Archivos de la etiqueta: Unión Europea

21Mar/24

Reglamento (UE) 2024/868 del Parlamento Europeo y del Consejo de 13 de marzo de 2024

Reglamento (UE) 2024/868 del Parlamento Europeo y del Consejo de 13 de marzo de 2024,por el que se modifica la Decisión  2009/917/JAI del Consejo en lo que respecta a a su aproximación a las normas de la Unión sobre protección de datos de carácter personal. (Diario Oficial de la Unión Europea de 19 de marzo de 2024) 

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

De conformidad con el procedimiento legislativo ordinario (1),

Considerando lo siguiente:

(1) La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (2) establece normas armonizadas para la protección y libre circulación de datos personales tratados para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Dicha Directiva exige a la Comisión que revise otros actos pertinentes adoptados por la Unión a fin de evaluar la necesidad de aproximarlos a dicha Directiva y que presente, en su caso, las propuestas necesarias a fin de modificar dichos actos para garantizar un enfoque coherente de la protección de datos personales en el ámbito de aplicación de dicha Directiva.

(2) La Decisión 2009/917/JAI del Consejo (3) crea el Sistema de Información Aduanero (SIA), cuya finalidad es contribuir a prevenir, investigar y perseguir las infracciones graves de las leyes nacionales, acelerando la disponibilidad de los datos y así aumentar la eficacia de las administraciones aduaneras de los Estados miembros. El SIA consiste en un banco central de datos que almacena datos personales, como nombres y apellidos, direcciones, números de documentos de identidad, relacionados con mercancías, medios de transporte, empresas o personas, así como con mercancías y dinero en efectivo retenidos, embargados o confiscados. El banco central de datos es gestionado por la Comisión, que no tiene acceso a los datos personales almacenados en él. Las autoridades designadas por los Estados miembros tienen derecho de acceso al banco central de datos y pueden introducir y consultar la información almacenada en él. La Agencia de la Unión Europea para la Cooperación Policial (Europol) y la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) tienen derecho, en el límite de sus respectivos mandatos y para el desempeño de sus funciones, a acceder a los datos introducidos en el banco central de datos por las autoridades designadas por los Estados miembros y a consultar dichos datos.

(3) Con el fin de garantizar un enfoque coherente en relación con la protección de los datos de carácter personal en la Unión, la Decisión 2009/917/JAI debe modificarse para adaptarla a la Directiva (UE) 2016/680. En particular, las normas en materia de protección de datos personales establecidas en dicha Decisión deben respetar el principio de limitación de la finalidad, limitarse a categorías específicas de personas interesadas y de datos personales, respetar los requisitos de seguridad de los datos, incluir una protección suplementaria para categorías especiales de datos personales y respetar las condiciones para su tratamiento posterior. Además, debe establecerse una supervisión coordinada del funcionamiento del SIA por parte del Supervisor Europeo de Protección de Datos y de las autoridades de control nacionales, de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4).

(4) A fin de garantizar la aplicación de un enfoque claro y coherente en relación con la protección adecuada de los datos personales, el término «infracciones graves» utilizado en la Decisión 2009/917/JAI debe sustituirse por «infracciones penales» tal como figura en la Directiva (UE) 2016/680, teniendo en cuenta el hecho de que cuando una determinada conducta esté prohibida por el Derecho penal de un Estado miembro, ello implica en sí mismo que la infracción reviste un cierto grado de gravedad. Además, la finalidad del SIA debe seguir estando limitada a la contribución a la prevención, investigación, detección o enjuiciamiento de infracciones penales previstas por las leyes nacionales, tal como se definen en la Decisión 2009/917/JAI, es decir, las leyes nacionales respecto de las cuales las administraciones aduaneras de los Estados miembros sean competentes y que, por tanto, son especialmente pertinentes en el contexto aduanero. Por consiguiente, si bien la tipificación como infracción penal es un requisito necesario, no todas las infracciones penales con arreglo a las leyes nacionales entran en el ámbito de aplicación de la Decisión 2009/917/JAI. Sí entran en dicho ámbito, por ejemplo, las infracciones penales de tráfico ilícito de drogas, tráfico ilícito de armas y blanqueo de capitales. Además, no debe interpretarse que la sustitución del término «infracciones graves» por el término «infracciones penales» afecte a los requisitos específicos establecidos en la Decisión 2009/917/JAI en relación con la elaboración y la transmisión por cada Estado miembro de una lista de infracciones penales tipificadas en sus leyes nacionales que cumplan determinadas condiciones a efectos del fichero de identificación de los expedientes de investigaciones aduaneras.

(5) Cuando traten datos personales en virtud de la Decisión 2009/917/JAI, y sin perjuicio de las normas específicas contenidas en dicha Decisión, los Estados miembros están sujetos a sus disposiciones nacionales adoptadas de conformidad con la Directiva (UE) 2016/680, la Comisión está sujeta a las normas establecidas en el Reglamento (UE) 2018/1725, Europol está sujeta a las normas establecidas en el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (5) y Eurojust está sujeta a las normas establecidas en el Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo (6). Esos actos regulan, entre otras cuestiones, las obligaciones y responsabilidades de los responsables del tratamiento, los corresponsables del tratamiento y los encargados del tratamiento, así como las relaciones entre ellos en materia de protección de datos personales. Las autoridades de control nacionales responsables de supervisar y garantizar la aplicación de la Directiva (UE) 2016/680 en cada Estado miembro deben ser competentes para supervisar y garantizar la aplicación por parte de las autoridades competentes de cada Estado miembro de las disposiciones relativas a la protección de los datos personales establecidas en la Decisión 2009/917/JAI. El Supervisor Europeo de Protección de Datos debe ser responsable de supervisar y garantizar la aplicación por parte de la Comisión, Europol y Eurojust de las disposiciones relativas a la protección de datos personales establecidas en la Decisión 2009/917/JAI.

(6) A fin de garantizar una conservación óptima de los datos en el SIA y de reducir al mismo tiempo la carga administrativa de las autoridades competentes, y en línea con el Reglamento (CE) nº 515/97 del Consejo (7), debe simplificarse el procedimiento que rige la conservación de los datos personales en el SIA mediante la eliminación de la obligación de revisar anualmente la necesidad de conservar datos personales y mediante el establecimiento de un período máximo de conservación de cinco años que puede ser prolongado por un período adicional de dos años, siempre y cuando dicha prolongación esté justificada. Dicho período de conservación es necesario y proporcionado habida cuenta de la duración habitual de los procesos penales y de la necesidad de disponer de los datos para llevar a cabo operaciones aduaneras conjuntas e investigaciones.

(7) El tratamiento de datos personales en virtud de la Decisión 2009/917/JAI implica el tratamiento, intercambio y utilización ulterior de la información pertinente para los fines establecidos en el artículo 87 del Tratado de Funcionamiento de la Unión Europea (TFUE). En aras de la coherencia y de la protección eficaz de los datos personales, el tratamiento de datos personales en virtud de la Decisión 2009/917/JAI debe cumplir el Derecho de la Unión y nacional relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

(8) De conformidad con el artículo 6 bis del Protocolo nº 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea (TUE) y al TFUE, Irlanda está vinculada por la Decisión 2009/917/JAI y, por lo tanto, participa en la adopción del presente Reglamento.

(9) De conformidad con los artículos 1, 2 y 2 bis del Protocolo nº 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca está vinculada por la Decisión 2009/917/JAI y, por lo tanto, participa en la adopción del presente Reglamento.

(10) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 4 de julio de 2023.

(11) Por lo tanto, procede modificar la Decisión 2009/917/JAI en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1.

La Decisión 2009/917/JAI se modifica como sigue:

1) En el artículo 1, el apartado 2 se sustituye por el texto siguiente: «2. De conformidad con la presente Decisión, la finalidad del Sistema de Información Aduanero será ayudar a las autoridades competentes de los Estados miembros a prevenir, investigar, detectar y perseguir las infracciones penales tipificadas en las leyes nacionales, acelerando la disponibilidad de los datos y aumentando así la eficacia de los procedimientos de cooperación y control de las administraciones aduaneras de los Estados miembros.».

2) El artículo 2 se modifica como sigue:

a) el punto 2 se sustituye por el texto siguiente:

«2) “datos personales”: los datos de carácter personal tal como se definen en el artículo 3, punto 1, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (*);

b) se añade el punto siguiente:

«6) “autoridad de control nacional”: una autoridad de control según la definición del artículo 3, punto 15, de la Directiva (UE) 2016/680.».

3) En el artículo 3, apartado 1, la parte introductoria se sustituye por el texto siguiente:

«El Sistema de Información Aduanero consistirá en un banco central de datos accesible a través de terminales situadas en cada uno de los Estados miembros. El Sistema comprenderá exclusivamente aquellos datos, incluidos los datos personales, que sean necesarios para lograr la finalidad enunciada en el artículo 1, apartado 2, agrupados en las categorías siguientes

4) El artículo 4 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1. Los Estados miembros determinarán los elementos que deban introducirse en el Sistema de Información Aduanero correspondientes a las categorías mencionadas en el artículo 3, apartado 1, en la medida en que sea necesario para lograr la finalidad de dicho sistema. En ningún caso se introducirán datos personales en la categoría contemplada en el artículo 3, apartado 1, letra e).»;

b) el apartado 5 se sustituye por el texto siguiente:

«5. En ningún caso se introducirán en el Sistema de Información Aduanero las categorías especiales de datos personales mencionadas en el artículo 10 de la Directiva (UE) 2016/680.».

5) En el artículo 5, el apartado 2 se sustituye por el texto siguiente:

«2. A efectos de las acciones mencionadas en el apartado 1, solo podrán introducirse en el Sistema de Información Aduanero los datos personales de las categorías mencionadas en el artículo 3, apartado 1, si existen motivos razonables, en particular por la existencia de actividades ilegales previas, para creer que la persona en cuestión ha cometido, está cometiendo o pretende cometer alguna infracción penal tipificada en las leyes nacionales.».

6) El artículo 7 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1. El acceso directo a los datos introducidos en el Sistema de Información Aduanero estará reservado a las autoridades nacionales designadas por cada Estado miembro. Dichas autoridades nacionales serán las administraciones aduaneras, pero podrán serlo también otras autoridades competentes, de conformidad con las disposiciones legales y reglamentarias y los procedimientos del Estado miembro en cuestión, para intervenir a fin de lograr la finalidad enunciada en el artículo 1, apartado 2.»;

b) se suprime el apartado 3.

7) El artículo 8 se modifica como sigue:

a) los apartados 1 y 2 se sustituyen por el texto siguiente:

«1. Las autoridades nacionales designadas por cada Estado miembro de conformidad con el artículo 7, Europol y Eurojust podrán tratar los datos personales obtenidos del Sistema de Información Aduanero para lograr la finalidad enunciada en el artículo 1, apartado 2, de conformidad con el Derecho de la Unión o nacional aplicable a la protección de datos personales, previa autorización de las autoridades nacionales designadas del Estado miembro que haya introducido los datos personales en dicho sistema, y siempre que se cumplan las condiciones impuestas por ellas.

Las autoridades nacionales designadas por cada Estado miembro, Europol y Eurojust podrán tratar los datos no personales obtenidos del Sistema de Información Aduanero para lograr la finalidad enunciada en el artículo 1, apartado 2, o para otros fines, incluidos los administrativos, de conformidad con las condiciones impuestas por las autoridades nacionales designadas del Estado miembro que haya introducido los datos no personales en dicho sistema.

2. Sin perjuicio de lo dispuesto en los apartados 1 y 4 del presente artículo y en los artículos 11 y 12, los datos obtenidos del Sistema de Información Aduanero serán utilizados únicamente por las autoridades nacionales de cada Estado miembro, designadas por el Estado miembro en cuestión, facultadas, de conformidad con las disposiciones legales y reglamentarias y los procedimientos de cada Estado miembro, para actuar con el fin de lograr la finalidad enunciada en el artículo 1, apartado 2.»;

b) el apartado 4 se sustituye por el texto siguiente:

«4. Los datos personales obtenidos del Sistema de Información Aduanero podrán, previa autorización de las autoridades nacionales designadas del Estado miembro que los haya introducido en dicho sistema y siempre que se cumplan las condiciones que estas hayan impuesto:

a) ser transmitidos a autoridades nacionales distintas de las designadas con arreglo a lo dispuesto en el apartado 2 y tratados posteriormente por ellas, de conformidad con el Derecho de la Unión o nacional aplicable en materia de protección de datos personales, o

b) ser transferidos a las autoridades competentes de terceros países y a organizaciones internacionales o regionales y tratados posteriormente por ellas, de conformidad con el Derecho de la Unión o nacional aplicable en materia de protección de datos personales.

Los datos no personales obtenidos del Sistema de Información Aduanero podrán ser transferidos a y tratados posteriormente por autoridades nacionales distintas de las designadas con arreglo a lo dispuesto en el apartado 2, terceros países y organizaciones internacionales o regionales, de conformidad con las condiciones impuestas por las autoridades nacionales designadas del Estado miembro que haya introducido los datos no personales en dicho sistema.».

8) En el artículo 13, el apartado 5 se sustituye por el texto siguiente:

«5. De acuerdo con la presente Decisión, si en un Estado miembro un órgano jurisdiccional o cualquier otra autoridad competente de ese Estado miembro adopta una resolución definitiva de modificar, completar, rectificar o borrar datos del Sistema de Información Aduanero, los Estados miembros se comprometen mutuamente a ejecutar esa resolución. En caso de conflicto entre tales resoluciones de los órganos jurisdiccionales o de otras autoridades competentes de distintos Estados miembros —incluidas las autoridades de control nacionales— en relación con la rectificación o el borrado de datos, el Estado miembro que haya introducido los datos en cuestión los borrará de dicho sistema.».

9) El artículo 14 se sustituye por el texto siguiente:

«Artículo 14

Los datos personales introducidos en el Sistema de Información Aduanero únicamente se conservarán durante el tiempo necesario para lograr la finalidad enunciada en el artículo 1, apartado 2, y no podrán conservarse durante más de cinco años. No obstante, excepcionalmente, dichos datos podrán conservarse durante un período adicional de hasta dos años, cuando y en la medida en que sea estrictamente necesario para alcanzar dicha finalidad en un caso concreto.».

10) El artículo 15 se modifica como sigue:

a) el apartado 2 se sustituye por el texto siguiente:

«2. La finalidad del fichero de identificación de los expedientes de investigación aduanera será posibilitar a las autoridades nacionales responsables en materia de investigaciones aduaneras designadas de conformidad con el artículo 7, cuando abran un expediente de investigación o investiguen sobre una o varias personas o empresas, así como Europol y Eurojust, la identificación de las autoridades competentes de otros Estados miembros que estén investigando o hayan investigado sobre las mismas personas o empresas, con objeto de lograr la finalidad enunciada en el artículo 1, apartado 2, gracias a la información relativa a la existencia de expedientes de investigación.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3. A efectos del fichero de identificación de los expedientes de investigación aduanera, cada Estado miembro remitirá a los demás Estados miembros, a Europol, Eurojust y al Comité indicado en el artículo 27 una lista de las infracciones penales tipificadas en sus leyes nacionales.

Dicha lista incluirá únicamente las infracciones penales castigadas:

a) con pena privativa de libertad o medida de seguridad privativa de libertad cuya duración máxima sea de doce meses por lo menos, o bien

b) con multa de al menos 15 000 EUR.».

11) El artículo 20 se sustituye por el texto siguiente:

«Artículo 20

Salvo que se disponga otra cosa en la presente Decisión:

a) las disposiciones nacionales adoptadas con arreglo a lo dispuesto en la Directiva (UE) 2016/680 se aplicarán al tratamiento de datos personales en virtud de la presente Decisión por parte de las autoridades nacionales designadas por cada Estado miembro de conformidad con el artículo 7 de la presente Decisión;

b) el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (**) se aplicará al tratamiento de datos personales en virtud de la presente Decisión por parte de la Comisión;

c) el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (***) se aplicará al tratamiento de datos personales en virtud de la presente Decisión por parte de Europol, y

d) el Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo (****) se aplicará al tratamiento de datos personales en virtud de la presente Decisión por parte de Eurojust.

12) Se suprimen los artículos 22, 23, 24 y 25.

13) El artículo 26 se sustituye por el texto siguiente:

«Artículo 26

1. El Supervisor Europeo de Protección de Datos será responsable de supervisar el tratamiento de datos personales en virtud de la presente Decisión por parte de la Comisión y de asegurarse de que se realice de conformidad con la presente Decisión. Serán aplicables, en consecuencia, las disposiciones sobre funciones y potestades previstas en los artículos 57 y 58 del Reglamento (UE) 2018/1725.

