INFORME sobre el primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE)
(COM(2003) 265 – 2003/2153(INI))
24 de febrero de 2004
Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores
Ponente: Marco Cappato
PÁGINA REGLAMENTARIA
Mediante carta de 15 de mayo de 2003, la Comisión transmitió al Parlamento el primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE) (COM(2003) 265) que se remitió para información a la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores.
En la sesión del 4 de septiembre de 2003, el Presidente del Parlamento anunció que se había autorizado a la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores a elaborar un informe de propia iniciativa sobre este asunto, de conformidad con el apartado 2 del artículo 47 y con el artículo 163 del Reglamento, y que se había consultado para opinión a la Comisión de Asuntos Jurídicos y Mercado Interior y a la Comisión de Industria, Comercio Exterior, Investigación y Energía (C5-0376/2003).
En la reunión del 9 de septiembre de 2003, la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores había designado ponente a Marco Cappato.
En las reuniones de los días 22 de enero y 19 de febrero de 2004, la comisión examinó el proyecto de informe.
En la última de estas reuniones, la comisión aprobó la propuesta de resolución por unanimidad.
Estuvieron presentes en la votación: Jorge Salvador Hernández Mollar (presidente), Johanna L.A. Boogerd-Quaak (vicepresidenta), Giacomo Santini (vicepresidente), Maurizio Turco (suplente de Marco Cappato, ponente), Mary Elizabeth Banotti, Kathalijne Maria Buitenweg (suplente de Patsy Sörensen), Michael Cashman, Carmen Cerdeira Morterero, Gérard M.J. Deprez, Adeline Hazan, Margot Keßler, Timothy Kirkhope, Eva Klamt, Luís Marinho (suplente de Ozan Ceyhun), Marjo Matikainen-Kallström (suplente de Charlotte Cederschiöld), Arie M. Oostlander (suplente de Carlos Coelho), Elena Ornella Paciotti, Paolo Pastorelli (suplente de Giuseppe Brienza), Hubert Pirker, Bernd Posselt, Olle Schmidt (suplente de Baroness Ludford), Sérgio Sousa Pinto, Joke Swiebel, Anna Terrón i Cusí y Christian Ulrik von Boetticher.
Las opiniones de la Comisión de Asuntos Jurídicos y Mercado Interior y de la Comisión de Industria, Comercio Exterior, Investigación y Energía se adjuntan al presente informe.
El informe se presentó el 24 de febrero de 2004.
PROPUESTA DE RESOLUCIÓN DEL PARLAMENTO EUROPEO
sobre el primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE) (COM(2003) 265 – C5-0375/2003 – 2003/2153(INI))
El Parlamento Europeo,
– Visto el primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE) (COM(2003) 265 – C5-0375/2003),
– Vistos los textos de Derecho internacional sobre la protección del derecho a la vida privada, en particular el artículo 12 de la Declaración Universal de los Derechos Humanos de 10 de diciembre de 1948, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos de 16 de diciembre de 1966, el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales[1] de 4 de noviembre de 1950, el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal[2] de 28 de enero de 1981, y las recomendaciones adoptadas por el Consejo de Europa,
– Vistos el artículo 6 del Tratado de la Unión Europea (respeto de los derechos humanos y de las libertades fundamentales en la Unión Europea) y el artículo 286 del Tratado de la Comunidad Europea, así como los artículos 7 (respeto de la vida privada y familiar) y 8 (protección de datos de carácter personal) de la Carta de los Derechos Fundamentales de la Unión Europea,
– Vista la legislación de la Unión Europea relativa a la protección del derecho a la vida privada y a la protección de los datos personales, en particular la Directiva 95/46/CE de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas,
– Vistos otros instrumentos de la Unión Europea relativos a la protección de los datos en el ámbito del tercer pilar, en particular el proyecto de documento de trabajo de la Presidencia griega sobre normas comunes para la protección de los datos personales en el marco del tercer pilar, y visto el anuncio del Comisario Vitorino de proponer en 2004 un instrumento jurídico al respecto[3],
– Vistos los dictámenes del Grupo de trabajo sobre la protección de las personas en lo que respecta al tratamiento de datos personales, creado con arreglo al artículo 29 de la Directiva 95/46/CE,
– Vistos los documentos relativos a la transferencia de datos personales de los pasajeros transatlánticos a los Estados Unidos, en particular, los dictámenes del Grupo de trabajo contemplado en el artículo 29, las comunicaciones de la Comisión, los compromisos de los Estados Unidos, el dictamen de la Comisión belga para la protección de la vida privada sobre las denuncias de algunos pasajeros y la denuncia presentada ante la Comisión por violación del Reglamento (CEE) n° 2299/89,
– Vista la sentencia del Tribunal de Justicia en el asunto Österreichischer Rundfunk y otros, de 20 de mayo de 2003,
– Vistos el apartado 2 del artículo 47 y el artículo 163 de su Reglamento,
– Vistos el informe de la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores y las opiniones de la Comisión de Asuntos Jurídicos y Mercado Interior y de la Comisión de Industria, Comercio Exterior, Investigación y Energía (A5‑0104/2004),
A. Considerando que el derecho a la vida privada es un derecho humano fundamental, según establecen los principales instrumentos jurídicos que garantizan los derechos y libertades del ciudadano a escala internacional, europea y nacional,
B. Considerando que la Unión Europea ha desarrollado un régimen jurídico destinado a garantizar la protección de la vida privada de los ciudadanos mediante un alto grado de protección de los datos en los ámbitos cubiertos por el primer pilar,
C. Considerando que debido a la actual estructura de pilares de la Unión Europea, las actividades comprendidas en el ámbito del segundo y del tercer pilar quedan excluidas de dicho régimen jurídico y, en parte, están sujetas a disposiciones específicas y fragmentarias; que se informa o consulta sólo en parte al Parlamento Europeo y que el Tribunal de Justicia tiene competencias limitadas al respecto,
D. Considerando que, con arreglo a la Directiva 95/46/CE, la Comisión informará al Consejo y al Parlamento Europeo sobre la aplicación de la Directiva y, si procede, propondrá las necesarias y oportunas modificaciones,
E. Considerando que tras los atentados terroristas del 11 de septiembre de 2001, se han previsto o adoptado a escala nacional, europea e internacional medidas destinadas a incrementar la seguridad que modifican el derecho a la vida privada y a la protección de los datos,
