los Estados miembros de la CE deben tener en cuenta sus obligaciones comunitarias al negociar compromisos en los foros internacionales. Cuando la Comunidad ostente una competencia exclusiva, los Estados miembros deberán actuar conjuntamente y coordinar sus posiciones. La adopción de la Directiva obligó a la Comunidad a actuar coordinadamente en la negociación en el Consejo de Europa de recomendaciones sobre protección de datos.
La Comisión ha obtenido un mandato del Consejo para negociar en nombre de la Comunidad en los organismos del Consejo de Europa competentes de la adopción de la recomendación sobre datos procesados a efectos médicos y datos procesados a efectos estadísticos.
2.3.2 Iniciativas sectoriales
El Consejo de Ministros adoptó su posición común para una “directiva relativa al tratamiento de datos personales y la protección de la vida privada en el sector de las telecomunicaciones, en especial en el Red Digital de Servicios Integrados (RDSI) y en las redes móviles digitales” el 12 de septiembre de 1996 16.
El texto pretende garantizar la libre circulación de datos y de equipos y servicios de telecomunicaciones en la Comunidad, armonizando el nivel de protección de los suscriptores y usuarios de los servicios públicos de telecomunicaciones en relación con el tratamiento de datos personales en el sector de las telecomunicaciones.
La Directiva especificará, para el sector de las telecomunicaciones, las normas generales establecidas por la Directiva 95/46/CE y aumentará la protección de la intimidad de las personas y los intereses legítimos de los suscriptores (incluidas personas jurídicas).
El Parlamento Europeo adoptó 11 enmiendas al texto el 16 de enero de 1997. La Comisión ha anunciado que no puede aceptar cuatro de estas enmiendas. En 1997 comenzará probablemente un procedimiento de conciliación.
2.3.3 La protección de datos y la sociedad de la información
Algunos desarrollos tecnológicos, y en especial la emergencia de la llamada “sociedad de la información” suelen considerarse como fuente de preocupación en lo que respecta a la vida privada. Crecientes cantidades de información personal se procesan de forma muy sofisticada con técnicas tales como “almacenamiento de datos” y “explotación de datos” que son potencialmente más susceptibles de invadir la vida privada que las técnicas tradicionales de tratamiento. Además, la introducción de nuevas técnicas para una gama 16 Posición común 57/96, DO C315/30 de 24.10.96. completa de servicios causa preocupación debido a la gran cantidad de los llamados “datos de transacción”, que suelen compararse con un rastro electrónico que deja tras de sí cada individuo.
Estas inquietudes se plantearon en el Foro de la sociedad de la información, creado por la Comisión y en especial, en el informe del segundo Grupo de Trabajo.
No obstante, las soluciones tecnológicas pueden contribuir a la protección de la vida privada. Un informe conjunto de las autoridades neerlandesas y canadienses responsables de la vida privada subrayó la importancia de las llamadas tecnologías destinadas a proteger la intimidad (PET's). Estas tecnologías comprenden la organización y diseño de los sistemas y tecnologías de información y comunicación con el fin de evitar o al menos minimizar la utilización de datos personales.
Ejemplos de estas aplicaciones son los protectores de la identidad, los kioskos de Internet que proporcionan un acceso anónimo, formas de pago anónimas tales como las tarjetas previamente franqueadas, herramientas de búsqueda anónima, tecnología de filtrado, etc. Este enfoque favorecedor de la vida privada exige la revisión de las bases de datos o sistemas TI con el fin de analizar la necesidad del tratamiento de datos personales con arreglo a los principios de protección de datos.
La Comisión fomenta activamente el desarrollo y utilización de estas tecnologías. La
Comisión decidió en el Primer Plan de Acción para la innovación en Europa17 fomentar las tecnologías destinadas a proteger la intimidad en el 5§ Programa Marco para la investigación y el desarrollo tecnológico, con el fin de demostrar que las nuevas tecnologías pueden permitir a los usuarios ejercer de forma más eficaz su derecho a la vida privada.
