1. El 24 de noviembre de 1998, el Banco Central Europeo (en lo sucesivo denominado «BCE» recibió una solicitud de consulta del Consejo de la Unión Europea con respecto a dos propuestas presentadas por la Comisión de: 1) Directiva del Parlamento Europeo y del Consejo sobre el inicio, el ejercicio y la supervisión cautelar de las actividades de las entidades de dinero electrónico (en lo sucesivo denominado el proyecto de Directiva 1″) y 2) Directiva del Parlamento Europeo y del Consejo por la que se modifica la Directiva 77/780/CEE sobre la coordinación de las disposiciones legales, reglamentarias y administrativas referentes al acceso a la actividad de las entidades de crédito y a su ejercicio (en lo sucesivo denominado «el proyecto de Directiva 2»).

2. La potestad del BCE de emitir dictamen se fundamenta en el primer guión del apartado 4 del artículo 105 del Tratado constitutivo de la Comunidad Europea (en lo sucesivo denominado «el Tratado»).  De conformidad con la primera frase del apartado 5 del artículo 17 del Reglamento interno del BCE, el presente Dictamen del BCE ha sido adoptado por el Consejo de gobierno del BCE.

3. El BCE señala que ambos proyectos de Directiva (1 y 2) tienen por objeto potenciar el mercado único de los servicios financieros mediante la introducción de una normativa mínima y armonizada de carácter cautelar o prudencial que regule la emisión de dinero electrónico, y mediante la aplicación a las entidades de dinero electrónico (en lo sucesivo denominadas «EDE») de las disposiciones de reconocimiento mutuo de la supervisión llevada a cabo en origen que prevé la Directiva 89/646/CEE.  Dichas disposiciones incluyen la salvaguarda de la integridad financiera y las operaciones de dichas entidades al garantizar, por un lado, su estabilidad y solvencia y, por otro, impedir que el incumplimiento de cualquiera de ellas provoque una pérdida de confianza en estos nuevos medios de pago.

4. El BCE señala también que la presente iniciativa legal está motivada por la ausencia de un marco jurídico que regule claramente la emisión de dinero electrónico en la Unión Europea y por el temor de que, de no existir un marco tal, la emisión de dinero electrónico por parte de entidades no bancarias pueda efectuarse sin sujeción a norma alguna.  La Comisión Europea considera que la regulación sin demora de esta materia constituye la forma más práctica de armonizar los enfoques nacionales sobre el dinero electrónico, además de proporcionar mayor seguridad jurídica y contribuir en general al desarrollo del comercio electrónico.

5. El BCE señala asimismo la voluntad de crear igualdad de condiciones a la hora de competir en la emisión de dinero electrónico entre las entidades de crédito tradicionales (en lo sucesivo denominadas «EC») y las EDE, garantizando así que todos los emisores de dinero electrónico estén sujetos a un régimen adecuado de supervisión prudencial.  Desde esta perspectiva, el BCE acoge con gran interés el proyecto de Directiva 2, puesto que modifica la definición de «entidad de crédito» contenida en el primer guión del artículo 1 de la primera Directiva de coordinación bancaria, obligando a aquellas entidades que no pretenden dedicarse a toda la gama de actividades bancarias a ajustarse, en la emisión del dinero electrónico, a la normativa básica aplicable a todas las entidades de crédito.  Con esta modificación se quiere fomentar el desarrollo armonioso de la emisión de dinero electrónico en todo el territorio comunitario, evitando, al mismo tiempo, cualquier distorsión de la competencia entre sus emisores, incluso en lo referente a la aplicación de las medidas de política monetaria.

6. En agosto de 1998, el BCE hizo público un informe sobre la emisión de dinero electrónico (en lo sucesivo denominado «el informe»), en el cual se afirma, entre otros extremos, que un desarrollo significativo del dinero electrónico en la Comunidad podría tener consecuencias importantes en la dirección de la política monetaria por el BCE.  En el informe se exponía con detalle asimismo la función que debían cumplir los bancos centrales con respecto a los sistemas de dinero electrónico, dentro de su obligación de supervisar los sistemas de pago en la Comunidad.

7. Dado su interés por garantizar la eficacia de la política monetaria y el buen funcionamiento e integridad de los sistemas de pagos, así como por evitar el riesgo sistémico y proteger la estabilidad de los mercados financieros, el BCE consideraba esencial en su Informe cumplir con los siguientes requisitos mínimos en la emisión de dinero electrónico: 1) los emisores de dinero electrónico estarán sujetos a supervisión prudencia; 2) los derechos y obligaciones de los distintos participantes en el sistema de dinero electrónico deberán estar claramente definidos y ser de dominio público; estos derechos y obligaciones serán exigibles en todas las jurisdicciones pertinentes; 3) los sistemas de dinero electrónico deberán disponer de las adecuadas salvaguardas técnicas, de organización y de procedimiento a fin de evitar, contener y detectar cualquier amenaza a la seguridad del sistema, en particular la de falsificación; 4) se tendrá en cuenta la necesidad de protección contra acciones delictivas, como el blanqueo de capitales, cuando se conciban y desarrollen en la práctica sistemas de dinero electrónico; 5) los sistemas de dinero electrónico deberán facilitar al banco central de cada país toda la información, incluidas estadísticas, necesaria para cumplir con los objetivos de la política monetaria; 6) los emisores de dinero electrónico tendrán la obligación jurídica de reembolsar el dinero electrónico en billetes de banco a la par, a petición del tenedor del mismo; los detalles de esta obligación están pendientes de definición; y 7) los bancos centrales (el BCE en la tercera fase de la unión económica y monetaria) deberán tener la posibilidad de exigir el mantenimiento de activos de caja obligatorios a todos los emisores de dinero electrónico.

8. Además de los requisitos mínimos mencionados, el BCE señalaba en su Informe otros dos objetivos que consideraba convenientes: i) la compatibilidad de los sistemas de dinero electrónico; y ii) la adopción de los adecuados planes de garantía, seguros o reparto de pérdidas, destinados a proteger a los clientes contra las pérdidas y a mantener la confianza en los sistemas de dinero electrónico.

Proyecto de Directiva 1

9. El BCE sería partidario de que en los considerandos se hiciera referencia a la competencia de supervisión asignada al Sistema Europeo de Bancos Centrales (SEBC) en relación con los sistemas de dinero electrónico. (Esta competencia se fundamenta en el cuarto guión del apartado 2 del artículo 105 del Tratado, así como en el cuarto guión del apartado 1 del artículo 3 de los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo, en lo sucesivos denominados «los Estatutos»).  El BCE propone también que se incluya en esta referencia la necesidad de cooperación entre los supervisores correspondientes y las autoridades de supervisión al evaluar la integridad de los sistemas de dinero electrónico.

10. Con respecto al artículo 1, el BCE señala en primer lugar que el proyecto de Directiva 1 se aplicará únicamente a las EDE y se pregunta si dicho proyecto podría incluir también ciertas disposiciones relativas a la emisión de dinero electrónico que fueran aplicables igualmente a las EC y a las EDE.  Por ejemplo, según se ha mencionado ya, el BCE citó en su Informe la necesidad de que los emisores de dinero electrónico, es decir, tanto las EC como las EDE, estuvieran legalmente obligados a reembolsar el dinero electrónico en billetes de banco a la par, a petición del tenedor del mismo.  Vista la necesidad de crear igualdad de condiciones en la emisión de dinero electrónico, y teniendo en cuenta las consideraciones relativas a la política monetaria y los sistemas de pagos (véase también el punto 19), este tipo de requisitos debería aplicarse tanto a las EC como a las EDE.  Asimismo, el BCE sería partidario de introducir una prohibición destinada a evitar que particulares o empresas que no sean entidades de crédito (EC y EDE) se dediquen al negocio de emitir dinero electrónico.

11. Con respecto a la definición de entidades de dinero electrónico de la letra a) del artículo 1, el BCE desea especificar que por «entidad de dinero electrónico», se entenderá una empresa, distinto de una entidad de crédito tal como se define en la letra a) del primer guión del artículo 1 de la Directiva 77/780/CEE del Consejo, que se dedique principalmente a la emisión de medios de pago en forma de dinero electrónico o invierta el producto de dichas actividades sin estar sujeta a la Directiva 93/22/CEE del Consejo, o, ambas cosas.

12. El BCE considera que la definición de dinero electrónico propuesta en la letra b) del apartado 3 del artículo 1 atiende quizá demasiado a los aspectos técnicos y resulta difícil de traducir en términos jurídicos.  Desde esta perspectiva, el BCE propone que se introduzca el concepto de que el dinero electrónico representa un derecho frente al emisor del mismo, que será reembolsable tanto en moneda de curso legal como en dinero escrituras y que está incorporado a un medio electrónico y será aceptado como instrumento de pago por empresas (no afiliadas) distintas de la entidad emisora.  Por otra parte, en relación con el subapartado IV) de la letra b) del apartado 3 del artículo 1, el BCE no está seguro de qué utilidad tiene la referencia a los «pagos de escasa cuantía por medios electrónicos», cuando además podría dar la impresión de que los pagos de elevada cuantía por medios electrónicos en cierto modo no se recogen en el proyecto de Directiva 1.

13. Con respecto a la letra a) del apartado 4 del artículo 1, el BCE opina que la expresión «y la emisión y gestión de otros medios de pago conforme al punto 5 del anexo de la Directiva 89/646/CEE» (lo que incluye, por ejemplo, tarjetas de crédito, cheques de viaje y cheques bancarios) resulta demasiado amplia.  Permitir, por ejemplo, a las EDE que emitan y gestionen instrumentos de pago que supongan la concesión de crédito a clientes, ya sean particulares o a empresas (por ejemplo, tarjetas de crédito) las expondría a riesgos que no parecen tenerse en cuenta.  Además, si la EDE se dedicasen a otras actividades distintas a la emisión y gestión de dinero electrónico, dejarían de ser las entidades especializadas que se pretende sean, lo que podría dejar en entredicho la conveniencia de disponer de un marco jurídico específico para las EDE, que podrían dedicarse de hecho a la emisión de dinero electrónico de manera sólo marginal.  También puede plantear problemas en lo que respecta a crear igualdad de condiciones a la hora de competir entre las EC y las EDE, en particular dado que la lista de los instrumentos de pago no resulta exhaustiva y podría en consecuencia pensarse que incluye instrumentos de pago que las EDE no podrían emitir sin convertirse en entidades de crédito con arreglo a su definición actual (por ejemplo, si emitieran tarjetas de débito que impliquen el mantenimiento de cuentas de depósitos).  Por las razones expuestas, el BCE considera que la formulación «y la emisión y gestión de otros medios de pago» debería suprimiese y establecerse una prohibición en este sentido, o restringiese a instrumentos prepagados.

14. Con respecto a la letra b) del apartado 4 del artículo 1, el BCE señala que la posible gama de servicios no financieros podría ser demasiado amplia, dado que dichos servicios pueden desempeñar una función muy importante y llevar aparejados niveles variables de riesgo.  En este sentido debería reiterarse que las exigencias de fondos propios y las limitaciones aplicables a las EDE en sus inversiones se basan únicamente en los compromisos financieros que tienen en relación con el dinero electrónico en circulación.  El BCE preferiría una redacción más concreta de los servicios no financieros en los que pueden participar las EDE, y propone que se expliquen las razones en la exposición de motivos.  En cualquier caso, si se autoriza a las EDE a que presten servicios no financieros, deberán contemplarse los riesgos inherentes a tales actividades así como los inherentes a la inversión del producto o beneficios que generen.

15. En relación con el apartado 1 del artículo 2, el BCE preferiría invertir la formulación para que las referencias a entidades de crédito efectuadas en toda la legislación comunitaria pertinente fueran de aplicación general, excepto naturalmente en aquellos casos, que se enumerarán en dicho artículo 2, en el que esta aplicación no fuera apropiada o pertinente.

16. En relación con el apartado 2 del artículo 2 el BCE desea manifestar su preocupación, con referencia al artículo 5 de la Directiva 77/780/CEE, sobre la conveniencia de utilizar el término -banco- para designar a las EDE, pese a estar clasificadas como entidades de crédito.  Este uso del término -banco- podría inducir a confusión al público en general, teniendo en cuenta que las EDE no aceptarán depósitos dentro de su actividad de emisión de dinero electrónico, descrita en el apartado 4 del artículo 2, por lo cual debe evitarse cualquier posible confusión en este sentido.

17. El BCE se muestra a favor de que se aplique a las EDE la Directiva 91/308/CEE del Consejo relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales, así como la Directiva 92/30/CEE del Consejo relativa a la supervisión de las entidades de crédito de forma consolidada.

18. Con respecto al primer párrafo del apartado 4 del artículo 2, el BCE celebraría que se introdujeran medidas (tales como planes de garantía, reparto de pérdidas o seguros) destinadas a proteger a los tenedores de dinero electrónico contra posibles pérdidas y a preservar su confianza en este instrumento de pago.  Esto sería aún más recomendable si el uso del dinero electrónico en la Comunidad se desarrollase sustancialmente con el tiempo.

19. Con respecto al segundo párrafo del apartado 4 del artículo 2, el BCE reitera su opinión, fundamentada en consideraciones de política monetaria y de sistemas de pago, de que las EDE, y cualquier otra entidad dedicada a emitir dinero electrónico, deberían estar obligadas a ofrecer la posibilidad de reembolsar, a la par, los compromisos que haya contraído en dinero electrónico frente a los tenedores del mismo.  Desde la perspectiva de la política monetaria, la obligación de reembolso es necesaria, entre otros fines, para preservar la función del dinero como unidad de cuenta, mantener la estabilidad de precios al evitar la emisión ilimitada de dinero electrónico, y seguir controlando las condiciones de liquidez, así como los tipos de interés a corto plazo establecidos por el SEBC.  Estas consideraciones podrían atenderse introduciendo la posibilidad de reembolso permanente, lo que supone que los tenedores de dinero electrónico podrían rescatarlo en cualquier momento, además de disfrutar del derecho incondicional de abandonar el sistema de dinero electrónico siempre que lo estimaran conveniente.  El reembolso por parte de los emisores del dinero electrónico a los tenedores del mismo, según se ha descrito anteriormente, podría hacerse en moneda de curso legal o, con el consentimiento del tenedor del dinero electrónico, a través de una entidad bancaria, mediante una orden de pago irrevocable destinada a abonar el dinero en la cuenta bancaria de dicho tenedor.  En este último caso, el tenedor deberá tener la posibilidad de escoger libremente la cuenta bancaria en la que se abonará el dinero reembolsado.  Los reembolsos deberán estar denominados en la misma divisa en que se emitió el dinero electrónico correspondiente.  El emisor efectuará los reembolsos a más tardar el día laborable inmediatamente posterior a aquel en que recibió la solicitud de reembolso.  El reembolso del dinero electrónico deberá ser posible, al menos durante cierto tiempo (aún por determinar), después de que expire la fecha de validez del mismo, o del soporte en que esté almacenado, siempre que sea técnicamente posible certificar la validez de dicho dinero electrónico.  Las tarjetas de un solo uso y las recargables deberán recibir el mismo trato en lo que respecta a la obligación de reembolso.  En principio, el reembolso deberá ser gratuito; únicamente podrá aceptarse el pago de tasas o comisiones al reembolsar el dinero electrónico si no sobrepasan un cálculo razonable y justo de los costes en que incurra el emisor del dinero en relación con el reembolso.  Si tales tasas o comisiones se considerasen aceptables, deberían comunicarse a los clientes de forma inequívoca y por anticipado.  La obligación de reembolso deberá aplicarse de forma indiscriminado a todos los sistemas de dinero electrónico, independientemente de su tamaño.  En otras palabras, ningún emisor de dinero electrónico, por pequeño que sea, deberá ser dispensado de la obligación de reembolso.  Por último, el BCE entiende la segunda frase del segundo párrafo del apartado 4 del artículo 2 en el sentido de que los Estados miembros no deberán determinar en su legislación nacional si el dinero electrónico almacenado es o no reembolsable.  Todo lo anterior se entiende, en cualquier caso, sin perjuicio de las competencias del BCE.

20. Con respecto al artículo 3, el BCE da por supuesto que se efectúo un análisis detallado para llegar a la conclusión de que el nivel propuesto de capital inicial y las necesidades de fondos propios permanentes son proporcionales a los riesgos inherentes a la gama de servicios de dinero electrónico que las EDE pueden prestar.

21. Con respecto al apartado 1 de] artículo 4, el BCE señala que las EDE podrán conceder crédito a sus clientes, ya sean particulares y empresas, mediante los instrumentos de pago que estén autorizadas a emitir y gestionar, siempre que posean inversiones de bajo nivel de riesgo, según este artículo, por un importe no inferior a sus obligaciones financieras derivadas del dinero electrónico en circulación.  Los riesgos derivados de la concesión de crédito no se tratan, por lo que parece, en el proyecto de Directiva 1, pese a que tales riesgos pueden repercutir de manera significativa en la estabilidad financiera de las EDE.  En consecuencia, y con referencia al apartado 13, el BCE propone que se prohíba con carácter general a las EDE conceder crédito a sus clientes, ya sean particulares o empresas.  Además, con respecto al apartado 4 del artículo 4, el BCE es favorable a exigir un nivel mínimo de armonización en relación con la imposición de limitaciones apropiadas a los riesgos de mercado en que pueden incurrir las EDE como consecuencia de sus inversiones, en lugar de dejar que sea cada Estado miembro el que imponga dichas limitaciones.  Un nivel mínimo de armonización podrá ser considerado requisito previo para conceder a las EDE un pasaporte europeo.

22. Con respecto al artículo 5, el BCE se pregunta si su redacción no impide que las autoridades competentes ejerzan su derecho a efectuar inspecciones in situ.  En consecuencia, el BCE sugiere que se suprima la expresión «sobre la base de los datos facilitados por las entidades de dinero electrónico».

23. Con respecto al segundo apartado del artículo 6, el BCE consideraría conveniente que se hiciera una referencia general, en los considerandos del proyecto de Directiva 1, al tema de la subcontratación de ciertas actividades por las EDE.  Por otra parte, el BCE alberga ciertas dudas sobre si la cancelación unilateral, inmediata e incondicional por las EDE de las cláusulas contractuales que las vinculan a otra empresa sería posible en la práctica cuando se viera menoscabado el ejercicio efectivo de los derechos que asisten a dichas entidades de controlar y contener los riesgos ligados a las actividades subcontratadas.

24. En cuanto al artículo 7, el BCE sería partidario de que todas las EDE, independientemente de su tamaño, estuviesen sometidas a un nivel mínimo de reglamentación comunitaria.  En particular, según se ha resaltado antes, la obligación de reembolso debería aplicarse sin distinción a todos los sistemas de dinero electrónico sea cual sea su tamaño y, de forma similar, el BCE debería reservarse la posibilidad de imponer obligaciones de reservas mínimas a las EDE y de recopilar información estadística sobre ellas.

Proyecto de Directiva 2

25. Como ya ha mencionado en su Informe, el BCE considera muy conveniente introducir una modificación a la primera Directiva de coordinación bancaria a fin de incluir a todos los emisores de dinero electrónico en la definición de «entidad de crédito» al lado de las entidades que aceptan del público depósitos u otros fondos reembolsables y que conceden créditos por cuenta propia.  En su momento se señaló que lo anterior crearía igualdad de condiciones a la hora de competir pues garantizaría en particular la sujeción de todos los emisores de dinero electrónico a una forma apropiada de supervisión prudencial y su inclusión en la categoría de entidades que, de conformidad con el apartado 1 del artículo 19 de los Estatutos, estarían potencialmente sometidas a la exigencia del BCE de mantener unas reservas mínimas y facilitar información estadística en la tercera fase de la unión económica y monetaria.  Conceder al BCE la facultad de exigir reservas mínimas e información estadística a todos los emisores de dinero electrónico en la tercera fase de la unión económico y monetaria es crucial, en especial de cara a que se produzca un crecimiento importante del dinero electrónico con sus significativas repercusiones en la política monetaria.  Estas exigencias son por lo tanto necesarias, vista la necesidad de que exista igualdad de trato con respecto a otros emisores de instrumentos de pago que ya están sometidos a la obligación de reservas mínimas y de información estadística.

26. El presente Dictamen del BCE se publicará en el Diario Oficial de las Comunidades Europeas.

Hecho en Francfort del Meno, el 18 de enero de 1999.

El Presidente del BCE : W. F. DUISENBERG

Article 1.–

Il est inséré dans le Code pénal, au livre II, titre IV, un chapitre Vbis intitulé «Des écoutes, de la prise de connaissance et de l'enregistrement de communications et de télécommunications privées « et comprenant un article 259bis rédigé comme suit :

» Article 259bis.

§ 1. Sera puni d'un emprisonnement de six mois à deux ans et d'une amende de cinq cents francs à vingt mille francs ou d'une de ces peines seulement, tout officier ou fonctionnaire public, dépositaire ou agent de la force publique qui, à l'occasion de l'exercice de ses fonctions, hors les cas prévus par la loi ou sans respecter les formalités qu'elle prescrit :

1° soit, intentionnellement, à l'aide d'un appareil quelconque, écoute ou fait écouter, prend connaissance ou fait prendre connaissance, enregistre ou fait enregistrer, pendant leur transmission, des communications ou des télécommunications privées, auxquelles il ne prend pas part, sans le consentement de tous les participants à ces communications ou télécommunications;

2° soit, avec l'intention de commettre une des infractions mentionnées ci-dessus, installe ou fait installer un appareil quelconque;

3° soit, sciemment, détient, révèle ou divulgue à une autre personne le contenu de communications ou de télécommunications privées, illégalement écoutées ou enregistrées, ou dont il a pris connaissance illégalement, ou utilise sciemment d'une manière quelconque une information obtenue de cette facon.

§ 2. Sera puni d'un emprisonnement de six mois à trois ans et d'une amende de cinq cents francs à trente mille francs ou d'une de ces peines seulement, tout officier ou fonctionnaire public, dépositaire ou agent de la force publique qui, à l'occasion de l'exercice de ses fonctions, hors les cas prévus par la loi ou sans respecter les formalités qu'elle prescrit, avec une intention frauduleuse ou à dessein de nuire, utilise un enregistrement, légalement effectué, de communications ou de télécommunications privées.

§ 3. La tentative de commettre une des infractions visées aux §§ 1 ou 2 est punie comme l'infraction elle-même.

§ 4. Les peines prévues aux §§ 1, 2 et 3 sont doublées si une infraction à l'une de ces dispositions est commise dans les cinq ans à compter du prononcé d'un jugement ou d'un arrêt, passés en force de chose jugée, portant condamnation en raison de l'une de ces infractions ou de l'une des infractions visées à l'article 314bis, §§ 1, 2 ou 3. «

Article 2.–

Il est inséré dans le Code pénal, au livre II, titre V, un chapitre VIIbis intitulé « Infractions relatives au secret des communications et des télécommunications privées « et comprenant un article 314bis rédigé comme suit :

» Article 314bis.

§ 1. Sera puni d'un emprisonnement de six mois à un an et d'une amende de deux cents francs à dix mille francs ou d'une de ces peines seulement, quiconque :

1° soit, intentionnellement, à l'aide d'un appareil quelconque, écoute ou fait écouter, prend connaissance ou fait prendre connaissance, enregistre ou fait enregistrer, pendant leur transmission, des communications ou des télécommunications privées, auxquelles il ne prend pas part, sans le consentement de tous les participants à ces communications ou télécommunications;

2° soit, avec l'intention de commettre une des infractions mentionnées ci-dessus, installe ou fait installer un appareil quelconque.

§ 2. Sera puni d'un emprisonnement de six mois à deux ans et d'une amende de cinq cents francs à vingt mille francs ou d'une de ces peines seulement, quiconque détient, révèle ou divulgue sciemment à une autre personne le contenu de communications ou de télécommunications privées, illégalement écoutées ou enregistrées, ou dont il a pris connaissance illégalement, ou utilise sciemment d'une manière quelconque une information obtenue de cette facon.

Sera puni des mêmes peines quiconque, avec une intention frauduleuse ou à dessein de nuire, utilise un enregistrement, légalement effectué, de communications ou de télécommunications privées.

§ 3. La tentative de commettre une des infractions visées aux §§ 1 ou 2 est punie comme l'infraction elle-même.

§ 4. Les peines prévues aux §§ 1, 2 et 3 sont doublées si une infraction à l'une de ces dispositions est commise dans les cinq ans à compter du prononcé d'un jugement ou d'un arrêt, passés en force de chose jugée, portant condamnation en raison de l'une de ces infractions ou de l'une des infractions visées à l'article 259bis, §§ 1, 2 ou 3. «

Article 3.–

Il est inséré dans le livre I du Code d'instruction criminelle, au chapitre VI, section II, distinction II, un § 6, intitulé » Des écoutes, de la prise de connaissance et de l'enregistrement de communications et de télécommunications privées « et comprenant les articles 90ter à 90decies, rédigés comme suit :

» Article 90ter.

§ 1. Lorsque les nécessités de l'instruction l'exigent, le juge d'instruction peut, à titre exceptionnel, écouter, prendre connaissance et enregistrer, pendant leur transmission, des communications ou des télécommunications privées, s'il existe des indices sérieux que le fait dont il est saisi constitue une infraction visée par l'une des dispositions énumérées au § 2, et si les autres moyens d'investigation ne suffisent pas à la manifestation de la vérité.

La mesure de surveillance ne peut être ordonnée qu'à l'égard soit de personnes soupconnées, sur la base d'indices précis, d'avoir commis l'infraction, soit à l'égard des moyens de communication ou de télécommunication régulièrement utilisés par un suspect, soit à l'égard des lieux présumés fréquentés par celui-ci. Elle peut l'être également à l'égard de personnes présumées, sur la base de faits précis, être en communication régulière avec un suspect.

§ 2. Les infractions pouvant justifier une mesure de surveillance sont celles qui sont visées :

1° aux articles 101 à 110 du Code pénal;

2° aux articles 327, 328, 329 ou 330 du même Code, pour autant qu'une plainte ait été déposée;

3° à l'article 331bis du même Code;

4° à l'article 347bis du même Code;

5° aux articles 379, 380, 380bis ou 380ter du même Code;

6° à l'article 393 du même Code;

7° aux articles 394 ou 397 du même Code;

8° aux articles 470, 471 ou 472 du même Code;

9° à l'article 475 du même Code;

10° aux articles 477, 477bis, 477ter, 477quater, 477quinquies, 477 sexies ou 488bis du même Code;

11° à l'article 505, (alinéa premier, 2°, 3° et 4°) du même Code; 8, 002; En vigueur : 20-05-1995>

12° aux articles 510, 511, alinéa premier ou 516 du même Code;

13° à l'article 520 du même Code, si les circonstances visées par les articles 510 ou 511, alinéa premier, du même Code sont réunies;

14° à l'article 2bis, § 3, b ou § 4, b, de la loi du 24 février 1921 concernant le trafic des substances vénéneuses, soporifiques, stupéfiantes, désinfectantes ou antiseptiques;

15° à l'article 114, § 8, de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques;

16° à l'article 10 de la loi du 5 août 1991 relative à l'importation, à l'exportation et au transit d'armes, de munitions et de matériel devant servir spécialement à un usage militaire et de la technologie y afférente.

§ 3. La tentative de commettre un crime visé au paragraphe précédent peut également justifier une mesure de surveillance.

§ 4. Une infraction, visée aux articles 322 ou 323 du Code pénal, peut également justifier une mesure de surveillance, pour autant que l'association soit formée dans le but de commettre un attentat contre les personnes ou les propriétés visées au § 2.

§ 5. En cas de flagrant délit, le procureur du Roi peut ordonner la mesure visée au § 1 pour les infractions visées aux articles 347bis ou 470 du Code pénal.

Dans ce cas, la mesure doit être confirmée dans les 24 heures par le juge d'instruction.

Article 90quater.

§ 1. Toute mesure de surveillance sur la base de l'article 90ter est  préalablement autorisée par une ordonnance motivée du juge d'instruction, que celui-ci communique au procureur du Roi.

A peine de nullité, l'ordonnance est datée et indique :

1° les indices ainsi que les faits concrets et propres à la cause qui justifient la mesure conformément à l'article 90ter;

2° les motifs pour lesquels la mesure est indispensable à la manifestation de la vérité;

3° la personne, le moyen de communication ou de télécommunication ou le lieu soumis à la surveillance;

4° la période pendant laquelle la surveillance peut être pratiquée et qui ne peut excéder un mois à compter de la décision ordonnant la mesure;

5° les nom et qualité de l'officier de police judiciaire commis pour l'exécution de la mesure.

§ 2. Si la mesure comporte une opération sur un réseau de communication, l'opérateur de ce réseau est tenu de prêter son concours technique, quand le juge d'instruction le requiert.

Toute personne qui est appelée à prêter son concours technique est tenue au secret de l'instruction. Toute violation du secret est punie conformément à l'article 458 du Code pénal.

§ 3. Le juge d'instruction ne peut commettre pour l'exécution de son ordonnance que des officiers de police judiciaire, lesquels peuvent néanmoins se faire assister par des agents de police judiciaire dont les noms sont préalablement communiqués au juge d'instruction.

Les officiers de police judiciaire commis font rapport par écrit au moins tous les cinq jours au juge d'instruction sur l'exécution de l'ordonnance.

Article 90quinquies.

Le juge d'instruction peut prolonger une ou plusieurs fois les effets de son ordonnance pour un nouveau terme qui ne peut dépasser un mois, avec un maximum de six mois, sans préjudice de sa décision de mettre fin à la mesure dès que les circonstances qui l'ont justifiée ont disparu.

Les dispositions contenues dans l'article 90quater, § 1, sont applicables à la prolongation visée à l'alinéa précédent. L'ordonnance indique en outre les circonstances précises qui justifient la prolongation de la mesure.

Si des circonstances nouvelles et graves nécessitent les mesures visées à l'article 90ter, le juge d'instruction peut ordonner une nouvelle mesure en observant les formalités définies aux articles 90ter et 90quater; dans ce cas, l'ordonnance doit mentionner les circonstances précises nouvelles et graves qui nécessitent et justifient une nouvelle mesure.

Article 90sexies.

Les enregistrements effectués à la suite des mesures prises en application des articles 90ter, 90quater et 90quinquies, accompagnés de leur transcription et de leur traduction éventuelle, sont transmis au juge d'instruction par les officiers de police judiciaire commis.

Le juge apprécie quelles informations, communications ou télécommunications ainsi recueillies présentent un intérêt pour l'instruction, et en fait dresser procès-verbal.

Les communications ou télécommunications couvertes par le secret professionnel ne sont pas consignées dans le procès-verbal. S'il s'agit de personnes visées à l'article 90octies, premier alinéa, on procède ainsi qu'il est prévu à l'article 90octies, deuxième alinéa.

Les ordonnances du juge d'instruction, les rapports des officiers de police judiciaire visés à l'article 90quater, § 3, et les procès-verbaux relatifs à l'exécution de la mesure, sont joints au dossier au plus tard après qu'il soit mis fin à la mesure.

Article 90septies.

Les communications ou télécommunications recueillies grâce aux mesures prises en application des articles 90ter, 90quater et 90quinquies sont enregistrées. L'objet de la mesure ainsi que les jours et heures auxquels celle-ci a été exécutée sont enregistrés au début et à la fin de chaque enregistrement qui s'y rapporte.

A l'exception de la transcription intégrale de l'enregistrement, toute note prise dans le cadre de l'exécution des mesures visées à l'alinéa précédent par les personnes commises à cette fin qui n'est pas consignée dans un procès-verbal est détruite. L'officier de police judiciaire commis pour l'exécution de la mesure procède à cette destruction et en fait mention dans un procès-verbal.

Les enregistrements accompagnés de leur transcription intégrale avec traduction éventuelle et des copies des procès-verbaux sont conservés au greffe sous pli scellé.

Le greffier mentionne dans un registre spécial tenu journellement :

– le dépôt de chaque enregistrement, ainsi que de sa transcription intégrale avec traduction éventuelle;

– le dépôt de chaque copie de procès-verbal;

– le jour de leur dépôt;

– le nom du juge d'instruction qui a ordonné la mesure et l'objet de celle-ci;

– le jour où les scellés sont ouverts et éventuellement réapposés;

– la date de prise de connaissance de l'enregistrement, de sa transcription intégrale avec traduction éventuelle ou des copies des procès-verbaux, ainsi que le nom des personnes qui en ont pris connaissance;

– tous les autres événements qui s'y rapportent.

Le juge se prononce souverainement sur la demande du prévenu, de l'inculpé, de la partie civile ou de leurs conseils, de consulter les parties des enregistrements et des transcriptions intégrales déposés au greffe qui ne sont pas consignées dans un procèsverbal.

Article 90octies.

La mesure ne pourra porter sur les locaux utilisés à des fins professionnelles, la résidence ou les moyens de communication ou de télécommunication d'un avocat ou d'un médecin que si celui-ci est lui-même soupconné d'avoir commis une des infractions visées à l'article 90ter ou d'y avoir participé, ou si des faits précis laissent présumer que des tiers soupconnés d'avoir commis une des infractions visées à l'article 90ter, utilisent ses locaux, sa résidence ou ses moyens de communication ou de télécommunication.

La mesure ne peut être exécutée sans que le bâtonnier ou le représentant de l'ordre provincial des médecins, selon le cas, en soit averti. Ces mêmes personnes seront informées par le juge d'instruction des éléments des communications ou télécommunications recueillies qu'il estime relever du secret professionnel et qui ne seront pas consignés au procès-verbal conformément à l'article 90sexies, troisième alinéa.

Article 90novies.

Au plus tard quinze jours après le moment où la décision sur le règlement de la procédure est devenue définitive, le greffier avise par écrit, à la requête du procureur du Roi, toute personne ayant fait l'objet d'une mesure visée par l'article 90ter, de la nature de ladite mesure et des dates auxquelles elle a été exécutée.

Article 90decies.

Le Ministre de la Justice fait rapport annuellement au Parlement sur l'application des articles 90ter à 90novies.

Il informe le Parlement du nombre d'instructions ayant donné lieu à des mesures visées par ces articles, de la durée de ces mesures, du nombre de personnes concernées et des résultats obtenus. «

Article 4.–

L'article 88bis du Code d'instruction criminelle, inséré par la loi du 11 février 1991, est complété par les alinéas suivants :

» En cas de flagrant délit, le procureur du Roi peut ordonner la mesure pour les infractions visées aux articles 347bis ou 470 du Code pénal.

Dans ce cas, la mesure doit être confirmée dans les 24 heures par le juge d'instruction. «

Article 5.-

Le Roi peut, par arrêté délibéré en Conseil des ministres et à seule fin de prévenir les délits prévus par les articles 259bis et 314bis du Code pénal, réglementer la publicité, la vente, l'offre en vente, l'achat, la location, la détention, la cession, la fabrication, l'importation, l'exportation et le transport des appareils ou ensembles d'appareils concus, fabriqués ou présentés comme permettant l'écoute, la prise de connaissance ou l'enregistrement de communications ou de télécommunications privées, en infraction avec les articles 259bis et 314bis du Code pénal.

Article 6.–

Les infractions aux dispositions des arrêtés royaux pris en vertu de l'article 5 sont punies d'une amende de deux cents francs à vingt mille francs.

Les peines prévues au premier alinéa sont doublées si une infraction visée à cet alinéa est commise dans les cinq ans suivant le prononcé d'un jugement ou arrêt passé en force de chose jugée portant condamnation du chef d'une de ces infractions.

Article 7.-

Sans préjudice des devoirs incombant aux officiers de police judiciaire, les agents commissionnés à cette fin par le Ministre des Affaires économiques, par le Ministre des Communications ou le Ministre qui a les Postes, Télégraphes et Téléphones dans ses attributions, sont compétents pour rechercher et constater par des procès-verbaux faisant foi jusqu'à preuve du contraire les infractions visées à l'article 6.

Les agents commissionnés en vertu du premier alinéa exercent les pouvoirs décrits aux articles 7 et 8 sous la surveillance du procureur général.

Article 8.-

Les agents visés à l'article 7 peuvent, dans l'accomplissement de leur mission :

1. pénétrer, pendant les heures d'ouverture ou de travail, dans les ateliers, bâtiments professionnels, cours adjacentes et enclos y attenant, à l'exclusion du domicile privé, dont l'accès est nécessaire à l'accomplissement de leur mission;

2. procéder à cette occasion à toutes constatations utiles, se faire produire et saisir les documents, pièces, livres et objets nécessaires à leurs recherches et constatations.

Lorsqu'ils sont entravés dans l'exécution de leur mission, les agents visés à l'article 7 peuvent requérir la force publique de leur prêter main-forte.

Article 9.–

Toute entrave mise à l'exécution de la mission des agents visés à l'article 7 est punie d'un emprisonnement de six mois à un an et d'une amende de deux cents à vingt mille francs ou d'une de ces peines seulement.

Article 10.–

Sans préjudice de l'application de l'article 6, alinéa deux, de la présente loi, toutes les dispositions du livre I, du Code pénal, y compris le chapitre VII et l'article 85, sont applicables aux infractions visées par les articles 6 et 9 de la présente loi.

Article 11.

L'article 4, c, de la loi du 30 juillet 1979 relative aux radiocommunications est remplacé par le texte suivant :

» c) si des radiocommunications qui ne lui sont pas destinées sont involontairement recues, reproduire, communiquer à des tiers, utiliser à une fin quelconque ou révéler l'existence de telles communications, sauf dans les cas imposés ou autorisés par la loi. «

Article 12.-

Dans l'article 112 de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques, les mots » de la présente loi et des articles 259bis et 314bis du Code pénal « sont insérés entre les mots    «111» et «ne».

Article 13.–

§ 1. L'article 13 de la loi du 3 janvier 1934 relative à l'établissement des liaisons téléphoniques et télégraphiques souterraines ou aériennes pour les besoins de l'organisation défensive du pays est abrogé.

