Dictamen 2001/3 de 26 de enero de 2001, sobre el nivel de protección que proporciona la Ley australiana de 2000, aplicable al sector privado, sobre protección de la vida privada.(Privacy Amendment -Private Sector- Act 2000)(5095/00 WP40)
WP 40 Grupo de trabajo sobre protección de datos del artículo 29
Dictamen 3/2001 sobre el nivel de protección que proporciona la Ley australiana de 2000, aplicable al sector privado, sobre protección de la vida privada [Privacy Amendment (Private Sector) Act 2000]
Adoptado el 26 de enero de 2001
EL GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES
Creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995(1),
Vistos el artículo 29 y los apartados 1, letra a), y 3 del artículo 30 de dicha Directiva,
Visto su Reglamento interno y, en particular, sus artículos 12 y 14,
ha adoptado el presente DICTAMEN:
(1) Diario Oficial L 281 de 23.11.1995, p. 31, disponible en inglés en la siguiente dirección:
http://europa.eu.int/comm/dg15/en/media/dataprot/index.htm
Introducción
Australia dispone de legislación sobre el sector público de la Commonwealth (administración federal) desde 1988. En este ámbito, la Privacy Act (Ley de protección de la vida privada de 1988) fija exhaustivamente los principios sobre información y vida privada, que se basan en las directrices que la OCDE señaló en 1980. La Privacy Act se aplica también al sector privado, pues contiene preceptos y orientaciones para regular el crédito de consumo y restringe la utilización de la información contenida en el número de identificación fiscal(2). En virtud de la Privacy Act se creó la Comisaría de protección de la vida privada, en calidad de miembro de la Comisión de derechos humanos e igualdad de oportunidades. Sin embargo, desde el 1 de julio de 2000 esta Comisaría constituye un organismo oficial independiente.
El Parlamento australiano aprobó la Privacy Amendment (Private Sector) Bill 2000 (proyecto de Ley) el 6 de diciembre de 2000, que recibió sanción real el 21 de diciembre de 2000. La nueva ley introduce una serie de modificaciones a la Commonwealth Privacy Act 1988, por las que se regulará el tratamiento de información personal por las entidades del sector privado. Entrará en vigor el 21 de diciembre de 2001.
En la Ley se aplican los Principios nacionales de protección de la vida privada basados en los Principios nacionales para el buen tratamiento de la información personal (National Principles for Fair Handling of Personal Information [NPP]), que concibió el Comisario federal de protección de la vida privada y se publicaron por primera vez en 1998 tras amplias consultas con empresarios y consumidores. En dicha Ley, los NPP constituyen una regulación de mínimos, de carácter subsidiario, que se aplica a las modalidades de recogida, utilización y divulgación de la información personal por las entidades. Los principios nacionales vinculan a las entidades del sector privado a menos que dispongan de su propio código de protección de la vida privada, aprobado por el Comisario federal. En el anexo 1 se adjuntan los principios nacionales para facilitar su consulta.
(2) Otras normas de la Commonwealth contienen preceptos específicos de protección de la vida privada, aplicables a la información sobre solicitudes del seguro de enfermedad, el cruce de datos, las condenas penales cumplidas y la información personal divulgada por las empresas de telecomunicaciones (Telecommunications Act 1997).
Privacy Amendment (Private Sector) Act 2000
El Grupo de trabajo se congratula de la aprobación de la Ley y de la labor llevada a cabo en los últimos dos años por el Comisario de protección de la vida privada, el Gobierno y las partes interesadas. Dicha labor condujo primero a la elaboración de los NPP. El Grupo de trabajo apoya el objetivo, que se ha marcado el Gobierno australiano, de reforzar la protección de los datos personales tratados por el sector privado. Considera asimismo que esta labor tiene gran importancia para que Australia cumpla su compromiso de aplicar las directrices de la OCDE de 1980. Por último, reconoce el carácter innovador del régimen de corregulación propuesto, cuya finalidad es el acercamiento entre ley y autorregulación confiriendo a ésta fuerza de ley.