2.3.4 Protección de datos en otros instrumentos comunitarios
En diversos instrumentos de la legislación derivada de la Comunidad, se ha conferido a la Comisión tareas específicas relacionadas con el tratamiento de datos personales. Con el fin de proteger los derechos y libertades fundamentales de los individuos afectados por dicho tratamiento, también se ha invitado a la Comisión, a efectos de aplicar las correspondientes normas comunitarias, a desarrollar mecanismos de protección de datos.
Un ejemplo de esto es el Reglamento del Consejo (CE) n§ 1469/95 de 22 de junio de 1995 sobre medidas que deben adoptarse respecto a determinados beneficiarios de operaciones financiadas a cargo de la Sección de Garantía del FEOGA18. A efectos de la aplicación de este Reglamento, que prevé un mecanismo de intercambio de información entre la Comisión y los Estados miembros, la Comisión ha establecido diversas medidas de protección para el tratamiento que realizan sus servicios19.
17 COM (96)589 final, 20.11.1996, p.32.
18 DO L 145 de 29 de junio de 1995.
19 Véase el Reglamento de la Comisión (CE) n§ 745/96 publicado en el DO L 102 de 25 de abril de 1996, y la Comunicación de la Comisión en el DO C 366 de 5 de diciembre de 1996, que llamó la atención del público respecto de la aplicación del Reglamento y el consiguiente tratamiento de datos personales. Las autoridades aduaneras europeas intercambian datos personales con sus homólogos de terceros países en el marco de los acuerdos de asistencia mutua firmados por las Comunidades y los terceros países. A petición del lado europeo, estos acuerdos incluyen disposiciones especiales destinadas a garantizar el respeto de los principios de protección de datos20.
2.3.5 Protección de datos en instrumentos no comunitarios
Varios instrumentos adoptados o en proceso de adopción en virtud del Título VI del Tratado de la Unión Europea (Cooperación en el ámbito de la Justicia y los Asuntos de Interior) implican el tratamiento de datos personales. Por ello, se han incluido disposiciones específicas sobre protección de datos en estos instrumentos y en sus normas de aplicación. Los organismos competentes del Consejo de la Unión Europea colaboraron en la elaboración de normas detalladas de protección de datos para Europol, que formarán parte de los reglamentos de aplicación que se adoptarán previsiblemente en 1997. En el Convenio Eurodac también se discutieron normas detalladas sobre huellas dactilares de los solicitantes de asilo.
Los instrumentos adoptados en virtud del Título VI del Tratado de la Unión Europea no utilizan los acuerdos de protección de datos establecidos por la Directiva, sino que se basan en soluciones específicas que no otorgan los mismos derechos o recursos judiciales a los individuos y no se basan en la misma forma de supervisión independiente.
2.4 Schengen
La mayoría de los Estados miembros de la UE forman parte del Acuerdo de Schengen, que prevé la cooperación policial, aduanera y de inmigración con el fin de compensar la supresión de los controles fronterizos en sus fronteras interiores. Un elemento esencial de estas medidas compensatorias es el establecimiento de un sistema de información común, el Sistema de Información de Schengen (SIS). En este contexto, el Acuerdo también contiene disposiciones sobre protección de datos, incluida una Autoridad Común de Control, compuesta por representantes de las autoridades nacionales de supervisión de los países Schengen. La Autoridad Común de Control ha publicado recientemente un informe de sus actividades durante los primeros dos años (marzo 1995- 1997). El informe subraya la importancia de una autoridad de control independiente con 20 Los siguientes acuerdos entraron en vigor en 1996:
Acuerdo Europeo con Eslovenia (firmado el 11.11.96, DO L 344, 31.12.96)
Islas Feroe (enmienda al ALC, firmado el 6.12.96, DO L 53, 22.2.97).
Acuerdo de Unión Aduanera con Turquía (1.1.96, DO n§ L 35, 13.2.96)
Acuerdos con:
Israel (provisional, 1.1.96: DO L 71, 20.1.96)
CEI: Federación Rusa (provisional, 1.2.96, DO L 247, 13.10.95), Ukrania (provisional, 1.2.96: DO L 311, 23.12.95), Moldavia (provisional, 1.5.96: DO L 40, 17.2.96).