§ 2. Dans la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques, sont apportées les modifications suivantes :

1° dans l'article 111, 1°, les mots » ou du contenu « sont supprimés;

2° dans l'article 111, 2°, les mots » d'enregistrer « sont supprimés.

§ 3. L'article 5, alinéa premier, de la loi du 19 juillet 1991 organisant la profession de détective privé est abrogé.

Article 14.–

Les arrêtés pris en exécution de la présente loi sont préalablement soumis pour avis à la Commission de la protection de la vie privée, instituée par l'article 23 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau de l'Etat et publiée par le Moniteur belge.

Donné à Bruxelles, le 30 juin 1994.

ALBERT

Par le Roi :

Le Ministre de la Justice,

M. WATHELET

Scellé du sceau de l'Etat :

Le Ministre de la Justice,

M. WATHELET

El artículo 45 de la Ley 30/1992, de 26 de diciembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en línea con la exposición de motivos de la misma, consagra e impulsa la apertura decidida de la Ley hacia la mayor tecnificación y modernización de la actuación administrativa, propugnando, a este respecto, la utilización de aplicaciones y medios electrónicos, informáticos y telemáticos, tanto por parte de las Administraciones Públicas, en desarrollo de su actividad y ejercicio de sus competencias, como por parte de los ciudadanos en su relaciones con dichas Administraciones Públicas.  Esas técnicas y medios, como paso previo y necesario para su utilización, deben ser aprobadas por el órgano competente, quien deberá difundir públicamente sus características.

El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado desarrolla el artículo 45 anterior delimitando las garantías, requisitos y supuestos de utilización de las mencionadas aplicaciones y medios y considera como órgano competente para aprobar los programas y aplicaciones electrónicos, informáticos y telemáticos a aquel que, en cada caso, tenga atribuida la competencia para resolver cada procedimiento administrativo.

La Comisión Nacional del Mercado de Valores, como órgano supervisor de los mercados, tiene encomendadas las competencias para resolver diversos procedimientos contenidos en la ley 24/1988, de 24 de julio, del Mercado de Valores y sus disposiciones de desarrollo y, en consecuencia, es el órgano competente para aprobar las técnicas electrónicas, informáticas y telemáticas a utilizar en sus relaciones con los administrados.

La ventaja fundamental de la incorporación de esas aplicaciones y medios es la celeridad con la que pueden producirse las relaciones jurídicas sin merma de la seguridad jurídica.  Algunas resoluciones de la Comisión Nacional del Mercado de Valores preveían ya, con anterioridad a la entrada en vigor de la Ley 30/1992, la presentación de documentos en soporte informático.  Así, la Circular 3/1990, de 23 de mayo, establece que la presentación de los estados reservados y públicos de las sociedades y agencias deberá hacerse en soporte informática de acuerdo con los requerimientos técnicos establecidos en cada momento; la Circular 7/1990, de 27 de diciembre, permite que los estados financieros reservados de las Instituciones de Inversión Colectiva puedan presentarse en soporte informático, y la Circular 5/1992, de 28 de octubre, establece también la presentación en dicho soporte de los estados financieros reservados de las Sociedades Gestoras de las Instituciones de Inversión Colectiva y las Sociedades Gestoras de Cartera.  Como consecuencia de la aplicación de estas Circulares se ha venido haciendo un uso exhaustivo de los soportes informáticos para el envío periódico de información por las entidades supervisadas a la Comisión Nacional del Mercado de Valores, con un promedio de 1.000 disquetes al mes.

En virtud de la disposición transitoria única del Real Decreto 263/1996, de 16 de febrero, es necesario adecuar estos procedimientos de envío en soporte informático con las oportunas mejoras tecnológicas, a los requerimientos y garantías contemplados en el citado Real Decreto, por ello y en base a lo establecido en su artículo 9, se aprueba y regula con carácter general en este Acuerdo la utilización de las aplicaciones, medios y soportes electrónicos, informáticos y telemáticos para facilitar el cumplimiento de las correspondientes obligaciones por parte de los sujetos obligados y mejorar la gestión de la Comisión Nacional del Mercado de Valores a través de un adecuado y rápido tratamiento informático de los datos.

A la vista de lo anterior, el Consejo de la Comisión Nacional del Mercado de Valores (Comisión Nacional del Mercado de Valores) en su reunión del día 11 de marzo de 1998, previo informe técnico favorable de la Comisión Ministerial de Tecnologías de la Información y de las Comunicaciones, solicitado a los efectos del artículo 9.1 del Real Decreto 263/1996, de 16 de febrero, adopta el siguiente acuerdo:

Primero.

 Aprobar las aplicaciones electrónicas, informáticas y telemáticas que a continuación se describen y que configuran un sistema de intercambio de información, para su utilización gradual tanto por la propia Comisión Nacional del Mercado de Valores como por los administrados supervisados y público en general en las relaciones jurídicas previstas en este Acuerdo o en aquellas a las que, por acuerdo del Consejo de la Comisión Nacional del Mercado de Valores, o por delegación expresa de éste, del Presidente o Vicepresidente de la misma, se extienda progresivamente su utilización según que las necesidades de gestión lo requieran y la infraestructura técnica y personal lo permitan de conformidad con las normas siguientes:

Norma 1ª Objetivos del sistema: Denominación y descripción.

1. La Comisión Nacional del Mercado de Valores implementará un sistema a denominar «Sistema de intercambio de información por línea telemática con la Comisión Nacional del Mercado de Valores» (CIFRADOC/ Comisión Nacional del Mercado de Valores) que comprende una aplicación telemática y un procedimiento de utilización de dicha aplicación.  En el anexo I se describen las características del sistema.

2. Dicho sistema se basa en los siguientes principios:

·        Autenticidad: Identificará suficientemente al emisor y al receptor del documento y dará certeza de las fechas y horas de envío y recepción.

En la tramitación de procedimientos administrativos la aplicación garantizará la identificación y competencia de la Comisión Nacional del Mercado de Valores.

·        Confidencialidad: Asegurará que ningún usuario distinto de emisor y receptor tiene acceso al documento.

      ·        Integridad: Garantizará que cualquier alteración de contenido del documento durante la transmisión será detectada por el receptor.

·        Conservación: Archivará adecuadamente los documentos en la Comisión Nacional del Mercado de Valores e impedirá su pérdida o manipulación.

·        Acuse de recibo: Impedirá rechazar el envío y dará certeza al remitente de que la recepción ha tenido lugar.

·        Disponibilidad: Asegurará que el documento sea accesible a los usuarios autorizados.

3.Se autorizan los medios a través de los que podrá ser utilizado el sistema de intercambio de información por línea telemática.  Dichos medios son:

·        Red Internet.

·        Servicio de Boletín Informático (BBS).

·        Cualquier otro que determine la Comisión Nacional del Mercado de Valores.

4. Las características del sistema estarán, en cumplimiento de lo que establece el artículo 45 de la Ley 30/1992, a disposición del público en el Departamento de Atención al Público de la Comisión Nacional del Mercado de Valores, sito en paseo de la Castellana, número 15, segunda planta, así como en el servidor Web de la Comisión Nacional del Mercado de Valores.

5. La Comisión Nacional del Mercado de Valores adaptará el Sistema CIFRADOC/ Comisión Nacional del Mercado de Valores al previsto, cuando esté realmente operativo, en el artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social.

Norma 2ª  Ámbito de aplicación del sistema.

  Las relaciones en las que la Comisión Nacional del Mercado de Valores podrá utilizar el sistema son las siguientes:

a) Tramitación de aquellos procedimientos contenidos en la Ley 24/1988. de 24 de julio, del Mercado de Valores y sus disposiciones de desarrollo sobre los que tiene atribuida la competencia para su resolución.  En el anexo II se contiene una relación de tales procedimientos.

b) Recepción de informaciones presentadas en la Comisión Nacional del Mercado de Valores o requeridas por ésta quien deberá, en su caso, si fuera obligatorio publicarla, tanto aquellas que tienen carácter periódico o no.  El anexo II recoge las distintas informaciones que puede recibir la Comisión Nacional del Mercado de Valores.

c) Atención de reclamaciones y consultas que corresponden al Departamento de Atención al Público de la Comisión Nacional del Mercado de Valores.

d) Cualquier otro intercambio de información que la Comisión Nacional del Mercado de Valores, de acuerdo con la legislación vigente, considere oportuno incorporar al sistema.

Norma 3ª  Órgano competente. 

El Consejo de la Comisión Nacional del Mercado de Valores o, por delegación expresa de éste, el Presidente o Vicepresidente de la misma, es el órgano competente para la adopción del presente Acuerdo, según establece la Ley del Mercado de Valores y disposiciones que la desarrollan, así como de las resoluciones en relación con el ámbito de aplicación establecido en la norma 2ª

Norma 4ª Destinatarios. 

Los destinatarios del sistema son las entidades sujetas a supervisión por la Comisión Nacional del Mercado de Valores y las restantes personas físicas y jurídicas en cuanto puedan verse afectadas por las disposiciones de la ley del Mercado de Valores y sus normas de desarrollo.

Norma 5ª. Régimen jurídico de la autorización.

1. Solicitud: Las personas físicas o jurídicas que pretendan utilizar el sistema en sus relaciones con la Comisión Nacional del Mercado de Valores, deberán presentar una solicitud de autorización por cualquier medio y en cualquier momento de la tramitación del procedimiento o del desarrollo de la actuación administrativa.

2. Autorización: La autorización contendrá el documento de aceptación del sistema que deberá ir debidamente firmado por el solicitante, el acuerdo del Presidente o Vicepresidente de la Comisión Nacional del Mercado de Valores en el que se delimita el ámbito de utilización, los soportes con la propia aplicación informática y el manual de procedimiento con las condiciones generales de utilización.  Los documentos de autorización y aceptación tendrán el contenido establecido en el anexo III de esta resolución.

Se considera aceptado el sistema por parte del destinatario desde el momento del registro del documento de aceptación debidamente firmado, y surtirá efectos a partir de la recepción en la Comisión Nacional del Mercado de Valores de la clave pública del usuario generada por la aplicación informática entregada.

3. Denegación: La autorización podrá denegarse por falta de medios técnicos de! administrado o por cualquier otra causa fundada a juicio de la Comisión Nacional del Mercado de Valores. Los interesados podrán interponer los recursos previstos en la legislación vigente en caso de denegación.

4. Revocación y caducidad: La autorización podrá ser revocada en caso de incumplimiento de cualquiera de las condiciones fijadas en la resolución que la concediere, previo expediente incoado al efecto por la Comisión Nacional del Mercado de Valores.  En todo caso, la autorización caducará transcurridos seis meses desde su otorgamiento si no se hubiera utilizado.

5. Registro: La Comisión Nacional del Mercado de Valores mantendrá un Registro no público de administrados autorizados que incluirá a las personas físicas y jurídicas autorizadas y a los representantes orgánicos de estas últimas incluidos en la relación de operadores o usuarios.  El fichero que dará soporte a este registro se someterá a lo establecido en la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.

6. Manual de procedimiento: El Presidente o el Vicepresidente de la Comisión Nacional del Mercado de Valores aprobará un manual, con el procedimiento para la utilización del sistema al que se refiere esta resolución, que se entregará en el momento de la aceptación de la autorización concedida y que estará a disposición de cualquier interesado en la propia Comisión Nacional del Mercado de Valores.

No será precisa la aprobación ni publicación de las nuevas versiones o modificaciones que se efectúen de los programas y aplicaciones que ya hubieren sido aprobados, siempre que no se hayan producido alteraciones que puedan afectar sustancialmente a los resultados de los tratamientos de información que efectúen.  No obstante, siempre que haya una nueva versión de la aplicación deberá aprobarse un nuevo manual de procedimiento.

7. Eficacia jurídica: La información y documentación transmitida a través del presente sistema, que cumple los requisitos señalados en los apartados 1 y 2 del artículo 7 del Real Decreto 263/1996, tendrá plena validez y eficacia, surtiendo los efectos establecidos por la normativa en vigor tanto respecto a la tramitación de los correspondientes procedimientos administrativos como en los demás supuestos contemplados en este Acuerdo.  Asimismo, y de acuerdo con el apartado 4 del artículo 7 del Real Decreto 263/1996, las fechas de transmisión y recepción acreditadas en las comunicaciones realizadas a través de este sistema, serán válidas a efectos de cómputo de plazos y términos, a cuyos efectos se anotarán en el registro auxiliar a constituir que recogerá todos los datos a que hace referencia el párrafo segundo del apartado 3 del artículo 38 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Norma 6ª  Uso del soporte papel, almacenamiento y copia.

1. Cuando, para surtir efectos ante terceras personas u otros organismos, la información remitida a la Comisión Nacional del Mercado de Valores a través del Sistema CIFRADOC/ Comisión Nacional del Mercado de Valores necesitara expresión escrita en soporte papel, se autoriza al interesado del sistema a realizar la impresión autorizada del documento mediante el anexo a dicho documento escrito de un certificado firmado por el interesado con un texto generado por la aplicación, a partir del contraste entre la firma digital incluida en el acuse de recibo con el documento original, en el que se indicará:

·        Identificación del documento.

·        Fecha de recepción en la Comisión Nacional del Mercado de Valores.

·        Remitente.

·        Huella del documento recibido.

·        Manifestación expresa de que el documento adjunto es copia fiel de su original.

2. La Comisión Nacional del Mercado de Valores almacenará en soporte informático la información recibida por esta vía.  Este almacenamiento estará sometido a las mismas medidas de seguridad que el resto de información de uso crítico que almacena y maneja la Comisión Nacional del Mercado de Valores, garantizando su autenticidad, integridad, protección y conservación, así como el derecho de acceso a los documentos registrados por esta vía según lo establecido en el artículo 37 de la Ley 30/1992 y en el artículo 8 del Real Decreto 263/1996.

3. La Comisión Nacional del Mercado de Valores podrá realizar la impresión de los documentos emitidos, recibidos y almacenados con todas las garantías a través del Sistema CIFRADOC/ Comisión Nacional del Mercado de Valores, considerándose como copia fiel del original tramitado, de acuerdo con lo señalado en el artículo 6 del Real Decreto 263/1996, pudiendo ser solicitada en todo momento por el remitente, las autoridades de oficio o a instancia de tercero interesado. En todo caso, dichos documentos tendrán la misma validez y eficacia del documento original.

ANEXO I. Características del Sistema CIFRADOC/ Comisión Nacional del Mercado de Valores

1. Firma electrónica:

El sistema está basado en un cifrado de la información remitida complementado con una facilidad de firma electrónica y un adecuado procedimiento de intercambio de mensajes y acuses de recibo en el que, tanto en el lado de emisión como en el de recepción, se combinan dos claves, una de ellas reservada y otra pública.

Las claves se utilizan para cifrar el contenido del documento y para firmarlo electrónicamente: Se cifran o firman utilizando una de las claves y se descifran con la clave complementaria relacionándose ambas claves por una fórmula compleja de forma que del conocimiento de la clave pública no se deduce el de la clave privada.

La firma electrónica consiste en cifrar un resumen del contenido del documento, extraído mediante un algoritmo que asegura la unicidad del resumen con la clave privada del firmante que incluye la fecha y hora.  Cualquier variación en el contenido del documento supondría un cambio en el resumen, es decir, en la firma que se obtendría al aplicar de nuevo el algoritmo.

La firma electrónica garantizará, a cualquiera que reciba el documento y que sea capaz de descifrarlo con la clave pública del firmante, la identidad del emisor y que el contenido del documento no ha sido alterado durante la transmisión así como la fecha y hora en que ha tenido lugar su firma.

Si, posteriormente, el conjunto formado por el documento y la firma electrónica se cifra con la clave pública del destinatario, quedará garantizado que sólo este último tendrá acceso al contenido del documento transmitido aplicando previamente para descifrarlo su clave privada.

2. Intercambio de documentos. 

         Antes de que se inicie la transmisión de cualquier documento, emisor y receptor deben intercambiarse sus claves públicas.  A tal efecto, en el procedimiento de autorización del sistema la Comisión Nacional del Mercado de Valores acreditará, mediante una gestión centralizada de las claves públicas, la correspondencia entre la clave pública y el usuario autorizado.

Para el envío:

·        El emisor firma electrónicamente el documento a enviar utilizando su clave privada.

·        El emisor cifra el documento y la firma con la clave pública del receptor.

·        El emisor envía el documento y la firma por el medio telemático establecido.

·        Para la recepción y su acuse de recibo:

·        El receptor descifra el documento con su clave privada y obtiene el documento original y la firma del emisor.

·        El receptor descifra otra vez el documento con la clave pública del emisor y comprueba que el contenido no ha sido alterado, la identidad del emisor y la fecha y hora en que se firmó.

·        El receptor firma electrónicamente, el documento utilizando su clave privada.

·        El receptor envía esta firma electrónica por el medio telemático establecido, al emisor como acuse de recibo

ANEXO II. Procedimientos y actuaciones en los que se pueden utilizar las técnicas telemáticas

1. Procedimientos que son competencia de la Comisión Nacional del Mercado de Valores en relación a las entidades por este organismo supervisadas:

·        Verificación de folletos de emisión y ofertas públicas de venta de valores.

·        Verificación de folletos de admisión a negociación.

·        Verificación de folletos de modificación de valores en circulación.

·        Verificación de folletos de ofertas públicas de adquisición.

·        Autorización para la exclusión de negociación en un mercado secundario oficial.

·        Informe previo para la creación de Instituciones de Inversión Colectiva y sus modificaciones.

·        Autorización para la creación de Sociedades Gestoras de Instituciones de Inversión Colectiva y sus modificaciones.

·        Autorización de Depositarios de Instituciones de Inversión Colectiva.

·        Verificación de las Sociedades Gestoras de Cartera y sus modificaciones.

·        Instrucción del expediente para creación de una Sociedad o Agencia de Valores y sus modificaciones.

·        Inscripciones en los diversos Registros administrativos de la Comisión Nacional del Mercado de Valores.

2. Informaciones que se depositan en la Comisión Nacional del Mercado de Valores a instancia de parte o previo requerimiento:

Carácter periódico:

·        Informes trimestrales y semestrales, cuentas anuales, informe de gestión e informe de auditoria de las entidades emisoras.

·        Informes mensuales, trimestrales y semestrales, cuentas anuales, informe de gestión e informe de auditoria de las Instituciones de Inversión Colectiva.

      ·        Informes mensuales, trimestrales y semestrales, cuentas anuales, informe de gestión e informe de auditoria de Sociedades y Agencias de Valores.

·        Información diaria de mercados.

Carácter no periódico:

·        Comunicaciones de participaciones significativas.

·        Comunicación de hechos relevantes.

·        Colocación de emisiones.

3. Reclamaciones y consultas que atiende la Comisión Nacional del Mercado de Valores.

ANEXO III. A)

Documentos de autorización

Don/ doña ……………………………………………………………………………………………………………………….…..como ……………………………….………..de la Comisión Nacional del Mercado de Valores …………..autoriza a:…………………………………………………..… con número de identificación fiscal (CIF o NIF) ………………….….(el titular de la autorización), a hacer uso del sistema para el intercambio de información por línea telemática con la Comisión Nacional del Mercado de Valores.

Don/ doña …………………………………………………………………………………………………………………………..con NIF, como …………..………….(cargo o representación que ostente) y, en caso de ser

varios, don/ doña…………………………………………………………………………………………..con NIF ……………como, etc. es la persona o personas designadas por………………………………………………………………………..…….. (persona física o jurídica autorizada) para el manejo y utilización (operadores o usuarios) del sistema en sus relaciones con la Comisión Nacional del Mercado de Valores.

ANEXO III. B)

Documento de aceptación

Dicho documento tendrá como mínimo las siguientes estipulaciones:

1. Se conocen y aceptan las condiciones a las que habrá de ajustarse la transmisión telemática en sus relaciones con la Comisión Nacional del Mercado de Valores que se detallan en el manual de procedimiento de utilización adjunto.

2. El titular de la autorización acepta que cualquier documento de los incluidos en el ámbito de utilización y enviado a la Comisión Nacional del Mercado de Valores por este sistema, se considerará formalmente remitido a todos los efectos por la persona física o jurídica autorizada, por lo que garantizará, bajo su responsabilidad, el uso exclusivo de la aplicación por las personas físicas incluidas en la relación nominal de operadores o usuarios referenciada en el documento de autorización, así como por aquellos que se incorporen en las sucesivas actualizaciones de esa relación nominal que deberán comunicarse a la Comisión Nacional del Mercado de Valores.  En todo caso, la Comisión Nacional del Mercado de Valores podrá exigir en cualquier momento que se acredite el cargo o representación.

3. El titular de la autorización velará por la protección de datos que se envíen a través de los medios telemáticos con sujeción a las leyes y, en particular, a la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y a sus disposiciones de desarrollo.

4. El titular de la autorización acepta expresamente el procedimiento de impresión autorizada detallado en la norma 6ª del Acuerdo.

5. El titular acepta las medidas de seguridad que conlleva la utilización del Sistema CIFRADOC/ Comisión Nacional del Mercado de Valores.

Disposición final.

La utilización del sistema a que se refiere el presente Acuerdo se implantará gradualmente a los procedimientos y actuaciones indicados en el anexo II, en función de las posibilidades de gestión y de los medios técnicos necesarios, mediante sucesivos acuerdos del Presidente o Vicepresidente de la Comisión Nacional del Mercado de Valores, que contendrán una relación detallada de cada documento y su código incluidos en el ámbito de utilización.

Madrid, 11 de marzo de 1998.-El Presidente, Juan Fernández Armesto.

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven).

Kapittel 1.- Alminnelige bestemmelser

§ 1.– Lovens formål

　　　　　　 Formålet med denne lov er å

a) legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser,

b) ivareta den enkeltes rettssikkerhet, og

c) trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste.

§ 2.– Lovens generelle virkeområde

　　　　　　 Loven gjelder for forvaltningsorganer. Som forvaltningsorgan regnes i loven ethvert organ for stat eller kommune. Kongen kan i tvilstilfelle bestemme om et organ er å regne som forvaltningsorgan. Kongen kan også bestemme at et forvaltningsorgan helt eller delvis skal være unntatt fra loven når det foreligger særlige grunner for det, og kan da i stedet fastsette særlige regler.

　　　　　　 Loven gjelder også for ethvert rettssubjekt som ikke er forvaltningsorgan og som er leverandør av varer eller tjenester til et forvaltningsorgan i forbindelse med en sikkerhetsgradert anskaffelse.

　　　　　　 Kongen kan bestemme at loven helt eller delvis også skal gjelde for ethvert annet rettssubjekt, herunder enkeltpersoner, foreninger, stiftelser, selskaper og privat og offentlig næringsvirksomhet,

a) som eier eller på annen måte har kontroll over eller fører tilsyn med skjermingsverdig objekt, eller

b) som av et forvaltningsorgan gis tilgang til sikkerhetsgradert informasjon.

　　　　　　 Loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Kongen kan fastsette ytterligere særregler.

　　　　　　 Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltningen og andre organer for Stortinget.

　　　　　　 Loven gjelder for Svalbard og Jan Mayen i den utstrekning Kongen bestemmer.

§ 3.– Definisjoner

　　　　　　 I denne lov forstås med:

1. Forebyggende sikkerhetstjeneste; planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av sikkerhetstruende virksomhet.

2. Sikkerhetstruende virksomhet; forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet.

3. Spionasje; innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt.

4. Sabotasje; tilsiktet ødeleggelse, lammelse eller driftssTopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering.

5. Terrorhandlinger; ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer eller eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål.

6. Virksomhet; et forvaltningsorgan eller annet rettssubjekt som loven gjelder for, jfr § 2.

7. Informasjon; enhver form for opplysninger i materiell eller immateriell form.

8. Skjermingsverdig informasjon; informasjon som skal merkes med sikkerhetsgrad etter reglene i § 11 i loven her.

9. Sikkerhetsgradert informasjon; informasjon som er merket med sikkerhetsgrad i henhold til reglene i § 11 i loven her.

10. Informasjonssystem; en organisert samling av periferutrustning, programvare, datamaskiner og kommunikasjonsnett som knytter dem sammen.

11. Monitoring; avlytting av tale eller avlesing av elektroniske signaler som kommuniseres i eller mellom informasjonssystemer.

12. Skjermingsverdig objekt; eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser.

13. Eiendom; områder, bygninger, anlegg, transportmidler eller annet materiell, eller deler av slik eiendom.

14. Objekteier; virksomhet eller person som eier eller på annen måte råder over skjermingsverdig objekt.

15. Funksjon/funksjonalitet; produksjon, forsyning, kommunikasjon eller annen rettmessig bruk eller aktivitet tilknyttet en eiendom.

16. Anskaffelsesmyndighet; et forvaltningsorgan som har til hensikt å anskaffe, eller har anskaffet, varer eller tjenester fra rettssubjekt som ikke er forvaltningsorgan.

17. Sikkerhetsgradert anskaffelse; anskaffelse, foretatt av anskaffelsesmyndighet, som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller som innebærer at anskaffelsen må sikkerhetsgraderes av andre årsaker.

18. Personkontroll; innhenting av relevante opplysninger til vurdering av sikkerhetsklarering.

19. Sikkerhetsklarering; avgjørelse, foretatt av klareringsmyndighet og bygget på personkontroll, om en persons antatte sikkerhetsmessige skikkethet for angitt sikkerhetsgrad.

20. Autorisasjon; avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert Begrenset), bedømmelse av kunnskap om sikkerhetsbestemmelser, tjenstlig behov samt avlagt skriftlig taushetsløfte, gis tilgang til informasjon med angitt sikkerhetsgrad.

　　　　　　 Krav i eller i medhold av loven her om at meddelelse eller annet skal være skriftlig, er ikke til hinder for bruk av elektronisk kommunikasjon, forutsatt at dette ikke vil stride mot bestemmelser gitt i eller i medhold av lovens §§ 11 – 14.

Endret ved lover 21 des 2001 Nr. 117 (ikr. 1 jan 2002 iflg. res. 21 des 2001 Nr. 1475), 11 apr 2008 Nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 Nr. 1361).

Kapittel 2.- Generelt om ansvar for og utøvelse av forebyggende sikkerhetstjeneste

§ 4.– Overordnet ansvar

　　　　　　 Departementet har det overordnede ansvar for forebyggende sikkerhetstjeneste. Dette begrenser ikke den enkeltes ansvar og plikter etter bestemmelsene i eller i medhold av loven her.

　　　　　　 Departementets utøvende funksjoner ivaretas av Nasjonal sikkerhetsmyndighet.

§ 5.　Den enkelte virksomhets plikter

　　　　　　 Enhver virksomhet plikter å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i eller i medhold av loven her.

　　　　　　 Virksomheten skal

a) utarbeide intern instruks for å ivareta sikkerheten,

b) sørge for at virksomhetens ansatte og engasjerte får tilstrekkelig opplæring i sikkerhetsspørsmål, og

c) regelmessig kontrollere sikkerhetstilstanden i virksomheten.

　　　　　　 Ansvaret påhviler lederen for virksomheten. Dersom utøvende funksjoner delegeres internt i virksomheten, skal dette gjøres skriftlig.

　　　　　　 Alt ansatt eller engasjert personell har i sitt arbeid eller oppdrag for virksomheten ansvar for å ivareta sikkerhetsmessige hensyn, og plikter å bidra til forebyggende sikkerhetstjeneste.

　　　　　　 Nærmere bestemmelser gis av Nasjonal sikkerhetsmyndighet.

§ 6.– Generelt om utøvelse av forebyggende sikkerhetstjeneste

　　　　　　 Når utøvelse av forebyggende sikkerhetstjeneste etter eller i medhold av loven her overlates til den ansvarliges skjønn, skal det ikke nyttes mer inngripende midler og metoder enn det som fremstår som nødvendig i forhold til den aktuelle sikkerhetsrisiko og omstendighetene for øvrig.

　　　　　　 Ved utøvelse av forebyggende sikkerhetstjeneste skal det særlig tas hensyn til den enkeltes rettssikkerhet.

　　　　　　 Bruk av elektronisk kommunikasjon ved underretning om et vedtak er bare tillatt når den vedtaket retter seg mot uttrykkelig har godtatt dette.

Endret ved lov 21 des 2001 Nr. 117 (ikr. 1 jan 2002 iflg. res. 21 des 2001 Nr. 1475).

§ 7.– Samarbeid

　　　　　　 Kongen gir bestemmelser om nasjonalt, regionalt og lokalt samarbeid om forebyggende sikkerhetstjeneste.

Kapittel 3.- Nasjonal sikkerhetsmyndighet

§ 8.– Generelle oppgaver

　　　　　　 Nasjonal sikkerhetsmyndighet skal koordinere de forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden. Nasjonal sikkerhetsmyndighet er også utøvende organ i forholdet til andre land og internasjonale organisasjoner.

§ 9.– Nærmere om oppgavene

　　　　　　 Nasjonal sikkerhetsmyndighet skal

a) innhente og vurdere informasjon av betydning for gjennomføringen av forebyggende sikkerhetstjeneste,

b) søke internasjonalt samarbeid, herunder med andre lands og organisasjoners tilsvarende tjenester, når dette tjener norske interesser,

c) føre tilsyn med sikkerhetstilstanden i virksomheter, herunder kontrollere at den enkeltes plikter i eller i medhold av loven her overholdes, og eventuelt gi pålegg om forbedringer,

d) bidra til at sikkerhetstiltak utvikles, herunder iverksette forskning og utvikling på områder av betydning for forebyggende sikkerhetstjeneste,

e) gi informasjon, råd og veiledning til virksomheter, og

f) for øvrig utføre de oppgaver som fremgår av bestemmelsene i og i medhold av loven her.

　　　　　　 Kongen kan gi nærmere bestemmelser om Nasjonal sikkerhetsmyndighets utøvelse av oppgavene.

§ 10.– Nasjonal sikkerhetsmyndighets adgangsrett

　　　　　　 Så langt det er nødvendig for å gjennomføre kontrolloppgavene i eller i medhold av loven her, skal Nasjonal sikkerhetsmyndighet gis uhindret adgang til ethvert område hvor skjermingsverdig informasjon eller objekt befinner seg, dersom området eies, brukes eller på annen måte kontrolleres av en virksomhet.

Kapittel 4.- Informasjonssikkerhet

§ 11.– Sikkerhetsgradering

　　　　　　 Når informasjon må beskyttes av sikkerhetsmessige grunner, skal en av følgende sikkerhetsgrader benyttes:

a) Streng Hemmelig nyttes dersom det kan få helt avgjørende skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

b) Hemmelig nyttes dersom det alvorlig kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

c) Konfidensielt nyttes dersom det kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

d) Begrenset nyttes dersom det i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

　　　　　　 Den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon, skal sørge for at informasjonen merkes med aktuell sikkerhetsgrad. Sikkerhetsgradering skal ikke skje i større utstrekning enn Streng nødvendig, og det skal ikke brukes høyere sikkerhetsgrad enn nødvendig.

　　　　　　 Sikkerhetsgradering skal ikke gis virkning for lengre tid enn det som er Streng nødvendig, og graderingen skal senest bortfalle etter 30 år. Nærmere regler om ned- og avgradering gis av Kongen. Kongen kan for særskilte tilfeller fastsette unntak fra 30 års regelen i første punktum.

　　　　　　 Kongen kan under forutsetning om gjensidighet treffe overenskomst med fremmed stat eller internasjonal organisasjon om sikkerhetsgradering av mottatt informasjon som er sikkerhetsgradert av vedkommende stat eller internasjonale organisasjon, og om plikt til å treffe tiltak for å sikre slik informasjon.

§ 12.– Plikt til å beskytte sikkerhetsgradert informasjon

　　　　　　 Enhver som får tilgang til sikkerhetsgradert informasjon som ledd i arbeid, oppdrag eller verv for en virksomhet, plikter å hindre at uvedkommende får kjennskap til informasjonen. Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet, oppdraget eller vervet. Sikkerhetsgradert informasjon skal bare overlates til personer som har tjenstlig behov for tilgang til den. Taushetsplikten er likevel ikke til hinder for at sikkerhetsgradert informasjon blir gitt til andre når dette har særskilt hjemmel i lov eller i generell forskrift fastsatt av Kongen.

　　　　　　 Kongen gir nærmere regler om håndteringen av sikkerhetsgradert informasjon, herunder om journalisering, oppbevaring, forsendelse og tilintetgjøring. Kongen kan også gi regler om plikt til å legge forholdene til rette for at sikkerhetsgradert informasjon er korrekt, fullstendig og tilgjengelig.

§ 13.– Sikkerhetsmessig godkjenning av informasjonssystemer

　　　　　　 Før skjermingsverdig informasjon behandles, lagres eller transporteres i et informasjonssystem, skal Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, godkjenne systemet for angjeldende sikkerhetsgrad.

　　　　　　 Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet for informasjonssystemer som skal håndtere skjermingsverdig informasjon.

　　　　　　 Nasjonal sikkerhetsmyndighet kan godkjenne at andre virksomheter utfører tjenester for sikring av informasjonssystemer som skal håndtere skjermingsverdig informasjon.

　　　　　　 Nasjonal sikkerhetsmyndighet gir nærmere forskrifter om sikkerhetsmessig godkjenning av informasjonssystemer.

§ 14.– Kryptosikkerhet

　　　　　　 Bare kryptosystemer som er godkjent av Nasjonal sikkerhetsmyndighet, tillates brukt for beskyttelse av skjermingsverdig informasjon.

　　　　　　 Nasjonal sikkerhetsmyndighet er nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter. Nasjonal sikkerhetsmyndighet kan likevel godkjenne andre leverandører av kryptosikkerhetstjenester. Disse skal undertegne en særskilt avtale om dette med Nasjonal sikkerhetsmyndighet.

　　　　　　 Nasjonal sikkerhetsmyndighet skal godkjenne kryptoalgoritmer som brukes i utstyr som tenkes eksportert.

　　　　　　 Nærmere bestemmelser fastsettes av Nasjonal sikkerhetsmyndighet.

§ 15.– Monitoring av og inntrengning i informasjonssystemer

　　　　　　 En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til gjennom monitoring å kontrollere om informasjonssystemer i vedkommende virksomhet lagrer, behandler eller transporterer skjermingsverdig informasjon uten at de er godkjent for dette. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen. Monitoring skal ikke i noe tilfelle omfatte privat kommunikasjon eller kommunikasjon som blir formidlet til eller fra andre enn virksomheter.

　　　　　　 En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til å forsøke og eventuelt gjennomføre inntrengning i informasjonssystemer som lagrer, behandler eller transporterer skjermingsverdig informasjon, for å kontrollere motstandskraften i systemene. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen.

　　　　　　 Informasjon som Nasjonal sikkerhetsmyndighet blir kjent med ved kontrollvirksomhet etter første og annet ledd, skal makuleres når den ikke lenger har betydning for kontrollen.

　　　　　　 Kongen gir nærmere bestemmelser, herunder om varsling og gjennomføring av monitoring og inntrengning og om oppbevaring og makulering av informasjon.

§ 16.– Tekniske sikkerhetsundersøkelser

　　　　　　 Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, kan foreta undersøkelser av lokaler, bygninger og andre objekter som eies, brukes eller på annen måte kontrolleres av en virksomhet, i den hensikt å fastslå hvorvidt uvedkommende med eller uten tekniske hjelpemidler kan skaffe seg tilgang til skjermingsverdig informasjon gjennom avtitting, avlytting av tale eller avlesing av elektroniske signaler.

　　　　　　 Kongen gir nærmere forskrifter om gjennomføring av tekniske sikkerhetsundersøkelser.

Kapittel 5.- Objektsikkerhet

Overskriften endres ved lov 20 mai 2005 Nr. 28 (ikr. fra den tid som fastsettes ved lov) som endret ved lov 19 juni 2009 Nr. 74.

§ 17.– Utvelgelse av skjermingsverdige objekter

　　　　　　 Hvert enkelt departement utpeker skjermingsverdige objekter innen sitt myndighetsområde. Objekteier plikter overfor departementet å foreslå hvilke objekter som er skjermingsverdige. Utvelgelse av skjermingsverdig objekt skal skje på grunnlag av en skadevurdering, hvor det innenfor lovens formål særlig tas hensyn til objektets:

a) betydning for sikkerhetspolitisk krisehåndtering og forsvar av riket,

b) betydning for Kritiske funksjoner for det sivile samfunn,

c) symbolverdi, og

d) mulighet for å utgjøre en fare for miljøet eller befolkningens liv og helse.

　　　　　　 I skadevurderingen skal det også tas hensyn til akseptabel tidsperiode for funksjonssvikt, mulighet til å gjenopprette funksjonalitet, og hensynet til objektets betydning for andre objekter.

　　　　　　 Kongen kan gi utfyllende bestemmelser om utvelgelse av skjermingsverdige objekter.

Endret ved lov 11 apr 2008 Nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 Nr. 1361).

§ 17a.– Klassifisering av skjermingsverdige objekter

　　　　　　 Når skjermingsverdige objekter må beskyttes av sikkerhetsmessige grunner, skal en av følgende klassifiseringsgrader benyttes:

a) Meget Kritisk nyttes dersom det kan få helt avgjørende skadefølger for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser om objektet får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse av uvedkommende.

b) Kritisk nyttes dersom det alvorlig kan skade rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser om objektet får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse av uvedkommende.

c) Viktig nyttes dersom det kan skade rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser om objektet får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse av uvedkommende.

　　　　　　 Kongen kan gi utfyllende bestemmelser om klassifisering av skjermingsverdige objekter.

Tilføyd ved lov 11 apr 2008 Nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 Nr. 1361).

§ 17b.– Plikt til å beskytte skjermingsverdig objekt

　　　　　　 Objekteier plikter å beskytte objektet med sikkerhetstiltak.

