Resolución del Parlamento Europeo sobre el primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE) (COM(2003) 265 - C5-0375/2003 - 2003/2153(INI))
El Parlamento Europeo,
– Visto el primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE) (COM(2003) 265 – C5-0375/2003),
– Vistos los textos de Derecho internacional sobre la protección del derecho a la vida privada, en particular el artículo 12 de la Declaración Universal de los Derechos Humanos de 10 de diciembre de 1948, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos de 16 de diciembre de 1966, el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales(1), de 4 de noviembre de 1950, el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal(2) de 28 de enero de 1981, y las recomendaciones adoptadas por el Consejo de Europa,
– Vistos el artículo 6 del Tratado UE sobre el respeto de los derechos humanos y de las libertades fundamentales en la Unión Europea y el artículo 286 del Tratado CE, así como los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, consagrados, respectivamente, al respeto de la vida privada y familiar y a la protección de datos de carácter personal,
– Vista la legislación de la Unión Europea relativa a la protección del derecho a la vida privada y a la protección de los datos personales, en particular la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(3), y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas(4),
– Vistos otros instrumentos de la Unión Europea relativos a la protección de los datos en el ámbito del tercer pilar, en particular el proyecto de documento de trabajo de la Presidencia griega sobre normas comunes para la protección de los datos personales en el marco del tercer pilar, y visto el anuncio del Comisario Vitorino de proponer en 2004 un instrumento jurídico al respecto(5),
– Vistos los dictámenes del Grupo de trabajo sobre la protección de las personas en lo que respecta al tratamiento de datos personales, creado con arreglo al artículo 29 de la Directiva 95/46/CE,
– Vistos los documentos relativos a la transferencia de datos personales de los pasajeros transatlánticos a los Estados Unidos, en particular, los dictámenes del Grupo de trabajo "artículo 29", las comunicaciones de la Comisión, los compromisos de los Estados Unidos, el dictamen de la Comisión belga para la protección de la vida privada sobre las denuncias de algunos pasajeros y la denuncia presentada ante la Comisión por violación del Reglamento (CEE) n° 2299/89 del Consejo, de 24 de julio de 1989, por el que se establece un código de consulta para los sistemas informátizados de reserva(6),
– Vista la sentencia del Tribunal de Justicia en el asunto Österreichischer Rundfunk y otros, de 20 de mayo de 2003(7),
– Vistos el apartado 2 del artículo 47 y el artículo 163 de su Reglamento,
– Vistos el informe de la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores y las opiniones de la Comisión de Asuntos Jurídicos y Mercado Interior y de la Comisión de Industria, Comercio Exterior, Investigación y Energía (A5-0104/2004),
A. Considerando que el derecho a la vida privada es un derecho humano fundamental, según establecen los principales instrumentos jurídicos que garantizan los derechos y libertades del ciudadano a escala internacional, europea y nacional,
B. Considerando que la Unión Europea ha desarrollado un régimen jurídico destinado a garantizar la protección de la vida privada de los ciudadanos mediante un alto grado de protección de los datos en los ámbitos cubiertos por el primer pilar,
C. Considerando que debido a la actual estructura de pilares de la Unión Europea, las actividades comprendidas en el ámbito del segundo y del tercer pilar quedan excluidas de dicho régimen jurídico y, en parte, están sujetas a disposiciones específicas y fragmentarias; que se informa o consulta sólo en parte al Parlamento Europeo y que el Tribunal de Justicia tiene competencias limitadas al respecto,
D. Considerando que, con arreglo a la Directiva 95/46/CE, la Comisión debe informar al Consejo y al Parlamento Europeo sobre la aplicación de la Directiva y, si procede, proponer las necesarias y oportunas modificaciones,
E. Considerando que tras los atentados terroristas del 11 de septiembre de 2001, se han previsto o adoptado a escala nacional, europea e internacional medidas destinadas a incrementar la seguridad que modifican el derecho a la vida privada y a la protección de los datos,
F. Considerando que la cuestión de la transferencia de datos a terceros países y organizaciones es motivo de preocupación, no solamente por la disparidad de las normativas de los Estados miembros, algunas excesivamente permisivas y otras excesivamente rígidas, sino sobre todo porque la evaluación obligatoria de la adecuación de la protección que los destinatarios prestan a un derecho fundamental de los ciudadanos europeos está reservada a la Comisión, órgano ejecutivo, y no al Parlamento,