En la actualidad se están negociando acuerdos que incluyen disposiciones de ayuda mutua con diversos países. suficientes poderes y recursos para cumplir su misión adecuadamente. También subraya la necesidad de transparencia del proceso de información para los ciudadanos.
2.5 Diálogo con países terceros sobre protección de datos
La Directiva no sólo regula el tratamiento de datos personales dentro de la UE, sino que también incluye disposiciones sobre transferencia de datos a países terceros (artículos 25 y 26). El principio básico es que los Estados miembros únicamente deberían permitir dichas transferencias cuando se garantice un nivel de protección de datos adecuado. Existe claramente la posibilidad de que se den casos donde no se garantice una protección adecuada, y siempre que no se aplique ninguna de las exenciones previstas, las transferencias se verán bloqueadas.
Un giro tal de los acontecimientos podría causar trastornos considerables a los flujos mundiales de datos personales, y en consecuencia, al comercio internacional. Si bien el artículo XIV del GATS (Acuerdo General sobre el Comercio de Servicios) permitiría el bloqueo de las transferencias de datos personales, sería no obstante preferible evitar esto.
Una mejor solución sería que aquellos países terceros a los que se transfieren datos regularmente elevaran su nivel de protección hasta un nivel considerado satisfactorio.
La UE negocia acuerdos generales que proporcionan un marco para las relaciones (cooperación, relaciones comerciales) con países terceros en concreto. Estos acuerdos suelen cubrir una amplia gama de aspectos, desde la política exterior y de seguridad hasta aspectos comerciales y de desarrollo económico. Desde que se adoptó la Directiva sobre protección de datos, los servicios de la Comisión persiguen incluir en dichos acuerdos, directa o indirectamente, la protección de datos y de la vida privada, con ocasión de la negociación de los mismos.
Algunos países pueden resultar “paraísos de datos” para los operadores económicos que busquen menores costes de tratamiento de datos. El objetivo de los acuerdos entre la Comunidad y estos países ha sido simplemente un intercambio de información (una especie de “alerta precoz”) junto con una recomendación de que el país en cuestión considere cómo puede garantizar una protección adecuada a las transferencias de datos procedentes de países de la CE. La protección de datos se ha planteado de esta forma con Méjico y Paquistán. La lista está en constante crecimiento.
La protección de datos se discutió en diversas reuniones del Grupo de Trabajo sobre la política de la información (GTPI), un foro que reúne a los servicios de la Comisión con representantes del Ministerio de Industria japonés (MITI). Ya existe una ley de protección de datos que cubre el sector público, si bien cuenta con amplias excepciones.
Las autoridades japonesas están considerando la mejor forma de desarrollar normas de protección de la vida privada para el sector privado.
En la Cumbre de Madrid de diciembre de 1995 culminó un gran ejercicio de redefinición y relanzamiento de la relación EEUU-UE, con la firma del Nueva Agenda Trasatlántica.
Una parte esencial de este acuerdo fue el plan de acción donde se describían diversas acciones y objetivos específicos. Como parte de este plan de acción, ambas partes acordaron discutir aspectos de la protección de datos y la vida privada “con el fin de facilitar el flujo de datos personales, solucionando los riesgos para la vida privada”. Ya se han celebrado varias rondas de debates generales entre los servicios de la Comisión y la administración de Estados Unidos sobre la vida privada y la protección de datos, en el contexto de un diálogo más amplio sobre la Sociedad de la Información. Como resultado de estas discusiones, se estableció un diálogo sobre la protección de datos y se celebraron varias reuniones a partir de mayo de 1996. Los debates se centraron en las diferencias de enfoque respecto a la protección de la vida privada en diversos sectores específicos, y cubrieron asimismo cuestiones más estratégicas respecto de posibles soluciones internacionales.
El acuerdo marco con Canadá firmado en diciembre de 1996 prevé el mismo tipo de debates entre las autoridades europeas y canadienses sobre el tema de la vida privada.
Naturalmente, la solución lógica a largo plazo para los problemas de flujo internacional de datos personales sería un acuerdo multilateral sobre un conjunto de normas obligatorias relativas a la protección de datos. El Comisario Sir Leon Brittan, en su discurso de la Conferencia de la OMC de Singapur en diciembre de 1996, aludió a la necesidad de abordar estas cuestiones en el futuro.