　　　　　　 Sikkerhetstiltakene skal bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon, som i sum tilfredsstiller følgende krav:

a) Objekt klassifisert Meget Kritisk skal beskyttes slik at tap av funksjon, ødeleggelse og rettsstridig overtakelse avverges.

b) Objekt klassifisert Kritisk skal beskyttes slik at tap av funksjon og ødeleggelse begrenses, og rettsstridig overtakelse av vesentlige funksjoner avverges.

c) Objekt klassifisert Viktig skal beskyttes slik at tap av vesentlig funksjon og ødeleggelse begrenses.

　　　　　　 Sikkerhetstiltakene skal også ta sikte på å redusere muligheten for etterretningsaktivitet mot objektet.

　　　　　　 Kongen kan bestemme at det kreves sikkerhetsklarering etter reglene i kapittel 6 for den som skal gis tilgang til skjermingsverdig objekt klassifisert Meget Kritisk eller Kritisk.

　　　　　　 Kongen kan gi nærmere bestemmelser om planlegging og gjennomføring av sikkerhetstiltak, herunder bruk av sikringsstyrker.

Tilføyd ved lov 11 apr 2008 Nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 Nr. 1361).

§ 18.– Beskyttelse av utenlandske objekter i Norge

　　　　　　 Kongen kan under forutsetning om gjensidighet treffe overenskomst med fremmed stat eller internasjonal organisasjon om plikt til å treffe tiltak for å beskytte utenlandske objekter i Norge som anses skjermingsverdige av vedkommende stat eller organisasjon.

§ 18a.

Tilføyes ved lov 20 mai 2005 Nr. 28 (ikr. fra den tid som fastsettes ved lov) som endret ved lov 19 juni 2009 Nr. 74.

Kapittel 6. Personellsikkerhet

§ 19.– Når sikkerhetsklarering og autorisasjon skal gjennomføres

　　　　　　 Person som skal gis tilgang til skjermingsverdig informasjon, skal autoriseres.

　　　　　　 Person som skal autoriseres for tilgang til skjermingsverdig informasjon gradert Konfidensielt eller høyere, skal på forhånd sikkerhetsklareres.

　　　　　　 Person som i sitt arbeid vil kunne få tilgang til skjermingsverdig informasjon gradert Konfidensielt eller høyere, skal sikkerhetsklareres dersom ikke sikkerhetstiltak for å fjerne risikoen for tilgang med rimelighet lar seg gjennomføre.

　　　　　　 Sikkerhetsklarering gis for følgende nasjonale sikkerhetsgrader, eventuelt også for tilsvarende sikkerhetsgrader i Nato eller annen internasjonal organisasjon:

a) Konfidensielt (eventuelt Nato Confidential/tilsvarende).

b) Hemmelig (eventuelt Nato Secret/tilsvarende).

c) Streng Hemmelig (eventuelt Cosmic Top Secret/tilsvarende).

Endret ved lov 11 apr 2008 Nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 Nr. 1361).

§ 20.– Gjennomføring av personkontroll

　　　　　　 Personkontroll iverksettes etter anmodning fra autorisasjonsansvarlig, med mindre annet er bestemt av Nasjonal sikkerhetsmyndighet.

　　　　　　 Personkontroll skal ikke finne sted uten at den som sikkerhetsklareres er gjort oppmerksom på og har samtykket i at slik kontroll vil bli foretatt. Personkontroll skal alltid omfatte opplysninger gitt av vedkommende selv. Vedkommende plikter å gi fullstendige opplysninger om forhold som antas å kunne være av betydning for vurderingen av sikkerhetsmessig skikkethet etter § 21.

　　　　　　 Ved sikkerhetsklarering for Hemmelig/tilsvarende eller høyere sikkerhetsgrader, og i andre særlige tilfeller, kan personkontroll gjennomføres for nærstående personer som er knyttet til vedkommende ved familiebånd.

　　　　　　 For øvrig skal kontrollen omfatte opplysninger som vedkommende klareringsmyndighet selv sitter inne med og avlesing av relevante offentlige registre, jf. femte ledd første punktum. Registeransvarlig plikter å utlevere registeropplysninger uten hinder av taushetsplikt. Registeropplysninger skal meddeles skriftlig. Kontrollen kan også omfatte andre kilder, herunder uttalelser fra tjenestesteder eller arbeidsplasser, offentlige myndigheter eller oppgitte eller supplerende referanser. Personkontrollopplysninger skal gis vederlagsfritt til klareringsmyndigheten.

　　　　　　 Kongen bestemmer hvilke registre som er relevante for personkontroll. Kongen gir også bestemmelser om fremgangsmåten ved registerundersøkelser i utlandet og om utlevering av opplysninger i forbindelse med andre lands myndigheters tilsvarende personkontroll. Under ingen omstendighet skal det innhentes, registreres eller videreformidles opplysninger om politisk engasjement som omfattes av § 21 annet ledd.

　　　　　　 Opplysninger som er gitt klareringsmyndigheten i forbindelse med personkontroll, skal ikke benyttes til andre formål enn vurdering av sikkerhetsklarering. Autorisasjonsansvarlig kan likevel meddeles slike opplysninger dersom dette anses påkrevet av hensyn til den sikkerhetsmessige ledelse og kontroll av vedkommende.

§ 21.– Vurderingsgrunnlaget for sikkerhetsklarering

　　　　　　 Sikkerhetsklarering skal bare gis eller opprettholdes dersom det ikke foreligger rimelig tvil om vedkommendes sikkerhetsmessige skikkethet. Ved avgjørelse om sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere vedkommendes pålitelighet, lojalitet og sunne dømmekraft i forhold til behandling av skjermingsverdig informasjon. Opplysninger om følgende forhold kan tillegges betydning:

a) Spionasje, planlegging eller gjennomføring av sabotasje, attentat eller lignende, og forsøk på slik virksomhet.

b) Straffbare handlinger eller forberedelser eller oppfordringer til slike.

c) Forhold som kan lede til at vedkommende selv eller nærstående personer som er knyttet til vedkommende ved familiebånd, utsettes for trusler som innebærer fare for liv, helse, frihet eller ære med risiko for å kunne presse vedkommende til å handle i strid med sikkerhetsmessige interesser.

d) Forfalskning av, eller feilaktig eller unnlatt fremstilling om, faktiske forhold som vedkommende måtte forstå er av betydning for sikkerhetsklareringen.

e) Misbruk av alkohol eller andre rusmidler.

f) Enhver sykdom som på medisinsk grunnlag anses å kunne medføre forbigående eller varig svekkelse av pålitelighet, lojalitet eller sunn dømmekraft.

g) Kompromittering av skjermingsverdig informasjon, brudd på gitte sikkerhetsbestemmelser, nektelse av å gi personopplysninger om seg selv, unnlatelse av å gi autorisasjonsansvarlig løpende underretning om egne forhold av betydning for sikkerheten, nektelse av å gi taushetsløfte, tilkjennegivelse av ikke å ville være bundet av taushetsløfte eller nektelse av å delta i sikkerhetssamtale.

h) Økonomiske forhold som kan friste til utroskap.

i) Forbindelse med innen- eller utenlandske organisasjoner som har ulovlig formål, som kan true den demokratiske samfunnsordenen eller som anser vold eller terrorhandlinger som akseptable virkemidler.

j) Manglende mulighet for gjennomføring av en tilfredsstillende personkontroll.

k) Tilknytning til andre stater.

l) Andre forhold som kan gi grunn til å frykte at vedkommende vil kunne opptre i strid med sikkerhetsmessige interesser.

　　　　　　 Politisk engasjement, herunder medlemskap i, sympati med eller aktivitet for lovlige politiske partier eller organisasjoner og annet lovlig samfunnsengasjement, skal ikke ha betydning for vurdering av en persons sikkerhetsmessige skikkethet.

　　　　　　 Klareringsavgjørelser skal baseres på en konkret og individuell helhetsvurdering av de foreliggende opplysninger. Klareringsmyndigheten skal påse at klareringssaken er så godt opplyst som mulig før avgjørelse fattes. Sikkerhetssamtale skal gjennomføres der dette ikke anses som åpenbart unødvendig.

　　　　　　 Negative opplysninger om nærstående personer, jf. § 20 tredje ledd, skal bare tas i betraktning dersom det antas at nærståendes forhold vil kunne påvirke vedkommendes sikkerhetsmessige skikkethet.

　　　　　　 I særlige tilfeller kan det settes vilkår for sikkerhetsklarering.

Endret ved lov 17 juni 2005 Nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 Nr. 1605).

§ 22.– Sikkerhetsklarering av utenlandske statsborgere

　　　　　　 En utenlandsk statsborger kan gis sikkerhetsklarering etter en vurdering av hjemlandets sikkerhetsmessige betydning og vedkommendes tilknytning til hjemlandet og Norge.

　　　　　　 Nærmere regler om sikkerhetsklarering av utenlandske statborgere fastsettes av Kongen.

Endret ved lov 17 juni 2005 Nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 Nr. 1605).

§ 23.– Klareringsmyndighet og autorisasjonsansvarlig

　　　　　　 Hvert enkelt departement er klareringsmyndighet for personell innen sitt myndighetsområde. Departementet kan i særlige tilfeller delegere klareringsmyndighet til underlagte virksomheter som har et stort klareringsbehov.

　　　　　　 I forbindelse med sikkerhetsgraderte anskaffelser foretatt av vedkommende departement eller underliggende etat eller institusjon, er departementet klareringsmyndighet for personell ansatt hos eller engasjert av leverandøren. Departementet kan delegere myndigheten til anskaffelsesmyndighet som har fått delegert klareringsmyndighet etter første ledd annet punktum.

　　　　　　 Kongen bestemmer hvem som skal være klareringsmyndighet for øvrige virksomheter, herunder for beredskapspersonell i fylkeskommunene, kommunene og organer eller virksomheter med beredskapsmessig tilknytning til disse.

　　　　　　 Sikkerhetsklarering av utenlandske statsborgere kan bare gis av vedkommende departement. Sikkerhetsklarering for Cosmic Top Secret/tilsvarende kan bare gis av Nasjonal sikkerhetsmyndighet.

　　　　　　 Autorisasjon kan gis dersom autorisasjonsansvarlig ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig er til å stole på. Autorisasjon gis normalt av virksomhetens leder. Autorisasjon skal ikke gis før det foreligger melding om sikkerhetsklarering, med unntak for de tilfeller som er beskrevet i § 19 tredje ledd, og sikkerhetssamtale er avholdt. Nasjonal sikkerhetsmyndighet gir nærmere regler om autorisasjon og om hvem som er autorisasjonsansvarlig.

§ 24.– Bortfall, tilbakekall, nedsettelse og suspensjon av sikkerhetsklarering og autorisasjon

　　　　　　 Sikkerhetsklarert og autorisert personell skal holde autorisasjonsansvarlig orientert om forhold som antas å kunne være av betydning for vedkommendes sikkerhetsmessige skikkethet.

　　　　　　 Fremkommer det opplysninger som reiser tvil om en sikkerhetsklarert persons sikkerhetsmessige skikkethet, skal klareringsmyndigheten vurdere å tilbakekalle eller nedsette klareringen, eller suspendere klareringen og iverksette nærmere undersøkelser for å avklare forholdet.

　　　　　　 Er en sikkerhetsklarering besluttet tilbakekalt, nedsatt eller suspendert, skal begrunnet melding om dette sendes til Nasjonal sikkerhetsmyndighet. Autorisasjonsansvarlig skal varsles umiddelbart.

　　　　　　 Autorisasjon bortfaller automatisk

a) når personen fratrer den stilling som autorisasjonen omfatter,

b) når behovet for autorisasjon av andre grunner ikke lenger er til stede, eller

c) når vedkommende ikke lenger har tilstrekkelig sikkerhetsklarering.

　　　　　　 Får autorisasjonsansvarlig opplysninger som gir grunn til tvil om en autorisert person fortsatt kan anses sikkerhetsmessig skikket, skal autorisasjonen vurderes tilbakekalt, nedsatt eller suspendert. Avgjørelse om dette skal innberettes til vedkommende klareringsmyndighet.

　　　　　　 Nasjonal sikkerhetsmyndighet fastsetter generell gyldighetstid for sikkerhetsklareringer.

§ 25.– Begrunnelse og underretning

　　　　　　 Forvaltningsloven kapittel IV og V gjelder ikke for avgjørelser om sikkerhetsklarering eller autorisasjon.

　　　　　　 Den som har vært vurdert sikkerhetsklarert, har rett til å bli gjort kjent med resultatet. Ved negativ avgjørelse skal vedkommende uoppfordret underrettes om resultatet og opplyses om klageadgangen.

　　　　　　 Begrunnelse for en avgjørelse skal gis samtidig med underretningen om utfallet av klareringssaken. Vedkommende har ikke krav på begrunnelse i den utstrekning begrunnelse ikke kan gis uten å røpe opplysninger som

a) er av betydning for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser,

b) er av betydning for kildevern,

c) det av hensyn til vedkommendes helse eller hans forhold til personer som står denne nær, må anses utilrådelig at vedkommende får kjennskap til,

d) angår tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og berekninger og forretningsHemmeligheter ellers, når de er av en slik art at andre kan utnytte dem i sin næringsvirksomhet.

　　　　　　 Klareringsmyndigheten skal i tillegg utarbeide en intern samtidig begrunnelse hvor alle relevante forhold inngår, herunder forhold som nevnt i tredje ledd.

Endret ved lov 17 juni 2005 Nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 Nr. 1605).

§ 25a.– Innsyn

　　　　　　 Etter at avgjørelse om sikkerhetsklarering er fattet, har den som har vært vurdert sikkerhetsklarert rett til å gjøre seg kjent med sakens dokumenter. Vedkommende har etter samme tidspunkt rett til å se audiovisuelt opptak av egen sikkerhetssamtale.

　　　　　　 Vedkommende har ikke krav på innsyn i de deler av et dokument som inneholder opplysninger som nevnt i § 25 tredje ledd. Vedkommende har heller ikke krav på innsyn i et dokument som er utarbeidet for den interne saksforberedelsen ved klareringsmyndigheten eller klageinstansen, med unntak av faktiske opplysninger eller sammendrag eller annen bearbeidelse av faktum.

　　　　　　 På anmodning skal den som har krav på innsyn gis kopi av dokumentet. Gjennomsyn av audiovisuelt opptak av sikkerhetssamtale skjer ved oppmøte hos klareringsmyndigheten.

Tilføyd ved lov 17 juni 2005 Nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 Nr. 1605).

§ 25b.– Oversendelse av sak til særskilt oppnevnt advokat

　　　　　　 Forsvarsdepartementet oppnevner en gruppe advokater som skal sikkerhetsklareres for høyeste nivå. Disse skal benyttes i de tilfeller som er nevnt i andre ledd.

　　　　　　 Der begrunnelse ikke gis, jf. § 25 tredje ledd, og klagefristen ikke er løpt ut, skal klareringsmyndigheten på begjæring av den som er vurdert sikkerhetsklarert, gjøre sakens dokumenter tilgjengelig for en advokat som er oppnevnt for dette formålet. Det samme gjelder avslag på begjæring om innsyn, jf. § 25 a andre ledd første punktum. Vedkommende må ha utprøvd klageadgangen vedrørende nektet begrunnelse eller avslag på begjæring om innsyn, jf. § 25 c andre ledd, før denne retten til bruk av advokat inntrer.

　　　　　　 Advokaten skal ha tilgang til sakens faktiske opplysninger og den begrunnelse som er ukjent for den som har vært vurdert sikkerhetsklarert. Dokument som er utarbeidet for den interne saksforberedelsen ved klareringsmyndigheten eller klageinstansen, jf. § 25 a andre ledd siste punktum, skal ikke gis advokaten.

　　　　　　 Advokaten skal gi den som er vurdert sikkerhetsklarert råd om hvorvidt vedkommende bør klage.

Tilføyd ved lov 17 juni 2005 Nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 Nr. 1605).

§ 25c.– Klage

　　　　　　 Bestemmelsene i forvaltningsloven kapittel VI gjelder tilsvarende i klareringssaker om ikke annet følger av denne lov eller forskrift om personellsikkerhet.

　　　　　　 Negativ avgjørelse om sikkerhetsklarering, herunder vilkår og når klareringssaken tidligst kan tas opp på nytt, kan påklages av den avgjørelsen retter seg mot. Det samme gjelder nektet begrunnelse og avslag på begjæring om innsyn.

　　　　　　 Klage på avgjørelse om sikkerhetsklarering sendes vedkommende klareringsmyndighet. Nasjonal sikkerhetsmyndighet er klageinstans. Departementet er klageinstans for klareringsavgjørelser truffet av Nasjonal sikkerhetsmyndighet i første instans.

　　　　　　 Fristen for å klage er tre uker fra den dag underretningen om avgjørelsen, manglende begrunnelse eller avslag på begjæring om innsyn har kommet frem til vedkommende. Dersom det klages på nektet begrunnelse eller avslag på begjæring om innsyn, avbrytes klagefristen. Ny klagefrist løper fra det tidspunkt underretning om begrunnelse eller innsyn er kommet frem til vedkommende eller på annen måte er gjort kjent med den. I saker der advokat har gjennomgått saken, løper ny klagefrist fra den dag rådet fra advokaten har kommet frem til vedkommende.

Tilføyd ved lov 17 juni 2005 Nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 Nr. 1605).

§ 26.– Utfyllende bestemmelser

　　　　　　 Kongen kan gi forskrifter om opprettelse av et sentralt register for klareringsavgjørelser.

　　　　　　 Nasjonal sikkerhetsmyndighet fastsetter utfyllende bestemmelser om personellsikkerhet, herunder om

a) sikkerhetsklarering av bestemte kategorier personell, bl.a. vernepliktige mannskaper i Forsvaret,

b) arkivering, oppbevaring og forsendelse av dokumenter i klarerings- og personkontrollsaker, og

c) avholdelse av sikkerhetssamtaler.

Kapittel 7.- Sikkerhetsgraderte anskaffelser

§ 27.– Inngåelse av sikkerhetsavtale

　　　　　　 Ved sikkerhetsgraderte anskaffelser skal det inngås en sikkerhetsavtale mellom anskaffelsesmyndigheten og leverandøren. Sikkerhetsavtale skal være inngått før leverandøren kan få tilgang til skjermingsverdig informasjon. Sikkerhetsavtale med utenlandske leverandører kan bare inngås etter godkjenning av Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet kan bestemme at sikkerhetsavtale også skal inngås dersom leverandøren vil kunne få tilgang til skjermingsverdig objekt eller dersom det av andre grunner er nødvendig å sikkerhetsgradere anskaffelsen.

　　　　　　 Sikkerhetsavtalen skal fastsette nærmere detaljer om ansvar og plikter etter bestemmelsene i og i medhold av loven her, herunder om

a) anskaffelsens sikkerhetsgrad, spesifisert for de enkelte deler av oppdraget,

b) praktisk gjennomføring av undersøkelser hos leverandøren og annen kontroll med denne for å vurdere sikkerhetstilstanden og kontrollere at leverandøren forholder seg i samsvar med sikkerhetsbestemmelsene og øvrige plikter etter loven her, og

c) konsekvenser ved brudd på sikkerhetsavtalen.

　　　　　　 Utgifter eller krav leverandøren måtte ha for å oppfylle bestemmelsene i eller i medhold av loven her og inngått sikkerhetsavtale, er anskaffelsesmyndigheten og Nasjonal sikkerhetsmyndighet uvedkommende, med mindre annet er uttrykkelig avtalt i sikkerhetsavtalen.

§ 28.– Leverandørklarering

　　　　　　 Før en leverandør kan få tilgang til skjermingsverdig informasjon sikkerhetsgradert Konfidensielt eller høyere, eller dersom det av andre grunner anses nødvendig, skal leverandøren ha gyldig leverandørklarering for angitt sikkerhetsgrad. Leverandørklareringen gjelder for det enkelte oppdrag. Nasjonal sikkerhetsmyndighet er klareringsmyndighet.

　　　　　　 Leverandørklarering skal ikke gis dersom det foreligger rimelig tvil om leverandørens sikkerhetsmessige skikkethet. Ved avgjørelse om sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere leverandørens evne og vilje til å utøve forebyggende sikkerhetstjeneste etter bestemmelsene i eller i medhold av loven her. I vurderingen skal inngå personkontroll av personer i leverandørens styre og ledelse.

　　　　　　 Leverandøren skal gi alle opplysninger som antas å kunne være av betydning for klareringsspørsmålet.

　　　　　　 Leverandøren skal uten ugrunnet opphold orientere Nasjonal sikkerhetsmyndighet om endringer i styre eller ledelse, forandringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling eller begjæring om konkurs og andre forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet. Anses slike forhold å representere en sikkerhetsrisiko og risikoen ikke kan elimineres gjennom å utøve forebyggende sikkerhetstjeneste, kan Nasjonal sikkerhetsmyndighet inndra leverandørklareringen. Skjermingsverdig informasjon eller objekt kan ikke overføres til ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs, med mindre Nasjonal sikkerhetsmyndighet har samtykket til dette.

　　　　　　 For øvrig gjelder reglene i kapittel 6, herunder reglene om begrunnelse og klage, så langt de passer.

§ 29.– Utfyllende bestemmelser m.v.

　　　　　　 Kongen kan gi utfyllende bestemmelser om sikkerhetsgraderte anskaffelser, samt fastsette særskilte regler for gjennomføring av internasjonale sikkerhetsgraderte anskaffelser.

Kapittel 8.- Kontroll- og tilsynsordninger. Straffebestemmelser

§ 30.– Kontroll- og tilsynsordninger

　　　　　　 Forebyggende sikkerhetstjeneste i medhold av loven her er underlagt kontroll og tilsyn av Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste, i samsvar med bestemmelsene i og i medhold av lov av 3. februar 1995 Nr. 7 om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste.

　　　　　　 Kongen kan etablere særskilte ordninger for å kontrollere og føre tilsyn med Nasjonal sikkerhetsmyndighet og andre virksomheters forebyggende sikkerhetstjeneste, i den hensikt å påse at utøvelsen holdes innen rammen av gjeldende lov, administrative eller militære direktiver og ulovfestet rett, eller for å sørge for at rettssikkerhetsmessige og andre hensyn ivaretas.

§ 31.– Straff

　　　　　　 Den som forsettlig eller uaktsomt overtrer bestemmelser gitt i eller i medhold av §§ 5, 10, 12 annet ledd, 13 første og fjerde ledd, 14 første, tredje og fjerde ledd og 17 i loven her, eller overtrer pålegg gitt av Nasjonal sikkerhetsmyndighet i medhold av § 9 første ledd bokstav c i loven her, straffes med bøter eller fengsel inntil seks måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse. Medvirkning straffes tilsvarende.

　　　　　　 Den som forsettlig eller grovt uaktsomt overtrer § 11 annet ledd første punktum i loven her, straffes med bøter eller fengsel inntil seks måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse.

　　　　　　 Den som forsettlig eller grovt uaktsomt krenker taushetsplikt etter § 12 første ledd, straffes med bøter eller fengsel inntil ett år, hvis ikke forholdet går inn under en strengere straffebestemmelse.

Endres ved lov 20 mai 2005 Nr. 28 (ikr. fra den tid som fastsettes ved lov) som endret ved lov 19 juni 2009 Nr. 74.

Kapittel 9.- Ikrafttredelse og endringer i andre lover

§ 32.– Ikrafttredelse

　　　　　　 Denne lov trer i kraft fra den tid Kongen bestemmer.

Loven trådte ikr. 1 juli 2001 iflg. res. 29 juni 2001 Nr. 720.

§ 33.– Endringer i andre lover

　　　　　　 Fra den tiden loven trer i kraft gjøres følgende endringer i andre lover:

———-

Resolución 45/1997, de 17 de marzo de 1997, de la Secretaría de la función Pública

Incorpórase la tecnología de firma digital a los procesos de información del sector público.

VISTO el Decreto Nº 660 del 24 de Junio de 1996, el Decreto Nº 998 del 30 de Agosto de 1996, el Acta de fecha 30 de Diciembre de 1996 del SUBCOMITE DE CRIPTOGRAFIA Y FIRMA DIGITAL, integrante del COMITE DE USUARIOS DE PROCESAMIENTO DE IMAGENES (C.U.P.I.), y

CONSIDERANDO:

Que dentro de las acciones asignadas a la competencia de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, se encuentran las de promover el estudio y el análisis del valor legal de los documentos electrónicos y el de los sistemas tendientes a resguardar la seguridad y la privacidad de la información contenida en medios electrónicos, como así también las de proponer las medidas y dictar las normas que promuevan el perfeccionamiento de la organización y el adecuado funcionamiento de la Administración Pública Nacional.

Que en virtud de la competencia atribuida por el Decreto Nº 660/96, modificado por el Artículo 2º del Decreto Nº 998/96, la Dirección Nacional de Coordinación e Integración Tecnológica de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS ha participado en el Subcomité de Criptografía y Firma Digital, creado en Julio de 1996 e integrado por funcionarios de distintos organismos de la Administración Pública Nacional, cuya misión ha sido analizar y proponer medidas relacionadas con la incorporación de la tecnología de firma digital a los procesos de información del sector público, y los aspectos legales vinculados.

Que como resultado de dicho análisis, se elaboró el documento por el cual se aprobaron las conclusiones finales acerca de las pautas técnicas a tener en cuenta en una normativa de firma digital, que figura en el Anexo a la presente, el que debe ser utilizado como base fundamental para una normativa útil y eficiente para la difusión del empleo de la firma digital en el sector público.

Que la Administración Pública Nacional no puede permanecer ajena a los avances tecnológicos y al empleo de los nuevos medios que provee el mercado, especialmente cuando contribuyen a aumentar la productividad de sus organismos, a optimizar el manejo de la información y reducir los costos de almacenamiento y el traslado de papel.

Que la tecnología necesaria para otorgar seguridad a los documentos digitales, así como el intercambio de información digital, se encuentra actualmente disponible, habiendo alcanzado un razonable grado de confiabilidad y seguridad.

Que resulta conveniente brindar el marco normativo que favorezca el empleo y difusión de aquellas tecnologías en el ámbito de la Administración Pública Nacional.

Que es competencia de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, dictar el marco regulatorio para el establecimiento de las políticas sobre tecnologías referidas a informática, teleinformática, tecnologías multimedios, instalaciones y comunicaciones asociadas y otros medios y sistemas electrónicos, conforme a lo establecido en el Anexo II del Decreto Nº 660/96, modificado por el Artículo 2º del Decreto Nº 998/96.

Por ello,

LA SECRETARIA DE LA FUNCION PUBLICA DE LA JEFATURA DE GABINETE DE MINISTROS

RESUELVE:

Artículo 1º Adherir y adoptar como propias las conclusiones aprobadas mediante el acta de fecha 30 de Diciembre de 1996 por el SUBCOMITE DE CRIPTOGRAFIA Y FIRMA DIGITAL DEL COMITE DE USUARIOS DE PROCESAMIENTO DE IMAGENES (C.U.P.I.), y que como Anexo es parte integrante de la presente Resolución.

Artículo 2º Autorizar al empleo en el ámbito de la Administración Pública Nacional de la tecnología enunciada en el Anexo aludido en el artículo precedente, para la promoción y difusión del documento y firma digitales, en los términos y con los alcances allí definidos.

Artículo 3º Comuníquese, publíquese conjuntamente con su Anexo, dese a la Dirección Nacional de Registro Oficial y archívese. – Claudia E. Bello.

ANEXO

CONCLUSIONES FINALES DEL SUBCOMITE DE CRIPTOGRAFIA Y FIRMA DIGITAL ACERCA DE LAS PAUTAS TECNICAS EN MATERIA DE NORMATIVA DE FIRMA DIGITAL, DE FECHA 30 DE DICIEMBRE DE 1996

ACTA

En Buenos Aires, a los treinta días de diciembre de 1996, en el Salón de Comisiones del Banco Central de la República Argentina, se reunieron los integrantes del Subcomité de Criptografía y Firma Digital, con el fin de aprobar las conclusiones finales acerca de las pautas técnicas que deberían tenerse en cuenta en la normativa de firma digital. Luego de un intercambio de opiniones se aprueba el documento que se agrega como Anexo.

Las conclusiones aludidas serán remitidas al Comité de Usuarios de Procesamiento de Imágenes (C.U.P.I.) para su posterior conocimiento.

No siendo para más, firman los presentes en el lugar y fecha indicados en el ancabezamiento a las 14,00 hs.:

Viviana ALMADA

Armando CARRATALA

Beatriz GARCIA

Andrés HAL

María P. PRANDINI

Alejandro ROMAN

Raúl P. SARDU

Hugo SCOLNIK

Julio A. TULIAN

Alejandro G. VAL

Luis YANUZZIO

NORMATIVA SOBRE FIRMA DIGITAL

OBJETIVOS

1. Normar la equiparación de la firma digital a la firma ológrafa para permitir la digitalización y despapelización de los circuitos administrativos del Estado.

2. Crear las condiciones para el uso confiable del documento digital suscripto digitalmente en el ámbito del Sector Público.

3. Reducir el riesgo de fraude en la utilización de documentos digitales al suscribirlos digitalmente.

INTRODUCCIÓN

La necesidad de elevar la productividad del Estado, simplificando sus sistemas administrativos y de gestión y mejorando su transparencia, propicia la introducción de mecanismos informáticos a tal fin. Estos mecanismos informáticos, como por ejemplo el correo electrónico y la gestión de formularios electrónicos (workflow) utilizan al documento digital (mensaje, registro o archivo informático) como principal medio de almacenamiento y transporte de la información.

Ciertos procedimientos administrativos manejan documentos cuya información debe ser oponible a terceros. Al informatizar dichos procedimientos, se impone a su vez que los documentos digitales producidos en consecuencia, sean también oponibles a terceros. Esto sólo puede lograrse mediante el empleo de la firma digital sustentada por un marco normativo apropiado que equipare la firma digital a la firma ológrafa.

REQUISITOS DE LA NORMATIVA

De los documentos digitales oponibles a terceros

La oponibilidad frente a terceros de un documento digital requiere simultáneamente de la identificación del autor y la garantía de integridad de su contenido, lo cual únicamente puede lograrse mediante la firma digital y según mecanismos apropiados.

Consecuencias de la omisión en la normativa del requisito de utilización de firma digital a través de mecanismos apropiados: La ausencia de esta precisión acarreará la falta de garantía suficiente de la identificación del autor y la integridad del contenido del documento, por lo que la utilización de otros mecanismos que no brinden la misma garantía, imposibilitarían que la documentación fuera oponible a terceros.

De la equiparación de la firma digital a la firma ológrafa

Este punto constituye la esencia de la normativa, al permitir que quienes opten por utilizar documentos digitales suscriptos digitalmente obtengan garantías legales similares a las que brinda la firma ológrafa sobre el soporte papel.

La firma ológrafa permite simultáneamente identificar a su autor así como imputarle la autoría del texto que precede a la misma. Por ello, el mecanismo de firma digital a ser utilizado deberá cumplir con estos requisitos básicos de, simultáneamente identificar al autor, y asegurar la integridad del contenido.

Consecuencias de la omisión de equiparar la firma digital a la firma ológrafa: Sin esta equiparación en la normativa, el documento digital suscripto digitalmente no sería oponible a terceros, imposibilitándose así las iniciativas de modernización tecnológica, informatización y despapelización del Estado.

De la elección de la criptografía asimétrica como medio para instrumentar la firma digital

La criptografía asimétrica (también denominada de clave pública) constituye el único método actualmente capaz de implementar la firma digital, pues cumple con las características esenciales de la firma ológrafa, es decir que permite simultáneamente identificar en forma inequívoca al autor y verificar indubitablemente que el mensaje no ha sido alterado desde el momento de su firma (integridad), en la medida en que se hayan tomado todos los recaudos necesarios para una buena implementación.

El mecanismo de clave pública es el único que no requiere la divulgación de la clave privada (secreta) utilizada por el firmante para suscribir o comprobar la firma digital de un documento, por lo que constituye el único sistema capaz de dar lugar a una firma digital que, en el marco de una adecuada normativa, sea oponible a terceros.

Consecuencias de la omisión del requerimiento de criptografía de clave pública en la normativa: En la actualidad, para documentos digitales, ningún otro mecanismo permite simultáneamente identificar en forma inequívoca al autor y verificar que el mensaje no ha sido alterado desde el momento de su firma (integridad), con lo cual la firma digital no podría equipararse con la ológrafa y el documento digital no sería oponible a terceros de omitirse la metodología de criptografía de clave pública (asimétrica) en la regulación legal.

De las autoridades certificantes de claves públicas y de los certificados de clave pública

La autoridad certificante de claves públicas certifica la correspondencia entre una clave pública y la persona física o jurídica titular de la misma, mediante la emisión de un certificado de clave pública. Este certificado permite identificar inequívocamente al firmante del documento digital, evitando así la posibilidad del repudio.

Consecuencias de la omisión del requerimiento de autoridades certificantes de claves públicas y de certificados de clave pública: Al no poder asociar una clave pública con su titular, no sería posible identificar inequívocamente al firmante de un documento digital, por lo que el documento sería repudiable y el sistema carecería de confiabilidad.

Aspectos a tener en cuenta para elaborar la normativa:

En cuanto a las autoridades certificantes:

– Enunciar los requisitos que debe reunir una entidad para actuar como autoridad certificante.

– Establecer las causales de revocación o suspensión de la licencia de una autoridad certificante.

– Establecer en todos los casos la publicidad de sus procedimientos de modo de permitir su conocimiento por terceros.

– Establecer las bases de control a través de auditorías, a fin de evaluar la gestión de las autoridades certificantes.

– Determinar los alcances de la responsabilidad por la actuación de las partes involucradas (autoridades certificantes, titulares de pares de claves, y organismos de contralor).

En cuanto a los certificados de clave pública:

– Enunciar los requisitos de normalización de acuerdo a estándares internacionales.

– Determinar las condiciones de vigencia de los certificados de clave pública (emisión, aceptación, revocación, suspensión y expiración).

– Establecer los derechos y obligaciones del suscriptor y de la autoridad certificante emisora.

– Establecer los requisitos de publicación de los certificados y las listas de certificados revocados o suspendidos.

Justificación de mencionar en la normativa a un único mecanismo de firma digital:

El objetivo en la redacción de una normativa de esta especie debe ser el contemplar estándares tecnológicos de mínima que aseguren la determinación de la autoría de la firma digital y la inalterabilidad del contenido del documento digital así suscripto.

La propuesta de utilizar criptografía de clave pública no es restrictiva por las siguientes razones:

– Aunque en el futuro se desarrollen otros mecanismos para implementar firmas digitales, las futuras normativas que los implementen no tienen necesariamente que invalidar el de clave pública, de la misma manera que la normativa que se propone no invalidará la utilización de la firma ológrafa.

– Una normativa de este alcance no debe hacer referencia a una tecnología en particular. El mecanismo de clave pública no es una tecnología, sino una familia de métodos matemáticos (algoritmos) que admiten distintas implementaciones tanto en hardware como en software. De la misma manera, la implementación de la firma ológrafa no se relaciona con el tipo de papel utilizado.

– El requerimiento de clave pública no es restrictivo puesto que especifica a una familia de algoritmos criptográficos y no a uno en particular, permitiendo la utilización posterior de nuevos algoritmos mas eficientes a medida que sean descubiertos y probados.

– Los mecanismos criptográficos simétricos por su naturaleza, requieren que la misma clave secreta sea utilizada para encriptar como para desencriptar un documento. Al necesariamente tener que compartir la clave secreta, la misma deja de serlo por lo que cualquier documento digital, «firmado» digitalmente por medio de un mecanismo criptográfico simétrico, sería pasible de repudio. De hecho no existe ninguna posibilidad lógica de implementar la firma digital basada en mecanismos criptográficos simétiricos. Como consecuencia, para evitar el problema del repudio, en 1977 se idearon los mecanismos criptográficos asimétricos (también denominados «de clave pública») que emplean DOS (2) claves distintas pero íntimamente relacionadas: la clave privada, que se mantiene secreta, nunca se divulga y se utiliza para firmar documentos digitales, y la clave pública que se publica y se utiliza para verificar las firmas basadas en la correspondiente clave privada.

– El Comité de Seguridad de la Información de la Sección de Ciencia y Tecnología de la Asociación de Abogados de los E.E.U.U. («Information Security Committee, Science & Technology Section, American Bar Association») en su Normativa de Firma Digital recomienda la utilización del mecanismo de clave pública como única alternativa para otorgarle a la firma digital el tratamiento de la firma ológrafa. Dicho Comité está integrado por representantes de los siguientes organismos gubernamentales:

– Canada Department of Justice (Departamento de Justicia de Canadá)

– Commonwealth of Massachusetts (Estado de Massachusetts, EE.UU:)

– Georgia Secretary of State Office (Secretaría de Estado de Georgia, EE.UU.)

– Government of Quebec (Gobierno de Quebec, Canadá)

– Los Angeles County (Condado de Los Angeles, California, EE.UU.)

– NASA North American Space Administration (Administración Norteamericana del Espacio)

– NSA National Security Agency (Administración Nacional de Seguridad, EE.UU.)

– State of Utah (Estado de Utah, EE.UU.)

– U.S. Department of State (Departamento de Estado EE.UU.)

– U.S. Postal Inspection Service (Servicio de Inspección Postal, EE.UU.)

– U.S. Social Security Administration (Administración de la Seguridad Social de los EE.UU.)

