Archivos de la etiqueta: calidad datos

24Oct/95

Directiva 95/46/CE

Directiva 95/46/CE, de 24 de octubre de 1995. (Derogada por Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto  el  Tratado constitutivo de la Comunidad Europea, y, en particular, su artículo 100 A,

Vista la propuesta de la Comisión,

Visto el dictamen del Comité Económico y Social,

De  conformidad  con  el  procedimiento establecido en el artículo 189 B del Tratado,

(1)  Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en lograr  una  unión  cada  vez  más  estrecha  entre  los  pueblos  europeos, establecer  relaciones  más  estrechas  entre  los  Estados  miembros  de la Comunidad,  asegurar,  mediante  una  acción  común, el progreso económico y social,  eliminando  las  barreras  que dividen Europa, fomentar la continua mejora  de las condiciones de vida de sus pueblos, preservar y consolidar la paz  y  la  libertad  y  promover  la  democracia, basándose en los derechos fundamentales  reconocidos  en  las  constituciones  y  leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales;

(2)  Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las  personas  físicas,  respetar las libertades v derechos fundamentales de las  personas  físicas  y,  en  particular,  la  intimidad,  y contribuir al progreso  económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos;

(3)  Considerando  que  el  establecimiento  y  funcionamiento  del  mercado interior,  dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado,   la   libre  circulación  de  mercancías,  personas,  servicios  y capitales,  hacen necesaria no sólo la libre circulación de datos personales de  un  Estado  miembro  a  otro, sino también la protección de los derechos fundamentales de las personas;

(4)  Considerando que se recurre cada vez más en la Comunidad al tratamiento de  datos  personales  en  los  diferentes sectores de actividad económica y social;  que  el  avance  de  las  tecnologías  de  la  información facilita considerablemente el tratamiento y el intercambio de dichos datos;

(5)  Considerando  que  la  integración  económica  y  social resultante del establecimiento  y  funcionamiento  del  mercado  interior,  definido  en el artículo 7 A del Tratado, va a implicar necesariamente un aumento notable de los  flujos  transfronterizos de datos personales entre todos los agentes de la  vida  económica y social de los Estados miembros, ya se trate de agentes públicos  o  privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo; que  las  administraciones nacionales de los diferentes Estados miembros, en aplicación  del  Derecho  comunitario,  están  destinadas  a  colaborar  y a intercambiar  datos  personales  a  fin  de  cumplir  su  cometido o ejercer funciones  por  cuenta de las administraciones de otros Estados miembros, en el marco del espacio sin fronteras que constituye el mercado interior;

(6)  Considerando,  por  lo  demás, que el fortalecimiento de la cooperación científica y técnica, así como el establecimiento coordinado de nuevas redes de  telecomunicaciones  en  la  Comunidad  exigen y facilitan la circulación transfronteriza de datos personales;

(7)  Considerando que las diferencias entre los niveles de protección de los derechos  y  libertades  de  las personas y, en particular, de la intimidad, garantizados  en  los Estados miembros por lo que respecta al tratamiento de datos  personales,  pueden  impedir  la  transmisión  de  dichos  datos  del territorio  de  un  Estado  miembro  al  de  otro;  que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades  económicas  a  escala  comunitaria,  falsear  la  competencia e impedir  que  las administraciones cumplan los cometidos que les incumben en virtud  del  Derecho  comunitario;  que  estas diferencias en los niveles de protección  se  deben  a  la  disparidad  existente  entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;

(8) Considerando que, para eliminar los obstáculos a la circulación de datos personales,  el  nivel  de  protección  de  los derechos y libertades de las personas,  por  lo  que  se refiere al tratamiento de dichos datos, debe ser equivalente  en  todos los Estados miembros; que ese objetivo, esencial para el  mercado  interior,  no  puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la  materia  y  la  necesidad  de coordinar las legislaciones de los Estados miembros  para que el flujo transfronterizo de datos personales sea regulado de  forma  coherente  y  de conformidad con el objetivo del mercado interior definido en el artículo 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones;

(9) Considerando que, a causa de la protección equivalente que resulta de la aproximación  de  las  legislaciones  nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos  de protección de los derechos y libertades de las personas físicas, y,  en  particular,  del  derecho  a  la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de  la  aplicación de la presente Directiva, los interlocutores económicos y sociales;  que  los  Estados  miembros  podrán, por lo tanto, precisar en su derecho  nacional  las  condiciones  generales de licitud del tratamiento de datos;  que,  al  actuar  así,  los  Estados  miembros procurarán mejorar la protección  que  proporciona su legislación en la actualidad; que, dentro de los  límites  de  dicho  margen  de maniobra y de conformidad con el Derecho comunitario,  podrán  surgir  disparidades  en  la aplicación de la presente Directiva,  y  que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad;

(10)  Considerando que las legislaciones nacionales relativas al tratamiento de  datos personales tienen por objeto garantizar el respeto de los derechos y  libertades  fundamentales,  particularmente  del derecho al respeto de la vida  privada  reconocido  en  el  artículo  8  del Convenio Europeo para la Protección  de  los  Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la  aproximación  de dichas legislaciones no debe conducir a una disminución de  la  protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

(11)  Considerando  que  los  principios  de la protección de los derechos y libertades  de  las  personas y, en particular, del respeto de la intimidad, contenidos  en la presente Directiva, precisan y amplían los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales;

(12)  Considerando  que  los  principios  de la protección deben aplicarse a todos  los  tratamientos  de  datos  personales  cuando  las actividades del responsable  del  tratamiento  entren en el ámbito de aplicación del Derecho comunitario;  que  debe  excluirse el tratamiento de datos efectuado por una persona  física  en  el ejercicio de actividades exclusivamente personales o domésticas,  como  la  correspondencia  y  la  llevanza  de un repertorio de direcciones;

(13)  Considerando  que las actividades a que se refieren los títulos V y VI del  Tratado  de  la  Unión  Europea  relativos  a  la seguridad pública, la defensa,  la  seguridad del Estado y las actividades del Estado en el ámbito penal  no  están  comprendidas  en  el  ámbito  de  aplicación  del  Derecho comunitario,  sin  perjuicio  de las obligaciones que incumben a los Estados miembros  con  arreglo  al apartado 2 del artículo 56 y a los artículos 57 y 100  A del Tratado; que el tratamiento de los datos de carácter personal que sea  necesario  para  la  salvaguardia del bienestar económico del Estado no está  comprendido en el ámbito de aplicación de la presente Directiva en los casos en que dicho tratamiento esté relacionado con la seguridad del Estado;

(14)  Considerando  que, habida cuenta de la importancia que, en el marco de la  sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos  a  las  personas  físicas  constituidos  por  sonido e imagen, la presente  Directiva  habrá  de  aplicarse  a  los tratamientos que afectan a dichos datos;

(15)  Considerando  que  los  tratamientos  que  afectan a dichos datos sólo quedan  amparados  por  la  presente  Directiva cuando están automatizados o cuando  los datos a que se refieren se encuentran contenidos o se destinan a encontrarse   contenidos   en   un   archivo  estructurado  según  criterios específicos  relativos  a  las  personas,  a  fin  de  que  le pueda acceder fácilmente a los datos de carácter personal de que se trata;

(16)  Considerando  que  los tratamientos de datos constituidos por sonido e imagen,  como los de la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de  seguridad  pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el  ejercicio de otras actividades que no están comprendidos en el ámbito de aplicación del Derecho comunitario;

(17)  Considerando  que en lo que respecta al tratamiento del sonido y de la imagen  aplicados  con  fines  periodísticos  o  de  expresión  literaria  o artística,  en  particular  en  el  sector audiovisual, los principios de la Directiva  se aplican de forma restringida según lo dispuesto en al artículo 9;

(18)  Considerando  que,  para  evitar  que  una  persona sea excluida de la protección  garantizada  por  la  presente  Directiva, es necesario que todo tratamiento  de  datos  personales  efectuado  en  la  Comunidad  respete la legislación  de  uno  de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que  actúe  bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

(19)  Considerando  que  el  establecimiento  en  el territorio de un Estado miembro  implica  el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple  sucursal  o  una  empresa filial con personalidad jurídica, no es un factor  determinante  al  respecto;  que  cuando  un  mismo responsable esté establecido  en  el territorio de varios Estados miembros, en particular por medio  de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las  obligaciones  impuestas  por  el  Derecho  nacional  aplicable  a estas actividades;