La Directiva deberá incorporarse al Acuerdo sobre el Espacio Económico Europeo que vincula a la Comunidad con Islandia, Liechtenstein y Noruega. En 1996 se iniciaron los debates a estos efectos entre los servicios de la Comisión y los servicios de la AELC.
Aparte de estas acciones específicas, la Comisión desea desarrollar una política coherente con vistas a la aplicación de las disposiciones sobre transferencia de datos de la Directiva a países terceros. Se encargó al “Centre de Recherche Informatique et Droit” de la Universidad de Namur, en Bélgica, un estudio sobre la metodología para la evaluación de dichas transferencias de datos. Este trabajo ha servido como base para la discusión de estos temas en el Grupo de Trabajo.
3. CONSEJO DE EUROPA
El Consejo de Europa continuó su trabajo relativo a aspectos de la protección de datos.
El Grupo Proyecto sobre protección de datos (CJ-PD) y sus subgrupos especializados debatieron recomendaciones sobre aspectos específicos para su adopción por el Comité de Ministros representantes de todos los Estados miembros del Consejo de Europa. Por otro lado, el Comité Consultivo creado por el Convenio 108 (T-PD) reúne a representantes de los 17 Estados adheridos al Convenio.
Los órganos del Consejo de Europa han estado trabajando en tres recomendaciones. Una de ellas, relativa a la utilización de datos médicos, fue finalizada por el CJ-PD a finales de 1996 a raíz de la coordinación de los Estados miembros de la Unión Europea. El texto adoptado posteriormente el 13 de febrero de 1997 por el Comité de Ministros sustituye a la Recomendación de 1981 sobre el mismo tema21. Los trabajos del CJ-PD sobre una recomendación relativa al tratamiento de datos estadísticos que sustituya parcialmente a la Recomendación de 1983 sobre investigación científica y estadísticas22 están bastante
21 R(81)1 Normas para bancos de datos médicos automatizados.
22 R(83)10 Protección de datos personales utilizados en estadísticas e investigación científica. avanzados. El texto deberá estar finalizado en 1997. El CJ-PD está también considerando un proyecto de recomendación sobre datos de seguros. Por último, un grupo de trabajo ha estado discutiendo las consecuencias de la utilización de determinadas nuevas tecnologías.
El Comité Consultivo del Convenio 108 discutió acerca del tratamiento de sonidos e imágenes y el tratamiento de datos relativos a personas fallecidas.
4. PRINCIPALES EVOLUCIONES EN PAÍSES TERCEROS
4.1 Espacio Económico Europeo
La Directiva surtirá efectos también en el marco del Espacio Económico Europeo una vez se incorpore al Acuerdo EEE. En los países miembros del Acuerdo y no miembros de la CE ya se han iniciado los trabajos de incorporación. Noruega e Islandia ya son miembros del Convenio 108 del Consejo de Europa y tienen legislación vigente sobre protección de datos. Se invitó a representantes de las autoridades responsables de la protección de datos de estos dos países a acudir a las reuniones del Grupo de Trabajo en calidad de observadores.
En Noruega, la Inspección de Datos es responsable de garantizar la aplicación de la Ley de 1978 sobre Registros de Datos Personales. En 1996, la Inspección de Datos trató 6049 casos. La Inspección de Datos tramita solicitudes de licencias para registros personales y otras actividades sujetas a licencias según la ley. En 1996 se otorgaron 2713 licencias.
La Inspección gestiona activamente el flujo de información hacia el mundo exterior.
Recibe un gran número de peticiones de los medios de comunicación y desempeña una función activa de divulgación de la información. También es responsable de preparar material informativo y un informe anual, y publica trimestralmente la revista SPOR23.
Un comité ha comenzado a considerar la necesidad de realizar modificaciones a la Ley Noruega de Registros de Datos Personales a la luz de la Directiva. En primavera de 1997, el comité presentará su propuesta para una nueva ley.