Desde una perspectiva europea, las autoridades nacionales de protección de datos acogen favorablemente toda circunstancia que refuerce la protección de la vida privada en terceros países con vistas al cumplimiento de los requisitos establecidos en los artículos 25 y 26 de la Directiva CE en lo referente a los flujos de datos hacia terceros países. El Grupo de trabajo observa también con interés que las entidades tienen la posibilidad de solicitar al Comisario de protección de la vida privada que apruebe un código en substitución de los requisitos legales. El Comisario sólo lo aprobará si proporciona como mínimo el mismo nivel de protección de la vida privada que los NPP.
Exclusión de ciertos sectores y actividades
El Grupo de trabajo señala con preocupación, no obstante, que se excluyen de la protección que ofrece la Ley algunos sectores y actividades. En particular:
Pequeñas empresas: sólo se exige cumplir la legislación a las pequeñas empresas cuya acción pueda acarrear riesgos graves para la vida privada(3).
Además, los pequeños empresarios pueden, acogiéndose a la Ley, notificar que se adhieren a los requisitos del Comisario de protección de la vida privada, que lleva un registro al efecto. Aunque esta posibilidad permite identificar a las pequeñas empresas que se acogen voluntariamente a la Ley, la complejidad de la excepción es tal que dificulta enormemente la determinación de:
a) el concepto de pequeña empresa; b) si la pequeña empresa disfruta o no de una excepción a tenor de la Ley.
El Grupo de trabajo señala que esta incertidumbre hace necesario suponer que todas las transmisiones de datos a empresas australianas se realizan potencialmente a una pequeña empresa no sujeta a la ley, a menos que figure el nombre de ésta en el Registro del Comisario de protección de la vida privada. Información sobre los empleados: quedan exentos del cumplimiento de la ley los actos o prácticas llevados a cabo por una entidad que sea o haya sido empleador de un particular, siempre que dicho acto o práctica esté directamente relacionado con lo siguiente:
a) una relación laboral presente o pasada entre el empleador y el particular
b) un expediente laboral detentado por la entidad y que se refiera a dicho particular.
Los expedientes laborales se definen en el apartado 6.1 en su sentido más amplio, que incluye la información sobre la contratación, las condiciones del contrato, las evaluaciones del cumplimiento del contrato, los contactos del empleado en caso de urgencia, la afiliación a sindicatos, las vacaciones anuales, la situación fiscal, la información bancaria, etc.
El Grupo de trabajo advierte de que la información sobre los empleados contiene con frecuencia datos confidenciales y no ve razones para excluirlos, por lo menos, de la protección que proporcionan el NPP 10, relativo a la información delicada. Además, las excepciones permiten la recogida de información sobre los empleadores precedentes y su divulgación a terceros (por ejemplo, el futuro empleador) sin que se informe de ello al empleado.
En opinión del Grupo de trabajo, el riesgo de vulneración de la vida privada hace aún más importante el imponer nuevas medidas de protección cuando se exporte este tipo de datos a Australia(4) y recomienda que los operadores tomen las medidas oportunas (por ejemplo, a través de cláusulas contractuales).
(3) Estas pequeñas empresas se caracterizan en el artículo 6D de la Ley como aquellas que tienen un volumen anual de negocios inferior a 3 millones de dólares australianos y: proporcionan servicios sanitarios a particulares y detentan información sanitaria, excepto la contenida en el expediente laboral recogen de terceros y/o divulgan información personal sobre otro particular a terceros para obtener un beneficio, servicio o ventaja, a menos que la recogida o divulgación se realice con el consentimiento del particular o lo exija o autorice la ley son contratadas para prestar servicio a la Commonwealth
(4) La Privacy Act 1988 no contempla ninguna excepción relativa a los expedientes laborales en el sector público.
Excepciones
Excepciones a los principios sustantivos de protección de datos, fundamentadas en la autorización por ley:
La letra g) del punto 1 del NPP 2 permite la autorización o divulgación de la información con un fin secundario cuando lo exija o autorice la ley(5) o de conformidad con ella.
En opinión del Grupo de trabajo, una excepción es aceptable si las entidades tienen que enfrentarse a obligaciones jurídicas contrapuestas, pero extenderla a todas las opciones ofrecidas por las leyes particulares de un sector, pasadas, presentes y futuras, podría minar la seguridad jurídica y vaciar de contenido la protección básica. El término “autorizada”, por oposición a “específicamente autorizada”, que ya se utilizaba en la versión de los principios nacionales de enero de 1999, puede asimismo interpretarse en el sentido de que están permitidos aquellos fines secundarios que no estén prohibidos. En
opinión del Grupo de trabajo una excepción tan amplia vaciaría de contenido prácticamente la finalidad del principio de limitación.