– Utah Attorney General´s Office (Fiscalía del Estado de Utah, EE.UU.)

y de las siguientes instituciones:

– American Society of Notaries Public (Sociedad Americana de Notarios Públicos)

– Chambres des Notaries du Quebec (Cámaras de Comercio de Quebec, Canadá)

– Fedération Nationale des Chambres de Commerce et d'Industrie de Belgique (Federación Nacional de Cámaras de Comercio y de Industria de Bélgica)

– International Law Institute (Instituto Internacional de Leyes)

– International Union of Latin Notaries- Italy (Unión Internacional de Notarios Latinos – Italia)

– National Notary Association (Asociación Nacional de Notarios, EE.UU.)

– Notaries Society of England (Asociación de Notarios de Inglaterra)

– Society of Public Notaries of london (Asociación de Notarios Públicos de Londres, Inglaterra)

– U.S. Council for International Business (Consejo de Comercio Internacional de los EE.UU.)

– Université de Montréal (Universidad de Montreal, Canadá).

– University of Miami Law School (Universidad de Derecho de Miami, Florida, EE.UU.)

– Múltiples estándares internacionales de firma digital requieren el mecanismo de clave pública.

– El mecanismo de clave pública tiene amplia difusión y no está relacionado con ningún proveedor o país en particular.

CONCLUSIONES

La normativa sobre firma digital permitirá:

– la digitalización de cualquier circuito de información,

– la generalización de la utilización de firma digital a través de la adopción de pautas uniformes que permitan verificar la autenticidad e integridad de los documentos digitales que requieran firma para su validez, y

– un menor riesgo de fraude en los documentos digitales suscriptos digitalmente.

Anexo – Firma Digital – Aspectos Técnicos Relevantes

(Fuente: Adaptación de http://www.verisign.com/faqs/nota_faq.html Appendix 1)

La criptografía de clave pública utiliza un par de claves. Cada clave efectúa una transformación unívoca sobre los datos y es función inversa de la otra clave: sólo una clave puede «deshacer» lo que su par ha «hecho». El poseedor de una clave pública la da a conocer, manteniendo secreta su clave privada. Para enviar un mensaje confidencial, el autor lo codifica (encripta) con la clave pública del receptor. El mensaje encriptado de esa manera sólo puede ser decodificado (desencriptado) con la clave privada del receptor. En sentido inverso, el emisor puede codificar sus datos con su clave privada, o sea que la clave puede ser utilizada en ambas direcciones. Esta es la base de la «firma digital», ya que si un usuario puede desencriptar un mensaje con la clave pública de una persona, sólo esta última pudo haber usado su clave privada inicialmente para encriptarlo. Partiendo de que sólo el poseedor de la clave privada puede utilizarla, el mensaje encriptado se transforma en una firma digital, es decir un documento que ninguna otra persona pudo haber generado.

Una firma digital se crea aplicando un algoritmo de «hash» (proceso que permite obtener un mensaje de longitud menor a partir de un documento, siendo prácticamente imposible encontrar otro mensaje que genere el mismo resumen) sobre un mensaje de texto. El resultado de este proceso es un digesto o resumen. Luego se encripta el digesto con la clave privada del individuo que envía el mensaje, transformándolo en una firma digital. Esta firma sólo puede ser desencriptada con la clave pública del mismo individuo. El receptor del mensaje desencripta la firma digital y luego recalcula el digesto. Luego éste nuevo digesto es comparado con el digesto del mensaje contenido en la firma. Si ambos coinciden, se concluye que el mensaje no ha sido alterado. Al utilizar la clave pública del emisor para verificar la firma, se comprueba que el texto tiene que haber sido firmado con la clave privada conocida únicamente por el emisor. Este proceso de autenticación se incorporará en todas las aplicaciones consideradas seguras.

Los usuarios de estas tecnologías de firma digital generalmente anexan su clave pública al documento enviado, de manera tal que el receptor no necesita localizar dicha clave en un repositorio de claves públicas. Pero ¿cómo puede el receptor asegurarse de que esa clave pública, o inclusive del directorio público, pertenece realmente a la persona que dice poseerla? ¿Puede un tercero ingresar en la red como un usuario legítimo, esperando y observando como otros, sin saberlo, envían documentos sensibles y/o secretos a una cuenta falsa creada por ese impostor?.

La solución es el certificado de clave pública, una especie de «pasaporte» o identificador digital. El certificado (que contiene la clave pública del usuario) ha sido firmado por alguien confiable: una Autoridad Certificante. El notario público da sustento al proceso de claves públicas dando fe de la identidad del poseedor de la clave pública en la solicitud de aprobación del firmante.

El artículo 20.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece que la creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente.

El Decreto 60/1996 de 2 agosto, por el que se establece la estructura orgánica de la Consejería de Economía y Hacienda, desarrolla en sus artículos 46.1.d y 49.1.d las competencias relacionadas con la Protección de Datos Personales en el ámbito de la Administración Regional.

En cumplimiento de sus disposiciones y en uso de las atribuciones que me están conferidas, dispongo:

Artículo 1.Objeto y ámbito de aplicación.

1.1.-Esta orden tiene por objeto autorizar la creación y regular el uso del fichero órganos de gobierno y dirección de las Cajas de Ahorros con domicilio social en la Comunidad Autónoma de la Región de Murcia, cuya finalidad es el tratamiento de datos relativos al nombramiento, cese y reelección de los miembros de los órganos de gobierno y dirección de las Cajas de Ahorros con domicilio social en la Comunidad Autónoma de la Región de Murcia, para conocimiento de la Consejería de Economía y Hacienda.

1.2.-El fichero contendrá datos de carácter personal de los miembros de los órganos de gobierno y dirección de las Cajas de Ahorros con domicilio social en la Comunidad Autónoma de la Región de Murcia, es decir, miembros de la Asamblea General, vocales del Consejo de Administración, miembros de la Comisión de Control y Director General o cargo asimilado, así como cónyuge, hijos y ascendientes de los anteriores, y sociedades en las que tales miembros o sus familiares participen en el capital u ocupen cargos.

1.3.-El titular del órgano administrativo responsable del fichero, en los términos establecidos por la Ley Orgánica de Protección de Datos de Carácter Personal será el Director General de Presupuestos, Programación y Fondos Europeos, quien facilitará el derecho de los interesados a solicitar y obtener de forma gratuita, información de los datos de carácter personal que estén sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Artículo 2.Usos previstos de los ficheros con datos de carácter personal.

El fichero especificado en el artículo anterior se destinará a los siguientes usos: expedición de certificados relativos a los vocales del Consejo de Administración, miembros de la Comisión de Control y Director General o cargo asimilado de tales entidades, en los que únicamente se hará constar la identidad de la persona, su grupo de representación, el cargo y las fechas de nombramiento y cese.

Artículo 3.Descripción de los datos de carácter personal incluidos en los ficheros y procedimiento de recogida de los mismos.

3.1.-Los datos de carácter personal relativos a las personas físicas que se citan en el

Artículo 1.2 serán los siguientes:

DATOS DE CARÁCTER IDENTIFICATIVO:

NIF/DNI.

Nombre y apellidos.

Dirección (Postal, electrónica).

Firma/huella digitalizada.

DATOS DE CARACTERÍSTICAS PERSONALES:

Datos de estado civil.

Datos de familia.

Fecha de Nacimiento.

Lugar de Nacimiento.

Nacionalidad.

Municipio de residencia.

Apellidos y nombre del cónyuge.

Apellidos y nombre del padre.

Apellidos y nombre de la madre.

Apellidos y nombre de los hijos.

DATOS DE DETALLES DE EMPLEO:

Cargo.

Fecha de nombramiento.

Grupo de representación.

Corporación Municipal.

Fecha de incorporación a la Asamblea General.

Fecha de vencimiento del mandato.

DATOS ECONÓMICO-FINANCIEROS Y DE SEGUROS:

Sociedades en las que el declarante, su cónyuge, ascendientes o descendientes tienen participación en el capital.

Sociedades en las que el declarante, su cónyuge, ascendientes o descendientes, sin participar en el capital, ocupen cargos de presidente, consejero, administrador, gerente, director general o asimilado.

3.2.-El procedimiento de recogida de los datos de carácter personal será por medio de la remisión de los mismos por parte de las Cajas de Ahorros con domicilio social en la Comunidad Autónoma de la Región de Murcia.

Artículo 4.Servicio o Unidad ante el que pueden ejercitarse los derechos de acceso, rectificación y cancelación.

Los afectados podrán ejercitar los derechos de acceso, rectificación y cancelación sobre los datos de carácter personal contenidos en los ficheros, cumpliendo los requisitos previstos en la Ley 15/1999 ante el siguiente órgano administrativo:

Consejería: ECONOMÍA Y HACIENDA.

Dirección General/Organismo Público: DIRECCIÓN GENERAL DE PRESUPUESTOS, PROGRAMACIÓN Y FONDOS EUROPEOS.

Responsable del fichero: DIRECTOR GENERAL DE PRESUPUESTOS, PROGRAMACIÓN Y FONDOS EUROPEOS.

CIF: S301101I

Dirección: Avenida Teniente Flomesta, S/N – 3ª Planta.

Localidad: Murcia

Código Postal: 30.001

Provincia: Murcia

Teléfono: 968 362612 – 968 362613

Fax: 968 362617

Artículo 5.Cesión de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.

No está prevista una cesión o comunicación de los datos de carácter personal contenidos en el fichero órganos de gobierno y dirección de las Cajas de Ahorros con domicilio social en la Comunidad Autónoma de Murcia.

Artículo 6.Medidas de seguridad.

De acuerdo con el Real Decreto 994/1999 de 11 de junio y atendiendo a la naturaleza de la información tratada en relación con la necesidad de garantizar la confidencialidad y la integridad de la información, se establece para el fichero órganos de gobierno y dirección de las Cajas de Ahorros con domicilio social en la Comunidad Autónoma de Murcia el nivel de seguridad básico.

Por tanto y por parte del responsable del fichero se elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal, donde se reflejarán todos y cada uno de los aspectos señalados en el artículo 8.2 del mencionado Real Decreto.

Artículo 7.Principio de finalidad en la protección de datos.

7.1.-Los responsables de los ficheros con datos de carácter personal de referencia, adoptarán las medidas que resulten necesarias para asegurar que dichos ficheros se usan para las finalidades para las que fueron recogidos, que son las que se concretan en esta Orden.

7.2.-Los responsables de los ficheros con datos de carácter personal advertirán expresamente a los cesionarios de datos de carácter personal, de su obligación de dedicarlos exclusivamente a la finalidad para la que se ceden, de conformidad con el artículo 11.5 en relación con el 4.2 de la Ley Orgánica 15/1999.

DISPOSICIÓN FINAL

La presente Orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial de la Región de Murcia».

VISTO la Actuación SIGEA nº 10050-5-2012 del Registro de esta Administración Federal, y

CONSIDERANDO:

Que el Artículo 24 de la Resolución General nº 1.415, sus modificatorias y complementarias, establece que los contribuyentes y/o responsables que se encuentran obligados a emitir comprobantes respaldatorios de sus operaciones con consumidores finales, deben exhibir en sus locales de venta, locación o prestación de servicios -en un lugar visible, destacado y próximo a aquel en que se realice el pago- el Formulario nº 960.

Que para la consecución de los objetivos propuestos por el Organismo para el período 2011-2015, en cuanto a potenciar las capacidades de servicio y control mediante la implementación de nuevas tecnologías informáticas y de comunicación, se torna conveniente reemplazar el mencionado formulario por uno «interactivo» que tenga impreso un código de respuesta rápida (QR).

Que asimismo, resulta necesario efectuar adecuaciones a las Resoluciones Generales nº 2.676 y su complementaria y nº 2.746, sus modificatorias y complementaria.

Que han tomado la intervención que les compete la Dirección de Legislación, las Subdirecciones Generales de Asuntos Jurídicos, de Fiscalización, de Planificación, de Servicios al Contribuyente, de Recaudación y de Sistemas y Telecomunicaciones, y la Dirección General Impositiva.

Que la presente se dicta en ejercicio de las facultades conferidas por el Artículo 7° del Decreto nº 618 del 10 de julio de 1997, sus modificatorios y sus complementarios.

Por ello,

EL ADMINISTRADOR FEDERAL DE LA ADMINISTRACION FEDERAL DE INGRESOS PUBLICOS RESUELVE:

Artículo 1º.- Modifícase la Resolución General nº 1.415, sus modificatorias y complementarias, en la forma que se indica a continuación:

1. Sustitúyese el art. 24, por el siguiente:

«Artículo 24.- Los contribuyentes y/o responsables que, por las operaciones de venta de bienes muebles o locaciones o prestaciones de servicios realizadas con consumidores finales, se encuentran obligados a emitir facturas o documentos equivalentes, deberán exhibir el Formulario nº 960/NM – «Data Fiscal», en sus locales de venta, locación o prestación de servicios -incluyendo lugares descubiertos-, salas de espera, oficinas o áreas de recepción y demás ámbitos similares.».

2. Sustitúyese el Artículo 25, por el siguiente:

«Artículo 25.- El Formulario nº 960/NM – «Data Fiscal» deberá ubicarse en un lugar visible y destacado próximo a aquel en el que se realice el pago de la operación respectiva, cualquiera sea su forma, de manera tal que permita acercar un dispositivo móvil (teléfono inteligente, «notebook», «netbook», tableta, etc.) provisto de cámara y con acceso a «Internet», a una distancia máxima de Un (1) metro para proceder a la lectura del código de respuesta rápida (QR) impreso en el mismo, por parte del público en general y de los agentes de esta Administración Federal, sin que otros formularios, carteles, avisos, letreros, etc., impidan su rápida localización.

Cuando se utilicen máquinas registradoras -emisoras de tique o vales- o controladores fiscales, autorizadas u homologados, respectivamente, por este Organismo, lo dispuesto precedentemente se cumplirá exhibiendo UN (1) Formulario nº 960/NM – «Data Fiscal» por cada máquina o controlador fiscal instalado.

Quienes posean vidriera en el local o establecimiento deberán, además, exhibir dicho formulario contra el vidrio, en un lugar visible para el público desde el exterior del local o establecimiento, pudiendo el mismo ser de una dimensión menor a la indicada en el art. 26 (hasta el tamaño A6).

El Formulario nº 960/NM – «Data Fiscal» no podrá ser sustituido por ejemplares diferentes a los generados mediante el procedimiento establecido en el art. 26 y, en caso de constatarse su adulteración, el responsable será pasible de las sanciones previstas en la Ley nº 11.683, texto ordenado en 1998 y sus modificaciones.

Los sitios «web» de los contribuyentes y/o responsables que realicen operaciones de venta de cosas muebles, locaciones y prestaciones de obras y/o servicios por cuenta propia y/o de terceros, deberán colocar en un lugar visible de su página principal, el logo «Formulario nº 960/NM – «Data Fiscal», con su correspondiente hipervínculo que esta Administración Federal proveerá a tal efecto. El procedimiento a cumplir y las especificaciones técnicas correspondientes, estarán disponibles en el micrositio (http://www.afip.gob.ar/f960NM).

El Formulario nº 960/NM – «Data Fiscal» deberá sustituirse cuando se modifique la situación fiscal del responsable (vgr. cambio del domicilio declarado, de categoría en el Régimen Simplificado para Pequeños Contribuyentes (RS), de condición frente al impuesto al valor agregado), o cuando su deterioro obstaculice o impida la lectura del código de respuesta rápida (QR).».

3. Sustitúyese el art. 26, por el siguiente:

«Artículo 26.- Para obtener el Formulario nº 960/NM – «Data Fiscal» se deberá ingresar al servicio denominado «Formulario nº 960/NM» del sitio «web» institucional (http://www.afip.gob.ar), mediante la utilización de la «Clave Fiscal» con Nivel de Seguridad 2 o superior, tramitada de acuerdo con el procedimiento dispuesto por la Resolución General nº 2.239, su modificatoria y sus complementarias.

La impresión del Formulario nº 960/NM – «Data Fiscal» se efectuará sobre papel tamaño A4, de gramaje no menor a OCHENTA (80) gramos y respetando sus características en cuanto a diseño, formato, medidas y colores, sin perjuicio de imprimir otros ejemplares del mismo tenor en tamaños diferentes que podrán ser exhibidos donde el contribuyente disponga, a efectos de facilitar su lectura.».

Artículo 2º.- La solicitud de emisión del Formulario nº 960/NM – «Data Fiscal» se realizará por cada domicilio comercial, el que deberá estar declarado previamente en el «Sistema Registral» como local o establecimiento, excepto cuando el mismo corresponda al domicilio fiscal.

Las actualizaciones de domicilios deberán realizarse ingresando con «Clave Fiscal» al servicio «Sistema Registral», opción «Registro Tributario» «F. 420/D – Declaración de Domicilios» tipo de domicilio «Fiscal» o de «Locales o Establecimientos».

Artículo 3º.- Los contribuyentes obligados a exhibir el Formulario nº 960 deberán sustituirlo por el Formulario nº 960/NM – «Data Fiscal», el cual tendrá impreso un código de respuesta rápida (QR) que permitirá al público en general, mediante el uso de un dispositivo móvil (teléfono inteligente, «notebook», «netbook», tableta, etc.) provisto de cámara y con acceso a «Internet», acceder a los datos que, a título enunciativo, se consignan en el Anexo I de la presente.

Asimismo, en forma previa a la impresión del formulario, los obligados podrán visualizar la información que brindará el código de respuesta rápida (QR) ingresando con su «Clave Fiscal» al servicio denominado «Formulario nº 960/NM».

El público en general podrá reportar a esta Administración Federal las irregularidades que detecte, siguiendo el procedimiento descripto en el micrositio (http://www.afip.gob.ar/f960NM) disponible en el sitio «web» institucional.

Artículo 4º.- Modifícase la Resolución General nº 2.676 y su complementaria, en la forma que se indica a continuación:

1.- Déjase sin efecto el Artículo 3°.

2. Sustitúyense los incisos c) y d) del Artículo 9°, por los siguientes:

«c) Cumplimentado el reempadronamiento, el contribuyente deberá imprimir la constancia de «Reempadronamiento de Controladores Fiscales».

d) Dicha constancia se archivará en el Libro Unico de Registro del Controlador Fiscal.».

Artículo 5º.- La obligación dispuesta en el Artículo 25 de la Ley nº 26.565, se considerará cumplida mediante la exhibición del Formulario nº 960/NM – «Data Fiscal».

Artículo 6º.- Apruébanse el Anexo I y el Formulario nº 960/NM – «Data Fiscal» que como Anexo II, forman parte de la presente.

Artículo 7º.- Las disposiciones establecidas en esta resolución general entrarán en vigencia a partir del día de su publicación en el Boletín Oficial, inclusive, fecha en la que estarán disponibles en el sitio «web» institucional (http://www.afip.gob.ar) el servicio denominado «Formulario nº 960/NM» y el micrositio (http://www.afip.gob.ar/f960NM).

No obstante lo dispuesto en el párrafo anterior, la obligación de exhibir el Formulario nº 960/NM – «Data Fiscal» deberá cumplirse a partir del día del mes de octubre de 2012 que, de acuerdo con la terminación de la Clave Unica de Identificación Tributaria (C.U.I.T.) del responsable, se fija a continuación:

Terminación de C.U.I.T. – Día

0 – 2 de octubre de 2012, inclusive

1 – 4 de octubre de 2012, inclusive

2 – 10 de octubre de 2012, inclusive

3 – 12 de octubre de 2012, inclusive

4 – 16 de octubre de 2012, inclusive

5 – 18 de octubre de 2012, inclusive

6 – 22 de octubre de 2012, inclusive

7 – 24 de octubre de 2012, inclusive

8 – 26 de octubre de 2012, inclusive

9 – 31 de octubre de 2012, inclusive

Artículo 8º.- Derógase el Artículo 28 de la Resolución General nº 2.746, sus modificatorias y complementaria, a partir de la vigencia de la obligación establecida en el segundo párrafo del artículo anterior.

Artículo 9º.- Regístrese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

Ricardo Echegaray.

Anexo I　-　

(Artículo 3)

Datos del Código de Respuesta Rápida (QR)

Los controles realizados al contribuyente consultado arrojaron los siguientes resultados:

Apellido y nombres, razón social o denominación – CUIT …….. o

Tiene la CUIT INACTIVA

Desarrolla las siguientes actividades:
Su domicilio fiscal se encuentra incompleto o está inválido
Está inscripto en el IVA o
Está exento en el IVA o
Es no alcanzado en el IVA

Tiene presentadas sus DDJJ de IVA o
No presentó todas sus DDJJ de IVA

Está por debajo del promedio de IVA que paga el sector económico al que pertenece
Está inscripto en el impuesto a las ganancias o
No está inscripto en el impuesto a las ganancias o

Está exento en el impuesto a las ganancias
Tiene presentadas sus DDJJ de ganancias o
No presentó todas sus DDJJ de ganancias

Es monotributista categoría: ……. obtiene ingresos de hasta $ ……….
Está al día con sus pagos de monotributo o adeuda pagos de monotributo
Ultimo pago de monotributo: Fecha …/…/…. Monto: $ ……….

Cumplió con la presentación de la DDJJ informativa de monotributo o
No presentó su DDJJ informativa de monotributo

Tiene presentadas sus DDJJ como empleador o
No presentó todas sus DDJJ como empleador

Declara ……. Empleados en el período mm/aaaa
Está dado de baja en el Registro de Importadores/Exportadores o
Está suspendido en el Registro de Importadores/Exportadores

Tuvo …….. clausuras
Integra la Base de Facturas Apócrifas
Tuvo fiscalizaciones con ajustes
Tiene causas penales
Tiene juicios de ejecución fiscal en trámite y/o
Tiene juicios de ejecución fiscal en trámite paralizados

Está incluido en la Central de Deudores del BCRA
Tiene comprobantes autorizados por AFIP o
No tiene comprobantes autorizados por AFIP

COMISIÓN EUROPEA

DIRECCIÓN GENERAL XV

MERCADO INTERIOR Y SERVICIOS FINANCIEROS

Libre Circulación de la Información, Derecho de Sociedades e Información Financiera

Libre circulación de la información, protección de datos y sus aspectos internacionales

XV D/5025/97 – ES/Final

WP 3 Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales

PRIMER INFORME ANUAL

Aprobado por el Grupo de Trabajo el 25 de junio de 1997

EL GRUPO DE TRABAJO DE PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA

AL TRATAMIENTO DE DATOS PERSONALES

Creado mediante la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 19951,

Vistos el artículo 29 y el apartado 6 del artículo 30,

Vistas las normas de procedimiento y en especial, sus artículos 12,13 y 15,

Ha adoptado el presente informe anual.

1. INTRODUCCIÓN

El 24 de octubre de 1995, el Parlamento Europeo y el Consejo aprobaron la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante denominada «la Directiva»).2

La Directiva crea un marco europeo armonizado de normas en el ámbito denominado tradicionalmente «de protección de datos».

El Artículo 29 de la Directiva prevé la creación de un Grupo de protección de las personas en lo que respecta al tratamiento de datos personales. El Grupo de trabajo deberá presentar a la Comisión, al Parlamento Europeo y al Consejo un informe anual sobre el proceso de datos personales en la Comunidad y en los países terceros. Este informe será publicado.3

El primer informe cubre los principales acontecimientos en el ámbito de la protección de datos en 1996. La sección 2 resume la evolución en la Unión Europea, tanto en los

Estados miembros individuales como a nivel comunitario. La sección 3 trata el trabajo del Consejo de Europa. La sección 4 se ocupa de los principales acontecimientos en los países terceros, y la sección 5 hace referencia a otros acontecimientos internacionales.

2. EVOLUCIÓN DE LA SITUACIÓN EN LA UNIÓN EUROPEA

2.1 La Directiva

El proceso de aplicación de la Directiva se inició en 1996 en todos los Estados miembros y a nivel europeo. En la sección 2.1.1 se describen las funciones del grupo de trabajo y sus actividades de 1996; la sección 2.1.2 describe los procedimientos de incorporación de la Directiva a nivel nacional, y la sección 2.1.3 trata las acciones emprendidas por las

Instituciones Europeas en aplicación de las normas de la Directiva.

1 DO L 281 de 23/11/1995, p.31.

2 DO L 281 de 23/11/1995, p.31.

3 Apartado 6 del artículo 30 de la Directiva.

2.1.1 Grupo de Trabajo sobre protección de datos

El Grupo estará compuesto por representantes de las autoridades nacionales independientes responsables de la protección de datos4, un representante de la Comisión, e incluirá un representante de las autoridades de las Instituciones Europeas responsables

de la protección de datos, a medida y en el momento en que se creen estas autoridades.

Al poner en común la capacidad colectiva de las autoridades nacionales, el Grupo fomentará un enfoque coherente en la aplicación de los amplios principios de la Directiva y asesorará a la Comisión sobre aspectos relativos a la protección de datos. En especial, deberá dar su opinión respecto del nivel de protección en la Unión y en países terceros, y puede hacer recomendaciones sobre todos los aspectos relativos a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

El Grupo se reunió por primera vez el 17 de enero de 1996. Los trabajos del Grupo se iniciaron tempranamente, con arreglo a la petición de las autoridades nacionales responsables de la protección de datos. El Sr. Peter J. Hustinx, Presidente de la autoridad neerlandesa de protección de datos (Registratiekamer) fue elegido presidente del Grupo. La Sra. Louise Cadoux, miembro de la autoridad francesa de protección de datos (Commission Nationale de l'Informatique et des Libertés) fue elegida vicepresidenta. El Grupo se reunió en cuatro ocasiones en 1996. Los debates se centraron en las transferencias de datos hacia países terceros y el nivel de protección en dichos países, en los procedimientos de notificación, en las excepciones a las normas sobre protección de datos y en la aplicación de la ley de protección de datos a los medios de comunicación, a la luz del requisito de la directiva de encontrar un equilibrio entre la libertad de expresión y el derecho a la vida privada. Posteriormente, se aprobó una recomendación sobre este tema en 1997.

2.1.2 Incorporación al derecho nacional y equivalencia del nivel de protección

Esta sección pretende realizar un informe del progreso de la incorporación de la Directiva al derecho nacional.

En Bélgica ya han comenzado los procedimientos parlamentarios de incorporación de la

Directiva al derecho nacional. La autoridad responsable de la protección de datos (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levenssfeer) emitió un dictamen sobre el proyecto de ley del Ministerio de Justicia. En 1996 se aprobaron varios reales decretos de aplicación de la Ley de 1992.

Estos reales decretos ya tienen en cuenta en la medida de lo posible las disposiciones de la Directiva.

En Dinamarca, el Ministro de Justicia creó en 1996 un comité que elaborará una propuesta de ley para incorporar la Directiva. Este comité, compuesto por representantes de organizaciones privadas y autoridades públicas, completará su trabajo para el 1 de julio de 1997 en la medida de lo posible. Su intención es presentar una propuesta en 4 En el Anexo 1 figura la lista de los miembros del Grupo de Trabajo. otoño de 1997. La autoridad danesa responsable de la protección de datos (Registertilsynet) está representada en el Comité.

El Ministerio de Justicia español creó un Comité encargado del trabajo de incorporación de la Directiva al derecho nacional. En octubre de 1996, la autoridad responsable de la protección de datos (Agencia de protección de datos) convocó una reunión de expertos que estudiaron aspectos específicos de la incorporación de la Directiva. Entre estos aspectos figuraban el impacto de la Directiva en el ordenamiento jurídico español, la comparación entre los principios y derechos recogidos en la actual ley sobre protección de datos (Ley Orgánica 5/1992) y los de la Directiva, y la libertad informática y la regulación de la transferencia internacional de datos personales.

El legislador federal es el responsable en primera instancia de la incorporación de la

Directiva al derecho alemán. Esta responsabilidad se extiende no sólo al ámbito público de la Federación, sino también al ámbito no público, donde más cambios pueden esperarse, en virtud del poder legislativo previsto en el artículo 74 de la Ley Básica. El Ministerio Federal de Interior desempeña una función primordial en la incorporación. No sólo la ley federal, sino también, fundamentalmente en el sector público, también las leyes de los Estados Federados sobre protección de datos deberán alinearse con las disposiciones de la Directiva. Además de las leyes generales sobre protección de datos, es necesario examinar un gran número de normas federales y de los estados federados en ámbitos específicos de la protección de datos. El Delegado del Gobierno Federal, los Delegados de los Estados Federados para la protección de datos y las autoridades de control para el sector no público han abordado la enmienda pendiente de la ley alemana de protección de datos como parte de sus respectivas responsabilidades. Mientras tanto, el Gobierno Federal ha presentado unas observaciones respecto a un proyecto de ley.

La ley griega de protección de datos (Ley 2472/97 sobre protección de las personas físicas en lo relativo al tratamiento de datos personales) fue aprobada por el Parlamento griego el 26.3.1997 y publicada el 10.4.1997. Ya está en vigor en lo que respecta a la designación y organización de la autoridad de protección de datos. En lo que respecta a las operaciones de tratamiento, los derechos de las personas físicas, etc., la ley entrará en vigor tras el nombramiento de los miembros de la Autoridad de Protección de Datos.

Con arreglo a las disposiciones de la ley, el Gobierno nombrará al Presidente de la Autoridad (ex officio un juez del Tribunal Supremo) y los seis miembros serán nombrados por el Parlamento. Estos nombramientos deberán tener lugar en el plazo de 60 días tras la publicación de la ley, esto es, el 10.6.1997.

En Francia, el Gobierno tiene la misión de preparar el proyecto de ley y en la actualidad está estudiando el tema. Aún no se conocen los resultados de estas reflexiones ni el momento en que se dispondrá de la nueva legislación. El Gobierno consultará a la autoridad francesa responsable de la protección de datos, la Commission Nationale de l'Informatique et des Libertés (CNIL), respecto de los primeros proyectos, tan pronto el Gobierno haya determinado su política con mayor precisión.

En Irlanda, la legislación sobre la protección de datos es competencia del Ministro de Justicia. El Ministro ha declarado que las medidas legislativas necesarias para hacer efectiva la Directiva, que exigirán modificar la Ley sobre Protección de Datos de 1988, se presentarán en cuanto sea posible, con el fin de que entre en vigor antes de octubre de 1998.

En Italia, el Gobierno presentó al Parlamento en junio de 1996 proyectos legislativos sobre protección de datos. La ley se aprobó el 31 de diciembre de 19965 y entró en vigor el 8 de mayo de 19976. El Parlamento autorizó al Gobierno7 a legislar por medio de un instrumento público con el fin de modificar y completar la ley de protección de datos para julio de 1998. En Luxemburgo, el Ministerio de Justicia es competente de la incorporación de la Directiva al derecho nacional. En la actualidad se está preparando un proyecto de ley que se discutirá con los principales representantes de los sectores público y privado antes de su adopción por el Gobierno. Los posteriores procedimientos presupuestarios se han previsto, en la medida de lo posible, para finales de 1997 o como muy tarde, principios de 1998.

El Gobierno de los Países Bajos ha manifestado su intención de sustituir la actual Ley de Protección de Datos, vigente desde el 1 de julio de 1989, por una Ley de Protección de Datos completamente nueva, acorde con la Directiva. En septiembre de 1996 se presentó un anteproyecto de ley para ser comentada por diversas organizaciones, incluida la Autoridad de Protección de Datos (Registratiekamer). Se espera que se presente al Consejo de Estado una versión modificada del proyecto de ley en primavera, y que se presente al Parlamento en otoño de 1997.

La Cancillería Federal de Austria (Österreichisches Bundeskanzleramt) está trabajando en la actualidad en un proyecto para la incorporación de la Directiva al derecho nacional, que se discutirá posteriormente en el Consejo de Protección de Datos y se presentará previsiblemente al Parlamento en otoño de 1997.

La Constitución de la República Portuguesa incluye disposiciones sobre protección de datos, que en algunos casos8 son más restrictivas que las disposiciones de la Directiva.

La incorporación de la Directiva exige por lo tanto revisar la Constitución. A raíz de una petición del comité parlamentario para la revisión de la Constitución, la autoridad portuguesa de protección de datos (Comiss‰o Nacional de Protecç‰o de Dados Pessoais Informatizados, CNPDPI) ha presentado una propuesta para la modificación de la disposición constitucional correspondiente. El acuerdo de los partidos políticos sobre las enmiendas a la Constitución se espera para principios de 1997.

5 Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana n§5, suplemento 3, 8/1/97.

6 Con excepción del tratamiento de datos en el marco del Tratado de Schengen, que entró en vigor el 8 de enero de 1997.

7 Legge 676/96, Gazzetta Ufficiale della Repubblica Italiana n§5, suplemento 3, 8/1/97.

8 Prohibición absoluta de tratamiento automatizado de determinadas categorías de datos tales como tendencias políticas, datos relativos a creencias religiosas, etc.

En Finlandia, un comité ad hoc para la incorporación de la Directiva (Henkilötietotoimikunta) comenzó sus trabajos en octubre de 1995 con la previsión de acabarlos en marzo de 19979.

En Suecia, el comité encargado del examen oficial de la ley de protección de datos (Datalagskommittën) propondrá en marzo de 1997nueva legislación sobre protección de datos que incorpore la Directiva.

El Ministerio del Interior del Reino Unido publicó en marzo de 1996 un documento de consulta sobre la aplicación de la Directiva. La consulta finalizó el 19 de julio de 1996.

El Secretario del RU para la protección de datos publicó asimismo, en abril de 1996, una serie de documentos, «Preguntas que hay que responder» destinados a fomentar el debate y proporcionar información básica para todos aquellos que deseasen responder a la consulta del Ministerio del Interior. Se distribuyeron casi 3000 copias a las partes interesadas. La respuesta formal del Secretario al documento de consulta del Ministerio del Interior, «Nuestras Respuestas», también se ha distribuido ampliamente desde julio.

El Ministerio del Interior ha publicado un resumen de las respuestas a su documento de consulta. Se ha prometido un proyecto de ley sobre protección de datos para la sesión del Parlamento 1997-1998.

2.1.3 Aplicación en las Instituciones Europeas

Las Instituciones Europeas, y en especial la Comisión, procesan habitualmente datos personales en el marco de sus actividades institucionales. La Comisión intercambia datos personales con los Estados miembros en el ámbito de la Política Agrícola Común, la administración del sistema aduanero, la gestión de los fondos estructurales, etc. Con el fin de no crear una laguna en la protección en Europa, la Comisión, al proponer la Directiva en 1990, declaró que también cumpliría los principios de la misma.

En el momento de la adopción de la Directiva, la Comisión y el Consejo se comprometieron, mediante una declaración pública, a cumplir la Directiva e invitaron a los demás organismos e Instituciones comunitarias a hacer otro tanto.10

En la Conferencia Intergubernamental para la revisión de los Tratados, los gobiernos neerlandés y griego plantearon la cuestión de la aplicación a las Instituciones Europeas de las normas sobre protección de datos.

El Parlamento Europeo, en su Resolución n§ 41 sobre el Programa de Trabajo de la Comisión, pidió a ésta que creara un organismo independiente de control sobre protección de datos.

9 El anteproyecto de la nueva ley está localizado en la World Wide Web

(http://www.vn.fi/om/suomi/tiedotteet/henkilottmk.html)

10 Esta declaración se publicó en un comunicado de prensa del Consejo de 24 de julio de 1995 (9012/95 (Press 226)).

Por su parte, la Comisión ha adoptado diversas medidas para garantizar que los principios de protección se aplican a los datos personales que procesa:

– En primer lugar, hay que señalar que la Comisión se considera vinculada por los principios contenidos en la Directiva, y que sus servicios están por lo tanto obligados a aplicarlos siempre que realicen tratamientos de datos personales. Esta protección se aplica a todos las personas físicas, ya sean funcionarios de la Comisión o terceros tales como prestadores de servicios, funcionarios de un Estado miembro que traten con la Comisión o cualquier otra persona que participe en la aplicación de la política comunitaria. Este compromiso de la Comisión se hizo público con la publicación de la mencionada declaración en 1990 y con la declaración conjunta con el Consejo en 1995.

– Mediante un memorándum de 9 de octubre de 1995, el Secretario General de la Comisión comunicó a todos los servicios unas orientaciones destinadas a facilitar la aplicación en la práctica de los principios contenidos en la Directiva. El documento muestra la forma en que estos principios se adecuan a las necesidades específicas de los servicios de la Comisión. La Secretaría General está aplicando una iniciativa destinada a aumentar la toma de conciencia en los servicios. Dado que estas orientaciones se concibieron como un documento interno que establecía disposiciones de organización para el trabajo de los servicios, no se han adoptado medidas específicas para publicarlas.

– Cada Dirección General o servicio deberá aplicar los principios establecidos en la Directiva. Evidentemente, esto se realiza en el contexto de medidas existentes, tales como las medidas de seguridad para las redes de tratamiento de datos en el seno de la Comisión y los artículos del Estatuto de los Funcionarios relativos a la protección. La DG XV (Mercado Interior y Servicios Financieros) ha designado un funcionario interno dedicado a la protección de datos, cuya función será controlar la aplicación correcta de las normas de protección de los datos personales tratados bajo su responsabilidad.

La Secretaría General del Consejo y la Unión Europea han elaborado normas internas destinadas a garantizar la aplicación de los principios de la Directiva a los datos personales tratados bajo su responsabilidad.

2.2 Evolución en el ámbito de la protección de datos. Actividades de las autoridades responsables de la protección de datos

La presente sección destaca los principales rasgos en el ámbito de la protección de datos, con especial referencia al trabajo de las autoridades nacionales responsables de la protección de datos tanto a nivel nacional (2.2.1) como internacional (2.2.2).

2.2.1 Ámbito nacional

La presente sección destaca algunas de las principales preguntas formuladas por las autoridades nacionales responsables de la protección de datos en el marco de la aplicación de la actual legislación sobre protección de datos. Puede obtenerse más información consultando a las autoridades nacionales responsables de la protección de datos que publican amplios informes anuales.