4.2 Países de Europa Central y Oriental
La Comisión, en su Libro Blanco por el que establece una estrategia de preadhesión para los países de Europa Central y Oriental candidatos a la UE, recomienda la adhesión al Convenio 108 del Consejo de Europa como primer paso en el ámbito de la protección de datos. Varios de estos países tienen ya legislación sobre protección de datos (Hungría, Estonia y Eslovenia en particular) y la mayoría de los demás están en proceso de adoptar esta legislación. Estos países participan en los trabajos sobre protección de datos del Consejo de Europa.
4.3 Otros países terceros
23 Toda la información está disponible en Internet (http://www.datatilsyet.no).
En 1996 se produjo un renovado debate sobre la vida privada en diversos países ceros. La evolución tecnológica y en particular la sociedad de la información han empujado a gobiernos, grupos de consumidores, empresas y universidades a evaluar las políticas existentes sobre protección de la vida privada y discutir nuevas políticas para el futuro. La adopción de la Directiva europea ha añadido un nuevo ímpetu a este debate.
Estos acontecimientos fueron especialmente notorios en Estados Unidos, donde varios organismos gubernamentales consideraron aspectos de la protección de datos. La Comisión Federal del Comercio (CFC) organizó en junio de 1996 un seminario sobre “Vida privada del consumidor en la infraestructura global de información” e inició un estudio sobre “Servicios de búsqueda en línea”. La Agencia Nacional de Telecomunicaciones e Información (NTIA) publicó un libro blanco sobre “La vida privada y la infraestructura nacional de información” en octubre de 1995 y continuó su estudio de los temas relativos a la vida privada. La Casa Blanca señaló la importancia de los aspectos relativos a la vida privada en el informe preliminar “Marco para el comercio electrónico global”, publicado en diciembre de 1996.
Las disposiciones sobre protección de la vida privada se encontraban dispersas en varios proyectos presentados al Congreso. Estas disposiciones se adoptaron en la Ley de Telecomunicaciones de 1996, que reestructura el régimen normativo de EEUU sobre telecomunicaciones e impone a los proveedores de servicios varias obligaciones específicas relativas a la intimidad. Se exige confidencialidad acerca de la información sobre los clientes (Customer Propietary Network Information) incluidos datos transaccionales. La CFC emitirá normas de aplicación.
La protección de la vida privada en los servicios en línea constituyó el centro de las controversias vinculadas a la Ley de Decoro de las Comunicaciones de 1996 y la política gubernamental sobre criptografía.
En Australia, el gobierno publicó en 1996 un libro blanco que señalaba la oportunidad de ampliar la legislación sobre protección de la vida privada al sector privado. La legislación actual únicamente afecta al sector público.
En la Conferencia Internacional sobre Vida Privada en Ottawa en septiembre, el Ministro de Justicia canadiense anunció el plan gubernamental para ampliar la legislación sobre protección de la vida privada al sector privado. La actual legislación federal sólo afecta al sector público. La legislación de la provincia de Quebec también cubre el sector privado.
Hong Kong ha aprobado una ordenanza sobre intimidad de los datos personales. Se trata de una norma amplia que afecta tanto al sector privado como al sector público. No está previsto que la vuelta de Hong Kong al poder de China afecte a esta legislación. El Comisario responsable de la protección de los datos personales es responsable de la aplicación de la ordenanza24.
24 http://www.pco.org.hk
5. OTRAS EVOLUCIONES A NIVEL INTERNACIONAL
En 1996 tuvo lugar un vivo debate sobre la protección de datos en las organizaciones internacionales (secciones 5.1 y 5.2) y en conferencias internacionales (sección 5.3).
5.1 Oficina Internacional del Trabajo
La Oficina Internacional del Trabajo adoptó un código de práctica sobre la protección de la vida privada de los trabajadores. El código de práctica, que es el fruto de años de trabajo, presenta normas detalladas sobre el tratamiento de datos relativos a empleados, aspirantes a puestos de trabajo y antiguos empleados. El código de práctica, instrumento no vinculante, se dirige directamente a los empleados, que están invitados a regirse por sus normas.
5.2 Organización de Cooperación y Desarrollo Económicos OCDE
La OCDE elaboró a lo largo de 1996 unas orientaciones sobre política de criptografía.