F. Considerando que la cuestión de la transferencia de datos a terceros países y organizaciones es motivo de preocupación, no solamente por la disparidad de las normativas de los Estados miembros, algunas excesivamente permisivas y otras excesivamente rígidas, sino sobre todo porque la evaluación obligatoria de la adecuación de la protección que los destinatarios prestan a un derecho fundamental de los ciudadanos europeos está reservada a la Comisión, órgano ejecutivo, y no al Parlamento,
G. Considerando que siguen en curso las negociaciones entre la Unión Europea y los Estados Unidos sobre el problema de la transferencia ilegal de los datos personales de los pasajeros transatlánticos a los Estados Unidos, y que el Parlamento Europeo ha pedido a la Comisión que tome medidas en virtud del artículo 232 TCE,
H. Considerando que la Comisión belga para la protección de la vida privada averiguó que los datos personales de algunos pasajeros transatlánticos europeos, entre ellos los de un diputado europeo, se transfirieron ilegalmente a los Estados Unidos, lo que constituye una violación de la legislación belga y de las directivas europeas,
I. Considerando que el Grupo de trabajo creado en virtud del artículo 29 afirma en su dictamen sobre la transferencia de datos relativos a los pasajeros transatlánticos a los Estados Unidos que los progresos logrados no permiten una constatación satisfactoria de la adecuación, y que quedan por resolver otras numerosas cuestiones antes de que la Comisión pueda llegar a una decisión al respecto,
J. Considerando que la Unión Europea, sus instituciones y los Estados miembros tienen que respetar la Carta de los Derechos Fundamentales de la UE, en particular el artículo 8, el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como los principios generales del Derecho internacional, y que la política de retención de los datos y de transferencia de datos a terceros países que actualmente se practica podría vulnerarlos gravemente,
K. Considerando que la Comisión y los Estados miembros, así como las autoridades nacionales de protección de la vida privada, son responsables de la aplicación efectiva de las leyes nacionales y europeas pertinentes y de sancionar su incumplimiento,
L. Considerando que es flagrante la violación de las leyes nacionales y europeas relativas a la transferencia de datos personales a terceros países en el caso de la transferencia de datos personales de los pasajeros transatlánticos a las autoridades responsables de la aplicación de la ley en los Estados Unidos, y que el comportamiento de la Comisión, de los Estados miembros, así como de algunas autoridades de protección de datos, en particular aquellas a las que la legislación nacional atribuye el poder de bloquear la transferencia de datos, ha sido de sustancial connivencia con la violación de la ley y del principio de legalidad;
M. Considerando que en el contexto de la sociedad global de la información conformada por Internet no es posible encontrar soluciones únicamente dentro de la UE,
Necesidad de un régimen europeo general e interpilares de protección de la vida privada y de los datos
1. Critica los gravísimos retrasos acumulados por la Comisión al respecto y la exhorta a que, según lo anunciado y antes de que finalice el primer semestre de 2004, presente un "instrumento jurídico" para la protección de la vida privada en el ámbito del tercer pilar; dicho instrumento tendrá carácter obligatorio y se destinará a garantizar en el tercer pilar el mismo grado de protección de los datos y de la vida privada que en el primero; deberá armonizar en este elevado nivel las actuales normas relativas a la vida privada y a la protección de los datos por lo que concierne a Europol, Eurojust y todos los demás organismos e iniciativas pertenecientes al tercer pilar, así como a todos los intercambios de datos entre ellos y terceros países y organizaciones;
2. Considera que, a largo plazo, la Directiva 95/46/CE deberá aplicarse, con las oportunas adaptaciones, a todos los ámbitos de actividades de la Unión Europea, con el fin de garantizar un alto nivel de normas comunes y armonizadas sobre la vida privada y la protección de los datos;
3. Considera que las autoridades nacionales de control y una autoridad común de la Unión Europea, así como el Tribunal de Justicia de las Comunidades Europeas, ante los que podrán recurrir los ciudadanos, deberán garantizar el respeto de la vida privada y la protección de los datos; se deberá consultar al Parlamento, con poder de toma de decisión, sobre toda propuesta que se relacione o que repercuta en la protección de la vida privada en la Unión Europea, se trate de acuerdos internacionales de sus organismos o de constataciones de la adecuación, etc.;
4. Considera necesario facilitar a los ciudadanos el disfrute de sus derechos a la vida privada y a la protección de los datos personales (acceso a los datos, corrección, modificación, supresión, etc.), mediante un procedimiento único ante las autoridades nacionales de protección de datos por lo que respecta a los datos contenidos en los bancos de datos nacionales y europeos, tanto del primer como del tercer pilar;
5. Se congratula de que la Comisión haya llevado a cabo una consulta abierta y en profundidad, así como un debate con todas las partes interesadas (Gobiernos de los Estados miembros y autoridades de control, organizaciones, empresas, ciudadanos), en línea y fuera de línea, sobre la aplicación de la Directiva, y toma nota de los resultados de esta consulta;
Aplicación de la Directiva 95/46/CE sobre protección de datos
6. Lamenta que algunos Estados miembros no hayan aplicado la Directiva antes del 24 de octubre de 1998, plazo fijado para la transposición, y que la Comisión se viera obligada a iniciar procedimientos contra Francia, Luxemburgo, los Países Bajos, Alemania e Irlanda el 11 de enero de 2000; observa que, en la actualidad, todos los Estados miembros han cumplido con sus obligaciones; pide a Irlanda que notifique de inmediato a la Comisión sus recientes medidas de aplicación; lamenta que la aplicación tardía de la Directiva por parte de los Estados miembros y las diferencias persistentes en las modalidades de aplicación de la Directiva a escala nacional hayan impedido a los operadores económicos sacar todo el partido posible de la misma y hayan obstaculizado determinadas actividades transfronterizas en el seno de la Unión Europea;
7. Pide a todas las partes interesadas, las instituciones europeas, los Estados miembros, las autoridades de protección de los datos, así como los agentes económicos y la sociedad civil, que aporten su contribución y cooperen para lograr la correcta aplicación de los principios de protección de los datos con arreglo a la Directiva;
