Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de caracter personal. Estrasburgo, 28 de enero de 1981.
PREÁMBULO
Los Estados miembros del Consejo de Europa, signatarios del presente Convenio
Considerando que el fin del Consejo de Europa es llevar a cabo una unión más íntima entre sus miembros, basada en el respeto particularmente de la preeminencia del derecho así como de los derechos humanos y de las libertades fundamentales;
Considerando que es deseable ampliar la protección de los derechos y de las libertades fundamentales de cada uno, concretamente el derecho al respeto de la vida privada, teniendo en cuenta la intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de tratamientos automatizados;
Reafirmando al mismo tiempo su compromiso en favor de la libertad de información sin tener en cuenta las fronteras;
Reconociendo la necesidad de conciliar los valores fundamentales del respeto a la vida privada y de la libre circulación de la información entre los pueblos,
Convienen en lo siguiente:
CAPÍTULO I. DISPOSICIONES GENERALES.
Artículo 1. Objeto y fin
El fin del presente Convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona
Artículo 2. Definiciones
A los efectos del presente Convenio:
a) «Datos de carácter personal» significa cualquier información relativa a una persona física identificada o identificable;
b) «fichero automatizado» significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado;
c) por «tratamiento automatizado» se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicación a estos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión;
d) autoridad «controladora del fichero» significa la persona física o jurídica, la autoridad pública, el servicio o cualquier otro organismo que sea competente con arreglo a la ley nacional para decidir cuál será la finalidad del fichero automatizado, cuáles categorías de datos de carácter personal deberán registrarse y cuáles operaciones se les aplicarán.
Artículo 3. Campos de aplicación
1. Las Partes se comprometen a aplicar el presente Convenio a los ficheros y a los tratamientos automatizados de datos de carácter personal en los sectores público y privado.
2. Cualquier Estado podrá -en el momento de la firma o al depositar su instrumento de ratificación, aceptación, aprobación o adhesión, o en cualquier otro momento ulterior- hacer saber mediante declaración dirigida al Secretario General del Consejo de Europa:
a) Que no aplicará el presente Convenio a determinadas categorías de ficheros automáticos de datos de carácter persona, una lista de las cuales quedará depositada. No deberá sin embargo incluir en esa lista categorías de ficheros automatizados sometidas, con arreglo a su derecho interno, a disposiciones de protección de datos. Deberá, por tanto, modificar dicha lista mediante una nueva declaración cuando estén sometidas a su régimen de protección de datos categorías suplementarias de ficheros automatizados de datos de carácter personal;
b) que aplicará el presente Convenio, asimismo, a informaciones relativas a agrupaciones, asociaciones, fundaciones, sociedades, compañías o cualquier otro organismo compuesto directo o indirectamente de personas físicas, tengan o no personalidad jurídica;
c) que aplicará el presente Convenio, asimismo, a los ficheros de datos de carácter personal que no sean objeto de tratamiento automatizados.
3. Cualquier Estado que haya ampliado el campo de aplicación del presente Convenio mediante una de las declaraciones a que se refieren los apartados 2, b) o c), que anteceden podrá, en dicha declaración, indicar que las ampliaciones solamente se aplicarán a determinadas categorías de ficheros de carácter personal cuya lista quedará depositada.
4. Cualquier parte que haya excluido determinadas categorías de ficheros automatizados de datos de carácter personal mediante la declaración prevista en el apartado 2, a), anterior no podrá pretender que una Parte que no las haya excluido aplique el presente Convenio a dichas categorías.
5. Igualmente, una Parte que no haya procedido a una u otra de las ampliaciones previstas en los párrafos 2, b) y c), del presenta artículo no podrá pretender que se aplique el presente Convenio en esos puntos con respecto a una parte que haya procedido a dichas aplicaciones.
6. Las declaraciones previstas en el párrafo 2 del presente artículo tendrán efecto en el momento de la entrada en vigor del Convenio con respecto al Estado que las haya formulado, si dicho Estado las ha hecho en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, o tres meses después de su recepción por el Secretario General del Consejo de Europa si se han formulado en un momento ulterior. Dichas declaraciones podrán retirarse en su totalidad o en parte mediante notificación dirigida al Secretario General del Consejo de Europa. La retirada tendrá efectos tres meses después de la fecha de recepción de dicha notificación.
