DG XV D/5047/98 final. Grupo de Trabajo sobre la Protección de Datos de carácter personal en lo que respecta al tratamiento de datos personales. Segundo Informe anual. Aprobado por el Grupo de trabajo el 30 de noviembre de 1998

COMISIÓN EUROPEA

DIRECCIÓN GENERAL XV

MERCADO INTERIOR Y SERVICIOS FINANCIEROS

Libre circulación de la información, derecho de sociedades e información financiera

Libre circulación de la información, protección de datos y sus aspectos internacionales

DG XVD/5047/98 final

WP 14 Grupo de Trabajo de protección de las personas con respecto al tratamiento de datos de carácter personal

SEGUNDO INFORME ANUAL

Aprobado por el Grupo de Trabajo el 30 de noviembre de 1998

EL GRUPO DE TRABAJO SOBRE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

instituido por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995(1),

visto el artículo 29 y el artículo 30(6) de dicha Directiva,

visto su Reglamento de Régimen Interior y, en particular, sus artículos 12, 13 y 15,

ha aprobado este informe anual.

1. INTRODUCCIÓN

El 24 de octubre de 1995, el Parlamento Europeo y el Consejo aprobaron la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (designada en lo sucesivo “la Directiva”)(2)

El artículo 29 de la Directiva ha creado el grupo de trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales. Este grupo tiene la obligación de facilitar a la Comisión, al Parlamento Europeo y al Consejo un informe anual sobre el estado de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal en la Comunidad y en terceros países. Este informe ha de ser publicado(3).

El primer informe fue aprobado el 25 de junio de 1997 y cubría las principales novedades de 1996 en el campo de la protección de datos. Este segundo informe abarca el año 1997, y retoma en lo esencial la estructura del primer informe, para facilitar la lectura de las novedades que han tenido lugar: la segunda parte trata de las ocurridas en la Unión Europea, tanto en los Estados miembros como a nivel de la Comunidad. La tercera parte estudia la actuación del Consejo de Europa. La cuarta parte trata de las principales novedades en terceros países y la quinta parte presenta otras novedades a nivel internacional.

A nivel de la Comunidad, el año 1997 estuvo marcado por varias novedades importantes:

la firma del Tratado de Amsterdam, con inclusión de una disposición específica sobre la protección de datos personales (véase punto 2.1.3);

la adopción de la Directiva 97/66 sobre la protección de datos personales en el sector de las telecomunicaciones (véase punto 2.3.1);

la adopción de los primeros documentos del Grupo creado por la Directiva 95/46/CE, que ha alcanzado rápidamente su velocidad de crucero y cuyas actividades despiertan cada vez más interés en los medios afines (véase punto 2.1.1).

(1) DO L 281 del 23.11.1995, p. 31.

(2) DO L 281 del 23.11.1995, p. 31.

(3) Artículo 30, párrafo 6, de la directiva.

Además, el proceso de transposición de la Directiva 95/46/CE ha entrado en su fase crucial, y dos nuevos países (Suiza y Hungría) se han adherido al Convenio 108 del Consejo de Europa.

2. NOVEDADES EN LA UNIÓN EUROPEA

2.1. La Directiva

El proceso de aplicación de la Directiva fue iniciado en 1996 en todos los Estados miembros y a nivel europeo. El punto 2.1.1 recuerda las competencias del grupo y sus actividades en 1997, el punto 2.1.2 describe los procedimientos de transposición de la Directiva a nivel nacional y el punto 2.1.3 subraya las medidas tomadas por las instituciones europeas para conformarse a las reglas de la Directiva.

2.1.1. Grupo de Trabajo sobre protección de datos

El Grupo de Trabajo se compone de representantes de las autoridades nacionales independientes encargadas de la protección de datos(4) y un representante de la Comisión e incluirá un representante de la autoridad responsable de las cuestiones relacionadas con la protección de datos dentro de las instituciones europeas, a partir de la fecha de la institución de esta autoridad (véase punto 2.1.3).

Al compartir la experiencia de las autoridades nacionales, el Grupo de Trabajo impulsa la aprobación de una estrategia coherente para la aplicación de los principios generales enunciados en la Directiva y aconseja a la Comisión sobre las cuestiones relacionadas con la protección de datos. Su función consiste especialmente en formular dictámenes sobre el nivel de protección en la Unión y en los terceros países, y en emitir recomendaciones sobre toda cuestión referente a la protección de las personas con respecto al tratamiento de datos de carácter personal.

El Grupo de Trabajo se reunió por primera vez el 17 de enero de 1996. Este temprano comienzo del trabajo fue a instancia de las autoridades nacionales responsables de la protección de datos. El Grupo de Trabajo está presidido por el Sr. Peter J. HUSTINX, presidente de la autoridad holandesa responsable de la protección de datos (Registratiekamer). Desde la entrada en vigor de las legislaciones griega e italiana sobre la protección de datos personales, el Grupo de Trabajo reúne desde ahora a las autoridades de control de todos los Estados miembros.

En 1997, el Grupo de Trabajo se reunió cuatro veces y estudió un número creciente de cuestiones. En particular, las discusiones entabladas en 1997 permitieron la aprobación de los siguientes documentos:

(1) la Recomendación 1/97 sobre la protección de datos y los medios de comunicación, que trata del equilibrio entre la protección de la vida privada y otros principios de naturaleza constitucional, tales como la libertad de prensa, subrayando que estos principios (lejos de ser antinómicos) se refuerzan mutuamente (documento WP1 – 5012/97);

(2) el dictamen 1/97 sobre la iniciativa canadiense referente a la normalización en materia de protección de la vida privada (WP 2 – 50023/97);

(3) el primer informe anual (WP 3 – 5025/97);

(4) las primeras líneas directrices del Grupo de Trabajo sobre el traspaso de datos hacia los terceros países (WP 4 – 5020/97);

(5) la Recomendación 2/97 referente al informe y a las directrices del grupo de trabajo internacional sobre la protección de datos en las telecomunicaciones (WP 5 – 5060/97);

(6) la Recomendación 3/97 sobre el anonimato en Internet (WP 6 – 5022/97);

(7) el documento de trabajo sobre la evaluación de los códigos de autorregulación relativos al traspaso de datos hacia los terceros países (WP 7- 5057/97);

(8) el documento de trabajo sobre las notificaciones (WP 8 – 5027/97).

Conviene subrayar que todos los documentos aprobados por el grupo están disponibles en el sitio “Europa” de la Comisión Europea, y pueden ser consultados en la dirección siguiente:

http://europa.eu.int/comm/dg15/index.htm

(4) Los miembros del grupo se enumeran en el anexo 1.

2.1.2. Transposición al derecho nacional de los Estados miembros

Esta parte resume los progresos realizados en la transposición de la Directiva al derecho nacional durante el año 1997 y tiene en cuenta las novedades hasta el 30 de junio de 1998.

En Bélgica, el proyecto de ley para transponer la Directiva, revisado tras el dictamen del Consejo de Estado, fue presentado al Parlamento en abril de 1998.

En Dinamarca, el proyecto de ley fue presentado el 30 de abril de 1998, y el Parlamento terminó su primera lectura en junio.

En España, el anteproyecto de ley de enmienda de la legislación sobre la protección de datos (Ley Orgánica 5/1992) fue presentado al Consejo de Estado para dictamen y debería ser discutido por el Parlamento en el transcurso del verano de 1998. Sin embargo, la mayor parte de las disposiciones ya han sido transpuestas por la “Ley Orgánica” 5/1992 del 29 de octubre de 1992 sobre el tratamiento automático de datos personales.

En Alemania, el legislador federal es el primer responsable de la transposición de la Directiva. Esta responsabilidad – que se fundamenta en los poderes legislativos que le otorga el artículo 74 de la Constitución – abarca no sólo el ámbito público de la Federación sino también el ámbito no público donde deberían producirse la mayoría de los cambios. Sin embargo – principalmente en el sector público – las leyes de los Länder sobre la protección de datos deben también conformarse a las disposiciones de la Directiva. Además de las leyes generales sobre la protección de datos, un gran número de reglamentos tanto federales como regionales que afectan aspectos específicos de la legislación sobre la protección de datos deben ser estudiados. El comisario federal y los comisarios de los Länder encargados de la protección de datos y las autoridades de supervisión responsables del sector no público trataron la cuestión de la próxima enmienda a la ley alemana sobre la protección de datos en el marco de las responsabilidades que les incumben respectivamente. El ministro de Interior, que es responsable del procedimiento legislativo, presentó un proyecto de ley el 1 de diciembre de 1997, sobre el cual el comisario federal de la protección de datos hizo observaciones el 30 de enero de 1998. Un nuevo proyecto de Ley del 8 de abril de 1998 no fue estudiado más detenidamente a causa de las elecciones nacionales del 27 de septiembre de 1998. Debido al principio constitucional de la no continuidad de la legislación, un nuevo anteproyecto de ley deberá presentarse en el Parlamento en el transcurso de la nueva legislatura.

La ley griega sobre la protección de datos (Ley 2472/97 sobre la protección de las personas con respecto al tratamiento de datos de carácter personal) fue ratificada por el Parlamento griego el 26.03.1997 y se publicó el 10.04.1997. De acuerdo con las disposiciones de la ley, el presidente de la autoridad (quien debe ser juez del Tribunal Supremo) fue nombrado por el gobierno, y los seis miembros por el Parlamento. Estos nombramientos tuvieron lugar en 1997, y la autoridad es ahora operativa.

En Francia, se remitió un informe al primer ministro en marzo de 1998 y le seguirá un nuevo informe sobre las redes telemáticas. La autoridad francesa responsable de la protección de datos, la Commission Nationale de l'Informatique et des Libertés (CNIL) será consultada respecto al anteproyecto de ley que, sin embargo, no estaba disponible en el momento de redactar este informe.

En Irlanda, el ministro de Justicia es el responsable de la legislación sobre la protección de datos. Las medidas legislativas necesarias para aplicar la Directiva, que incluirán enmiendas a la Ley de 1988 sobre la protección de datos, se encuentran en proceso de elaboración.

En Italia, la ley sobre la protección de datos personales fue aprobada el 1 de diciembre de 1996(5); entró en vigor el 8 de mayo de 1997(6). El Parlamento autorizó al gobierno(7) para que legisle por vía reglamentaria para enmendar y completar la ley de transposición de la Directiva.

En Luxemburgo, la transposición de la Directiva al derecho nacional incumbe al ministerio de Justicia. Se redactó un proyecto de ley en 1997, pero se retiró posteriormente. El Parlamento estudiará un nuevo proyecto en septiembre de 1998.

El gobierno de los Países Bajos había anunciado su intención de sustituir la ley actual sobre la protección de datos, en vigor desde el 1 de julio de 1989, por una ley totalmente nueva sobre el mismo asunto, de acuerdo con las disposiciones de la Directiva. El 16 de febrero de 1998 se presentó un proyecto de ley al Parlamento con este fin. La subcomisión parlamentaria correspondiente emitió su dictamen en junio de 1998 y el debate en el pleno debería tener lugar antes de finalizar este año.

(5) Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana nº 5, suplemento 3, 8.01.1997.

(6) Excepto con respecto a ciertos aspectos relativos al Acuerdo de Schengen que entró en vigor el 8 de enero de 1997.

(7) Legge 676/96, Gazzetta Ufficiale della Repubblica Italiana n§ 5, suplemento 3, 8.01.1997.

La cancillería federal de Austria (Österreichisches Bundeskanzleramt) preparó un proyecto de transposición de la Directiva al derecho nacional, que fue estudiado por el Consejo encargado de la protección de datos; una versión revisada debería presentarse en el Parlamento en otoño de 1998.

En Portugal, la Constitución fue revisada por Ley constitucional Nº 1/97 del 20 de septiembre de 1997 con el fin de poder transponer la Directiva. En efecto, la Constitución portuguesa incluye disposiciones sobre la protección de datos que, en algunos casos, son más restrictivas que las de la Directiva(8). La autoridad portuguesa para la protección de datos desempeñó un papel importante en el grupo de trabajo creado por el ministro de Justicia para redactar el anteproyecto de ley transponiendo la Directiva. Este anteproyecto fue difundido para su consulta y se publicó en el sitio Internet del ministerio de Justicia. El anteproyecto de ley fue presentado al Parlamento el 2 de abril de 1998; debería aprobarse el 24 de octubre de 1998.

En Finlandia, una comisión ad hoc encargada de la transposición de la Directiva (Henkilötietotoimikunta) concluyó sus trabajos en 1997. El proyecto de ley fue presentado en el Parlamento en julio de 1998.

En Suecia, la nueva legislación sobre la protección de datos fue aprobada por el Parlamento el 16 de abril de 1998. Algunas medidas complementarias se aprobarán por vía reglamentaria en septiembre de 1998. En el Reino Unido, el proyecto de ley sobre la protección de datos fue presentado en el Parlamento el 14 de enero de 1998, y fue aprobado en julio de 1998 (“Royal Assent”: 16 de julio de 1998). Los actos de derecho derivado son objeto de consulta pública hasta el 30 de septiembre. No se espera que la ley entre en vigor antes del principio del año 1999.