(5) Según figura en la página 119 de la Exposición de motivos, el término “autorizada” abarca aquellas circunstancias en que la ley permite, pero no exige, la utilización o divulgación de la información. La mención de “ley” (en lugar de legislación) es amplia e puede incluir cualquier acto con carácter vinculante.
Datos de dominio público:
Aunque la recogida de datos para publicaciones de dominio público entra en el ámbito de los NPP 1 (recogida), si la información se presenta en un formato que entre dentro de la definición de este tipo de publicación no se aplica el resto de los principios nacionales de protección de la vida privada. Esta circunstancia excluye la aplicación de todos los derechos individuales, por ejemplo, los de consulta y corrección.
El Grupo de trabajo señala que es contrario al enfoque de la Directiva no dar protección alguna a los datos personales de dominio público, señaladamente los destinados a fines secundarios. Por otra parte, las directrices de la OCDE de 1980 no contienen excepciones de carácter tan general.
Transparencia para los interesados: El apartado 3 del NPP 1 (recogida) permite a las entidades que informen de la recogida a los particulares antes de emprenderla o en el momento de llevarla a cabo, aunque añade que, si no se pudiera entonces, se podría informar posteriormente en cuanto fuera posible.
El Grupo de trabajo señala que permitir a las entidades que informen a los particulares después de la recogida va contra el Principio 9 de las directrices de la OCDE(6). Este problema reviste particular importancia respecto de los datos delicados, que a tenor del apartado 1 del NPP 10 exigen el consentimiento para que la recogida sea legal.
(6) “Deberán especificarse los fines para los que se recogen datos personales a más tardar en el momento de la recogida de los datos y su posterior uso deberá restringirse al cumplimiento de dichos fines o cualesquiera otros que no sean incompatibles con éstos y que habrán de especificarse cada vez que se cambie de finalidad.”
Recogida y utilización de datos, en lo tocante al márketing directo
Los NPP 1 (recogida) y 2 (utilización y divulgación) encierran el principio de limitación de la finalidad, al exigir que la recogida de información personal sea necesaria y se efectúe de modo leal y lícito(7), así como poner límites y condiciones para su uso y su divulgación(8).
Sin embargo, las limitaciones de la utilización y la divulgación sólo afectan al fin secundario. En efecto: se permite el tratamiento de la información con vistas al fin “primario” de la recogida y “otros fines relacionados que estén dentro de las razonables expectativas del particular”, siempre que dicho particular haya tenido conocimiento de él.
(7) Privacy Amendment (Private Sector) Act 2000, Schedule 3, NPP1.1 ñ 1.2
(8) Privacy Amendment (Private Sector) Act 2000, Schedule 3, NPP2
El consentimiento no constituye pues un requisito.
Un resultado práctico de este régimen es que no es necesario obtener el consentimiento del particular para utilizar datos personales con fines de márketing directo (o para las otras limitaciones impuestas por el NPP 2), si constituye el fin primario de la recogida de información. Si, por el contrario, se tratara del fin secundario, debe proporcionarse la opción de exclusión cada vez que la entidad envíe al particular material de márketing directo.
El Grupo de trabajo recuerda su dictamen sobre “transmisión de datos personales a países terceros – WP 12”, en el que se establece que bajo ninguna circunstancia puede considerarse adecuada la utilización de datos personales con fines de márketing directo sin ofrecer la opción de exclusión.
Datos delicados
El NPP 10 (información delicada) establece limitaciones sólo para la recogida de datos delicados. No hay restricciones o condiciones especiales para la utilización o divulgación de este tipo de datos, excepción hecha de la información sanitaria, a la cual se consagran algunos de los preceptos del NPP 2. La Ley permite, sin embargo, utilizar con otros fines la información recogida con una finalidad legítima, aunque se considere muy delicada.
Dicha utilización sólo está sujeta a las restricciones que se aplican normalmente a todos los tipos de datos.
El Grupo de trabajo señala que en la UE está prohibido tratar (es decir, recoger, utilizar y divulgar) datos sensibles a menos que se aplique una de las excepciones particulares.