8. Está de acuerdo con la Comisión en que, puesto que la aplicación de la Directiva ha sido muy lenta y la experiencia todavía es limitada, no se modificará por el momento, con la excepción de lo indicado en el apartado 10 bis, y las actuales deficiencias de aplicación se podrán solucionar con las medidas adoptadas a escala europea y nacional por los Estados miembros y las autoridades de protección de los datos, con arreglo al programa anunciado en la comunicación de la Comisión;
9. Recuerda que la garantía de la protección de los datos condiciona la realización del mercado interior. En este sentido, pide a la Comisión que señale los ámbitos en que las divergencias de interpretación de la Directiva obstaculizan el buen funcionamiento del mercado interior y que informe al Parlamento Europeo al respecto;
10. Está de acuerdo con la Comisión en que, si tras seis meses de cooperación no se obtuvieran los resultados esperados, deberá recurrir ante el Tribunal de Justicia contra los Estados miembros que no hayan aplicado la Directiva o se nieguen a hacerlo; considera, al respecto, que la Comisión ha de reservar especial atención y determinación al respeto efectivo de las excepciones legales a la vida privada, al respeto del CEDH y de la jurisprudencia correspondiente;
Transferencia de datos a terceros países y organizaciones
11. Acoge favorablemente las intenciones de la Comisión de simplificar el entorno normativo para las empresas respecto a los requisitos de las transferencias internacionales de datos;
12. Recuerda que no se autorizarán excepciones al principio en virtud del cual los datos relacionados con el primer pilar podrán transferirse a terceros países y organizaciones únicamente si el nivel de protección de los datos es similar al establecido en la Unión Europea;
13. Recuerda en particular a Europol, Eurojust y a otros organismos del tercer pilar, que los datos relacionados con la aplicación de la ley sólo se podrán transferir, caso por caso, a países y organismos que respeten los derechos humanos y las libertades fundamentales, la democracia, el Estado de Derecho, las normas europeas de protección de los datos, como los principios de protección de los datos enunciados en la Recomendación R (87) 15 del Consejo de Europa sobre la utilización de los datos de carácter personal en el sector policial; pide además que se le consulte antes de efectuar dichas transferencias y que se le informe al respecto una vez efectuadas; insta a Europol y Eurojust a que aclaren y pongan a disposición de los ciudadanos y del Parlamento Europeo las informaciones necesarias relativas al intercambio de datos, personales o no, con terceros país y organismos;
14. Reitera que se produce una grave infracción de las normas de la Unión Europea relativas a la protección de los datos personales, como por otra parte lo confirman el dictamen de la Comisión belga para la protección de la vida privada, los dictámenes del Grupo de Trabajo del artículo 29 y el informe de la red de expertos sobre derechos humanos de la Unión Europea, cuando dichos datos se transfieren a terceros o a las autoridades aduaneras y policiales de un tercer país, o cuando éstos pueden tener acceso directo y sistemático a los mismos, sin informar al titular de los datos y sin su consentimiento, en particular cuando los datos se han recabado para otros fines y sin autorización judicial, como es el caso de las autoridades estadounidenses, que acceden a los datos personales de los pasajeros transatlánticos recogidos en la Unión Europea por las compañías aéreas y los sistemas electrónicos de reserva;
15. Está de acuerdo con el Grupo de Trabajo del artículo 29 en que el régimen sobre la vida privada actualmente aplicado en los Estados Unidos no es adecuado, como tampoco la última versión de los compromisos, y en que persisten elementos problemáticos respecto de los cuales los progresos logrados en un año de negociaciones entre la Comisión y las autoridades estadounidenses son absolutamente insuficientes;
16. Propone que la Directiva se modifique de modo que la evaluación de la adecuación de la protección de los datos personales de los ciudadanos europeos por parte de un tercer país en el que dichos datos se habrán de transferir pueda aprobarse únicamente previa aprobación del Parlamento Europeo;
17. Pide que los acuerdos que se están negociando o que se han negociado relativos a la transmisión de datos personales entre la Unión Europea y terceras partes o países terceros garanticen un adecuado nivel de protección de datos que, en cualquier caso, deben mantener el nivel que garantiza la Directiva 95/46/CE;
Excepciones a las leyes relativas a la vida privada
18. Considera que las medidas legislativas de los Estados miembros que prevén la conservación a gran escala de datos relacionados con las comunicaciones de los ciudadanos por razones de aplicación de la ley no son plenamente conformes con el Convenio Europeo para la Protección de los Derechos Humanos y la jurisprudencia correspondiente, puesto que constituyen una injerencia en el derecho a la vida privada y no prevén la autorización previa de una autoridad judicial, caso por caso y por un tiempo limitado; tampoco prevén la distinción entre categorías de personas que pueden ser objeto de vigilancia, el respeto de la confidencialidad de las comunicaciones protegidas, como por ejemplo las comunicaciones entre abogado y cliente, o la indicación del tipo de delito o de las circunstancias que autorizan dicha injerencia; considera asimismo que cabe dudar de que estas medidas sean necesarias, proporcionadas y apropiadas en una sociedad democrática, con arreglo a lo establecido en el artículo 15 de la Directiva 2002/58/CE;
19. Pide a la Comisión que elabore un documento sobre el derecho a la vida privada y las condiciones en que las excepciones son legales, sobre la base del Convenio Europeo para la Protección de los Derechos Humanos, la jurisprudencia correspondiente y las directivas comunitarias relativas a la protección de los datos e insta a las instituciones europeas a que organicen un debate abierto y transparente sobre la base de este documento;
Otras observaciones
20. Pide a los Estados miembros que respeten los criterios de claridad y seguridad jurídicas en aras de una mejor regulación cuando incorporen la Directiva a sus ordenamientos, con el fin de evitar sobrecargas innecesarias para las empresas y en particular para las PYME;
21. Insiste en que la libre circulación de los datos de carácter personal es esencial para el buen ejercicio de la casi totalidad de las actividades económicas a escala de la Unión. Se trata, en consecuencia, de resolver lo antes posible las diferencias de interpretación a fin de permitir que las organizaciones multinacionales definan políticas paneuropeas en materia de protección de los datos;