(20)  Considerando  que  el  hecho  de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de  las personas contemplada en la presente Directiva; que en estos casos el tratamiento  de  datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se  respeten  en  la práctica los derechos y obligaciones contempladas en la presente Directiva;

(21)  Considerando  que  la  presente  Directiva  no  afecta a las normas de territorialidad aplicables en materia penal;

(22) Considerando que los Estados miembros precisarán en su legislación o en la  aplicación  de  las  disposiciones  adoptadas  en  virtud de la presente Directiva  las  condiciones  generales  de licitud del tratamiento de datos; que,  en  particular,  el  artículo  5  en relación con los artículos 7 y 8, ofrece  a  los Estados miembros la posibilidad de prever, independientemente de  las  normas generales, condiciones especiales de tratamiento de datos en sectores  específicos,  así  como  para  las  diversas  categorías  de datos contempladas en el artículo 8;

(23)  Considerando que los Estados miembros están facultados para garantizar la  protección  de las personas tanto mediante una ley general relativa a la protección de las personas respecto del tratamiento de los datos de carácter personal   como  mediante  leyes  sectoriales,  como  las  relativas  a  los institutos estadísticos;

(24)  Considerando  que  las  legislaciones relativas a la protección de las personas  jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva;

(25)  Considerando  que los principios de la protección tienen su expresión, por  una  parte,  en las distintas obligaciones que incumben a las personas, autoridades  públicas,  empresas,  agencias  u otros organismos que efectúen tratamientos  -obligaciones  relativas,  en  particular, a la calidad de los datos,  la seguridad técnica, la notificación a las autoridades de control y las  circunstancias en las que se puede efectuar el tratamiento- y, por otra parte,  en  los derechos otorgados a las personas cuyos datos sean objeto de tratamiento  de ser informadas acerca de dicho tratamiento, de poder acceder a  los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias;

(26)  Considerando  que  los principios de la protección deberán aplicarse a cualquier  información  relativa a una persona identificada o identificable; que,  para determinar si una persona es identificable, hay que considerar el conjunto  de  los  medios  que  puedan  ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha  persona;  que  los  principios  de  la  protección  no se aplicarán a aquellos  datos  hechos  anónimos  de  manera  tal  que  ya  no  sea posible identificar  al  interesado;  que  los  códigos  de  conducta con arreglo al artículo   27   pueden   constituir   un  elemento  útil  para  proporcionar indicaciones  sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado;

(27)  Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de  esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en  particular,  el  contenido  de  un fichero debe estructurarse conforme a criterios  específicos  relativos  a  las  personas,  que  permitan  acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge  la  letra  c)  del  artículo 2, los distintos criterios que permiten determinar  los  elementos  de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos  pueden  ser  definidos  por  cada Estado miembro; que, las carpetas y conjuntos  de  carpetas,  así  como sus portadas, que no estén estructuradas conforme  a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva;

(28)  Considerando  que todo tratamiento de datos personales debe efectuarse de  forma  lícita  y leal con respecto al interesado; que debe referirse, en particular,  a  datos  adecuados, pertinentes y no excesivos en relación con los  objetivos  perseguidos;  que  estos  objetivos  han de ser explícitos y legítimos,  y  deben  estar determinados en el momento de obtener los datos; que  los  objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados;

(29) Considerando que el tratamiento ulterior de datos personales, con fines históricos,  estadísticos  o científicos no debe por lo general considerarse incompatible con los objetivos para los que se recogieron los datos, siempre y  cuando  los  Estados  miembros  establezcan  las garantías adecuadas; que dichas garantías deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona;

(30)  Considerando  que  para  ser lícito el tratamiento de datos personales debe  basarse además en el consentimiento del interesado o ser necesario con vistas  a  la  celebración  o  ejecución  de  un  contrato  que  obligue  al interesado,  o  para  la  observancia  de  una  obligación  legal  o para el cumplimiento  de  una  misión  de  interés público o para el ejercicio de la autoridad  pública  o  incluso para la realización de un interés legítimo de una  persona,  siempre  que  no  prevalezcan  los intereses o los derechos y libertades  del  interesado; que, en particular, para asegurar el equilibrio de  los  intereses en juego, garantizando a la vez una competencia efectiva, los  Estados  miembros  pueden precisar las condiciones en las que se podrán utilizar  y comunicar a terceros datos de carácter personal, en el desempeño de actividades legítimas de gestión ordinaria de empresas y otras entidades; que   los  Estados  miembros  pueden  asimismo  establecer  previamente  las condiciones  en  que  pueden efectuarse comunicaciones de datos personales a terceros  con  fines de prospección comercial o de prospección realizada por una  institución benéfica u otras asociaciones o fundaciones, por ejemplo de carácter  político,  dentro  del respeto de las disposiciones que permiten a los   interesados  oponerse,  sin  alegar  los  motivos  y  sin  gastos,  al tratamiento de los datos que les conciernan;

(31)  Considerando  que  un  tratamiento  de datos personales debe estimarse lícito  cuando se efectúa con el fin de proteger un interés esencial para la vida del interesado;

(32)  Considerando que corresponde a las legislaciones nacionales determinar si  el responsable del tratamiento que tiene conferida una misión de interés público   o   inherente  al  ejercicio  del  poder  público,  debe  ser  una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional;

(33)  Considerando, por lo demás, que los datos que por su naturaleza puedan atentar  contra  las  libertades  fundamentales  o la intimidad no deben ser objeto  de  tratamiento alguno, salvo en caso de que el interesado haya dado su  consentimiento  explícito;  que  deberán  constar de forma explícita las excepciones  a  esta prohibición para necesidades específicas, en particular cuando  el tratamiento de dichos datos se realice con fines relacionados con la  salud, por parte de personas físicas sometidas a una obligación legal de secreto  profesional,  o  para  actividades  legítimas  por parte de ciertas asociaciones  o  fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales;

(34)  Considerando  que  también se deberá autorizar a los Estados miembros, cuando  esté  justificado por razones de interés público importante, a hacer excepciones  a  la  prohibición  de  tratar categorías sensibles de datos en sectores como la salud pública y la protección social, particularmente en lo relativo  a  la  garantía  -de  la  calidad  y la rentabilidad, así como los procedimientos  utilizados para resolver las reclamaciones de prestaciones y de   servicios  en  el  régimen  del  seguro  enfermedad,  la  investigación científica  y  las  estadísticas  públicas;  que  a  ellos  corresponde,  no obstante,  prever  las  garantías  apropiadas  y  específicas a los fines de proteger los derechos fundamentales y la vida privada de las personas;

(35)  Considerando, además, que el tratamiento de datos personales por parte de   las   autoridades  públicas  con  fines,  establecidos  en  el  Derecho constitucional  o  en  el  Derecho  internacional  público,  de asociaciones religiosas  reconocidas  oficialmente, se realiza por motivos importantes de interés público;

(36)  Considerando  que,  si en el marco de actividades relacionadas con las elecciones,  el  funcionamiento  del  sistema democrático en algunos Estados miembros  exige  que los partidos políticos recaben datos sobre la ideología política  de los ciudadanos, podrá autorizarse el tratamiento de estos datos por  motivos  importantes de interés público, siempre que se establezcan las garantías adecuadas;

(37)  Considerando  que  para  el  tratamiento de datos personales con fines periodísticos  o  de  expresión  artística  o literaria, en particular en el sector   audiovisual,   deben   preverse   excepciones  o  restricciones  de determinadas  disposiciones  de  la  presente Directiva siempre que resulten necesarias  para  conciliar  los derechos fundamentales de la persona con la libertad  de  expresión y, en particular, la libertad de recibir o comunicar informaciones,  tal  y  como  se  garantiza  en  el artículo 10 del Convenio Europeo  para  la  Protección  de  los  Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentales, corresponde   a   los   Estados   miembros  prever  las  excepciones  y  las restricciones  necesarias  en  lo  relativo a las medidas generales sobre la legalidad  del  tratamiento  de datos, las medidas sobre la transferencia de datos a terceros países y las competencias de las autoridades de control sin que  esto  deba  inducir,  sin  embargo,  a  los  Estados  miembros a prever excepciones  a las medidas que garanticen la seguridad del tratamiento; que, igualmente,  debería  concederse a la autoridad de control responsable en la materia  al  menos  una  serie de competencias a posteriori como por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos legales ante las autoridades judiciales;