La autoridad belga para la protección de datos (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levenssfeer) emitió unos treinta dictámenes en aplicación de la ley sobre protección de datos de 8 de diciembre de 1992 y otras leyes con disposiciones sobre protección de datos. Varios de estos dictámenes hacían referencia al registro nacional de personas físicas. Las autoridades emitieron una recomendación destinada a los controladores de datos11 y trataron varios cientos de peticiones de información y unas cuarenta reclamaciones. Una de las principales actividades en 1996 fue la gestión de nuevas notificaciones. El plazo límite para notificar las operaciones de tratamiento existentes era el 1 de junio de 1996. Además de las 2000 existentes, se recibieron más de 7500 notificaciones.

En Dinamarca, entró en vigor el 1 de enero de 1997 una pequeña modificación a la ley sobre los registros a cargo de las autoridades públicas, por la que se amplía el derecho de las autoridades públicas a transmitir a agencias privadas de evaluación de solvencia datos sobre las deudas debidas a dichas autoridades.

Un caso especialmente importante tratado en 1996 por la autoridad responsable de la protección de datos afectó a la utilización de Internet por parte de las autoridades públicas para la revelación de datos sobre posesión, direcciones, propiedad y evaluación de todos los bienes inmuebles de Dinamarca. La autoridad en cuestión opinó que la publicación en Internet no violaba la legislación sobre protección de datos y aceptó la publicación en Internet de datos ya accesibles al público. El enfoque adoptado para llegar a la decisión fue que la publicación en una página Web de Internet era equivalente a la publicación por cualquier otro medio.

La autoridad dio su opinión sobre legislación nueva, incluida una propuesta de ley sobre la utilización de datos relativos a la salud para cuestiones de empleo, sobre el Convenio Europol, el proyecto del Convenio Eurodac y el Convenio del Consejo de Europa sobre derechos humanos y biomedicina. Por último, la autoridad realizó unas 50 inspecciones a empresas privadas y autoridades públicas.

En Alemania, la utilización de servicios de telecomunicaciones por proveedores privados de teleservicios, como consecuencia de la liberalización del sector de las telecomunicaciones, hizo necesario sentar las bases jurídicas apropiadas en lo que respecta a la protección de datos. El Parlamento Federal adoptó el 13 de junio de 1997 un estatuto sobre los servicios de comunicación e información. Según éste, el diseño y selección de instalaciones técnicas para los teleservicios debe tener por objetivo evitar recoger o procesar datos personales en absoluto o en la medida de lo posible. Es lamentable que las auditorías sobre protección de datos inicialmente previstas se hayan suprimido. La ley de telecomunicaciones que entró en vigor en agosto de 1996 transfirió

11 Relativa al análisis del consumo de medicamentos sobre la base de las recetas médicas. la supervisión de la protección de datos de todas las empresas que proporcionen servicios de telecomunicaciones al Delegado del Gobierno Federal para la Protección de Datos. Éste ha ampliado considerablemente su función de asesoría y control (más de 1.100 empresas a principios de 1997).

Nuevas áreas están creando creciente preocupación en Alemania. El análisis del genoma es cada vez más importante como método adicional de investigación forense para el enjuiciamiento y castigo de delitos. En 1996, la ley de enjuiciamiento criminal alemana fue ampliada con normas sobre huellas dactilares genéticas. No obstante, los análisis de ADN constituyen una gran invasión de la intimidad. El almacenamiento automático de huellas dactilares genéticas sigue por lo tanto siendo problemático, pero la ley no dice nada a este respecto. Asimismo, el uso generalizado de tarjetas inteligentes tiene graves consecuencias para la protección de la vida privada.

Las actividades de la autoridad española responsable de la protección de datos (Agencia de protección de datos) aumentó considerablemente en 1996. Se trataron 1.152 reclamaciones (+245% en comparación con 1995), se realizaron 268 inspecciones de expedientes (+160%), se iniciaron 90 procedimientos disciplinarios (+200%) y se incoaron 534 procedimientos administrativos destinados aplicar los derechos de acceso, rectificación y cancelación (534%). El servicio especial de relaciones con los ciudadanos trató 600 peticiones escritas de información y más de 8.000 peticiones orales. En 1996 se autorizaron 37 transferencias de datos al extranjero.

En Francia, la Commission Nationale de l'Informatique et des Libertés (CNIL) trató varias propuestas destinadas a restringir los gastos de salud y se ocupó del registro nacional de personas físicas cubiertas por la seguridad social. La CNIL contribuyó al trabajo de la Oficina Internacional del Trabajo sobre «directrices para la protección de datos de los trabajadores». En lo que respecta a la utilización de nuevas tecnologías, la CNIL emitió dictámenes sobre la captación de imágenes en las autopistas, sobre el registro de todos los movimientos de los trabajadores manuales en el marco del certificado de calidad ISO 9000 y en relación con determinadas aplicaciones del voto electrónico y el dinero electrónico. En 1995 la CNIL estableció unas normas relativas a la fijación de directorios en Internet y en 1996 comenzó a considerar diversas cuestiones relativas a los servicios en línea, la recogida de datos para la medición de la audiencia de los sitios Web, el funcionamiento de los foros de debate, condiciones especiales para la apertura de la portada del Primer Ministro, etc.

El Delegado irlandés responsable de la protección de datos mantuvo amplias discusiones con Telecom Eireann, la compañía telefónica nacional de Irlanda, sobre sus planes para introducir la identificación de la línea de origen de la llamada. Hizo hincapié en las consideraciones sobre la intimidad que deberían tenerse en cuenta y las medidas necesarias para ello. Estas discusiones aún continúan. En 1996, las autoridades sanitarias consultaron al Delegado antes de la introducción de un proyecto piloto sobre la utilización de tarjetas inteligentes para los datos relativos a la salud. Estas consultas desembocaron en la plena aplicación por parte de las autoridades sanitarias irlandesas de los requisitos establecidos por el Delegado. En 1996 se publicó un informe del gobierno donde se presentaban propuestas para compartir datos entre los departamentos del Gobierno, utilizando los números de RSI (Seguridad Social e Ingresos) como identificador, y el Delegado respondió expresando su preocupación por la repercusión en la vida privada. Los medios de comunicación se hicieron amplio eco de esta preocupación. Se han producido quejas relativas a la forma en que se obtiene cada vez más información personal por teléfono, especialmente por parte de empresas de los sectores bancario y de seguros. El Comisario adoptó medidas destinadas a concienciar a las empresas en cuestión acerca de la obligación de obtener información de forma limpia, y aludió a este aspecto en su Informe Anual. Las preguntas a la Oficina del Delegado a lo largo de 1996 indicaron un creciente nivel de concienciación en lo relativo a la protección de datos por parte de los controladores de datos.

También siguió creciendo el número de peticiones de ciudadanos individuales, tanto de información como de ayuda con problemas específicos.

Con el régimen de protección de datos vigente (Ley de 31 de marzo de 1979), Luxemburgo no cuenta con una autoridad independiente responsable de la protección de datos, sino con una comisión cuyas funciones consisten en: a) presentar dictámenes al Gobierno respecto de peticiones sobre obtención de licencias para operar bancos de datos, y b) informar al Gobierno respecto de posibles violaciones de la legislación. En 1996 la principal tarea de la comisión fue el análisis de posibles problemas relativos a la privatización del sector de las telecomunicaciones, y en especial la publicación por parte de las empresas privadas de directorios de los suscriptores.

La autoridad neerlandesa responsable de la protección de datos (Registratiekamer) participó en la elaboración de un código de conducta para la utilización de tarjetas inteligentes multifunciones. Publicó informes sobre datos genéticos, sobre el registro de llamadas telefónicas en el lugar de trabajo y sobre la vigilancia por vídeo de espacios abiertos al público. Otros aspectos importantes hacían referencia a la privatización de la seguridad social y al creciente uso de números de identificación personal. La Registratiekamer ha participado en el desarrollo de normas para la seguridad de la información y en el fomento de la utilización de tecnologías destinadas a proteger la intimidad (PET's). Realizó controles sobre la situación de la protección de la vida privada en un hospital psiquiátrico, un centro de información sobre riesgos de créditos y el sistema de información penal de un importante servicio policial. En todos los casos, las conclusiones del control dieron lugar a actividades en los sectores en cuestión, ejecutadas conjuntamente con instituciones del sector.

En vista de las numerosas quejas recibidas por la Comisión austríaca para la protección de datos, competente únicamente del control del sector público, no existen cuestiones específicas que puedan considerarse aspectos centrales de los problemas de la protección de datos en el sector público. No obstante, parece interesante mencionar que tras una decisión de la Comisión para la protección de datos, que consideraba ilegales los expedientes sobre enfermos mentales elaborados manualmente por la policía (como consecuencia de su asistencia en casos de detención forzosa de personas en hospitales psiquiátricos), estos expedientes fueron suprimidos mediante nueva legislación.

La autoridad portuguesa responsable de la protección de datos (Comiss‰o Nacional de Protecç‰o de Dados Pessoais Informatizados, CNPDPI) ha trabajado para elevar la concienciación del público respecto de la protección de datos, especialmente a través de contactos periódicos con la prensa y la participación en conferencias y debates. La aplicación de la legislación actual, especialmente en respuesta a las quejas, se ha centrado en empresas de marketing directo, bancos y autoridades fiscales y sanitarias. La CNPDPI ha dado su opinión a petición del gobierno sobre proyectos de leyes sobre datos médicos, sobre una tarjeta del servicio nacional de salud, sobre el tratamiento de datos relativos a condenas y el tratamiento de datos personales por parte de las autoridades fiscales. La CNPDPI expidió autorizaciones para el tratamiento de datos sensibles por parte de controladores de datos no pertenecientes al sector de los servicios públicos.

El Defensor del Pueblo finlandés para la protección de datos ha tenido que tratar cuestiones relativas a los servicios de Internet, planes sobre dinero electrónico y tarjetas de identidad inteligentes.

La modificación en 1995 de la ley sueca sobre datos de 1973 ha permitido a la autoridad responsable de la protección de datos (Datainspektionen) promulgar normas administrativas relativas a operaciones comunes de tratamiento en diversos sectores, eximiendo por lo tanto a estas operaciones de la obligación de obtener permiso de la autoridad responsable de la protección de datos. Se han promulgado nueve de estas normas12 y el número de solicitudes de permisos ha pasado de unos 7000 anuales a unos 5000 al año.

En el Reino Unido, las medidas organizativas de la oficina del Secretario han simplificado el proceso de notificación. Se produjo una tendencia ascendente de registros, siendo el número actual de registros de más de 200.000. En mayo de 1996 se publicó un documento de consulta sobre otros cambios en el registro, y se ha realizado una revisión de las respuestas de los usuarios de datos. El número de enjuiciamientos en 1996 fue de 39. Entre estos, se dio un caso que fue el primero en llegar a la Cámara de los Lores desde la aprobación de la legislación en 1984. Se ha intensificado la utilización de Internet; el Registro de Protección de Datos está en la actualidad disponible en Internet13, al igual que las principales guías y publicaciones14. La Secretaría organizó tres conferencias: la Conferencia de Primavera de 1996 de los Comisarios de la UE responsables de la Protección de Datos, una conferencia en abril sobre «Vida privada en el trabajo» y una Conferencia en diciembre sobre «Cotejo de datos». Aparte de publicaciones sobre la Directiva, la oficina elaboró notas orientativas sobre la seguridad para los prestadores de servicios financieros respecto a preguntas realizadas por teléfono, información sobre créditos, marketing directo y tratamiento de imágenes de documentos.

Además, la Secretaría presentó su respuesta a las propuestas del gobierno relativas a la introducción de una tarjeta de identidad nacional voluntaria. La Secretaría presentó su

respuesta en un libro verde titulado «El Gobierno en directo» en febrero de 1997. En su respuesta, apostó por la utilización de tecnologías que protejan la vida privada15. 12 Hacen referencia al tratamiento de datos por parte de la Iglesia sueca, el tratamiento con fines de investigación, el tratamiento por parte de municipios, el tratamiento con fines de marketing directo, el tratamiento por parte de compañías de seguros, la publicación de actas de reuniones de municipios en Internet, el tratamiento por parte de abogados, los registros de miembros de jurados en poder de los tribunales y los registros de intérpretes de los tribunales.

13 http://www.dpr.gov.uk

14 http://www.open.gov.uk/dpr/dprhome.htm

15 Para más información, véase el 12 Informe Anual, ISBN 0-10-281296-9, disponible en HMSO,

Publications Centre, PO Box 276, London SW8 5DT, Reino Unido.

2.2.2 Ámbito internacional

Aparte de las reuniones del Grupo de Trabajo para la protección de datos personales, celebradas con arreglo al artículo 29 de la Directiva, los Comisarios de la UE responsables de la protección de datos continúan reuniéndose dos veces al año. La conferencia de primavera de 1996 se celebró en Manchester en abril, y la reunión de otoño coincidente con la Conferencia Internacional en Ottawa en septiembre. El Grupo está compuesto actualmente por 13 países; Italia y Grecia se adherirán probablemente una vez hayan creado autoridades independientes para la protección de datos.

Tras la Conferencia de primavera de 1996, la Secretaría del RU responsable de la protección de datos asegura la secretaría permanente de la conferencia. La secretaría proporciona apoyo administrativo, advierte a los Comisarios de la UE responsables de la protección de datos acerca de acontecimientos que requieren acción conjunta, prepara proyectos de propuestas, y en general, facilita la acción conjunta de los Comisarios. Los

Comisarios tienen en la actualidad un pequeño número de grupos de trabajo: grupo de trabajo de policía, aduanas y cuestiones afines, grupo de trabajo sobre telecomunicaciones, y el grupo GERI que se ocupa de cuestiones relacionadas con Internet y los servicios en línea. También existen comités ad hoc sobre crédito a los consumidores y transporte por carretera. En 1996, los Comisarios celebraron un seminario sobre relaciones públicas y cuestiones de marketing.

Por lo que respecta a las posiciones comunes, los Comisarios de la UE responsables de la protección de datos adoptaron declaraciones sobre Europol y la Directiva RDSI, y reafirmaron su declaración de 1995 relativa a la protección de datos y las instituciones de la Unión Europea. También presentaron comentarios sobre el proyecto de Código de práctica de la OIT sobre protección de los datos personales de los trabajadores, y estuvieron representados como observadores en la reunión de la OIT de octubre donde se discutió este código.

La Secretaría del RU también ha tenido representantes en calidad de observadores en las reuniones del Grupo ad hoc de expertos sobre orientaciones de la política de criptografía de la OCDE en nombre de todos los Comisarios responsables de la protección de datos y de la vida privada.

Los Comisarios de la UE responsables de la protección de datos también presentaron una respuesta al Libro Verde «Vivir y trabajar en la sociedad de la información» y adoptaron un documento sobre telecomunicaciones y vida privada en las relaciones laborales.

2.3 Evolución de la política de protección de datos en la Unión Europea

Si bien la Directiva es la pieza central de la política europea de protección de datos, está complementada por diversas iniciativas dirigidas a garantizar un marco coherente de protección de los ciudadanos.

La presente sección destaca la evolución en la Unión Europea tanto dentro de la competencia de la CE (subsecciones 2.3.1 a 2.3.4) y bajo el título VI del Tratado de la Unión Europea (subsección 2.3.5).

2.3.1 Coordinación comunitaria en foros internacionales

Los Estados miembros de la CE deben tener en cuenta sus obligaciones comunitarias al negociar compromisos en los foros internacionales. Cuando la Comunidad ostente una competencia exclusiva, los Estados miembros deberán actuar conjuntamente y coordinar sus posiciones. La adopción de la Directiva obligó a la Comunidad a actuar coordinadamente en la negociación en el Consejo de Europa de recomendaciones sobre protección de datos.

La Comisión ha obtenido un mandato del Consejo para negociar en nombre de la Comunidad en los organismos del Consejo de Europa competentes de la adopción de la recomendación sobre datos procesados a efectos médicos y datos procesados a efectos estadísticos.

2.3.2 Iniciativas sectoriales

El Consejo de Ministros adoptó su posición común para una «directiva relativa al tratamiento de datos personales y la protección de la vida privada en el sector de las telecomunicaciones, en especial en el Red Digital de Servicios Integrados (RDSI) y en las redes móviles digitales» el 12 de septiembre de 1996 16.

El texto pretende garantizar la libre circulación de datos y de equipos y servicios de telecomunicaciones en la Comunidad, armonizando el nivel de protección de los suscriptores y usuarios de los servicios públicos de telecomunicaciones en relación con el tratamiento de datos personales en el sector de las telecomunicaciones.

La Directiva especificará, para el sector de las telecomunicaciones, las normas generales establecidas por la Directiva 95/46/CE y aumentará la protección de la intimidad de las personas y los intereses legítimos de los suscriptores (incluidas personas jurídicas).

El Parlamento Europeo adoptó 11 enmiendas al texto el 16 de enero de 1997. La Comisión ha anunciado que no puede aceptar cuatro de estas enmiendas. En 1997 comenzará probablemente un procedimiento de conciliación.

2.3.3 La protección de datos y la sociedad de la información

Algunos desarrollos tecnológicos, y en especial la emergencia de la llamada «sociedad de la información» suelen considerarse como fuente de preocupación en lo que respecta a la vida privada. Crecientes cantidades de información personal se procesan de forma muy sofisticada con técnicas tales como «almacenamiento de datos» y «explotación de datos» que son potencialmente más susceptibles de invadir la vida privada que las técnicas tradicionales de tratamiento. Además, la introducción de nuevas técnicas para una gama 16 Posición común 57/96, DO C315/30 de 24.10.96. completa de servicios causa preocupación debido a la gran cantidad de los llamados «datos de transacción», que suelen compararse con un rastro electrónico que deja tras de sí cada individuo.

Estas inquietudes se plantearon en el Foro de la sociedad de la información, creado por la Comisión y en especial, en el informe del segundo Grupo de Trabajo.

No obstante, las soluciones tecnológicas pueden contribuir a la protección de la vida privada. Un informe conjunto de las autoridades neerlandesas y canadienses responsables de la vida privada subrayó la importancia de las llamadas tecnologías destinadas a proteger la intimidad (PET's). Estas tecnologías comprenden la organización y diseño de los sistemas y tecnologías de información y comunicación con el fin de evitar o al menos minimizar la utilización de datos personales.

Ejemplos de estas aplicaciones son los protectores de la identidad, los kioskos de Internet que proporcionan un acceso anónimo, formas de pago anónimas tales como las tarjetas previamente franqueadas, herramientas de búsqueda anónima, tecnología de filtrado, etc. Este enfoque favorecedor de la vida privada exige la revisión de las bases de datos o sistemas TI con el fin de analizar la necesidad del tratamiento de datos personales con arreglo a los principios de protección de datos.

La Comisión fomenta activamente el desarrollo y utilización de estas tecnologías. La

Comisión decidió en el Primer Plan de Acción para la innovación en Europa17 fomentar las tecnologías destinadas a proteger la intimidad en el 5§ Programa Marco para la investigación y el desarrollo tecnológico, con el fin de demostrar que las nuevas tecnologías pueden permitir a los usuarios ejercer de forma más eficaz su derecho a la vida privada.

2.3.4 Protección de datos en otros instrumentos comunitarios

En diversos instrumentos de la legislación derivada de la Comunidad, se ha conferido a la Comisión tareas específicas relacionadas con el tratamiento de datos personales. Con el fin de proteger los derechos y libertades fundamentales de los individuos afectados por dicho tratamiento, también se ha invitado a la Comisión, a efectos de aplicar las correspondientes normas comunitarias, a desarrollar mecanismos de protección de datos.

Un ejemplo de esto es el Reglamento del Consejo (CE) n§ 1469/95 de 22 de junio de 1995 sobre medidas que deben adoptarse respecto a determinados beneficiarios de operaciones financiadas a cargo de la Sección de Garantía del FEOGA18. A efectos de la aplicación de este Reglamento, que prevé un mecanismo de intercambio de información entre la Comisión y los Estados miembros, la Comisión ha establecido diversas medidas de protección para el tratamiento que realizan sus servicios19.

17 COM (96)589 final, 20.11.1996, p.32.

18 DO L 145 de 29 de junio de 1995.

19 Véase el Reglamento de la Comisión (CE) n§ 745/96 publicado en el DO L 102 de 25 de abril de 1996, y la Comunicación de la Comisión en el DO C 366 de 5 de diciembre de 1996, que llamó la atención del público respecto de la aplicación del Reglamento y el consiguiente tratamiento de datos personales. Las autoridades aduaneras europeas intercambian datos personales con sus homólogos de terceros países en el marco de los acuerdos de asistencia mutua firmados por las Comunidades y los terceros países. A petición del lado europeo, estos acuerdos incluyen disposiciones especiales destinadas a garantizar el respeto de los principios de protección de datos20.

2.3.5 Protección de datos en instrumentos no comunitarios

Varios instrumentos adoptados o en proceso de adopción en virtud del Título VI del Tratado de la Unión Europea (Cooperación en el ámbito de la Justicia y los Asuntos de Interior) implican el tratamiento de datos personales. Por ello, se han incluido disposiciones específicas sobre protección de datos en estos instrumentos y en sus normas de aplicación. Los organismos competentes del Consejo de la Unión Europea colaboraron en la elaboración de normas detalladas de protección de datos para Europol, que formarán parte de los reglamentos de aplicación que se adoptarán previsiblemente en 1997. En el Convenio Eurodac también se discutieron normas detalladas sobre huellas dactilares de los solicitantes de asilo.

Los instrumentos adoptados en virtud del Título VI del Tratado de la Unión Europea no utilizan los acuerdos de protección de datos establecidos por la Directiva, sino que se basan en soluciones específicas que no otorgan los mismos derechos o recursos judiciales a los individuos y no se basan en la misma forma de supervisión independiente.

2.4 Schengen

La mayoría de los Estados miembros de la UE forman parte del Acuerdo de Schengen, que prevé la cooperación policial, aduanera y de inmigración con el fin de compensar la supresión de los controles fronterizos en sus fronteras interiores. Un elemento esencial de estas medidas compensatorias es el establecimiento de un sistema de información común, el Sistema de Información de Schengen (SIS). En este contexto, el Acuerdo también contiene disposiciones sobre protección de datos, incluida una Autoridad Común de Control, compuesta por representantes de las autoridades nacionales de supervisión de los países Schengen. La Autoridad Común de Control ha publicado recientemente un informe de sus actividades durante los primeros dos años (marzo 1995- 1997). El informe subraya la importancia de una autoridad de control independiente con 20 Los siguientes acuerdos entraron en vigor en 1996:

Acuerdo Europeo con Eslovenia (firmado el 11.11.96, DO L 344, 31.12.96)

Islas Feroe (enmienda al ALC, firmado el 6.12.96, DO L 53, 22.2.97).

Acuerdo de Unión Aduanera con Turquía (1.1.96, DO n§ L 35, 13.2.96)

Acuerdos con:

Israel (provisional, 1.1.96: DO L 71, 20.1.96)

CEI: Federación Rusa (provisional, 1.2.96, DO L 247, 13.10.95), Ukrania (provisional, 1.2.96: DO L 311, 23.12.95), Moldavia (provisional, 1.5.96: DO L 40, 17.2.96).

En la actualidad se están negociando acuerdos que incluyen disposiciones de ayuda mutua con diversos países. suficientes poderes y recursos para cumplir su misión adecuadamente. También subraya la necesidad de transparencia del proceso de información para los ciudadanos.

2.5 Diálogo con países terceros sobre protección de datos

La Directiva no sólo regula el tratamiento de datos personales dentro de la UE, sino que también incluye disposiciones sobre transferencia de datos a países terceros (artículos 25 y 26). El principio básico es que los Estados miembros únicamente deberían permitir dichas transferencias cuando se garantice un nivel de protección de datos adecuado. Existe claramente la posibilidad de que se den casos donde no se garantice una protección adecuada, y siempre que no se aplique ninguna de las exenciones previstas, las transferencias se verán bloqueadas.

Un giro tal de los acontecimientos podría causar trastornos considerables a los flujos mundiales de datos personales, y en consecuencia, al comercio internacional. Si bien el artículo XIV del GATS (Acuerdo General sobre el Comercio de Servicios) permitiría el bloqueo de las transferencias de datos personales, sería no obstante preferible evitar esto.

Una mejor solución sería que aquellos países terceros a los que se transfieren datos regularmente elevaran su nivel de protección hasta un nivel considerado satisfactorio.

La UE negocia acuerdos generales que proporcionan un marco para las relaciones (cooperación, relaciones comerciales) con países terceros en concreto. Estos acuerdos suelen cubrir una amplia gama de aspectos, desde la política exterior y de seguridad hasta aspectos comerciales y de desarrollo económico. Desde que se adoptó la Directiva sobre protección de datos, los servicios de la Comisión persiguen incluir en dichos acuerdos, directa o indirectamente, la protección de datos y de la vida privada, con ocasión de la negociación de los mismos.

Algunos países pueden resultar «paraísos de datos» para los operadores económicos que busquen menores costes de tratamiento de datos. El objetivo de los acuerdos entre la Comunidad y estos países ha sido simplemente un intercambio de información (una especie de «alerta precoz») junto con una recomendación de que el país en cuestión considere cómo puede garantizar una protección adecuada a las transferencias de datos procedentes de países de la CE. La protección de datos se ha planteado de esta forma con Méjico y Paquistán. La lista está en constante crecimiento.

La protección de datos se discutió en diversas reuniones del Grupo de Trabajo sobre la política de la información (GTPI), un foro que reúne a los servicios de la Comisión con representantes del Ministerio de Industria japonés (MITI). Ya existe una ley de protección de datos que cubre el sector público, si bien cuenta con amplias excepciones.

Las autoridades japonesas están considerando la mejor forma de desarrollar normas de protección de la vida privada para el sector privado.

En la Cumbre de Madrid de diciembre de 1995 culminó un gran ejercicio de redefinición y relanzamiento de la relación EEUU-UE, con la firma del Nueva Agenda Trasatlántica.

Una parte esencial de este acuerdo fue el plan de acción donde se describían diversas acciones y objetivos específicos. Como parte de este plan de acción, ambas partes acordaron discutir aspectos de la protección de datos y la vida privada «con el fin de facilitar el flujo de datos personales, solucionando los riesgos para la vida privada». Ya se han celebrado varias rondas de debates generales entre los servicios de la Comisión y la administración de Estados Unidos sobre la vida privada y la protección de datos, en el contexto de un diálogo más amplio sobre la Sociedad de la Información. Como resultado de estas discusiones, se estableció un diálogo sobre la protección de datos y se celebraron varias reuniones a partir de mayo de 1996. Los debates se centraron en las diferencias de enfoque respecto a la protección de la vida privada en diversos sectores específicos, y cubrieron asimismo cuestiones más estratégicas respecto de posibles soluciones internacionales.

El acuerdo marco con Canadá firmado en diciembre de 1996 prevé el mismo tipo de debates entre las autoridades europeas y canadienses sobre el tema de la vida privada.

Naturalmente, la solución lógica a largo plazo para los problemas de flujo internacional de datos personales sería un acuerdo multilateral sobre un conjunto de normas obligatorias relativas a la protección de datos. El Comisario Sir Leon Brittan, en su discurso de la Conferencia de la OMC de Singapur en diciembre de 1996, aludió a la necesidad de abordar estas cuestiones en el futuro.

La Directiva deberá incorporarse al Acuerdo sobre el Espacio Económico Europeo que vincula a la Comunidad con Islandia, Liechtenstein y Noruega. En 1996 se iniciaron los debates a estos efectos entre los servicios de la Comisión y los servicios de la AELC.

Aparte de estas acciones específicas, la Comisión desea desarrollar una política coherente con vistas a la aplicación de las disposiciones sobre transferencia de datos de la Directiva a países terceros. Se encargó al «Centre de Recherche Informatique et Droit» de la Universidad de Namur, en Bélgica, un estudio sobre la metodología para la evaluación de dichas transferencias de datos. Este trabajo ha servido como base para la discusión de estos temas en el Grupo de Trabajo.

3. CONSEJO DE EUROPA

El Consejo de Europa continuó su trabajo relativo a aspectos de la protección de datos.

El Grupo Proyecto sobre protección de datos (CJ-PD) y sus subgrupos especializados debatieron recomendaciones sobre aspectos específicos para su adopción por el Comité de Ministros representantes de todos los Estados miembros del Consejo de Europa. Por otro lado, el Comité Consultivo creado por el Convenio 108 (T-PD) reúne a representantes de los 17 Estados adheridos al Convenio.

Los órganos del Consejo de Europa han estado trabajando en tres recomendaciones. Una de ellas, relativa a la utilización de datos médicos, fue finalizada por el CJ-PD a finales de 1996 a raíz de la coordinación de los Estados miembros de la Unión Europea. El texto adoptado posteriormente el 13 de febrero de 1997 por el Comité de Ministros sustituye a la Recomendación de 1981 sobre el mismo tema21. Los trabajos del CJ-PD sobre una recomendación relativa al tratamiento de datos estadísticos que sustituya parcialmente a la Recomendación de 1983 sobre investigación científica y estadísticas22 están bastante

21 R(81)1 Normas para bancos de datos médicos automatizados.

22 R(83)10 Protección de datos personales utilizados en estadísticas e investigación científica. avanzados. El texto deberá estar finalizado en 1997. El CJ-PD está también considerando un proyecto de recomendación sobre datos de seguros. Por último, un grupo de trabajo ha estado discutiendo las consecuencias de la utilización de determinadas nuevas tecnologías.

El Comité Consultivo del Convenio 108 discutió acerca del tratamiento de sonidos e imágenes y el tratamiento de datos relativos a personas fallecidas.

4. PRINCIPALES EVOLUCIONES EN PAÍSES TERCEROS

4.1 Espacio Económico Europeo

La Directiva surtirá efectos también en el marco del Espacio Económico Europeo una vez se incorpore al Acuerdo EEE. En los países miembros del Acuerdo y no miembros de la CE ya se han iniciado los trabajos de incorporación. Noruega e Islandia ya son miembros del Convenio 108 del Consejo de Europa y tienen legislación vigente sobre protección de datos. Se invitó a representantes de las autoridades responsables de la protección de datos de estos dos países a acudir a las reuniones del Grupo de Trabajo en calidad de observadores.

En Noruega, la Inspección de Datos es responsable de garantizar la aplicación de la Ley de 1978 sobre Registros de Datos Personales. En 1996, la Inspección de Datos trató 6049 casos. La Inspección de Datos tramita solicitudes de licencias para registros personales y otras actividades sujetas a licencias según la ley. En 1996 se otorgaron 2713 licencias.

La Inspección gestiona activamente el flujo de información hacia el mundo exterior.

Recibe un gran número de peticiones de los medios de comunicación y desempeña una función activa de divulgación de la información. También es responsable de preparar material informativo y un informe anual, y publica trimestralmente la revista SPOR23.

Un comité ha comenzado a considerar la necesidad de realizar modificaciones a la Ley Noruega de Registros de Datos Personales a la luz de la Directiva. En primavera de 1997, el comité presentará su propuesta para una nueva ley.

4.2 Países de Europa Central y Oriental

La Comisión, en su Libro Blanco por el que establece una estrategia de preadhesión para los países de Europa Central y Oriental candidatos a la UE, recomienda la adhesión al Convenio 108 del Consejo de Europa como primer paso en el ámbito de la protección de datos. Varios de estos países tienen ya legislación sobre protección de datos (Hungría, Estonia y Eslovenia en particular) y la mayoría de los demás están en proceso de adoptar esta legislación. Estos países participan en los trabajos sobre protección de datos del Consejo de Europa.

4.3 Otros países terceros

23 Toda la información está disponible en Internet (http://www.datatilsyet.no).

En 1996 se produjo un renovado debate sobre la vida privada en diversos países ceros. La evolución tecnológica y en particular la sociedad de la información han empujado a gobiernos, grupos de consumidores, empresas y universidades a evaluar las políticas existentes sobre protección de la vida privada y discutir nuevas políticas para el futuro. La adopción de la Directiva europea ha añadido un nuevo ímpetu a este debate.

Estos acontecimientos fueron especialmente notorios en Estados Unidos, donde varios organismos gubernamentales consideraron aspectos de la protección de datos. La Comisión Federal del Comercio (CFC) organizó en junio de 1996 un seminario sobre «Vida privada del consumidor en la infraestructura global de información» e inició un estudio sobre «Servicios de búsqueda en línea». La Agencia Nacional de Telecomunicaciones e Información (NTIA) publicó un libro blanco sobre «La vida privada y la infraestructura nacional de información» en octubre de 1995 y continuó su estudio de los temas relativos a la vida privada. La Casa Blanca señaló la importancia de los aspectos relativos a la vida privada en el informe preliminar «Marco para el comercio electrónico global», publicado en diciembre de 1996.

Las disposiciones sobre protección de la vida privada se encontraban dispersas en varios proyectos presentados al Congreso. Estas disposiciones se adoptaron en la Ley de Telecomunicaciones de 1996, que reestructura el régimen normativo de EEUU sobre telecomunicaciones e impone a los proveedores de servicios varias obligaciones específicas relativas a la intimidad. Se exige confidencialidad acerca de la información sobre los clientes (Customer Propietary Network Information) incluidos datos transaccionales. La CFC emitirá normas de aplicación.

La protección de la vida privada en los servicios en línea constituyó el centro de las controversias vinculadas a la Ley de Decoro de las Comunicaciones de 1996 y la política gubernamental sobre criptografía.

En Australia, el gobierno publicó en 1996 un libro blanco que señalaba la oportunidad de ampliar la legislación sobre protección de la vida privada al sector privado. La legislación actual únicamente afecta al sector público.

En la Conferencia Internacional sobre Vida Privada en Ottawa en septiembre, el Ministro de Justicia canadiense anunció el plan gubernamental para ampliar la legislación sobre protección de la vida privada al sector privado. La actual legislación federal sólo afecta al sector público. La legislación de la provincia de Quebec también cubre el sector privado.

Hong Kong ha aprobado una ordenanza sobre intimidad de los datos personales. Se trata de una norma amplia que afecta tanto al sector privado como al sector público. No está previsto que la vuelta de Hong Kong al poder de China afecte a esta legislación. El Comisario responsable de la protección de los datos personales es responsable de la aplicación de la ordenanza24.

24 http://www.pco.org.hk

5. OTRAS EVOLUCIONES A NIVEL INTERNACIONAL

En 1996 tuvo lugar un vivo debate sobre la protección de datos en las organizaciones internacionales (secciones 5.1 y 5.2) y en conferencias internacionales (sección 5.3).

5.1 Oficina Internacional del Trabajo

La Oficina Internacional del Trabajo adoptó un código de práctica sobre la protección de la vida privada de los trabajadores. El código de práctica, que es el fruto de años de trabajo, presenta normas detalladas sobre el tratamiento de datos relativos a empleados, aspirantes a puestos de trabajo y antiguos empleados. El código de práctica, instrumento no vinculante, se dirige directamente a los empleados, que están invitados a regirse por sus normas.

5.2 Organización de Cooperación y Desarrollo Económicos OCDE

La OCDE elaboró a lo largo de 1996 unas orientaciones sobre política de criptografía.

Estas orientaciones regulan, entre otros, el acceso por parte de las autoridades a mensajes codificados por razones legítimas. Las orientaciones apoyan la adopción de sistemas de terceras partes fiables a quienes puede confiarse copias de las claves criptográficas. Durante los debates, surgieron aspectos relacionados con la vida privada, en conexión con las normas establecidas por la Directiva en cuanto al acceso de las autoridades a los datos personales. Con ocasión de la aprobación final de las orientaciones (marzo de 1997) la Comisión Europea dejó claro que si los Estados miembros de la CE pretenden reforzar las orientaciones, lo harán respetando las normas de la Directiva.

5.3 Conferencias y debates internacionales

Todos los años, una de las autoridades nacionales responsable de la protección de los datos y de la vida privada organiza una conferencia sobre vida privada. En 1996 la Conferencia fue organizada en Ottawa por la autoridad canadiense correspondiente. Los principales puntos del orden del día fueron América del Norte y la Directiva europea, aspectos y problemas de la Aldea Global, identificación en los servicios gubernamentales e información sobre salud, vigilancia de los consumidores y opciones tecnológicas y legislativas destinadas a proteger la vida privada.

Una conferencia sobre el dinero electrónico organizada en septiembre por el Departamento del Tesoro de EE.UU. abordó varios aspectos relativos a la vida privada.

La Universidad de Namur organizó en Bruselas una conferencia internacional sobre protección de datos en la sociedad de la información, con el patrocinio de la Comisión Europea y el Consejo de Europa. En ella participaron políticos norteamericanos y europeos.

6. ANEXO

Lista de miembros del Grupo de Trabajo, direcciones y números de fax de las autoridades respectivas.