CAPÍTULO II. PRINCIPIOS BÁSICOS PARA LA PROTECCIÓN DE DATOS
Artículo 4. Compromisos de las Partes.
1. Cada Parte tomará en su derecho interno, las medidas necesarias para que sean efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.
2. Dichas medidas deberán adoptarse a más tardar en el momento de la entrada en vigor del presente Convenio con respecto a dicha Parte.
Artículo 5. Calidad de los datos
Los datos de carácter personal que sean objeto de un tratamiento automatizado:
a) Se obtendrán y tratarán leal y legítimamente;
b) se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades;
c) serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado;
d) serán exactos y si fuera necesario puestos al día;
e) se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.
Artículo 6. Categorías particulares de datos
Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantía apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales.
Artículo 7. Seguridad de los datos
Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados.
Artículo 8. Garantías complementarias para la persona concernida.
Cualquier persona deberá poder:
a) conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero;
b) obtener a intervalos razonables y sin demora o gastos excesivos la confirmación de la existencia o no en el fichero automatizado de datos de carácter personal que conciernan a dicha persona, así como la comunicación de dichos datos en forma inteligible;
c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de las disposiciones del derecho interno que hagan efectivos los principios básicos enunciados en los artículos 5 y 6 del presente Convenio;
d) disponer de un recurso si no se ha atendido a una petición de confirmación o, si así fuere el caso, de comunicación, de ratificación o de borrado, a que se refieren los párrafos b) y c) del presente artículo.
Artículo 9. Excepción y restricciones
1. No se admitirá excepción alguna en las disposiciones de los artículos 5, 6 y 8 del presente Convenio, salvo que sea dentro de los límites que se definen en el presente artículo.
2. Será posible una excepción en las disposiciones de los artículos 5, 6 y 8 del presente Convenio cuando tal excepción, prevista por la ley de la Parte, constituya una medida necesaria en una sociedad democrática:
a) para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado o para la represión de infracciones penales;
b) para la protección de la persona concernida y de los derechos y libertades de otras personas.
3. Podrán preverse por la ley restricciones en el ejercicio de los derechos a que se refieren los párrafos b), c) y d) del artículo 8 para los ficheros automatizados de datos de carácter personal que se utilicen con fines estadísticos o de investigación científica, cuando no existan manifiestamente riesgos de atentado a la vida privada de las personas concernidas.
Artículo 10. Sanciones y recursos.
Cada Parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.
Artículo 11. Protección más amplia.
Ninguna de las disposiciones del presente capítulo se interpretará en el sentido de que limite la facultad, o afecte de alguna otra forma a la facultad de cada parte, de conceder a las personas concernidas una protección más amplia que la prevista en el presente Convenio.
CAPÍTULO III. FLUJOS TRANSFRONTERIZOS DE DATOS
Artículo 12. Flujos transfronterizos de datos de carácter personal y el derecho interno:
1. Las disposiciones que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterles a ese tratamiento.
2. Una Parte no podrá, con el fin de proteger la vida privada, prohibir o someter a una autorización especial los flujos transfronterizos de datos de carácter personal con destino al territorio de otra Parte.
3. Sin embargo, cualquier Parte tendrá la facultad de establecer una excepción a las disposiciones del párrafo 2:
a) en la medida en que su legislación prevea una reglamentación específica para determinadas categorías de datos de carácter personal o de ficheros automatizados de datos de carácter personal, por razón de la naturaleza de dichos datos o ficheros, a menos que la reglamentación de la otra Parte establezca una protección equivalente;
b) cuando la transmisión se lleve a cabo a partir de su territorio hacia el territorio de un Estado no contratante por intermedio del territorio de otra Parte, con el fin de evitar que dichas transmisiones tengan como resultado burlar la legislación de la Parte a que se refiere el comienzo del presente párrafo.
CAPÍTULO IV. AYUDA MUTUA
Artículo 13. Cooperación entre las Partes
Las Partes se obligan a concederse mutuamente asistencia para el cumplimiento del presente Convenio.
2. A tal fin,
a) cada Parte designará a una o más autoridades cuya denominación y dirección comunicará al Secretario General del Consejo de Europa;
b) cada Parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades.
3. Una autoridad designada por una Parte, a petición de una autoridad designada por otra Parte:
a) facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos;
b) tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.
Artículo 14. Asistencia a las personas concernidas que tengan su residencia en el extranjero.