2. Al menos cada cinco años, el Supervisor Europeo de Protección de Datos efectuará una auditoría del tratamiento de datos personales por parte de la Comisión en virtud de la presente Decisión con arreglo a las normas de auditoría internacionales. Se enviará un informe de dicha auditoría al Parlamento Europeo, al Consejo, a la Comisión y a las autoridades de control nacionales.

3. El Supervisor Europeo de Protección de Datos y las autoridades de control nacionales, dentro del ámbito de sus competencias respectivas, cooperarán activamente en el marco de sus responsabilidades para garantizar una supervisión coordinada del funcionamiento del Sistema de Información Aduanero de conformidad con el artículo 62 del Reglamento (UE) 2018/1725.».

14) En el artículo 27, apartado 2, la letra a) se sustituye por el texto siguiente: «a) de la ejecución y correcta aplicación de la presente Decisión, sin perjuicio de las facultades de las autoridades de control nacionales y del Supervisor Europeo de Protección de Datos;».

15) El artículo 28 se modifica como sigue:

a) en el apartado 2, se añaden las letras siguientes:

«i) garantizar que sea posible restablecer los sistemas instalados en caso de interrupción;

j) garantizar que el sistema funcione correctamente, que los fallos del Sistema sean notificados y que los datos personales almacenados no puedan degradarse por un mal funcionamiento del Sistema.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3. El Comité mencionado en el artículo 27 controlará la consulta del Sistema de Información Aduanero con la finalidad de comprobar que las investigaciones efectuadas estaban permitidas y fueron realizadas por usuarios autorizados. Se comprobará como mínimo el 1 % del total de consultas realizadas. Se llevará en el Sistema un registro de dichas consultas y comprobaciones, que únicamente será utilizado para esa finalidad por dicho Comité, por las autoridades de control nacionales y por el Supervisor Europeo de Protección de Datos. Se borrará a los seis meses.».

16) El artículo 29 se sustituye por el texto siguiente:

«Artículo 29

La administración aduanera competente a que se refiere el artículo 10, apartado 1, será responsable de la ejecución de las medidas de seguridad establecidas en el artículo 28 en lo que respecta a los terminales situados en el territorio del Estado miembro de que se trate, de las funciones de examen mencionadas en los artículos 14 y 19 y, en general, de la correcta aplicación de la presente Decisión, en la medida necesaria con arreglo a las disposiciones legales y reglamentarias y a los procedimientos de dicho Estado miembro.».

17) En el artículo 30, el apartado 1 queda suprimido.

Artículo 2

A más tardar el 9 de octubre de 2025, y sin perjuicio de la aplicación del presente Reglamento, los datos personales introducidos en el Sistema de Información Aduanero antes del 8 de abril de 2024 serán revisados por los Estados miembros que los introdujeron y, en caso necesario, actualizados o borrados para garantizar que su tratamiento se ajusta a la Decisión 2009/917/JAI en su versión modificada por el presente Reglamento.

Artículo 3

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.

Hecho en Estrasburgo, el 13 de marzo de 2024.

Por el Parlamento Europeo

La Presidenta R. METSOLA

Por el Consejo La Presidenta H. LAHBIB

(1) Posición del Parlamento Europeo de 6 de febrero de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 26 de febrero de 2024.

(2) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(3) Decisión 2009/917/JAI del Consejo, de 30 de noviembre de 2009, sobre la utilización de la tecnología de la información a efectos aduaneros (DO L 323 de 10.12.2009, p. 20).

(4) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(5) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(6) Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo, (DO L 295 de 21.11.2018, p. 138).

(7) Reglamento (CE) nº 515/97 del Consejo, de 13 de marzo de 1997, relativo a la asistencia mutua entre las autoridades administrativas de los Estados miembros y a la colaboración entre estas y la Comisión con objeto de asegurar la correcta aplicación de las reglamentaciones aduanera y agraria (DO L 82 de 22.3.1997, p. 1).

(*) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).»;

(**) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(***) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(****) Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (DO L 295 de 21.11.2018, p. 138).»

06Feb/22

O Digital Services Act (1ª. Parte). A proposta legislativa europeia mantém a imunidade legal dos provedores de serviços na Internet

Download the PDF file .

15May/21

Comunicación de la Comisión Europea de 4 de noviembre de 2010

Comunicación de la Comisión Europea «Un enfoque global de la protección de los datos personales en la Unión Europea», de 4 de noviembre de 2010.

El Parlamento Europeo,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16,

Vistos la Carta de los Derechos Fundamentales de la Unión Europea, en particular sus artículos 7 y 8, y el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales (CEDH), en particular su artículo 8, relativo al respeto de la vida privada y familiar, y su artículo 13 sobre el derecho a un recurso efectivo,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Vista la Decisión marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (2),

Visto el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo de 18 de diciembre de 2000 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (3),

Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (4),

Vistos el Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal que desarrolla la Directiva 95/46/CE y su Protocolo adicional, de 8 de noviembre de 2001, relativo a las autoridades de control y los tránsitos transfronterizos de datos, así como las recomendaciones del Comité de Ministros a los Estados miembros, en particular la Recomendación nº R (87) 15 dirigida a regular la utilización de datos de carácter personal en el sector de la policía y la Recomendación CM/Rec. (2010) 13 sobre la protección de individuos con respecto al procesamiento de datos personales en el contexto de perfiles,

Vistos los Principios rectores para la reglamentación de los ficheros computadorizados de datos personales dictados por la Asamblea General de la ONU en 1990,

Vista la Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones titulada «Un enfoque global de la protección de los datos personales en la Unión Europea» (COM(2010)0609),

Vistas las conclusiones del Consejo relativas a la comunicación de la Comisión titulada «Un enfoque global de la protección de los datos personales en la Unión Europea» (5),

Visto el dictamen del Supervisor Europeo de Protección de Datos de 14 de enero de 2011, relativo a la comunicación de la Comisión titulada «Un enfoque global de la protección de los datos personales en la Unión Europea»,

Vista la contribución conjunta del Grupo de trabajo sobre protección de datos del artículo 29 y del Grupo «Policía y Justicia» a la consulta de la Comisión Europea sobre el marco jurídico para el derecho fundamental de protección de datos personales, titulada «El futuro de la vida privada» (6),

Vista la opinión 8/10 del Grupo de trabajo sobre protección de datos del artículo 29, relativa a la legislación aplicable (7),

Vistas sus anteriores resoluciones sobre la protección de datos y su resolución sobre el Programa de Estocolmo (8),

Visto el artículo 48 de su Reglamento,

Vistos el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y las opiniones de la Comisión de Industria, Investigación y Energía, de la Comisión de Mercado Interior y Protección del Consumidor, de la Comisión de Cultura y Educación y de la Comisión de Asuntos Jurídicos (A7-0244/2011),

A.  Considerando que la Directiva 95/46/CE sobre la protección de los datos y la Directiva 2009/140/CE sobre el paquete de telecomunicaciones de la UE posibilitan la libre circulación de los datos personales dentro del mercado interior,

B.   Considerando que la legislación sobre protección de datos en la UE, en los Estados miembros y en otros países ha desarrollado una tradición jurídica que es preciso conservar y seguir perfeccionado,

C.  Considerando que el principio fundamental de la Directiva 1995/46/CE sobre protección de datos sigue siendo válido, pero que se han constatado diferentes enfoques en los diferentes Estados miembros en la forma de aplicarlo y de cumplirlo; considerando que la UE debe dotarse – tras una exhaustiva evaluación del impacto – de un marco global, coherente, moderno y de alto nivel capaz de proteger los datos personales de los individuos dentro y fuera de la UE en todas circunstancias, con el fin de responder a los numerosos desafíos que supone la protección de datos, como los causados por la globalización, el desarrollo tecnológico y la preocupación por la seguridad (es decir, la lucha contra el terrorismo); considerando que un marco de protección de datos como este contribuye a aumentar la seguridad jurídica, limitar al máximo la carga administrativa, ofrecer unas condiciones equitativas para los operadores económicos, impulsar el mercado interior digital y suscitar la confianza de las personas en el comportamiento de los responsables del tratamiento de datos y las autoridades ejecutivas,

D.  Considerando que las violaciones de las disposiciones sobre protección de datos pueden traducirse en graves riesgos para los derechos fundamentales de las personas y para los valores de los Estados miembros, de modo que la Unión y los Estados miembros deben adoptar medidas eficaces contra ese tipo de infracciones; considerando que esas violaciones conducen a una falta de confianza por parte de los ciudadanos que debilitará la oportuna utilización de las nuevas tecnologías, y que el mal uso y el abuso de datos personales debe ser punible mediante oportunas sanciones graves y disuasorias, incluidas sanciones penales,

E.   Considerando que hay que tener en cuenta otros derechos fundamentales importantes, consagrados en la Carta, y otros objetivos recogidos en los Tratados, como el derecho a la libertad de expresión y de información y el principio de transparencia al tiempo que se garantiza el derecho fundamental a la protección de los datos personales,

F.   Considerando que el nuevo fundamento jurídico establecido en el artículo 16 del TFUE y el reconocimiento en el artículo 8 de la Carta de los Derechos Fundamentales del derecho a la protección de datos personales y, en el artículo 7 del mismo, el derecho de la vida privada y familiar como un derecho autónomo exigen y justifican plenamente un enfoque global de la protección de datos en todos los ámbitos en los que se procesan datos personales, incluido el ámbito de la cooperación policial y judicial en materia penal, el ámbito de la Política Exterior y de Seguridad Común (PESC) sin perjuicio de las normas específicas establecidas en el artículo 39 del TUE, y el ámbito del procesamiento de datos por instituciones y órganos de la UE,

G.  Considerando que es de suma importancia que se tenga en cuenta una serie de elementos clave a la hora de examinar soluciones legislativas, consistentes en una protección eficaz y efectiva, prestada en todas circunstancias e independientemente de las preferencias políticas dentro de un plazo determinado; considerando que el marco debe ser estable durante un largo periodo y que las limitaciones en el ejercicio del derecho, en caso necesario, deben ser excepcionales, de conformidad con la legislación, estrictamente necesarias y proporcionadas, estar debidamente justificadas y no afectar nunca a los elementos esenciales del propio derecho (9),

H.  Considerando que la recopilación, el análisis, el intercambio y el uso indebido de datos y el riesgo de realización de perfiles, potenciados por el desarrollo tecnológico, han alcanzado dimensiones sin precedentes, por lo que son necesarias normas estrictas de protección de datos, como la ley aplicable y la definición de las responsabilidades de todas las partes interesadas en términos de aplicación de la legislación de la UE en materia de protección de datos; considerando la creciente utilización de tarjetas de fidelidad (por ejemplo, tarjetas de club, tarjetas de descuento o tarjetas con ventajas) por las empresas y el comercio, y que son, o pueden ser, utilizadas para crear perfiles de clientes,

I.    Considerando que los ciudadanos no compran en línea con la misma seguridad que lo hacen fuera de línea debido a temores sobre el robo de identidad y a la falta de transparencia en cuanto a cómo se procesa y se utiliza su información personal,

J.    Considerando que la tecnología está permitiendo cada vez más crear, enviar, procesar y almacenar datos en cualquier lugar y momento de formas muy diferentes, y que, en este contexto, es fundamental que las personas a las que se refieren los datos tengan un control efectivo sobre sus propios datos,

K.  Considerando que los derechos fundamentales a la protección de datos y a la vida privada incluyen la protección de las personas contra la posible vigilancia e intromisión en sus datos por el propio Estado, así como por entidades privadas,

L.   Considerando que es posible que exista privacidad y seguridad y que ambas son de importancia fundamental para los ciudadanos, lo que significa que no existe necesidad de optar entre ser libre o estar seguro,

M.  Considerando que los niños merecen una protección específica, ya que pueden ser menos conscientes de los riesgos, las consecuencias, las garantías y los derechos en relación con el procesamiento de datos personales; considerando que los jóvenes divulgan datos personales en las redes sociales que se están extendiendo rápidamente por Internet,

N.  Considerando que un control eficaz por parte de las personas a las que se refieren los datos y de las autoridades nacionales de protección de datos exige un comportamiento transparente por parte de los responsables del tratamiento de datos,

O.  Considerando que no todos los responsables del tratamiento de datos son empresas en línea y que, por tanto, las nuevas normas para la protección de datos tienen que cubrir tanto el entorno en línea como el entorno fuera de línea, al tiempo que contemplan las posibles diferencias entre ambos,

P.   Considerando que las autoridades nacionales de protección de datos están sujetas a normas que difieren notablemente en los 27 Estados miembros, sobre todo en lo referente a la condición estatutaria, los recursos y los poderes,

Q.  Considerando que un sistema de protección de datos europeo e internacional sólido constituye el fundamento necesario para el flujo transfronterizo de datos personales, y que las actuales diferencias en la legislación en materia de protección de datos y su aplicación afectan a la protección de los derechos fundamentales y las libertades civiles, a la seguridad y la claridad jurídicas en las relaciones contractuales, al desarrollo del comercio electrónico y a las transacciones electrónicas, a la confianza del consumidor en el sistema, a las transacciones transfronterizas, a la economía global y al mercado único europeo; considerando en este contexto que el intercambio de datos es importante para permitir y garantizar la seguridad pública, a nivel nacional e internacional; considerando que la necesidad, la proporcionalidad, la limitación de fines, la vigilancia y la idoneidad son condiciones previas para el intercambio,

R.   Considerando que las actuales normas y condiciones que rigen la transferencia de datos de la UE hacia terceros países han conducido a diferentes enfoques y prácticas en los diferentes Estados miembros; considerando que es imperativo que se respeten plenamente los derechos de las personas a las que se refieren los datos en los terceros países en los que se transfieren y tramitan los datos personales,

Pleno compromiso con un enfoque global

1.   Acoge con gran satisfacción y apoya la comunicación de la Comisión titulada «Un enfoque global de la protección de los datos personales en la Unión Europea» así como la atención especial que presta al fortalecimiento de las disposiciones vigentes, presentando nuevos principios y mecanismos y asegurando normas coherentes y elevadas en materia de protección de datos en la nueva configuración que ofrece la entrada en vigor del Tratado de Lisboa (artículo 16 del TFUE) y la Carta de los Derechos Fundamentales, que ha adquirido carácter vinculante, en especial su artículo 8;

2.   Subraya que las normas y los principios que establece la Directiva 95/46/CE representan un punto de partida ideal y deberán detallarse, ampliarse y observarse como parte de una legislación moderna en materia de protección de datos;

3.   Subraya la importancia del artículo 9 de la Directiva 95/46/CE que obliga a los Estados miembros a establecer exenciones respecto de las disposiciones sobre protección de datos cuando los datos personales se utilicen exclusivamente para fines periodísticos o de expresión artística o literaria; en ese contexto, pide a la Comisión que garantice que se mantengan esas excepciones y que se haga todo lo posible por evaluar la necesidad de desarrollar dichas excepciones teniendo en cuenta cualquier nueva disposición con el fin de proteger la libertad de prensa;

4.   Subraya que el planteamiento tecnológicamente neutro de la Directiva 95/46/CE debe conservarse como principio para un nuevo marco;

5.   Reconoce que los desarrollos tecnológicos han creado, de una parte, nuevas amenazas para la protección de los datos personales y, de otra, han dado lugar asimismo a un enorme incremento del uso de tecnologías de la información para fines cotidianos y normalmente inofensivos, y que dichos desarrollos significan que es necesaria una evaluación a fondo de las actuales normas sobre protección de datos para garantizar que

i) las normas aún deparan un elevado nivel de protección,

ii) las normas aún aseguran un equilibrio justo entre el derecho a la protección de los datos personales y el derecho a la libertad de expresión y de información, y

iii) las normas no impiden necesariamente el procesamiento cotidiano de datos personales que normalmente es inofensivo;

6.   Considera imperativo ampliar la aplicación de las normas generales de protección de datos a los ámbitos de la cooperación policial y judicial, incluso en el contexto del procesamiento de datos a nivel nacional, teniendo especialmente en cuenta la cuestionable tendencia a una reutilización sistemática de datos personales del sector privado para fines de aplicación de la ley, permitiendo al mismo tiempo, si fuera estrictamente necesario y proporcionado en una sociedad democrática, limitaciones perfectamente ajustadas y armonizadas de determinados derechos de protección de datos de las personas;

7.   Subraya la necesidad de que el procesamiento de datos personales por las instituciones y organismos de la Unión Europea, que está regido por el Reglamento (CE) nº 45/2001, se encuentre incluido dentro del alcance del nuevo marco;

8.   Reconoce que pueden ser necesarias medidas reforzadas adicionales para especificar de qué manera los principios generales establecidos por el marco global son aplicables a las actividades de sectores específicos y al tratamiento de datos, como ya ha ocurrido con la Directiva sobre la privacidad y las comunicaciones electrónicas, pero insiste en que las normas específicas de un sector no deben, en ninguna circunstancia, rebajar el nivel de protección asegurado por la legislación marco, sino que deben definir estrictamente las derogaciones excepcionales, necesarias, legítimas y perfectamente ajustadas a los principios de protección de datos;