Estas orientaciones regulan, entre otros, el acceso por parte de las autoridades a mensajes codificados por razones legítimas. Las orientaciones apoyan la adopción de sistemas de terceras partes fiables a quienes puede confiarse copias de las claves criptográficas. Durante los debates, surgieron aspectos relacionados con la vida privada, en conexión con las normas establecidas por la Directiva en cuanto al acceso de las autoridades a los datos personales. Con ocasión de la aprobación final de las orientaciones (marzo de 1997) la Comisión Europea dejó claro que si los Estados miembros de la CE pretenden reforzar las orientaciones, lo harán respetando las normas de la Directiva.
5.3 Conferencias y debates internacionales
Todos los años, una de las autoridades nacionales responsable de la protección de los datos y de la vida privada organiza una conferencia sobre vida privada. En 1996 la Conferencia fue organizada en Ottawa por la autoridad canadiense correspondiente. Los principales puntos del orden del día fueron América del Norte y la Directiva europea, aspectos y problemas de la Aldea Global, identificación en los servicios gubernamentales e información sobre salud, vigilancia de los consumidores y opciones tecnológicas y legislativas destinadas a proteger la vida privada.
Una conferencia sobre el dinero electrónico organizada en septiembre por el Departamento del Tesoro de EE.UU. abordó varios aspectos relativos a la vida privada.
La Universidad de Namur organizó en Bruselas una conferencia internacional sobre protección de datos en la sociedad de la información, con el patrocinio de la Comisión Europea y el Consejo de Europa. En ella participaron políticos norteamericanos y europeos.
6. ANEXO
Lista de miembros del Grupo de Trabajo, direcciones y números de fax de las autoridades respectivas.
AUSTRIA
Frau Waltraut KOTSHY Representante
Bundeskanzleramt
Österreichische Datenschutzkommission
Ballhausplatz, 1
A – 1014 WIEN
43/1/531.15.26.90
Frau Eva SOUHRADA-KIRCHMAYER Sustituto
Bundeskanzleramt
Österreichische Datenschutzkommission
Ballhausplatz, 1
A – 1014 WIEN
43/1/531.15.26.90
BÉLGICA
Monsieur Paul THOMAS Representante
Ministère de la Justice
Commission de la Vie Privée
Boulevard de Waterloo, 115
B – 1000 BRUXELLES
32/2/542.72.12 – 542.70.09
Mme Marie-Hélène BOULANGER Sustituto
Ministère de la Justice
Commission de la protection de la vie privée
Boulevard de Waterloo, 115
B – 1000 BRUXELLES
32/2/542.72.12
ALEMANIA
Dr. Joachim JACOB Representante
Der Bundesbeauftragte für den Datenschutz
Postfach 20 01 12
D – 53131 BONN (Bad Godesberg)
49/228/819.95.50
Dr. Stefan WALZ Sustituto
Landesbeauftragter für den Datenschutz – Bremen
Postfach 10 03 80
D – 27503 BREMERHAVEN
49/471/924.61.28
Herrn Ulrich LEPPER Sustituto
Innenministerium des Landes Nordrhein-Westfalen
Haroldstrasse, 5
D – 40213 DÜSSELDORF
49/211/871.33.55
DINAMARCA
Mr. Henrik WAABEN Representante
Registertilsynet
Christians Brygge, 28 – 4
DK – 1559 KOEBENHAVN V
45/33/13.38.43
Mrs. Lotte N. JOERGENSEN Sustituto
Registertilsynet
Christians Brygge, 28 – 4
DK – 1559 KOEBENHAVN V
45/33/13.38.43
ESPAÑA
Mr. Juan José MARTÍN-CASALLO LÖPEZ Representante