1. Cada Parte prestará asistencia a cualquier persona que tenga su residencia en el extranjero para el ejercicio de los derechos previstos por su derecho interno que haga efectivos los principios enunciados en el artículo 8 del presente Convenio.
2. Si dicha persona residiese en el territorio de otra Parte, deberá tener la facultad de presentar su demanda por intermedio de la autoridad designada por esa Parte.
3. La petición de asistencia deberá hacer constar todos los datos necesarios relativos concretamente a:
a) el nombre, la dirección y cualesquiera otros elementos pertinentes de identificación relativos al requirente;
b) el fichero automatizado de datos de carácter personal al que se refiere la demanda o la autoridad controladora de dicho fichero;
c) el objeto de la petición.
Artículo 15. Garantías relativas a la asistencia facilitada por las autoridades designadas.
1. Una autoridad designada por una Parte que haya recibido información de una autoridad designada por otra Parte, bien en apoyo de una petición de asistencia bien como respuesta a una petición de asistencia que haya formulado ella misma, no podrá hacer uso de dicha información para otros fines que no sean los especificados en la petición de asistencia.
2. Cada Parte cuidará de que las personas pertenecientes a la autoridad designada o que actúen en nombre de la misma estén vinculadas por obligaciones convenientes de secreto o de confidencialidad con respecto a dicha información.
3. En ningún caso estará autorizada una autoridad designada para presentar, con arreglo a los términos del artículo 14, párrafo 2, una petición de asistencia en nombre de una persona concernida residente en el extranjero, por su propia iniciativa y sin el consentimiento expreso de dicha persona.
Artículo 16. Denegación de peticiones de asistencia.
Una autoridad designada, a quien se haya dirigido una petición de asistencia con arreglo a los términos de los artículos 13 ó 14 del presente Convenio, solamente podrá negarse a atenderla si:
a) la petición es incompatible con las competencias, en materia de protección de datos, de las autoridades habilitadas para responder;
b) la petición no está conforme con lo dispuesto en el presente Convenio;
c) atender a la petición fuese incompatible con la soberanía, la seguridad o el orden público de la Parte que la haya designado, o con los derechos y libertades fundamentales de las personas que estén bajo la jurisdicción de dicha Parte.
Artículo 17. Gastos y procedimientos de asistencia.
1. La ayuda mutua que las Partes se concedan con arreglo a los términos del artículo 13, así como la asistencia que ellas presten a las personas concernidas residentes en el extranjero con arreglo a los términos del artículo 14, no dará lugar al pago de gastos y derechos que no sean los correspondientes a los expertos y a los intérpretes. Dichos gastos y derechos correrán a cargo de la Parte que haya designado a la autoridad que haya presentado la petición de asistencia.
2. Las personas concernida no podrá estar obligada a pagar, en relación con las gestiones emprendidas por su cuenta en el territorio de otra Parte, los gastos y derechos que no sean los exigibles a las personas que residan en el territorio de dicha Parte.
3. Las demás modalidades relativas a la asistencia referentes, concretamente a las formas y procedimientos así como a las lenguas que se utilicen se establecerán directamente entre las Partes concernidas.
CAPÍTULO V. COMITÉ CONSULTIVO
Artículo 18. Composición del Comité
1. Después de la entrada en vigor del presente Convenio se constituirá un Comité Consultivo.
2. Cada Parte designará a un representante y a un suplente en dicho Comité.
Cualquier Estado miembro del Consejo de Europa que no sea Parte del Convenio tendrá el derecho de hacerse representar en el Comité por un observador.
3. El Comité Consultivo podrá, mediante una decisión tomada por unanimidad, invitar a cualquier Estado no miembro del Consejo de Europa, que no sea Parte del Convenio, a hacerse representar por un observador en una de las reuniones.
Artículo 19. Funciones del Comité
El Comité Consultivo:
a) podrá presentar propuestas con el fin de facilitar o de mejorar la aplicación del Convenio;
b) podrá presentar propuestas de enmienda del presente Convenio, con arreglo al artículo 21;
c) formulará su opinión acerca de cualquier propuesta de enmienda al presente Convenio que se le someta, con arreglo al artículo 21, párrafo 3;
d) podrá, a petición de una Parte, expresar su opinión acerca de cualquier cuestión relativa a la aplicación del presente Convenio.