(38)   Considerando  que  el  tratamiento  leal  de  datos  supone  que  los interesados  deben  estar  en  condiciones  de  conocer la existencia de los tratamientos y, cuando los datos se obtengan de ellos mismos, contar con una información  precisa  y  completa  respecto  a  las  circunstancias de dicha obtención;

(39)  Considerando  que determinados tratamientos se refieren a datos que el responsable no ha recogido directamente del interesado; que, por otra parte, pueden  comunicarse  legítimamente  datos  a  un  tercero  aún  cuando dicha comunicación no estuviera prevista en el momento de la recogida de los datos del  propio  interesado;  que,  en todos estos supuestos, debe informarse al interesado  en  el  momento  del  registro  de los datos o, a más tardar, al comunicarse los datos por primera vez a un tercero;

(40)  Considerando, no obstante, que no es necesario imponer esta obligación si  el  interesado ya está informado, si el registro o la comunicación están expresamente  previstos por la ley o si resulta imposible informarle, o ello implica   esfuerzos   desproporcionados,   como   puede  ser  el  caso  para tratamientos  con  fines  históricos, estadísticos o científicos; que a este respecto  pueden  tomarse  en  consideración  el  número  de interesados, la antigüedad de los datos, y las posibles medidas compensatorias;

(41) Considerando que cualquier persona debe disfrutar del derecho de acceso a   los  datos  que  le  conciernan  y  sean  objeto  de  tratamiento,  para cerciorarse,  en  particular,  de  su  exactitud  y  de  la  licitud  de  su tratamiento;  que por las mismas razones cualquier persona debe tener además el  derecho  de conocer la lógica que subyace al tratamiento automatizado de los  datos  que  la  conciernan,  al  menos  en  el  caso  de las decisiones automatizadas  a  que  se  refiere  el  apartado 1 del artículo 15; que este derecho  no  debe  menoscabar  el  secreto  de  los negocios ni la propiedad intelectual  y  en  particular  el  derecho de autor que proteja el programa informático;  que no obstante esto no debe suponer que se deniegue cualquier información al interesado;

(42)  Considerando  que,  en  interés  del interesado de que se trate y para proteger  los derechos y libertades de terceros, los Estados miembros podrán limitar  los  derechos  de acceso y de información; que podrán, por ejemplo, precisar  que  el  acceso  a  los  datos de carácter médico únicamente pueda obtenerse a través de un profesional de la medicina;

(43)  Considerando  que  los Estados miembros podrán imponer restricciones a los  derechos  de  acceso  e  información  y a determinadas obligaciones del responsable  del  tratamiento,  en  la  medida  en  que  sean  estrictamente necesarias  para,  por  ejemplo,  salvaguardar  la  seguridad del Estado, la defensa,  la  seguridad  pública,  los  intereses  económicos  o financieros importantes  de  un  Estado  miembro  o  de la Unión, así como para realizar investigaciones y entablar procedimientos penales y perseguir violaciones de normas  deontológicas en las profesiones reguladas; que conviene enumerar, a efectos  de  excepciones y limitaciones, las tareas de control, inspección o reglamentación necesarias en los tres últimos sectores mencionados relativos a  la  seguridad  pública,  los  intereses  económicos  o  financieros  y la represión  penal;  que  esta  enumeración  de  tareas  relativas  a los tres sectores   citados   no  afecta  a  la  legitimidad  de  las  excepciones  y restricciones establecidas por razones de seguridad del Estado o de defensa;

(44) Considerando que los Estados miembros podrán verse obligados, en virtud de las disposiciones del Derecho comunitario, a establecer excepciones a las disposiciones  de la presente Directiva relativas al derecho de acceso, a la información de personas y a la, calidad de los datos para garantizar algunas de las finalidades contempladas más arriba;

(45)  Considerando que cuando se pudiera efectuar lícitamente un tratamiento de  datos  por  razones  de  interés público o del ejercicio de la autoridad pública,  o  en  interés  legítimo  de una persona física, cualquier persona deberá,  sin  embargo,  tener  derecho  a  oponerse  a  que los datos que le conciernan  sean  objeto  de un tratamiento, en virtud de motivos fundados y legítimos  relativos  a  su  situación  concreta;  que  los Estados miembros tienen,  no  obstante, la posibilidad de establecer disposiciones nacionales contrarias;

(46)  Considerando  que  la  protección  de los derechos y libertades de los interesados  en lo que respecta a los tratamientos de datos personales exige la  adopción  de  medidas técnicas y de organización apropiadas, tanto en el momento  de  la  concepción  del  sistema  de  tratamiento  como en el de la aplicación  de  los tratamientos mismos, sobre todo con objeto de garantizar la  seguridad  e  impedir,  por  tanto,  todo tratamiento no autorizado; que corresponde  a  los  Estados  miembros  velar  por  que los responsables del tratamiento  respeten dichas medidas; que esas medidas deberán garantizar un nivel  de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste  de  su  aplicación  en  relación  con  los  riesgos  que  presente el tratamiento y con la naturaleza de los datos que deban protegerse;

(47) Considerando que cuando un mensaje con datos personales sea transmitido a  través  de  un servicio de telecomunicaciones o de correo electrónico cuyo único  objetivo  sea  transmitir  mensajes  de  ese  tipo,  será considerada normalmente responsable del tratamiento de los datos personales presentes en el  mensaje  aquella persona de quien proceda el mensaje y no la que ofrezca el  servicio  de  transmisión;  que,  no obstante, las personas que ofrezcan estos  servicios normalmente serán consideradas responsables del tratamiento de  los datos personales complementarios y necesarios para el funcionamiento del servicio;

(48)  Considerando  que los procedimientos de notificación a la autoridad de control  tienen  por  objeto  asegurar  la  publicidad  de  los fines de los tratamientos y de sus principales características a fin de controlarlos a la luz  de  las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(49)  Considerando  que  para evitar trámites administrativos improcedentes, los  Estados  miembros pueden establecer exenciones o simplificaciones de la notificación  para los tratamientos que no atenten contra los derechos y las libertades  de  los  interesados,  siempre y cuando sean conformes a un acto adoptado  por  el  Estado miembro en el que se precisen sus límites; que los Estados  miembros pueden igualmente disponer la exención o la simplificación cuando  un  encargado,  nombrado  por  el  responsable  del  tratamiento, se cerciore  de  que  los  tratamientos efectuados no pueden atentar contra los derechos  y  libertades  de  los interesados; que la persona encargada de la protección  de  los datos, sea o no empleado del responsable del tratamiento de datos, deberá ejercer sus funciones con total independencia;

(50) Considerando que podrán establecerse exenciones o simplificaciones para los  tratamientos  cuya  única  finalidad  sea el mantenimiento de registros destinados,  de  conformidad  con  el Derecho nacional, a la información del público y que sean accesibles para la consulta del público o de toda persona que justifique un interés legítimo;

(51)  Considerando,  no obstante, que el beneficio de la simplificación o de la  exención de la obligación de notificación no dispensa al responsable del tratamiento  de  ninguna  de las demás obligaciones derivadas de la presente Directiva;

(52)  Considerando  que, en este contexto, el control a posteriori por parte de  las  autoridades  competentes  debe considerarse, en general, una medida suficiente;

(53)   Considerando,  no  obstante,  que  determinados  tratamientos  pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades  de  los  interesados,  ya sea por su naturaleza, su alcance o su finalidad,  como  los  de  excluir  a  los  interesados  del beneficio de un derecho,  de una prestación o de un contrato, o por el uso particular de una tecnología  nueva;  que  es  competencia  de los Estados miembros, si así lo desean, precisar tales riesgos en sus legislaciones;

(54)  Considerando que, a la vista de todos los tratamientos llevados a cabo en  la  sociedad,  el número de los que presentan tales riesgos particulares debería ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control  o  del  encargado  de  la  protección  de  datos en cooperación con aquélla;  que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga su Derecho nacional, podrá emitir un dictamen o autorizar el  tratamiento de datos; que este examen previo podrá realizarse también en el  curso  de  la  elaboración  de  una  medida  legislativa aprobada por el Parlamento  nacional o de una medida basada en dicha medida legislativa, que defina la naturaleza del tratamiento y precise las garantías adecuadas;

(55)  Considerando  que las legislaciones nacionales deben prever un recurso judicial  para  los casos en los que el responsable del tratamiento de datos no  respete los derechos de los interesados; que los daños que pueden sufrir las  personas  a  raíz de un tratamiento ilícito han de ser reparados por el responsable  del  tratamiento  de  datos,  el cual sólo podrá ser eximido de responsabilidad  si  demuestra  que no le es imputable el hecho perjudicial, principalmente  si  demuestra la responsabilidad del interesado o un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva;