2.1.3. Respeto de la Directiva por las instituciones europeas

Las instituciones europeas y la Comisión en particular tratan con frecuencia datos personales en el marco de sus actividades. La Comisión intercambia datos personales con los Estados miembros en el marco de la Política agrícola común, para la gestión de los trámites aduaneros, los fondos estructurales, etc. Para que la protección en Europa no sufriera fisuras, la Comisión, cuando propuso la Directiva en 1990, declaró que respetaría también sus principios.

En el momento de su aprobación, la Comisión y el Consejo se comprometieron, en una declaración pública, a respetar la Directiva e invitaron a las demás instituciones y órganos comunitarios a seguir el ejemplo(9).

(8) Véase el primer Informe anual, página 7, nota 8.

(9) Esta declaración fue publicada en un comunicado de prensa del Consejo el 24 de julio de 1995 (9012/95 (Prensa 226)).

Durante la conferencia intergubernamental para la revisión de los Tratados, la cuestión de la aplicación de las reglas sobre la protección de datos a las instituciones europeas fue planteada por los gobiernos holandés y griego. Al terminar las negociaciones, el Tratado firmado en Amsterdam introdujo una disposición específica con este propósito. En la numeración definitiva del tratado, se trata del artículo 286, cuya formulación es como sigue:

(1) A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo.

(2) Con anterioridad a la fecha indicada en el párrafo 1, el Consejo establecerá, con arreglo al procedimiento previsto en el artículo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptará, en su caso, cualesquiera otras disposiciones pertinentes.

El artículo 286 estipula por lo tanto que a partir del 1 de enero de 1999, las instituciones y los órganos de la Comunidad deberán aplicar las reglas comunitarias de protección de datos personales fijadas por la Directiva 95/46/CE. Estipula también que antes de esta fecha, a propuesta de la Comisión, el Parlamento Europeo y el Consejo deben crear una autoridad de control independiente encargada de asegurar la correcta aplicación de las reglas arriba mencionadas por las instituciones comunitarias y que tomen todas las medidas necesarias para este fin.

Antes de la ratificación del Tratado, los servicios de la Comisión han preparado un anteproyecto de reglamento y se solicitó al Grupo de Trabajo su dictamen el 16 de marzo de 1998.

2.2. Novedades en el campo de la protección de datos. Actividades de las autoridades encargadas de la protección de datos

Esta parte subraya las principales novedades en el campo de la protección de datos, y trata en particular de los trabajos de las autoridades nacionales encargadas de la protección de datos. Puede obtenerse información adicional de estas autoridades, que publican informes anuales detallados.

Austria

La cancillería federal austríaca (Österreichisches Bundeskanzleramt) ha preparado un proyecto sobre la protección de datos para transponer la Directiva al derecho austríaco y para estudiar varias cuestiones, tales como la responsabilidad de las bases de datos creadas por varios controladores del tratamiento de datos.

En 1997, la comisión austríaca encargada de la protección de datos resolvió más de 30 quejas presentadas por ciudadanos, 90 peticiones de autorización para el traspaso de datos a terceros países y trató unas 80 peticiones de registro de tratamiento.

Como en estos últimos años, el personal de los servicios de la comisión encargada de la protección de datos ha dedicado gran parte de su actividad a ofrecer a los ciudadanos, por escrito o por teléfono, asesoramiento legal sobre cuestiones jurídicas. Con la liberalización de las telecomunicaciones en Austria, los servicios de la comisión austríaca han podido observar un fuerte incremento de las peticiones de información sobre cuestiones relacionadas con el respeto a la intimidad en lo que se refiere a los sistemas de facturación telefónica, y muchas otras peticiones sobre cuestiones tales como la protección de datos y el marketing directo, la seguridad social y el empleo.

Las quejas presentadas ante la comisión se refieren, por ejemplo, al derecho de un empleado extranjero a oponerse a que su empleador obtenga más informaciones sobre su situación jurídica en Austria que las que figuran sobre su autorización oficial de residencia. Por otra parte, la comisión decidió que un operador (público) de telecomunicaciones no tenía el derecho a imprimir un número de teléfono secreto en las facturas mensuales enviadas a una entidad bancaria, aun cuando la persona haya indicado ella misma con anterioridad este número a la entidad bancaria.

Conviene mencionar que la comisión ha observado una tendencia hacia un incremento de los traspasos transfronterizos de datos para consultas médicas así como la gestión del personal y el mantenimiento de los sistemas informáticos por empresas multinacionales. El telemantenimiento transfronterizo, en particular, pasará a ser, a muy corto plazo, un importante tema de reflexión.

Bélgica

En 1997, la Comisión belga presentó unos cuarenta dictámenes, principalmente a instancia de las autoridades públicas, pero también por iniciativa propia. Estos dictámenes se refieren a la aplicación de los principios fundamentales de la protección de la vida privada con respecto al tratamiento de datos de carácter personal. En 1997, casi el 45% de estos dictámenes se referían al Registro nacional de las personas físicas.

La Comisión belga tiene competencia para estudiar las quejas que le presentan. La mayoría de las cartas de quejas de las personas son en realidad peticiones de información. En 1997, la Comisión hizo frente, de hecho, a unas cincuenta quejas.

Por lo que se refiere al crédito al consumo, el número de quejas sigue siendo el mismo con cerca de 500.

Por lo que se refiere a la petición de acceso indirecto a los ficheros de los servicios de información y policía, la Comisión tuvo que hacer frente a 34 peticiones.

La Comisión belga desempeña un papel de información al público. En 1997, la Comisión recibió cerca de 700 peticiones de informaciones escritas y contestó a numerosas preguntas por teléfono.

En 1997, se declararon más de 7 000 tratamientos de datos ante la Comisión, de los cuales el 30% se referían al sector de asistencia sanitaria. El número de peticiones de información sobre el registro público llevado por la Comisión, y que incluye estas declaraciones, aumentó significativamente.

La Comisión belga ha participado también en varias reuniones científicas y de información a nivel nacional e internacional y ha organizado la 19¦ conferencia internacional de los comisarios de la protección de datos, que se celebró en Bruselas del 17 al 19 de septiembre.

Dinamarca

En 1997, el comisario danés encargado de la protección de datos trató más de 2 000 nuevos casos tanto en el sector público como el sector privado. Durante el mismo período, el comisario realizó más de 70 inspecciones en los locales de las autoridades públicas y empresas privadas.

El Comisario dictaminó sobre un proyecto del Ministerio de Investigación sobre firmas digitales. Este dictamen es globalmente favorable, en la medida en que una legislación en este campo podría contribuir al desarrollo de las comunicaciones digitales y aumentar la seguridad de las comunicaciones.

El Comisario opina que es necesario codificar los datos sensibles sobre un enfermo que las autoridades públicas del sector sanitario deben transmitirse unas a otras a través de Internet, y que con ello se aseguraría un alto nivel de protección. El Comisario declaró además que, en su opinión, los datos sensibles de carácter personal no deben almacenarse en las memorias de los ordenadores que pueden conectarse a Internet, sin existir las salvaguardias necesarias contra cualquier acceso no autorizado.

En otro caso, el Comisario expresó su preocupación en relación con la creación por parte de un hospital de una base de datos a la cual los médicos podían tener acceso a través de Internet para facilitar o buscar información de carácter personal. Según el dictamen del Comisario, este acceso debería realizarse a través de redes cerradas. Sobre la cuestión de la codificación de la información en Internet, el Comisario dictaminó sobre el proyecto de comunicación de la Comisión Europea relativo a las firmas digitales y la codificación. En particular, el Comisario subrayó la importancia capital de garantizar el derecho al respeto de la vida privada y la confidencialidad de las comunicaciones, y consideró que las restricciones en cuanto a la criptografía violan estos principios.

El Comisario ha estudiado también la cuestión de los famosos “cookies” en Internet.

De acuerdo con su dictamen, el uso de los “cookies” puede constituir una amenaza para el respeto de la vida privada, pero no es necesariamente el caso. Lo que importa es que los internautas sean conscientes de la existencia de esta técnica para así poder tomar las contramedidas apropiadas.

Además, una enmienda menor de la legislación en los ficheros gestionados por las autoridades públicas entró en vigor el 1 de enero de 1997, ampliando el derecho de las autoridades públicas a comunicar datos sobre sus deudores a los organismos privados de evaluación financiera.

Finlandia

Marco legislativo y reglamentario

En Finlandia, la comisión sobre la protección de datos personales, que el Ministerio de Justicia nombró para llevar a cabo la reforma de la ley sobre los ficheros de datos personales, presentó su informe el 16 de mayo de 1997. Este informe dio lugar a la presentación de observaciones; después de ello, el Ministerio de Justicia se encargó de preparar la nueva ley sobre los datos personales. El objetivo es transponer, antes del 24 de octubre de 1998, las disposiciones de la Directiva 95/46/CE. Otra reforma importante está en preparación en el Ministerio de Justicia: el nuevo proyecto de ley sobre la transparencia de la administración contiene, entre otras cosas, disposiciones sobre los tratamientos de datos personales procesados por las autoridades públicas y sobre la definición de los buenos usos en gestión de la información.

A finales de 1997, el Parlamento aprobó el Convenio Europol y las correspondientes enmiendas a la legislación. El Defensor del Pueblo encargado de la protección de datos fue designado como la autoridad de control nacional. Las disposiciones de la Directiva 97/66/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones deben ser transpuestas por la nueva ley sobre la protección de la vida privada y la seguridad de datos en las telecomunicaciones, en preparación en el Ministerio de Transportes y Telecomunicaciones. Otros sectores han visto el lanzamiento de proyectos legislativos relativos, entre otras cosas, a las exigencias de la Directiva 95/46/CE.

El Ministerio de Justicia creó en 1997 un grupo de trabajo que se ha dedicado a determinar las necesidades normativas en lo que se refiere a las firmas digitales y los organismos de certificación. El Ministerio de Sanidad y Asuntos Sociales constituyó en 1997 un grupo de trabajo que está actualmente investigando la utilización de las tecnologías en el sector de la asistencia sanitaria y sobre la necesidad de tener en cuenta los problemas que se plantean desde el punto de vista de la protección de datos. En el marco de estos trabajos, se realizará un estudio sobre la necesidad de una tarjeta de sanidad personal así como sobre las posibilidades que podría ofrecer. Finalmente, un grupo de trabajo creado por el Ministerio de Trabajo en 1997 ha analizado las cuestiones del respeto de la vida privada de las personas en las pruebas de selección y las entrevistas para la contratación.

Jurisprudencia

En Finlandia, los fiscales deben escuchar al Defensor del Pueblo encargado de la protección de datos antes de presentar sus conclusiones en un asunto de infracción de un fichero de datos o violación de un fichero. Igualmente, el tribunal debe dar al Defensor del Pueblo la oportunidad de ser escuchado. El número de solicitudes no ha dejado de aumentar, así como el número de recursos ante los tribunales (en 1997 hubo 12 solicitudes). En la mayoría de los casos, la cuestión era el uso ilícito de datos personales almacenados en un sistema informático: un empleado en el servicio del responsable de los ficheros utilizaba, de una u otra manera, estos datos en beneficio propio.

Actividades de las autoridades encargadas de la protección de datos

Teniendo en cuenta los recursos disponibles, los servicios del Defensor del Pueblo finlandés encargado de la protección de datos han realizado un esfuerzo especial para mejorar la información. El canal principal utilizado es un boletín de información sobre la protección de datos. En 1997, los servicios del Defensor del Pueblo han abierto su propia página web. Una serie de informaciones han sido publicadas sobre los derechos de los ciudadanos y la manera de ejercer estos derechos. En la práctica, las actividades de los servicios del Defensor del Pueblo se concentran sobre todo en la asistencia sanitaria y el empleo. Se han asignado cada vez más recursos a los problemas de la protección de datos que se originan por el uso creciente de la informática y la creación de redes (incluido Internet).

Traspasos de datos a terceros países

En Finlandia, la autorización de la comisión encargada de la protección de datos es necesaria para transferir, a un tercer país, datos personales, cuando la operación prevista se refiere a una transferencia masiva o la transferencia de una muestra de datos sensibles hacia un país cuya legislación en materia de protección de datos no asegura un nivel de protección adecuado desde el punto de vista del derecho finlandés. Las demás transferencias masivas de datos personales deben notificarse al Defensor del Pueblo encargado de la protección de datos.

Las notificaciones de transferencias de datos a terceros países se refieren esencialmente a dos tipos de transferencias:

Por una parte, se han transferido nombres y direcciones a los Estados Unidos al efecto de imprimir soportes publicitarios para correo directo. La empresa americana ha asegurado que garantizaría la seguridad de datos y procuraría que no se utilizarían para otros fines. Al final de la operación, se volvieron a transferir los datos a Finlandia.