22. Subraya la necesidad de que los Estados miembros y las instituciones europeas adopten un nivel de protección de los derechos fundamentales y de protección de las personas equivalente en la aplicación de la Directiva 95/46/CE y en la aplicación del Reglamento 45/2001 relativo a la protección de los datos;
23. Pide a la Comisión Europea que adopte un enfoque de armonización de esta Directiva con los demás textos legislativos, como la propuesta de directiva del Parlamento Europeo y del Consejo relativa a la armonización de las disposiciones legislativas, reglamentarias y administrativas de los Estados miembros en materia de crédito a los consumidores a fin de evitar las incoherencias entre estas propuestas;
24. Pide a los Estados miembros y a las autoridades de control que creen un entorno menos complejo y gravoso para los responsables del tratamiento de los datos y expresa su acuerdo con la Comisión respecto a la necesidad de evitar la imposición de requisitos de los que podría prescindirse sin ningún efecto perjudicial para el elevado nivel de protección que garantiza la Directiva;
25. Subraya que la gestión y la protección de datos constituyen actualmente un factor crucial de éxito para las empresas que desean proteger sus inversiones en infraestructura informática;
26. Expresa su acuerdo con la Comisión respecto a la necesidad de las mejoras que deben introducirse para que los operadores económicos cuenten con una gama más amplia de cláusulas contractuales tipo en el ámbito de la protección de datos y que dichas cláusulas se basen en propuestas de las asociaciones representativas de las empresas;
27. Pide a los Estados miembros que procuren que las autoridades para la protección de los datos dispongan de los medios necesarios para llevar a cabo los cometidos previstos en la Directiva 95/46/CE y que sean independientes y autónomas de los gobiernos nacionales; las autoridades de protección de los datos deberán mejorar constantemente su eficiencia y eficacia y desempeñar un papel más activo a escala nacional y europea en el marco del Grupo de Trabajo a que se refiere el artículo 29, por ejemplo con su contribución a la aplicación del programa propuesto por la Comisión y para garantizar el cumplimiento de la ley;
28. Lamenta que siete Estados miembros, Bélgica, Alemania, Grecia, Francia, Luxemburgo, los Países Bajos y Portugal no hayan respetado el plazo para la aplicación de la Directiva 2002/58/CE, fijado el 31 de octubre de 2003, y les pide que adopten las medidas necesarias;
29. Pide que la Comisión, los Estados miembros y las autoridades nacionales de protección de datos efectúen evaluaciones anuales del respeto de las normas nacionales y europeas relativas a la vida privada, con independencia del pilar de referencia, y, si procede, propongan modificaciones a la legislación, las transmitan a los órganos competentes, en particular los parlamentarios, y las pongan a disposición del público, especialmente en Internet;
30. Manifiesta su preocupación por la evolución del SIS y por los planes del Consejo según los cuales el SIS II debería permitir la adición de nuevas categorías de anotaciones (personas y objetos), de nuevos sectores, la puesta en relación de las anotaciones, la modificación del plazo de conservación de dichas anotaciones, así como el registro y la transferencia de datos biométricos, en particular fotografías y huellas dactilares, así como el acceso a nuevas autoridades, es decir, Europol, Eurojust y autoridades judiciales nacionales, si procede, por motivos diferentes de los definidos inicialmente, como por ejemplo la notificación de órdenes de captura europeas; critica, asimismo, la confusión jurídica creada por el hecho de que el SIS afecta tanto al primero como al tercer pilar, con distintos grados de protección de la vida privada;
31. Manifiesta su preocupación por la orientación general adoptada por el Consejo sobre las propuestas para incluir datos biométricos (fotos digitales y huellas dactilares) en visados y documentos de estancia mediante una pastilla electrónica, en particular porque los datos podrían fácilmente copiarse en bancos de datos centralizados en caso de control; teme que los nuevos avances en el ámbito de la protección de los datos, como por ejemplo la utilización de la biometría, planteen nuevas exigencias a las autoridades de control, "dotadas con recursos insuficientes y con una amplia variedad de cometidos"[4] ; pide a los Estados miembros que pongan más recursos a disposición de las autoridades de control encargadas de la protección de datos con objeto de garantizar el funcionamiento eficaz del sistema;
32. Pide a los Estados miembros y a las autoridades nacionales y europeas que procuren que no se haga un uso abusivo de la legislación relativa a la vida privada con el fin o con el resultado de obstaculizar el derecho de acceso a los documentos, la transparencia administrativa y la publicidad institucional, o también de complicar excesivamente el ejercicio individual de la "libertad de ser conocido"; pide a la Comisión que presente un informe, sobre la base de un dictamen del Grupo de Trabajo del artículo 29, sobre este tipo de prácticas abusivas, y que proponga directrices y, en su caso, medidas legislativas para prevenirlas;
33. Pide a la Comisión que continúe el control de la cuestión de la videovigilancia, también en virtud de las jurisprudencias nacionales, y espera poder examinar la propuesta anunciada relativa a la protección de la vida privada en el ámbito del trabajo;
34. Insta a Eurojust a que aclare cuáles son las normas nacionales y europeas aplicadas hasta ahora y que aplica actualmente, puesto que al respecto persisten una gran confusión y graves dudas;
35. Estima que la autorregulación es un medio adecuado para evitar una normativa excesivamente detallada e insta a la comunidad empresarial a crear un código de conducta europeo sobre protección de los datos personales;
36. Pide un esfuerzo adicional en los niveles nacional, europeo e internacional en favor de los principios universalmente aceptados, con vistas a mejorar la aplicación de las directrices de la OCDE y del Convenio del Consejo de Europa;
37. Señala que la protección de la intimidad y de los datos personales debería formar parte del currículum docente en materia de informática e Internet; pide a los Estados miembros y a la Comisión que promuevan la sensibilización de los ciudadanos en cuanto a los derechos en materia de protección de datos;
38. Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y Parlamentos de los Estados miembros, a las autoridades nacionales competentes para la vida privada, a Europol y Eurojust, así como al Gobierno de los Estados Unidos.