9.   Pide a la Comisión que asegure que la actual revisión de la legislación de la UE en materia de protección de datos prevé:

  • la plena armonización al más elevado nivel que proporcione certidumbre jurídica y un nivel elevado y uniforme de protección de los ciudadanos en toda circunstancia,
  • una explicación más detallada de las normas sobre la ley aplicable con vistas a proporcionar un grado uniforme de protección para los ciudadanos sea cual sea la localización geográfica del responsable del tratamiento de los datos, que abarque también la aplicación de la protección de datos por las autoridades o en los tribunales;

10. Opina que el régimen de protección de datos revisado, a la vez que aplica plenamente los derechos de vida privada y de protección de datos, debe reducir al máximo las cargas burocrática y financiera y ofrecer instrumentos que permitan a las agrupaciones empresariales, concebidas como una unidad, actuar de manera unitaria y no como una multitud de empresas individuales; anima a la Comisión a realizar estudios de impacto y evaluar con detenimiento los costes de nuevas medidas;

Reforzar los derechos de las personas

11. Pide a la Comisión que refuerce los principios y los elementos existentes como la transparencia, la minimización de datos y la limitación de la finalidad, el consentimiento informado, previo y explícito, la notificación sobre infracciones de datos y los derechos de los interesados, como establece la Directiva 95/46/CE, mejorando su implantación en los Estados miembros, sobre todo en lo que respecta al «entorno en línea»;

12. Subraya el hecho de que el consentimiento solo se considerará válido si es inequívoco, informado, dado libremente, específico y explícito, y que se deben aplicar mecanismos adecuados para registrar el consentimiento de los usuarios o su revocación;

13. Señala el hecho de que el consentimiento voluntario no puede darse por supuesto en el ámbito de los contratos laborales;

14. Manifiesta su preocupación por las derivas asociadas a la publicidad comportamental en línea y recuerda que la Directiva sobre la privacidad y las comunicaciones electrónicas estipula la necesidad de un consentimiento explícito y previo de la persona afectada para el envío de «cookies» y el posterior seguimiento de su comportamiento de navegación para dirigirle anuncios personalizados;

15. Apoya plenamente la introducción de un principio de transparencia general, así como el uso de tecnologías que incrementan la transparencia y el desarrollo de notificaciones estándar de privacidad y permiten a las personas ejercer un control sobre sus propios datos; subraya que la información sobre el tratamiento de datos debe facilitarse en un lenguaje claro y sencillo y de una manera que sea fácil de entender y de fácil acceso;

16. Subraya además la importancia de mejorar los medios para ejercer los derechos de acceso, rectificación, supresión y bloqueo de datos, así como el conocimiento de los mismos, de aclarar en detalle y codificar el derecho a ser olvidado (10) y de permitir la portabilidad de datos (11), al tiempo que se asegura el desarrollo y la implantación de la plena viabilidad técnica y organizativa para permitir el ejercicio de tales derechos; subraya que las personas necesitan suficiente control de sus datos en línea que les permita ejercer un uso responsable de Internet;

17. Subraya que los ciudadanos deben poder ejercer gratuitamente sus derechos relativos a los datos personales; pide a las empresas que se abstengan de cualquier intento de añadir barreras innecesarias al derecho a acceder, modificar o suprimir datos personales; subraya que la persona a la que se refieren los datos tiene que encontrarse en posición de saber en todo momento qué datos han sido almacenados por quién, cuándo, para qué fin, durante qué período de tiempo y cómo se están procesando; hace hincapié en que las personas a las que se refieren los datos tienen que poder suprimir, corregir o bloquear los datos sin trámite burocrático alguno, y en que deben estar informadas de cualquier uso indebido de los datas o su violación; solicita, asimismo, que los datos se comuniquen a instancias de la persona interesada, y que se supriman, como muy tarde, cuando la persona lo solicite; subraya la necesidad de comunicar claramente a las personas a las que se refieren los datos el grado de protección de dichos datos en los terceros países; destaca que el derecho al acceso incluye no sólo el pleno acceso a los datos procesados sobre uno mismo, incluido su origen y destinatarios, sino también la información inteligible sobre la lógica aplicada en cualquier procesamiento automático; subraya que esto último adquirirá una mayor importancia con la realización de perfiles y la extracción de datos;

18. Indica que la creación de perfiles es una de las tendencia principales en el mundo digital, debido a la importancia que están cobrando las redes sociales y los modelos integrados de empresa de Internet; pide a la Comisión, por consiguiente, que incluya disposiciones sobre la creación de perfiles definiendo al mismo tiempo de forma clara los términos «perfil» y «creación de perfiles»;

19. Reitera la necesidad de aumentar las obligaciones de los responsables del tratamiento de datos respecto de la información de las personas a la que se refieren los datos y acoge con satisfacción la atención prestada por la comunicación a las actividades de sensibilización dirigidas al público general y más específicamente a los jóvenes; subraya la necesidad de tratar de un modo específico a las personas vulnerables y, en particular, a los niños y las personas de edad avanzada; anima a los diferentes actores a que emprendan esas actividades de sensibilización, y apoya la propuesta de la Comisión de cofinanciar las medidas de sensibilización sobre la protección de datos con cargo al presupuesto de la UE; pide una divulgación eficiente a escala de cada Estado miembro de la información sobre los derechos y las obligaciones de las personas físicas y jurídicas en lo relativo a la recopilación, procesamiento, almacenaje y envío de datos personales;

20. Recuerda la necesidad de proteger específicamente a las personas vulnerables y, en particular, a los niños, en particular imponiendo por defecto un alto nivel de protección de los datos y adoptando medidas adecuadas y específicas para proteger sus datos personales;

21. Subraya la importancia de la legislación en materia de protección de datos reconociendo la necesidad de proteger específicamente a niños y menores, entre otras cosas, teniendo en cuenta el mayor acceso de los niños a Internet y a contenidos digitales, y destaca que la alfabetización audiovisual debe convertirse en parte de la educación formal con vistas a instruir a los niños y a los menores sobre la forma de actuar responsablemente en el entorno en línea; a tal efecto, es necesario prestar particular atención a las disposiciones relativas a la recogida y ulterior procesamiento de los datos de los niños, al fortalecimiento de los fines de limitación en relación con los datos de los niños y a cómo se busca el consentimiento de los niños, así como a las disposiciones relativas a la protección contra la publicidad basada en el comportamiento (12);

22. Se muestra a favor de una mayor aclaración y un refuerzo de garantías respecto del procesamiento de datos sensibles y pide que se reflexione sobre la necesidad de manejar nuevas categorías, como los datos genéticos y biométricos, especialmente en el contexto de la evolución tecnológica (por ejemplo, la computación en nube) y social;

23. Subraya que los datos personales referentes a la situación profesional del usuario facilitados a su empleador no deben publicarse ni transmitirse a terceros sin el consentimiento previo del interesado;

Seguir avanzando en la dimensión del mercado interior y garantizar una mejor aplicación de las normas de protección de datos

24. Toma nota de que la protección de datos debería desempeñar un papel aún más importante en el mercado interior, y subraya que la protección eficaz del derecho a la intimidad es esencial para lograr la confianza de las personas, que es lo que se necesita para desbloquear el pleno potencial de crecimiento del mercado único digital; recuerda a la Comisión que unos principios y unas normas comunes tanto para los bienes como para los servicios son condiciones previas para un mercado único digital, puesto que los servicios constituyen una parte importante del mercado digital;

25. Reitera su petición a la Comisión de que clarifique los criterios relativos a la legislación vigente en materia de protección de datos personales;

26. Considera esencial reforzar las obligaciones de los responsables del tratamiento de datos para garantizar el cumplimiento de la legislación sobre protección de datos contando, entre otros, con mecanismos y procedimientos proactivos, y acoge con satisfacción las otras orientaciones propuestas en la comunicación de la Comisión;

27. Recuerda que en este contexto es preciso prestar especial atención a los responsables del tratamiento de datos que están sujetos a obligaciones de confidencialidad profesional y que, para ellos, se debe considerar la posibilidad de crear estructuras especiales para la supervisión de la protección de datos;

28. Acoge con satisfacción y respalda la consideración de la Comisión de introducir un principio de responsabilidad, ya que tiene una importancia fundamental para garantizar que los responsables del tratamiento de datos actúen de acuerdo con su responsabilidad; al mismo tiempo, pide a la Comisión que examine con detenimiento cómo se puede aplicar en la práctica dicho principio y que analice las consecuencias del mismo;

29. Acoge con satisfacción la posibilidad de hacer obligatoria la designación de los responsables de la protección de datos, ya que la experiencia de los Estados miembros que ya han nombrado a un responsable muestra que este concepto está dando resultados positivos; destaca, no obstante, que esto deberá examinarse minuciosamente en lo que respecta a las pequeñas empresas y las microempresas con vistas a evitar imponerles costes o cargas excesivas;

30. Se felicita igualmente en este contexto de los esfuerzos que se están realizando para simplificar y armonizar el actual sistema de notificación;

31. Considera fundamental que se hagan obligatorios los estudios de impacto sobre la privacidad a fin de identificar riesgos para la intimidad, prever problemas y aportar soluciones proactivas;

32. Considera de máxima importancia que se puedan ejercer los derechos de las personas a que se refieren los datos; indica que se podrían introducir acciones colectivas como una herramienta para que las personas puedan defender de forma colectiva sus derechos relativos a los datos personales y solicitar compensación por los daños resultantes de una violación de los mismos; señala, no obstante, que una introducción así debe estar sujeta a límites a fin de evitar abusos; pide a la Comisión que clarifique la relación entre la presente comunicación sobre protección de datos y la actual consulta pública sobre el recurso colectivo; pide, por consiguiente, un mecanismo de reparación colectiva para las infracciones de las normas sobre protección de datos a fin de permitir que las personas a que se refieren los datos sean indemnizadas por los daños sufridos,

33. Pone de relieve la necesidad de una aplicación correcta y armonizada en toda la UE; pide a la Comisión que en su propuesta legislativa contemple sanciones severas y disuasorias, incluidas las penales, por el mal uso o abuso de datos personales;

34. Anima a la Comisión a introducir un sistema de notificaciones generales obligatorias sobre infracción de datos personales, haciéndolo extensivo a sectores distintos del de las telecomunicaciones, asegurando al mismo tiempo que

a) no se convierta en una alerta rutinaria para todos los tipos de infracciones, sino sobre todo para aquellas que puedan afectar negativamente al individuo, y

b) que todas las infracciones sin excepción queden registradas y a disposición de las autoridades de protección de datos u otras competentes para su inspección y evaluación, asegurando de este modo unas condiciones equitativas y una protección uniforme a todos los ciudadanos;

35. Ve en los conceptos de «privacidad por diseño» y «privacidad por defecto» un fortalecimiento de la protección de datos, y apoya el examen de las diferentes posibilidades para su aplicación concreta, reconociendo igualmente la necesidad de promover el uso de tecnologías de protección de la intimidad; destaca la necesidad de que cualquier aplicación de la «privacidad por diseño» se base en definiciones y criterios sólidos y concretos, a fin de proteger el derecho de las personas a la privacidad y la protección de datos, y garantizar la seguridad jurídica, la transparencia, unas condiciones de competencias equitativas y la libre circulación; opina que la «privacidad por diseño» debe basarse en el principio de la minimización de datos, lo que significa que todos los productos, servicios y sistemas deben realizarse de tal modo que solo se recopilen, utilicen y transmitan los datos personales indispensables para su funcionamiento;

36. Indica que el desarrollo y el creciente uso de la computación en nube plantea nuevos desafíos en términos de intimidad y de protección de los datos personales; pide, por tanto, una clarificación de las capacidades de los responsables del tratamiento de datos, de los procesadores de datos y de los servidores de acogida para asignar mejor las responsabilidades jurídicas correspondientes y para que los interesados sepan dónde se almacenan sus datos, quién tiene acceso a sus datos, quién decide el uso que se dará a los datos de carácter personal, y qué tipo de procesos de copia de seguridad y de recuperación existen;

37. Pide, por lo tanto, a la Comisión que, en el marco de la revisión de la Directiva 95/46/CE, tenga debidamente en cuenta las cuestiones relativas a la protección de los datos relacionados con la computación en nube, al mismo tiempo que se garantiza que las normas relativas a la protección de datos se aplican a todas las partes, incluidos los operadores de telecomunicaciones y los operadores no relacionados con las telecomunicaciones;

38. Pide a la Comisión que asegure que todos los operadores de Internet asumen sus responsabilidades con respecto a la protección de datos, e insta a las agencias publicitarias y a los editores a que informen claramente a los internautas, antes de recopilar cualquier dato sobre ellos;

39. Celebra el acuerdo recientemente firmado sobre un marco para la evaluación del impacto de la protección de datos y de la privacidad para las aplicaciones de identificación por radiofrecuencia (RFID), que pretende garantizar la intimidad de los consumidores antes de que se introduzcan en el mercado las etiquetas RFID;

40. Respalda los esfuerzos encaminados a seguir avanzando en las iniciativas de autorregulación – como los códigos de conducta – y la reflexión sobre la creación de sistemas voluntarios de certificación de la UE, como pasos complementarios a las medidas legislativas, al tiempo que se mantiene que el sistema de protección de datos esté basado en una legislación que fije garantías de alto nivel; pide a la Comisión que lleve a cabo una evaluación de impacto de las iniciativas de autorregulación en tanto que instrumentos para una mejor aplicación de las normas en materia de protección de los datos;

41. Opina que cualquier sistema de certificación o de distintivo debe garantizar su integridad y fiabilidad, ser neutro desde el punto de vista tecnológico, capaz de obtener un reconocimiento a nivel mundial, y tener un coste asequible a fin de no crear barreras de acceso;

42. Se manifiesta a favor de seguir clarificando, fortaleciendo y armonizando el estatuto y las competencias de las autoridades nacionales de protección de datos, y de explorar diferentes vías para asegurar una aplicación más coherente de las normas de la UE en materia de protección de datos en todo el mercado interior; hace hincapié, además, en la importancia de asegurar la coherencia entre las competencias del SEPD, las autoridades nacionales en materia de protección de datos y el Grupo de Trabajo del artículo 29;

43. Subraya, en este contexto, que la función y los poderes del Grupo de Trabajo del artículo 29 deben ser reforzados a fin de mejorar la coordinación y la cooperación entre las autoridades en materia de protección de datos de los Estados miembros, sobre todo por lo que respecta a la necesidad de garantizar la aplicación uniforme de las normas sobre protección de datos;

44. Pide a la Comisión que, en el nuevo marco jurídico, aclare la noción esencial de independencia de las autoridades nacionales de protección de datos en el sentido de ausencia de cualquier tipo de influencia externa (13); subraya que hay que proporcionar a las autoridades nacionales de protección de datos los recursos necesarios y otorgarles competencias armonizadas para iniciar investigaciones e imponer sanciones;

Fortalecimiento de la dimensión global de la protección de datos

45. Pide a la Comisión que racionalice y refuerce los actuales procedimientos para la transferencia internacional de datos – acuerdos jurídicamente vinculantes y normas corporativas vinculantes – y que defina sobre la base de los principios en materia de protección de los datos personales anteriormente citados los aspectos esenciales ambiciosos de la protección de datos en la UE que deberán incluirse en los acuerdos internacionales; subraya que los acuerdos de la UE con países terceros en materia de intercambio de datos personales deben prever que los ciudadanos europeos gocen del mismo nivel de protección de datos personales que en el interior de la Unión Europea;

46. Opina que el procedimiento de evaluación del carácter adecuado de la Comisión necesitaría una mayor clarificación, una aplicación, ejecución y supervisión más estrictas, y que convendría especificar mejor los criterios y requisitos para la evaluación del nivel de protección de datos en un país tercero o en organizaciones internacionales, tomando en consideración las nuevas amenazas para la intimidad y los datos personales;

47. Pide a la Comisión que evalúe atentamente la eficacia y la correcta aplicación de los principios de puerto seguro;

48. Celebra la posición adoptada por la Comisión sobre la reciprocidad en los niveles de protección por lo que respecta a las personas cuyos datos se exportan a terceros países o se conservan en ellos; pide a la Comisión que adopte medidas firmes para mejorar la cooperación reguladora con terceros países con miras a aclarar las normas aplicables y a la convergencia de la legislación de la UE y de terceros países en materia de protección de datos; pide a la Comisión que conceda prioridad a este respecto en el Consejo Económico Transatlántico, que ha reanudado sus actividades;

49. Respalda los esfuerzos de la Comisión por reforzar la cooperación con los países terceros y las organizaciones internacionales, incluidas las Naciones Unidas, el Consejo de Europa y la OCDE, así como con organismos de normalización como el Comité Europeo de Normalización (CEN), el Organismo Internacional de Normalización (ISO), el World Wide Web Consortium (W3C) y el Grupo Especial sobre Ingeniería de Internet (IETF); alienta el desarrollo de normas internacionales (14), asegurando a la vez que exista coherencia entre las iniciativas para el desarrollo de normas internacionales y las actuales revisiones en la UE, la OCDE y el Consejo de Europa;

50. Encarga a su Presidente que transmita la presente Resolución al Consejo y a la Comisión.

————————————————————————————————————

(1) DO L 281 de 23.11.95, p. 31.