Por otra parte, las filiales finlandesas de empresas extranjeras han notificado transferencias de datos personales al sistema de gestión centralizada del personal del grupo o empresa. Los datos deben utilizarse exclusivamente para la gestión del personal y la gestión de las carreras profesionales. Quedan a la disposición de las empresas del grupo implantadas en varios países. El Defensor del Pueblo encargado de la protección de datos ha dado instrucciones para que se informe al personal de este traspaso y se tomen las medidas apropiadas para asegurar la seguridad de datos.

Francia

En 1997, se remitieron 4 452 casos a la Commission Nationale de l'Informatique et des Libertés (CNIL), con inclusión de 821 peticiones de información y 2 348 quejas.

Esta comisión recibió también 2 724 peticiones de dictamen sobre el tratamiento de datos personales en el sector público, de un total de 67 136 casos sobre el tratamiento en los sectores público y privado. Los principales campos en 1997 se mencionan a continuación.

La reforma de la seguridad social y el objetivo de un mejor control de los gastos sanitarios han llevado a Francia a proveerse de la mayor red intranet sobre la cual circulan datos particularmente sensibles sobre la salud. Cada asegurado social y cada profesional sanitario estarán provistos, en el año 2000, de una tarjeta electrónica que permitirá la transferencia de datos necesarios para el reembolso de la asistencia sanitaria por los organismos de la seguridad social y ningún otro documento en papel deberá ser utilizado después de esa fecha. La informatización de los profesionales sanitarios, la aplicación de la red, la distribución de tarjetas electrónicas a los asegurados sociales y profesionales sanitarios, la constitución de ficheros nacionales de los profesionales y asegurados (no sólo los padres sino también sus hijos, desde el nacimiento) y la nueva utilización de una codificación de todas las patologías posibles ha movilizado a la autoridad nacional de protección de datos que ha trabajado en estrecha colaboración con las organizaciones representantes de los profesionales sanitarios y los enfermos. La CNIL ha manifestado sus reservas sobre los asuntos para los cuales el gobierno francés se dirigió a ella, reservas que fueron, en gran parte, tomadas en cuenta. Sin embargo, la CNIL deseó aprobar en febrero de 1997 una recomendación de alcance general sobre las redes de sanidad, la cual tuvo una buena acogida (DO de 12 de abril de 1997).

La aparición de las megabases de datos sobre comportamientos alimentadas mediante cuestionarios que comprenden cerca de doscientas preguntas y distribuidos por varias empresas privadas, provocan numerosas quejas ante la CNIL.

En este contexto, la comisión aprobó una recomendación que tiene la finalidad de precisar las condiciones en las cuales las personas deberían estar informadas de manera clara y sincera del propósito comercial de datos recogidos y de sus derechos.

En efecto, los operadores utilizaban expresiones ambiguas que podían dar motivo para pensar que se trataba de encuestas exclusivamente estadísticas y realizadas por cuenta del Estado. La CNIL formuló además una advertencia a uno de estos operadores que había suprimido de los cuestionarios distribuidos la casilla en donde las personas marcan que no desean que sus datos sean cedidos a terceros. En un fallo del 30 de julio de 1997, el Conseil d'Etat, la más alta jurisdicción administrativa en Francia, confirmó la lógica de esta advertencia. Se trata de la primera decisión jurisdiccional con relación a una advertencia por parte de la CNIL a un responsable de ficheros de datos.

En el sector bancario, el importante número de quejas para las cuales acuden a ella, ha llevado a la comisión a realizar misiones de control en las más grandes entidades bancarias con la intención de gestionar mejor la información bancaria utilizada para establecer perfiles. Estos controles deben complementarse con visitas in situ a organismos de crédito para verificar las condiciones de utilización de la evaluación del riesgo crediticio. Resulta que a igual situación financiera, el criterio de la nacionalidad podía permitir a estos organismos distinguir por una parte entre franceses y súbditos de otro país de la Unión Europea y por otra, entre franceses y súbditos de un tercer país.

Para facilitar la aplicación de la ley a las actividades en Internet, la comisión ha diseñado un modelo tipo que reglamenta los tratamientos utilizados en varios sitios Internet de los diferentes ministerios. Este modelo, junto con la guía que ha distribuido para todos aquellos responsables de sitios web, retoma sus recomendaciones elaboradas en colaboración con las personas interesadas, relativas a las utilizaciones principales de Internet, mensajería electrónica, foros de discusión, bajada de datos en línea así como la difusión de información personal. En este último caso, la comisión subrayó en particular, por una parte, el derecho de las personas involucradas de oponerse con antelación o posteriormente a la difusión de datos que les conciernen, por otra parte ha recordado a los usuarios de los sitios la prohibición de utilizar los datos personales así distribuidos para otros fines, especialmente comerciales. Así, se reconoce hoy en día en Francia:

– el derecho de las personas de oponerse a que los sitios públicos de las administraciones divulguen sus organigramas o guías telefónicas (decisión de 16 de mayo de 1997, JO de 18 de mayo de 1997),

– el derecho de los abonados inscritos en las guías telefónicas de oponerse a aparecer en servicios de guías telefónicas inversas y en las guías con acceso por Internet (recomendación de la CNIL de 8 de julio de 1998, JO de 2 de agosto de 1997 y decisión de France Telecom de 23 de enero de 1998 publicada en el JO de febrero de 1998).

Por último, la CNIL celebró en los primeros días del año 1998 el vigésimo aniversario de la Ley “Tecnología de la información y libertad” del 6 de enero de 1978. En esta ocasión, concedió premios “Tecnología de la información y libertad” a seis personas u organismos que destacaron particularmente por su preocupación por la protección de datos, y abrió su sitio Internet (http:/www/cnil/fr) que incluye una función particular que permite a todos los internautas ser conscientes de la “posibilidad de rastreo” de su navegación por Internet.

Alemania

Habida cuenta del fallo pronunciado en 1983 por el Tribunal Constitucional federal respecto a la ley sobre el censo y su repercusión en la legislación en materia de protección de datos, fue necesario, entre otras cosas, determinar una base jurídica para las numerosas comunicaciones oficiales procedentes de los tribunales y los fiscales, en particular en el marco de procedimientos penales, y destinadas a otros organismos públicos como los empleadores del sector público. Dada la importancia del legajo, la ley sobre las comunicaciones judiciales (Justizmitteilungsgesetz) no fue promulgada, después de un procedimiento de preparación interminable, hasta el 26 de junio de 1997. Esta ley define un marco general que rige las situaciones en las que las transferencias de datos de este tipo quedan autorizadas siempre que el organismo que transmite estos datos considere dicha transferencia necesaria para el cumplimiento de las obligaciones del destinatario y no estime que la persona interesada justifique un interés superior, que conviene proteger, para oponerse a una transferencia de este tipo. La provisión de información detallada sobre estas comunicaciones a las personas interesadas, que eran el objetivo buscado por las autoridades encargadas de la protección de datos, queda desgraciadamente muy limitada, y ello con el propósito de aliviar las obligaciones administrativas. Una vez complementada por los reglamentos administrativos que determinan aquellas comunicaciones judiciales que serán lícitas de forma general, la ley sobre las comunicaciones judiciales entró en vigor el 1 de julio de 1998.

En 1997, el análisis del genoma humano en los procedimientos penales cobró cada vez más importancia. El comisario federal encargado de la protección de datos presionó para exigir una autorización por ley para el almacenamiento y el tratamiento centralizados de los resultados de los análisis de ADN en la Oficina federal de la policía judicial.

Desde el punto de vista de Alemania, la ley que ratifica el Convenio Europol no es sólo una etapa importante para la participación de este país en Europol. Contiene también reglas importantes, entre otras, sobre las competencias y la independencia del representante alemán en la Comisión de quejas de la autoridad de control común de Europol.

Con la liberalización del mercado de las telecomunicaciones, un gran número de nuevos proveedores operan actualmente en Alemania. Durante el período de observación, otros reglamentos sectoriales con disposiciones importantes en materia de protección de datos tuvieron por tanto que ser aprobados. En junio de 1997, se aprobó la ley sobre los servicios de información y comunicación (Informations- und Kommunikationsdienste-Gesetz). Esta ley establece reglas para la protección de datos en el marco de la utilización de los servicios de telecomunicaciones. Fue completada por una ley sobre las firmas (Signaturgesetz), que establece un marco jurídico sobre la seguridad de las firmas digitales. El decreto relativo a la protección de los consumidores en el sector de las telecomunicaciones (Telekommunikations-Kundenschutzverordnung) fue promulgado en diciembre de 1997 y entró en vigor en enero de 1998. En 1997, el comisario federal encargado de la protección de datos asumió la responsabilidad de observar el cumplimiento de las reglas sobre la protección de datos por parte de las empresas proveedoras de servicios de telecomunicaciones.

La Ley sobre los servicios postales (Postgesetz), que entró en vigor en enero de 1998, constituye una etapa clave hacia la total liberalización del mercado de los servicios postales. En virtud de esta ley, todas las empresas proveedoras de servicios postales están sujetas al secreto profesional con respecto a sus actividades y deben respetar normas, en materia de protección de datos, que son habitualmente más estrictas que las impuestas por la legislación general. Se han concedido nuevos poderes de control al comisario federal encargado de la protección de datos por lo que se refiere también a este sector.

El procedimiento legislativo para la introducción de la vigilancia de edificios residenciales mediante micrófonos ha progresado de forma significativa durante el período de observación. Las nuevas reglas, que se aprobaron en marzo de 1998, permiten ciertas restricciones al derecho fundamental de la inviolabilidad del domicilio. Constituyen un compromiso aceptable entre la protección de la vida privada de un individuo en el sentido más estricto de la palabra y un medio importante de lucha contra el crimen organizado. En virtud de una decisión judicial, es posible recurrir a la instalación de micrófonos para la vigilancia de domicilios de los cuales es razonable pensar que están ocupados por un sospechoso, pero sólo con el fin de investigar sobre infracciones penales particularmente graves. Los tribunales están encargados de hacer respetar las disposiciones legales bajo las cuales una medida de vigilancia se aplica sólo en última instancia en un procedimiento penal.

Además, el Parlamento debe estar informado cada año de todas las operaciones de vigilancia. Ya que las personas interesadas han de estar también informadas tan pronto como sea posible, sin que ello comprometa el objeto de la investigación, pueden recurrir a los tribunales para que verifiquen la legalidad de la medida de vigilancia tomada.

Grecia

Con la Ley 2427 del 10 de abril de 1997 sobre la protección de las personas físicas con respecto al tratamiento de datos personales, Grecia fue el último Estado miembro en aprobar una ley sobre la protección de datos, pero el primero en transponer la Directiva marco, mucho antes de la fecha prevista.

El presidente y los seis miembros de la autoridad griega encargada de la protección de datos, así como sus suplentes, fueron nombrados en octubre de 1997, de acuerdo con el procedimiento previsto en el artículo 16 de la nueva ley (nombramiento por el gobierno y confirmación por el parlamento). La autoridad es operativa desde el 10 de noviembre de 1997 y dedicó sus reuniones de 1997 a cuestiones prácticas tales como la aprobación de su reglamento interno, la contratación de personal especializado y secretarias, así como la compra de los equipos necesarios. Además, el presidente y los miembros de la autoridad han participado en numerosas conferencias y seminarios sobre cuestiones relacionadas con la protección de datos.

La autoridad debería estar en condiciones de asumir plenamente sus funciones en el otoño de 1998.

Irlanda

Marco legislativo y reglamentario

El ministerio de Sanidad consultó al comisario irlandés encargado de la protección de datos acerca de una propuesta de establecer un registro de la población para el apoyo de un programa nacional de diagnóstico precoz del cáncer del cuello del útero. Se propuso que los datos del registro se obtuvieran del entonces ministerio de

Asuntos Sociales, del General Medical Services (Payments) Board y del Voluntary Health Insurance Board. El Comisario estimó que tal divulgación de datos por uno de estos organismos excedía su capacidad jurídica como responsable del tratamiento de datos. Esta consulta desembocó en una ley sobre la comunicación de informaciones en materia de sanidad, la Health (Provision of Information) Act, 1997, que autoriza a los responsables del tratamiento para proceder a las divulgaciones necesarias en determinados casos y bajo ciertos controles. El Comisario expresó públicamente su aprobación del nivel de protección de la vida privada que garantizan las disposiciones de esta ley.