EXPOSICIÓN DE MOTIVOS
Introducción
En la Unión Europea numerosos instrumentos internacionales, europeos y nacionales garantizan un alto nivel de protección del derecho a la vida privada y a la protección de los datos. Además de las normas convencionales de las Naciones Unidas que consagran el respeto de la vida privada como derecho humano y libertad fundamental de la persona, a escala europea existen los siguientes instrumentos: el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), la jurisprudencia evolutiva del Tribunal de Derechos Humanos, el Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal. Por su parte, mediante una serie de normas, en particular las Directivas 95/46/CE de 24 de octubre de 1995 sobre la protección de los datos y la Directiva 2002/58/CE de 12 de julio de 2002 relativa a la protección de la intimidad en el sector de las comunicaciones electrónicas, la Unión Europea especifica las reglas de aplicación de los principios y normas anteriormente mencionados.
Aunque la protección "formal" del derecho al respeto de la vida privada, por lo menos en el ámbito del primer pilar, es relativamente satisfactoria, cabe observar con preocupación el proceso de debilitamiento de la protección "sustancial" de este derecho. Numerosos Estados han adoptado normas denominadas "antiterroristas" que ponen en peligro los derechos y libertades fundamentales que forman la base de la democracia y del Estado de Derecho. El derecho a la intimidad es una de las primeras víctimas de este activismo legislativo de emergencia, cuyo objetivo es volver a definir la delicada frontera entre los derechos fundamentales y las injerencias legales y necesarias en una sociedad democrática a efectos de "orden público".
En el presente informe se hace un balance de la protección de la vida privada en la Unión Europea y se exponen en primer lugar la situación actual y las reformas necesarias a escala europea; a continuación, se trata el problema de la aplicación de las mencionadas directivas y se presentan sugerencias relativas a las acciones por emprender, al problema de la transferencia de datos personales a terceros países, así como a la amenaza que representan para la protección de la vida privada las injerencias del Estado y de terceros, estas últimas con frecuencia por cuenta del propio Estado.
1. La Unión Europea y la vida privada: una protección fragmentada
La protección de la vida privada en la Unión se regula con arreglo a normas diferentes, tanto en sentido vertical (internacional, europeo, nacional) como horizontal (por pilares). Además de las normas internacionales, del CEDH y de la jurisprudencia correspondiente, de aplicación "horizontal" a los tres pilares, sólo en el primer pilar son válidos los regímenes de garantía que se definen en las mencionadas directivas. En lugar de aplicar la Directiva 95/46/CE al tercer pilar o de establecer normas específicas de aplicación a todo el tercer pilar, hasta ahora se ha preferido la estrategia de crear normas ad hoc relativas al organismo competente para tratar determinados datos personales. La consecuencia es una situación sumamente confusa y fragmentaria que el ciudadano, e incluso el experto, difícilmente podrá desentrañar y, en consecuencia, le será difícil hacer valer sus derechos con eficacia.
Esta situación se ha de solucionar con la máxima urgencia. El ponente manifiesta su disconformidad con el grave retraso acumulado, pero congratula a la Comisión por la intención, anunciada por el Comisario Vitorino, de presentar cuando antes una propuesta relativa a la protección de los datos en el tercer pilar. Considera que, a corto plazo, es esencial aclarar, cuando no armonizar, los principios y su aplicación, los métodos para hacer valer el derecho a la vida privada y al tratamiento de los datos personales. A largo plazo, y en particular en la perspectiva de la supresión de los pilares en la Unión Europea preconizada por la Constitución, es deseable la aplicación de la Directiva 95/46/CE a nivel horizontal, con las necesarias adaptaciones. En cualquier caso, el ponente subraya la necesidad y urgencia de garantizar a los ciudadanos el acceso fácil a sus propios datos, a ser posible a través de un procedimiento único ante las autoridades nacionales de control, con la posibilidad de recurso ante una autoridad de control común europea y ante los jueces nacionales y europeos en caso de que se les deniegue dicho acceso.
Aplicación de la Directiva 95/46/CE
La Comisión acaba de publicar una Comunicación sobre la aplicación de la Directiva 95/46/CE relativa a la protección de los datos. La Comisión, que con arreglo al artículo 33 de la Directiva tiene que informar sobre la aplicación de la misma y, si procede, proponer enmiendas, ha decidido no proponer modificaciones por una serie de motivos que el ponente comparte y para los cuales se remite a la Comunicación. Al respecto, cabe señalar que la aplicación de la Directiva ha resultado sumamente problemática, como por otra parte puso de manifiesto la consulta pública organizada por la Comisión con vistas a la elaboración del informe: plazos excesivamente largos para adoptar y notificar a la Comisión los actos de transposición, decisión de la Comisión de iniciar procedimientos de infracción contra algunos Estados, aplicación discordante a escala nacional, dificultades en hacer respetar los derechos y obligaciones creados tanto por las autoridades de control como por los órganos encargados de la aplicación de la ley, excesivas complicaciones y trámites en los procedimientos de notificación. El programa de iniciativas elaborado por la Comisión para resolver estos problemas es una de las posibles soluciones, que se deberá evaluar una vez vistos sus resultados en cuanto a aclaración, simplificación y respeto de las obligaciones y derechos "horizontales", es decir entre ciudadanos, que genera la Directiva. En este sentido, sería útil fijar algunas etapas y plazos para la "negociación" que la Comisión emprenderá con los Estados miembros y con las autoridades sobre la base del programa. Un año podría ser un plazo razonable para que los Estados miembros adopten las medidas necesarias.