(2) DO L 350 de 30.12.08, p. 60.

(3) DO L 8 de 12.01.01, p. 1.

(4) DO L 201 de 31.7.2002, p. 37.

(5) Sesión nº 3071 del Consejo de Justicia y Asuntos de Interior, celebrada en Bruselas los días 24 y 25 de febrero de 2011, disponible en http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf

(6) 02356/09/EN WP 168.

(7) 0836/10/EN WP 179.

(8) Por ejemplo: Resolución legislativa del Parlamento Europeo, de 23 de septiembre de 2008, sobre el proyecto de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO C 8 E de 14.1.2010, p. 138); Recomendación del Parlamento Europeo destinada al Consejo, de 26 de marzo de 2009, sobre el refuerzo de la seguridad y de las libertades fundamentales en Internet (DO C 117 E de 6.5.2010, p. 206); Resolución del Parlamento Europeo, de 25 de noviembre de 2009 , sobre la Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada «Un espacio de libertad, seguridad y justicia al servicio de los ciudadanos – Programa de Estocolmo» (DO C 285 E, 21.10.2010, p. 12).

(9) Véase el dictamen del SEPD (nº 7) [30].

(10) Debe existir una identificación clara y precisa de todos los elementos clave que sustentan este derecho.

(11) La portabilidad de datos personales facilitará el buen funcionamiento tanto del mercado interior como de Internet y su apertura y conectividad características.

(12) Podría considerarse la posibilidad de establecer una edad límite por debajo de la cual sean necesarios el consentimiento paterno y mecanismos para verificar la edad;

(13) De conformidad con el artículo 16 del TFUE y el artículo 8 de la Carta.

(14) Véase la Declaración de Madrid: Normas de privacidad global en un mundo globalizado, octubre de 2009 y la Resolución sobre Normas Internacionales, adoptada en la 32ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, Jerusalén 27-29 de octubre de 2010.

——————————————————————————————-

 OPINIÓN DE LA COMISIÓN DE INDUSTRIA, INVESTIGACIÓN Y ENERGÍA (11.5.2011)         

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea

(2011/2025(INI))

Ponente: Giles Chichester

SUGERENCIAS

La Comisión de Industria, Investigación y Energía pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.   Subraya que la protección eficaz del derecho a la intimidad es esencial para asegurar la confianza de los consumidores, que es lo que se necesita para desbloquear el pleno potencial de crecimiento del mercado único digital;

2.   Opina que el mercado único digital requiere acuerdos comunes relativos a la protección de la intimidad a escala europea para alentar el comercio transfronterizo y evitar las distorsiones del mercado; subraya que un grado elevado de protección de los datos económicos sensibles (por ejemplo, números de tarjetas de crédito o direcciones) es fundamental en términos de credibilidad y consumo digital;

3.   Recuerda a la Comisión que unos principios y normas comunes tanto para los bienes como para los servicios son condiciones previas para un mercado único digital, puesto que los servicios constituyen una parte importante del mercado digital;

4.   Destaca que la Comisión debe considerar, en relación con cualquier propuesta, todos los aspectos, incluidos las necesidades verificadas, la seguridad jurídica, la reducción de las cargas administrativas, el mantenimiento de la igualdad de condiciones para los operadores y la viabilidad, así como el coste y el valor probable con respecto a la protección de datos;

5.   Reconoce, no obstante, que la Directiva 95/46/CE relativa a la protección de datos ha conducido a un marco jurídico fragmentado debido a los diferentes enfoques de aplicación adoptados en los diferentes Estados miembros, y que los avances de las nuevas tecnologías han conducido a nuevos retos en lo que se refiere a la protección de datos; está de acuerdo, por lo tanto, en que se ha confirmado la necesidad de un nuevo marco jurídico;

6.   Recuerda a la Comisión que hay que examinar cuidadosamente los efectos de la ampliación de las categorías de datos sensibles; sostiene que los criterios más estrictos para tratar datos sensibles no deberían requerir muchas autorizaciones legales nuevas para mantener las aplicaciones informáticas necesarias y deseadas, y que la lista de datos sensibles debe ampliarse únicamente para incluir todos aquellos datos que son sensibles en (casi) todas las situaciones concebibles de procesamiento de datos, como los datos genéticos;

7.   Pide a la Comisión que modifique la Directiva 95/46/CE no solamente para incluir otras categorías de datos (como los datos genéticos) sino también para tener en cuenta la aparición futura de nuevos datos, y que revise en profundidad la Directiva en este ámbito;

8.   Recuerda a la Comisión que no todos los responsables del tratamiento de datos son empresas de Internet; pide a la Comisión que se asegure de que las nuevas normas en materia de protección de datos pueden aplicarse tanto en el entorno en línea como fuera de línea;

9.   Pide a la Comisión que siga regulando la recopilación, la venta y la compra de datos personales incluyendo este aspecto en el ámbito de cualquier norma nueva relativa a la protección de datos; subraya que esos datos no solo se utilizan para el comercio en línea sino también para la venta directa por correo;

10. Invita a la Comisión a que, al tiempo que mantiene un grado elevado de protección de datos, considere detenidamente el impacto sobre las PYME, a fin de asegurar que no están en desventaja debido a cargas administrativas innecesarias o a requisitos de notificación múltiples que impiden sus actividades transfronterizas u otras cargas burocráticas; opina asimismo que el volumen y la naturaleza de los datos procesados deberían tenerse en cuenta independientemente de la dimensión del controlador;

11. Opina que la revisión del marco jurídico debe garantizar la flexibilidad necesaria para que el nuevo marco sea capaz de responder a las necesidades futuras a medida que avanza la tecnología; pide a la Comisión que evalúe toda nueva disposición de conformidad con el principio de proporcionalidad y que se asegure de que no erige ninguna barrera comercial, infringe el derecho a un juicio justo o altera la competencia; destaca que cualquier nuevo principio debe proteger los derechos de las personas a las que se refieren los datos, ser necesario para lograr este propósito y suficientemente claro para garantizar seguridad jurídica y una competencia leal;

12. Indica que la creación de perfiles es una de las tendencia principales en el mundo digital, debido a la importancia que están cobrando las redes sociales y los modelos integrados de empresa de Internet; pide, por consiguiente, a la Comisión que incluya disposiciones sobre la creación de perfiles definiendo al mismo tiempo de forma clara los términos «perfil» y «creación de perfiles»;

13. Recuerda a la Comisión que es necesaria una definición precisa del término «derecho a ser olvidado» que identifique claramente los requisitos pertinentes y especifique a quién se debe aplicar el derecho;

14. Subraya que los ciudadanos deben poder ejercer sus derechos relativos a los datos personales gratuitamente y sin costes postales o de otro tipo; pide a las empresas que se abstengan de cualquier intento de añadir obstáculos innecesarios al derecho a ver, modificar o borrar datos personales;

15. Pide a la Comisión que vele por que los usuarios de las redes sociales puedan obtener una visión completa de los datos archivados referentes a ellos, sin que esto suponga costes ni esfuerzos inaceptables;

16. Pide a la Comisión que facilite una mayor portabilidad de datos en Internet, teniendo en cuenta al mismo tiempo los modelos de empresa de los proveedores de servicios, los sistemas técnicos existentes y los intereses legítimos de las partes interesadas; subraya que los usuarios necesitan suficiente control de sus datos en línea para ejercer un uso soberano y responsable de Internet;

17. Opina que cualquier sistema de certificación o de distintivo se puede basar en un modelo como EMAS y debe, en cualquier caso, garantizar su integridad y fiabilidad; pide que los certificados en esos sistemas lleven códigos de serie individuales visibles por el público y controlables en una base de datos central pública;

18. Pide a la Comisión que fomente el fortalecimiento de las iniciativas de autorregulación, la responsabilidad personal y el derecho a controlar los propios datos, en particular en lo que respecta a Internet;

19. Celebra el acuerdo recientemente firmado sobre un marco para la evaluación del impacto de la protección de datos y de la privacidad para las aplicaciones RFID, que pretende garantizar la intimidad de los consumidores antes de que se introduzcan en el mercado las etiquetas RFID;

20. Anima a todos los organismos implicados a colaborar con vistas a establecer una norma común que permita determinar cuándo se puede considerar que una persona ha dado su consentimiento y alcanzar una edad de consentimiento común para el uso y la transferencia de datos;

21. Acoge con satisfacción el hecho de que la Comisión está considerando la privacidad por diseño, y recomienda que toda aplicación concreta de este principio se base en el modelo de la UE existente del nuevo enfoque y el nuevo marco legislativo relativo a las mercancías, a fin de garantizar la libre circulación de productos y servicios de conformidad con los requisitos relativos a la privacidad armonizada y la protección de datos; destaca en este sentido la necesidad de que cualquier aplicación del mismo se base en definiciones y criterios sólidos y concretos, a fin de garantizar el derecho de los usuarios a la privacidad y la protección de datos, la seguridad jurídica, la transparencia, unas condiciones de competencias equitativas y la libre circulación; opina que la privacidad por diseño debe basarse en el principio de la minimización de datos, lo que significa que todos los productos, servicios y sistemas deben realizarse de tal modo que solo se recopilen, utilicen y transmitan los datos personales indispensables para su funcionamiento;

22. Pone de relieve la necesidad de una aplicación correcta y armonizada en toda la UE; recomienda que la Comisión revise los tipos de sanciones de que disponen las autoridades responsables de la aplicación en caso de infracción probada, teniendo en cuenta la posibilidad de sancionar determinados comportamientos con objeto de evitar futuras infracciones;

23.  Indica que se podrían introducir acciones colectivas como una herramienta para que las personas puedan defender de forma colectiva sus derechos relativos a los datos personales y solicitar compensación por los daños resultantes de una violación de los mismos; señala, no obstante, que una introducción así debe estar sujeta a límites a fin de evitar abusos; pide a la Comisión que clarifique la relación entre la presente comunicación sobre protección de datos y la actual consulta pública sobre el recurso colectivo;

24. Subraya la necesidad de que los Estados miembros concedan mayores competencias al poder judicial y a las autoridades de protección de datos para sancionar a las empresas que infrinjan la protección de datos o que no apliquen la legislación en materia de protección de datos;

25. Pide a la Comisión que clarifique y justifique las normas existentes por lo que respecta a su pertinencia, necesidad, eficiencia, claridad y aplicabilidad, así como a los poderes, la competencia y las medidas de ejecución de las autoridades, con objeto de que en la UE haya un marco de protección de datos único, amplio y armonizado que proporcione un nivel de protección elevado y equivalente independientemente del tipo de procesamiento de datos realizado; pide que la legislación revisada se aplique en toda la UE, así como a escala internacional, de modo que, una vez cubiertos por la legislación de la UE, los datos personales sigan cubiertos por la legislación de la UE, independientemente de toda transferencia de dichos datos o del lugar de establecimiento del responsable del tratamiento o del encargado del tratamiento de los datos, facilitando de este modo las operaciones transfronterizas sin socavar la protección de los datos personales de los individuos;

26. Opina que todas las transferencias de datos personales deben estar sujetas a los requisitos en materia de trazabilidad (por lo que respecta al origen y destino) y que esta información debe facilitarse a la persona en cuestión; subraya que si una persona pide que un responsable del tratamiento modifique datos personales, el propietario de los datos deberá tener la posibilidad de presentar una solicitud al respecto tanto a la fuente original de datos como a cualquier otro responsable del tratamiento con el que se hayan compartido dichos datos;

27. Pide a la Comisión que clarifique la responsabilidad jurídica de los controladores de datos; subraya que debe quedar claro si el responsable es el primero o el último controlador conocido o si están sujetos a una responsabilidad compartida;

28. Insta a la Comisión a que promueva las normas de protección de datos personales de la UE en todos los foros y acuerdos internacionales pertinentes; atrae la atención, en este contexto, sobre su llamamiento a la Comisión para que presente una propuesta destinada a ampliar la aplicación del Reglamento Roma II sobre la legislación aplicable a las obligaciones no contractuales, a fin de incluir las violaciones de la intimidad y de la protección de datos, así como al Consejo para que autorice negociaciones con vistas a celebrar acuerdos internacionales que permitan a las personas en la UE recurrir eficazmente en caso de violaciones de sus derechos a la protección de datos y a la intimidad en virtud del Derecho de la UE;

29. Insiste en que las normas sobre la notificación de las violaciones de seguridad y datos personales establecidas en el marco de telecomunicaciones modificado deben quedar reflejadas en los nuevos instrumentos generales a fin de asegurar unas condiciones de competencia equitativas y una protección uniforme para todos los ciudadanos.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                     9.5.2011

Resultado de la votación final                                    +:            32

                                                                                   –:            0

0:              4

Miembros presentes en la votación final              Ivo Belet, Bendt Bendtsen, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Lena Ek, Ioan Enciu, Adam Gierek, Norbert Glante, Fiona Hall, Romana Jordan Cizelj, Krišjānis Kariņš, Lena Kolarska-Bobińska, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Jaroslav Paška, Herbert Reul, Amalia Sartori, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Niki Tzavela, Marita Ulvskog, Kathleen Van Brempt, Henri Weber

Suplente(s) presente(s) en la votación final         Matthias Groote, Françoise Grossetête, Satu Hassi, Jolanta Emilia Hibner, Yannick Jadot, Oriol Junqueras Vies, Silvana Koch-Mehrin, Vladko Todorov Panayotov, Markus Pieper, Algirdas Saudargas

Suplente(s) (art. 187, apdo. 2)

 presente(s) en la votación final                                Alexandra Thein

OPINIÓN DE LA COMISIÓN DE MERCADO INTERIOR Y PROTECCIÓN DEL CONSUMIDOR (14.4.2011)          

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea (2011/2025(INI))

Ponente de opinión: Matteo Salvini

SUGERENCIAS

La Comisión de Mercado Interior y Protección del Consumidor pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

A.  Considerando que la Directiva 95/46/CE sobre la protección de los datos y la Directiva 2009/140/CE sobre el paquete de telecomunicaciones de la UE posibilitan la libre circulación de los datos personales dentro del mercado interior,

B.   Considerando que se están extendiendo rápidamente por Internet redes sociales de todo tipo y que los jóvenes, en particular, divulgan datos personales en las mismas,

C.  Considerando que, si bien los principios básicos de la Directiva 95/46/CE siguen siendo válidos, la globalización y los rápidos avances tecnológicos han traído consigo nuevos retos en términos de protección de los datos personales como resultado de la creciente utilización de herramientas complejas de tecnología de la información para el procesamiento de los datos y de una mayor actividad en línea, incluido el comercio electrónico, la sanidad electrónica, la administración electrónica, el creciente uso de las redes sociales, el desarrollo de la publicidad basada en el comportamiento en línea o la computación en nube,

D.  Considerando que el creciente intercambio de datos personales, en combinación con nuevos avances tecnológicos, ha generado un aumento de la recopilación, almacenamiento y uso de los datos de carácter personal, y plantean la cuestión de determinar qué ley debe aplicarse y la definición de las responsabilidades de las partes interesadas en cuanto a la aplicación de la legislación de la UE en materia de protección de datos (por ejemplo, una empresa que opere con datos personales de ciudadanos de la UE, cuya sede se encuentre fuera del territorio de la UE y que subcontrate con empresas que también se encuentren fuera del territorio de la UE),

E.   Considerando que la revisión de la Directiva 95/46/CE sobre protección de los datos debería incluir una reforma general del marco de la UE para la protección de los datos que establezca, en particular, unas normas más estrictas en lo que respecta a la recogida de los datos, y que informe, en particular, a la persona por qué, por quién y por cuánto tiempo sus datos serán recogidos y utilizados, tanto en el ámbito en línea como en el entorno fuera de línea,

F.   Considerando que los ciudadanos no compran en línea con la misma seguridad que lo hacen fuera de línea debido a temores sobre el robo de identidad y a la falta de transparencia en cuanto a cómo se procesa y se utiliza su información personal,

G.  Considerando la creciente utilización de tarjetas de fidelidad (por ejemplo, tarjetas de club, tarjetas de descuento o tarjetas con ventajas) por las empresas y en el comercio, y que son, o pueden ser, utilizadas para crear perfiles de clientes,

H.  Considerando que los datos recogidos a través de estas tarjetas de fidelidad se utilizan para crear perfiles de clientes y que se ha creado un mercado para la negociación de estos datos,