Inexistencia de derechos de corrección en favor de los ciudadanos de la UE
De conformidad con el apartado 4 del artículo 41, el Comisario de protección de la vida privada sólo podrá investigar un acto o práctica en el ámbito de los NPP 6 ó 7, si interfiere con la vida privada de los ciudadanos australianos y de los residentes permanentes. Así pues, los ciudadanos de la UE que no tengan residencia permanente en Australia, pero cuyos datos se hayan transferido de la UE a Australia, no podrán ejercitar los derechos de acceso y corrección.
Transmisiones ulteriores desde Australia a otros terceros países
El NPP 9 prohíbe que las entidades exporten información personal a los residentes en países extranjeros (que no sean miembros de la propia entidad), a menos que se aplique uno de los seis requisitos siguientes:
Respecto a la letra a) del NPP 9: (aplicable cuando el receptor de la información está sujeto a un régimen jurídico, vínculo o contrato que apoya principios para el buen tratamiento de la información básicamente similares a los Principios nacionales de protección de la vida privada) en opinión del Grupo de trabajo, es aconsejable que el Comisario de protección de la vida privada indique qué países terceros tienen un régimen similar al de Australia en lo fundamental.
En cuanto a la letra f) del NPP 9 (que se aplica en defecto de los otros cinco requisitos, es decir, cuando el receptor no está sujeto a ningún régimen jurídico, vínculo o contrato): el Grupo de trabajo advierte que este precepto no tiene en cuenta el derecho de los particulares a que se amparen sus derechos.
Además, el Grupo de trabajo advierte que el artículo 5, relativo a la eficacia extraterritorial de la Ley, se aplica sólo a los australianos, de modo que la protección del NPP 9 no se extiende a quienes no lo sean. Esto significa que una empresa australiana puede importar datos de ciudadanos europeos y, a continuación, exportarlos a un país en el que no exista legislación sobre protección de la vida privada sin que se aplique la Ley australiana. Si se reconociese que Australia proporciona una protección adecuada, esta medida permitiría soslayar la Directiva UE.
Conclusiones
Sobre la base de lo anteriormente expuesto, el Grupo de trabajo opina que sólo pueden considerarse adecuadas las transferencias de datos a Australia si se introducen las medidas necesarias para disipar las preocupaciones mencionadas, por ejemplo, mediante los códigos de conducta voluntarios previstos en la Parte IIIAA de la Ley, teniendo en cuenta que la aplicación de códigos voluntarios es garantizada por el propio Comisario de protección de la vida privada o por un órgano decisorio independiente.
No obstante, para producir una resolución de adecuación más completa, el Grupo de trabajo alienta a la Comisión a seguir de cerca el problema para proponer mejoras de aplicación general y mantenerle informado sobre la evolución de los acontecimientos.
Bruselas, 26 de enero de 2001
Principios nacionales de protección de la vida privada (adjuntos a la Privacy Amendment (Private Sector) Act 2000
1 Recogida
1.1 Las entidades no recogerán datos personales a menos que la información que contengan fuere necesaria para una o varias de sus funciones o actividades.
1.2 La entidad recogerá datos personales sólo por medios lícitos y legales, que sean proporcionados y no vulneren el derecho a la vida privada.
1.3 Antes de que una entidad proceda a recoger de un particular información sobre el propio particular, o durante la recogida (o, si no fuera posible, en cuanto lo sea), la entidad tomará las medidas adecuadas para garantizar que dicho particular tiene conocimiento de los elementos siguientes:
(a) referencias sobre la entidad y la manera de contactar con ella
(b) disponibilidad de acceso a la información
(c) fines para los que se recoge ésta
(d) entidades (o tipos de entidades), a los cuales la entidad suele divulgar la información de este tipo
(e) leyes que exijan la recogida de esa información en particular
(f) consecuencias principales (si las hubiere) para el particular en caso de que no facilite la totalidad o parte de la información.
1.4 Si fuere proporcionado y viable, las entidades sólo recogerán información personal sobre un particular a partir de ese mismo particular.
1.5 Si una entidad recogiere información personal sobre un particular a partir de un tercero, adoptará las medidas adecuadas para garantizar que el particular tiene o ha tenido conocimiento de los elementos que se relacionan en el apartado 1.3, siempre que poner en conocimiento del particular estos elementos no suponga una amenaza grave para la vida o la salud de cualquier persona.