(56)  Considerando  que  los flujos transfronterizos de datos personales son necesarios  para la desarrollo del comercio internacional; que la protección de  las personas garantizada en la Comunidad por la presente Directiva no se opone  a  la  transferencia  de  datos  personales  a  terceros  países  que garanticen  un  nivel  de  protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un país tercero debe apreciarse teniendo en cuenta  todas  las  circunstancias  relacionadas  con  la transferencia o la categoría de transferencias;

(57)  Considerando, por otra parte, que cuando un país tercero no ofrezca un nivel  de  protección  adecuado debe prohibirse la transferencia al mismo de datos personales;

(58)  Considerando que han de establecerse excepciones a esta prohibición en determinadas   circunstancias,   cuando   el   interesado   haya   dado   su consentimiento,  cuando  la  transferencia  sea necesaria en relación con un contrato  o  una  acción  judicial,  cuando así lo exija la protección de un interés   público   importante,   por  ejemplo  en  casos  de  transferencia internacional  de  datos  entre  las administraciones fiscales o aduaneras o entre  los servicios competentes en materia de seguridad social, o cuando la transferencia se haga desde un registro previsto en la legislación con-fines de  consulta  por  el público o por personas con un interés legítimo; que en tal  caso  dicha transferencia no debe afectar a la totalidad de los datos o las  categorías de datos que contenga el mencionado registro; que, cuando la finalidad de un registro sea la consulta por parte de personas que tengan un interés  legítimo, la transferencia sólo debería poder efectuarse a petición de dichas personas o cuando éstas sean las destinatarias;

(59)  Considerando  que pueden adoptarse medidas particulares para paliar la insuficiencia  del  nivel de protección en un tercer país, en caso de que el responsable  del tratamiento ofrezca garantías adecuadas; que, por lo demás, deben preverse procedimientos de negociación entre la Comunidad y los países terceros de que se trate;

(60)  Considerando  que,  en cualquier caso, las transferencias hacia países terceros  sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas  por  los Estados miembros en aplicación de la presente Directiva, y, en particular, de su artículo 8;

(61)  Considerando  que  los  Estados  miembros y la Comisión, dentro de sus respectivas  competencias,  deben  alentar a los sectores profesionales para que  elaboren  códigos  de  conducta  a  fin de facilitar, habida cuenta del carácter  específico  del  tratamiento  de  datos  efectuado en determinados sectores,   la   aplicación   de   la   presente  Directiva  respetando  las disposiciones nacionales adoptadas para su aplicación;

(62) Considerando que la creación de una autoridad de control que ejerza sus funciones  con  plena  independencia  en  cada  uno  de los Estados miembros constituye  un  elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

(63) Considerando que dicha autoridad debe disponer de los medios necesarios para  cumplir  su  función,  ya  se  trate  de poderes de investigación o de intervención,  en  particular  en  casos  de  reclamaciones presentadas a la autoridad  o  de  poder  comparecer  en  juicio;  que  tal  autoridad  ha de contribuir  a la transparencia de los tratamientos de datos efectuados en el Estado miembro del que dependa;

(64)  Considerando  que  las  autoridades  de los distintos Estados miembros habrán  de  prestarse ayuda mutua en el ejercicio de sus funciones, de forma que  se  garantice  el  pleno respeto de las normas de protección en toda la Unión Europea;

(65)  Considerando  que se debe crear, en el ámbito comunitario, un grupo de protección  de  las  personas  en  lo  que  respecta al tratamiento de datos personales,  el cual habrá de ejercer sus funciones con plena independencia; que,  habida  cuenta de este carácter específico, el grupo deberá asesorar a la  Comisión  y  contribuir,  en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva;

(66) Considerando que, por lo que respecta a la transferencia de datos hacia países  terceros,  la  aplicación  de  la presente Directiva requiere que se atribuya  a  la  Comisión  competencias  de  ejecución  y  que  se  cree  un procedimiento  con  arreglo  a  las  modalidades establecidas en la Decisión 87/373/CEE del Consejo;

(67) Considerando que el 20 de diciembre de 1994 se alcanzó un acuerdo sobre un  modus  vivendi  entre  el  Parlamento  Europeo, el Consejo y la Comisión concerniente  a  las  medidas  de  aplicación  de  los  actos  adoptados  de conformidad  con  el  procedimiento  establecido  en  el  artículo 189 B del Tratado CE;

(68)  Considerando  que  los  principios  de  protección  de  los derechos y libertades  de las personas y, en particular, del respeto de la intimidad en lo  que  se  refiere  al  tratamiento  de  los datos personales objeto de la presente   Directiva   podrán   completarse  o  precisarse,  sobre  todo  en determinados   sectores,  mediante  normas  específicas  conformes  a  estos principios;

(69)  Considerando  que  resulta oportuno conceder a los Estados miembros un plazo  que no podrá ser superior a tres años a partir de la entrada en vigor de  las  medidas nacionales de transposición de la presente Directiva, a fin de  que  puedan  aplicar  de  manera  progresiva  las  nuevas  disposiciones nacionales mencionadas a todos los tratamientos de datos ya existentes; que, con  el  fin  de  facilitar  una  aplicación que presente una buena relación coste/ eficacia,  se concederá a los Estados miembros un período suplementario que  expirará  a  los  doce  años  de  la fecha en que se adopte la presente Directiva,  para  garantizar  que  los ficheros manuales existentes en dicha fecha  se  hayan  ajustado  a  las disposiciones de la Directiva; que si los datos  contenidos  en  dichos  ficheros  son tratados efectivamente de forma manual  en  ese  período  transitorio  ampliado  deberán,  sin  embargo, ser ajustados a dichas disposiciones cuando se realice tal tratamiento;

(70)  Considerando  que  no es procedente que el interesado tenga que dar de nuevo su consentimiento a fin de que el responsable pueda seguir efectuando, tras la entrada en vigor de las disposiciones nacionales adoptadas en virtud de  la  presente Directiva, el tratamiento de datos sensibles necesario para la ejecución de contratos celebrados previo consentimiento libre e informado antes de la entrada en vigor de las disposiciones mencionadas;

(71)  Considerando  que  la  presente  Directiva no se opone a que un Estado miembro  regule  las  actividades  de prospección comercial destinadas a los consumidores  que  residan  en  su  territorio,  en  la  medida en que dicha regulación  no  afecte  a la protección de las personas en lo que respecta a tratamientos de datos personales;

(72)  Considerando que la presente Directiva autoriza que se tenga en cuenta el  principio  de  acceso  público  a  los documentos oficiales a la hora de aplicar los principios expuestos en la presente Directiva,

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPITULO I . DISPOSICIONES GENERALES

Artículo 1. Objeto de la Directiva

1.  Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente  Directiva,  la  protección  de  las  libertades  y de los derechos fundamentales  de  las  personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2.   Los  Estados  miembros  no  podrán  restringir  ni  prohibir  la  libre circulación  de  datos  personales  entre  los  Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.

Artículo 2. Definiciones

A efectos de la presente Directiva, se entenderá por:

a)   «datos   personales»:   toda   información  sobre  una  persona  física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular  mediante  un  número  de identificación o uno o varios elementos específicos,  característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)  «tratamiento  de datos personales» «tratamiento»): cualquier operación o conjunto   de   operaciones,   efectuadas   o   no  mediante  procedimientos automatizados,  y  aplicadas a datos personales, como la recogida, registro, organización,   conservación,   elaboración   o   modificación,  extracción, consulta,  utilización,  comunicación  por transmisión, difusión o cualquier otra  forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

c)  «fichero de datos personales» («fichero»): todo conjunto estructurado de datos  personales,  accesibles  con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

d)  «responsable  del  tratamiento»: la persona física o jurídica, autoridad pública,  servicio  o  cualquier otro organismo que sólo o conjuntamente con otros  determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones  legislativas  o  reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

e)  «encargado  del  tratamiento»:  la  persona física o jurídica, autoridad pública,  servicio  o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;

f)  «tercero»:  la  persona física o jurídica, autoridad pública, servicio o cualquier  otro  organismo  distinto  del  interesado,  del  responsable del tratamiento,  del  encargado  del  tratamiento y de las personas autorizadas para  tratar  los  datos  bajo  la  autoridad  directa  del  responsable del tratamiento o del encargado del tratamiento;

g) «destinatario»: la persona física o jurídica, autoridad pública, servicio o  cualquier  otro organismo que reciba comunicación de datos, se trate o no de  un  tercero.  No  obstante,  las  autoridades  que  puedan  recibir  una comunicación  de  datos en el marco de una investigación específica no serán considerados destinatarios;

h)  «consentimiento  del interesado»: toda manifestación de voluntad, libre, específica   e  informada,  mediante  la  que  el  interesado  consienta  el tratamiento de datos personales que le conciernan.