AUSTRIA

Frau Waltraut KOTSHY Representante

Bundeskanzleramt

Österreichische Datenschutzkommission

Ballhausplatz, 1

A – 1014 WIEN

43/1/531.15.26.90

Frau Eva SOUHRADA-KIRCHMAYER Sustituto

Bundeskanzleramt

Österreichische Datenschutzkommission

Ballhausplatz, 1

A – 1014 WIEN

43/1/531.15.26.90

BÉLGICA

Monsieur Paul THOMAS Representante

Ministère de la Justice

Commission de la Vie Privée

Boulevard de Waterloo, 115

B – 1000 BRUXELLES

32/2/542.72.12 – 542.70.09

Mme Marie-Hélène BOULANGER Sustituto

Ministère de la Justice

Commission de la protection de la vie privée

Boulevard de Waterloo, 115

B – 1000 BRUXELLES

32/2/542.72.12

ALEMANIA

Dr. Joachim JACOB Representante

Der Bundesbeauftragte für den Datenschutz

Postfach 20 01 12

D – 53131 BONN (Bad Godesberg)

49/228/819.95.50

Dr. Stefan WALZ Sustituto

Landesbeauftragter für den Datenschutz – Bremen

Postfach 10 03 80

D – 27503 BREMERHAVEN

49/471/924.61.28

Herrn Ulrich LEPPER Sustituto

Innenministerium des Landes Nordrhein-Westfalen

Haroldstrasse, 5

D – 40213 DÜSSELDORF

49/211/871.33.55

DINAMARCA

Mr. Henrik WAABEN Representante

Registertilsynet

Christians Brygge, 28 – 4

DK – 1559 KOEBENHAVN V

45/33/13.38.43

Mrs. Lotte N. JOERGENSEN Sustituto

Registertilsynet

Christians Brygge, 28 – 4

DK – 1559 KOEBENHAVN V

45/33/13.38.43

ESPAÑA

Mr. Juan José MARTÍN-CASALLO LÖPEZ Representante

Agencia de Protección de Datos

Paseo de la Castellana, N 41, 5a planta

E – 28046 MADRID

34/1/308.46.92

Mrs. María José GARCÍA BEATO Sustituto

Agencia de Protección de Datos

Paseo de la Castellana, N 41, 5a planta

E – 28046 MADRID

34/1/308.46.92

FRANCIA

Monsieur Jacques FAUVET

Com. Nat. de l'Informat. et des Libertés

Rue Saint Guillaume, 21

F – 75340 PARIS CEDEX 7

33/1/53.73.22.00

FINLANDIA

Mr. Jorma KUOPUS Representante

Ministry of Justice

Office of the Data Protection Ombudsman

P.O. Box 170

FIN – 00131 HELSINKI 358/0/1825.78.35

Ms. Maija KLEEMOLA Sustituto

Ministry of Justice

Office of the Data Protection Ombudsman

P.O. Box 170

FIN – 00131 HELSINKI 358/0/1825.78.35

ITALIA

Prof. Stefano RODOTA Representante

Camera dei deputati

I – 00100 ROMA

39/6/67.60.48.03

Mr. Ugo DE SIERVO Sustituto

Camera dei deputati

I – 00100 ROMA

39/6/67.60.48.03

Mr. Giovanni BUTTARELLI Sustituto

Camera dei deputati

I – 00100 ROMA

39/6/67.60.48.03

IRLANDA

Mr. Fergus GLAVEY Representante

Department of Justice

Irish Life Centre, Block 4 Talbot Street, 40

IRL – DUBLIN 1

353/1/874.54.05

Mr. Greg HEYLIN Sustituto

Department of Justice

Irish Life Centre, Block 4

Talbot Street, 40

IRL – DUBLIN 1

353/1/874.54.05

LUXEMBURGO

Monsieur René FABER Representante

Commission à la Protection des Données Nominatives

Ministère de la Justice

Boulevard Royal , 15

L – 2934 LUXEMBOURG

352/22.76.61

PAÍSES BAJOS

Mr. Peter HUSTINX Representante

Registratiekamer

Juliana van Stolberglaan, 2

Postbus 93374

NL – 2509 AJ 's-GRAVENHAGE

31/70/381.13.01

Mr. Ulco VAN DE POL Sustituto

Registratiekamer

Juliana van Stolberglaan, 2

Postbus 93374

NL – 2509 AJ 's-GRAVENHAGE

31/70/381.13.01

PORTUGAL

Mr. Joaquim de SEABRA LOPES Representante

Com. Nac. de Protecçao de Dados Pessoais Informat.

Av. 5 de Outubro, 202

P – 1064 LISBOA

351/1/795.13.53

Mr. Nuno MARAIS SARMENTO Sustituto

Com. Nac. de Protecçao de Dados Pessoais Informat.

Rua de S. Bento, 148, 3

P – 1200 LISBOA

351/1/397.68.32

SUECIA

Mrs. Anitha BONDESTAM Representante

Datainspecktionen

Fleminggatan, 14

9th Floor

Box 8114

S – 104 20 STOCKHOLM

46/8/652.86.52

Mr. Ulf WIDEBÄCK Sustituto

Datainspecktionen

Fleminggatan, 14

9th Floor

Box 8114

S – 104 20 STOCKHOLM

46/8/652.86.52

Mr. Leif LINDGREN Sustituto

Datainspecktionen

Fleminggatan, 14

9th Floor

Box 8114

S – 104 20 STOCKHOLM

46/8/652.86.52

REINO UNIDO

Mrs. Elizabeth FRANCE Representante

The Office of the Data Protection Registrar

Water Lane

Wycliffe House

UK – WILMSLOW – CHESHIRE SK9 5AF

44/1625/52.45.10

Mr. Francis ALDHOUSE Sustituto

The Office of the Data Protection Registrar

Water Lane

Wycliffe House

UK – WILMSLOW – CHESHIRE SK9 5AF

44/1625/52.45.10

Dr. John WOULDS Sustituto

The Office of the Data Protection Registrar

Water Lane

Wycliffe House

UK – WILMSLOW – CHESHIRE SK9 5AF

44/1625/52.45.10

GRECIA

Dr. Evangelia MITROU Observador

Ministry of Justice

Tinou Street, 27

EL – 112 57 ATHENS

30/1/724.17.76

ISLANDIA

Ms. Sigrún JÓHANNESDÓTTIR Observador

Ministry of Justice

Data Protection Commission

Arnarhvoll

IS – 150 REYKJAVIK

354/552.73.40

NORUEGA

Mr. Georg APENES Observador

Datatilsynet

The Data Inspectorate

P.B. 8177 Dep

N – 0034 OSLO

47/22/42.23.50

CONSIDERANDO:

Que la Norma II del Título Preliminar del Código Tributario, aprobado mediante el Decreto Legislativo nº 816 y modificado por la Ley nº 27038, dispone que las aportaciones que administran el ex Instituto Peruano de Seguridad Social, ahora el Seguro Social de Salud – ESSALUD y la Oficina de Normalización Previsional –ONP, se rigen por las normas del mencionado Código;

Que la Novena Disposición Final de la mencionada Ley autoriza a la Superintendencia Nacional de Administración Tributaria – SUNAT a ejercer las facultades que las normas legales le hayan conferido al ESSALUD y a la ONP, en relación a la administración de las aportaciones, retribuciones, recargos, intereses, multas u otros adeudos, de acuerdo a lo establecido en los convenios que se celebren conforme a las leyes vigentes;

Que el artículo 6° del Reglamento de la Ley de Creación del Seguro Social de Salud, aprobado por el Decreto Supremo nº 002-99-TR establece que es obligación del ESSALUD mantener un registro actualizado de entidades empleadoras, asegurados y derechohabientes, pudiendo delegar la operatividad de este registro en entidades públicas o privadas;

Que el artículo 5° de la Ley de Modernización de la Seguridad Social en Salud, Ley nº 26790, dispone como obligación de las entidades empleadoras registrarse ante el Seguro Social de Salud y realizar la inscripción de los afiliados regulares que de ellas dependan, así como informar el cese, la suspensión de la relación laboral y las demás ocurrencias señaladas en el reglamento;

Que la SUNAT, en mérito a la normatividad legal vigente, ha suscrito con la ONP y con el ESSALUD convenios para que dicha Superintendencia brinde a éstas un servicio integral de recaudación y control de las aportaciones administradas por las referidas instituciones, así como el registro de las entidades empleadoras y de los asegurados y sus derechohabientes ante la Seguridad Social;

Que, en mérito de los mencionados convenios, el Sistema de Declaración y Pago por concepto de las aportaciones a las referidas instituciones, estará a cargo de la SUNAT a partir del 02 de agosto de este año;

Que, de otro lado, el artículo 75° del Texto Único Ordenado de la Ley del Impuesto a la Renta, aprobado mediante Decreto Supremo nº 054-99-EF, establece que las personas naturales y jurídicas o entidades públicas o privadas que paguen rentas comprendidas en la quinta categoría están obligadas a retener el impuesto correspondiente y abonarlo al fisco dentro de los plazos previstos por el Código Tributario para las obligaciones de periodicidad mensual;

Que, la Ley nº 26969 sustituye la contribución al FONAVI por el Impuesto Extraordinario de Solidaridad – IES, disponiendo –entre otras- que los sujetos, base imponible y alícuota del Impuesto son los establecidos para la contribución al FONAVI;

Que las normas de la contribución al FONAVI señalaban que las empresas y entidades que paguen o abonen ingresos que constituyan rentas de quinta categoría estarán afectas a la referida contribución; disponiendo que la declaración y el pago se realizarán conjuntamente con el de la retención del impuesto a la renta de quinta categoría;

Que, en consecuencia, es necesario aprobar una norma que unifique la declaración y el pago correspondiente a todos los tributos relacionados a las remuneraciones de los trabajadores, incluyendo las aportaciones a la Seguridad Social; así como aquellas disposiciones adicionales que las entidades empleadoras deberán cumplir, al amparo de lo dispuesto en los convenios que la SUNAT ha suscrito con el ESSALUD y la ONP;

En uso de las facultades conferidas por el artículo 29°, el numeral 5 del artículo 87° y el artículo 88° del Código Tributario; Novena Disposición Final de la Ley nº 27038; artículo 75° del Texto Único Ordenado de la Ley del Impuesto a la Renta; artículo 1° del Decreto Legislativo nº 870; y, el inciso n) del artículo 6° del Texto Único Ordenado del Estatuto de la SUNAT, aprobado por la Resolución de Superintendencia nº 041-98/SUNAT;

SE RESUELVE:

Artículo 1º.- Definiciones.

Para efecto de la presente Resolución se considera:

a) Entidad Empleadora.- A toda persona natural, empresa unipersonal, persona jurídica, sociedad irregular o de hecho, cooperativas de trabajadores, instituciones públicas, instituciones privadas, entidades del sector público nacional inclusive a las que se refiere el Decreto Supremo nº 053-97-PCM, o cualquier otro ente colectivo, que tenga a su cargo personas que laboren para ella bajo relación de dependencia o que paguen pensiones de jubilación, cesantía, incapacidad o sobrevivencia.

Se considera también entidad empleadora a las personas naturales que contraten trabajadores del hogar.

b) Trabajador.- A aquél que labora bajo relación de dependencia, o quien labora en calidad de socio de cooperativa de trabajadores, cualquiera sea el régimen laboral o modalidad a la cual se encuentre sujeto.

c) Pensionista.- Quien percibe pensión de jubilación, cesantía, incapacidad o sobrevivencia.

d) Trabajador del Hogar.- A quien se dedica en forma habitual y continua a labores de limpieza, cocina, asistencia a la familia y demás propias de la conservación de una casa-habitación y del desenvolvimiento de la vida del hogar, que no importen lucro o negocio para el empleador o sus familiares, y que laboren en una jornada mínima de cuatro (4) horas diarias y veinticuatro (24) semanales, según lo dispuesto por el artículo 2° del Reglamento del Decreto Ley nº 19990, aprobado por el Decreto Supremo nº 011-74-TR.

Para efecto de las contribuciones al ESSALUD, no se podrá incluir como trabajador del hogar a los familiares del empleador o de su cónyuge hasta el cuarto grado de consanguinidad o hasta el segundo grado de afinidad inclusive, de acuerdo a lo dispuesto por la Resolución nº 004-98-IPSS-GCR del 06 de febrero de 1998, quienes por razón de su vínculo con el empleador, no podrán inscribirse como asegurados ante el ESSALUD.

e) Trabajador de Construcción Civil Eventual.- Al trabajador de construcción civil que labore para una persona natural en la construcción o refacción de edificaciones no relacionadas con la actividad comercial, de ser el caso, de la referida persona natural.

f) Trabajador Agrario Dependiente.- Al trabajador que labore para una persona natural o jurídica que desarrolle cultivos o crianzas, con excepción de la avicultura, la agroindutria y la industria forestal, y que se encuentre acogido al régimen dispuesto por el Decreto Legislativo nº 885 y su norma complementaria aprobada por el Decreto Supremo nº 008-99-AG;

g) Artista.- A los actores, cantantes, músicos, bailarines, mimos, titiriteros y otras personas que declamen, reciten interpreten, o ejecuten en cualquier forma una obra literaria o artística; a los artistas de circo, de variedades y de otros espectáculos de entretenimiento o diversión; y, a los directores de escena, coreógrafos, apuntadores y escenógrafos no comprendidos en la Ley nº 14986, según lo dispuesto por el Decreto Ley nº 19479 del 25 de julio de 1972.

h) Derechohabiente.- Al cónyuge o concubino del trabajador o pensionista, a su hijo menor de edad o al mayor de edad incapacitado en forma total y permanente para el trabajo, así como a la madre gestante con respecto al hijo concebido, siempre que ellos a su vez no sean trabajadores o pensionistas afiliados a la Seguridad Social.

Declaración.- A la declaración relacionada con información vinculada a los conceptos que se señalan a continuación:

– Impuesto a la Renta de quinta categoría.

– Impuesto Extraordinario de Solidaridad, respecto de las remuneraciones que corresponden a los trabajadores de las entidades empleadoras.

– Contribuciones al ESSALUD, respecto de las remuneraciones que corresponden a los trabajadores de las entidades empleadoras.

– Contribuciones al ESSALUD, por las pensiones pagadas a los pensionistas.

– Contribuciones a la ONP, bajo el régimen del Decreto Ley nº 19990.

– Primas por concepto del ESSALUD Vida, respecto de los trabajadores considerados asegurados titulares del seguro regular en salud que contraten el mencionado seguro.

– Registro de trabajadores y derechohabientes.

La determinación de los conceptos arriba mencionados constituyen obligaciones independientes entre sí.

Cuando se haga mención a la «declaración», se entenderá a la que se refiere el presente numeral, salvo que se trate de las que se efectúan al amparo de lo dispuesto en los artículos 15°, 16° y 17° de la presente resolución, que se regirán por lo dispuesto en dichos artículos.

Artículo 2º.- Calidad de deudor tributario de la entidad empleadora.

La entidad empleadora es contribuyente de las contribuciones al Seguro Social de Salud – ESSALUD y del Impuesto Extraordinario de Solidaridad respecto de sus trabajadores dependientes y, actúa como agente retenedor, tratándose de las contribuciones al ESSALUD que corresponde a los pensionistas, de las aportaciones a la Oficina de Normalización Previsional – ONP y del Impuesto a la Renta de quinta categoría.

Artículo 3º- De la declaración presentada mediante el PDT de Remuneraciones.

Las entidades empleadoras presentarán la declaración empleando el Programa de Declaración Telemática de Remuneraciones – PDT de Remuneraciones, que es el medio informático desarrollado por la SUNAT para el registro de la información de la referida declaración.

Este programa permitirá que se ingrese información para lo siguiente:

a) Elaboración de la declaración.

b) Inscripción, actualización y modificación de los datos vinculados a los trabajadores y/o pensionistas y a sus respectivos derechohabientes.

Las entidades empleadoras de trabajadores agrarios dependientes presentarán la declaración sólo respecto del Impuesto a la Renta de quinta categoría y de las contribuciones al ESSALUD y a la ONP.

El PDT de Remuneraciones se encuentra a disposición de las entidades empleadoras en Internet, en la siguiente dirección electrónica: http://www.sunat.gob.pe, desde el 12 de julio del presente año.

La SUNAT, a través de sus dependencias, facilitará la obtención del PDT de Remuneraciones a aquellas entidades empleadoras que no tuvieran acceso a Internet.

Artículo 4º.- Forma, condiciones y lugar para la presentación de la declaración.-

La declaración deberá ser presentada en un disquete de capacidad 1.44 MB de 3.5 pulgadas; debiéndose registrar la información a consignar en la declaración siguiendo las instrucciones establecidas en el PDT de Remuneraciones. De ser necesario, por el volumen de la información a ser registrada, se podrá emplear más de un disquete.

Luego de registrar la información, se deberá seguir el siguiente procedimiento:

a) Se grabará la información que constituye la declaración en el disquete o los disquetes a que se refiere este artículo, empleando el PDT de Remuneraciones.

b) El disquete o los disquetes que contienen la información que constituye la declaración, deberán presentarse en los lugares que se señalan a continuación:

– Tratándose de entidades empleadoras consideradas principal contribuyente, en las dependencias de su jurisdicción.

– Las demás entidades empleadoras, en los bancos autorizados por la SUNAT.

Artículo 5º.- Rechazo de la declaración.

La declaración será rechazada si el disquete o los disquetes tienen alguna de las siguientes características:

a) Contiene virus informático.

b) Es ilegible o presenta defectos de lectura.

c) Los archivos no fueron generados por el PDT de Remuneraciones.

d) La información contenida en el disquete ha sido modificada luego de que el sistema hubiera generado la constancia de presentación para la SUNAT.

e) Falta algún archivo o el tamaño de éste no corresponde al generado por el PDT de Remuneraciones.

La declaración rechazada por alguna de las características señaladas en el párrafo anterior, será considerada como no presentada respecto de todos los conceptos contenidos en la declaración.

Artículo 6°.- De la constancia de presentación o de rechazo.

De no mediar rechazo, el personal de recepción de la SUNAT o de los bancos autorizados, según corresponda, almacenará la información y procederá a emitir la constancia de presentación, debidamente sellada y/o refrendada, que será entregada a la entidad empleadora.

En el caso de producirse el rechazo del disquete por las causales previstas en el artículo 5°, se imprimirá la constancia de rechazo, con su respectivo sello, que será entregada a la entidad empleadora.

En todos los casos, el disquete o los disquetes presentados por la entidad empleadora le serán devueltos al momento de la presentación.

Artículo 7°.- Entidades empleadoras autorizadas a presentar la declaración mediante formulario.

Sin perjuicio de lo dispuesto en el artículo 3°, las entidades empleadoras con menos de 5 trabajadores a su cargo y que no sean principales contribuyentes, podrán optar por presentar la declaración en el Formulario nº 402, en los bancos autorizados por la SUNAT.

Lo dispuesto en el párrafo anterior no es de aplicación tratándose de las entidades empleadoras que se señalan a continuación, quienes están obligadas a utilizar el PDT de Remuneraciones:

– de artistas.

– las que hayan contratado los servicios de una Entidad Prestadora de Salud (EPS).

– las que hayan suscrito con el ESSALUD un contrato por concepto del Seguro Complementario de Trabajo de Riesgo.

Artículo 8°.- Consolidación de la información.

Cualquiera sea la forma de presentación de la declaración, ya sea utilizando el PDT de Remuneraciones o mediante el Formulario nº 402, las entidades empleadoras deberán presentar una declaración-pago por cada período tributario.

Las entidades empleadoras deberán consolidar la totalidad de la información respecto de todos sus trabajadores y/o pensionistas en una sola declaración. Para tal efecto, las entidades empleadoras que tengan sucursales, agencias, establecimientos anexos o puntos de venta en distintos lugares, tomarán la información consolidada de todos sus trabajadores y/o pensionistas.

Artículo 9°.- Declaraciones sustitutorias y rectificatorias.

Para efecto de las declaraciones sustitutorias, así como las extemporáneas y rectificatorias, se observará lo siguiente:

a) Se utilizará el PDT de Remuneraciones o el Formulario nº 402, según corresponda.

b) Se ingresarán nuevamente todos los datos de la declaración, inclusive aquellos que no se desea rectificar o sustituir.

c) La declaración se presentará en los lugares señalados en la presente Resolución, según corresponda.

Artículo 10°.- Del proceso de inscripción de las entidades empleadoras.

Las entidades empleadoras se inscribirán ante la Seguridad Social mediante la presentación de la declaración.

Las entidades empleadoras se identificarán, en la declaración, con su número de Registro Único de Contribuyentes (RUC).

Tratándose de entidades empleadoras de trabajadores del hogar y de trabajadores de construcción civil eventual, se identificarán con su respectivo documento personal de identidad. El documento personal de identidad del que pueden hacer uso es el Documento Nacional de Identidad (DNI), Libreta Electoral (L.E.), Carnet de Extranjería, Carnet Policial, Carnet Militar o Pasaporte, según corresponda.

La entidad empleadora de trabajadores del hogar y de trabajadores de construcción civil eventual, que se identifique con documento de identidad distinto al DNI, o L.E., deberá registrar adicionalmente, en las oficinas que el ESSALUD habilite, los datos complementarios asociados a su documento de identidad. Dicho registro deberá efectuarlo dentro de los 5 días hábiles previos a la presentación de la declaración.

Artículo 11°.- Del proceso de inscripción de los trabajadores, pensionistas y derechohabientes.

El PDT de Remuneraciones, a que se refiere el artículo 3°, solicitará toda la información necesaria para la inscripción de los trabajadores, de los pensionistas y de los respectivos derechohabientes.

Las entidades empleadoras deberán declarar a sus trabajadores, pensionistas y los respectivos derechohabientes, consignando el número del correspondiente documento personal de identidad de éstos. Para tal efecto, se utilizará el DNI, L.E., Documento Provisional de Identidad (DPI), Carnet de Extranjería, Carnet Policial, Carnet Militar o Pasaporte, según corresponda.

Los derechohabientes menores de edad que no cuenten con documento personal de identidad, deberán ser declarados por la entidad empleadora, consignándose el número autogenerado, oportunamente, por el ESSALUD, o el número de la partida de nacimiento.

Artículo 12°.- De la modificación de los datos de identificación.

La actualización o modificación de los datos concernientes a la inscripción en el Registro Único de Contribuyentes (RUC), así como la baja de tributos y la baja de la entidad empleadora como contribuyente o responsable, se realizará haciendo uso de los procedimientos previstos por la SUNAT en el mencionado Registro.

La actualización o modificación de los datos asociados al DNI, DPI o Libreta Electoral, se efectuará ante el RENIEC, utilizando los procedimientos dispuestos por dicha entidad.

La actualización o modificación de los datos asociados al documento personal de identidad, distinto al DNI, DPI o Libreta Electoral, se efectuará en las oficinas que habilite el ESSALUD.

Artículo 13°.- De la actualización de la información respecto de los trabajadores, pensionistas y derechohabientes, mediante el PDT de Remuneraciones.

El PDT de Remuneraciones, a que se refiere el artículo 3°, solicitará toda la información necesaria para la actualización y modificación de datos de los trabajadores, de los pensionistas y de los respectivos derechohabientes.

Artículo 14°.- De la actualización de la información respecto de los trabajadores, pensionistas y derechohabientes, cuando se emplee el formulario para la declaración.

Si la declaración se presenta mediante el Formulario nº 402, la entidad empleadora registrará el documento de identidad de sus trabajadores.

Adicionalmente, la entidad empleadora, en los casos que se indican a continuación, deberá registrar en las oficinas que el ESSALUD habilite, lo siguiente:

a) Los datos complementarios asociados al documento de identidad del trabajador y/o pensionista, cuando éstos cuenten con documento de identidad distinto al DNI, DPI o Libreta Electoral.

b) Los datos de identificación de los derechohabientes de los trabajadores y/o pensionistas.

c) Los datos de identificación de los trabajadores del hogar y trabajadores agrarios dependientes a su cargo, ya sea que éstos se identifiquen con DNI o con cualquier otro documento personal de identidad.

El registro de la información a que se refiere el párrafo anterior se efectuará cada vez que la entidad empleadora declare nuevos trabajadores, pensionistas, o derechohabientes de éstos.

El registro de la información en las oficinas del ESSALUD, a que se refiere este artículo, deberá ser efectuado dentro de los 10 días de presentada la declaración.

Sin perjuicio de la obligación que tienen las entidades empleadoras de registrar en las oficinas del ESSALUD la información a que se refiere este artículo, los propios trabajadores y/o pensionistas, de manera excepcional, están autorizados a realizar el registro de la mencionada información en las referidas oficinas.

Artículo 15°.- PDT del seguro complementario de trabajo de riesgo.

Toda entidad empleadora que contrate el Seguro Complementario de Trabajo de Riesgo con el ESSALUD, deberá presentar la respectiva información empleando el Programa de Declaración Telemática PDT del Seguro Complementario de Trabajo de Riesgo, que ha desarrollado la SUNAT para tal efecto; considerando lo dispuesto en los artículos 4°, 5° y 6° de la presente Resolución.

La constancia de aceptación permitirá a la entidad empleadora sustentar gasto o costo para efecto tributario así como ejercer el derecho al crédito fiscal o al crédito deducible, según sea el caso. Dicha constancia contendrá el Impuesto General a las Ventas discriminado.

El PDT del Seguro Complementario de Trabajo de Riesgo se encuentra a disposición de las entidades empleadoras en Internet, en la siguiente dirección electrónica: http://www.sunat.gob.pe, desde el 12 de julio del presente año.

La SUNAT, a través de sus dependencias, facilitará la obtención del PDT del Seguro Complementario de Trabajo de Riesgo a aquellas entidades empleadoras que no tuvieran acceso a Internet.

Artículo 16°.- Entidades empleadoras de trabajadores del hogar y de construcción civil eventual.

Las entidades empleadoras de trabajadores del hogar y de construcción civil eventual, presentarán la declaración respecto de las contribuciones al ESSALUD y a la ONP (bajo el régimen del Decreto Ley nº 19990), utilizando únicamente el formulario nº 1071 y 1072, respectivamente.

Artículo 17°.- De los regímenes especiales.

Los asegurados de los regímenes especiales registrados bajo la modalidad de Amas de Casa, Choferes Profesionales Independientes, Continuación Facultativa y Facultativos Independientes, a que se refiere la segunda disposición transitoria del Reglamento de la Ley de Modernización de la Seguridad Social en Salud, aprobado por el Decreto Supremo nº 009-97-SA y modificado por el Decreto Supremo nº 001-98-SA, presentarán su declaración respecto de las contribuciones al ESSALUD y ONP, que le correspondan, utilizando únicamente el Formulario nº 1071.

La actualización o modificación de los datos asociados al documento de identificación de los asegurados bajo este régimen, se regirá por lo establecido en el artículo 12° de la presente Resolución.

La inscripción de los derechohabientes de estos asegurados, se efectuará conforme lo dispuesto por el inciso b) del artículo 14° de la presente Resolución.

La actualización o modificación de los datos asociados al documento de identidad de estos derechohabientes, se efectuará conforme a lo dispuesto en el artículo 12° de esta Resolución.

En todos los casos, la inscripción, actualización o modificación de datos, será responsabilidad del propio asegurado bajo regímenes especiales.

Artículo 18°.- Plazos para presentar las declaraciones.

Los plazos para la presentación de las declaraciones a que se refiere la presente Resolución y de los pagos que corresponda efectuar, serán los aprobados por la SUNAT.

Para efecto de los períodos tributarios correspondientes de julio a diciembre del presente año, se tendrá en cuenta lo dispuesto por la Resolución de Superintendencia nº 044-99/SUNAT, publicada el 13 de abril de 1999.

Artículo 19°.- Datos mínimos para considerar presentada la declaración mediante el uso de formularios.

Para considerar presentadas las declaraciones pago a que se refiere la presente resolución, mediante el uso de formularios, la entidad empleadora o los asegurados de regímenes especiales, deberán consignar como mínimo lo siguiente:

a) Número de Registro Único de Contribuyente –RUC o Documento Personal de Identidad, según corresponda.

(1) b) Nombres y apellidos, o denominación o razón social.

c) Período Tributario

d) Firma de la entidad empleadora, del asegurado de regímenes especiales o del representante legal.

(1) Literal sustituido por la Cuarta Disposición Transitoria y Final de la Resolución de Superintendencia nº 087-99/SUNAT, publicada el 25 de julio de 1999.

Artículo 20°.- Declaración incompleta

La declaración, tanto la que se efectúe a través del Programa de Declaración Telemática como la que se realice mediante formularios, será considerada presentada de manera incompleta cuando no se consigne información en los conceptos que se detallan en el anexo a la presente resolución. La declaración se entenderá incompleta respecto de cada concepto, en forma independiente.

DISPOSICIONES TRANSITORIAS Y FINALES

Primera .– Las entidades empleadoras deberán declarar, con ocasión de la presentación de la declaración que corresponda al período tributario julio de 1999, los trabajadores y/o pensionistas que tengan a su cargo durante el mencionado período, de la manera que se ha señalado en la presente Resolución.

Segunda.- Las entidades empleadoras que deseen presentar su declaración o rectificar una declaración, que corresponda a períodos tributarios anteriores a julio de 1999, por concepto del Impuesto Extraordinario de Solidaridad Cuenta -Propia y del Impuesto a la Renta de Quinta Categoría, deberán seguir el siguiente procedimiento:

– Utilizarán el PDT de Remuneraciones o el Formulario nº 402, según corresponda.

– Se presentará una declaración, por cada tributo o concepto que se declare o rectifique.

– Una vez completada la información correspondiente a los trabajadores, deberán consignar información únicamente en la columna correspondiente al impuesto declarado o rectificado.

Tercera.- Apruébase los siguientes formularios:

a) Formulario nº 402: «Retenciones y contribuciones sobre remuneraciones»

Este formulario podrá ser utilizado por las entidades empleadoras que no sean principales contribuyentes y que tengan a su cargo 4 o menos trabajadores, para efectuar la declaración y el pago de los conceptos que se señalan a continuación, con excepción de las entidades empleadoras a que se refiere el segundo párrafo del artículo 7° de esta resolución:

– Impuesto a la Renta de quinta categoría.

– Impuesto Extraordinario de Solidaridad, respecto de las remuneraciones que corresponden a los trabajadores de las entidades empleadoras.

– Contribuciones al ESSALUD, respecto de las remuneraciones que corresponden a los trabajadores de las entidades empleadoras.

– Contribuciones al ESSALUD, por las pensiones pagadas a los pensionistas.

– Contribuciones a la ONP, bajo el régimen del Decreto Ley nº 19990.

– Primas por concepto del ESSALUD Vida, respecto de los trabajadores considerados asegurados titulares del seguro regular en salud que contraten el mencionado seguro.

– Registro de trabajadores y derechohabientes.

b) Formulario nº 1071: «Trabajadores del hogar y regímenes especiales ESSALUD – ONP»

Este formulario será utilizado por las entidades empleadoras de trabajadores del hogar y por los asegurados de regímenes especiales, para efectuar la declaración y el pago de los conceptos que se señalan a continuación:

– Contribuciones al ESSALUD.

– Contribuciones a la ONP, bajo el régimen del Decreto Ley nº 19990.

– Primas por concepto del ESSALUD vida.

– Registro del trabajador del hogar.

c) Formulario 1072: «Construcción civil eventuales – ESSALUD – ONP»

Este formulario será utilizado por las entidades empleadoras de trabajadores de construcción civil eventual, para realizar la declaración y el pago de los conceptos que se señalan a continuación:

– Contribuciones al ESSALUD.

– Contribuciones a la ONP, bajo el régimen del Decreto Ley nº 19990.

– Registro de los trabajadores.

d) Formulario 1073: Boleta de pago ESSALUD – ONP

Este formulario será utilizado por las entidades empleadoras consideradas medianos y pequeños contribuyentes, que deseen realizar el pago de las contribuciones, multas, fraccionamientos u otros conceptos relacionados al ESSALUD y a la ONP.

e) Formulario 1273: Boleta de pago ESSALUD – ONP

Este formulario será utilizado por las entidades empleadoras consideradas principales contribuyentes, que deseen realizar el pago de las contribuciones, multas, fraccionamientos u otros conceptos relacionados al ESSALUD y a la ONP.

Cuarta.- Los formularios nº 402, 1071, 1072 y 1073 deberán presentarse en los bancos autorizados por la SUNAT. El Formulario nº 1273 deberá presentarse en la Oficina de Principales Contribuyentes de la SUNAT que corresponda al domicilio fiscal de la entidad empleadora.

Regístrese, comuníquese y publíquese.

JAIME R. IBERICO

Superintendente 

La Sala Primera del Tribunal Constitucional, compuesta por don Pascual Sala Sánchez, Presidente, don Manuel Aragón Reyes, doña Adela Asua Batarrita, don Andrés Ollero Tassara, don Fernando Valdés Dal-Ré y don Juan José González Rivas, Magistrados, ha pronunciado

EN NOMBRE DEL REY

la siguiente

SENTENCIA

En el recurso de amparo núm. 10522-2009, promovido por don A. T. F. N., representado por el Procurador de los Tribunales don Víctor García Montes y ejerciendo en su condición de Abogado su propia defensa, contra la Sentencia de 5 de mayo de 2009 de la Sala de lo Social de Sevilla del Tribunal Superior de Justicia de Andalucía, que desestimó el recurso de suplicación núm. 645-2008 interpuesto frente a la Sentencia de 5 de septiembre de 2007 del Juzgado de lo Social núm. 3 de Sevilla, dictada en el procedimiento núm. 665-2006 sobre impugnación de sanción, y contra el Auto de 22 de septiembre de 2009 de la misma Sala que denegó la nulidad de la primera Sentencia citada. Ha sido parte la Universidad de Sevilla, representada por el Procurador de los Tribunales don Eduardo Codes Feijoo y asistida por el Letrado don Francisco Manuel Barrero Castro. Ha intervenido el Ministerio Fiscal. Ha sido Ponente el Magistrado don Fernando Valdés Dal-Ré, quien expresa el parecer del Tribunal.

I.- ANTECEDENTES

1. Mediante escrito registrado en este Tribunal el día 17 de diciembre de 2009, el Procurador de los Tribunales don Víctor García Montes, actuando en nombre y representación de don A. T. F. N., presentó recurso de amparo constitucional contra las resoluciones citadas en el encabezamiento.

2. Los hechos de los que trae causa la demanda son, en síntesis, los siguientes:

a) El recurrente en amparo presta sus servicios desde octubre de 1989 en la Universidad de Sevilla, con la categoría profesional de director de servicio habilitado, desarrollando sus funciones como subdirector de la unidad técnica de orientación e inserción profesional. Ante la sospecha de irregularidades en el cumplimiento de su jornada laboral, el director de recursos humanos decidió que el jefe de la unidad de seguridad articulase los medios precisos para determinar las horas de entrada y salida del demandante de su puesto de trabajo durante los meses de enero y febrero de 2006, para lo que debía valerse, si fuera necesario, de la información de las cámaras de video instaladas en los accesos a las dependencias.

b) La Universidad de Sevilla tiene concedida autorización administrativa de la Agencia Española de Protección de Datos para, entre otros fines, el control de acceso de las personas de la comunidad universitaria y del personal de empresas externas a sus campus y centros. En virtud de dicha autorización tiene instaladas varias cámaras de vídeo-grabación (fijas y móviles) en los accesos al recinto de la sede sita en la antigua Fábrica de Tabacos, con la debida señalización y advertencia públicas; y, concretamente, dos cámaras de videograbación en los dos únicos accesos directos a la oficina donde el señor F. presta sus servicios.

c) En las hojas de control de asistencia de su unidad administrativa, correspondientes a los meses de enero y febrero de 2006, el trabajador consignó y firmó cada día como momento de entrada las 8:00 horas y, de salida, las 15:00 horas. Gracias al control realizado se pudo constatar, en cambio, que permaneció en las dependencias de su unidad en horarios muy diferentes a los señalados en tales hojas, acreditándose en la mayor parte de los días laborables (cerca de una treintena, según concretan los hechos probados de las resoluciones recurridas) una demora variable en la hora de entrada al trabajo de entre treinta minutos y varias horas.

d) En febrero de 2006 el recurrente pidió licencia por asuntos particulares para los días 16, 17, 20, 21 y 22 de ese mes y se ausentó de su puesto de trabajo en dichas fechas. El permiso le fue denegado, aunque la decisión se le comunicó a través de correo electrónico el mismo día en el que se iniciaba el período de ausencia solicitado.

e) En marzo de 2006 se acordó la incoación de un expediente disciplinario. Por resolución rectoral de 31 de mayo de 2006 se le impusieron tres sanciones de suspensión de empleo y sueldo de tres meses cada una, por la comisión de tres faltas muy graves, a saber: faltas reiteradas e injustificadas de puntualidad en la entrada al trabajo durante diez o más días en un mes, cometidas los meses de enero y febrero de 2006 [art. 54.2 a) del Real Decreto Legislativo 1/1995, de 24 de marzo, que aprueba el texto refundido de la Ley del estatuto de los trabajadores (LET) y apartado 1.C.8 del anexo III del convenio colectivo aplicable]; trasgresión de la buena fe contractual y abuso de confianza, consistente en hacer constar en las hojas de control de asistencia una hora de entrada al trabajo que no se corresponde con la real [art. 54.2 d) LET y apartado 1.C 4 del anexo III del convenio colectivo]; y faltas de asistencia injustificadas al trabajo durante más de tres días en un mes, cometidas los días 16, 17, 20, 21 y 22 de febrero de 2006 [art. 54.2 a) LET y apartado 1.C 7 del anexo III del convenio colectivo].

f) No conforme con ello presentó reclamación previa, que fue expresamente desestimada mediante resolución de 27 de julio de 2006, interponiendo después la demanda origen de las actuaciones judiciales, dirigida contra las tres sanciones reseñadas. Entre otros muchos extremos, el demandante manifestaba que en el expediente disciplinario se preconstituyó ilegalmente la prueba mediante la utilización de las grabaciones video-gráficas realizadas desde el día 9 de enero de 2006, pese a no existir autorización expresa para tal control laboral, ni explicación de ese seguimiento individualizado.

Queda acreditado que el actor solicitó, sin éxito, la inadmisión de la prueba video-gráfica controvertida; que dichas grabaciones no se visualizaron en el acto del juicio (ya que abarcaban las veinticuatro horas de cada uno de los días laborables de los casi dos meses durante los que se extendió el control) y que, no obstante, su contenido fue objeto de la prueba testifical del director de recursos humanos, del jefe de seguridad y de un vigilante, que fundaron sus testimonios en lo que vieron y apreciaron en las mismas. Con base en esas declaraciones y en los razonamientos jurídicos que expondremos a continuación, la Sentencia de 5 de septiembre de 2007 del Juzgado de lo Social núm. 3 de Sevilla desestimó la impugnación de las sanciones.