El Comisario expresó, en cambio, su preocupación con respecto a una disposición de la ley sobre la vivienda, a saber el artículo 15 del Housing (Miscellaneous Provisions) Act, 1997. Esta disposición preveía una medida diseñada para reducir las probabilidades de que una persona con antecedentes penales o conocida por su comportamiento antisocial no residiera en viviendas de protección oficial, autorizando a la policía, así como a otros servicios, la comunicación de este tipo de información a los servicios públicos de vivienda. El Comisario fue consultado en la elaboración de esta ley y puso en duda el carácter necesario de esta disposición, ya que el artículo 8 de la Ley de 1988 sobre la protección de datos autoriza la divulgación de datos personales en los casos de que su no divulgación comprometa la prevención, la detección o la investigación de una infracción. Además, comentó que, en su dictamen, el artículo 15 propuesto era discutible porque su campo de aplicación era demasiado amplio y no se respetaba el principio de proporcionalidad. A pesar de las observaciones del Comisario, la disposición fue aprobada.

Jurisprudencia

Mientras siguen pendientes en los tribunales los recursos contra una decisión del Comisario sobre una queja y contra un requerimiento del Comisario a una compañía de seguros de enfermedad, no se entablaron nuevos procesos durante 1997. El Comisario aprobó la introducción por el Irish Direct Marketing Association de un servicio (Mailing Preference Service) que permite a las personas excluirse de todos los ficheros de direcciones gestionados por los miembros de la asociación. Se trata de un servicio voluntario que aumenta el derecho que el artículo 2, párrafo 7, de la Ley de 1988 sobre la protección de datos concede ya a las personas físicas de exigir del responsable de datos que deje de utilizar sus datos personales para fines de marketing directo.

Actividades del comisario encargado de la protección de datos

En 1997, prosiguieron las negociaciones entre el Comisario y Telecom Eireann, la compañía nacional de teléfonos de Irlanda, acerca del proyecto de este operador de introducir la identificación del número de llamada entrante. El Comisario opinó que cuando se introduzca este sistema, los abonados deberían poder elegir entre una serie de opciones y escogerlas con la misma facilidad. Se llegó con Telecom Eireann al acuerdo siguiente:

a) A partir de la aplicación del servicio y hasta que todos los abonados que no figuren en la guía telefónica hayan indicado su elección, su número de teléfono quedará oculto por defecto cuando realicen una llamada, mientras que la indicación del número de la llamada entrante funcionará para los demás abonados, y ello, a pesar de la preferencia del Comisario por la no identificación de la llamada entrante, desde el principio, para todos los abonados. El Comisario se reservó el derecho de plantear nuevamente la cuestión después de un período inicial de prueba.

b) Este acuerdo quedó supeditado a la obligación de Telecom Eireann de demostrar un alto nivel de transparencia en todo el material informativo suministrado a los abonados antes de la aplicación de la identificación de la llamada entrante. Este material informativo debe someterse al Comisario para sus comentarios.

Las quejas y las peticiones de información presentadas en los servicios del comisario encargado de la protección de datos durante 1997 aumentaron un 10% con respecto al año anterior, indicación de un creciente conocimiento de las cuestiones relativas a la protección de datos, tanto por parte de los responsables de los tratamientos como por parte de los ciudadanos.

Traspaso de datos a terceros países

Ningún caso de traspaso necesitó la evaluación del Comisario sobre el nivel de protección de un tercer país. El Comisario recibió varias peticiones de responsables de tratamientos de datos que deseaban traspasar datos a terceros países. Se trataba sobre todo de filiales irlandesas de multinacionales con sede en Estados Unidos a las que se pidió traspasar datos a la casa matriz. En este tipo de situaciones, el Comisario advierte que, en caso de queja por la utilización o divulgación de datos personales a un tercer país, su investigación comenzará por un estudio de las medidas tomadas por el responsable del tratamiento irlandés para asegurar que los datos traspasados al extranjero no se utilicen o se divulguen para fines y en condiciones otros que aquéllos para las que la persona interesada dio su consentimiento en el momento de la obtención de datos.

Italia

Marco legislativo y reglamentario

Las leyes 675 y 676 del 31 de diciembre de 1996 sobre la protección de las personas con respecto al tratamiento de datos personales pretenden transponer la Directiva 95/46/CE, o directamente (Ley 675) o delegando poderes al gobierno, que se encargará de aprobar las medidas necesarias (Ley 676). La Ley 675 introduce también las disposiciones necesarias para hacer efectivo el Convenio 108 del Consejo de Europa: los instrumentos de ratificación de este Convenio fueron introducidos el 29 de marzo de 1997 y el Convenio entró en vigor en Italia el 1 de julio del mismo año. En comparación con la Directiva y el Convenio, el campo de aplicación de la legislación italiana es más amplio por abarcar el tratamiento manual o automatizado de datos de personas físicas o jurídicas. Los cuatro miembros de la autoridad de control (“Garante per la protezione dei dati personali”) fueron nombrados por el Parlamento en marzo de 1997, siendo operativa la autoridad desde el día de la entrada en vigor de la Ley 675 (el 8 de mayo de 1997).

Otras medidas legislativas han sido tomadas por decreto (decretos 123 del 9 de mayo de 1997 y 255 del 28 de julio de 1997) sobre la información y notificaciones simplificadas.

Entre las normas que rigen temas afines, se pueden mencionar la ley que ratifica el Convenio Europol (que da a la autoridad encargada de la protección de datos la responsabilidad de datos personales contenidos en los ficheros nacionales de este organismo) y la ley que instituye la Autorita per le garanzie nelle Comunicazioni, que prevé la coordinación de las actividades de las autoridades de control y la posibilidad para el Consejo nacional de los usuarios de presentar sus opiniones y sugerencias a la autoridad encargada de la protección de datos.

Actividades de la autoridad de control

La Ley 675 establece la obligación de informar previamente a la persona involucrada por el tratamiento de datos. El decreto 123 estipula que esta información puede facilitarse verbalmente, siguiendo las sugerencias de la autoridad de control.

La autoridad tuvo que tratar varios problemas sobre el principio del consentimiento.

El primer caso se refería al sector bancario, y en particular el formulario enviado a los clientes de un importante banco nacional: en su primera versión, el formulario pedía un consentimiento “general” para una gama muy amplia de operaciones de tratamiento y mencionaba el cierre de la cuenta corriente y hasta la cancelación del contrato, para los clientes que no dieran su consentimiento general. Se presentaron varias quejas a la autoridad de control, y en base a los elementos recogidos, la autoridad aprobó una decisión pidiendo al banco que modifique el formulario y no tome en cuenta las declaraciones recibidas. Se llevó a cabo una consulta con la asociación de bancos y el Banco de Italia para resolver los numerosos problemas.

La autoridad de control preparó un modelo de formulario (en italiano y bilingüe italiano-alemán) para facilitar la notificación de los tratamientos, la fecha para la notificación quedó fijada al 31 de marzo de 1998.

El tratamiento de datos sensibles conlleva protecciones particulares: si el responsable del tratamiento es una entidad pública, el tratamiento ha de estar autorizado por una disposición legal explícita, indicando las datos que pueden ser tratados, las operaciones autorizadas y la finalidad de interés público perseguida.

Sin embargo, la ley estipula que durante un período de transición – que acaba el 7 de mayo de 1998 pero sujeto a prórrogas de seis meses – las administraciones públicas pueden seguir procesando los datos recibidos antes de la entrada en vigor de la ley, después de su comunicación a la autoridad de control; si el tratamiento se realiza por personas de derecho privado, los datos sensibles se tratarán sólo con el consentimiento por escrito de la persona y con la previa autorización de la autoridad de control. El número de peticiones de autorización fue de 8 889.

De acuerdo con el apartado 7 del artículo 41 de la Ley 675, la autoridad de control aprobó “autorizaciones tipo” destinadas a ciertas categorías de responsables o ciertas categorías de tratamientos. Las seis autorizaciones, aprobadas el 31 de diciembre de 1997, son:

(1) el tratamiento de datos sensibles en informes de trabajo;

(2) el tratamiento de datos sobre el estado de salud y la vida sexual;

(3) el tratamiento de datos por asociaciones sin ánimo de lucro;

(4) el tratamiento de datos por profesionales;

(5) el tratamiento de datos por ciertas categorías de responsables (sector bancario, seguros, turismo, transportes, sondeos, estadísticas, selección de personal, agencias matrimoniales);

(6) el tratamiento de datos sensibles por detectives privados.

Uno de los problemas más delicados se refiere al tratamiento de datos para el periodismo o la expresión artística o literaria. La autoridad de control facilitó la aprobación de un código deontológico en este campo, llevando a cabo amplias consultas con representantes de la categoría en cuestión. En diciembre de 1997, el Consejo del colegio de periodistas aprobó un proyecto de código sobre el cual la autoridad de control formuló sus comentarios.

La autoridad de control ha ejercido sus poderes de investigación mediante el acceso al centro de proceso de datos del Ministerio de Interior (oficina de la seguridad pública).

Países Bajos

Novedades legislativas

En 1997, los Países Bajos aprobaron nuevas medidas para la transposición al derecho holandés de la Directiva comunitaria sobre la protección de datos.

En febrero de ese año, la autoridad holandesa encargada de la protección de datos (Registratiekamer) emitió un dictamen muy detallado sobre el proyecto de ley del

Ministerio de Justicia. El dictamen llegaba a la conclusión de que la nueva ley aseguraría un nivel de protección adecuado de la vida privada de las personas físicas con respecto al tratamiento de datos personales y reforzaría los derechos individuales de las personas interesadas.

La autoridad encargada de la protección de datos propuso algunas enmiendas y aclaraciones al texto presentado que fueron ampliamente recogidas en el proyecto de ley presentado ante el Parlamento en febrero de 1998.

La autoridad holandesa emitió un dictamen crítico sobre otra ley con repercusiones en la vida privada de las personas interesadas, a saber la nueva ley sobre las telecomunicaciones. Esta ley amplía los poderes concedidos a la policía y otros organismos de investigación respecto a las escuchas telefónicas y obliga a las empresas de telecomunicaciones a almacenar todos los datos relativos al tráfico y ponerlos a disposición de la policía y la justicia.

La autoridad habló en favor de la protección del derecho al anonimato en el sector de las telecomunicaciones. El uso de las tarjetas de prepago podrían tenerse presente con este fin. Otra de sus preocupaciones ha sido el deseo del gobierno holandés de reglamentar y limitar el uso de la criptografía.

La autoridad ha comunicado también varios dictámenes al Parlamento sobre dos nuevos proyectos de ley. El primer proyecto de ley pretende facilitar el control de la legalidad de la residencia de los extranjeros que desean beneficiarse de servicios subvencionados, enlazando la base de datos de los municipios con la base de datos de la administración encargada de los extranjeros. El segundo proyecto trata de registros policiales especiales.

Otras novedades: códigos de conducta, publicaciones y presentaciones La autoridad holandesa encargada de la protección de datos (Registratiekamer) ha tomado parte en la elaboración de un código de conducta para el sector de seguros.

Ha publicado informes sobre varias cuestiones, tales como la videovigilancia, el registro de las prostitutas en la policía, el registro centralizado de los enfermos para un control terapéutico, el intercambio oficioso de informaciones entre los organismos de investigación y terceros, el funcionamiento de los servicios sociales municipales, etc.

La autoridad ha participado también en numerosas conferencias, seminarios y talleres sobre temas como la protección de la vida privada de los trabajadores, la criminalidad organizada internacional, etc. Ha realizado también varias presentaciones para promover las técnicas que refuerzan la protección de la vida privada (Privacy Enhancing Technologies o PET) y ha participado en el desarrollo, para el sector de la sanidad, del primer sistema de información comercial que utiliza estas técnicas.

Controles del respeto de la vida privada y evaluación tecnológica

Se llevó a cabo un control del respeto de la vida privada en la parte holandesa del sistema de información Schengen, y se tomaron medidas preliminares para realizar estos controles en diferentes administraciones municipales.

Una evaluación tecnológica sobre el almacenaje y la extracción de datos (conocidos también como descubrimiento de información en las bases de datos) merece también su mención.

Algunas cifras sobre las actividades en 1997 de la autoridad holandesa encargada de la protección de datos

La Registratiekamer ha contestado en 1997 cerca de 5 000 preguntas a través de su central telefónica. Ha ofrecido asistencia a las personas interesadas en 136 casos en los que se requería una mediación y en el marco de 238 quejas.

La Registratiekamer ha asesorado al gobierno en más de veinte ocasiones. Ha recibido 971 declaraciones de actividad de tratamiento de datos del sector público y 1 220 del sector privado. Al 31 de diciembre de 1997, el número total de declaraciones ascendía a 56 663.

Portugal

La autoridad portuguesa encargada de la protección de datos (CNPDPI) ha seguido teniendo un papel activo aumentando el conocimiento de los proyectos de nuevas disposiciones legales en materia de protección de datos personales. Ha conseguido convencer al gobierno de que todos los ministerios deberían declarar a la CNPDPI cualquier tratamiento de datos personales que realicen. Ha participado en conferencias y simposios y mantiene contactos frecuentes con la prensa. En noviembre, organizó un simposio muy concurrido sobre las principales cuestiones relacionadas con la transposición de la Directiva comunitaria al derecho nacional.