1.   Pide que se aclare y refuerce la dimensión de la protección de los datos del mercado interior, tanto en línea como fuera de ella, a través de la plena armonización de la legislación de los Estados miembros, tras una evaluación exhaustiva de impacto y por analogía con la reglamentación marco en materia de telecomunicaciones con arreglo a un nivel muy elevado en materia de protección para aumentar la seguridad jurídica, velar por unos niveles coherentes de protección de la vida privada, reducir los trámites administrativos y los costes, evitar el riesgo de que se busquen foros de conveniencia en las legislaciones de los Estados miembros según su carácter más o menos estricto y asegurar unas condiciones equitativas para todos los agentes económicos y controladores de los datos; considera que ello impulsará el mercado interior digital y reducirá los costes innecesarios para las empresas, especialmente en lo que se refiere a las PYME;

2.   Considera que la aplicación de las normas de la UE en materia de protección de los datos es desigual y se basa en un enfoque fragmentario en todo su territorio, por lo que tienen un efecto adverso sobre los derechos individuales y las libertades fundamentales con respecto a la protección de los datos y la intimidad, la seguridad jurídica y la claridad en las relaciones contractuales, el desarrollo del comercio electrónico y las transacciones electrónicas, la confianza del consumidor en el sistema, las transacciones transfronterizas y el establecimiento de unas condiciones verdaderamente equitativas para las empresas y las PYME en el mercado único;

3.   Indica que la protección de los datos debería desempeñar un papel todavía más importante en el mercado interior;

4.   Pide una rápida revisión del marco legislativo en vigor en la UE en materia de protección de datos, teniendo en cuenta, en particular, la creciente amenaza para los datos personales que representan las nuevas formas de tratamiento de los datos tales como la creación de perfiles o la transferencia no deseada de los datos;

5.   Pide, en particular, que se adapten las normas relativas a la protección de los datos a los principios básicos de la Directiva relativa a la protección de la intimidad en el sector de las comunicaciones electrónicas en todos los ámbitos de la protección de los datos a fin de evitar un enfoque fragmentado;

6.   Hace hincapié en la necesidad de un mercado único que funcione en lo que se refiere a una ejecución coherente, exhaustiva y eficaz de las normas en materia de protección de los datos, habida cuenta de las repercusiones de las nuevas tecnologías sobre los derechos de las personas, la transparencia de los procedimientos y los intereses legítimos de las personas interesadas que garantice, al mismo tiempo, la portabilidad de los datos personales para facilitar el buen funcionamiento tanto del mercado interior como de Internet y su apertura y conectividad características;

7.   Considera que los datos personales y la información distribuida entre los diferentes puntos únicos de contacto y en el marco del sistema de Información del Mercado Interior sólo deben tratarse, utilizarse y recogerse con fines legítimos, y que deben establecerse las salvaguardias necesarias contra los abusos;

8.   Subraya la importancia de actualizar la Directiva en consonancia con la evolución tecnológica mundial;

9.   Considera que, en principio, sólo debe permitirse la creación de perfiles cuando exista una sólida base jurídica al efecto o cuando las personas interesadas den libremente su consentimiento informado, que podrá revocarse en todo momento;

10. Indica que el desarrollo y el creciente uso de la computación en nube plantea nuevos desafíos en términos de intimidad y de protección de los datos personales; pide, por tanto, una clarificación de las capacidades de los controladores de datos, de los procesadores de datos y los servidores de acogida para asignar mejor las responsabilidades jurídicas correspondientes y para que los interesados sepan dónde se almacenan sus datos, quién tiene acceso a sus datos, quién decide el uso que se dará a los datos de carácter personal, y qué tipo de procesos de copia de seguridad y de recuperación existen;

11. Subraya la necesidad de actividades de sensibilización y educativas y de unas estrategias de comunicación específicas en materia de protección de los datos a la intención de los proveedores de servicios, así como de los ciudadanos y consumidores; destaca la necesidad de garantizar que los ciudadanos estén informados adecuadamente sobre sus derechos y obligaciones por lo que respecta a la utilización de sus datos personales, las consecuencias a corto y largo plazo de la transmisión de determinados tipos de datos, las distintas modalidades del consentimiento, la portabilidad de datos, la protección de su intimidad y las herramientas a su disposición para impedir situaciones que violen su intimidad, como el derecho a ser olvidado (es decir, el derecho que tienen las personas a que sus datos personales no se conserven, analicen, procesen o utilicen en ningún modo, así como a que se eliminen, cuando ya no son necesarios para fines previstos desde el punto de vista jurídico), en particular en el contexto en línea;

12. Pide a la Comisión que refuerce, aclare y armonice los criterios sobre el consentimiento libre e informado y que clarifique las cláusulas contractuales; pide que, en términos generales, cada persona deba dar su consentimiento previo antes de que sus datos personales se compilen, evalúen, sean perfilados o cedidos; solicita, asimismo, que estos datos se comuniquen a instancias de la persona interesada, así como que se supriman, como muy tarde, cuando ésta lo solicite; subraya la necesidad de comunicar claramente a las personas a las que se refieren los datos el grado de protección de dichos datos en los terceros países;

13. Pone de relieve que la cuestión de la protección de los datos afecta tanto a los consumidores y empresas como a los empleados; pide, por consiguiente, que se establezca un nivel elevado de protección de los datos en lo que respecta a los empleados con el fin de reducir la supervisión inadecuada de sus datos personales;

14. Pide a la Comisión que clarifique los criterios relativos a la legislación vigente en materia de protección de los datos personales dado que cada vez es más difícil determinar la responsabilidad de las partes interesadas como consecuencia de la globalización de los intercambios; subraya que es necesario garantizar la seguridad jurídica en relación con los controladores de datos y evitar lagunas en la protección de los datos personales prevista en la Directiva 95/46/CE;

15. Hace hincapié en que las actividades económicas no deberían llevarse nunca a cabo sin la participación de los interesados; señala que estos últimos deben recibir siempre información suficiente para ejercer su derecho a decidir por sí mismos;

16. Llama la atención de la Comisión sobre la alta importancia estratégica de la ubicación de los centros de datos y sobre el impacto potencial de dicha ubicación fuera del territorio de la UE;

17. Acoge con satisfacción las propuestas de la Comisión sobre un sistema de notificación de las transgresiones en relación con los datos personales en la Directiva sobre la protección de la intimidad en el sector de las comunicaciones electrónicas, que, por lo demás, debería aplicarse de modo coherente en todos los ámbitos en los que es necesaria la protección de los datos; pide que se revise y simplifique el sistema existente en la actualidad en relación con la notificación de las transgresiones en lo que se refiere a los datos personales que vaya más allá del sector de las telecomunicaciones por lo que respecta a las transgresiones graves con objeto de que los criterios sobre el procesamiento de los datos no impliquen una carga excesiva para los controladores de los datos y se ponga fin a la existencia de requisitos nacionales divergentes en este ámbito; pide que se amplíe el sistema de notificación de las transgresiones en relación con los datos personales que vaya más allá del sector de las telecomunicaciones por lo que respecta a las transgresiones graves y pone de relieve la importancia de disponer de un sistema uniforme para la notificación de las transgresiones;

18. Subraya que el derecho de las personas a decidir por sí mismas debe situarse en primer plano y que cada individuo tiene el derecho a ser informado de forma gratuita de los datos recopilados sobre su persona, así como el derecho a que se supriman dichos datos, especialmente los perfiles compilados con fines comerciales;

19. Hace hincapié en la importancia que tiene para los titulares de los datos personales la designación de un controlador de la protección de datos con una función claramente identificada; considera que las organizaciones que operan en el mercado único deberían tener la posibilidad de nombrar a un controlador de la protección de datos en relación con sus actividades en la UE;

20. Pide a la Comisión que, en el marco de la revisión de la Directiva 95/46/CE, tenga debidamente en cuenta las cuestiones relativas a la protección de los datos relacionados con la computación en nube, al mismo tiempo que se garantiza que las normas relativas a la protección de datos se aplican a todas las partes, incluidos los operadores de telecomunicaciones y los operadores no relacionados con las telecomunicaciones, y el desarrollo de la computación en nube;

21. Subraya que los procedimientos relativos al acceso a los datos personales deben estar clara e inmediatamente a disposición de los ciudadanos en todos los Estados miembros deben apoyarse en una red de puntos de contacto y deben estar disponibles en línea; pide, en particular, que se simplifiquen las disposiciones de ejecución;

22. Invita a la Comisión a que examine las modalidades de acceso, rectificación y supresión de los datos así como el recurso al mecanismo de resolución alternativa de litigios en el mercado interior, en particular en el entorno en línea; subraya la necesidad de una política adecuada en materia de infracción;

23. Pide que las autoridades nacionales dispongan de una mayor capacidad de ejecución, también con respecto a las empresas que no son de la UE cuyas actividades estén dirigidas a consumidores de la UE;

24. Insiste en la necesidad de promover el uso de tecnologías de protección de la intimidad y de aplicar el principio relativo a la protección de la intimidad desde el diseño para asegurar que las cuestiones relativas a la intimidad estarán incluidas en los futuros avances tecnológicos; pide a la Comisión que anime a los proveedores de tecnologías a integrar los principios básicos de la intimidad, incluida la minimización de los datos, la transparencia y el control del usuario, en el desarrollo y el despliegue de tecnologías para garantizar un nivel elevado de protección de los datos personal en el mercado único;

25. Pide a la Comisión que, en el marco de una consulta al CEN, examine la posibilidad de elaborar criterios de servicio para la gestión de los datos personales y el desarrollo de herramientas de gestión de la información, teniendo en cuenta debidamente el principio relativo a la protección de la intimidad desde el diseño; opina que dichos criterios de diseño fomentarían las buenas prácticas en el desarrollo de los sistemas de gestión de datos y mejorarían, en particular, las características relacionadas con la seguridad de la gestión de las bases de datos y las aplicaciones de almacenamiento; subraya, sin embargo, que las propuestas deberían ser neutras desde el punto de vista tecnológico y favorables a la innovación;

26. Pide a la Comisión que revise con el CEN los criterios europeos sobre el almacenamiento de los datos, teniendo debidamente en cuenta el principio relativo a la protección de la intimidad desde el diseño, y que fomente el desarrollo de normas de fabricación para permitir la eliminación definitiva de los datos almacenados en el hardware que ya no se utilicen o no se eliminen de otra manera; considera, además, que tales criterios de diseño promoverán unas mejores prácticas en la industria manufacturera; subraya, sin embargo, que las propuestas deben ser neutras desde el punto de vista tecnológico y favorables a la innovación;

27. Pide un mayor papel para el Grupo de trabajo creado de conformidad con el artículo 29 de manera que se conceda carácter oficial al papel que desempeña en la aplicación de los criterios relativos a la protección de los datos y haga valer su independencia con respecto a la Comisión Europea;

28. Pide a la Comisión que lleve a cabo una evaluación de impacto de las iniciativas de autorregulación en tanto que instrumentos para una mejor aplicación de las normas en materia de protección de los datos;

29. Alienta el desarrollo de un régimen europeo de certificación en el ámbito de la protección de la intimidad y de los datos; señala que se debería estructurar de manera que se evite una carga excesiva para las empresas – las PYME, en particular – con una tramitación costosa y burocrática que podría desalentar la participación; señala que el régimen debería ser neutro desde el punto de vista tecnológico, capaz de obtener un reconocimiento a nivel mundial, y tener un coste asequible a fin de no crear barreras de acceso;

30. Apoya la creación de un régimen de certificación de la UE para los sitios web que cumplan con la legislación de la UE en materia de protección de los datos, modelado sobre el Sello Europeo de Privacidad o EuroPriSe (una etiqueta voluntaria transeuropea para certificar el cumplimiento, en los productos o servicios basados en tecnologías de la información, de la legislación comunitaria sobre protección de datos) que sería aplicable en toda la UE y sustituiría a los diferentes regímenes privados de certificación y a etiquetas que frecuentemente sólo gozan de un reconocimiento local; opina que ello debería incluir una exhaustiva evaluación de impacto antes de su adopción;

31. Considera que el desarrollo y la promoción de iniciativas de autorregulación puede mejorar el actual marco de protección de los datos, aunque no pueden sustituir a las medidas legislativas, especialmente por lo que atañe a la ejecución; pide a la Comisión y a los Estados miembros que fomenten este tipo de iniciativas y desarrollen y apoyen instrumentos que hagan más atractivo para las empresas llegar a un acuerdo sobre la autorregulación;

32. Pide a la Comisión que no proponga un nivel de armonización demasiado estricto, que pudiera inhibir sistemas de protección de los datos que ya han demostrado su eficacia, como los controles de protección de los datos internos efectuados por los propios controladores de una empresa, con el apoyo de controles externos realizados por las autoridades estatales de supervisión de datos;

33. Apoya la creación de unos criterios comunes y claros a escala de la UE para llevar a cabo auditorías en el ámbito de la protección de la intimidad y de los datos;

34. Celebra la posición adoptada por la Comisión sobre la reciprocidad en los niveles de protección por lo que respecta a las personas cuyos datos se exportan a terceros países o se conservan en ellos; pide, sin embargo, a la Comisión que adopte firmes medidas para mejorar la cooperación reguladora con terceros países con miras a aclarar las normas aplicables y a la convergencia de la legislación de la UE y de terceros países en materia de protección de datos; pide a la Comisión que conceda prioridad a este respecto en el Consejo Económico Transatlántico, que ha reanudado sus actividades;

35. Pide el desarrollo de unos métodos más fáciles y eficaces para permitir las transferencias internacionales de datos personales asegurando, al mismo tiempo, unos niveles adecuados de protección de los datos y de la intimidad de las personas;

36. Pide a la Comisión que mantenga las exenciones actuales previstas en el artículo 9 de la Directiva 95/46/CE con respecto a ciertas normas de protección de los datos a efectos periodísticos para salvaguardar unos medios de comunicación libres e independientes en la UE y para apoyar la creatividad en la expresión artística o literaria.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                     13.4.2011

 Resultado de la votación final                                   +:            36

                                                                                               –:            0

                                                                                               0:            0

Miembros presentes en la votación final              Pablo Arias Echeverría, Adam Bielan, Lara Comi, Anna Maria Corazza Bildt, António Fernando Correia De Campos, Jürgen Creutzmann, Christian Engström, Evelyne Gebhardt, Louis Grech, Małgorzata Handzlik, Iliana Ivanova, Philippe Juvin, Sandra Kalniete, Eija-Riitta Korhola, Edvard Kožušník, Kurt Lechner, Toine Manders, Mitro Repo, Robert Rochefort, Zuzana Roithová, Heide Rühle, Matteo Salvini, Christel Schaldemose, Andreas Schwab, Eva-Britt Svensson, Róża Gräfin von Thun und Hohenstein, Kyriacos Triantaphyllides, Emilie Turunen, Bernadette Vergnaud, Barbara Weiler

Suplente(s) presente(s) en la votación final         Ashley Fox, María Irigoyen Pérez, Pier Antonio Panzeri, Konstantinos Poupakis, Sylvana Rapti, Olle Schmidt

 OPINIÓN DE LA COMISIÓN DE CULTURA Y EDUCACIÓN (14.4.2011)        

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea (2011/2025(INI))

Ponente de opinión: Seán Kelly

SUGERENCIAS

La Comisión de Cultura y Educación pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.  Subraya la necesidad de contar con una definición mejor y más amplia del concepto de datos personales en el marco de las tecnologías en línea y digitales, particularmente respecto a nuevas formas de identificación y seguimiento individuales, especialmente en lo referente a las cookies del protocolo de transferencia de hipertexto (HTTP) y la Directiva 2002/58/CE (1), para garantizar la seguridad jurídica en el mercado único digital, a fin de facilitar una protección de datos más eficaz;

Transparencia

2.  Destaca la importancia que reviste informar a los usuarios acerca de la autoridad competente de protección de datos y de las maneras de acceder fácilmente a sus datos personales, de rectificarlos y de suprimirlos;

3.  Insiste en que se deben establecer mecanismos adecuados para dejar constancia del consentimiento de los usuarios, que ha de ser explícito y no supuesto, o de la revocación del mismo;

4.  Recuerda que los usuarios de Internet han de tener derecho a ser olvidados en el contexto de las redes sociales y de la computación en nube; subraya a este respecto que los usuarios han de tener derecho a controlar los aspectos de sus datos personales públicamente accesibles;

5.  Subraya que los datos personales facilitados al empleador referentes a la situación profesional del usuario no deben publicarse ni transmitirse a terceros sin el consentimiento previo del interesado;

6.  Subraya que las declaraciones de privacidad, en general, son muy difíciles de leer y comprender para todos los usuarios, por lo que es partidario de un sistema informativo mediante el cual los interesados puedan entender cómo se tratarán sus datos personales una vez otorgada la autorización;