Artículo 3. Ámbito de aplicación

1.  Las  disposiciones  de la presente Directiva se aplicarán al tratamiento total   o  parcialmente  automatizado  de  datos  personales,  así  como  al tratamiento  no  automatizado  de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

–  efectuado  en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de  los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al  tratamiento  de  datos  que  tenga  por  objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

–   efectuado  por  una  persona  física  en  el  ejercicio  de  actividades exclusivamente personales o domésticas.

Artículo 4. Derecho nacional aplicable

1.  Los  Estados  miembros  aplicarán  las disposiciones nacionales que haya aprobado  para  la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)  el  tratamiento  sea  efectuado  en  el  marco  de las actividades de un establecimiento  del responsable del tratamiento en el territorio del Estado miembro.  Cuando el mismo responsable del tratamiento esté establecido en el territorio  de varios Estados miembros deberá adoptar las medidas necesarias para   garantizar  que  cada  uno  de  dichos  establecimientos  cumple  las obligaciones previstas por el Derecho nacional aplicable;

b)  el  responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad  y  recurra,  para  el  tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2.  En  el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

CAPITULO II. CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSONALES

Artículo 5. 

Los  Estados miembros precisarán, dentro de los límites de las disposiciones del  presente  capítulo, las condiciones en que son lícitos los tratamientos de datos personales.

SECCIÓN I. PRINCIPIOS RELATIVOS A LA CALIDAD DE LOS DATOS

Artículo 6

1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b)  recogidos  con  fines  determinados,  explícitos  y legítimos, y no sean tratados  posteriormente  de  manera  incompatible  con  dichos fines; no se considerará  incompatible  el  tratamiento  posterior  de  datos  con  fines históricos,  estadísticos  o  científicos,  siempre  y  cuando  los  Estados miembros establezcan las garantías oportunas;

c)  adecuados,  pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d)  exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas  razonables para que los datos inexactos o incompletos, con respecto a  los  fines  para  los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación de los interesados durante  un  período  no  superior  al necesario para los fines para los que fueron  recogidos  o  para  los  que  se  traten  ulteriormente. Los Estados miembros  establecerán  las  garantías  apropiadas para los datos personales archivados  por  un  período más largo del mencionado, con fines históricos, estadísticos o científicos.

2.   Corresponderá   a   los  responsables  del  tratamiento  garantizar  el cumplimiento de lo dispuesto en el apartado 1.

SECCIÓN II. PRINCIPIOS RELATIVOS A LA LEGITIMACIÓN DEL TRATAMIENTO DE DATOS

Artículo 7 

Los  Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte  o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

c)  es  necesario  para  el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e)  es  necesario  para  el  cumplimiento de una misión de interés público o inherente  al  ejercicio  del  poder  público  conferido  al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f)  es necesario para la satisfacción del interés legítimo perseguido por el responsable  del  tratamiento  o  por  el  tercero  o  terceros a los que se comuniquen  los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

SECCIÓN III. CATEGORÍAS ESPECIALES DE TRATAMIENTOS

Artículo 8. Tratamiento de categorías especiales de datos

1.  Los  Estados  miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas   o  filosóficas,  la  pertenencia  a  sindicatos,  así  como  el tratamiento de los datos relativos a la salud o a la sexualidad.

2. Lo dispuesto en el apartado 1 no se aplicará cuando:

a)  el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la  prohibición  establecida  en  el  apartado  1 no pueda levantarse con el consentimiento del interesado, o

b)  el  tratamiento  sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral en la  medida en que esté autorizado por la legislación y ésta prevea garantías adecuadas, o

c)  el  tratamiento  sea  necesario  para  salvaguardar el interés vital del interesado  o  de  otra  persona,  en  el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, o

d)  el  tratamiento sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo  sin  fin  de  lucro,  cuya  finalidad  sea  política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a  las  personas  que  mantengan  contactos  regulares  con la fundación, la asociación  o  el  organismo  por razón de su finalidad y con tal de que los datos  no se comuniquen a terceros sin el consentimiento de los interesados, o

e)  el  tratamiento  se  refiera  a  datos  que  el  interesado  haya  hecho manifiestamente públicos o sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

3.  El  apartado  1  no  se  aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia  sanitaria  o  tratamientos  médicos  o  la  gestión de servicios sanitarios,  siempre  que  dicho  tratamiento  de datos sea realizado por un profesional  sanitario  sujeto  al  secreto  profesional sea en virtud de la legislación  nacional,  o  de  las  normas  establecidas por las autoridades nacionales  competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

4.  Siempre  que  dispongan  las  garantías  adecuadas, los Estados miembros podrán,  por  motivos  de  interés  público  importantes,  establecer  otras excepciones,  además  de  las  previstas  en el apartado 2, bien mediante su legislación nacional, bien por decisión de la autoridad de control.

5.  El  tratamiento  de  datos  relativos a infracciones, condenas penales o medidas  de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantías específicas en el Derecho nacional, sin perjuicio  de  las  excepciones  que  podrá  establecer  el  Estado  miembro basándose  en  disposiciones  nacionales  que prevean garantías apropiadas y específicas.  Sin  embargo,  sólo  podrá  llevarse  un  registro completo de condenas penales bajo el control de los poderes públicos.

Los Estados miembros podrán establecer que el tratamiento de datos relativos a  sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos.

6.  Las  excepciones  a  las disposiciones del apartado 1 que establecen los apartados 4 y 5 se notificarán a la Comisión.

7.  Los  Estados  miembros determinarán las condiciones en las que un número nacional  de  identificación  o  cualquier  otro  medio de identificación de carácter general podrá ser objeto de tratamiento.

Artículo 9. Tratamiento de datos personales y libertad de expresión

En  lo referente al tratamiento de datos personales con fines exclusivamente periodísticos  o  de  expresión  artística o literaria, los Estados miembros establecerán,  respecto  de  las  disposiciones  del  presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que  resulten  necesarias  para  conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.

SECCIÓN IV. INFORMACIÓN DEL INTERESADO

Artículo 10. Información en caso de obtención de datos recabados del propio interesado

Los  Estados  miembros  dispondrán  que  el responsable del tratamiento o su representante  deberán  comunicar a la persona de quien se recaben los datos que   le   conciernan,  por  lo  menos  la  información  que  se  enumera  a continuación, salvo si la persona ya hubiera sido informada de ello:

a)  la  identidad  del  responsable  del  tratamiento  y,  en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– los destinatarios o las categorías de destinatarios de los datos,

–  el  carácter  obligatorio  o  no  de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

–  la  existencia  de derechos de acceso y rectificación de los datos que la conciernen,

en  la medida en que, habida cuenta de las circunstancias específicas en que se  obtengan  los  datos,  dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

Artículo 11. Información cuando los datos no han sido recabados del propio interesado

1.  Cuando  los  datos  no  hayan sido recabados del interesado, los Estados miembros  dispondrán  que  el responsable del tratamiento o su representante deberán,  desde  el  momento  del registro de los datos o, en caso de que se piense  comunicar  datos  a  un  tercero,  a más tardar, en el momento de la primera  comunicación  de  datos,  comunicar  al  interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:

a)  la  identidad  del  responsable  del  tratamiento  y,  en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– las categorías de los datos de que se trate,

– los destinatarios o las categorías de destinatarios de los datos,

–  la  existencia  de derechos de acceso y rectificación de los datos que la conciernen,

en  la medida en que, habida cuenta de las circunstancias específicas en que se  hayan  obtenido  los  datos,  dicha  información  suplementaria  resulte necesaria  para  garantizar  un  tratamiento  de  datos  leal  respecto  del interesado.

2.  Las  disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento   con   fines   estadísticos  o  de  investigación  histórica  o científica,  cuando  la  información al interesado resulte imposible o exija esfuerzos  desproporcionados  o  el  registro o la comunicación a un tercero estén  expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.