La CNPDPI llevó a cabo un número creciente de controles, especialmente en relación con el marketing directo, los servicios bancarios y los servicios sanitarios.

Accediendo a un gran número de peticiones de transferencia de datos personales sobre los empleados de empresas multinacionales a oficinas implantadas en países sin legislación en materia de protección de datos, la CNPDPI decidió autorizar estas transferencias siempre que no sólo las personas implicadas den explícitamente su consentimiento sino que también el responsable del tratamiento se comprometa a que se transfieran sólo los datos necesarios para la gestión global del personal, no se utilicen estos datos para cualquier otro fin ni se transfieran a terceros y que el nivel de protección asegurado en el país destinatario no sea inferior al que garantiza la legislación portuguesa.

España

Introducción

La Agencia de Protección de Datos, autoridad española encargada de la protección de la vida privada, fue instituida por la Ley Orgánica 5/1992 de 29 de octubre de 1992 que rige el tratamiento electrónico de datos personales. Entró en vigor a principios del año 1994 y aplica desde el comienzo los principios fundamentales de la Directiva 95/46/CE, aun cuando esta última no estaba transpuesta al derecho español. Sin embargo, una de las primeras versiones de la Directiva europea había servido para la elaboración de un primer proyecto de la Ley Orgánica 5/1992 de 29 de octubre.

Al 31 de diciembre de 1997, el número de ficheros inscritos en el registro general sobre la protección de datos ascendía a 229 804, de los cuales 3 312 se registraron en 1997.

Durante este mismo año, 13 306 operaciones en total se llevaron a cabo en el registro general de la protección de datos: 3 312 fueron registros de nuevos ficheros, 8 023, modificaciones de los ficheros ya registrados y 1 971, cancelaciones de ficheros registrados.

En función del titular del fichero, los registros se distribuyen como sigue:

TITULAR Nº

FICHEROS

TITULAR PÚBLICO 27 969

Administración central 2 568

Administración de las CCAA 2 580

Municipios 22 370

Otros organismos públicos 451

TITULAR PRIVADO 201 835

T O T A L 229 804

Las funciones principales de la Agencia de Protección de Datos son las siguientes:

– Inspecciones realizadas por iniciativa propia de la Agencia cuando los hechos hacen necesarias estas inspecciones, o por quejas presentadas por ciudadanos. Se han llevado a cabo un total de 375 inspecciones de este tipo, de las cuales alrededor de 95 eran vistas, en otras palabras inspecciones generales antes que verificaciones específicas sobre la infracción denunciada.

– Procedimientos relativos a la protección de los derechos, en el marco de los cuales la Agencia de Protección de Datos interviene para ayudar a los ciudadanos a corregir los incumplimientos de la reglamentación sobre la protección de datos. El número de casos tratados en 1997 fue de 113.

– Procedimientos de sanción en caso de violación grave de los derechos y garantías establecidos en la Ley Orgánica 5/1992, que se entablan por iniciativa de la Agencia o por quejas presentadas por los ciudadanos, con el fin de imponer las sanciones correspondientes. El número de procedimientos iniciados en 1993 fue de 203.

– En 1997, la Agencia de Protección de Datos recibió un total de 682 quejas por parte de los ciudadanos. La Agencia se esfuerza por hacer frente a las dudas y los problemas de los ciudadanos y de las empresas que operan en sectores que inciden en la vida privada y los organismos públicos. Esta función es llevada a cabo por el servicio de información a los ciudadanos que depende de la secretaría general, y del director de la Agencia en lo que se refiere a las empresas y las administraciones públicas. Unas 1.009 consultas por escrito y más de 10 000 consultas por teléfono fueron tratadas en 1997 por el servicio de información a los ciudadanos y 80 por el director de la Agencia.

– Por último, la Ley Orgánica establece que la Agencia de Protección de Datos debe emitir un informe sobre las medidas jurídicas y las reglamentaciones aprobadas en materia de protección de datos. En 1997, la Agencia emitió 20 informes.

Transposición de la Directiva 95/46/CE al derecho español

En 1997, se elaboró un proyecto de ley orgánica para la modificación de la Ley Orgánica 5/1992 con el fin de transponer la Directiva comunitaria al derecho español.

Entre las medidas concebidas y aprobadas en 1997, debe mencionarse la confianza del gobierno depositada en la Agencia de Protección de Datos para la elaboración de una propuesta de reglamento sobre las medidas de seguridad aplicables a los ficheros informáticos que contienen datos personales. Este Reglamento dará lugar al desarrollo de la Ley Orgánica 5/1992 con objeto de la aplicación de los principios de la seguridad de datos establecidos por el artículo 9 de la Ley Orgánica, que corresponde a los artículos 16 y 17 de la Directiva 95/46/CE.

Códigos de deontología

Las actividades llevadas a cabo en 1997 en virtud del artículo 31 de la Ley Orgánica 5/1992, que corresponde al capítulo V de la Directiva 95/46/CE, en lo que se refiere al registro de códigos tipo, no dieron lugar a nuevas inscripciones en el registro general sobre la protección de datos.

Dos nuevos procedimientos se iniciaron en 1997 sobre dos nuevos códigos tipos presentados al registro y para los cuales se hizo una petición de inscripción en el registro.

La primera petición recibida, que se presentó de hecho en 1996, si bien el procedimiento para su registro se llevó a cabo en 1997, se refiere al código de conducta aplicable al fichero informático del sector de automoción (CCF). En julio de 1997, se recibió de la asociación española del marketing directo el código tipo que rige las listas Robinson (que permiten no recibir publicidad por correo). Su análisis planteó ciertas cuestiones en la medida en que no parecían defender los principios establecidos por la Ley Orgánica 5/1992. En ambos casos, no fue posible registrar las peticiones, siendo la razón principal que los códigos no ofrecían garantías mayores que las previstas por la Ley Orgánica.

Transferencias internacionales

Un total de 919 ficheros inscritos en el registro mencionan transferencias internacionales de datos en su declaración (48 de ellos son ficheros de organismos públicos y los 871 restantes pertenecen a empresas privadas).

Las peticiones de autorización de transferencias internacionales de datos en virtud del artículo 32 de la Ley Orgánica 5/1992 (capítulo IV de la Directiva) se basan en una serie de garantías que debe ofrecer la persona que realiza la transferencia y que reside en España. Esta persona, como responsable del tratamiento, debe garantizar el respeto de todos los derechos y obligaciones establecidos en la ley, y que los derechos de acceso, modificación y eliminación de datos almacenados en terceros países continuarán estando asegurados desde España. Una vez concedida la autorización por el director de la Agencia, de acuerdo con los poderes que le otorga el apartado 1 del artículo 36 de la ley, la transferencia se inscribe en el registro general sobre la protección de datos, según lo estipulado en el punto c del artículo 38).

En 1997, se iniciaron 25 procedimientos de autorización, de los cuales 24 han concluido. Además, de los 6 procedimientos iniciados en 1996, uno de ellos seguía pendiente de resolución a finales del año. De este modo, 30 transferencias fueron autorizadas e inscritas en el registro general, quedando un procedimiento pendiente para el año siguiente. Estas autorizaciones se referían al tratamiento de 33 ficheros.

Los Estados Unidos fueron el país hacia el cual se autorizaron la mayoría de las transferencias. La razón es que las casas matrices de la mayoría de las empresas multinacionales están implantadas en los Estados Unidos. Las transferencias destinadas a más de un país las realizan generalmente empresas con filiales en varios países. Un mismo fichero destinado a varios países puede ser objeto de un procedimiento único. En estos casos, la inscripción en el registro general lleva la mención “países de destino 'internacional'”.

En total, se trataron 81 procedimientos de autorización de transferencias internacionales de datos, de los cuales 15 se iniciaron en 1995, 41 en 1996 y 25 en 1997. Un total de 128 inscripciones de ficheros fueron objeto de procedimientos de autorización de transferencias internacionales. El destino principal de datos fueron los Estados Unidos, con el 78,13% de los ficheros autorizados, seguidos de lejos por las transferencias hacia varios países en los cuales las empresas en cuestión tienen su sede social.

Otras actividades

Una conferencia EUROPA-LATINOAMÉRICA SOBRE LA PROTECCIÓN DE DATOS PERSONALES fue organizada, con asistencia de las autoridades europeas encargadas de la protección de datos y los representantes de los países latinoamericanos. El objetivo principal de la conferencia era ofrecer a los especialistas un foro para reunirse e intercambiar opiniones, ideas y experiencias acerca del proceso de elaboración de medidas legales y reglamentarias en este campo en los países latinoamericanos y, al mismo tiempo, contribuir a describir la experiencia europea en el campo de la protección de datos personales.

Se convocó el PRIMER PREMIO “PROTECCIÓN DE DATOS PERSONALES”, que asciende a un millón de pesetas (5 988,02 ecus), con el propósito de permitir la realización de un estudio exhaustivo sobre el apartado 4 del artículo 18 de la Constitución.

En virtud del reglamento del concurso, el premio se concederá al mejor y más original trabajo de investigación no publicado, redactado por autores españoles o extranjeros, sobre el tema de datos informáticos de carácter personal desde el punto de vista jurídico, es decir un estudio puramente teórico, o un trabajo de investigación realizado sobre la base de experiencias específicas en el sistema jurídico español o en derecho comparado. El jurado constituido de acuerdo con el reglamento del concurso concedió el premio a un estudio sobre la utilización y control de datos informáticos sobre el empleo.

Política en materia de publicaciones

Desde que la Agencia inició sus actividades, publicó dos obras, una sobre el año 1995 y la otra, sobre el año 1996. La primera obra, impresa en papel, se publicó en colaboración con el Boletín Oficial del Estado, pero era muy voluminosa y por tanto de difícil manejo. Por esa razón, se decidió publicar la lista sobre el año 1996 en un soporte óptico. Teniendo presentes las experiencias anteriores, se decidió seguir utilizando como soporte un CD-ROM para la publicación de la lista relativa a 1997.

Además, la información se publicó en Internet. Dada la capacidad de almacenamiento de un CD-ROM, se incluye también la siguiente información, publicada por la Agencia y que puede ser de interés para las personas que desean consultar la lista de los ficheros:

los informes publicados hasta la fecha, relativos a 1994, 1995 y 1996,

el manual sobre la protección de datos que comprende los formularios tipo a disposición de los ciudadanos para el ejercicio de los derechos que les confiere la ley,

la legislación sobre la protección de datos,

las actas de los seminarios organizados por la Agencia en 1995 y 1996 sobre la seguridad y la legislación en materia de protección de datos, respectivamente, estadísticas sobre las actividades del registro general sobre la protección de datos.

La innovación este año fue sin embargo la publicación de la lista de ficheros en Internet, ya que nadie puede negar el impacto que ha tenido la red en nuestra sociedad en los últimos tiempos. La publicación en Internet es una opción, pero en el marco del sitio institucional de la Agencia, donde se ha abierto una nueva sección dedicada al registro, que contiene esencialmente información general. El sitio indica las instrucciones a seguir para la inscripción de nuevos ficheros en el registro y contiene el formulario de inscripción tipo para los ficheros públicos y los ficheros privados, así como, naturalmente, la lista actualizada de los ficheros.

Suecia

Marco legislativo y reglamentario

Una comisión parlamentaria, nombrada por el gobierno y encargada del estudio oficial de la legislación sobre la protección de datos, presentó un proyecto de ley, en abril de 1997, sobre la protección de datos personales. Sobre la base de ese proyecto, el gobierno presentó una propuesta para una nueva ley al Riksdag (parlamento) en Diciembre de 1997 (10).

La ley se basa en gran parte en las disposiciones de la Directiva 95/46/CE y debe considerarse como un marco que define las líneas generales para todos los tratamientos de datos personales. El objetivo que se persigue es procurar que el gobierno y la autoridad encargada de la protección de datos puedan establecer reglamentaciones más precisas dentro de este marco jurídico.

Conforme a la Directiva comunitaria, el proyecto de ley rige los tratamientos automáticos de datos personales así como sus tratamientos manuales si los datos forman parte de un sistema informático propio. El uso puramente privado de datos personales queda excluido. A diferencia de la Directiva, el tratamiento de datos sobre la seguridad pública, la defensa y la acción del Estado en derecho penal está incluido en el campo de aplicación de la ley propuesta. La obligación de notificar las operaciones de tratamiento a la autoridad encargada de la protección de datos debe quedar reducida al mínimo para que la autoridad pueda concentrarse más en sus tareas de control, información y asesoramiento. La autoridad encargada de la protección de datos debe también establecer instrucciones para aclarar la ley. Por último, el proyecto de ley contiene disposiciones sobre las sanciones y la responsabilidad civil. Debería entrar en vigor el 24 de octubre de 1998.