Protección de datos en el caso de los menores

7.  Subraya la necesidad de adoptar medidas específicas para la protección de datos en línea con vistas a proteger a los menores; reitera que la alfabetización audiovisual y en materia de TIC debe ser un elemento esencial de la educación formal, de modo que se enseñe a los menores cómo actuar de manera responsable y segura en un medio en línea;

8.  Subraya que los proveedores de redes sociales deben publicar sus políticas de seguridad en un lenguaje claro y sencillo, y colocar esta información en un lugar destacado con el fin de permitir que los usuarios menores de edad valoren los peligros que afrontan; destaca, en particular, que se deben dar orientaciones adecuadas a los usuarios menores de edad y que se han de realizar esfuerzos para proteger su anonimato si utilizan un seudónimo en línea; subraya también que se les debería instar a que introduzcan la cantidad mínima de información en las redes sociales, y que hay que conseguir que sean plenamente conscientes de los peligros que supone la publicación de datos personales, tales como fotografías, números de teléfono o direcciones;

9.  Pide por lo tanto a los Estados miembros que incluyan la alfabetización audiovisual como parte integrante del plan de estudios en las escuelas y otros centros de enseñanza, incluidos los centros preescolares, y que ofrezcan a los enseñantes y educadores oportunidades adecuadas de formación y perfeccionamiento profesional;

10. Pide que los responsables del tratamiento de los datos tengan la obligación de adoptar mecanismos para verificar la edad, siempre que este proceso no amenace la privacidad o impida que los consumidores legítimos accedan a los servicios en línea;

11. Solicita que se establezcan obligaciones y requisitos específicos para el procesamiento de datos relativos a menores, y en particular a niños, incluida la prohibición de recoger datos sensibles referentes a niños; propone que no esté permitido recoger información personal a través de menores, salvo si es con fines legítimos;

12. Considera que al recopilar y procesar datos relacionados con alumnos de escuelas u otros centros de enseñanza, se ha de proceder con la debida prudencia y los datos sólo se deben compartir después de haberse dado el consentimiento para ello, dentro del respeto de los intereses primordiales de los menores en cuestión;

13. Propone un sistema en que el titular de los datos vea inmediatamente el nivel de protección de datos ofrecido, antes de que conceda la autorización, posiblemente en forma de un sistema de clasificación, supervisado por una autoridad independiente;

Acciones de sensibilización

14. Anima a la Comisión y a los Estados miembros a organizar campañas de sensibilización pública destinadas a los menores, y particularmente a los niños y a sus cuidadores, para poner de relieve los riesgos que entraña para su vida privada un medio en línea, lo que pueden hacer para protegerse a sí mismos y la necesidad de que asuman su propia responsabilidad; destaca que tal información se ha de facilitar de manera clara y comprensible; este requisito debe aplicarse, en particular, a la formulación de los textos que sirven de base para el consentimiento explícito del uso de los datos;

15. Recomienda además que se emprendan campañas de formación y sensibilización destinadas a los responsables y los encargados del tratamiento de datos por las que se les informe de sus obligaciones y responsabilidades.

16. Subraya la importancia de mantener y, en su caso, reforzar la exención con fines periodísticos en el artículo 9 de la Directiva 95/46/CE (2), que es una condición necesaria para el ejercicio de la actividad periodística en un entorno de medios tecnológicos cada vez más complejos y para el cumplimiento del papel de los medios de comunicación en las sociedades democráticas;

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                                    12.4.2011

Resultado de la votación final                                                   +:            29

                                                                                                              –:            0

                                                                                                              0:            0

Miembros presentes en la votación final

Magdi Cristiano Allam, Maria Badia i Cutchet, Zoltán Bagó, Malika Benarab-Attou, Lothar Bisky, Piotr Borys, Jean-Marie Cavada, Silvia Costa, Santiago Fisas Ayxela, Mary Honeyball, Petra Kammerevert, Marek Henryk Migalski, Katarína Neveďalová, Doris Pack, Chrysoula Paliadeli, Marie-Thérèse Sanchez-Schmid, Marietje Schaake, Marco Scurria, Joanna Senyszyn, Hannu Takkula, László Tőkés, Helga Trüpel, Gianni Vattimo, Sabine Verheyen, Milan Zver

Suplente(s) presente(s) en la votación final                        

Ivo Belet, Nadja Hirsch, Seán Kelly

————————————————————

(1) DO L 201 de 31.7.2002, p. 37.

(2) DO L 281 de 23.11.1995, p. 31.

————————————————————

 OPINIÓN DE LA COMISIÓN DE ASUNTOS JURÍDICOS (25.5.2011)              

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea

(2011/2025(INI))

Ponente de opinión: Françoise Castex

SUGERENCIAS

La Comisión de Asuntos Jurídicos pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.        Subraya que el rápido ritmo de los progresos tecnológicos en la sociedad global de la información requiere unas normas integrales y coherentes en materia de protección de datos; observa que, tras la entrada en vigor del Tratado de Lisboa y el carácter jurídicamente vinculante adquirido por la Carta de los Derechos Fundamentales, el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE) podría ofrecer un fundamento jurídico específico para la adopción de un instrumento jurídico sobre la protección de datos personales, si se basa en el nivel más elevado de protección previsto para ello en la legislación de la UE, y opina que esto podría proporcionar una mayor seguridad jurídica; considera que el artículo 8 de la Carta debe respetarse plenamente en este sentido;

2.        Considera que esta creciente complejidad de las cuestiones vinculadas a la protección de datos y la actual falta de armonización entre las legislaciones nacionales de los Estados miembros exigen la adopción de un instrumento jurídico global a nivel europeo; pide, en este sentido, a la Comisión que cree un sistema de notificación de violación de datos personales, en consonancia con el introducido por la Directiva sobre la privacidad y las comunicaciones electrónicas;

3.        Pide a la Comisión que aproveche la oportunidad para considerar y reforzar el nivel elevado de protección de los interesados y de esa forma mejorar la legislación europea sobre protección de datos;

4.        Destaca que el derecho de acceso no solo incluye el pleno acceso a los procesamientos de datos que afecten al sujeto de los mismos, incluida su fuente y sus destinatarios, sino también información inteligible sobre la lógica aplicada en cualquier procesamiento automático; subraya que esto último adquirirá una mayor importancia con la realización de perfiles y la extracción de datos;

5.        Pide a la Comisión que garantice las sinergias entre los derechos de protección de datos y los derechos del consumidor;

6.        Recuerda la necesidad de proteger específicamente a las personas vulnerables y, en particular, a los niños, en particular imponiendo por defecto un alto nivel de protección de los datos y adoptando medidas adecuadas y específicas para proteger sus datos personales; considera que las autoridades nacionales de protección de datos deben realizar actividades de sensibilización, especialmente dirigidas a los menores de edad;

7.        Pide a la Comisión que tenga en cuenta el riesgo de elección del fuero más ventajoso en sus propuestas relativas a la determinación del Derecho aplicable;

8.        Respalda la introducción de un principio general de transparencia en el tratamiento de los datos personales que facilite el control ejercido por las personas en relación con sus propios datos;

9.        Respalda firmemente la Comunicación de la Comisión en lo referente al consentimiento informado como un principio básico y pide que aclare y refuerce la normativa pertinente;

10.      Manifiesta su preocupación por las derivas asociadas a la publicidad comportamental en línea y recuerda que la Directiva sobre la privacidad y las comunicaciones electrónicas estipula la necesidad de un consentimiento explícito y previo de la persona afectada para el envío de «cookies» y el posterior seguimiento de su comportamiento de navegación para dirigirle anuncios personalizados;

11.      Acoge con agrado la decisión de la Comisión de estudiar las modalidades de introducción de una obligación general de notificación de las violaciones de los datos personales, limitada actualmente tan solo al sector de las telecomunicaciones;

12.      Pide a la Comisión que proponga medidas específicas para los niños, que todavía no son conscientes de los riesgos asociados a la utilización de Internet;

13.      Observa que la revisión de la reglamentación europea no debe generar costes desmesurados a las empresas europeas, ya que ello afectaría a su competitividad con respecto a sus competidores de terceros países;

14.      Opina que debe fomentarse la autorregulación, en particular mediante códigos de conducta;

15.      Señala que la protección de los datos personales afecta a todos, pero que el ejercicio de este derecho no puede conllevar la protección de actividades criminales o delictivas; recuerda, a este respecto, que el artículo 47 de la Carta Europea de los Derechos Fundamentales consagra el derecho a un recurso eficaz en caso de violación de los derechos y libertades garantizados por el Derecho de la Unión;

16.      Respalda los esfuerzos por seguir avanzando en la elaboración de iniciativas de autorregulación aplicables y vinculantes, basadas en el marco jurídico incluido en la revisión sobre la protección de datos, tal como se propone en la Comunicación de la Comisión, y es favorable a que se dé un mayor apoyo a los sistemas de certificación de la UE; recuerda que el sector de la contratación pública debería desempeñar una importante función asumiendo el liderazgo en esta materia;

17.      Respalda firmemente la Comunicación de la Comisión y pide a los Estados miembros que velen por que las autoridades nacionales de protección de datos posean los poderes adecuados y los recursos que les permitan desempeñar adecuadamente sus tareas a nivel nacional y garantizar su independencia;

18.      Pide a la Comisión que continúe el diálogo con terceros países con el fin de establecer un marco jurídico internacional coherente, dado que los avances tecnológicos, como por ejemplo la computación en nube, permiten a los responsables del tratamiento de datos establecerse en diversos países; pide también a la Comisión que refuerce el concepto de normas corporativas vinculantes en el ámbito de la transferencia internacional de datos;

19.      Pide a la Comisión que adopte medidas encaminadas a reafirmar y reforzar el papel del Grupo de Trabajo del Artículo 29 para asegurar su imparcialidad y la transparencia de sus actividades y para mejorar la cooperación entre las autoridades nacionales y la armonización en la aplicación de las normas de protección de datos personales; pide a la Comisión, al mismo tiempo, que proponga un marco jurídico que garantice la coherencia en el ejercicio de las competencias del SEPD, de las autoridades nacionales de protección de datos y del Grupo de Trabajo del Artículo 29;

20.      Pide a la Comisión que garantice que la Directiva ofrezca definiciones claras y armonizadas;

21.      Pide a la Comisión que prevea un alto nivel de transparencia en lo relativo al tratamiento de datos personales en el marco jurídico;

22.      Pide a la Comisión que garantice el respeto de los principios de minimización de los datos y limitación a su propósito;

23.      Destaca la importancia de los derechos de acceso, rectificación y supresión;

24.      Pide a la Comisión que prevea un sistema restrictivo especial para los datos delicados, lo que requerirá una definición clara de esta categoría de datos;

25.      Pide a la Comisión que garantice que se mantengan las excepciones permitidas para fines periodísticos en el artículo 9 de la actual Directiva sobre protección de datos y que se haga todo lo posible por evaluar la necesidad de desarrollar dichas excepciones teniendo en cuenta cualquier nueva disposición con el fin de proteger la libertad de prensa;

26.      Pide a la Comisión que haga responsables al conjunto de los agentes de Internet sobre la cuestión de los datos personales y exige, en particular, que las agencias publicitarias y los editores informen claramente a los internautas antes de recopilar cualquier dato que les concierna.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                     24.5.2011

 Resultado de la votación final                                   +:            23

                                                                                              –:            0

                                                                                              0:            2

Miembros presentes en la votación final              Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Lidia Joanna Geringer de Oedenberg, Syed Kamall, Klaus-Heiner Lehne, Antonio Masip Hidalgo, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Dimitar Stoyanov, Alexandra Thein, Diana Wallis, Rainer Wieland, Cecilia Wikström, Zbigniew Ziobro, Tadeusz Zwiefka

Suplente(s) presente(s) en la votación final         Piotr Borys, Kurt Lechner, Eva Lichtenberger, József Szájer

Suplente(s) (art. 187, apdo. 2) presente(s)

en la votación final                                                         Pablo Arias Echeverría

 RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN      

Fecha de aprobación                                                     15.6.2011

Resultado de la votación final                                    +:            49

                                                                                              –:            1

                                                                                              0:            0

Miembros presentes en la votación final              Jan Philipp Albrecht, Rita Borsellino, Simon Busuttil, Carlos Coelho, Rosario Crocetta, Cornelis de Jong, Agustín Díaz de Mera García Consuegra, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Nathalie Griesbeck, Sylvie Guillaume, Ágnes Hankiss, Anna Hedh, Salvatore Iacolino, Sophia in ‘t Veld, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu, Claude Moraes, Jan Mulder, Georgios Papanikolaou, Judith Sargentini, Birgit Sippel, Csaba Sógor, Rui Tavares, Wim van de Camp, Daniël van der Stoep, Axel Voss, Renate Weber, Tatjana Ždanoka

Suplente(s) presente(s) en la votación final         Edit Bauer, Michael Cashman, Anna Maria Corazza Bildt, Luis de Grandes Pascual, Ioan Enciu, Heidi Hautala, Stavros Lambrinidis, Mariya Nedelcheva, Norica Nicolai, Zuzana Roithová, Michèle Striffler, Cecilia Wikström

Suplente(s) (art. 187, apdo. 2) presente(s)

en la votación final                                                         Marita Ulvskog, Silvia-Adriana Ţicău

24Oct/20

Opinion 3/2020 on the European strategy for data, de 16 de junio de 2020

Opinion 3/2020 on the European strategy for data

Executive Summary

The European Commission published on 19 February 2020 a Communication “A European strategy for data”. It is part of a wider package of strategic documents, including also a Communication on Shaping Europe’s digital future and a White Paper on Artificial Intelligence – A European approach to excellence and trust.

The aim of the Data Strategy is to create a single European data space and thus make it easier for businesses and public authorities to access high-quality data to boost growth and create value. Moreover, it should “enable the EU to become the most attractive, most secure and most dynamic dataagile economy in the world”. A key element of the Data Strategy is the development of common European data spaces in strategic economic sectors and domains of public interest, such as the common European health data space.

This Opinion presents the EDPS view on the Data Strategy as a whole, as well as on certain specific aspects, such as the notion of “public good”, Open Data, use of data for scientific research, data intermediaries, data altruism, international data sharing and others.

The EDPS understands the growing importance of data for the economy and society and supports the wider strategic objectives of the EU, such as the development of the Digital Single Market and the EU’s digital sovereignty. At the same time, he recalls that “big data comes with big responsibility” and therefore appropriate data protection safeguards must be in place.

In this regard, the EDPS applauds the Commission’s commitment to ensure that European fundamental rights and values, including the right to the protection of personal data, underpin all aspects of the Data Strategy and its implementation. In particular, he appreciates the assurance that the Strategy would be developed in full compliance with the General Data Protection Regulation, which provides a solid basis, also by virtue of its technologically-neutral approach.

The EDPS underlines that one of the objectives of the Data Strategy should be to prove the viability and sustainability of an alternative data economy model – open, fair and democratic. Unlike the current predominant business model, characterised by unprecedented concentration of data in a handful of powerful players, as well as pervasive tracking, the European data space should serve as an example of transparency, effective accountability and proper balance between the interests of the individual data subjects and the shared interest of the society as a whole.

Furthermore, this Opinion takes into account the unprecedented global crisis, caused by the COVID19 pandemic, which has affected all aspects of our life. In this context, the EDPS reiterates his position that data protection is not the problem but part of the solution. Data and technology can play an important role in the overcoming the crisis in combination with other factors, as there is no “silver bullet” for something as complex like this.

The EDPS remains at the disposal of the Commission, the Council and the European Parliament to provide further advice at the next stages of the implementation of the European strategy for data, both in terms of legal framework and of practical aspects. The comments in this Opinion are without prejudice to additional comments in the future on particular issues and/or if further information is available.

THE EUROPEAN DATA PROTECTION SUPERVISOR,

Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16 thereof,

Having regard to the Charter of Fundamental Rights of the European Union, and in particular Articles 7 and 8 thereof,

Having regard to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (1),

Having regard to Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) nº 45/2001 and Decision nº 1247/2002/EC (2), in particular Article 58(3)(c),

Having regard to Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (3),

HAS ADOPTED THE FOLLOWING OPINION:

1. INTRODUCTION AND BACKGROUND

1. The European Commission presented on 19 February 2020 a Communication “A European strategy for data” (4). It is part of a wider package of strategic documents, including also a Communication on Shaping Europe’s digital future (5) and a White Paper on Artificial Intelligence

– A European approach to excellence and trust (6).

2. The aim of the European strategy for data (hereinafter referred to as “the Data Strategy” or “the Strategy”) is to create a single European data space and thus make it easier for businesses and public authorities to access high quality data to boost growth and create value, while reducing the carbon footprint of the EU economy. Moreover, it would play a key role in realising the Commission’s ambition to “enable the EU to become the most attractive, most secure and most dynamic data-agile economy in the world”.

3. The European Data Strategy has been open to public consultation. The objective of the consultation is to collect views on the Data Strategy as a whole, as well as on certain specific aspects. A similar public consultation has been launched on the White Paper on Artificial Intelligence.