G. Considerando que siguen en curso las negociaciones entre la Unión Europea y los Estados Unidos sobre el problema de la transferencia ilegal de los datos personales de los pasajeros transatlánticos a los Estados Unidos, y que el Parlamento Europeo ha pedido a la Comisión que tome medidas en virtud del artículo 232 TCE,
H. Considerando que la Comisión belga para la protección de la vida privada averiguó que los datos personales de algunos pasajeros transatlánticos europeos, entre ellos los de un diputado europeo, se transfirieron ilegalmente a los Estados Unidos, lo que constituye una violación de la legislación belga y de las directivas europeas,
I. Considerando que el Grupo de trabajo "artículo 29" afirma en su dictamen sobre la transferencia de datos relativos a los pasajeros transatlánticos a los Estados Unidos que los progresos logrados no permiten una constatación satisfactoria de la adecuación, y que quedan por resolver otras numerosas cuestiones antes de que la Comisión pueda llegar a una decisión al respecto,
J. Considerando que la Unión Europea, sus instituciones y los Estados miembros tienen que respetar la Carta de los Derechos Fundamentales de la UE, en particular el artículo 8, el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como los principios generales del Derecho internacional, y que la política de retención de los datos y de transferencia de datos a terceros países que actualmente se practica podría vulnerarlos gravemente,
K. Considerando que la Comisión y los Estados miembros, así como las autoridades nacionales de protección de la vida privada, son responsables de la aplicación efectiva de las leyes nacionales y europeas pertinentes y de sancionar su incumplimiento,
L. Considerando que es flagrante la violación de las leyes nacionales y europeas relativas a la transferencia de datos personales a terceros países en el caso de la transferencia de datos personales de los pasajeros transatlánticos a las autoridades responsables de la aplicación de la ley en los Estados Unidos, y que el comportamiento de la Comisión, de los Estados miembros, así como de algunas autoridades de protección de datos, en particular aquellas a las que la legislación nacional atribuye el poder de bloquear la transferencia de datos, ha estado próxima a la violación de la ley y del principio de legalidad;
M. Considerando que, en el contexto de la sociedad global de la información conformada por Internet, no es posible encontrar soluciones únicamente dentro de la UE,
Necesidad de un régimen europeo general e interpilares de protección de la vida privada y de los datos
1. Critica los gravísimos retrasos acumulados por la Comisión al respecto y la exhorta a que, según lo anunciado y antes de que finalice el primer semestre de 2004, presente un "instrumento jurídico" para la protección de la vida privada en el ámbito del tercer pilar; dicho instrumento tendrá carácter obligatorio y se destinará a garantizar en el tercer pilar el mismo grado de protección de los datos y de la vida privada que en el primero; deberá armonizar en este elevado nivel las actuales normas relativas a la vida privada y a la protección de los datos por lo que concierne a Europol, Eurojust y todos los demás organismos e iniciativas pertenecientes al tercer pilar, así como a todos los intercambios de datos entre ellos y terceros países y organizaciones;
2. Considera que, a largo plazo, la Directiva 95/46/CE deberá aplicarse, con las oportunas adaptaciones, a todos los ámbitos de actividades de la Unión Europea, con el fin de garantizar un alto nivel de normas comunes y armonizadas sobre la vida privada y la protección de los datos;
3. Considera que las autoridades nacionales de control y una autoridad común de la Unión Europea, así como el Tribunal de Justicia de las Comunidades Europeas, ante los que podrán recurrir los ciudadanos, deberán garantizar el respeto de la vida privada y la protección de los datos; se deberá consultar al Parlamento, con poder de toma de decisión, sobre toda propuesta que se relacione o que repercuta en la protección de la vida privada en la Unión Europea, se trate de acuerdos internacionales de sus organismos o de constataciones de la adecuación, etc.;
4. Considera necesario facilitar a los ciudadanos el disfrute de sus derechos a la vida privada y a la protección de los datos personales (acceso a los datos, corrección, modificación, supresión, etc.), mediante un procedimiento único ante las autoridades nacionales de protección de datos por lo que respecta a los datos contenidos en los bancos de datos nacionales y europeos, tanto del primer como del tercer pilar;
5. Se congratula de que la Comisión haya llevado a cabo una consulta abierta y en profundidad, así como un debate con todas las partes interesadas (Gobiernos de los Estados miembros y autoridades de control, organizaciones, empresas, ciudadanos), en línea y fuera de línea, sobre la aplicación de la Directiva, y toma nota de los resultados de esta consulta;