Artículo 20. Procedimiento
1. El Secretario General del Consejo de Europa convocará al Comité Consultivo. Celebrará su primera reunión en los doce meses que sigan a la entrada en vigor del presente Convenio.
Posteriormente se reunirá al menos una vez cada dos años y, en todo caso, cada vez que un tercio de los representantes de las Partes soliciten su convocatoria.
2. La mayoría de los representantes de las Partes constituirá el quórum necesario para celebrar una reunión del Comité Consultivo.
3. Después de cada una de dichas reuniones, el Comité Consultivo someterá al Comité de Ministros del Consejo de Europa una memora acerca de sus trabajos y el funcionamiento del Convenio.
4. Sin perjuicio de lo dispuesto en el presente Convenio, el Comité Consultivo fijará su reglamento anterior.
CAPÍTULO VI. ENMIENDAS
Artículo 21. Enmiendas
1. Podrán proponerse enmiendas al presente Convenio por una Parte, por el Comité de Ministros del Consejo de Europa o por el Comité Consultivo.
2. Cualquier propuesta de enmienda se comunicará por el Secretario General del Consejo de Europa a los Estados miembros del Consejo de Europa y a cada Estado no miembro que se haya adherido o se le haya invitado a que se adhiera al presente Convenio, con arreglo a lo dispuesto en el artículo 23.
3. Además, cualquier modificación propuesta por una Parte o por el Comité de Ministros se comunicará al Comité Consultivo, el cual presentará al Comité de Ministros su opinión acerca de la enmienda propuesta.
4. El Comité de Ministros examinará la enmienda propuesta y cualquier opinión presentada por el Comité Consultivo y podrá aprobar la enmienda.
5. El texto de cualquier enmienda aprobada por el Comité de Ministros conforme al párrafo 4 del presente artículo se remitirá a las Partes para su aceptación.
6. Cualquier enmienda aprobada con arreglo al párrafo 4 del presente artículo entrará en vigor el trigésimo día después de que todas las Partes hayan informado al Secretario General de que la han aceptado.
CAPÍTULO VII. CLÁUSULAS FINALES
Artículo 22. Entrada en vigor
1. El presente Convenio quedará abierto a la firma de los Estados miembros del Consejo de Europa. Se someterá a ratificación, aceptación o aprobación.
Los instrumentos de ratificación, aceptación o aprobación se depositarán en poder del Secretario General del Consejo de Europa.
2. El presente Convenio entrará en vigor el día primero del mes siguiente a la expiración de un período de tres meses después de la fecha en que cinco Estados miembros del Consejo de Europa hayan expresado su consentimiento para quedar vinculados por el Convenio, con arreglo a las disposiciones del párrafo anterior.
3. Para cualquier Estado miembro que expresare ulteriormente su consentimiento para quedar vinculado por el Convenio, éste entrará en vigor el día primero del mes siguiente a la expiración de un período de tres meses después de la fecha del depósito del instrumento de ratificación, aceptación o aprobación.
Artículo 23. Adhesión de Estados no miembros
1. Después de la entrada en vigor del presente Convenio, el Comité de Ministros del Consejo de Europa podrá invitar a cualquier Estado no miembro del Consejo de Europa a que se adhiera al presente Convenio mediante un acuerdo adoptado por la mayoría prevista en el artículo 20, d), del Estatuto del Consejo de Europa y por unanimidad de los representantes de los Estados contratantes que tengan el derecho a formar parte del Comité.
2. Para cualquier Estado adherido, el Convenio entrará en vigor el día primero del mes siguiente a la expiración de un período de tres meses después de la fecha del depósito del instrumento de adhesión en poder del Secretario General del Consejo de Europa.
Artículo 24. Cláusula territorial
1. Cualquier Estado podrá designar, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, el territorio o los territorios a los cuales se aplicará el presente Convenio.
2. Cualquier Estado en cualquier otro momento posterior, y mediante una declaración dirigida al Secretario General del Consejo de Europa, podrá ampliar la aplicación del presente Convenio a cualquier otro territorio designado en la declaración. El Convenio entrará en vigor, con respecto a dicho territorio, el día primero del mes siguiente a la expiración de un período de tres meses después de la fecha de recepción de la declaración por el Secretario General.