4. The EDPS was informally consulted by the Commission on 29 January 2020 on the initial draft of the Data Strategy and submitted preliminary comments. The EDPS welcomes the fact that his views have been sought at an early stage of the procedure and encourages the Commission to continue with this best practice.

5. The present opinion further elaborates upon some of the informal comments and provides more targeted input in light of the public consultation. It should, in principle, be read in conjunction with other relevant opinions of the EDPS, referred throughout the document, such as the Preliminary opinion on scientific research (7), Opinion on Open Data (8), Opinion on personal information management systems (9), and others. Furthermore, the present opinion is without prejudice to any additional comments that the EDPS could make on the basis of further available information at a later stage, including in the context of the future legislative consultations on the legal acts foreseen in the Data Strategy and the Commission Work Programme.

6. Finally, the EDPS notes the ongoing debate about the extent to which data and technology can help in the fight against COVID-19. In this context, the EDPS would like to recall his position, shared by the other supervisory authorities within the European Data Protection Board (EDPB) (10), that data protection rules do not hinder measures taken in response to the coronavirus pandemic. Data protection is not the problem, it is part of the solution. The EDPS considers that data and technology play an important role in the overcoming of the unprecedented crisis, which impacts all aspects of our life, but they are by no means a “silver bullet”. Data and technology can contribute in fighting the pandemics and other similar threats only if they empower effectively the individuals and are accompanied by appropriate safeguards and other holistic measures.

2. GENERAL COMMENTS

2.1. Application of the key data protection principles

7. The EDPS welcomes the Data Strategy’s commitment to ensure that European fundamental rights and values, including the right to the protection of personal data provided under Article 8 of the Charter of Fundamental Rights of the EU and Article 16 TFEU, are fully upheld in all the actions that will follow from the Strategy.

8. In particular, the EDPS supports the Commission’s commitment to develop the Strategy in full compliance with the General Data Protection Regulation (“GDPR”). He is convinced that the GDPR provides a solid basis, also by virtue of its technologically-neutral approach, for the development and implementation of the Strategy.

9. The EDPS recalls that, pursuant to Article 5 of the GDPR, the processing of personal data should always respect the principles of lawfulness, fairness and transparency; purpose limitation; data minimization; accuracy; storage limitation; integrity and confidentiality.

10. These principles remain fully applicable when processing personal data for the “public good” purposes. Purpose limitation is an essential safeguard to provide individuals with the confidence that the data they provide will not be used against them in an unexpected manner. The importance of the principle of purpose limitation is clearly demonstrated in the context of the measures which are being considered to fight against COVID-19, e.g. health data to be processed under the control of healthcare authorities as data controllers and not to be used for commercial or other incompatible purposes.

11. Equally significant are the principles of transparency and accountability. Transparency should be understood as an obligation to provide clear, intelligible and easily accessible information both to the citizens/the public and to data protection authorities. Furthermore, the possibility to perform independent audits on the data processing operations and to take enforcement measures, whenever necessary, are important aspects of accountability and cannot be replaced by self-regulation only.

12. In the context of the proposed future Data Act, the EDPS recommends to lay down requirements for producers of products, services and applications that are based on the processing of personal data or which process personal data to also comply with data protection legislation, in particular with the requirements of data protection by design and by default. Such an obligation should complement the existing obligations of controllers and processors under the GDPR, and could considerably enable controllers and processors to fulfil their data protection obligations, e.g. when selecting appropriate hardware or software solutions.

13. The EDPS recalls that the adoption of the proposed ePrivacy Regulation (11) is crucial to protect the fundamental rights to privacy and personal data protection in the digital age. Hence, the completion of the EU’s legal framework for data protection and confidentiality of communications is an important condition for the success of the Data Strategy.

14. The EDPS observes that the implementation of the Strategy will inevitably entail an increase in magnitude and seriousness of the data protection risks, including security risks. For instance, connected Internet of Things (IoT) devices increase the “attack surface” for cyberattacks and amplify or produce new possible adverse impacts on individuals. This problem should be addressed in the context of the review of the Directive on security of network and information systems (NIS Directive) or via a new legislative initiatives, and might also be linked to EU consumer law and policy, for instance on product safety.

2.2. Data subject rights and the role of data intermediaries

15. The EDPS welcomes the objective of the Strategy to empower the individuals to be in control of their data, inter alia by providing tools and means to decide at a granular level about what is done with their data (“personal data spaces”). In the same vein, the Strategy aims at enhancing the portability right of individuals under Article 20 of the GDPR.

16. An important prerequisite for individuals to be able to exercise effectively their rights as data subjects is the ability to ascertain what has done with their data and by whom, given the fact that pooling of data will facilitate access by many different actors. Therefore, the routine approach to transparency in the form of lengthy privacy notices phrased in abstract or ambivalent terms, still applied by some controllers, is contrary to the GDPR’s requirements to provide information “in a concise, transparent, intelligible and easily accessible form, using clear and plain language”. (12). In this context, and especially in the light of technological developments the EDPS reminds that pursuant to Article 12(7) and (8) of the GDPR the information to data subjects could be provided with standardised and machine readable icons in order to offer an easily visible, intelligible and meaningful overview of the intended processing. The Commission should by 2022 determine with delegated acts how the required information would be presented with such standardised icons.

17. Personal information management systems (PIMS) are emerging as promising platforms to give data subjects more control over their personal data. Furthermore, some PIMS models could be seen as a driver for data portability as they can function as a centralized data infrastructure allowing the individuals to manage their personal data. The EDPS has already published an Opinion on Personal Information Management Systems (13). Therein, the EDPS stresses the need to develop technical tools and standards that make the exercise of data subjects’ rights simple (e.g. with data privacy dashboards), as important means to empower the individual to manage their data. In his Opinion on PIMS the EDPS has also pointed out in particular the requirement for such systems to be fully transparent towards users and to ensure genuine user control.

18. The EDPS notes that there are other types of data intermediaries such as data trusts and cooperatives, data marketplaces, data brokers, etc. In this regard, the EDPS emphasises the need of a clear distinction between the data intermediaries focussing exclusively on personal data and seeking to enhance individual agency, on the one hand, and those driven by economic incentives and aiming to support mainly Business to Business (B2B) data exchange, on the other hand.

19. The EDPS considers that intermediaries aiming to empower data subjects through technical and other tools to manage the use of their data deserve consideration, further research and effective support, as they contribute to a sustainable and ethical use of data, in line with the principles of the GDPR.

20. At the same time, the EDPS underlines the need of caution with regard to the role of data brokers that are actively engaged in the collection of huge datasets, including personal data from different sources. They tap into a variety of data sources used for data-related services, such as data that are disclosed for other unrelated purposes; data from public registers (open data), as well as data “crawled” from the Internet and social media, often in violation of data protection legislation. In this context, the EDPS notes that the activities of big data brokers are under increased scrutiny and are investigated by a number of national data protection authorities (14).

2.3. Concept of “public good”

21. The Data Strategy pays specific attention to “availability of data for the public good”, understood in a broad sense – from healthcare and environmental protection to fight against crime. The EDPS welcomes the Commission’s vision on the fostering the use of data for “public good”. The EDPS recalls one of the overarching principles of the GDPR, namely that processing of personal data should be designed to serve humankind. (15)

22. The EDPS also notes that the Strategy equally refers to the notion of “public interest”, and uses it interchangeably with the notion of “public good”.Public interest” can be a basis for lawful processing under Articles 6(1)(e) of the GDPR and can be relied on for the processing of special categories of data (e.g. data concerning health) under and 9(2)(g) and (i) of the GDPR. In line with Article 6(3) of the GDPR, the basis for processing of personal data, necessary for the performance of a task carried out in the public interest, should be laid down by EU or Member State law. Consequently, processing of personal data for “public good” corresponds to the same important objectives, expressed in the GDPR as “public interest,” and should be subject to the same requirements.

23. In this context, the EDPS notes that data, in particular public sector information, could play a key role in the Digital Single Market. Furthermore, smart use of data, including its processing via Artificial Intelligence, can have a transformative effect on various sectors of economy. At the same time, the EDPS points out that the sharing of data for social and other common needs should be subject to the appropriate data protection safeguards in line with the principles of necessity and proportionality.

24. The use of data for the public good/public interest may involve large-scale processing, which combines data from a variety of sources, potentially involving special categories of data and/or personal data of vulnerable groups of data subjects. Where that is the case, such processing is likely to result in a high risk and data controllers have to conduct data protection impact assessments (DPIA) in accordance with Article 35 of the GDPR (16). Moreover, the EDPS recommends, whenever possible, making public the results of such assessments, as a trust and transparency enhancing measure.

25. Any subsequent use of data, collected and/or shared for a public good/public interest function (e.g. for improving transport/mobility or tackling serious cross-border threats to health), for commercial for-profit purposes (for instance insurance, marketing, etc.) should be avoided. Such “function creep” might not only constitute a breach of the data protection principles under Article 5 of the GDPR, but could also undermine the trust of the citizens, which is a fundamental component of the Strategy.

26. Equally important, processing of data for the public good should not create orreinforce situations of data oligopoly (dependency of the public sector, SMEs, etc. on few powerful IT companies, socalled Big Tech) (17). This is also relevant from a data protection perspective since monopolies and oligopolies create situations of users’ lock-in and ul timately restrict the possibility for individuals to exercise effectively their rights.

2.4. Open Data

27. Regarding the Government to Business (G2B) data re-use envisaged in the Strategy, namely the access to and processing of data held by public authorities, as defined under the ‘PSI Directive’ (18), revised by Directive 2019/1024/EU (hereinafter, the Open Data Directive) (19), the EDPS has issued an Opinion (20), whereby he referred to the following key principles:

(i) transparency and societal participation on the purpose of the reuse vis-à-vis the citizens/data subjects, as well as transparency and clear purpose definition between the licensor (the public authority) and the licensees;

(ii) data protection impact assessment for data processing falling under Article 35(3) of the GDPR to identify the risks and the appropriate data protection safeguards addressing them, before the reuse of data takes place.

28. The EDPS remarks that, due to the technological, economic and legal specificities of each ‘sector’ (e.g. the processing of health data for research purposes is different than the processing of Smart energy data to implement ‘green business model’) (21), a ‘sector-by-sector’ approach, requiring inter alia a ‘sectoral’ data protection assessment, might be necessary.

29. From the information technology viewpoint, the EDPS welcomes that the Strategy aims to Foster the reuse of public sector information by reducing market entry barriers, in particular for small and medium-sized enterprises, by minimizing the risk of excessive first-mover advantage, which benefits large companies and thereby limits the number of users of the data in question, as well as by increasing business opportunities by encouraging the publication of dynamic data and the uptake of application programming interfaces (APIs).

2.5. Personal and non-personal data

30. The EDPS notes that the Strategy makes a distinction between three categories of data, namely non-personal, personal and mixed data sets. In this context, the EDPS would like to remind that in practice a combination of non-personal data may infer or generate personal data, i.e. data relating to an identified or identifiable individual.

31. The Strategy also refers to “anonymised” and “aggregated” data, at one point suggesting that the aggregated data might be the same than anonymized data. (22) Here the EDPS would like to point out that aggregated data is not necessarily non-personal data, since aggregated data might still be related to an identified or identifiable individual. In this regard, the EDPS recalls that, in line with Recital 26 of the GDPR and the case law of the CJEU (23), a due account should be taken of all objective factors, including the costs and the time required for identification, the available technology as well as the legal and other means to access additional data about the person.

32. Furthermore, anonymization processes are not straightforward (24). The more varied the data, the more difficult it is to be anonymised by reducing the re-identification risk to an aceptable threshold. The practical difficulties associated with a robust anonymization process might prevent data controllers, and specially SMEs, from sharing valuable data. To reduce the required effort, while ensuring the data is anonymised appropriately, the EDPS encourages the Commission to invest into and further support and foster good anonymization practices and anonymization standards.

33. In this regard, the EDPS would also like to point out to some best practices with reference to the re-use of anonymised data in the public sector, such as the extensive guidance developed by European Medicines Agency (EMA) for industry to facilitate compliance with this policy (25) or the provision of high quality as a ‘public good’ by the European Statistical System (ESS) (26).

2.6. European Union institutions, bodies and agencies

34. The EDPS notes that the Strategy does not specifically address the role and the applicable rules for the European Union institutions, bodies and agencies. It is true that data protection rules applicable to them, namely Regulation (EU) 2018/1725, is very much aligned with the GDPR and Directive (EU) 2016/680 and, consequently, all these acts have to be interpreted homogeneously (27). At the same time, the Union institutions and other bodies are important actors in the data economy on their own – as providers of data (e.g. through EU Open Data Portal), users of data (e.g. for better policy making), or as service providers (e.g. the eHealth Digital Service Infrastructure (28)).

35. Hence, the EDPS, as the supervisory authority monitoring the personal data processing by Union institutions and bodies, is convinced that the Data Strategy and the related legal and non-legal acts on its implementation should take due account of the specific role of the European Union institutions, bodies and agencies. Thus the Union will not only ensure the necessary transparency and legal certainty but will also live up to Commission’s promise in the Strategy to be “leading by example” (29).

3. DATA FOR SCIENTIFIC RESEARCH

36. The EDPS takes note of the Commission’s plan to increase the amount and types of data available for scientific research in line with the principle ‘as open as possible, as closed as necessary’. One of the key initiatives for facilitating discovery, sharing of, access to and reuse of data and services by researchers is the European Open Science Cloud (EOSC). The latter will also be used as a model for the creation of the future common European data spaces.

37. Both the EDPS Preliminary opinion on data protection and scientific research (30) and the EDPB Guidelines on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak (31) underline that data protection rules, such as the GDPR, are fully compatible with and do not hinder genuine scientific research. At the same time, sharing of personal data always involves a degree of risk to the data subjects, including where the purpose is scientific research, especially in cases of sensitive data. Data protection rules are intended to serve as a robust safety net for individuals whose data are needed to support science, as well as a framework steering researchers toward innovation that reflects the European values.

38. It is a common assumption that scientific research is beneficial to the whole of society and that scientific knowledge is a public good to be encouraged and supported. While the EDPS generally shares this viewpoint, performing an activity deemed to be research cannot be a carte blanche to take irresponsible risks on fundamental rights. From a data protection viewpoint, the principles of necessity, proportionality and purpose limitation are essential. As expressed in the Preliminary opinion on data protection and scientific research, data protection authorities, ethics committees and the research community have a common interest in working together to help the advancement of knowledge, while ensuring people are not treated as mere data sets.

39. While scientific research benefits from a special data protection regime, the EDPS would like to remind the Commission and researchers relying on the common data spaces that each of the principles under Article 5 of the GDPR (lawfulness, fairness and transparency; purpose limitation; data minimisation; accuracy; storage limitation; integrity and confidentiality; and accountability) fully apply to any personal data processing for research purposes.

40. Scientific research often involves the processing and sharing of special categories of personal data of the people involved and thus, in certain cases, could be considered a high-risk data processing according to the GDPR. The EDPS therefore recommends that the appropriate safeguards are taken, and that access to the data stored in the data spaces is made on the basis of various factors, including but not limited to the actor requesting access; the purpose of the processing and its risk level; the existence of accountability frameworks and safeguards, etc. Furthermore, data protection impact assessments should be conducted when the research involves sensitive data, with the involvement the respective data protection officers (DPO) and ethical review boards.

41. The GDPR provides for derogations to certain obligations (i.e. providing the data subject’s right of access (Article 15), right to rectification (Article 16), right to restriction (Article 18) and right to object (Article 21)) for scientific research purposes, where the processing is proportionate to the aim pursued, respects the essence of the right to data protection, and provides for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject. Nevertheless, this special regime cannot be applied in such a way that the essence of the right to data protection is compromised. Derogations from these data subject rights must be subject to a particularly high level of scrutiny. They require a case-by-case analysis, balancing of interests and rights at stake, and a flexible multi-factor assessment. Any limitation to fundamental rights in law has to be interpreted restrictively and should not be abused. Furthermore, under Article 89(2) GDPR, derogations can be applied only “in so far as the rights to be derogated from are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes”.

42. There is no universally agreed definition of research or scientific research. Moreover, boundaries between public interest, academic freedom and private gain today are more blurred than ever. This uncertainty may create loopholes in the protection of fundamental rights, including the right to privacy and to personal data protection. The EDPS therefore strongly recommends that the Strategy and the envisaged legislation address specifically the definitions and the scope of the key notions such as scientific research, innovation, public interest, to avoid inconsistency with existing notions in the GDPR (32).

4. COMMON EUROPEAN DATA SPACES

4.1. General comments on the concept

43. A key element of the Data Strategy is the development of common European data spaces in strategic economic sectors and domains of public interest. The data spaces would combine large pools of data, technical tools and infrastructures necessary to use and exchange data, as well as governance mechanisms. They would be governed by a horizontal framework complemented, where appropriate, by sectoral legislation for data access and use.