SECCIÓN V. DERECHO DE ACCESO DEL INTERESADO A LOS DATOS

Artículo 12. Derecho de acceso

Los  Estados  miembros  garantizarán  a  todos los interesados el derecho de obtener del responsable del tratamiento:

a)  libremente,  sin  restricciones  y  con una periodicidad razonable y sin retrasos ni gastos excesivos:

–  la  confirmación de la existencia o inexistencia del tratamiento de datos que  le conciernen, así como información por lo menos de los fines de dichos tratamientos,  las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;

–  la  comunicación,  en  forma  inteligible,  de  los  datos  objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos;

–  el  conocimiento de la lógica utilizada en los tratamientos automatizados de  los  datos  referidos  al  interesado,  al  menos  en  los  casos de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15;

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento  no  se  ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

c) la notificación a los terceros a quienes se hayan comunicado los datos de toda  rectificación,  supresión  o  bloqueo  efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.

SECCIÓN VI. EXCEPCIONES Y LIMITACIONES

Artículo 13. Excepciones y limitaciones

1.  Los  Estados  miembros  podrán  adoptar  medidas legales para limitar el alcance  de  las  obligaciones y los derechos previstos en el apartado 1 del artículo  6,  en  el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d)  la  prevención,  la  investigación,  la  detección  y  la  represión  de infracciones  penales  o  de  las  infracciones  de  la  deontología  en las profesiones reglamentadas;

e) un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) una función de control, de inspección o reglamentaria relacionada, aunque sólo  sea  ocasionalmente,  con  el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g)  la  protección  del  interesado  o de los derechos y libertades de otras personas.

2.  Sin  perjuicio  de  las  garantías  legales apropiadas, que excluyen, en particular,  que  los  datos puedan ser utilizados en relación con medidas o decisiones  relativas  a personas concretas, los Estados miembros podrán, en los  casos en que manifiestamente no exista ningún riesgo de atentado contra la  intimidad  del  interesado,  limitar  mediante una disposición legal los derechos  contemplados  en el artículo 12 cuando los datos se vayan a tratar exclusivamente  con  fines de investigación científica o se guarden en forma de  archivos de carácter personal durante un período que no supere el tiempo necesario para la exclusiva finalidad de la elaboración de estadísticas.

SECCIÓN VII. DERECHO DE OPOSICIÓN DEL INTERESADO

Artículo 14. Derecho de oposición del interesado

Los Estados miembros reconocerán al interesado el derecho a:

a)  oponerse,  al  menos en los casos contemplados en las letras e) y f) del artículo  7,  en  cualquier  momento  y  por razones legítimas propias de su situación  particular,  a  que  los  datos  que le conciernan sean objeto de tratamiento,  salvo  cuando  la  legislación nacional disponga otra cosa. En caso  de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

b)  oponerse,  previa  petición y sin gastos, al tratamiento de los datos de carácter  personal  que  le conciernan respecto de los cuales el responsable prevea  un  tratamiento destinado a la prospección; o ser informado antes de que  los  datos se comuniquen por primera vez a terceros o se usen en nombre de  éstos  a  efectos  de prospección, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha comunicación o utilización.

Los  Estados miembros adoptarán todas las medidas necesarias para garantizar que  los  interesados conozcan la existencia del derecho a que se refiere el párrafo primero de la letra b).

Artículo 15. Decisiones individuales automatizadas

1.  Los  Estados  miembros  reconocerán a las personas el derecho a no verse sometidas  a una decisión con efectos jurídicos sobre ellas o que les afecte de   manera   significativa,  que  se  base  únicamente  en  un  tratamiento automatizado  de  datos  destinado  a  evaluar  determinados  aspectos de su personalidad,  como  su  rendimiento laboral, crédito, fiabilidad, conducta, etc.

2.  Los  Estados  miembros  permitirán, sin perjuicio de lo dispuesto en los demás  artículos  de  la  presente  Directiva,  que  una persona pueda verse sometida  a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a)  se  haya  adoptado  en  el  marco  de  la  celebración o ejecución de un contrato,  siempre  que  la petición de celebración o ejecución del contrato presentada  por  el  interesado  se  haya  satisfecho  o que existan medidas apropiadas,  como  la  posibilidad  de  defender  su punto de vista, para la salvaguardia de su interés legítimo; o

b)  esté  autorizada  por  una  ley que establezca medidas que garanticen el interés legítimo del interesado.

SECCIÓN VIII. CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO

Artículo 16. Confidencialidad del tratamiento

Las  personas  que  actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los  que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal.

Artículo 17. Seguridad del tratamiento

1.  Los  Estados  miembros  establecerán  la  obligación del responsable del tratamiento  de  aplicar  las  medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o  ilícita,  la  pérdida accidental y contra la alteración, la difusión o el acceso  no  autorizados,  en  particular  cuando  el  tratamiento incluya la transmisión  de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.

Dichas  medidas  deberán  garantizar,  habida  cuenta  de  los conocimientos técnicos  existentes  y  del  coste  de su aplicación, un nivel de seguridad apropiado  en  relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

2.  Los Estados miembros establecerán que el responsable del tratamiento, en caso  de  tratamiento  por  cuenta del mismo, deberá elegir un encargado del tratamiento  que  reúna garantías suficientes en relación con las medidas de seguridad   técnica   y  de  organización  de  los  tratamientos  que  deban efectuarse, y se asegure de que se cumplen dichas medidas.

3.  La  realización de tratamientos por encargo deberá estar regulada por un contrato  u  otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular:

–  que  el  encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;

–  que  las  obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.

4.  A  efectos  de  conservación de la prueba, las partes del contrato o del acto  jurídico  relativas  a  la  protección  de  datos  y  a los requisitos relativos  a  las  medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente.

SECCIÓN IX. NOTIFICACIÓN

Artículo 18. Obligación de notificación a la autoridad de control

1.  Los Estados miembros dispondrán que el responsable del tratamiento o, en su  caso,  su  representante,  efectúe  una  notificación  a la autoridad de control  contemplada en el artículo 28, con anterioridad a la realización de un  tratamiento  o  de  un  conjunto  de  tratamientos, total o parcialmente automatizados,  destinados  a  la  consecución  de  un fin o de varios fines conexos.

2. Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones:

–  cuando,  para  las categorías de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere  el  tratamiento,  los  Estados  miembros  precisen los fines de los tratamientos,  los  datos  o  categorías  de  datos tratados, la categoría o categorías   de   los   interesados,   los  destinatarios  o  categorías  de destinatarios a los que se comuniquen los datos y el período de conservación de los datos y/o

–  cuando  el  responsable  del  tratamiento designe, con arreglo al Derecho nacional  al  que  está  sujeto,  un  encargado  de  protección de los datos personales que tenga por cometido, en particular:

–  hacer  aplicar  en  el  ámbito  interno,  de  manera  independiente,  las disposiciones nacionales adoptadas en virtud de la presente Directiva,

–  llevar  un registro de los tratamientos efectuados por el responsable del tratamiento,  que  contenga  la  información  enumerada en el apartado 2 del artículo 21,

garantizando  así  que  el  tratamiento  de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.

3.  Los  Estados  miembros podrán disponer que no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar un registro que, en  virtud  de  disposiciones  legales  o  reglamentarias,  esté destinado a facilitar  información  al  público  y  estén  abiertos a la consulta por el público  en  general  o  por  toda  persona  que  pueda demostrar un interés legítimo.

4.  Los  Estados  miembros  podrán eximir de la obligación de notificación o disponer  una  simplificación de la misma respecto de los tratamientos a que se refiere la letra d) del apartado 2 del artículo 8.

5.   Los   Estados   miembros   podrán  disponer  que  los  tratamientos  no automatizados  de  datos  de  carácter  personal  o  algunos  de  ellos sean notificados eventualmente de una forma simplificada.

Artículo 19. Contenido de la notificación

1.  Los  Estados miembros determinarán la información que debe figurar en la notificación, que será como mínimo:

a)  el  nombre y la dirección del responsable del tratamiento y, en su caso, de su representante;

b) el o los objetivos del tratamiento;

c)  una  descripción  de  la  categoría o categorías de interesados y de los datos o categorías de datos a los que se refiere el tratamiento;

d)  los  destinatarios  o  categorías  de  destinatarios a los que se pueden comunicar los datos;

e) las transferencias de datos previstas a países terceros;

f)  una  descripción  general  que permita evaluar de modo preliminar si las medidas  adoptadas  en  aplicación  del  artículo 17 resultan adecuadas para garantizar la seguridad del tratamiento.

2.  Los  Estados  miembros  precisarán  los  procedimientos  por  los que se notificarán  a  la  autoridad de control las modificaciones que afecten a la información contemplada en el apartado 1.