3. Cualquier declaración hecha en virtud de los dos párrafos anteriores podrá retirarse, en lo que respecta a cualquier territorio designado en dicha declaración, mediante notificación dirigida al Secretario General. La retirada será efectiva el día primero del mes siguiente a la expiración de un período de seis meses después de la fecha de recepción de la notificación por el Secretario General.
Artículo 25. Reservas
No podrá formularse reserva alguna con respecto a las disposiciones del presente Convenio.
Artículo 26. Denuncia
1. Cualquier parte podrá en cualquier momento denunciar el presente Convenio dirigiendo una notificación al Secretario General del Consejo de Europa.
2. La denuncia será efectiva el día primero del mes siguiente a la expiración de una período de seis meses después de la fecha de recepción de la notificación por el Secretario General.
Artículo 27. Notificaciones.
El Secretario General del Consejo de Europa notificará a los Estados miembros del Consejo y a cualquier Estado que se haya adherido al presente Convenio:
a) cualquier firma;
b) el depósito de cualquier instrumento de ratificación, aceptación, aprobación o adhesión;
c) cualquier fecha de entrada en vigor del presente Convenio, conforme a sus artículos 22, 23 y 24;
d) cualquier otro acto, notificación o comunicación relativo al presente Convenio.
En fe de lo cual los infrascritos, debidamente autorizados al efecto, afirman el presente Convenio.
Hecho en Estrasburgo el 28 de enero de 1981 en francés y en inglés, los dos textos igualmente fehacientes, en un ejemplar único que quedará depositado en los archivos del Consejo de Europa. El Secretario General del Consejo de Europa remitirá copia certificada conforme del mismo a cada uno de los Estados miembros del Consejo de Europa y a cualquier Estado invitado a la adhesión al presente Convenio.
Estados Parte en el Convenio:
Suecia, 29 septiembre 1982
Francia, 24 marzo 1983
España, 31 enero 1984
Noruega, 20 febrero 1984
República Federal de Alemania, 19 junio 1985.
Declaraciones de las Partes:
FRANCIA
El Gobierno de la República Francesa desea hacer la siguiente declaración:
«Conforme a lo dispuesto en el artículo 3, párrafo 2, apartado c), aplicará el presente Convenio, asimismo, a los ficheros de datos de carácter personal que no sean objeto de tratamientos automatizados»
NORUEGA
Artículo 3, párrafo 2, apartado a):
«El Convenio se aplicará a ficheros privados de carácter personal que no son utilizados ni en el sector privado ni por sociedades o fundaciones».
Artículo 3, párrafo 2, apartado b:
«Las disposiciones del Convenio se aplicarán igualmente a informaciones referentes a las asociaciones o fundaciones»
Artículo 24, párrafo 1:
«El Convenio no se aplicará a Svalbard»
Artículo 13, párrafo 3, apartado a):
«La Autoridad designada en Noruega conforme a lo que dispone el artículo 13, párrafo 2, apartado a) del Convenio es:
Datatilsynet Postboks 8177 Dep. Oslo 1»
REPÚBLICA FEDERAL DE ALEMANIA
Artículo 8, párrafo b):
«La República Federal de Alemania parte del principio de que no puede darse ningún curso a una solicitud de informes, de acuerdo con lo que dispone el párrafo b) del artículo 8, si la persona afectada no está en condiciones de justificar suficientemente su petición de información»
Artículo 12, párrafo 2:
«Refiriéndose al apartado 5 del párrafo 67 del Informe explicativo relativo al Convenio para la protección de personas respecto al tratamiento automatizado de datos de carácter personal, el gobierno de la República Federal de Alemania parte del principio de que el párrafo 2 del artículo 12 deja a las partes la libertad de estimar, en el cuadro de us derecho interno en materia de protección de datos, las normas prohibiendo en ciertos casos particulares la transmisión de datos de carácter personal a fin de tener en cuenta los intereses de la persona afectada dignos de ser protegidos»
Artículo 13, párrafo 2, apartado a):
«La Autoridad competente a nivel de la Federación es:
Der Bundesminister des Innern
Postrach 17 02 90
D-5300 Bonn 1
Las autoridades competentes a nivel de los Estados federados (Länder) serán designados tan pronto como sean posibles»
Artículo 24, párrafo 1:
«El Convenio se aplica igualmente al Estado federado (Land) de Berlín con efecto de la fecha en la cual entrará en vigor para la República Federal de Alemania»