Jurisprudencia en 1997

He aquí una selección de las decisiones tomadas en 1997 por las jurisdicciones nacionales en materia de protección de datos. Se incluye también una decisión del gobierno, que es competente para resolver recursos contra decisiones de la autoridad encargada de la protección de datos acerca de ficheros de datos personales cuyo responsable es una autoridad administrativa. Los recursos contra otras decisiones se instruyen ante el tribunal administrativo provincial de Estocolmo y, en apelación, ante el tribunal administrativo de apelación y el tribunal administrativo supremo.

– El gobierno confirmó una decisión de la autoridad encargada de la protección de datos ordenando a un responsable del tratamiento de datos obtener el consentimiento por escrito, y con conocimiento de causa, de la persona interesada antes de tratar datos sensibles para fines de la investigación científica.

El responsable del tratamiento, en este caso una universidad que llevaba a cabo un proyecto de investigación sobre las posibles relaciones entre los tratamientos a base de estrógenos y el cáncer, afirmó que los datos fueron recogidos en los historiales médicos y en otras fuentes que abarcan un largo periodo de tiempo y que, por consiguiente, sería difícil y costoso obtener el consentimiento por escrito de cada una de las personas en cuestión. La universidad temía también que este procedimiento de información de las personas interesadas causara inquietud en estas personas. El gobierno objetó, entre otras cosas, que el tratamiento había sido ya objeto de artículos publicados en la prensa y que, por consiguiente, era particularmente importante que las personas interesadas estuvieran correctamente informadas sobre este tratamiento. En la medida en que los ficheros de datos podían contener datos muy sensibles y permanecer guardados durante un largo período, el gobierno mostró su acuerdo con el dictamen de la autoridad encargada de la protección de datos que consideraba que el consentimiento de las personas era indispensable.

(10) La ley fue aprobada por el parlamento sueco el 16 de abril de 1998.

– El tribunal administrativo provincial y el tribunal administrativo de apelación desestimaron ambos un recurso contra una decisión de la autoridad encargada de la protección de datos que prohibía a varios bancos suecos crear un fichero de datos personales con el fin de luchar contra el blanqueo de dinero. Los bancos demandantes afirmaron que estaban obligados a notificar a la autoridad de control financiero las operaciones de blanqueo de dinero y que este fichero les era necesario para cumplir esa obligación. Los tribunales consideraron que la necesidad de los bancos de tener un fichero con informaciones sobre actividades criminales no valía más que el derecho de las personas físicas al respeto de su vida privada y no era suficiente para justificar una excepción al principio general según el cual sólo las autoridades con la obligación legal de gestionar un fichero sobre las actividades criminales pueden registrar este tipo de informaciones.

– El tribunal administrativo provincial y el tribunal administrativo de apelación desestimaron también un recurso contra una decisión que prohibía a un organismo de valoración crediticia usar un CD-ROM con información económica y crediticia sobre empresarios para fines de marketing directo. El organismo de valoración tenía la prohibición también de vender el CD-ROM para este fin. Este caso fue llevado al tribunal administrativo supremo que no se ha pronunciado aún.

– Una agencia de servicios de seguros, cuyo capital está en manos de varias compañías de seguros suecas, solicitó la autorización de crear y gestionar un “fichero común de declaraciones de siniestro”. Un asegurado que reclamara una indemnización a su compañía de seguros quedaría automáticamente registrado en el fichero. La compañía de seguros obtendría al mismo tiempo una relación de las declaraciones de siniestro anteriores que el asegurado podría haber enviado, llegado el caso, a sus aseguradores anteriores. Los antecedentes de las solicitudes de indemnización podrían indicar que la nueva solicitud fuera examinada más detenidamente. El fichero suministraría toda la información recogida sobre los bienes del asegurado. En la medida en que todas las grandes compañías de seguros suecas estuvieran conectadas al sistema, cada una de ellas tendría acceso a un fichero casi completo sobre los asegurados suecos y su patrimonio. La autoridad encargada de la protección de datos no autorizó la creación de este fichero. La compañía recurrió contra esta decisión ante el tribunal administrativo provincial donde el caso sigue pendiente.

Véase también más adelante la sección 4 “Transferencias de datos a terceros países”.

Actividades de la autoridad encargada de la protección de datos

En 1997, la autoridad encargada de la protección de datos publicó nuevas reglamentaciones administrativas sobre los tratamientos frecuentes en ciertos campos, para eximirlos de la obligación de obtener su autorización. Estas reglamentaciones se refieren a ficheros informatizados en tres nuevos sectores: las escuelas, para fines de gestión de alumnos, los poderes públicos, para fines estadísticos, y la divulgación de datos personales en los sitios web. La autoridad considera que hubiera tenido que tratar 2 000 solicitudes adicionales si no se hubiesen aprobado estas reglamentaciones administrativas.

La autoridad encargada de la protección de datos ha proseguido con sus actividades de supervisión mediante controles. Diferentes sectores comerciales han sido objeto de estos controles, tales como los hospitales, las agencias de viaje, los organismos de cobro de deudas y los operadores de telecomunicaciones.

Además, la autoridad ha tomado medidas para informar activamente al público de sus actividades. En junio de 1997, ha abierto un sitio web que contiene informaciones sobre la legislación, las principales decisiones y comunicados de prensa. En un proyecto de sensibilización específica, la autoridad se dirigió a los alumnos y a sus profesores y, entre otras, distribuyó un CD-ROM con cuatro juegos diferentes para someter a prueba los conocimientos sobre la protección de datos.

Transferencias de datos a terceros países

– La autoridad encargada de la protección de datos autorizó, en 1995, a una compañía aérea la transferencia hacia los Estados Unidos de informaciones sobre sus clientes a partir de su sistema informatizado de reservas, siempre que los clientes hayan dado su consentimiento a dicha transferencia. La decisión fue recurrida ante el tribunal administrativo provincial y el tribunal administrativo de apelación, que han confirmado ambos ahora la decisión de la autoridad. La decisión fue recurrida ante el tribunal administrativo supremo que debe decidir aún sobre la admisibilidad de la demanda.

Reino Unido

Un proyecto de ley de transposición de la Directiva 95/46/CE al derecho nacional fue publicada en enero de 1998. En julio de 1997, el gobierno publicó sus propuestas para la nueva ley, y el Secretario aconsejó a los ministros, funcionarios y parlamentarios sobre los puntos en estudio. Los trabajos comenzaron también sobre las modalidades de un sistema de notificación con el fin de cumplir con las exigencias del proyecto de ley, aunque las disposiciones en materia de notificación, que deben ser aprobadas bajo la forma de derecho derivado, no se han publicado aún.

La Oficina del Secretario ha dedicado gran parte de sus actividades a los trabajos sobre el nuevo proyecto de ley, pero han conseguido publicar las líneas directrices sobre la legislación de 1984 para los usuarios de datos. Las guías publicadas el año pasado atañen a los trabajadores a domicilio, los intermediarios de servicios financieros y los organismos de seguimiento y cobro de deudas. Una guía sobre la elaboración de códigos de deontología sobre el cruce de datos se redactó y se publicó en julio de 1997. Además de estas guías, la Oficina del Secretario aprobó el código de deontología sobre el cruce de datos publicado por la Comisión de Cuentas en noviembre de 1997.

El Secretario ha proseguido con su campaña de sensibilización sobre protección de datos mediante anuncios publicitarios emitidos por las cadenas de televisión regionales y por satélite. Después de la emisión del mensaje publicitario, el número de peticiones de información y quejas a los servicios del Secretario aumentó, y esta tendencia se reflejó en un incremento general del número de quejas recibidas durante todo el año. En total, 4 173 quejas fueron recibidas en 1997/1998. Conviene también mencionar 21 591 nuevas inscripciones de ficheros en el registro, por lo que el número total de inscripciones en el registro se eleva a 224 909. Se pronunciaron cinco requerimientos y se entablaron 38 juicios en virtud de la ley.

Todas las inscripciones de ficheros y todas las guías están disponibles también en el sitio web del Secretario (ODPR).

2.3. Evolución de la política de la Unión Europea en el campo de la protección de datos

Si bien la Directiva constituye el elemento clave de la política europea en lo que se refiere a la protección de datos, está complementada por varias otras iniciativas que pretenden garantizar al ciudadano un marco de protección coherente.

Esta parte expone las novedades en la Unión Europea, tanto en lo que se refiere a los aspectos que recaen en la competencia de la Comunidad Europea (puntos 2.3.1 al 2.3.3) como a los que dependen del título VI del Tratado sobre la Unión europea (punto 2.3.4).

2.3.1. Iniciativas sectoriales

El Parlamento Europeo y el Consejo aprobaron, el 15 de diciembre de 1997, la “Directiva relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones”, en particular de las redes digitales de servicios integrados (RDSI) y las redes móviles digitales públicas(11).

Esta Directiva tiene el objeto de garantizar la libre circulación en la Comunidad de los datos y los equipos y servicios de telecomunicaciones armonizando el nivel de protección de los abonados y los usuarios de los servicios públicos de telecomunicaciones con respecto al tratamiento de datos de carácter personal en el sector de las telecomunicaciones.

La Directiva especifica, para el sector de las telecomunicaciones, las reglas generales enunciadas en la Directiva 95/46/CE, y refuerza la protección de la intimidad y los intereses legítimos de los abonados (inclusive las personas jurídicas).

La Comisión presentó la propuesta inicial de esta Directiva en junio de 1990, y después una propuesta considerablemente revisada en julio de 1994. El Consejo alcanzó una posición común en septiembre de 1996, pero la aprobación por el Parlamento Europeo y el Consejo sólo fue posible después de un procedimiento de conciliación. La Directiva está estrechamente relacionada con la Directiva general sobre la protección de datos (aprobada en octubre de 1995) en la medida en que especifica, para el sector de las telecomunicaciones, las reglas generales ya establecidas. Sin embargo, su campo de aplicación es más amplio en dos aspectos, porque cubre los derechos e intereses legítimos de las personas tanto físicas como jurídicas y abarca aspectos de la intimidad que no están directamente relacionados con el tratamiento de datos.

(11) Directiva 97/66/CE del 15 de diciembre de 1997, DO L 24 del 30.1.1998, p. 1.

La Directiva contiene disposiciones sobre los puntos siguientes:

– la seguridad de la información transmitida por las redes públicas de telecomunicaciones,

– la confidencialidad de las comunicaciones,

– los límites de su alcance y la duración del tratamiento, por los proveedores de servicios, de datos relativos al tráfico y la facturación,

– las opciones que deben ofrecerse en lo que se refiere a la indicación de la identificación de la llamada entrante y la línea conectada, para garantizar el respeto de la vida privada

– la identificación de llamadas malintencionadas y perturbadoras,

– las preocupaciones que suscitan el desvío automático de llamadas desde el punto de vista del respeto de la vida privada,

– el derecho de los abonados a no figurar en las guías telefónicas,

– la protección de la vida privada con respecto a las llamadas no solicitadas.

Después de su aprobación formal por el Parlamento Europeo y el Consejo, la Directiva deberá ser transpuesta por los Estados miembros antes del 24 de octubre de 1998, salvo en lo que se refiere a ciertos aspectos de la confidencialidad de las comunicaciones, para las cuales se acordó un plazo adicional hasta el 24 de octubre del 2000.

Protección de datos y sociedad de la información

Asegurar confianza y confidencialidad es un factor clave para el desarrollo de la sociedad de la información, cuando están en cabeza de las preocupaciones de los internautas crecientes dudas sobre la protección de la vida privada en línea: todos los estudios de mercado y todos los sondeos realizados el año pasado confirman este punto de vista. El 16 de abril de 1997, la Comisión aprobó un documento con el título “Iniciativa europea de comercio electrónico” (COM (97)157), que pretende establecer una posición europea común para alcanzar un consenso mundial mediante negociaciones internacionales. En el marco del seguimiento de este documento, la Comisión aprobó una Comunicación sobre las firmas digitales y la codificación que subraya el papel de la Directiva 95/46/CE por las respuestas que da a estas preocupaciones legítimas en cuanto al respeto de la vida privada. La Directiva incluye, por ejemplo, disposiciones específicas sobre la seguridad y la confidencialidad de los datos, principalmente cuando su tratamiento implica una transmisión de datos a través de una red.

La protección de datos personales en la sociedad de la información fue uno de los importantes temas de discusión en las reuniones del grupo de trabajo establecido por la Directiva 95/46 (véase punto 2.1.1). El 3 de diciembre de 1997, el grupo de trabajo aprobó una recomendación específica sobre “El anonimato en Internet” (GT 6 – Recomendación 3/97).