2 Utilización y divulgación
2.1 Las entidades no utilizarán ni divulgarán información personal sobre un particular con un fin (fin secundario) distinto del fin principal de la recogida, a menos que:
(a) se reúnan los dos requisitos siguientes:
(i) el fin secundario tiene relación con el fin principal de la recogida y, en el caso de que la información personal fuera información delicada, tiene relación directa con el fin principal de la recogida y
(ii) el particular prevé, dentro de los límites de lo razonable, que la entidad utilizará o divulgará la información para el fin secundario, o
(b) el particular hubiere consentido en la utilización o divulgación, o
(c) si la información no es delicada y la utilización que se hace de ella se destina al fin secundario de márketing directo:
(i) sea inviable para la entidad conseguir el consentimiento del particular antes de que se realice la utilización específica y
(ii) la entidad no penalice al particular si este solicita no recibir más informaciones de márketing directo y
(iii) el particular no haya solicitado a la entidad no recibir información por márketing directo y
(iv) en cada comunicación por márketing directo con el particular, la entidad le indique, o incluya un claro aviso al respecto, que puede expresar su deseo de no recibir más comunicaciones por márketing directo y (v) en cada una de las comunicaciones por márketing directo de la entidad con el particular (con inclusión de aquellas que conlleven la utilización) figuren las señas de la entidad y su número de teléfono y, si la comunicación con el particular se efectúa por fax, telex u otros medios electrónicos, un número o señas en los que pueda contactarse con ella directamente por medios electrónicos, o
(d) si la información consistiese en información sanitaria, y su utilización o divulgación fuere necesaria para la investigación, o la elaboración o análisis de estadísticas relacionadas con la salud y seguridad públicas:
(i) sea inviable para la entidad conseguir el consentimiento del particular antes de que se realice la utilización específica y
(ii) la utilización o divulgación se lleve a cabo de conformidad con las orientaciones aprobadas por el Comisario, con arreglo al artículo 95A a efectos del presente apartado y
(iii) en el caso de divulgación, la entidad cree razonablemente que el receptor de la información sanitaria no divulgará ésta ni cualquier otra personal derivada de la anterior, o
(e) la entidad tenga razones para pensar que la utilización o divulgación es necesaria para paliar o evitar:
(i) una amenaza grave e inminente contra la vida, salud o seguridad de un particular
(ii) una amenaza grave contra la salud y seguridad públicas
(f) la entidad tenga razones para sospechar que se ha cometido o se va a cometer un delito, y utiliza o divulga la información personal como parte necesaria de su investigación sobre el asunto o para informar de sus preocupaciones a las personas o autoridades que corresponda
(g) la utilización o divulgación se exige por ley o está autorizada por ella
(h) la entidad tenga razones para creer que la utilización o divulgación es razonablemente necesaria por uno o más de los motivos siguientes o para actuar en nombre de las autoridades de represión:
(i) la prevención, detección, investigación, denuncia o castigo de las infracciones penales, las vulneraciones de leyes que conlleven penas o sanciones o de las demás leyes
(ii) la aplicación de leyes relacionadas con la confiscación del producto de las actividades delictivas
(iii) la protección del tesoro público
(iv) la prevención, detección, investigación o reparación de conductas graves o contrarias a la deontología,
(v) la preparación o presentación de procesos ante un tribunal, o la ejecución de las resoluciones de un tribunal o una instancia de recurso.
Nota 1: No se pretende disuadir a las entidades de que cooperen legalmente con los órganos que en el ejercicio de sus funciones realicen tareas de represión.
Nota 2: El punto 2.1 no deroga las obligaciones jurídicas de no divulgar datos personales. Nada de lo que se dispone en él obliga a ninguna entidad a divulgar datos personales. Una entidad siempre tendrá derecho a no divulgar datos personales en ausencia de obligación jurídica en contrario.
Nota 3: Las entidades están sujetas también a los requisitos del NPP 9 en caso de transmitir datos personales a países extranjeros.
2.2 Si una entidad utilizare o divulgare información personal de conformidad con la letra h) del punto 2.1, deberá notificarlo por escrito.
2.3 El punto 2.1 se aplicará respecto de la información personal que una entidad haya recogido, en calidad de persona jurídica, de una persona jurídica relacionada con ella, de modo que el fin principal de la recogida sea el mismo por el cual la persona jurídica relacionada con la entidad recogió la información.