Agencia de Protección de Datos
Paseo de la Castellana, N 41, 5a planta
E – 28046 MADRID
34/1/308.46.92
Mrs. María José GARCÍA BEATO Sustituto
Agencia de Protección de Datos
Paseo de la Castellana, N 41, 5a planta
E – 28046 MADRID
34/1/308.46.92
FRANCIA
Monsieur Jacques FAUVET
Com. Nat. de l'Informat. et des Libertés
Rue Saint Guillaume, 21
F – 75340 PARIS CEDEX 7
33/1/53.73.22.00
FINLANDIA
Mr. Jorma KUOPUS Representante
Ministry of Justice
Office of the Data Protection Ombudsman
P.O. Box 170
FIN – 00131 HELSINKI 358/0/1825.78.35
Ms. Maija KLEEMOLA Sustituto
Ministry of Justice
Office of the Data Protection Ombudsman
P.O. Box 170
FIN – 00131 HELSINKI 358/0/1825.78.35
ITALIA
Prof. Stefano RODOTA Representante
Camera dei deputati
I – 00100 ROMA
39/6/67.60.48.03
Mr. Ugo DE SIERVO Sustituto
Camera dei deputati
I – 00100 ROMA
39/6/67.60.48.03
Mr. Giovanni BUTTARELLI Sustituto
Camera dei deputati
I – 00100 ROMA
39/6/67.60.48.03
IRLANDA
Mr. Fergus GLAVEY Representante
Department of Justice
Irish Life Centre, Block 4 Talbot Street, 40
IRL – DUBLIN 1
353/1/874.54.05
Mr. Greg HEYLIN Sustituto
Department of Justice
Irish Life Centre, Block 4
Talbot Street, 40
IRL – DUBLIN 1
353/1/874.54.05
LUXEMBURGO
Monsieur René FABER Representante
Commission à la Protection des Données Nominatives
Ministère de la Justice
Boulevard Royal , 15
L – 2934 LUXEMBOURG
352/22.76.61
PAÍSES BAJOS
Mr. Peter HUSTINX Representante
Registratiekamer
Juliana van Stolberglaan, 2
Postbus 93374
NL – 2509 AJ 's-GRAVENHAGE
31/70/381.13.01
Mr. Ulco VAN DE POL Sustituto
Registratiekamer
Juliana van Stolberglaan, 2
Postbus 93374
NL – 2509 AJ 's-GRAVENHAGE
31/70/381.13.01
PORTUGAL
Mr. Joaquim de SEABRA LOPES Representante
Com. Nac. de Protecçao de Dados Pessoais Informat.
Av. 5 de Outubro, 202
P – 1064 LISBOA
351/1/795.13.53
Mr. Nuno MARAIS SARMENTO Sustituto
Com. Nac. de Protecçao de Dados Pessoais Informat.
Rua de S. Bento, 148, 3
P – 1200 LISBOA
351/1/397.68.32
SUECIA
Mrs. Anitha BONDESTAM Representante
Datainspecktionen
Fleminggatan, 14
9th Floor
Box 8114
S – 104 20 STOCKHOLM
46/8/652.86.52
Mr. Ulf WIDEBÄCK Sustituto
Datainspecktionen
Fleminggatan, 14
9th Floor
Box 8114
S – 104 20 STOCKHOLM
46/8/652.86.52
Mr. Leif LINDGREN Sustituto
Datainspecktionen
Fleminggatan, 14
9th Floor
Box 8114
S – 104 20 STOCKHOLM
46/8/652.86.52
REINO UNIDO
Mrs. Elizabeth FRANCE Representante
The Office of the Data Protection Registrar
Water Lane
Wycliffe House
UK – WILMSLOW – CHESHIRE SK9 5AF
44/1625/52.45.10
Mr. Francis ALDHOUSE Sustituto
The Office of the Data Protection Registrar
Water Lane
Wycliffe House
UK – WILMSLOW – CHESHIRE SK9 5AF
44/1625/52.45.10
Dr. John WOULDS Sustituto
The Office of the Data Protection Registrar
Water Lane
Wycliffe House
UK – WILMSLOW – CHESHIRE SK9 5AF
44/1625/52.45.10
GRECIA
Dr. Evangelia MITROU Observador
Ministry of Justice
Tinou Street, 27
EL – 112 57 ATHENS
30/1/724.17.76
ISLANDIA
Ms. Sigrún JÓHANNESDÓTTIR Observador
Ministry of Justice
Data Protection Commission
Arnarhvoll
IS – 150 REYKJAVIK
354/552.73.40
NORUEGA
Mr. Georg APENES Observador
Datatilsynet
The Data Inspectorate
P.B. 8177 Dep
N – 0034 OSLO
47/22/42.23.50