Artículo 20. Controles previos

1.  Los  Estados  miembros  precisarán  los  tratamientos que puedan suponer riesgos  específicos  para  los  derechos  y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

2. Estas comprobaciones previas serán realizadas por la autoridad de control una  vez que haya recibido la notificación del responsable del tratamiento o por  el  encargado  de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.

3.  Los  Estados miembros podrán también llevar a cabo dicha comprobación en el  marco de la elaboración de una norma aprobada por el Parlamento o basada en  la  misma norma, que defina el carácter del tratamiento y establezca las oportunas garantías.

Artículo 21. Publicidad de los tratamientos

1.  Los Estados miembros adoptarán las medidas necesarias para garantizar la publicidad de los tratamientos.

2.  Los  Estados  miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18.

En el registro se harán constar, como mínimo, las informaciones a las que se refieren las letras a) a e) del apartado 1 del artículo 19.

El registro podrá ser consultado por cualquier persona.

3. Los Estados miembros dispondrán, en lo que respecta a los tratamientos no sometidos a notificación, que los responsables del tratamiento u otro órgano designado  por los Estados miembros comuniquen, en la forma adecuada, a toda persona  que  lo  solicite, al menos las informaciones a que se refieren las letras a) a e) del apartado 1 del artículo 19.

Los  Estados miembros podrán establecer que esta disposición no se aplique a los  tratamientos  cuyo  fin único sea llevar un registro, que, en virtud de disposiciones  legales  o  reglamentarias,  esté  concebido  para  facilitar información  al  público  y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo.

CAPITULO III. RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES

Artículo 22. Recursos

Sin   perjuicio  del  recurso  administrativo  que  pueda  interponerse,  en particular  ante  la  autoridad  de  control mencionada en el artículo 28, y antes  de  acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos  que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.

Artículo 23. Responsabilidad

1.  Los  Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las   disposiciones  nacionales  adoptadas  en  aplicación  de  la  presente Directiva,  tenga  derecho  a  obtener  del  responsable  del tratamiento la reparación del perjuicio sufrido.

2.  El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha  responsabilidad  si demuestra que no se le puede imputar el hecho que ha provocado el daño.

Artículo 24. Sanciones

Los  Estados  miembros  adoptarán  las  medidas adecuadas para garantizar la plena   aplicación   de   las  disposiciones  de  la  presente  Directiva  y determinarán,  en  particular,  las sanciones que deben aplicarse en caso de incumplimiento  de,  las disposiciones adoptadas en ejecución de la presente Directiva.

CAPITULO IV. TRANSFERENCIA DE DATOS PERSONALES A PAÍSES TERCEROS

Artículo 25. Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento   con   posterioridad   a  su  transferencia,  únicamente  pueda efectuarse  cuando,  sin  perjuicio del cumplimiento de las disposiciones de Derecho  nacional  adoptadas  con  arreglo  a  las demás disposiciones de la presente  Directiva,  el  país tercero de que se trate garantice un nivel de protección adecuado.

2.  El  carácter adecuado del nivel de protección que ofrece un país tercero se  evaluará  atendiendo  a  todas  las  circunstancias que concurran en una transferencia  o en una categoría de transferencias de datos; en particular, se  tomará  en  consideración  la naturaleza de los datos, la finalidad y la duración  del tratamiento o de los tratamientos previstos, el país de origen y  el país de destino final, las normas de Derecho, generales o sectoriales, vigentes  en  el  país  tercero  de  que  se  trate,  así  como  las  normas profesionales y las medidas de seguridad en vigor en dichos países.

3.  Los  Estados  miembros y la Comisión se informarán recíprocamente de los casos  en  que  consideren  que  un  tercer  país  no  garantiza un nivel de protección adecuado con arreglo al apartado 2.

4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el  apartado  2 del artículo 31, que un tercer país no garantiza un nivel de protección  adecuado  con  arreglo  al apartado 2 del presente artículo, los Estado  miembros  adoptarán  las  medidas  necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

5.  La Comisión iniciará en el momento oportuno las negociaciones destinadas a  remediar  la  situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

6.  La  Comisión  podrá  hacer  constar, de conformidad con el procedimiento previsto  en el apartado 2 del artículo 31, que un país tercero garantiza un nivel  de  protección adecuado de conformidad con el apartado 2 del presente artículo,  a  la  vista  de  su  legislación  interna  o  de sus compromisos internacionales,  suscritos  especialmente  al  término de las negociaciones mencionadas  en  el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los  Estados  miembros  adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

Artículo 26. Excepciones

1.  No obstante lo dispuesto en el artículo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán  que  pueda efectuarse una transferencia de datos personales a un país  tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando:

a)   el   interesado  haya  dado  su  consentimiento  inequívocamente  a  la transferencia prevista, o

b)  la transferencia sea necesaria para la ejecución de un contrato entre el interesado  y  el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

c)  la  transferencia  sea  necesaria  para la celebración o ejecución de un contrato  celebrado  o  por  celebrar  en  interés  del interesado, entre el responsable del tratamiento y un tercero, o

d)  La transferencia sea necesaria o legalmente exigida para la salvaguardia de  un  interés  público  importante,  o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

f)  la transferencia tenga lugar desde un registro público que, en virtud de disposiciones  legales  o  reglamentarias,  esté  concebido  para  facilitar información  al  público  y  esté  abierto  a  la consulta por el público en general  o  por  cualquier  persona que pueda demostrar un interés legítimo, siempre  que  se  cumplan,  en  cada  caso  particular,  las condiciones que establece la ley para la consulta.

2.  Sin  perjuicio  de  lo  dispuesto en el apartado 1, los Estados miembros podrán  autorizar  una  transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con  arreglo  al  apartado  2  del  artículo  25,  cuando el responsable del tratamiento  ofrezca  garantías  suficientes respecto de la protección de la vida  privada,  de  los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

3.  Los  Estados  miembros  informarán  a  la Comisión y a los demás Estados miembros  acerca  de las autorizaciones que concedan con arreglo al apartado 2.

En  el  supuesto  de  que  otro  Estado  miembro o la Comisión expresaron su oposición  y  la  justificaren  debidamente  por  motivos  derivados  de  la protección  de  la vida privada y de los derechos y libertades fundamentales de  las  personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento establecido en el apartado 2 del artículo 31.

Los  Estados  miembros  adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

4.  Cuando  la  Comisión  decida,  según  el procedimiento establecido en el apartado  2  del  artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

CAPITULO V. CÓDIGOS DE CONDUCTA

Artículo 27 

1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector,  a  la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.

2.  Los  Estados miembros establecerán que las asociaciones profesionales, y las  demás organizaciones representantes de otras categorías de responsables de  tratamientos,  que hayan elaborado proyectos de códigos nacionales o que tengan  la  intención de modificar o prorrogar códigos nacionales existentes puedan someterlos a examen de las autoridades nacionales.

Los  Estados  miembros  establecerán  que  dicha autoridad vele, entre otras cosas,  por  la  conformidad  de los proyectos que le sean sometidos con las disposiciones  nacionales  adoptadas en aplicación de la presente Directiva. Si  lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus representantes.

3.  Los  proyectos  de  códigos  comunitarios, así como las modificaciones o prórrogas  de códigos comunitarios existentes, podrán ser sometidos a examen del  grupo  contemplado  en el artículo 29. Este se pronunciará, entre otras cosas,  sobre  la conformidad de los proyectos que le sean sometidos con las disposiciones  nacionales  adoptadas en aplicación de la presente Directiva. Si  lo  considera  conveniente,  el  Grupo recogerá las observaciones de los interesados  o  de  sus  representantes.  La  Comisión  podrá  efectuar  una publicidad  adecuada de los códigos que hayan recibido un dictamen favorable del grupo.

CAPITULO VI. AUTORIDAD  DE  CONTROL  Y  GRUPO  DE  PROTECCIÓN  DE  LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

Artículo 28. Autoridad de control

1.  Los  Estados  miembros  dispondrán que una o más autoridades públicas se encarguen  de  vigilar  la  aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas  autoridades  ejercerán las funciones que les son atribuidas con total independencia.

2.  Los  Estados  miembros  dispondrán  que se consulte a las autoridades de control  en  el  momento  de  la elaboración de las medidas reglamentarias o administrativas  relativas  a  la protección de los derechos y libertades de las  personas  en  lo  que  se  refiere  al tratamiento de datos de carácter personal.