2.4 Sin perjuicio de lo dispuesto en el punto 2.1, una entidad que preste servicios sanitarios a un particular podrá divulgar información de carácter sanitario sobre dicho particular a la persona a cuyo cargo esté, siempre que:
(a) el particular:
(i) fuere incapaz física o jurídicamente de consentir en la divulgación, o
(ii) no pudiera comunicar físicamente su consentimiento a la divulgación y
(b) una persona física (el prestador) encargada de prestar los servicios sanitarios a la entidad estuviere de acuerdo en que:
(i) la divulgación es necesaria para proporcionar al particular los cuidados o tratamiento necesarios, o
(ii) la divulgación se efectúa por razones humanitarias y
(c) la divulgación no es contraria a la voluntad:
(i) expresada por el particular antes de ser incapaz de dar o comunicar su consentimiento y
(ii) conocida por el prestador o que éste pueda razonablemente conocer y
(d) la divulgación se restringe en la medida necesaria a los efectos que se mencionan en el apartado b).
2.5 A efectos del apartado 2.4, una persona es responsable de un particular, si dicha persona fuere:
(a) uno de los padres
(b) un hijo o hermano del particular que tenga como mínimo 18 años de edad
(c) cónyuge de hecho o de derecho
(d) un pariente que tenga como mínimo 18 años de edad y esté acogido en el hogar del particular
(e) su tutor
(f) un apoderado nombrado con carácter permanente por el particular y que pueda ejercer su poder para tomar decisiones sobre la salud de dicho particular
(g) una persona que tenga una relación personal íntima con el particular
(h) una persona que haya sido nombrada por éste como contacto en caso de urgencia.
2.6 En el apartado 2.5, hijo de un particular abarca la noción de hijo adoptivo, hijastro e hijo acogido; padre, de padrastro y madrastra, padres adoptivos y padres acogidos; pariente, de abuelo, nieto, tío, o sobrino; hermano, de hermanastros, hermanos adoptivos y hermanos acogidos.
3 Calidad de los datos
Las entidades tomarán las medidas necesarias para garantizar que la información personal que recogen, utilizan o divulgan sea exacta, completa y actualizada.
4 Seguridad de los datos
4.1 Las entidades tomarán las medidas necesarias para proteger la información personal que detenten de cualquier utilización abusiva y pérdida, así como de cualquier consulta, modificación o divulgación no autorizadas.
4.2 Las entidades tomarán las medidas necesarias para destruir o hacer anónima de manera definitiva la información personal cuando ya no fuere necesaria a ningún fin de los que justificaron su utilización y divulgación de conformidad con el NPP 2.
5 Apertura
5.1 Las entidades declararán de forma clara y explícita su política en materia de tratamiento de los datos personales. Asimismo, pondrán dicho documento a disposición de quien lo pida.
5.2 Cuando alguien lo solicite, las entidades tomarán las medidas necesarias para poner en conocimiento de la persona, de manera general, qué tipo de información personal detentan y con qué fines, así como las modalidades de recogida, tenencia, utilización y divulgación de dicha información.
6 Acceso y corrección
6.1 Si una entidad detentare información personal sobre un particular, proporcionará a éste acceso a la información cuando el particular lo solicite, excepto si:
(a) en el caso de información personal distinta de la relativa a la salud, proporcionar acceso supusiere una amenaza inminente contra la vida o la salud de un particular cualquiera
(b) en el caso de información sobre la salud, proporcionar acceso supusiere una grave amenaza contra la vida o la salud de una persona cualquiera
(c) proporcionar acceso tuviere una repercusión desproporcionada en la vida privada de otros particulares
(d) la solicitud de acceso fuere superflua o vejatoria
(e) la información se refiere a un proceso legal presente o futuro, que enfrente a la entidad con el particular, y la información no fuere accesible a través de los medios de prueba de dicho proceso
(f) proporcionar acceso pudiere dar a conocer las intenciones de la entidad respecto de negociaciones con el particular, de modo que resultare perjudicial para dichas negociaciones
(g) fuere ilegal
(h) la ley requiriere que se deniegue el acceso o autorizare a ello
(i) fuere perjudicial, verosímilmente, para una investigación sobre una actividad presuntamente ilegal
(j) pudiere verosímilmente perjudicar:
(i) la prevención, detección, investigación, denuncia o castigo de las infracciones penales, las vulneraciones de leyes que conlleven penas o sanciones o de las demás leyes
(ii) la aplicación de leyes relacionadas con la confiscación del producto de las actividades delictivas
(iii) la protección del tesoro público
(iv) la prevención, detección, investigación o reparación de conductas graves o contrarias a la deontología,
(v) la preparación o presentación de procesos ante un tribunal, o la ejecución de las resoluciones de un tribunal o una instancia de recurso
(k) un órgano de represión, que lleve a cabo una función lícita de seguridad, solicitare a la entidad que no proporcione acceso a la información, fundándose en los daños que ello podría causar a la seguridad de Australia.