Una vez transcurrido el plazo necesario para resolver las incongruencias entre Derecho comunitario y Derecho nacional, la Comisión deberá proceder con decisión contra los Estados miembros recalcitrantes que, en su opinión, hayan infringido la letra y el espíritu de la Directiva. Es deseable, asimismo, que la Comisión informe cada año al Parlamento Europeo sobre la aplicación de la Directiva.
Transferencia de datos a terceros países
Durante la reunión conjunta de la Comisión de Asuntos Jurídicos y de la Comisión de Libertades Públicas, el 1 de diciembre de 2003, el Comisario Bolkestein confirmó que el acceso de las autoridades estadounidenses a los datos personales de los pasajeros de los vuelos transatlánticos es "ilegal". Stefano Rodotà, garante italiano de la vida privada y presidente del Grupo a que se refiere el artículo 29 de la Directiva, afirmó durante la misma reunión que algunos garantes nacionales hubieran podido obligar a las compañías aéreas a interrumpir la transferencia de datos, pero que decidieron no hacerlo. El ponente manifiesta su honda preocupación por el hecho de que ante una violación patente de la legislación europea y nacional y del derecho fundamental a la vida privada, las personas institucionalmente encargadas de hacer respetar estas leyes y derechos no lo hagan y sustancialmente toleren la violación de la ley. Además, la Comisión ha aprovechado rápidamente la ocasión para proponer un marco europeo de conservación y tratamiento de los datos relativos a los vuelos europeos similar al modelo estadounidense. El ponente no comparte las opciones políticas de la Comisión y está convencido de que, llegados a este punto, sólo el Tribunal de Justicia podrá aclarar este "embrollo" jurídico.
Si hay violación de las garantías sobre la transferencia a terceros países de los datos recogidos en el ámbito de actividades del primer pilar, la preocupación respecto del ámbito del tercer pilar es aún mayor. La cooperación mundial en la lucha contra el terrorismo ha dado lugar a la multiplicación de las transferencias a terceros países de datos relativos a las actividades del tercer pilar conservados en las bases de datos de distintos organismos (Europol, Eurojust, SIS, etc.). Según se expuso anteriormente, también los datos recogidos en el ámbito de actividades del primer pilar (vuelos transatlánticos) se ponen a disposición de terceros países (Estados Unidos) a efectos de orden público, lo que plantea otro problema de legalidad. Dado el carácter sensible de la información intercambiada, la norma mínima previsible es la aplicación de una cláusula democrática que prohiba la transferencia de datos a los Estados que no respeten los derechos humanos y las libertades fundamentales, la democracia, el Estado de Derecho y, en particular, los principios enunciados por el Consejo de Europa en la Recomendación R (87) 15 sobre el uso de los datos personales en el sector policial.
Excepciones a las normas relativas a la vida privada
En general, los instrumentos internacionales relativos a los derechos humanos que garantizan el derecho a la vida privada contemplan una cláusula sobre las excepciones legales. La prohibición de injerencias de las autoridades públicas en el ejercicio del derecho a la vida privada queda limitada por la previsión de excepciones, basadas en una ley, necesarias en una sociedad democrática en interés de la seguridad nacional, del orden público, del bienestar económico del Estado, para prevenir el desorden o la delincuencia, para proteger la moral, los derechos y las libertades de terceros. El Tribunal Europeo de Derechos Humanos interpreta la cláusula contenida en el CEDH de manera bastante restrictiva y define los criterios de legalidad, legitimidad y necesidad en una sociedad democrática en una serie de sentencias que constituyen una jurisprudencia en la que presta suma atención a la defensa de la vida privada de los ciudadanos contra las injerencias de las autoridades públicas o de terceros. Esta jurisprudencia obliga a la Unión Europea y a los Estados miembros, puesto que todos ellos son parte del CEDH, el artículo 6 del TUE reconoce la autoridad de dicho Convenio y la jurisprudencia derivada, y el Tribunal Europeo de los Derechos Humanos se ha reconocido competente para examinar la conformidad de los actos comunitarios con el Convenio y reconoce la responsabilidad de los Estados miembros por las decisiones adoptadas por la Unión. El artículo 15 de la Directiva 2002/58/CE prevé la posibilidad de que los Estados miembros adopten normas para la conservación de los datos, así como la exclusión de las actividades del tercer pilar del ámbito de aplicación de la Directiva, pero no exime a la Unión de la obligación de respetar el Convenio y la jurisprudencia del Tribunal.
En opinión del ponente, las normas relativas a la conservación sistemática de los datos relativos a las comunicaciones de los ciudadanos durante períodos que rebasan los previstos para la facturación o las reclamaciones, impuesta por los Estados a las compañías de teléfonos con fines de orden público, plantean problemas de conformidad con la jurisprudencia del Tribunal de Derechos Humanos y, en consecuencia, con el ordenamiento comunitario[1].
En opinión del ponente, la Comisión, que al igual que el PE inicialmente se había manifestado en contra de la inclusión de una referencia a la conservación de los datos, debería elaborar un documento que, a partir del análisis de la jurisprudencia del Tribunal Europeo de Derechos Humanos, permita guiar a los Estados miembros al transponer la Directiva 2002/58/CE, con el fin de garantizar que las normas nacionales y europeas relativas al derecho a la vida privada sean conformes con las normas europeas relativas a los derechos humanos[2].