Como cuestión previa examinaba la validez de la prueba video-gráfica, cuya nulidad solicitaba la parte demandante. El juzgador destaca que la Universidad de Sevilla cuenta con hasta diecinueve autorizaciones de la Agencia Española de Protección de Datos para hacer uso de los soportes informáticos o ficheros grabados por sus videocámaras, entre ellas una dirigida (que identifica con el número dieciséis) al control de acceso de las personas de la comunidad universitaria y el personal de empresas externas a los campus y centros. Considerando que el actor forma parte de la comunidad universitaria, ya que tal concepto no debe limitarse a profesores y alumnos, sino extenderse a todos cuantos forman parte de la Universidad, entre ellos el personal directivo, funcionario y laboral, declara que «no puede compartirse la apreciación de que la demandada carece de autorización para controlar por video-vigilancia la entrada al trabajo del personal laboral a su servicio, razón por la cual cae por su propio peso la argumentación en que se basa la invocada vulneración constitucional», que formulaba el recurrente de amparo al amparo del art. 18 CE. Añadía a lo anterior, de otra parte, que el uso que se hizo de los medios técnicos de videograbación y de sus soportes informáticos respetó el principio de proporcionalidad exigido por la doctrina constitucional para toda medida restrictiva de los derechos fundamentales, al concurrir los requisitos de idoneidad, necesidad y proporcionalidad en sentido estricto que dicha doctrina establece, «[p]ues la comprobación, mediante visualización de las grabaciones, de si el actor entraba en la dependencia donde tiene su despacho u oficina a la hora establecida es una medida idónea para conseguir el objetivo propuesto; además, era una medida necesaria, por no existir otra más moderada y razonable para efectuar dicho control de asistencia, sobre todo ante la sospecha de que los partes de firma de entrada y salida, que los propios trabajadores cumplimentaban, estuviesen siendo falsificados; y no se alcanza a entender que cause más perjuicios a otros bienes o valores constitucionales en conflicto que beneficios para el interés general se deriven de ello, pues las cámaras están instaladas en vestíbulos o zonas de paso públicos y no en recintos cerrados o reservados al trabajador donde éste pueda presumir que dispone de un ámbito de intimidad digno de protección».

Una vez rechazada tal objeción, entra la Sentencia a conocer del fondo del asunto. Declara que las dos primeras faltas imputadas se acreditaron con la prueba testifical. Sin embargo, anula la sanción correspondiente a la falta impuesta por la ausencia de los días 16, 17, 20, 21 y 22 de febrero de 2006, de conformidad con lo dispuesto en el convenio colectivo aplicable.

g) La resolución de instancia fue recurrida en suplicación por ambas partes. Tras rechazar en el fundamento de Derecho segundo el recurso de la Universidad, que impugnaba la anulación de la sanción dejada sin efecto por el juzgador a quo, se ocupa la Sala de lo Social de Sevilla del Tribunal Superior de Justicia de Andalucía, en su Sentencia de 5 de mayo de 2009, del recurso del señor F. Con carácter previo al examen de los motivos articulados, advierte que se han unido al rollo de Sala varios documentos presentados por el actor con posterioridad a la formalización de su recurso: escritos acompañados de fotocopias del «Boletín Oficial de la Junta de Andalucía» conteniendo la resolución de 5 de marzo de 2008 de la Universidad de Sevilla (posterior, por tanto, a los hechos) por la que se crean ficheros automatizados de datos de carácter personal y, asimismo, los relativos al inicio y resolución de un expediente instruido por la Agencia Española de Protección de Datos, en virtud de denuncia del señor F. como consecuencia de la imposición de las sanciones enjuiciadas en el proceso, y en los que consta que la Agencia Española de Protección de Datos resolvió que la Universidad de Sevilla infringió en este caso lo dispuesto en el art.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). Señala la Sentencia, sin embargo, que no tendrá en cuenta tales documentos pues en nada podrían incidir en la solución del recurso, «porque la citada resolución sólo imputa a la Universidad la falta de información prevista en dicho art. 5, y por ello no se puede deducir que de tales documentos sea nula de pleno derecho la prueba videográfica que, junto con la prueba testifical, ha sido determinante para la imposición de las sanciones que se combaten en estos autos».

Desde el plano de la eventual ilegalidad de la prueba video-gráfica por falta de autorización administrativa específica para su empleo en el control de la asistencia al trabajo, la Sentencia se remite a lo resuelto por el juzgadora quo, y declara, adicionalmente, que no son de aplicación los pronunciamientos del Tribunal Constitucional invocados, referidos «a la utilización de aparatos de escucha, dispositivos ópticos o de cualquier otro medio para el conocimiento de la vida íntima de las personas, toda vez que la cámara aquí utilizada se encontraba en el vestíbulo que daba acceso al puesto de trabajo del actor, sin grabar por tanto ningún aspecto intimo que afectase a su esfera personal».

Resueltas esas cuestiones previas, rechaza la Sala, en primer lugar, las impugnaciones de carácter fáctico (por su defectuosa formulación, por mezclar cuestiones de hecho con infracción de normas y garantías del procedimiento, o por estar fundadas en documentos ineficaces a efectos revisores). De otra parte, en los motivos dedicados al examen del Derecho aplicado, razona que el art. 54.2 d) del estatuto de los trabajadores puede justificar las decisiones sancionatorias adoptadas, aunque tal precepto haga formalmente referencia al despido, resaltando que, en realidad, es el convenio colectivo aplicado el que regula las faltas y sanciones para los trabajadores de la Universidad de Sevilla.

Ambos recursos, por tanto, fueron desestimados.

h) El actor interpuso entonces incidente de nulidad de actuaciones, al amparo del art. 241 de la Ley Orgánica del Poder Judicial (LOPJ), rechazado por Auto de 22 de septiembre de 2009.

i) Según hemos indicado en los apartados anteriores, la sentencia dictada en el grado jurisdiccional de suplicación pone de manifiesto que, como acreditarían los documentos aportados por el trabajador, la Agencia Española de Protección de Datos declaró que la Universidad de Sevilla infringió en este caso lo dispuesto en el art. 5 LOPD.

Así se desprende, en efecto, de las actuaciones. Obra en ellas la denuncia interpuesta ante la Agencia Española de Protección de Datos por el señor F. en junio de 2007; el Acuerdo de inicio de procedimiento de declaración de infracción y la resolución 00987/2008, de 1 de septiembre de 2008, que aprecia la infracción. En sus antecedentes se recogen las actuaciones inspectoras y las alegaciones de la parte denunciante. Asimismo, plasma las alegaciones de la universidad, que aducía la prescripción de la infracción y el cumplimiento del deber de información del art. 5 LOPD, dado que las zonas video-vigiladas con «cámaras de vigilancia y seguridad como medida de seguridad pública en un lugar tan abierto al público» contenían «distintivos informativos, colocados en distintas puertas de acceso a la Universidad, acerca de la existencia de dichas cámaras perfectamente visible por todos». Finalmente, enumeran los antecedentes de la resolución las pruebas que la instructora del procedimiento acordó practicar, señalando con relación a éstas que la Universidad de Sevilla aportó un comunicado del servicio de mantenimiento en el que se indicaba la fecha de colocación de carteles anunciadores de las cámaras de video-vigilancia, «pero no respondió a las cuestiones planteadas por la instructora del procedimiento relativas a la notificación al personal de dicha Universidad sobre que imágenes grabadas por el sistema de vídeo vigilancia podrían ser utilizadas para el sistema de control horario de sus trabajadores», de lo que infiere en el apartado de hechos probados que la Universidad de Sevilla no ha podido acreditar que hubiera informado al personal de dicha Universidad sobre la utilización de las imágenes para ese fin.

En los fundamentos de Derecho, además de insistirse en la circunstancia anterior, se enuncia el siguiente criterio: aunque la existencia de una relación laboral justifica la obtención, cesión y tratamiento de datos personales sin necesidad de consentimiento, de conformidad con lo dispuesto en el art. 6.2 LOPD, incluidos los datos relativos al cumplimiento de la jornada laboral, era obligado informar previamente a los trabajadores, lo que no se hizo, incumpliéndose con ello el deber regulado en el art. 5 LOPD, al procederse a la recogida de los datos sin proporcionar la información que ese precepto requiere. De ahí que la resolución de la Agencia Española de Protección de Datos declare que la Universidad de Sevilla ha incumplido lo prescrito en la Ley Orgánica de protección de datos, y le requiera para que adopte «las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 5 de la LOPD«.

3. El demandante de amparo dirige sus quejas indistintamente -en ocasiones las entrelaza y proyecta de modo desordenado a las diferentes resoluciones- contra la inicial actuación instructora en el expediente sancionador, la Sentencia de instancia, la de suplicación y el Auto resolutorio del incidente de nulidad de actuaciones del art. 241 LOPJ. Invoca una serie de hechos que no han sido declarados probados, como la falta de ocupación efectiva y aislamiento laboral, o las consecuencias que esas vicisitudes tuvieron presuntamente en su salud. Vincula todo ello a una lesión del derecho a la tutela judicial efectiva por motivación arbitraria e incongruencia de las resoluciones judiciales (art. 24.1 CE), y aprecia lesión del mismo derecho por otras razones añadidas, que se plasman en el recurso de manera vaga e imprecisa o a modo reiterativo de otras quejas que se articulan en la demanda, como las referidas a la validez de las grabaciones o a la indefensión causada por la limitación de los medios de prueba en la instrucción del expediente y en el proceso judicial.

En relación con esto último, en efecto, el segundo motivo del recurso aduce la vulneración del derecho a utilizar los medios de prueba (art. 24.2 CE), que traduce en cuatro puntos:

1) la expresa negativa del juzgador de instancia a valorar la prueba pericial médica aportada;

2) la falta de garantías en la instrucción y tramitación del expediente disciplinario, debido a que la Universidad de Sevilla no le permitió acceder a las grabaciones realizadas;

3) la negativa del juzgador de instancia a comprobar en el acto del juicio el contenido de la prueba video-gráfica, a pesar de haberla admitido previamente, y su resistencia a satisfacer la solicitud de dirigir oficio al Director de la Agencia Española de Protección de Datos al objeto de probar que la Universidad de Sevilla no tenía autorización administrativa para hacer uso de los ficheros donde almacenaba las imágenes del control laboral de los trabajadores; así como, para terminar,

4) la desatención por parte del Tribunal Superior de Justicia del valor que poseía la prueba sobrevenida, constituida por la resolución de 5 de marzo de 2008 que crea el fichero de la Universidad de Sevilla y permite a ésta hacer uso de las cámaras de vigilancias instaladas, circunstancia que probaría -dice- su alegato, dado que demuestra que no existía tal autorización en la fecha de los hechos. Relata, además, otra serie de elementos (manipulación de imágenes, acceso a las mismas por terceros no autorizados o incidencia de esas prácticas en la seguridad) sobre los que ni existen hechos declarados probados ni se concretan con claridad pretensiones en el recurso de amparo.

En tercer lugar, denuncia la vulneración del derecho a la dignidad (art. 10 CE), que resultaría lesionado por el seguimiento visual e individualizado al trabajador, y del derecho a la integridad física y moral, consagrado en el art. 15 CE, por la situación de hostigamiento que el trabajador sufrió en su prestación laboral y los efectos que tuvo en su salud, todo lo cual, cuando se concreta como queja en el recurso, desemboca sin embargo en la misma pretensión antes enunciada, referida a la denegación de medios de prueba.

Finalmente, invoca los derechos fundamentales de los arts. 18.1 y 4 CE. A su criterio, el tratamiento de las imágenes del trabajador obtenidas con las grabaciones ha vulnerado su derecho fundamental a la autotutela informativa, ya que no se le ha facilitado información sobre la video-vigilancia, lesión que apoya en la doctrina sentada en la STC 292/2000, de 30 de noviembre, que parcialmente reproduce.

4. En virtud de providencia de la Sala Primera, de 2 de diciembre de 2010, se acordó la admisión a trámite de la demanda de amparo, solicitándose la certificación o fotocopia adverada de las actuaciones a los órganos judiciales que intervinieron en los diferentes grados jurisdiccionales, antes citados, así como la práctica de los emplazamientos correspondientes.

5. Mediante escrito registrado en este Tribunal el día 7 de enero de 2011, el Procurador don Eduardo Codes Feijoo solicitó que se le tuviera por personado en nombre y representación de la Universidad de Sevilla.

6. Por diligencia de ordenación de la Secretaría de Justicia de la Sección Segunda de este Tribunal, de 26 de enero de 2011, se tuvieron por recibidos los testimonios de las actuaciones y el escrito del Procurador don Eduardo Codes Feijoo, a quien se tuvo por personado y parte en la representación que ostenta, acordándose abrir el plazo común de veinte días al Ministerio Fiscal y a las partes personadas, de conformidad con el art. 52 Ley Orgánica del Tribunal Constitucional (LOTC), para que pudieran presentar las alegaciones que a su derecho conviniere.

7. La Universidad de Sevilla evacuó el trámite de alegaciones el día 28 febrero de 2011. Opone con carácter previo el óbice procesal de falta de agotamiento de la vía judicial [art. 44.1 a) LOTC], por no haberse interpuesto contra la Sentencia de suplicación el correspondiente recurso de casación para la unificación de doctrina, a pesar de que la posibilidad de formalizarlo se señalaba en la instrucción de recursos.

Resalta que los hechos que alega la demanda no se corresponden con los declarados probados, y que el proceso a quo tenía exclusivamente por objeto la resolución rectoral de 31 de mayo de 2006, que acordaba las sanciones de suspensión de empleo y sueldo. En relación con lo efectivamente enjuiciado, considera que los hechos que motivaron la incoación y resolución del expediente disciplinario fueron suficientemente descritos en cuanto a su origen, circunstancias y fechas, pudiendo ser rebatidos, lo que nunca llegó a hacer el recurrente, que pretendió justificar las sanciones en una especie de persecución que nada o poco tiene que ver con el control horario.

A su juicio, la alegación relativa al art. 24.1 CE confunde el recurso de amparo con una tercera instancia dentro de la jurisdicción ordinaria, cuando lo cierto es que no existe incongruencia ni otros déficits en las resoluciones judiciales recurridas. Al contrario, éstas motivaron suficientemente sus respectivas partes dispositivas, de las que se podrá discrepar pero en ningún caso tachar de irrazonables ni incursas en infracción de ninguno de los derechos fundamentales que se invocan.

8. El Fiscal ante el Tribunal Constitucional presentó sus alegaciones mediante escrito registrado el día 8 de marzo de 2011, interesando la denegación del amparo.

Comienza con una reflexión sobre el encuadramiento del recurso. En su opinión, lo que se somete a debate es una serie de sanciones impuestas en una relación laboral concertada entre un trabajador y un organismo público que actúa como empresario; un organismo que no interviene con potestas, ni llega a concluir, en consecuencia, un acto administrativo en sentido propio. El rectorado ejerce el poder disciplinario del empleador, al amparo de la legislación laboral y el IV Convenio colectivo de personal laboral de las universidades de Andalucía, circunstancia que sitúa el recurso en el art. 44 LOTC, no en el del art. 43 LOTC, y excluye la declaración de una lesión constitucional por infracciones en la sustanciación del expediente disciplinario de origen. No obstante, realiza consideraciones sobre la hipótesis alternativa, por si el Tribunal no compartiera aquel encuadramiento que sugiere, y afirma que podrían haberse producido vulneraciones de los arts. 24.1 y 24.2 CE (indefensión y derecho a la utilización de los medios de prueba) en la instrucción del expediente, ya que en su tramitación no se pusieron a disposición del interesado las grabaciones controvertidas.

Centrado en lo acontecido en el proceso, no comparte la denuncia de vulneración del derecho a la prueba del artículo 24.2 CE. A su juicio, el actor no puede alegar la quiebra de ese derecho por la falta de visionado de las grabaciones en la instancia, que se debió, entre otras razones, a su propia indiligencia o desinterés, pues no solo no pidió dicha práctica sino que se opuso a que se admitiera el DVD correspondiente. En cuanto al derecho a la tutela judicial efectiva del artículo 24.1 CE, estima que se pretende la revisión de lo fallado por los órganos judiciales, convirtiendo al Tribunal Constitucional en una tercera instancia. Descarta asimismo la incidencia del caso en el derecho a la dignidad personal del art. 10 CE, que no constituye autónomamente un derecho fundamental susceptible de amparo.

Acercándose seguidamente a la cuestión sustantiva, enuncia una premisa que más tarde proyectará a los diferentes derechos del art. 18 CE. A su parecer, el uso coyuntural de unas cámaras de seguridad para confirmar incumplimientos laborales, cuando ello se realiza de un modo tan levemente invasivo de la privacidad como en el caso de autos, no vulnera las previsiones constitucionales. Esto así, en cuanto al derecho a la intimidad (art. 18.1 CE), entiende que la captación y simultáneo registro de la imagen del actor por las cámaras de seguridad del edificio de la Universidad de Sevilla, reflejando su acceso al vestíbulo del centro universitario en diferentes fechas, no supondría acto alguno de injerencia en la vida íntima, sino la mera captación de la mecánica acción del diario acceso al lugar de trabajo que se desarrolla en un ámbito espacial público en presencia de todos y cada uno de quienes coetáneamente transitan por el referido lugar y realizan a su vez idéntica acción. Tampoco habría lesión del art. 18.1 CE desde el prisma del derecho a la propia imagen, que como derecho diferenciado protege ese precepto, dado que el mismo es susceptible de limitaciones si la propia y previa conducta del titular o las circunstancias en las que se encuentre inmerso justifican el descenso de las barreras de reserva, como sucedería cuando existe un interés por parte del empleador en ejercitar el poder de dirección reconocido expresamente en el art. 20.3 LET, que entre otras facultades atribuye la vigilancia y control del cumplimiento de las obligaciones laborales. En definitiva, hallándose justificado el seguimiento empresarial de la asistencia y puntualidad del trabajador, el uso de su imagen para comprobar tales extremos no constituye una actuación desproporcionada en relación con el fin perseguido.

De forma mucho más detallada examina el derecho fundamental que se protege en el artículo 18.4 CE. Tras realizar un cuidado recorrido normativo y jurisprudencial, destaca que la toma sucesiva de las imágenes del actor y el empleo de los datos así obtenidos se desarrolló a lo largo de los meses de enero y febrero de 2006, con anterioridad por tanto a la entrada en vigor de la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, dictada con la finalidad de adecuar a la Ley Orgánica de protección de datos de carácter personal el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. Esas especificaciones de la Instrucción 1/2006, sin embargo, no se contenían en la normativa en vigor al tiempo de la incoación del expediente sancionador, habiéndose sometido la Universidad a las disposiciones generales entonces vigentes. En ese sentido, dice el Fiscal, pudiera entenderse que lo que hizo la resolución de la Agencia Española de Protección de Datos de 1 de septiembre de 2008, «es constatar la falta de comunicación a los interesados, pero no ya en los primeros meses de 2006, sino en el período comprendido entre la fecha de 12 de diciembre de 2006 (entrada en vigor de la Instrucción) y la de 5 de marzo 2008, que es cuando finalmente la Universidad de Sevilla obtiene la aprobación del nuevo fichero al que le obliga la Instrucción 1/2006«.

En suma, a su parecer, la demandada procedió a la toma y grabación de imágenes en el vestíbulo del edificio por el que se accedía a las dependencias laborales con sujeción a lo dispuesto en la Ley Orgánica 15/1999, pues comunicó a la Agencia Española de Protección de Datos la existencia de un fichero genérico de control de accesos y colocó carteles en los que anunciaba la existencia de cámaras de seguridad. Y satisfechas esas cautelas, el empleo de las grabaciones para el fin de vigilancia de la actividad laboral constituye una medida idónea, en cuanto sirve al fin de comprobar el horario que el trabajador cumple diariamente; una medida necesaria, puesto que existe un interés por parte del empleador en ejercitar el poder de dirección reconocido expresamente en el art. 20 LET; y, finalmente, una medida proporcionada, ya que se produce dentro del debido respecto a la dignidad del trabajador y no se advierte una acción menos gravosa y de la que se obtenga igual resultado, sobre todo si se tiene en cuenta que el control manual de asistencia al centro (hojas de firmas) era un registro que dependía del propio demandante de amparo como una de las funciones asociadas a su puesto de trabajo, lo que excluía su aptitud para la verificación de su propia puntualidad.

Por todo lo expuesto, interesa que se dicte Sentencia denegando el amparo pretendido.

9. El Procurador don Víctor García Montes no presentó escrito de alegaciones.

10. Por providencia de 7 de febrero de 2013 se señaló para la deliberación y votación de la presente Sentencia el día 11 del mismo mes y año.

II.- FUNDAMENTOS JURIDICOS

1. Con carácter previo al examen de la pretensión de amparo aquí deducida, es necesario discernir cuál sea, en este caso, el acto del poder público frente al que el recurso se formula [art. 41.2 de la Ley Orgánica del Tribunal Constitucional (LOTC)]. La cuestión se ha suscitado por el Ministerio Fiscal en el trámite de alegaciones. Observa que la demanda se articula formalmente contra la Sentencia de 5 de mayo de 2009 de la Sala de lo Social de Sevilla del Tribunal Superior de Justicia de Andalucía, que desestimó el recurso de suplicación núm. 645-2008 interpuesto frente a la Sentencia de 5 de septiembre de 2007 del Juzgado de lo Social núm. 3 de Sevilla, dictada en el procedimiento núm. 665-2006 sobre impugnación de sanción, y contra el Auto de 22 de septiembre de 2009 de la misma Sala, que denegó la nulidad de la primera sentencia. Sin embargo, advierte que el recurrente también imputa las violaciones de derechos que denuncia a la decisión rectoral que acordó la sanción -resolución de 31 de mayo de 2006, por la que se le impusieron tres sanciones de suspensión de empleo y sueldo de tres meses cada una, por la comisión de tres faltas muy graves- y, antes aún, a las irregularidades que se habrían producido en la sustanciación del procedimiento disciplinario que concluyó en aquella resolución sancionadora. A pesar de dicha imputación plural, considera el Ministerio Fiscal que el recurso debe quedar encuadrado en el art. 44 LOTC, ya que en aquellas actuaciones la Universidad de Sevilla intervino como empleador, sin ejercer potestad pública alguna, sino antes bien, estrictamente, las facultades de orden jurídico-privado que le reconoce el ordenamiento laboral.

Como dijéramos en un supuesto similar en la STC 6/1988, de 21 de enero, ese entendimiento del sentido de la acción de amparo es, efectivamente, el correcto. El acto público aquí impugnado (pues un acto público es preciso, según dispone aquel art. 41.2 LOTC) viene constituido por las Sentencias anteriormente mencionadas, resoluciones judiciales a las que, de ser cierto lo aducido en la demanda, habría que censurar la desprotección de los derechos fundamentales sustantivos del recurrente (en esencia, como razonaremos, el art. 18.4 CE), sin perjuicio de que, en esa hipótesis, la vulneración originaria o acto lesivo -que las resoluciones judiciales no habrían reparado y este Tribunal tendría que anular- se concrete en la decisión empresarial adoptada en el curso del expediente disciplinario laboral.

Todo ello con independencia de que, según se ha expuesto en los antecedentes, a las resoluciones judiciales se les reprocha también en la demanda otras vulneraciones de derechos fundamentales, causadas directa o autónomamente en el proceso (arts. 24.1 y 24.2 CE, por supuesta indefensión y limitación del derecho a la prueba), que no son reiterativas de las que se dicen sufridas extrajudicialmente (esto es, en la relación empresario-trabajador). En cuanto a estas últimas, se debe recordar y aplicar al presente caso lo que ya dijera este Tribunal en su STC 47/1985, de 27 de marzo, FJ 5; esto es, que los órganos judiciales vienen obligados por el art. 53.2 de la Constitución a tutelar los derechos y libertades reseñados en dicha disposición. Esta garantía jurisdiccional se ha de dispensar, en asuntos como el actual, a través del procedimiento laboral y, caso de denegarse indebidamente, mediante la correspondiente acción de amparo constitucional.

En definitiva, viene encauzada esta acción por la vía del art. 44, no por la del art. 43 LOTC. Como con razón alega el Ministerio Fiscal, la Universidad de Sevilla no ejerció potestad de imperio alguna, sujeta como estuvo, estrictamente, al ordenamiento jurídico laboral, a la Ley del estatuto de los trabajadores y al IV Convenio colectivo de personal laboral de las universidades de Andalucía, sin ejercer otras facultades que las comúnmente reconocidas por dicha normativa a todo empleador. No se trata de declarar que toda actuación bajo veste privada de los órganos y autoridades que dice el art. 43.1 LOTC no sea susceptible de impugnación en dicha vía, pero sí de negar tal posibilidad en los casos, como el presente, en que los actos que se denuncian por originariamente lesivos de derechos amparables se hayan adoptado en el ejercicio de facultades dimanantes de una relación jurídico-privada (nuevamente, STC 6/1988 y, con anterioridad, STC 35/1983, de 11 de mayo, FJ 3).

2. La parte final de la argumentación actora, según reseñamos en los antecedentes, denuncia la vulneración de los apartados 1 y 4 del art. 18 CE. Junto a ello, el recurrente reprocha diversas lesiones a las resoluciones judiciales, relativas a los arts. 24.1 y 24.2 CE, derechos a los que reconduce otras quejas, como la que formalmente sitúa en el art. 15 CE, por la pretendida situación de hostigamiento que habría sufrido en su prestación laboral y los efectos en su salud.

Sin embargo, en la medida en que la controversia esencial de naturaleza constitucional suscitada en el proceso judicial ha sido determinar si existe una vulneración de los derechos fundamentales del art. 18 CE, provocada por la utilización de las grabaciones para sancionar al trabajador por el incumplimiento de su horario de trabajo, este Tribunal, una vez agotada la vía previa, puede por sí mismo reparar la lesión denunciada en el caso de que se haya producido. O expresada la idea en otros términos, la declaración de la eventual existencia de las lesiones del art. 24 CE sólo tendría un efecto retardatario para la efectiva tutela de los derechos sustantivos referidos. Por consiguiente, en tanto que las lesiones procesales, aunque existieran, no impedirían nuestro juicio respecto de la lesión principal, procederá entrar de lleno en esta última (por todas, SSTC 62/2007, de 27 de marzo, FJ 2; y 233/2007, de 5 de noviembre, FJ 4).

3. Previamente resulta obligado analizar la objeción procesal puesta de manifiesto por la representación procesal de la Universidad de Sevilla que, de concurrir, determinaría un pronunciamiento de inadmisión. Según ha señalado este Tribunal de manera invariable y constante, los defectos insubsanables de que pudiera estar afectado el recurso de amparo no resultan subsanados porque el recurso haya sido inicialmente admitido a trámite (entre las más recientes, SSTC 217/2012 y 221/2012, de 26 de noviembre, FJ 2 de ambas).

Se censura el incumplimiento del requisito del agotamiento de los recursos utilizables en la vía judicial [art. 44.1 a) LOTC], al no haberse interpuesto contra la Sentencia de suplicación el correspondiente recurso de casación para la unificación de doctrina. La objeción debe ser rechazada. Este Tribunal ha reiterado que la especial naturaleza del recurso de casación para la unificación de doctrina, condicionado legalmente a la concurrencia de rígidos requisitos de admisión sobre identidad y contradicción, determina que su interposición no resulte siempre preceptiva para dar por agotada la vía judicial, siendo únicamente exigible, a los efectos de la subsidiariedad del amparo, cuando no quepa duda respecto de su procedencia. Por lo demás, no es suficiente alegar la abstracta procedencia de tal recurso, sino que, dada su naturaleza extraordinaria, corresponde acreditar la posibilidad de utilizar esa extraordinaria vía a la parte que pretende hacer valer la no interposición del recurso como motivo de inadmisibilidad de la demanda de amparo (por todas SSTC 153/2004, de 20 de septiembre, FJ 2; y 122/2008, de 20 de octubre, FJ 2). Y en el presente caso en modo alguno cumple esa carga quien formula la objeción, pues no ofrece un razonamiento que justifique la viabilidad de su articulación procesal.

4. Procede que entremos a considerar si, como se aduce, resultó vulnerado el derecho del recurrente a la protección de datos de carácter personal (art. 18.4 CE). Es preciso aclarar que, pese a existir una cita plural (apartados primero y cuarto del art. 18 CE), la demanda se contrae exclusivamente a lo dispuesto en el número cuatro de dicha previsión constitucional, ya que estima que el tratamiento de las imágenes obtenidas del trabajador vulneró «su derecho fundamental a la autotutela informativa», tachando de lesivo que no se le informara sobre la video-vigilancia, lo que sería a su parecer contrario a la doctrina sentada en la STC 292/2000, de 30 de noviembre. No será necesario, entonces, detenerse en los derechos consagrados en el apartado primero del art. 18 CE, ni resultará en consecuencia de aplicación la doctrina de la SSTC 186/2000, de 10 de julio; o 98/2000, de 10 de abril, en las que, más allá de las notables diferencias que concurren con el caso ahora enjuiciado, no fue objeto de alegación ni de tratamiento por este Tribunal el derecho del art. 18.4 CE, sino únicamente el derecho a la intimidad del art. 18.1 CE. Pese a todo, volveremos más tarde sobre esos pronunciamientos.

En definitiva, la invocación y transcripción parcial en la demanda de amparo del precedente del Pleno de este Tribunal constituido por la STC 292/2000, de 30 de noviembre, que prácticamente absorbe la íntegra alegación de la parte desde el enfoque propio del art. 18 CE, desvela que, a juicio de ésta, el contenido de ese derecho fundamental a la protección de datos (art. 18.4 CE) fue vulnerado con la utilización no consentida ni previamente informada de las grabaciones para un fin, desconocido por el afectado, de control de su actividad laboral. De resultar de ese modo, habiéndose acordado la medida disciplinaria con base en una lesión del art. 18.4 CE, las sanciones controvertidas no podrían dejar de calificarse como nulas (de acuerdo con la calificación nacida de las SSTC 88/1985, de 19 de julio, FJ 4; o 134/1994, de 9 de mayo, FJ 5, entre otras).

5. Para resolver esta cuestión es necesario, en primer lugar, dirimir si los datos del recurrente que han sido objeto de tratamiento están protegidos por el art. 18.4 CE, ya que sólo en caso afirmativo será pertinente que este Tribunal se pronuncie sobre la queja principal planteada en su demanda.

Está fuera de toda duda que las imágenes grabadas en un soporte físico, como ha ocurrido en el caso de autos, constituyen un dato de carácter personal que queda integrado en la cobertura del art. 18.4 CE, ya que el derecho fundamental amplía la garantía constitucional a todos aquellos datos que identifiquen o permitan la identificación de la persona y que puedan servir para la confección de su perfil (ideológico, racial, sexual, económico o de cualquier otra índole) o para cualquier otra utilidad que, en determinadas circunstancias, constituya una amenaza para el individuo (STC 292/2000, de 30 de noviembre, FJ 6), lo cual, como es evidente, incluye también aquellos que facilitan la identidad de una persona física por medios que, a través de imágenes, permitan su representación física e identificación visual u ofrezcan una información gráfica o fotográfica sobre su identidad.

En esa línea se manifiesta también la normativa rectora en la materia. El art. 3 a) de la Ley Orgánica de protección de datos de carácter personal (LOPD) concreta el concepto de «datos de carácter personal» como «cualquier información concerniente a personas físicas identificadas o identificables». La letra c) del mismo precepto define el «tratamiento de datos» como las «operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». De acuerdo con tales definiciones, la captación de imágenes de las personas constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la normativa citada. Así lo ha declarado con reiteración la Agencia Española de Protección de Datos. Por su parte, el artículo 5.1. f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, insiste en esa dirección y define los datos de carácter personal del siguiente modo: «Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables». Todo ello ha sido perfilado, en lo estrictamente referido a la video-vigilancia, en la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

En la misma dirección se pronuncia el artículo 2 a) de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual, a efectos de dicha Directiva, se entiende por dato personal «toda información sobre una persona física identificada o identificable (el ‘interesado’); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social» (la misma regulación puede verse en el art. 2 del Reglamento CE núm. 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos).

Estamos, en definitiva, dentro del núcleo esencial del derecho fundamental del art. 18.4 CE, que se actualiza aún de modo más notorio cuando, como en el caso a examen, nos adentramos en un ámbito -el de la video-vigilancia- que ofrece múltiples medios de tratamiento de los datos; sistemas, por lo demás, en auge y desarrollo exponencial, que se amplían y perfeccionan a un ritmo vertiginoso y que se añaden a otros más conocidos (circuitos cerrados de televisión, grabación por dispositivos　webcam, digitalización de imágenes o, en particular, instalación de cámaras, incluidas las que se emplacen en el lugar de trabajo). Debe asegurarse, así, que las acciones dirigidas a la seguridad y vigilancia no contravengan aquel derecho fundamental, que tiene pleno protagonismo, por todo lo expuesto, en estos terrenos de la captación y grabación de imágenes personales que permitan la identificación del sujeto. En relación con el contrato de trabajo este protagonismo cobra, si cabe, mayor relevancia habida cuenta la coincidencia existente entre el locus de trabajo, que es donde pueden movilizarse por los trabajadores las garantías fundamentales, y los espacios físicos sujetos a control mediante sistemas tecnológicos.

6. Para el examen del acto empresarial controvertido desde la perspectiva del derecho a la información del afectado, resulta de todo punto obligado traer a colación la STC 292/2000, de 30 de noviembre, del Pleno de este Tribunal. En ella es donde encontramos la solución para el presente recurso y no en otros precedentes de este Tribunal, señaladamente las SSTC 98/2000, de 10 de abril; y 186/2000, de 10 de julio, anteriormente citadas.

En efecto, el asunto enjuiciado difiere de esos precedentes desde todos los planos relevantes de aproximación. Así, en un enfoque fáctico, la STC 98/2000, de 10 de abril, se ocupaba de la instalación de micrófonos (vigilancia auditiva) en las dependencias que constituían el lugar de trabajo (vigilancia en el puesto de trabajo) con conocimiento de los trabajadores y del comité de empresa (vigilancia conocida e informada). El derecho fundamental alegado era el del art. 18.1 CE, no el del art. 18.4 CE que ahora nos ocupa y, por razones de congruencia con lo aducido en el recurso, a ese derecho del art. 18.1 CE atendió la construcción del Tribunal, que ni siquiera cita el derecho a la protección de datos personales o su Ley Orgánica reguladora, haciéndolo en cambio con la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen o, en otras palabras, enjuiciando si en aquel acto empresarial se daba una intromisión ilegítima en el derecho a la intimidad.

Algo similar cabe decir, en lo esencial, de la STC 186/2000. Desde el punto de vista de los hechos, en primer lugar, no se planteaba una hipótesis de utilización de las grabaciones (allí sí de imágenes) para un fin distinto al expresamente divulgado, como podría acontecer en estos autos, sino una grabación secreta de la actividad laboral. En segundo lugar, la grabación, al igual que en la STC 98/2000, se producía en el puesto de trabajo, no en los vestíbulos y lugares públicos de paso, esto es, fuera de las dependencias en las que se perfecciona la actividad, como sucede en esta ocasión según hemos relatado en los antecedentes y luego precisaremos. Desde el punto de vista material, por su parte, el examen se centró en la proporcionalidad de la medida y en la validez probatoria de las grabaciones (FFJJ 7 y 8), siendo residual el aspecto relativo a la información de su existencia. Y se constata además, como también ocurriera en la STC 98/2000, que el debate quedaba reducido al art. 18.1 CE, sin mención siquiera del art. 18.4 CE, lo que, como enseguida razonaremos, resulta decisivo.

Ciertamente, la STC 186/2000, en respuesta a una alegación de la parte recurrente sobre la ausencia de información, declaró que «(el) hecho de que la instalación del circuito cerrado de televisión no fuera previamente puesta en conocimiento del Comité de empresa y de los trabajadores afectados (sin duda por el justificado temor de la empresa de que el conocimiento de la existencia del sistema de filmación frustraría la finalidad apetecida) carece de trascendencia desde la perspectiva constitucional, pues, fuese o no exigible el informe previo del Comité de empresa a la luz del art. 64.1.3 d) LET, estaríamos en todo caso ante una cuestión de mera legalidad ordinaria, ajena por completo al objeto del recurso de amparo». Una recta lectura de esa declaración revela que la dimensión ordinaria y no constitucional de la cuestión no se predicaba del derecho de información como garantía nuclear del art. 18.1 CE, sino de las garantías complementarias del art. 18.1 CE que pudieran encontrar expresión en el art. 64.1.3 d) del texto refundido de la Ley del estatuto de los trabajadores (LET) y, por tanto, del alcance concreto de este precepto, relativo a los derechos de información del comité de empresa.

De cualquier modo, aunque se comprende que el párrafo transcrito haya podido dar lugar a otras interpretaciones, no debemos ahora profundizar en esa declaración ya que no estamos volviendo a juzgar aquel supuesto, sino sólo señalando las diferencias con el presente. Bastará decir por ello que el art. 18.1 CE impone como regla de principio y, de forma añadida al resto de sus garantías, (aunque sin perjuicio, obviamente, de los límites del derecho que ha ido fijando nuestra doctrina en multitud de resoluciones) un deber de información que protege frente a intromisiones ilegítimas en la intimidad. Es inequívoca en ese sentido, por ejemplo, la STC 196/2004, de 15 de noviembre, FJ 9, según la cual «se vulnera el derecho a la intimidad personal cuando la actuación sobre su ámbito propio y reservado no sea acorde con la ley y no sea consentida, o cuando, aun autorizada, subvierta los términos y el alcance para el que se otorgó el consentimiento, quebrando la conexión entre la información personal que se recaba y el objetivo tolerado para el que fue recogida».