6.2 No obstante, cuando proporcionar acceso supusiere revelar información elaborada dentro de la entidad con vistas a la toma de decisiones comerciales de carácter sensible, aquella podrá dar al particular una explicación sobre la decisión comercial de carácter sensible correspondiente en lugar de darle acceso directo a dicha información.
Nota: Las entidades vulnerarán el apartado 6.1 si se fundamentan en el apartado 6.2 para dar al particular una explicación sobre una decisión comercial de carácter sensible cuando no sea de aplicación dicho apartado.
6.3 Si la entidad no estuviere obligada a proporcionar al particular acceso a la información sobre la base de lo dispuesto en las letras a) a k) (inclusive) del apartado 6.1, la entidad deberá, en la medida de los razonable, estudiar si el recurso a intermediarios nombrados de mutuo acuerdo proporcionaría un nivel de acceso que satisfaga las necesidades de ambas partes.
6.4 En el caso de que las entidades cobren por proporcionar acceso a la información personal, los precios:
(a) no serán excesivos y
(b) no se aplicarán a la solicitud de acceso.
6.5 En el caso de que una entidad detentare información personal sobre un particular y que dicho particular fuere capaz de demostrar que la información no es exacta, completa y actualizada, la entidad tomará las medidas necesarias para corregir la información de modo que resulte exacta, completa y actualizada.
6.6 Si el particular y la entidad no estuvieren de acuerdo sobre si la información es exacta, completa y actualizada, y el particular solicitare a la entidad que adjunte a la información una declaración en este sentido, la entidad tomará las medidas necesarias para ello.
6.7 Las entidades tendrán que justificar la negativa a dar acceso o la información personal o a corregirla.
7 Identificadores
7.1 Las entidades no adoptarán como identificador propio de un particular un identificador del particular que haya sido atribuido por:
(a) un organismo público
(b) un funcionario de un organismo público que actúe en su calidad de funcionario
(c) un prestador de servicios contratado en el ámbito de la Commonwealth, que actúe en calidad de prestador de servicios para el contrato correspondiente.
7.1A Sin embargo, el apartado 7.1 no se aplicará a la adopción por una determinada entidad de una identidad concreta en determinadas circunstancias.
Nota : Para determinar los aspectos indicados deberán reunirse una serie de requisitos previos (véase el apartado 100 (2) al efecto).
7.2 Las entidades no utilizarán ni divulgarán los identificadores atribuidos a un particular por un organismo, funcionario o prestador de servicios como los que se mencionan en el apartado 7.1, a menos que:
(a) la utilización o divulgación fuere necesaria para que la entidad cumpla sus obligaciones con el organismo o
(b) uno o varias de las letras e) a h), inclusive, del apartado 2.1 se aplicare a la utilización o divulgación.
(c) la utilización o divulgación de una identidad concreta la realizare una determinada entidad en determinadas circunstancias
Nota : Para determinar los aspectos indicados en la letra (c) deberán reunirse una serie de requisitos previos; véase el apartado 100 (2) al efecto.
7.3 A los efectos de este apartado, el identificador consiste en un número que la entidad atribuye a un particular con el fin de identificarlo exclusivamente a los fines de sus actividades. Sin embargo, no se considera identificador un nombre de persona o el ABN (con arreglo a la definición de la New Tax System (Australian Business Number) Act, 1999).
8 Anonimato
Siempre que sea lícito y viable, los particulares tendrán la opción de no identificarse cuando participen en transacciones con las entidades.