44. The common European data spaces fit into and support wider strategic objectives of the EU, such as the development of a fair and competitive Digital Single Market, uptake of new technologies like Artificial Intelligence and in particular machine learning, as well as asserting the EU digital sovereignty.

45. The EDPS welcomes the commitment in the Strategy that the common European data spaces Will be developed “in full compliance with data protection rules and according to the highest available cyber-security standards” and looks forward to examining the specific proposals and initiatives aimed at implementing this commitment.

46. The EDPS welcomes the Commission’s intention to consider the adoption of sector-specific legislation to accompany the creation of certain common European data spaces. The European legislator has a responsibility to put in place additional legal safeguards in situations where the Strategy would lead to increased availability and reuse of personal data. The need for further specification and particularisation of the general rules contained in the GDPR at EU level seems most pressing in relation to the sharing of health data and for scientific research in general. At the same time, such specification, aiming at the harmonization at the maximum possible extent of the rules on the processing of personal data for scientific research in particular, may further foster the sharing of data.

47. In addition to the horizontal data protection and cyber security standards, the Commission should invest in further fostering interoperability, including also in the context of data portability. Thus, the common data spaces would enable more data protection-compliant business models to emerge and thrive.

48. While the EDPS agrees that one-size-fits-all approach might not be appropriate, he nevertheless encourages the Commission to further clarify that the common European data spaces should be populated only with personal data which has been demonstrably obtained in compliance with data protection legislation, including in particular with the principles of lawfulness, purpose limitation and data minimisation.

49. According to the Strategy, data spaces will be used for multiple purposes. Hence, it should be clearly defined from the onset for each data space what are the permitted purposes (i.e. research and non-research, etc.). Moreover, the protection of the fundamental rights to privacy and to the protection of personal data, and the value of human dignity that underpins these rights, warrants, in certain scenarios, a clear limitation on the cross-context use of data, including prohibitions on the use of sensitive personal data for other purposes (for instance, the use of genetic data for insurance purpose). This is particularly relevant for the cross-sector use of personal data in the IoT context.

50. The common European data spaces, based on the European values and fundamental rights with the human being at the centre, could also serve as evidence of the viability of alternative models to the current concentration of data in the hands of a few private corporations based outside the EU which play the role of self-appointed gatekeepers of internet or big IT solution providers. Therefore, the envisaged European data spaces should serve as an example with regard to transparency, effective accountability and proper balance between the interests of the data subjects and the shared interest of the society as a whole.

51. The success of the common European data spaces and the Strategy as a whole depends heavily on the ability to create a solid level of trust between the various stakeholders – data subjects, governments, private companies, scientific research community and civil society organisations as well as data protection authorities and other relevant regulators. To this end, the governance model should specifically address the involvement of citizens and civil society.

4.2. Compulsory data sharing

52. The EDPS takes note of the Commission’s intention to make data sharing compulsory in certain circumstances. There have been recent calls for regulated access across the EU to privately held personal data for research purposes that serve a public interest, such as improving healthcare provision and addressing the climate crisis (33). Such initiatives are expected to become even more prominent in the context of COVID-19 pandemic. In addition, in his Preliminary opinion on scientific research, the EDPS has highlighted the issue of corporate secrecy, particularly in the tech sector, which controls some of the most valuable data, as a major barrier to social science research.

53. A possible public interest basis under data protection law to disclose data has to be clearly formulated and laid down in EU or Member State law, as well as to be accompanied by a rigorous proportionality test and appropriate safeguards against misuse and unlawful access. Therefore, the EDPS recommends an open and inclusive debate on this matter, which should involve all stakeholders, such as the research community, tech companies, civil liberties groups, supervisory authorities, etc.

54. Finally, the EDPS calls for cautious approach towards initiatives aimed at compulsory access to personal data in the competition context, i.e. access to personal data held by the incumbent undertaking by its competitors. Such sharing and access to data among competitors must be balanced against other policy concerns, especially data protection. Any sharing or access to personal data must be strictly defined in scope and purpose and must occur in full compliance with the GDPR, taking into account the requirements of lawfulness, purpose limitation and the legitimate expectations of users.

4.3. Common European Health Data Space

55. One of the nine strategic sectors, where the Commission sees a clear added value for the Union from pooling of data and technical resources, is healthcare. The objective of the proposed common European health data space is to improve access to and quality of healthcare, support scientific research and help competent authorities in taking evidence-based policy decisions.

56. Given the significant impact and sensitiveness of cross-border exchange of health data, the EDPS wishes to highlight that all processing operations, which might result from the establishment of a common European health data space, will require a robust legal basis in line with EU rules on data protection. In this regard, he also points out to the need for further harmonization of data protection rules applicable to health data among the Member States. In addition, a European Code of Conduct on the processing of health data for the purpose of scientific research could be an effective enabler for greater cross-border exchange of health data within the EU.

57. Sharing of health data could play an important role in addressing important individual and societal problems, when accompanied by appropriate data protection safeguards. The outbreak of COVID19, which has affected our lives in an unprecedented way, has very convincingly underlined that. In this regard, the EDPS recognises that data sharing could substantially contribute in managing the current crisis and its long-term consequences, as well as help the EU prepare for posible future crises of a similar nature.

58. The EDPS would like to draw the attention on the recently adopted EDPB Guidelines on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak which highlight and further explain the essential data protection requirements, in particular legality, transparency, necessity and proportionality, as well as integrity and confidentiality. Personal data may only be processed for specified legitimate purposes, where necessary for these purposes, and not used in a way incompatible with those purposes.

59. Finally, while acknowledging the limits of Union competence in the area of healthcare, in accordance with the Treaties, the EDPS invites the Commission to consider the possible role of the envisaged European health data space as an instrument for better preparedness, reaction and management of future health-related crises, together with the eHealth Digital Service Infrastructure (eHDSI) and others relevant EU structures and initiatives.

5. SPECIFIC ISSUES

5.1. Governance frameworks for data access and use

60. The EDPS shares the view of the Commission that putting in place an enabling legislative governance framework is a priority for operationalising the Data Strategy and its core element – the common European data spaces. It should ensure legal certainty and consistency with other existing legal frameworks, in particular on data protection, by building upon and reinforcing them.

61. The EDPS expects to be consulted on the future legislative proposals, such as the envisaged Data Act, in accordance with Article 42 of Regulation 2018/1725. Without prejudice to his future opinion(s), the present Opinion on the data strategy aims to provide some preliminary comments and recommendations related to the governance framework.

62. Depending on the risks, nature, scope, context and purposes of processing, some type of formal “vetting” of organisations requesting access to common European data spaces might be warranted, for example in the form of a Clearinghouse. Furthermore, organisations involved in data pooling or sharing arrangements should adhere to certain common standards, not just in terms of interoperability, but also with a view of ensuring lawfulness of processing and facilitating data subject rights (e.g. through joint controller arrangements pursuant to Article 26 of the GDPR).

63. Next, to ensure data controller accountability, the governance framework should include data traceability requirements. This is particularly relevant for the common European data spaces which would combine data from different Member States and from various sources, both public and private.

64. Finally, the EDPS underlines that in the context of future governance mechanisms the competences of the independent supervisory authoritie s for data protection must be properly respected. Moreover, the implementation of the Strategy leading to wider use of data will require a significant increase of resources for DPAs and other public oversight bodies, in particular in terms of technical expertise and capabilities. Cooperation and joint investigations between all relevant public oversight bodies, including data protection supervisory authorities, should be encouraged.

5.2. Privacy preserving technologies

65. The EDPS appreciates the fact that the Strategy identifies privacy preserving technologies as “crucial for the next stages of the data economy”. In the same spirit, the EDPS recalls the potential of privacy enhancing technologies (PETs) as enablers of data sharing which is both privacyfriendly and socially beneficial.

66. There are a number of promising technological solutions, such as use of synthetic data, which may, inter alia, facilitate access to training data for machine learning. While there are still uncertainty and open questions related to possible feasibility and the efficacy of such solutions to mitigate data protection risks, the EDPS encourages the Commission to invest in further research and tests.

67. In addition, in order to optimise the benefits of the various privacy preserving technologies, the EDPS emphasizes the importance of their standardization and interoperability. To this end, he welcomes the commitment in the Strategy for facilitation of the development of common European standards and requirements for the public procurement of data processing services and encourages the Commission to pursue further this objective.

5.3. ‘Data altruism’

68. In the Strategy the Commission commits to “make it easier for individuals to allow the use of the data they generate for the public good, if they wish to do so (‘data altruism’), in compliance with the GDPR. In relation to the concept of “data altruism”, also described as “data donation”, the EDPS considers that the added value of this notion is not entirely clear, taking into account that such ‘data altruism’ would rely on the consent of the data subject and that the GDPR already provides principles and rules on consent. Therefore, the EDPS invites the Commission to better define and lay down the scope, including the possible purposes, of such “data altruism” (for instance, data altruism for scientific research in the health sector).

69. The EDPS would also like to reiterate that the fundamental right to the protection of personal data cannot in any case be ‘waived’ by the individual concerned, be it through a “donation” or through a “sale” of personal data. The data controller remains fully bound by the personal data rules and principles even when processing data that have been “donated” i.e. when consent to the processing had been given by the data subject.

5.4. Skills and digital literacy

70. The EDPS welcomes the commitment of the Commission to invest in skills and general data literacy. In this regards, he would like to stress that data protection literacy is important for individuals to know their rights in general and to make informed decisions about whether or not to allow certain uses of their data. This is particularly relevant for young people who are among the most active users of digital services.

71. Data protection awareness is a conditio sine qua non for ensuring that individuals’ consent is meaningful. Furthermore, data protection conscious individuals would make better use of their data subject rights and thus would push all actors in the data ecosystem to comply with the letter and the spirit of the GDPR.

5.5. International data sharing

72. The EDPS welcomes the clear commitment that all companies and other organisations which sell goods or provide services related to the data economy in Europe must respect European legislation and this should not be compromised by jurisdictional claims from outside Europe.

73. The EDPS would like to recall that all transfers of personal data to third countries or international organisations must comply with Chapter V and the other relevant provisions of the GDPR, or in the case of Union institutions and bodies, with Regulation (EU) 2018/1725. This obligation fully applies to cloud computing, as illustrated by the EDPS Guidelines on the use of cloud computing services by the EU institutions and bodies34 and the establishment of the Hague Forum – the first EU software and cloud suppliers customer council (35).

74. The EDPS fully shares the view of the Commission that international cooperation must be based on an approach that promotes the EU’s fundamental values, including protection of privacy and personal data. The same approach is guiding the EDPS in his cooperation with other partner organisations and within international fora such as the Global Privacy Assembly.

6. CONCLUSIONS

75. The EDPS understands the growing importance of data for the economy and society and supports the ambition to make the European Union “the most attractive, most secure and most Dynamic data-agile economy in the world”. At the same time, he would like to recall that “big data comes with big responsibility” and therefore appropriate data protection safeguards must be in place and effectively applied.

76. The EDPS welcomes the Commission’s commitment to ensure that European fundamental rights and values, including the right to the protection of personal data, underpin all aspects of the Data Strategy and its implementation. In particular, he appreciates the assurance that the Strategy would be developed in full compliance with the General Data Protection Regulation, which provides a solid basis, also by virtue of its technologically-neutral approach.

77. Today, the predominant business model of the digital economy is characterised by unprecedented concentration of data in the hands of a handful of powerful players, based outside the EU, and wide-scale pervasive tracking. The EDPS strongly believes that one of the most important objectives of the Data Strategy should be to prove the viability and sustainability of an alternative data economy model – open, fair and democratic. Therefore, the envisaged common European data spaces should serve as an example of transparency, effective accountability and proper balance between the interests of the data subjects and the shared interest of the society as a whole.

78. The EDPS expects to be consulted on any legislative follow-up to the Data Strategy which Will have an impact on data protection, as set out above, in line with Article 42 of Regulation 2018/1725, and remains at the disposal of the Commission, the Council and the European Parliament to provide further advice at the next stages of implementation of the European strategy for data, both in terms of legal framework and of practical aspects. The comments in this Opinion are without prejudice to additional comments in the future on particular issues and/or if further information is available.

Brussels, 16 June 2020

Wojciech Rafał WIEWIÓROWSKI

Notes

(1) OJ L 119, 4.5.2016, p. 1.

(2) OJ L 295, 21.11.2018, p. 39.

(3) OJ L 119, 4.5.2016, p. 89.

(4) COM (2020) 66 final, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-datastrategy

(5) COM(2020) 67 final, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/shaping-europedigital-future_en

(6)COM(2020) 65 final, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trustartificial-intelligence_en

(7) https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf

(8) https://edps.europa.eu/sites/edp/files/publication/18-07-11_psi_directive_opinion_en.pdf

(9) https://edps.europa.eu/sites/edp/files/publication/16-10-20_pims_opinion_en.pdf

(10) See more at https://edps.europa.eu/data-protection/our-work/subjects/covid-19_en

(11) COM (2017) 10 final, Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)

(12) See Article 29 Working Party Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025

(13) https://edps.europa.eu/sites/edp/files/publication/16-10-20_pims_opinion_en.pdf

(14) https://privacyinternational.org/legal-action/challenge-hidden-data-ecosystem

(15) See Recital 4 of GDPR

(16) See Article 29 WP Guidelines on DPIA: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

(17) In this regard, the general rule under Article 12(1) of the Open Data Directive states, subject to the limited exception under Article 12(2): “The re-use of documents shall be open to all potential actors in the market, even if one or more market actors already exploit added-value products based on those documents.Contracts or other arrangements between the public sector bodies or public undertakings holding the documents and third parties shall not grant exclusive rights.”

(18) Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public sector information, OJL 345, 31.12.2003, p. 90.

(19) Directive (EU) 2019/1024 of the European Parliament and of the Council of 20 June 2019 on open data and the re-use of public sector information, OJ L 172, 26.6.2019, p. 56-83.

(20) EDPS Opinion 5/2018, Opinion on the proposal for a recast of the Public Sector Information (PSI) re-use Directive, available at: https://edps.europa.eu/sites/edp/files/publication/18-07-11_psi_directive_opinion_en.pdf

(21) See, for instance, the Data protection impact assessment for smart grid and smart metering environment, available at: https://ec.europa.eu/energy/en/topics/markets-and-consumers/smart-grids-and-meters/smart-grids-task-force/dataprotection-impact-assessment-smart-grid-and-smart-metering-environment  The latter could be implemented in order to also take into account the re-use of data to identify energy saving solutions.

(22) See at page 8 of the Strategy, referring to “use of aggregated and anonymised social media data”.

(23) See Case C‑582/14 Patrick Breyer v Bundesrepublik Deutschland, ECLI:EU:C:2016:779

(24) See Article 29 WP Opinion 05/2014 on Anonymisation Techniques, https://ec.europa.eu/justice/article29/documentation/opinion-recommendation/files/2014/wp216_en.pdf

(25) https://www.ema.europa.eu/en/human-regulatory/marketing-authorisation/clinical-data-publication/support-industryclinical-data-publication

(26) https://ec.europa.eu/eurostat/web/european-statistical-system/reuse-ess-statistics

(27) See Recital 5 of Regulation (EU) 2018/1725

(28) See EDPB-EDPS Joint Opinion 1/2019 on the processing of patients’ data and the role of the European Commission within the eHealth Digital Service Infrastructure (eHDSI), https://edpb.europa.eu/our-work-tools/ourdocuments/edpbedps-joint-opinion/edpb-edps-joint-opinion-12019-processing_en

(29) See page 15 of the Data Strategy.

(30) https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf

(31) https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerninghealth-purpose_en

(32) See more on this issue in the EDPS Preliminary opinion on data protection and scientific research

(33) See for instance the opinion of the German Data Ethics Commission from 2019, recommendations 16-23.

(34) https://edps.europa.eu/sites/edp/files/publication/18-03-16_cloud_computing_guidelines_en.pdf

(35) For more information see https://edps.europa.eu/press-publications/press-news/press-releases/2019/edpsinvestigation-it-contracts-stronger_en

01Ene/15

La Unión Europea defiende que las empresas se sometan a las leyes de Protección de Datos

La Unión Europea defiende que las empresas se sometan a las leyes de Protección de Datos

Viviane Reding, vicepresidenta de la Comisión Europea y responsable de Justicia ha defendido, a pocos meses de que la Comisión presente propuestas legislativas para actualizar la directiva de Protección de Datos de 1995, que “las compañías que dirigen sus servicios a los consumidores europeos deben estar sujetas a la legislación de protección de datos europea”.

Además, añade que de lo contrario “no deberían hacer negocios en nuestro mercado interno”; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.

Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como “requerir el consentimiento explícito antes de se utilicen sus datos” para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.

Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.