3. La autoridad de control dispondrá, en particular, de:

–  poderes de investigación, como el derecho de acceder a los datos que sean objeto  de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

–  poderes  efectivos  de  intervención,  como,  por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo,  la  supresión  o  la  destrucción  de  datos,  o  incluso prohibir provisional   o   definitivamente  un  tratamiento,  o  el  de  dirigir  una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

–  capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas  en  aplicación  de  la  presente  Directiva  o  de  poner  dichas infracciones en conocimiento de la autoridad judicial.

Las  decisiones  de  la  autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4.  Toda  autoridad  de  control  entenderá de las solicitudes que cualquier persona,  o  cualquier asociación que la represente, le presente en relación con  la  protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda  autoridad  de  control entenderá, en particular, de las solicitudes de verificación  de  la  licitud  de  un  tratamiento que le presente cualquier persona  cuando  sean  de aplicación las disposiciones nacionales tomadas en virtud  del  artículo  13  de  la  presente  Directiva.  Dicha  persona será informada en todos los casos de que ha tenido lugar una verificación.

5.  Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado.

6.  Toda  autoridad  de  control  será  competente,  sean  cuales  sean  las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá  ser  instada  a  ejercer sus poderes por una autoridad de otro Estado miembro.

Las  autoridades  de control cooperarán entre sí en la medida necesaria para el  cumplimiento  de sus funciones, en particular mediante el intercambio de información que estimen útil.

7.  Los  Estados  miembros  dispondrán  que  los  miembros  y agentes de las autoridades  de  control estarán sujetos, incluso después de haber cesado en sus   funciones,   al  deber  de  secreto  profesional  sobre  informaciones confidenciales a las que hayan tenido acceso.

Artículo 29. Grupo  de  protección  de  las personas en lo que respecta al tratamiento de datos personales.

1.  Se  crea  un  grupo  de protección de las personas en lo que respecta al tratamiento de datos personales, en lo sucesivo denominado «Grupo».

Dicho Grupo tendrá carácter consultivo e independiente.

2.  El  Grupo estará compuesto por un representante de la autoridad o de las autoridades   de   control  designadas  por  cada  Estado  miembro,  por  un representante  de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión.

Cada  miembro  del  Grupo  será  designado  por  la institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades  de  control, éstas nombrarán a un representante común. Lo mismo harán   las   autoridades   creadas   por  las  instituciones  y  organismos comunitarios.

3.  El  Grupo tomará sus decisiones por mayoría simple de los representantes de las autoridades de control.

4.  El  Grupo  elegirá a su presidente. El mandato del presidente tendrá una duración de dos años. El mandato será renovable.

5. La Comisión desempeñará las funciones de secretaría del Grupo.

6. El Grupo aprobará su reglamento interno.

7.  El  Grupo  examinará  los  asuntos  incluidos en el orden del día por su presidente,  bien  por  iniciativa  de  éste,  bien  previa  solicitud de un representante  de  las  autoridades  de  control,  bien  a  solicitud  de la Comisión.

Artículo 30 

1. El Grupo tendrá por cometido:

a)  estudiar  toda  cuestión  relativa  a la aplicación de las disposiciones nacionales  tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea;

b)  emitir  un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en los países terceros;

c)  asesorar  a  la  Comisión sobre cualquier proyecto de modificación de la presente  Directiva, cualquier proyecto de medidas adicionales o específicas que  deban  adoptarse  para  salvaguardar  los  derechos y libertades de las personas  físicas en lo que respecta al tratamiento de datos personales, así como  sobre  cualquier  otro  proyecto  de medidas comunitarias que afecte a dichos derechos y libertades;

d)  emitir  un  dictamen  sobre  los códigos de conducta elaborados a escala comunitaria.

2. Si el Grupo comprobare la existencia de divergencias entre la legislación y la práctica de los Estados miembros que pudieron afectar a la equivalencia de  la  protección  de  las  personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión.

3.  El  Grupo  podrá,  por iniciativa propia, formular recomendaciones sobre cualquier  asunto  relacionado  con  la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad.

4.  Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión y al Comité contemplado en el artículo 31.

5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones.  A  tal  efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado.

6.  El  Grupo elaborará un informe anual sobre la situación de la protección de  las  personas  físicas  en  lo  que  respecta  al  tratamiento  de datos personales  en  la  Comunidad  y en los países terceros, y lo transmitirá al Parlamento  Europeo,  al  Consejo  y  a  la  Comisión.  Dicho  informe  será publicado.

CAPITULO VII. MEDIDAS DE EJECUCIÓN COMUNITARIAS

Artículo 31. El Comité

1. La Comisión estará asistida por un Comité compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión.

2.  El  representante de la Comisión presentará al Comité un proyecto de las medidas  que  se hayan de adoptar. El Comité emitirá su dictamen sobre dicho proyecto  en  un  plazo  que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate.

El  dictamen  se  emitirá  según  la  mayoría  prevista en el apartado 2 del artículo  148  del  Tratado.  Los votos de los representantes de los Estados miembros  en  el  seno  del  Comité se ponderarán del modo establecido en el artículo anteriormente citado. El presidente no tomará parte en la votación.

La  Comisión  adoptará  las  medidas  que serán de aplicación inmediata. Sin embargo,  si  dichas  medidas  no  fueren  conformes al dictamen del Comité, habrán  de  ser  comunicadas  sin demora por la Comisión al Consejo. En este caso:

–  la  Comisión aplazará la aplicación de las medidas que ha decidido por un período de tres meses a partir de la fecha de dicha comunicación;

–  el  Consejo, actuando por mayoría cualificada, podrá adoptar una decisión diferente dentro del plazo de tiempo mencionado en el primer guión.

DISPOSICIONES FINALES

Artículo 32  

1.  Los Estados miembros adoptarán las disposiciones legales, reglamentarias y  administrativas  necesarias  para dar cumplimiento a lo establecido en la presente  Directiva,  a  más  tardar  al  final de un período de tres años a partir de su adopción.

Cuando  los  Estados  miembros  adopten  dichas  disposiciones,  éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2.  Los  Estados miembros velarán por que todo tratamiento ya iniciado en la fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas en  virtud  de la presente Directiva se ajuste a dichas disposiciones dentro de un plazo de tres años a partir de dicha fecha.

No  obstante lo dispuesto en el párrafo primero, los Estados miembros podrán establecer  que  el  tratamiento  de datos que ya se encuentren incluidos en ficheros  manuales  en  la  fecha  de  entrada en vigor de las disposiciones nacionales  adoptadas en aplicación de la presente Directiva, deba ajustarse a  lo  dispuesto en los artículos 6, 7 y 8 en un plazo de doce años a partir de  la  adopción de la misma. No obstante, los Estados miembros otorgarán al interesado, previa solicitud y, en particular, en el ejercicio de su derecho de  acceso,  el  derecho a que se rectifiquen, supriman o bloqueen los datos incompletos,  inexactos  o  que hayan sido conservados de forma incompatible con los fines legítimos perseguidos por el responsable del tratamiento.

3.  No  obstante  lo dispuesto en el apartado 2, los Estados miembros podrán disponer,  con sujeción a las garantías adecuadas, que los datos conservados únicamente  a  efectos  de  investigación  histórica no deban ajustarse a lo dispuesto en los artículos 6, 7 y 8 de la presente Directiva.

4.  Los  Estados  miembros  comunicarán  a  la  Comisión  el  texto  de  las disposiciones  de  Derecho  interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 33 

La  Comisión  presentará al Consejo y al Parlamento Europeo periódicamente y por  primera vez en un plazo de tres años a partir de la fecha mencionada en el  apartado 1 del artículo 32 un informe sobre la aplicación de la presente Directiva,   acompañado,   en  su  caso,  de  las  oportunas  propuestas  de modificación. Dicho informe será publicado.

La Comisión estudiará, en particular, la aplicación de la presente Directiva al  tratamiento  de  datos  que  consistan en sonidos e imágenes relativos a personas físicas y presentará las propuestas pertinentes que puedan resultar necesarias en función de los avances de la tecnología de la información, y a la luz de los trabajos de la sociedad de la información.

Artículo 34 

Los destinatarios de la presente Directiva serán los Estados miembros.

Hecho en Luxemburgo, el 24 de octubre de 1995.

Por el Parlamento Europeo                                   Por el Consejo

El Presidente                                                    El Presidente

K. HANSCH                                                 L. ATIENZA SERNA