9 Flujos transfronterizos de datos
Las entidades localizadas en Australia o en un territorio exterior sólo podrán transferir información personal de un particular a un tercero, (que no sea la propia entidad o el propio particular) que esté localizado en un país extranjero, en los casos siguientes:
(a) la entidad tienen razones para creer que el receptor de la información está sujeto a una ley, mecanismo vinculante o contrato que defienda efectivamente principios de tratamiento justo de la información sustancialmente similares a los NPP, o
(b) el particular consiente en que se realice la transmisión, o
(c) la transmisión es necesaria para la buena ejecución de un contrato celebrado entre el particular y la entidad o, con vistas a la ejecución de medidas precontractuales tomadas a solicitud del particular, o
(d) la transmisión es necesaria para la conclusión o buena ejecución de un contrato concertado entre la entidad y un tercero en interés del particular, o
(e) se aplican todas las condiciones siguientes:
(i) la transmisión se realiza en beneficio del particular
(ii) no es viable la obtención del consentimiento del particular a dicha transmisión
(iii) si fuera viable la obtención de dicho consentimiento, el particular lo concedería, o
(f) la entidad ha tomado las medidas necesarias para garantizar que la información que se transmite no será detentada, ni utilizada, ni divulgada por el receptor de manera contraria a los NPP.
10 Información delicada
10.1 Las entidades no recogerán información delicada sobre un particular, a menos que:
(a) el particular diere su consentimiento, o
(b) la ley exigiere la recogida, o
(c) la recogida fuere necesaria para evitar o paliar una amenaza grave e inminente para la vida o la salud de un particular cualquiera, cuando el particular al que se refiere la información:
(i) carezca de capacidad física o jurídica para consentir en la recogida
(ii) no pueda comunicar físicamente su consentimiento a la recogida
(d) si la información se recogiere durante las actividades de una entidad sin fines lucrativos, se darán las condiciones siguientes:
(i) la información se referirá exclusivamente a los miembros de la entidad o a particulares que mantienen contacto regular con ella en relación con sus actividades
(ii) en el momento de la recogida de información o antes de emprenderla, la entidad se comprometerá con el sujeto de la información a no divulgarla sin su consentimiento
(e) la recogida fuere necesaria para iniciar, ejercer o defender una acción con arreglo a la ley o la equidad.
10.2 Sin perjuicio de lo dispuesto en el apartado 10.1, las entidades podrán recoger información sobre la salud de un particular si:
(a) la información fuere necesaria para prestar un servicio sanitario a dicho particular y
(b) la información se recogiere:
(i) según lo dispuesto en la ley (a demás de lo dispuesto en la presente disposición legal)
(ii) de conformidad con las normas establecidas por los órganos médicos o sanitarios competentes en materia de obligaciones de secreto profesional vinculantes para la entidad.
10.3 Sin perjuicio en lo dispuesto en el apartado 10.1, las entidades podrán recoger información sobre un particular si:
(a) fuere necesario efectuar la recogida por alguno de los objetivos siguientes:
(i) investigación relacionada con la sanidad o seguridad públicas
(ii) elaboración o análisis de estadísticas sobre la sanidad o seguridad públicas
(iii) gestión, financiación o supervisión de un servicio de salud
(b) tal fin no pudiere alcanzarse mediante la recogida de información en la que no se identifique al particular o a partir de la cual no sea posible deducir su identidad
(c) la entidad no tuviere opción de obtener el consentimiento del particular para la recogida
(d) la información se recogiere:
(i) según lo dispuesto en la ley (a demás de lo dispuesto en la presente disposición legal)
(ii) de conformidad con las normas establecidas por los órganos médicos o sanitarios competentes en materia de obligaciones de secreto profesional vinculantes para la entidad
(iii) de conformidad con las directrices aprobadas por el Comisario con arreglo al artículo 95A a efectos de este apartado.
10.4 En el caso de que una entidad recogiere información sanitaria sobre un particular de conformidad con el apartado 10.3, la entidad tomará las medidas necesarias para hacerla definitivamente anónima antes de divulgarla.
10.5 A los efectos de este apartado, una entidad sin fines lucrativos es una entidad sin fines lucrativos que tiene exclusivamente objetivos de naturaleza racial, étnica, política, religiosa, filosófica, profesional, comercial o sindical.
Hecho en Bruselas, el 26 de enero de 2001
Por el Grupo de trabajo
El Presidente
Stefano RODOTA