2.3.2. Protección de datos en el marco de otros instrumentos comunitarios

Por varios instrumentos de derecho derivado, se han concedido a la Comisión determinados cometidos específicos relacionados con el tratamiento de datos personales. Para proteger los derechos y las libertades fundamentales de las personas físicas a las que atañe este tratamiento, la Comisión fue invitada también, para la aplicación de las reglas comunitarias pertinentes, a preparar disposiciones para la protección de datos. Un ejemplo lo proporciona el Reglamento (CE) nº 1469/95 del Consejo del 22 de junio de 1995 relativo a las medidas que deben adoptarse en relación con determinados beneficiarios de las operaciones financiadas por la Sección Garantía del FEOGA(12). Para la aplicación de este Reglamento, que prevé un sistema de intercambio de información entre la Comisión y los Estados miembros, la Comisión estableció varias medidas de protección respecto al tratamiento de datos realizado por sus servicios(13).

Las autoridades aduaneras europeas intercambian datos personales con sus homólogos de los terceros países en el marco de los acuerdos de asistencia mutua entre la Comunidad y terceros países. A petición de la Comunidad Europea, estos acuerdos incluyen disposiciones específicas que garantizan el respeto de los principios relativos a la protección de datos(14).

(12) DO L 145 del 29 de junio de 1995.

(13) Véase el Reglamento (CE) n§ 745/96 de la Comisión publicado en el DO L 102 del 25 de abril de 1996 y la comunicación de la Comisión publicada en el DO C 366 del 5 de diciembre de 1996 que suscitó la atención del público sobre la aplicación de este Reglamento y el tratamiento de datos personales que implica.

(14) Los siguientes acuerdos entraron en vigor en 1996:

acuerdos europeos con

– Eslovenia (firmado el 11.11.1996 – DO L 344 del 31.12.1996);

– Islas Feroe (acuerdo enmendado firmado el 6.12.1996 – DO L 53 del 22.2.1997);

acuerdo con Turquía referente al funcionamiento de la unión aduanera (1.1.1996 – DO L 35 del 3.2.1996)

acuerdo con:

Israel (acuerdo provisional – 1.1.1996 – DO L 71 del 20.1.1996)

la CEI: Federación Rusa (acuerdo provisional – 1.2.1996 – DO L 247 del 13.10.1995),

Ucrania (acuerdo provisional – 1.2.1996 – DO L 311 del 23.12.1995),

Moldavia (acuerdo provisional – 1.5.1996 – DO L 40 del 17.2.1996).

Acuerdos que incluyen disposiciones sobre la asistencia mutua están negociándose actualmente con otros países.

2.3.3. Protección de datos en el marco de los instrumentos no comunitarios

Varios instrumentos aprobados o en proceso de aprobación de acuerdo con el título VI del tratado sobre la Unión Europea (cooperación en los campos de la justicia y los asuntos internos) contemplan el tratamiento de datos personales. Disposiciones específicas relativas a la protección de datos están por consiguiente incluidas en estos instrumentos y en los reglamentos de aplicación. Por ejemplo, se han preparado reglas detalladas sobre la protección de datos para Europol, y se han estudiado otras reglas para el proyecto de Convenio Eurodac sobre las huellas dactilares de los solicitantes de asilo. En este tipo de instrumentos aprobados en virtud del título VI del tratado sobre la Unión Europea no se aplican las disposiciones de protección de datos de la Directiva, sino que se usan fórmulas específicas que no conceden a las personas físicas los mismos derechos o procedimientos de recurso y no se fundamentan en la misma forma de control independiente. Además, el Convenio sobre las decisiones de pérdida del derecho de conducir no incluye disposiciones sobre la protección de datos personales.

2.4. Schengen

La mayoría de los Estados miembros de la Unión Europea se han adherido al Acuerdo de Schengen que prevé una cooperación policial, aduanera y en materia de inmigración para compensar la supresión de los controles en las fronteras interiores.

Un aspecto esencial de estas medidas radica en la creación de un sistema de información común, el Sistema de Información Schengen (SIS). A este respecto, el acuerdo contiene también disposiciones sobre la protección de datos y prevé en particular la creación de una autoridad de control común compuesta por representantes de las autoridades nacionales de control de los países firmantes del Acuerdo de Schengen. Esta autoridad de control ha publicado recientemente su segundo informe de actividad, que cubre el período marzo 1997 – marzo 1998.

El Tratado de Amsterdam y los anexos prevén que el Acuerdo de Schengen deberá integrarse en el marco de la Unión Europea(15). La Conferencia intergubernamental ha esperado que el Consejo, en la fecha de la entrada en vigor del nuevo tratado, apruebe todas las medidas necesarias para este fin y que los trabajos preparatorios necesarios se acometan a tiempo. Esto es aplicable también a las disposiciones relativas a la protección de datos contenidas en el Convenio de aplicación del Acuerdo de Schengen de 14 de junio de 1985.

2.5. Diálogo con terceros países sobre las cuestiones relativas a la protección de datos

La Directiva no sólo reglamenta el tratamiento de datos personales en la Unión Europea, sino también comprende disposiciones sobre el traspaso de datos a terceros países (artículos 25 y 26). El principio básico es que los Estados miembros no deberían permitir este tipo de traspasos más que cuando los terceros países interesados aseguren un nivel de protección adecuado. Puede ser que, en algunos casos, no quede asegurado un nivel de protección adecuado y, en el supuesto de que no sea aplicable ninguna de las excepciones previstas, los Estados miembros impedirían estos traspasos.

(15) Cfr. artículo 2, párrafo 1, segundo apartado, del protocolo anexo al Tratado de la Unión Europea y al tratado que establece la Comunidad Europea, integrando el Acuerdo de Schengen en el marco de la Unión Europea.

Este tipo de situación podría causar alteraciones importantes de los flujos de datos personales en todo el mundo, y por tanto del comercio internacional. Si bien es posible impedir estos traspasos de datos personales invocando el artículo XIV del AGCS (Acuerdo general sobre el comercio de los servicios), sería preferible evitar recurrir a este tipo de acción. Una solución mucho más satisfactoria sería que estos terceros países hacia los cuales se traspasan datos con regularidad, creen un nivel de protección que se considerare satisfactorio.

La Unión Europea negocia acuerdos generales sobre un marco que rija las relaciones (cooperación, comercio) con un país tercero determinado. Estos acuerdos abarcan un amplio abanico de campos que van desde las cuestiones de política extranjera y seguridad hasta los aspectos comerciales y los problemas de desarrollo económico. Desde la aprobación de la Directiva sobre la protección de datos, los servicios de la Comisión han intentado incluir, directa o indirectamente, en estos acuerdos – durante su negociación -, la cuestión de la protección de la vida privada y los datos.

La Comisión ha discutido el problema de la protección de datos con varios terceros países y las disposiciones en la materia se han insertado en varios acuerdos internacionales, particularmente el reciente acuerdo marco con México (rubricado el 23 de julio de 1997).

El 5 de diciembre de 1997, la Unión Europea y los Estados Unidos firmaron una declaración común sobre el comercio electrónico, en la cual acuerdan ” obrar (… ) para asegurar una protección eficaz de la vida privada en el tratamiento de datos personales en redes de información globales” (sección 4.iv de la declaración conjunta).

3. EL CONSEJO DE EUROPA

El Consejo de Europa ha proseguido los trabajos que realiza regularmente sobre las cuestiones de protección de datos. El Comité de ministros aprobó dos recomendaciones que habían necesitado varios años de preparación. Se trata de la Recomendación Nº R (97) 5, aprobada el 13 de febrero de 1997, relativa a la protección de datos médicos y de la Recomendación Nº R (97) 18, aprobada el 30 de septiembre de 1997, sobre la protección de datos personales recogidos y tratados para fines estadísticos.

El Comité de protección de datos (CJ-PD) prosiguió su estudio de un proyecto de

Recomendación sobre la protección de datos personales recogidos y tratados para fines de seguros. Además, aprobó un proyecto de líneas directrices sobre la protección de datos con respecto a la recolección y tratamiento de datos personales en las autopistas de información. Este proyecto, que debería ser aprobado por el Comité de ministros al principio del año 1999, ha sido ya publicado para su consulta por las personas interesadas. Puede consultarse en el sitio Internet del Consejo de Europa.

Por otra parte, dos nuevos países se han adherido al Convenio 108: Suiza y Hungría.

Viniendo después de la adhesión de Eslovenia, esto lleva a 20 el número de partes contratantes del Convenio.

El Comité Consultivo del Convenio (T-PD) inició los trabajos para evaluar la necesidad de revisar el Convenio a la luz de las novedades de estos últimos años, particularmente en el campo de la tecnología. Además, siguiendo la petición de la Comunidad Europea de abrir negociaciones con miras a permitir su adhesión al Convenio(16), el Comité elaboró un proyecto de Protocolo que modifica el Convenio 108 para este fin.

La Comunidad, representada por la Comisión, puede ahora intervenir tanto en el seno del CJ-PD como del Comité Consultivo cuando los puntos bajo estudio entran en las competencias externas resultantes de las Directivas 95/46/CE y 97/66/CE.

Este fue particularmente el caso de los textos anteriormente mencionados, recientemente aprobados o que están en preparación. Esta cooperación con el Consejo de Europa pretende asegurar una plena compatibilidad con las Directivas comunitarias.

4. PRINCIPALES NOVEDADES EN TERCEROS PAÍSES

4.1. Espacio Económico Europeo

La Directiva debería aplicarse también al Espacio Económico Europeo, una vez incorporada al acuerdo EEE. Los trabajos en vista de la transposición ya han comenzado en los países no comunitarios partes del acuerdo. Noruega e Islandia se han adherido al Convenio 108 del Consejo de Europa y tienen una legislación sobre la protección de datos. Representantes de las autoridades encargadas de la protección de datos en estos dos países han sido invitados a participar, en calidad de observadores, en las reuniones del Grupo de Trabajo. En Noruega, la inspección de la tecnología de la información (“Data Tilsynet”), tiene por misión asegurar la correcta aplicación de la Ley de 1978 sobre los ficheros de datos personales. La Inspección tiene un papel activo en la gestión de los flujos de información destinados al exterior. Recibe un gran número de peticiones de los medios y tiene un papel activo en la difusión de la información. Es responsable también de la elaboración de documentos informativos y de un informe anual y publica trimestralmente la revista SPOR(17).

(16) Decisión del Consejo de la Unión Europea de julio de 1997 que autoriza a la Comisión para abrir negociaciones sobre la adhesión de la Comunidad Europea al Convenio 108.

(17) Todas las informaciones están disponibles en Internet (http://www.datatilsynet.no).

4.2. Países de Europa central y oriental

La Comisión, en su Libro Blanco que fijaba la estrategia de preparación para la adhesión a la Unión Europea de los países aspirantes de Europa central y oriental, ha recomendado, como primera etapa en el campo de la protección de datos, que estos países se adhieran al Convenio 108 del Consejo de Europa. En 1997, Hungría se adhirió a dicho convenio.

En 1997, la Comisión aprobó sus dictámenes sobre la apertura de negociaciones para la adhesión de los países de Europa central y oriental y Chipre. De manera sucinta, estos dictámenes(18) analizan en particular la situación en materia de protección de datos en estos países. Para el conjunto de los países aspirantes se aprobó una estrategia de preadhesión reforzada que permitiera a largo plazo la integración del 'acervo comunitario'. En este espíritu, se subrayó la importancia de las estructuras administrativas necesarias, tales como las autoridades de control independientes, para la aplicación efectiva del acervo comunitario'.

Algunos de estos países tienen una legislación sobre la protección de datos (Hungría, Estonia y Eslovenia en particular), y gran parte de los demás están aprobando tal legislación. Por ejemplo, Polonia aprobó una ley sobre la protección de datos el 29 de agosto de 1997 y la República Eslovaca aprobó su legislación el 3 de febrero de 1998. La ley polaca creó una autoridad de control independiente, la “Inspección general de la protección de datos personales”, que asumió su cargo al principio del año 1998.

Proyectos legislativos están en curso en otros países aspirantes, en particular en Bulgaria, en Letonia, en Rumania, en la República Checa y en Eslovenia.

4.3. Otros terceros países

En 1997, el debate sobre las cuestiones relacionadas con el respeto de la vida privada fue vivo en varios terceros países. Las novedades tecnológicas y sobre todo el desarrollo de la sociedad de la información animaron a los gobiernos, las asociaciones de consumidores, las empresas y las universidades a estudiar nuevamente las políticas existentes en la materia y a debatir nuevas políticas para el futuro. La aprobación de la Directiva europea dio un nuevo impulso a este debate.

Estas novedades se sintieron particularmente en los Estados Unidos donde varios organismos públicos han estudiado las cuestiones relativas a la protección de datos.

En 1997 y durante los primeros meses de 1998, la Federal Trade Commission prestó una creciente atención a los problemas relacionados con el respeto de la vida privada, en particular en el contexto de Internet y el comercio electrónico. Todos estos esfuerzos culminaron con una petición, en julio de 1998, a favor de la aprobación de una legislación que rija la protección de datos sobre los niños recogidos en Internet, y con una recomendación relativa a la protección de la vida privada de los adultos, recomendando la aprobación de una legislación si la autorregulación no progresaba suficientemente de aquí al final del año.