- [1] Para un análisis detallado de la jurisprudencia del Tribunal Europeo de Derechos Humanos y de la posible incompatibilidad de las normas relativas a la conservación de los datos sobre comunicaciones, véase Memorandum of laws concerning the legality of data retention with regard to the right guaranteed by the European Convention on Human Rights, elaborado por Covington and Burling para Privacy International.
- [2] El ponente agradece a Ottavio Marzocchi, colaborador de los diputados radicales en el Parlamento Europeo, su contribución a la elaboración del presente informe.
OPINIÓN DE LA COMISIÓN DE ASUNTOS JURÍDICOS Y MERCADO INTERIOR
28 de enero de 2004
para la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores
sobre el Primer informe sobre la aplicación de la Directiva sobre protección de datos
(COM(2003) 265 – C5-0375/2003 – 2003/2153(INI)) (95/46/CE)
Ponente de opinión: Anne-Marie Schaffner
PROCEDIMIENTO
En la reunión del 7 de julio de 2003, la Comisión de Asuntos Jurídicos y Mercado Interior designó ponente de opinión a Anne-Marie Schaffner.
En las reuniones de los días 2 de diciembre de 2003 y 22 de enero de 2004, la comisión examinó el proyecto de opinión.
En la última de estas reuniones, la comisión aprobó las sugerencias que se presentan a continuación por unanimidad.
Estuvieron presentes en la votación: Giuseppe Gargani (presidente), Bill Miller (vicepresidente), Anne-Marie Schaffner (ponente de opinión), Uma Aaltonen, Paolo Bartolozzi, Luis Berenguer Fuster (suplente de Maria Berger), Ward Beysen, Bert Doorn, Raina A. Mercedes Echerer (suplente de Brian Crowley de conformidad con el apartado 2 del artículo 153 del Reglamento), Janelly Fourtou, Marie-Françoise Garaud, José María Gil-Robles Gil-Delgado, Kurt Lechner, Klaus-Heiner Lehne, Sir Neil MacCormick, Manuel Medina Ortega, Elena Ornella Paciotti, Marianne L.P. Thyssen, Ian Twinn (suplente de Rainer Wieland), Diana Wallis, Joachim Wuermeling y Stefano Zappalà.
SUGERENCIAS
La Comisión de Asuntos Jurídicos y Mercado Interior pide a la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:
1. Considera que la Directiva de 1995 relativa a la protección de los datos ha cumplido su objetivo consistente en eliminar un gran número de obstáculos a la libre circulación de los datos de carácter personal entre los Estados miembros y en garantizar un nivel de protección elevado en la Comunidad.
2. Considera, al igual que la Comisión, que es prematuro proponer modificaciones a la Directiva, teniendo en cuenta la muy limitada experiencia de los Estados miembros en la aplicación de la misma.
3. Felicita en este sentido a la Comisión por la propuesta que ha presentado consistente en la creación de un programa de trabajo basado en la cooperación entre los Estados miembros, por una parte, y entre Estados miembros y la Comisión, por otra. Espera que la Comisión examine minuciosamente los resultados de este programa de trabajo a fin de presentar, con la debida antelación y si resulta necesario, modificaciones a la Directiva.
4. Recuerda que Europa contará con 25 miembros el 1 de mayo de 2004 e insiste en que todos los Estados miembros modifiquen su legislación para ajustarse a las disposiciones de la Directiva. Insiste también en que los nuevos Estados miembros asignen recursos suficientes a sus autoridades de control y establezcan métodos imparciales para la designación de los miembros de esta autoridad para garantizar su independencia y plena cooperación con sus interlocutores en el seno de la Unión Europea.
5. Recuerda que la garantía de la protección de los datos condiciona la realización del mercado interior. Pide, en este sentido, a la Comisión que señale los ámbitos en que las divergencias de interpretación de la Directiva obstaculizan el buen funcionamiento del mercado interior y que informe al Parlamento Europeo al respecto.
6. Lamenta que la aplicación tardía de la Directiva por parte de los Estados miembros y las diferencias persistentes en las modalidades de aplicación de la Directiva a escala nacional hayan impedido a los operadores económicos sacar todo el partido posible de la misma y hayan obstaculizado determinadas actividades transfronterizas en el seno de la Unión Europea.
7. Insiste en que la libre circulación de los datos de carácter personal es esencial para el buen ejercicio de la casi totalidad de las actividades económicas a escala de la Unión. Se trata, en consecuencia, de resolver lo antes posible las diferencias de interpretación a fin de permitir que las organizaciones multinacionales definan políticas paneuropeas en materia de protección de los datos.
8. Subraya la necesidad de que los Estados miembros y las instituciones europeas adopten un nivel de protección de los derechos fundamentales y de protección de las personas equivalente en la aplicación de la Directiva 95/46/CE y en la aplicación del Reglamento 45/2001 relativo a la protección de los datos.
9. Pide a la Comisión Europea que adopte un enfoque de armonización de esta Directiva con los demás textos legislativos, como la propuesta de directiva del Parlamento Europeo y del Consejo relativa a la armonización de las disposiciones legislativas, reglamentarias y administrativas de los Estados miembros en materia de crédito a los consumidores a fin de evitar las incoherencias entre estas propuestas.
10. Reitera la solicitud expresada por el Parlamento Europeo en su Resolución sobre la transmisión de datos personales[1] por las compañías aéreas en los vuelos transatlánticos y expresa su deseo de que se aplique.
- [1] Resolución B5-0411/2003 de 9 de octubre de 2003.