Aplicación de la Directiva 95/46/CE sobre protección de datos
6. Lamenta que algunos Estados miembros no hayan aplicado la Directiva antes del 24 de octubre de 1998, plazo fijado para la transposición, y que la Comisión se viera obligada a iniciar procedimientos contra Francia, Luxemburgo, los Países Bajos, Alemania e Irlanda el 11 de enero de 2000; observa que, en la actualidad, todos los Estados miembros han cumplido con sus obligaciones; pide a Irlanda que notifique de inmediato a la Comisión sus recientes medidas de aplicación; lamenta que la aplicación tardía de la Directiva por parte de los Estados miembros y las diferencias persistentes en las modalidades de aplicación de la Directiva a escala nacional hayan impedido a los operadores económicos sacar todo el partido posible de la misma y hayan obstaculizado determinadas actividades transfronterizas en el seno de la Unión Europea;
7. Pide a todas las partes interesadas, las instituciones europeas, los Estados miembros, las autoridades de protección de los datos, así como los agentes económicos y la sociedad civil, que aporten su contribución y cooperen para lograr la correcta aplicación de los principios de protección de los datos con arreglo a la Directiva;
8. Está de acuerdo con la Comisión en que, puesto que la aplicación de la Directiva ha sido muy lenta y la experiencia todavía es limitada, no se modificará por el momento, con la excepción de lo indicado en el apartado 16, y las actuales deficiencias de aplicación se podrán solucionar con las medidas adoptadas a escala europea y nacional por los Estados miembros y las autoridades de protección de los datos, con arreglo al programa anunciado en la Comunicación de la Comisión;
9. Recuerda que la garantía de la protección de los datos condiciona la realización del mercado interior; en este sentido, pide a la Comisión que señale los ámbitos en que las divergencias de interpretación de la Directiva obstaculizan el buen funcionamiento del mercado interior y que le informe al respecto;
10. Está de acuerdo con la Comisión en que, si tras seis meses de cooperación no se obtuvieran los resultados esperados, deberá recurrir ante el Tribunal de Justicia contra los Estados miembros que no hayan aplicado la Directiva o se nieguen a hacerlo; considera, al respecto, que la Comisión ha de reservar especial atención y determinación al respeto efectivo de las excepciones legales relativas a la vida privada, al respeto del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, y de la jurisprudencia correspondiente;
Transferencia de datos a terceros países y organizaciones
11. Acoge favorablemente las intenciones de la Comisión de simplificar el entorno normativo para las empresas respecto a los requisitos de las transferencias internacionales de datos;
12. Recuerda que no se autorizarán excepciones al principio en virtud del cual los datos relacionados con el primer pilar podrán transferirse a terceros países y organizaciones únicamente si el nivel de protección de los datos es similar al establecido en la Unión Europea;
13. Recuerda en particular a Europol, Eurojust y a otros organismos del tercer pilar, que los datos relacionados con elorden público sólo se podrán transferir, caso por caso, a países y organismos que respeten los derechos humanos y las libertades fundamentales, la democracia, el Estado de Derecho, las normas europeas de protección de los datos, como los principios de protección de los datos enunciados en la Recomendación R (87) 15 del Consejo de Europa sobre la utilización de los datos de carácter personal en el sector policial; pide además que se le consulte antes de efectuar dichas transferencias y que se le informe al respecto una vez efectuadas; insta a Europol y Eurojust a que aclaren y pongan a disposición de los ciudadanos y del Parlamento Europeo las informaciones necesarias relativas al intercambio de datos, personales o no, con terceros país y organismos;
14. Reitera que se produce una grave infracción de las normas de la Unión Europea relativas a la protección de los datos personales, como por otra parte lo confirman el dictamen de la Comisión belga para la protección de la vida privada, los dictámenes del Grupo de trabajo "artículo 29" y el informe de la red de expertos sobre derechos humanos de la Unión Europea, cuando dichos datos, sin informar al titular de los datos y sin su consentimiento, se transfieren a terceros o a las autoridades aduaneras y policiales de un tercer país, o cuando éstos pueden tener acceso directo y sistemático a los mismos en particular cuando los datos se han recabado para otros fines y sin autorización judicial, como es el caso de las autoridades estadounidenses, que acceden a los datos personales de los pasajeros transatlánticos recogidos en la Unión Europea por las compañías aéreas y los sistemas electrónicos de reserva;