(18) Publicadas en el Boletín de la Unión Europea, Suplemento 6/97

La primera parte del año 1998 estuvo marcada por progresos en la política de la Casa Blanca a favor de la protección de datos y del respeto de la vida privada. El 31 de julio, el vicepresidente Al Gore anunció una serie de medidas dirigidas a la aprobación de una Carta de derechos (Bill of Rights) electrónica, en particular medidas dirigidas a reglamentación en materia de datos médicos y datos financieros, usurpación de la identidad y respeto de la vida privada de los niños, así como a favor de una autorreglamentación sectorial, en otros campos, provista de mecanismos eficaces para asegurar el respeto.

La Casa Blanca subrayó la importancia de estas cuestiones en su informe publicado en junio de 1997 titulado “Framework for Global Electronic Commerce” (Marco para el comercio electrónico mundial). Varios proyectos de ley fueron presentados al Congreso y reglamentos de aplicación fueron publicados por la FCC en el marco de la Ley de 1996 sobre las telecomunicaciones. Esta ley impone a los proveedores de servicios varias obligaciones específicas en materia del respeto de la vida privada. Estipula la confidencialidad de la información relativa a los abonados (Customer Proprietary Network Information), inclusive los datos sobre transacciones. La protección de la vida privada en los servicios en línea estuvo en el en el centro de las controversias suscitadas por el Communication Decency Act de 1996 (la Ley de 1996 sobre la decencia en las comunicaciones) y la política de la administración americana sobre criptografía. La sentencia pronunciada por el Tribunal Supremo fue favorable a las opiniones de los “privacy advocates” (partidarios de la privacidad).

En Australia, el gobierno estudió las medidas del seguimiento del Libro blanco de 1996 y, en particular, la conveniencia de ampliar al sector privado la legislación sobre el respeto de la vida privada. La legislación actual se refiere sólo al sector público. En febrero de 1998 llegó la primera parte de un programa federal sobre el respeto de la vida privada (“National Privacy Scheme”) para Australia con la aprobación de un conjunto de principios sobre el tratamiento leal de la información personal, mientras que el Estado de Victoria siguió adelante, a principios de 1998, con sus planes sobre legislación de la privacidad “por defecto” para los sectores y las empresas que no se hicieran con iniciativas satisfactorias en materia de autoreglamentación.

En Japón, el trabajo iniciado por el MITI (Ministerio de Comercio e Industria) en cooperación con el sector privado tiene probabilidad de mejorar el nivel de la protección de datos en este país, si bien los esfuerzos se concentran especialmente en la promoción de la autorregulación.

5. OTRAS NOVEDADES A NIVEL INTERNACIONAL

5.1. Organización de Cooperación y Desarrollo Económicos (OCDE)

La OCDE elaboró en 1996 líneas directrices que rigen la política de criptografía.

Estas líneas directrices reglamentan particularmente el acceso a los mensajes codificados facilitado a las autoridades por razones legítimas. Recomiendan la aprobación de un sistema de niveles “de confianza” a los cuales pueden confiarse las copias de las llaves criptográficas. Durante los debates, se planteó también la cuestión de la confidencialidad en relación con las reglas fijadas por la Directiva para el acceso de las autoridades a los datos personales. En el momento de la

aprobación final de las líneas directrices (en marzo de 1997), la Comisión Europea especificó que si los Estados miembros de la Comunidad Europea tienen la intención de aplicar estas líneas directrices, deben hacerlo cumpliendo las reglas establecidas en la Directiva.

6. ANEXOS

I. Estudios llevados a cabo para la Comisión Europea en el campo de la protección de datos

1) Les services en ligne et La protection des données et de la vie privée

Première Partie: Exposé de la situation générale

Deuxième Partie: Etudes de cas

2) On-line services and data protection and privacy: Regulatory responses

3) Existing case-law on compliance with data protection laws and principles in the Member States of the European Union

4) Handbook on Cost Effective Compliance with Directive 95/46/EC

5) IDA – Protection des données Secteurs de la santé et de la sécurité sociale

6) Elaboration d'une méthodologie pour évaluer l'adéquation du niveau de protection des personnes physiques à l'égard du traitement de données à caractère personnel

7) Preparation of a methodology for evaluating the adequacy of the level of protection of individuals with regard to the processing of personal data

8) IDA Projects : A Guide to Data Protection Compliance

9) Application of a methodology designed to assess the adequacy of the level of protection of individuals with regard to processing personal data :

Test of the method on several categories of transfer

10) The feasibility of a seamless system of data protection rules for the European Union

II. Lista de los miembros del Grupo de Trabajo con las direcciones y los números de fax de las autoridades respectivas.

AUSTRIA

FrauWaltraut KOTSCHY Representante

Bundeskanzleramt

Österreichische Datenschutzkommission

Ballhausplatz, 1

A – 1014 WIEN

Tel 43/1/531.15.26.79

Fax 43/1/531.15.26.90

Frau Eva SOUHRADA-KIRCHMAYER

Suplente

Bundeskanzleramt

Österreichische Datenschutzkommission

Ballhausplatz, 1

A – 1014 WIEN

Tel 43/1/531.15.25.44

Fax 43/1/531.15.26.90

BÉLGICA

Monsieur Paul THOMAS Representante

Ministère de la Justice

Commission de la protection de la vie privée

Porte de Halle 5/8

B – 1000 BRUXELLES

Tel 32/2/542.72.00

Fax32/2/542.72.12

Mme Marie-Hélène DOULANGER Suplente

Ministère de la Justice

Commission de la protection de la vie privée

Boulevard de Waterloo, 115

B – 1000 BRUXELLES

Tel 32/2/542.72.00

Fax 32/2/542.72.12

DINAMARCA

Sr. Henrik WAABEN Representante Registertilsynet

Christians Brygge, 28 – 4

DK – 1559 KOEBENHAVN V

Tel 45/33/14.38.44

Fax 45/33/13.38.43 Sra. Lena ANDERSEN Suplente

Registertilsynet

Christians Brygge, 28 – 4

DK – 1559 KOEBENHAVN V

Tel 45/33/14.38.44

Fax 45/33/13.38.43

FINLANDIA

Sr. Reijo AARNIO Representante

Ministry of Justice

Office of the Data Protection Ombudsman

P.O. Box 315

FIN – 00181 HELSINKI

Tel 358/9/1825.1

Fax 358/9/1825.78.35

Sra. Maija KLEEMOLA Suplente

Ministry of Justice

Office of the Data Protection Ombudsman

P.O. Box 315

FIN – 00181 HELSINKI

Tel 358/0/1825.1

Fax 358/9/1825.78.35

FRANCIA

Monsieur Jacques FAUVET

Com. Nat. de l'Informat. et des Libertés

Rue Saint Guillaume, 21

F – 75340 PARIS CEDEX 7

Tel 33/1/53.73.22.22

Fax 33/1/53.73.22.00

M. Marcel PINET

Com. Nat. de l'Informat. et des Libertés

Rue Saint Guillaume, 21

F – 75340 PARIS CEDEX 7

Tel 33/1/53.73.22.22

Fax 33/1/53.73.22.00

ALEMANIA

Dr. Joachim JACOB Representante

Der Bundesbeauftragte für den Datenschutz

Dr. Stefan WALZ Suplente

Landesbeauftragter für den Datenschutz –

Postfach 20 01 12

D – 53131 DONN (Bad Godesberg)

Tel 49/228/819.95.30

Fax 49/228/819.95.50

Bremen

Postfach 10 03 80

D – 27503 BREMERHAVEN

Tel 49/471/92.46.10

Fax 49/471/924.61.28

Frau Vera POHLER Suplente Innenministerium des Landes Nordrhein-

Westphalen

Haroldstr. 5

D-40190 Düsseldorf

Tel 49/211/871.22.51

Fax 49/211/871.23.40

GRECIA

Sr. Constantin DAFERMOS Representante

Ministry of Justice

Athens

Prof. Nicos C. ALIVIZATOS Representante

Hellenic Data Protection Authority

12, Valaoritou Street

EL-10671 Athens

Tel 30/1/36.13.117

Fax 30/1/36.29.047

IRLANDA

Mr. Fergus GLAVEY Representante

Data Protection Commissioner

Irish Life Centre, Block 4

Talbot Street

IRL – DUBLIN 1

Tel 353/1/874.85.44

Fax 353/1/874.54.05

Mr. Greg HEYLIN Suplente

Data Protection Commissioner

Irish Life Centre, Block 4

Talbot Street

IRL – DUBLIN 1

Tel 353/1/874.85.44

Fax 353/1/874.54.05

ITALIA

Prof. Stefano RODOTA Representante

Garante per la protezione dei dati personali

Largo del Teatro Valle, 6

I – 00186 ROMA

Tel 39/06/681.861

Fax 39/06/681.86.69

Sr. Giovanni BUTTARELLI Suplente

Garante per la protezione dei dati personali

Largo del Teatro Valle, 6

I – 00186 ROMA

Tel 39/06/681.8637 direct

Fax 39/06/681.86.69

LUXEMBURGO

Monsieur René FABER Representante

Commission à la Protection des Données

Nominatives

Ministère de la Justice

Boulevard Royal , 15

L – 2934 LUXEMDOURG

Tel 352/478.45.46

Fax 352/478.45.15

PAÍSES BAJOS

Sr. Peter HUSTINX Representante

Registratiekamer

Prins Clauslaan 20

Postbus 93374

Sr. Ulco VAN DE POL Suplente

Registratiekamer

Juliana van Stolberglaan, 2

Postbus 93374

NL – 2509 AJ 's-GRAVENHAGE

Tel 31/70/381.13.00

Fax 31/70/381.13.01

NL – 2509 AJ 's-GRAVENHAGE

Tel 31/70/381.13.00

Fax 31/70/381.13.01

Sra. Diana ALONSO BLAS Suplente

Registratiekamer

Prins Clauslaan 20

P.O. Box 93374

NL-2509 AJ's-GRAVENHAGE

Tel 31/70/381.13.12

Fax 31/70/381.13.01

PORTUGAL

Sr. Joaquim de SEABRA LOPES Representante

Com. Nac. de Protecçao de Dados Pessoais

Informat.

Av. 5 de Outubro, 202

P – 1064 LISDOA

Tel 351/1/795.23.58

Fax 351/1/795.13.53

Sr. Nuno MORAIS SARMENTO Suplente

Com. Nac. de Protecçao de Dados Pessoais

Informat.

Rua de S. Bento, 148, 3

P – 1200 LISDOA

Tel 351/1/396.62.28

Fax 351/1/397.68.32

ESPAÑA

D. Juan Manuel FERNÁNDEZ LÓPEZ

Representante

Agencia de Protección de Datos

Paseo de la Castellana, N 41, 5a planta

E – 28046 MADRID

Tel 34/91/308.40.17

Fax 34/91/308.46.92

D. Javier APARICIO SALOM Suplente

Agencia de Protección de Datos

Paseo de la Castellana, N 41, 5a planta

E – 28046 MADRID

Tel 34/91/308.45.79

Fax 34/91/308.46.92

SUECIA

Sra. Anitha DONDESTAM Representante

Datainspecktionen

Fleminggatan, 14

9th Floor

Box 8114

S – 104 20 STOCKHOLM

Tel 46/8/657.61.00

Fax 46/8/652.86.52

Sr. Ulf WIDEBÄCK Suplente

Datainspecktionen

Fleminggatan, 14

9th Floor

Box 8114

S – 104 20 STOCKHOLM

Tel 46/8/657.61.00

Fax 46/8/652.86.52

Sr. Leif LINDGREN Suplente

Datainspektionen

Box 8114

S-104 20 STOCKHOLM

Tel 46/8/657.61.00

Fax 46/8/650.86.13

REINO UNIDO

Sra. Elizabeth FRANCE Representante

The Office of the Data Protection Registrar

Water Lane

Wycliffe House

UK – WILMSLOW – CHESHIRE SK9 5AF

Tel 44/1625/53.57.11

Sr. Francis ALDHOUSE Suplente

The Office of the Data Protection Registrar

Water Lane

Wycliffe House

UK – WILMSLOW – CHESHIRE SK9 5AF

Tel 44/1625/53.57.11

Fax 44/1625/52.45.10 Fax 44/1625/52.45.10

ISLANDIA

Sra. Sigrún JÓHANNESDÓTTIR Observador

Ministry of Justice

Data Protection Commission

Arnarhvoll

IS – 150 REYKJAVIK

Tel 354/560.90.10

Fax 354/552.73.40

NORUEGA

Sr. Georg APENES Observador

Datatilsynet

The Data Inspectorate

P.B. 8177 Dep

N – 0034 OSLO

Tel 47/22/42.19.10

Fax 47/22/42.23.50

Hecho en Bruselas, el 30 de noviembre de 1998

Por el Grupo de Trabajo

P.J. HUSTINX

Presidente