OPINIÓN DE LA COMISIÓN DE INDUSTRIA, COMERCIO EXTERIOR, INVESTIGACIÓN Y ENERGÍA
27 de enero de 2004
para la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores
sobre el primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE)
(COM (2003) 265 – C5-0375/2003– 2003/2153(INI))
Ponente de opinión: Myrsini Zorba
PROCEDIMIENTO
En la reunión del 20 de octubre de 2003, la Comisión de Industria, Comercio Exterior, Investigación y Energía designó ponente de opinión a Myrsini Zorba.
En las reuniones de los días 2 de diciembre de 2003 y 27 de enero de 2004, la comisión examinó el proyecto de opinión.
En la última de estas reuniones, la comisión aprobó las sugerencias que se presentan a continuación por unanimidad.
Estuvieron presentes en la votación: Luis Berenguer Fuster (presidente), Yves Piétrasanta (vicepresidente), , Myrsini Zorba (ponente), Sir Robert Atkins, Felipe Camisón Asensio (suplente de Guido Bodrato), Giles Bryan Chichester, Nicholas Clegg, Willy C.E.H. De Clercq, Concepció Ferrer, Francesco Fiori (suplente de Michel Hansenne), Colette Flesch, Glyn Ford (suplente de Massimo Carraro), Norbert Glante, Hans Karlsson, Helmut Kuhne (suplente de Harlem Désir), Caroline Lucas, Eryl Margaret McNally, Hans-Peter Martin (suplente de Rolf Linkohr), Ana Miranda de Lage, Angelika Niebler, Reino Paasilinna, Paolo Pastorelli, Godelieve Quisthoudt-Rowohl, Imelda Mary Read, Mechtild Rothe, Christian Foldberg Rovsing, Martin , Konrad K. Schwaiger, Esko Olavi Seppänen, Claude Turmes, W.G. van Velzen, Alejo Vidal-Quadras Roca y Olga Zrihen Zaari.
SUGERENCIAS
La Comisión de Industria, Comercio Exterior, Investigación y Energía pide a la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:
A. Considerando que el ciudadano medio debe conocer mejor las posibilidades y los riesgos relacionados con la divulgación de los datos personales que le conciernen,
B. Considerando que en el contexto de la sociedad global de la información conformada por Internet no es posible encontrar soluciones únicamente dentro de la UE,
C. Considerando que las infracciones contra la protección de datos personales (referidos a ciudadanos de la UE) tienen más probabilidades de darse en terceros países que en Estados miembros,
D. Considerando que las directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales, adoptadas el 23 de septiembre de 1980, y el Convenio del Consejo de Europa para la protección de las personas frente al tratamiento automatizado de datos personales, firmado el 28 de enero de 1981 y en vigor a partir del 1 de octubre de 1985, no parecen estar aplicándose internacionalmente;
1. Señala que la heterogeneidad de las legislaciones nacionales de protección de datos obstaculiza el desarrollo del mercado interior y pide por tanto a la Comisión que ayude a los Estados miembros a interpretar y aplicar la directiva de forma coherente;
2. Subraya que es particularmente necesaria una mayor homogeneidad tanto con respecto a la notificación de operaciones de tratamiento como a las disposiciones relativas a la información que deben aportar los responsables del tratamiento de datos;
3. Acoge favorablemente las intenciones de la Comisión de simplificar el entorno normativo para las empresas respecto a los requisitos de las transferencias internacionales de datos;
4. Estima que no podrá aplicarse de manera adecuada la directiva de protección de datos sin que exista un proceso permanente de consultas entre las autoridades e instituciones públicas y organizaciones empresariales y de consumidores de los Estados miembros;
5. Subraya la necesidad de establecer estándares elevados y efectivos de protección de datos teniendo en cuenta los últimos avances tecnológicos de la sociedad de la información;
6. Recuerda la adopción de la Directiva sobre la privacidad y las comunicaciones electrónicas, que prevé una especial aplicación de los principios consagrados en la Directiva de protección de datos;
7. Pide a la Comisión que adopte medidas contra los Estados miembros que no han respetado el plazo del 31 de octubre de 2003 para incorporar a sus ordenamientos la Directiva sobre la privacidad y las comunicaciones electrónicas;
8. Pide a los Estados miembros que respeten los criterios de claridad y seguridad jurídicas en aras de una mejor regulación cuando incorporen la Directiva a sus ordenamientos, con el fin de evitar sobrecargas innecesarias para las empresas y en particular para las PYME;
9. Pide a los Estados miembros y a las autoridades de control que creen un entorno menos complejo y gravoso para los responsables del tratamiento de los datos y expresa su acuerdo con la Comisión respecto a la necesidad de evitar la imposición de requisitos de los que podría prescindirse sin ningún efecto perjudicial para el elevado nivel de protección que garantiza la Directiva;
10. Subraya que la gestión y la protección de datos constituyen actualmente un factor crucial de éxito para las empresas que desean proteger sus inversiones en infraestructura informática;
11. Expresa su acuerdo con la Comisión respecto a la necesidad de las mejoras que deben introducirse para que los operadores económicos cuenten con una gama más amplia de cláusulas contractuales tipo en el ámbito de la protección de datos y que dichas cláusulas se basen en propuestas de las asociaciones representativas de las empresas;
12. Estima que la autorregulación es un medio adecuado para evitar una normativa excesivamente detallada e insta a la comunidad empresarial a crear un código de conducta europeo sobre protección de los datos personales.
13. Pide un esfuerzo adicional en los niveles nacional, europeo e internacional en favor de los principios universalmente aceptados, con vistas a mejorar la aplicación de las directrices de la OCDE y del Convenio del Consejo de Europa;
14. Considera que la protección de la intimidad y de los datos personales estará en la práctica suficientemente garantizada cuando pase a formar parte de las actuales prioridades sociales y políticas;
15. Señala que la protección de la intimidad y de los datos personales debería formar parte del currículum docente en materia de informática e Internet;
16. Pide a los Estados miembros y a la Comisión que promuevan la sensibilización de los ciudadanos en cuanto a los derechos en materia de protección de datos.