15. Está de acuerdo con el Grupo de trabajo "artículo 29" en que el régimen sobre la vida privada actualmente aplicado en los Estados Unidos no es adecuado, como tampoco la última versión de los compromisos, y en que persisten elementos problemáticos respecto de los cuales los progresos logrados en un año de negociaciones entre la Comisión y las autoridades estadounidenses son absolutamente insuficientes;
16. Propone que la Directiva se modifique de modo que la evaluación de la adecuación de la protección de los datos personales de los ciudadanos europeos por parte de un tercer país en el que dichos datos se habrán de transferir pueda aprobarse únicamente previa aprobación del Parlamento Europeo;
17. Pide que los acuerdos que se están negociando o que se han negociado relativos a la transmisión de datos personales entre la Unión Europea y terceras partes o países terceros garanticen un adecuado nivel de protección de datos que, en cualquier caso, deben mantener el nivel que garantiza la Directiva 95/46/CE;
Excepciones a las leyes relativas a la protección de la vida privada
18. Considera que las medidas legislativas de los Estados miembros que prevén la conservación a gran escala de datos relacionados con las comunicaciones de los ciudadanos por razones de orden público no son plenamente conformes con el Convenio Europeo para la Protección de los Derechos Humanos y la jurisprudencia correspondiente, puesto que constituyen una injerencia en el derecho a la vida privada y no prevén la autorización previa de una autoridad judicial, caso por caso y por un tiempo limitado; tampoco prevén la distinción entre categorías de personas que pueden ser objeto de vigilancia, el respeto de la confidencialidad de las comunicaciones protegidas, como por ejemplo las comunicaciones entre abogado y cliente, o la indicación del tipo de delito o de las circunstancias que autorizan dicha injerencia; considera asimismo que cabe dudar de que estas medidas sean necesarias, proporcionadas y apropiadas en una sociedad democrática, con arreglo a lo establecido en el artículo 15 de la Directiva 2002/58/CE;
19. Pide a la Comisión que elabore un documento sobre el derecho a la vida privada y las condiciones en que las excepciones son legales, sobre la base del Convenio Europeo para la Protección de los Derechos Humanos, la jurisprudencia correspondiente y las directivas comunitarias relativas a la protección de los datos e insta a las instituciones europeas a que organicen un debate abierto y transparente sobre la base de este documento;
Otras observaciones
20. Pide a los Estados miembros que respeten los criterios de claridad y seguridad jurídicas en aras de una mejor regulación cuando incorporen la Directiva a sus ordenamientos, con el fin de evitar sobrecargas innecesarias para las empresas y en particular para las PYME;
21. Insiste en que la libre circulación de los datos de carácter personal es esencial para el buen ejercicio de la casi totalidad de las actividades económicas a escala de la Unión; considera que se trata, en consecuencia, de resolver lo antes posible las diferencias de interpretación a fin de permitir que las organizaciones multinacionales definan políticas paneuropeas en materia de protección de los datos;
22. Subraya la necesidad de que los Estados miembros y las instituciones europeas adopten un nivel de protección de los derechos fundamentales y de protección de las personas equivalente en la aplicación de la Directiva 95/46/CE y en la aplicación del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos(8);
23. Pide a la Comisión que adopte un enfoque de armonización de esta Directiva con los demás textos legislativos, como la propuesta de directiva del Parlamento Europeo y del Consejo relativa a la armonización de las disposiciones legislativas, reglamentarias y administrativas de los Estados miembros en materia de crédito a los consumidores a fin de evitar las incoherencias entre estas propuestas;
24. Pide a los Estados miembros y a las autoridades de control que creen un entorno menos complejo y gravoso para los responsables del tratamiento de los datos y expresa su acuerdo con la Comisión respecto a la necesidad de evitar la imposición de requisitos de los que podría prescindirse sin ningún efecto perjudicial para el elevado nivel de protección que garantiza la Directiva;
25. Subraya que la gestión y la protección de datos constituyen actualmente un factor crucial de éxito para las empresas;
26. Expresa su acuerdo con la Comisión respecto a la necesidad de las mejoras que deben introducirse para que los operadores económicos cuenten con una gama más amplia de cláusulas contractuales tipo en el ámbito de la protección de datos y que dichas cláusulas se basen en propuestas de las asociaciones representativas de las empresas;
27. Pide a los Estados miembros que procuren que las autoridades para la protección de los datos dispongan de los medios necesarios para llevar a cabo los cometidos previstos en la Directiva 95/46/CE y que sean independientes y autónomas de los gobiernos nacionales; las autoridades de protección de los datos deberán mejorar constantemente su eficiencia y eficacia y desempeñar un papel más activo a escala nacional y europea en el marco del Grupo de trabajo "artículo 29", por ejemplo con su contribución a la aplicación del programa propuesto por la Comisión y para garantizar el cumplimiento de la ley;
28. Lamenta que siete Estados miembros -Bélgica, Alemania, Grecia, Francia, Luxemburgo, los Países Bajos y Portugal- no hayan respetado el plazo para la aplicación de la Directiva 2002/58/CE, fijado para el 31 de octubre de 2003, y les pide que adopten las medidas necesarias;
29. Pide que la Comisión, los Estados miembros y las autoridades nacionales de protección de datos efectúen evaluaciones anuales del respeto de las normas nacionales y europeas relativas a la vida privada, con independencia del pilar de referencia, y, si procede, propongan modificaciones a la legislación, las transmitan a los órganos competentes, en particular los parlamentarios, y las pongan a disposición del público, especialmente en Internet;
30. Manifiesta su preocupación por la evolución del sistema de información de Schengen (SIS) y por los planes del Consejo según los cuales el SIS II debería permitir la adición de nuevas categorías de anotaciones (personas y objetos), de nuevos sectores, la puesta en relación de las anotaciones, la modificación del plazo de conservación de dichas anotaciones, así como el registro y la transferencia de datos biométricos, en particular fotografías y huellas dactilares, así como el acceso a nuevas autoridades, es decir, Europol, Eurojust y autoridades judiciales nacionales, si procede, por motivos diferentes de los definidos inicialmente, como por ejemplo la notificación de órdenes de captura europeas; critica, asimismo, la confusión jurídica creada por el hecho de que el SIS afecta tanto al primero como al tercer pilar, con distintos grados de protección de la vida privada;
31. Manifiesta su preocupación por la orientación general adoptada por el Consejo sobre las propuestas para incluir datos biométricos (fotos digitales y huellas dactilares) en visados y documentos de estancia mediante una pastilla electrónica, en particular porque los datos podrían fácilmente copiarse en bancos de datos centralizados en caso de control; teme que los nuevos avances en el ámbito de la protección de los datos, como por ejemplo la utilización de la biometría, planteen nuevas exigencias a las autoridades de control, "dotadas con recursos insuficientes y con una amplia variedad de cometidos" (COM(2003) 265); pide a los Estados miembros que pongan más recursos a disposición de las autoridades de control encargadas de la protección de datos con objeto de garantizar el funcionamiento eficaz del sistema;
32. Pide a los Estados miembros y a las autoridades nacionales y europeas que procuren que no se haga un uso abusivo de la legislación relativa a la vida privada con el fin o con el resultado de obstaculizar el derecho de acceso a los documentos, la transparencia administrativa y la publicidad institucional, o también de complicar excesivamente el ejercicio individual de la "libertad de ser conocido"; pide a la Comisión que presente un informe, sobre la base de un dictamen del Grupo de trabajo "artículo 29", sobre este tipo de prácticas abusivas, y que proponga directrices y, en su caso, medidas legislativas para prevenirlas;
33. Pide a la Comisión que continúe el control de la cuestión de la videovigilancia, también en virtud de las jurisprudencias nacionales, y espera poder examinar la propuesta anunciada relativa a la protección de la vida privada en el ámbito del trabajo;
34. Insta a Eurojust a que aclare cuáles son las normas nacionales y europeas aplicadas hasta ahora y que aplica actualmente, puesto que al respecto persisten una gran confusión y graves dudas;
35. Estima que la autorregulación es un medio adecuado para evitar una normativa excesivamente detallada e insta a la comunidad empresarial a crear un código de conducta europeo sobre protección de los datos personales;
36. Pide un esfuerzo adicional en los niveles nacional, europeo e internacional en favor de los principios universalmente aceptados, con vistas a mejorar la aplicación de las directrices de la OCDE y del Convenio del Consejo de Europa;
37. Señala que la protección de la intimidad y de los datos personales debería formar parte del currículum docente en materia de informática e Internet; pide a los Estados miembros y a la Comisión que promuevan la sensibilización de los ciudadanos en cuanto a los derechos en materia de protección de datos;
o o o
38. Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y Parlamentos de los Estados miembros, a las autoridades nacionales competentes para la protección de la vida privada, a Europol y Eurojust, así como al Gobierno de los Estados Unidos.