Más importante que el anterior enunciado, empero, es constatar que una interpretación restrictiva del derecho a la información (ya pretendidamente fundada en la STC 186/2000, ya ajena por completo a ella) no podrá operar en un juicio relativo al art. 18.4 CE, como el que nos ocupa. En efecto y según adelantamos, así viene impuesto por la doctrina sentada en la STC 292/2000, de 30 de noviembre, pronunciamiento no sólo posterior a aquellas otras resoluciones sino, además, del Pleno de este Tribunal y referido específicamente al art. 18.4 CE, a diferencia de las reseñadas.

En esa resolución encontramos varios elementos que resultarán aplicables en este supuesto. El primero incide todavía en la diferencia que acabamos de cifrar entre el presente recurso y los de las SSTC 98/2000 y 186/2000; o, si se prefiere, entre la doctrina sobre el art. 18.1 CE y la propia del derecho a la protección de datos personales. Nos recuerda el fundamento jurídico 4 de la STC 292/2000, en efecto, que «el constituyente quiso garantizar mediante el actual art. 18.4 CE no sólo un ámbito de protección específico sino también más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado 1 del precepto», o el fundamento jurídico 5 que «[l]a peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental, tan afín como es el de la intimidad, radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran». Insiste después el fundamento jurídico 6, subrayando que «[l]a función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado … Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin».

7. Deteniendo en este punto la transcripción, que podría ser sin duda más amplia, es en el inciso final de lo reproducido en el anterior fundamento jurídico, que reitera en el fundamento jurídico 7, donde encontramos la　ratio decidendi del presente recurso de amparo.

En efecto, en el fundamento jurídico 7 se declara que es complemento indispensable del derecho fundamental del art. 18.4 CE «la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo». Por consiguiente, el Pleno del Tribunal ha señalado como elemento caracterizador de la definición constitucional del art. 18.4 CE, de su núcleo esencial, el derecho del afectado a ser informado de quién posee los datos personales y con qué fin.

Ese derecho de información opera también cuando existe habilitación legal para recabar los datos sin necesidad de consentimiento, pues es patente que una cosa es la necesidad o no de autorización del afectado y otra, diferente, el deber de informarle sobre su poseedor y el propósito del tratamiento. Es verdad que esa exigencia informativa no puede tenerse por absoluta, dado que cabe concebir limitaciones por razones constitucionalmente admisibles y legalmente previstas, pero no debe olvidarse que la Constitución ha querido que la ley, y sólo la ley, pueda fijar los límites a un derecho fundamental, exigiendo además que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero, FJ 6; 18/1999, de 22 de febrero, FJ 2, y en relación con el derecho a la protección de datos personales, STC 292/2000, FFJJ 11 y 16).

En aplicación de esa doctrina, concluimos que no hay una habilitación legal expresa para esa omisión del derecho a la información sobre el tratamiento de datos personales en el ámbito de las relaciones laborales, y que tampoco podría situarse su fundamento en el interés empresarial de controlar la actividad laboral a través de sistemas sorpresivos o no informados de tratamiento de datos que aseguren la máxima eficacia en el propósito de vigilancia. Esa lógica fundada en la utilidad o conveniencia empresarial haría quebrar la efectividad del derecho fundamental, en su núcleo esencial. En efecto, se confundiría la legitimidad del fin (en este caso, la verificación del cumplimiento de las obligaciones laborales a través del tratamiento de datos, art. 20.3 LET en relación con el art. 6.2 LOPD) con la constitucionalidad del acto (que exige ofrecer previamente la información necesaria, art. 5 LOPD), cuando lo cierto es que cabe proclamar la legitimidad de aquel propósito (incluso sin consentimiento del trabajador, art. 6.2 LOPD) pero, del mismo modo, declarar que lesiona el art. 18.4 CE la utilización para llevarlo a cabo de medios encubiertos que niegan al trabajador la información exigible.

En conclusión, no debe olvidarse que hemos establecido de forma invariable y constante que las facultades empresariales se encuentran limitadas por los derechos fundamentales (entre otras muchas, SSTC 98/2000, de 10 de abril, FJ 7, o 308/2000, de 18 de diciembre, FJ 4). Por ello, al igual que el interés público en sancionar infracciones administrativas resulta insuficiente para que la Administración pueda sustraer al interesado información relativa al fichero y sus datos, según dispone el art. 5.1 y 2 LOPD (STC 292/2000, de 30 de noviembre, FJ 18), tampoco el interés privado del empresario podrá justificar que el tratamiento de datos sea empleado en contra del trabajador sin una información previa sobre el control laboral puesto en práctica. No hay en el ámbito laboral, por expresarlo en otros términos, una razón que tolere la limitación del derecho de información que integra la cobertura ordinaria del derecho fundamental del art. 18.4 CE. Por tanto, no será suficiente que el tratamiento de datos resulte en principio lícito, por estar amparado por la Ley (arts. 6.2 LOPD y 20 LET), o que pueda resultar eventualmente, en el caso concreto de que se trate, proporcionado al fin perseguido; el control empresarial por esa vía, antes bien, aunque podrá producirse, deberá asegurar también la debida información previa.

8. En el caso enjuiciado, las cámaras de video-vigilancia instaladas en el recinto universitario reprodujeron la imagen del recurrente y permitieron el control de su jornada de trabajo; captaron, por tanto, su imagen, que constituye un dato de carácter personal, y se emplearon para el seguimiento del cumplimiento de su contrato. De los hechos probados se desprende que la persona jurídica titular del establecimiento donde se encuentran instaladas las videocámaras es la Universidad de Sevilla y que ella fue quien utilizó al fin descrito las grabaciones, siendo la responsable del tratamiento de los datos sin haber informado al trabajador sobre esa utilidad de supervisión laboral asociada a las capturas de su imagen. Vulneró, de esa manera, el art. 18.4 CE.

No contrarresta esa conclusión que existieran distintivos anunciando la instalación de cámaras y captación de imágenes en el recinto universitario, ni que se hubiera notificado la creación del fichero a la Agencia Española de Protección de Datos; era necesaria además la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de control de la actividad laboral a la que esa captación podía ser dirigida. Una información que debía concretar las características y el alcance del tratamiento de datos que iba a realizarse, esto es, en qué casos las grabaciones podían ser examinadas, durante cuánto tiempo y con qué propósitos, explicitando muy particularmente que podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo.

Por otra parte, más allá de que ese derecho a la información expresa y previa es el realmente determinante, podríamos no obstante añadir que tampoco había evidencia alguna de que aquélla fuera la finalidad del tratamiento de los datos, o uno de sus posibles objetos, pues ni siquiera estaban situados los aparatos de video-vigilancia dentro de las concretas dependencias donde se desarrollaba la prestación laboral, sino en los vestíbulos y zonas de paso públicos, según se indicó en los antecedentes de esta resolución al recoger el contenido de la Sentencia de 5 de septiembre de 2007, del Juzgado de lo Social núm.3 de Sevilla. En el mismo sentido apuntan, por lo demás, otros documentos que obran en las actuaciones, según los cuales la video-vigilancia respondía a una «medida de seguridad pública en un lugar tan abierto al público» (alegaciones de la propia universidad en el procedimiento ante la Agencia Española de Protección de Datos), y no por tanto a un fin declarado y específico de control de la actividad laboral. A la misma conclusión sobre el derecho de información del denunciante llegó la Agencia Española de Protección de Datos en su resolución 0987/2008, de 1 de septiembre; resolución que no podría condicionar nuestro juicio de constitucionalidad pero que, sin duda, resulta indicativa.

En definitiva, por todo lo dicho, las sanciones impuestas con base en esa única prueba, lesiva de aquel derecho fundamental, deben declararse nulas. Y es que privada la persona de aquellas facultades de disposición y control sobre sus datos personales, lo fue también de su derecho fundamental a la protección de datos, toda vez que, como concluyó en este punto la STC 11/1981, de 8 de abril (FJ 8), «se rebasa o se desconoce el contenido esencial cuando el derecho queda sometido a limitaciones que lo hacen impracticable, lo dificultan más allá de lo razonable o lo despojan de la necesaria protección». A la vista de tal incumplimiento, generador de la vulneración del art. 18.4 CE, no es preciso analizar el resto de las quejas, ni tampoco examinar el tratamiento de datos personales desde otros enfoques, como el de la proporcionalidad, por lo que procederá anular las resoluciones judiciales impugnadas y la resolución rectoral que impuso las sanciones de suspensión de empleo y sueldo al recurrente en amparo.

FALLO

En atención a todo lo expuesto, el Tribunal Constitucional, POR LA AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA,

Ha decidido

Otorgar el amparo solicitado por don A. T. F. N., y, en consecuencia:

1º Reconocer su derecho fundamental a la protección de datos de carácter personal (art. 18.4 CE).

2º Declarar la nulidad de la Sentencia de 5 de septiembre de 2007 del Juzgado de lo Social núm. 3 de Sevilla, dictada en el procedimiento núm. 665-2006; de la Sentencia de 5 de mayo de 2009 de la Sala de lo Social de Sevilla del Tribunal Superior de Justicia de Andalucía, que desestimó el recurso de suplicación núm. 645-2008, y del Auto de 22 de septiembre de 2009 de la misma Sala, resolutorio del incidente de nulidad de actuaciones.

3º Declarar la nulidad de la resolución rectoral de 31 de mayo de 2006.

Publíquese esta Sentencia en el «Boletín Oficial del Estado».

Dada en Madrid, a once de febrero de dos mil trece.

VOTOS PARTICULARES

Voto particular que formula el Magistrado don Andrés Ollero Tassara respecto a la Sentencia de la Sala Primera de fecha 11 de febrero de 2013 dictada en el recurso de amparo núm. 10522-2009.

En el ejercicio de la facultad que nos confiere el art. 90.2 de la Ley Orgánica del Tribunal Constitucional y con el máximo respeto a la opinión de la mayoría, dejo constancia de mi opinión discrepante puesta ya de manifiesto durante la deliberación de la Sentencia.

1. La advertencia del epígrafe cuarto del artículo 18 CE anunciando que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos» ha dado paso al reconocimiento de un autónomo derecho constitucional a la protección de datos. No es de extrañar que su delimitación con el derecho a la intimidad, reconocido en el epígrafe primero, no revista con frecuencia particular nitidez.

Así ocurre en el presente caso, como refleja en sus antecedentes la propia Sentencia al indicar que «el demandante de amparo dirige sus quejas indistintamente -en ocasiones las entrelaza y proyecta de modo desordenado a las diferentes resoluciones-«, después de lo cual «finalmente invoca los derechos fundamentales de los artículos 18.1 y 4 CE«, como se reitera en el fundamento jurídico 2. La argumentación subsiguiente se situará, por el contrario, únicamente en la perspectiva del epígrafe cuarto, quizá para poder justificar el reiterado rechazo de la doctrina recogida en la STC 186/2000, de 10 julio, que estimó un recurso de amparo sobre hechos notablemente similares a los ahora enjuiciados. Se afirmará sintomáticamente que, «pese a existir una cita plural (apartados 1 y 4 del art. 18 CE), la demanda se contrae exclusivamente a lo dispuesto en el número cuatro de dicha previsión constitucional». Aunque en aquella otra ocasión, por las razones ya aludidas, la argumentación girara en torno a la protección del derecho a la intimidad, es obvio -formalidades aparte- que era también entonces el de protección de datos el que materialmente estaba en juego.

Por otra parte, la argumentación que fundamenta el fallo optará por apoyarse de modo exclusivo en la STC 292/2000, de 30 de noviembre, que emite un juicio inevitablemente abstracto sobre la constitucionalidad de una ley, y no «en otros precedentes de este Tribunal», relativos a recursos de amparo que enjuician circunstancias tan concretas y similares como las ahora analizadas, aludiendo «señaladamente» a la ya aludida STC 186/2000.

2. Se afirma en la Sentencia que el derecho fundamental a la protección de datos «fue vulnerado con la utilización no consentida ni previamente informada de las grabaciones para un fin, desconocido por el afectado, de control de su actividad laboral». En vía jurisdiccional se había considerado, sin embargo, probado que entre las diecinueve autorizaciones con que contaba la Universidad hispalense «para hacer uso de los soportes informáticos o ficheros grabados por sus videocámaras», figuraba una dirigida «al control de acceso de las personas de la comunidad universitaria». Igualmente que «las zonas video-vigiladas con cámaras de vigilancia y seguridad como medida de seguridad pública en un lugar tan abierto al público contenían distintivos informativos, colocados en distintas puertas de acceso a la Universidad, acerca de la existencia de dichas cámaras perfectamente visible por todos».

La Sentencia enfatiza cómo lo exigible «ha sido perfilado, en lo estrictamente referido a la video-vigilancia, en la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras». Sorprendentemente guarda a la vez silencio sobre una afirmación del Fiscal que no parece irrelevante: «Esas especificaciones de la Instrucción 1/2006, sin embargo, no se contenían en la normativa en vigor al tiempo de la incoación del expediente sancionador». Todo ello puede explicar que en sede jurisdiccional se hubiera afirmado que «no puede compartirse la apreciación de que la demandada carece de autorización para controlar por video-vigilancia la entrada al trabajo del personal laboral a su servicio, razón por la cual cae por su propio peso la argumentación en que se basa la invocada vulneración constitucional». No parece pues tan razonable dar por sentado que nos encontramos ante «el interés empresarial de controlar la actividad laboral a través de sistemas sorpresivos o no informados de tratamiento de datos que aseguren la máxima eficacia en el propósito de vigilancia».

3. El fundamento jurídico 5 de nuestra citada STC 186/2000, que tan reiteradamente se descarta, resaltaba cómo «debe tenerse en cuenta que el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva», «atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales». Igualmente en el fundamento jurídico 7 se afirmó que «[e]l hecho de que la instalación del circuito cerrado de televisión no fuera previamente puesta en conocimiento del Comité de empresa y de los trabajadores afectados (sin duda por el justificado temor de la empresa de que el conocimiento de la existencia del sistema de filmación frustraría la finalidad apetecida) carece de trascendencia desde la perspectiva constitucional».

Es obvio que dichas medidas han de ser proporcionadas, tras ponderarse las exigencias de los derechos fundamentales en juego. La Sentencia de la que ahora discrepo, fiel a su planteamiento abstracto, se ahorra toda ponderación; la antecedente, tras la obligada ponderación, dictaminaba que el derecho a la intimidad no había sido vulnerado. Cabría argüir que sí se ha producido en este caso ponderación, estimándose que la protección de datos personales primaba sobre las medidas empresariales, pero ello implicaría una sorprendente valoración del peso de los derechos a la intimidad y a la protección de datos. Es bien sabido que este último, dado su carácter instrumental al servicio de otros derechos, amplía el ámbito de protección del propio del derecho a la intimidad, al extenderse a todo tipo de datos, sensibles o no desde la perspectiva tradicional. Asunto distinto, sin embargo, es que -a la hora de ponderarlo- al derecho a la protección de datos se le pueda atribuir más peso del antes adjudicado al derecho a la intimidad. La misma Sentencia reconoce que es éste el que en buena medida acaba indirectamente confiriendo relevancia al de protección de datos, al recordar cómo «amplía la garantía constitucional a todos aquellos datos que identifiquen o permitan la identificación de la persona y que puedan servir para la confección de su perfil (ideológico, racial, sexual, económico o de cualquier otra índole)».

4. La Sentencia no se acoge, a la hora de constatar una posible vulneración de la protección de datos, a su posible utilización para finalidad diversa de la que había justificado la video-vigilancia. Le hubiera sido muy útil como precedente la STC 202/1999, de 8 de noviembre, que no cita. En todo caso, como hemos señalado, parece claro que el control de acceso, de público conocimiento, y la misma situación de las cámaras, que permitía controlar en qué medida el recurrente aportaba datos falsos sobre el cumplimiento de su horario laboral, excluirían tal paralelismo; lo que podría explicar el indicado silencio sobre dicho precedente.

Por todo ello me veo obligado a emitir mi Voto particular.

Madrid, a once de febrero de dos mil trece.

Work programme for the year 2003. Adopted on 25 february 2003 (MARKT 12054/02/EN WP 71)

Work Programme for the Year 2003 .Adopted on 25 February 2003 WP 71

1. Binding corporate rules

2. Standard contractual clauses submitted by business associations

3. Internet Task Force(1)

TCPA/Palladium

Copyright enforcement issues

Whois directories

Privacy Enhancing Technologies and Identity management (follow-up RAPID project)

Follow-up P3P

Follow-up to the opinion on IPv6

Software-related issues

(1) Please note that it is not necessarily the intention to produce papers on each of the items mentioned for the Internet Task Force, some of the issues might be interesting to follow up and to report to the plenary through the internal reports of the Internet Task Force, but might not need immediate action of the Art. 29 Working Party as a whole.

4. Community Codes of conduct

FEDMA

AESC

ETP

5. Towards a more uniform application and interpretation of the Directive -Follow-up of the 1st report on the implementation of the Directive Simplification of the notification procedure

Information to data subjects (Art.10 and 11) and privacy policies

Simplification of international transfers

Implementation and control : in particular complaint handling and followup to the Dutch questionnaire on transborder data flows

Finality principle

6. Third Countries adequacy:

Guernsey, possibly followed by Isle of Man

Australia

US (transfers from airlines to public authorities)

7. Regular update on the situation and new developments concerning the implementation of the Safe Harbor agreement

8. Evaluation and initiatives of the Working Party concerning the Commission’s proposals in respect of publicly available data consumer credit and possibly employer – employee relationships

9. 6th Annual Report 2001

7th Annual Report 2002

10. E-government

11. Follow-up to the opt-in for unsolicited e-mail and other issues arising from transposition of directive 2002/58

12. Genetic data

13. Biometrics

14. Total Information Awareness

15. Follow-up of data protection in Justice and Home affairs issues

Eurojust/Europol/Schengen (esp. SIS II)

Visa Information System

New developments in the area of security measures

Act relating to certain aspects of electronic commerce and other information society services (Electronic Commerce Act).

Section 1.– Purpose and scope of the Act

This Act applies to electronic commerce and other information society services and regulation and control of such services by the public authorities. The purpose of the Act is to ensure free movement of information society services within the European Economic Area (EEA).

An information society service is

a) any service which is normally performed for remuneration and which is provided electronically at a distance and at the individual request of a recipient of a service and

b) any service that consists of providing access to or transmitting information via an electronic communication network or of hosting information provided by the recipient of a service.

Voice telephony, telefax and telex services are not covered by the Act.

The King may issue regulations concerning what shall be regarded as an information society service.

The King may issue regulations prescribing that the Act shall wholly or partly apply to Svalbard and Jan Mayen.

Section 2.– Exceptions from the scope of the Act

The Act shall not apply to:

a) taxation,

b) processing of personal data pursuant to the Personal Data Act and regulations issued pursuant thereto, the Telecommunications Act and regulations issued pursuant thereto and the Act of 23 June 2000 nº 54 relating to computerized reservation systems for passenger transport, etc.,

c) questions concerning agreements or practice regulated by the Competition Act and by articles 53 and 54 of the EEA Agreement,

d) activities as notaries public pursuant to the Act of 26 April 2002 nº 12 relating to notaries public,

e) representation of a client and safeguarding of such client's interests in courts of law,

f) gaming activities involving financial stakes in games of chance, including lotteries and betting, cf. the Act of 1 July 1927 nº 3 relating to betting by means of a totalizator, the Act of 28 August 1992 nº 103 relating to Money Games, etc. and the Act of 24 March 1995 nº 11 relating to lotteries, etc.

Section 3.– Definitions

For the purposes of this Act:

a) «service provider» means a natural or legal person who provides information society services,

b) «recipient of a service» means a natural or legal person who uses an information society service,

c) «place of establishment» means a fixed establishment where the commercial activities with which the information society service concerned is associated, are actually carried out,

d) «the coordinated regulatory area» means national rules prescribing requirements concerning information society services and service providers as regards the establishment and operation of information society services,

e) «consumer» means a natural person who does not primarily act as part of commercial activity.

Section 4.– Information society services from Norway

A service provider with a place of establishment in Norway shall within the coordinated regulatory area comply with Norwegian law regardless of whether the service is wholly or partly directed towards recipients of the service in another state within the EEA.

Section 5.– Information society services from another state within the EEA

A service provider with a place of establishment in another state within the EEA has, notwithstanding Norwegian rules within the coordinated regulatory area, the right to provide information society services to recipients of the service in Norway.

The first paragraph shall notwithstanding not preclude that a court of law or other authority, when so provided by other legislation, may derogate from the freedom to provide a given information society service in so far as the measure is necessary for protection of:

a) public order, particularly prevention, investigation and prosecution of criminal offences, protection of minors, and protection against violations of human dignity concerning individual persons and against incitement to hatred on grounds of race, sex, religion or nationality,

b) public health,

c) public safety, including protection of national security and defence, or

d) consumers, including investors in so far as they are consumers.

Before laying down prohibitions as referred to in the second paragraph,

a) the state where the service provider has his place of establishment must have been called upon to implement measures without this proving adequate to protect the purposes referred to in the second paragraph, and

b) the EFTA Surveillance Authority (ESA) and the state concerned must have been informed that such prohibitions will be laid down.

The provisions of the third paragraph shall not apply to cases brought before courts of law or to measures taken in the investigation of criminal offences. They may also be departed from if delay entails any risk but, in such case, the ESA and the state concerned must, as soon as possible, be notified of this and of the prohibition laid down.

The King may issue regulations concerning who shall be notified pursuant to the third and fourth paragraphs and concerning the content of the notification.

Section 6.– Exceptions to sections 4 and 5

The provisions of sections 4 and 5 shall not apply to:

a) agreements concerning choice of law for a contract,

b) choice of law in insurance, cf. sections 4 to 10 of the Act of 27 September 1992 nº 111 relating to choice of law in insurance,

c) contractual terms in consumer contracts,

d) mandatory requirements regarding agreements that establish or transfer rights to real property,

e) intellectual property rights,

f) electronic transmission of unsolicited advertising,

g) marketing of shares in securities funds, cf. the Act of 12 June 1981 nº 52 relating to securities funds

h) the emission of electronic money by an institution subject to an exception laid down in section 1-2 of the Act relating to electronic money enterprises, and

i) insurance activities excepted pursuant to regulations laid down by the Ministry.

Section 7.– Prohibition of requirements regarding prior consent

A service provider may provide information society services without any prior consent or similar licence solely relating to the provision of information society services.

Requirements regarding licensing pursuant to chapter 2 of the Telecommunications Act shall apply notwithstanding the first paragraph.

Section 8.– The service provider's duty to provide information concerning his activities

When pursuing its activities, a service provider shall always provide information of its name, address, electronic postal address and other information which allows it to be contacted directly. In addition, the service provider shall provide information:

a) concerning the register of business enterprises where the service provider is registered, as well as the service provider's registration number and indicating whether the undertaking is subject to VAT, and

b) concerning any approvals that are required in order to pursue the activity and the name and address of the relevant approval authority.

In the case of professional activities that directly or indirectly are subject pursuant to statutes or regulations to a condition that the person concerned hold a diploma or certificate of training, the service provider shall also provide information concerning:

a) his professional title and the member state in which it was awarded,

b) the rules for professional conduct that apply to the service provider, and

c) where the recipient of a service can obtain the rules referred to in (b).

The information pursuant to the first and second paragraphs shall be made simply and directly accessible to recipients of a service and to public authorities.

The provision shall not apply in relation to service providers who solely provide services consisting of transfer of information via an electronic communication network.

Section 9.– The service provider's duty to provide information in connection with electronic marketing

In connection with electronic marketing, the person on whose behalf the marketing is carried out shall be clearly stated. If unsolicited marketing is sent by means of electronic post, it shall be stated that the messages contain marketing when the messages are received.

If prices are stated in connection with an information society service, information shall be provided concerning taxes and delivery charges. In relation to consumers, the total costs to be paid by the consumer shall be stated including all taxes and delivery charges unless information concerning the price of the service is regulated by other legislation.

Advertising offers, such as discounts, prizes and gifts shall be easily identifiable.

Information concerning conditions for taking advantage of such offers shall be clear and easily accessible.

Promotional competitions or games shall be easily identifiable. Information concerning conditions for participation in such competitions or games shall be clear and easily accessible.

The provisions of the Marketing Act apply in addition to the provisions of this section.

Section 10.– Obligation to respect opt-out registers, etc.

A service provider who has his place of establishment in Norway, and who directs unsolicited marketing representations by electronic mail to recipients in other states within the EEA shall consult and respect the registers in which natural persons not wishing to receive such e-mail advertising can register themselves.

Section 11.– Duty to provide information prior to electronic orders

Before electronic orders are made, the service provider shall provide the recipient of a service with clear, comprehensible and unambiguous information concerning:

a) relevant rules of conduct followed by the service provider and whether and where these can be obtained electronically,

b) the various technical stages associated with entry into agreements,

c) whether an agreement entered into will be filed by the service provider and whether it will be accessible,

d) the technical means of finding and correcting typing errors before orders are made,

e) the languages in which the agreement may be entered into.

Agreement terms, standard terms and general terms must be made available to the recipient of a service in such a way as to enable them to be stored and displayed.

The service provider shall facilitate electronic entry into agreements in such a way that typing errors can easily be discovered and corrected before an agreement is entered into.

The first and third paragraphs shall not apply to agreements which are solely entered into via electronic mail or equivalent individual communication, and which may be departed from in agreements concerning clients other than individual consumers.

Section 12.– Receipt and confirmation of orders

If the recipient of a service makes an order electronically, the service provider shall always and without undue delay send an electronic confirmation that the order has been received.

An order or confirmation made electronically is regarded as received when the addressee has access to it.

The first paragraph shall not apply to agreements solely entered into via electronic mail or equivalent individual communication.

The first and second paragraph may be departed from in agreements concerning clients other than individual consumers.

Section 13.– Responsibility for information and guidance

The Ministry shall by means of regulations appoint contact points which shall be accessible by electronic means and from which recipients of a service and service providers may obtain:

a) general information on their contractual rights and obligations, as well as on the complaint and redress mechanisms available in the event of disputes and on procedures for the use of such mechanisms,

b) the details of authorities, associations or organisations from which they may obtain further information or practical assistance.

The Ministry may issue regulations concerning activities in the contact points appointed pursuant to the first paragraph.

Section 14.– Cooperation with other EEA-states

The Ministry is responsible for cooperation with other EEA-states.

Section 15.– Commencement

This Act enters into force on the date decided by the King 

Declaración Ministerial relativa a la protección de la intimidad en las Redes Globales. Ottawa, 7 al 9 de octubre de 1998.

ORGANIZACIÓN PARA LA COOPERACIÓN Y DESARROLLO ECONÓMICO.

Directrices sobre protección de datos

INTRODUCCIÓN

La Declaración relativa a la Protección de la Intimidad en las Redes Globales fue adoptada por los Ministros en la Conferencia Ministerial de Ottawa celebrada los días 7 a 9 de octubre de 1998. En su 934 sesión, celebrada el 19 de octubre de 1998, el Consejo adoptó una Resolución en virtud de la cual se integra la presente Declaración en los instrumentos de la Organización.

Derechos de reproducción OCDE, 1998

Las solicitudes de autorización para reproducir o traducir en todo o en parte este material deben efectuarse a:

Director del Servicio de Publicaciones de la OCDE, 2 rue André-Pascal, 75775 París Cedex, 16 Francia.

DECLARACIÓN RELATIVA A LA PROTECCIÓN DE LA INTIMIDAD EN LAS REDES GLOBALES

Realizada por los Ministros de la OCDE en la Conferencia

«Un mundo sin fronteras: comprender el potencial del comercio electrónico global»

7-9 de octubre de 1998, Ottawa, Canadá

Los Gobiernos de los Países Miembros de la OCDE*:

* incluidas las Comunidades Europeas.

Considerando que el desarrollo y difusión de los ordenadores digitales y de las tecnologías de red a escala global ofrecen beneficios sociales y económicos al fomentar el intercambio de información, aumentar la posibilidad de elección del consumidor y estimular la expansión del mercado y la innovación de los productos;

Considerando que las tecnologías de redes globales facilitan la expansión del comercio electrónico y aceleran el crecimiento de las comunicaciones y transacciones electrónicas transfronterizas entre gobiernos, empresas y usuarios y consumidores;

Considerando que los datos personales deben ser recogidos y manejados con el debido respeto a la intimidad;

Considerando que los ordenadores digitales y las tecnologías de red pueden también ser empleadas para educar a los usuarios y consumidores acerca de cuestiones relacionadas con la intimidad en línea y para ayudarles a mantener su anonimato en las circunstancias adecuadas o poder elegir con respecto a los usos que se hagan de sus datos personales;

Considerando que, para aumentar la confianza en las redes globales, los usuarios y consumidores necesitan garantías en cuanto a la recogida y manejo leal de sus datos personales, incluidos los datos relativos a sus actividades y transacciones en línea;

Considerando que resulta necesario garantizar la protección eficaz y general de la intimidad por parte de las empresas que recopilan y manejan datos personales, con el fin de aumentar la confianza del usuario y del consumidor en las redes globales;

Considerando que unas normas y reglamentos transparentes que rijan la protección de la intimidad y de los datos personales y su efectiva puesta en práctica en las redes de información constituyen elementos esenciales para aumentar la confianza en las redes globales;

Considerando que los diferentes enfoques eficaces de protección de la intimidad desarrollados por los Estados Miembros, incluida la adopción y puesta en práctica de leyes o la autorregulación por parte de la industria, pueden trabajar juntos para conseguir una protección eficaz de la intimidad en las redes globales;

Considerando que la necesidad de cooperación global y la necesidad de que la industria y las empresas desempeñen un papel clave, en colaboración con los consumidores y los gobiernos, para conseguir una puesta en práctica eficaz de principios relacionados con la intimidad en las redes globales;

Considerando que los principios neutrales desde el punto de vista de la tecnología de las Directrices sobre Intimidad de la OCDE de 1980 continúan representando un consenso internacional y una orientación en cuanto a la recogida y manejo de datos personales en cualquier medio, y proporcionan la base para la protección de la intimidad en las redes globales;

REAFIRMAN los objetivos establecidos en:

La Recomendación relativa a las directrices que rigen la protección de la intimidad y los flujos transfronterizos de datos personales, adoptada por el Consejo de la OCDE el 23 de septiembre de 1980 (Directrices sobre Intimidad de la OCDE);

La Declaración relativa a los flujos de datos transfronterizos, adoptada por los Gobiernos de los países Miembros de la OCDE el 11 de abril de 1985; y

La Recomendación relativa a las directrices de política criptográfica, adoptada por el Consejo de la OCDE el 2 de marzo de 1997.

DECLARAN QUE:

Reafirman su compromiso relativo a la protección de la intimidad en las redes globales, con el fin de garantizar el respeto de derechos importantes, fomentar la confianza en las redes globales y evitar restricciones innecesarias a los flujos transfronterizos de datos personales;

Trabajarán juntos para tender puentes entre los diferentes enfoques adoptados por los países Miembros, con el fin de garantizar la protección de la intimidad en las redes globales basándose en las Directrices de la OCDE;

Tomarán las medidas necesarias, dentro del marco de sus respectivas reglamentaciones y prácticas, para garantizar que las Directrices sobre Intimidad de la OCDE sean llevadas a efecto de forma eficaz en relación con las redes globales y, en particular:

estimularán la adopción de políticas sobre la intimidad, ya sean puestas en práctica por medios jurídicos o bien de autorregulación, administrativos o tecnológicos;

estimularán la notificación en línea a los usuarios de las políticas sobre la intimidad;

garantizarán la existencia de mecanismos eficaces de ejecución, dirigidos tanto a hacer frente al incumplimiento de los principios y políticas relativos a la intimidad como a garantizar el acceso a una reparación

promoverán la educación y concienciación del usuario con respecto a las cuestiones relacionadas con la intimidad en línea y los medios disponibles para proteger la intimidad en las redes globales;

fomentarán el uso de tecnologías que aumenten la intimidad; y

fomentarán el uso de soluciones contractuales y el desarrollo de soluciones contractuales modelo para los flujos de datos transfronterizos en línea;

Acuerdan revisar los avances conseguidos en la promoción de los objetivos de la presente Declaración en un período de dos años, así como evaluar la necesidad de adoptar nuevas actuaciones para garantizar la protección de datos personales en las redes globales, con vistas a alcanzar estos objetivos.

DECLARAN ADEMÁS QUE LA OCDE DEBE:

Apoyar a los estados Miembros para que intercambien información sobre métodos eficaces para proteger la intimidad en las redes globales, e informen acerca de sus esfuerzos y experiencia en cuanto al cumplimiento de los objetivos de esta Declaración.

Examinar cuestiones específicas suscitadas por la puesta en práctica de las Directrices sobre Intimidad de la OCDE en relación con las redes globales y, tras la recogida y distribución de ejemplos de experiencias relacionadas con la puesta en práctica de las Directrices, facilitar orientaciones prácticas a los estados Miembros acerca de la puesta en práctica de la Directrices en entornos en línea, teniendo en cuenta los diferentes enfoques de protección de la intimidad adoptados por los países Miembros e inspirándose en las experiencias de los estados Miembros y del sector privado.

Cooperar con la industria y las empresas en sus esfuerzos encaminados a proporcionar protección de la intimidad en las redes globales, así como con las correspondientes organizaciones regionales e internacionales.

Revisar periódicamente los principales avances y cuestiones en el campo de la protección de la intimidad relacionados con los objetivos de esta Declaración.

Tener en cuenta, entre otras cosas, en sus trabajos futuros, las cuestiones y actividades sugeridas que se debaten en el Informe de Antecedentes que acompaña a la presente Declaración.

INVITA:

A los países no miembros a tener en cuenta la presente Declaración;

A las correspondientes organizaciones internacionales a tomar en consideración la presente Declaración a la hora de elaborar o revisar los convenios internacionales, directrices, códigos de práctica, cláusulas contractuales modelo, tecnologías y plataformas interoperables para la protección de la intimidad en las redes globales.

A la industria y a las empresas a tener en cuenta los objetivos de la presente Declaración y a trabajar con los gobiernos para favorecerlos, poniendo en práctica programas para la protección de la intimidad en las redes globales.

Directrices relativas a la protección de la intimidad y los flujos transfronterizos de datos personales

Contenido

Prefacio, Recomendación del Consejo, Directrices, Memorándum explicativo

PREFACIO

El desarrollo del proceso automático de datos, que permite la transmisión de enormes cantidades de datos en segundos a través de las fronteras nacionales, e indudablemente a través de continentes, ha hecho necesario el tomar en consideración la protección de la intimidad en relación con los datos personales. Se han introducido, o están a punto de introducirse, leyes de protección de la intimidad en aproximadamente la mitad de los países Miembros de la OCDE (Austria, Canadá, Dinamarca, Francia, Alemania, Luxemburgo, Noruega, Suecia y los Estados Unidos han aprobado legislación; Bélgica, Islandia, Holanda, España y Suiza han elaborado proyectos de ley) para impedir las que se consideran violaciones de derechos humanos fundamentales, como son el almacenamiento ilegal de datos personales, el almacenamiento de datos personales inexactos o el abuso o revelación no autorizada de tales datos.

Por otra parte, existe el peligro de que las disparidades en las legislaciones nacionales puedan obstaculizar el libre flujo de datos personales a través de las fronteras; estos flujos han aumentado notablemente en años recientes y van a aumentar aún más con la introducción generalizada de nuevas tecnologías de ordenadores y comunicaciones. Las limitaciones a estos flujos pueden provocar graves trastornos en importantes sectores de la economía, como la banca y los seguros.

Por este motivo, los países Miembros de la OCDE han considerado necesario elaborar Directrices que puedan ayudar a armonizar la legislación nacional relativa a la intimidad y que, al tiempo que defienden tales derechos humanos, eviten interrupciones en los flujos internacionales de datos. Representan un consenso sobre principios básicos, que pueden incorporarse a la legislación nacional existente o servir de base a la legislación en aquellos países que todavía carecen de ella.

Las Directrices, en forma de Recomendación del Consejo de la OCDE, fueron elaboradas por un grupo de expertos gubernamentales, bajo la presidencia del Excmo. Sr. Magistrado M. D. Kirby, Presidente de la Comisión Australiana de Reforma Legislativa. La Recomendación fue adoptada y entró en vigor el 23 de septiembre de 1980.

Las Directrices van acompañadas de un Memorándum Explicativo, con la finalidad de proporcionar información acerca del debate y de los razonamientos que subyacen en su formulación.

RECOMENDACIÓN DEL CONSEJO RELATIVA A LAS DIRECTRICES QUE RIGEN LA PROTECCIÓN DE LA INTIMIDAD Y LOS FLUJOS TRANSFRONTERIZOS DE DATOS PERSONALES

(23 de septiembre de 1980)

EL CONSEJO,

Teniendo en cuenta los artículos 1(c), 3(a) y 5(b) del Convenio relativo a la Organización de Cooperación y Desarrollo Económicos de 14 de diciembre de 1960;

RECONOCIENDO:

que, aunque las leyes y políticas nacionales puedan diferir, los países miembros tienen un interés común en proteger la intimidad y las libertades individuales, y en compatibilizar valores fundamentales, aunque en pugna, como son la intimidad y el libre flujo de información;

que el proceso automático y los flujos transfronterizos de datos personales crean nuevas formas de relación entre los países y exigen la elaboración de normas y prácticas compatibles;

que los flujos transfronterizos de datos personales contribuyen al desarrollo económico y social;

que la legislación interna relativa a la protección de la intimidad y los flujos transfronterizos de datos personales puede obstaculizar los referidos flujos transfronterizos;

Determinado a fomentar el libre flujo de información entre los países Miembros y a evitar la creación de obstáculos injustificados al desarrollo de relaciones económicas y sociales entre los países Miembros;

RECOMIENDA

1. Que los países Miembros tengan en cuenta en su legislación interna los principios relativos a la protección de la intimidad y de las libertades individuales establecidos en las Directrices contenidas en el Anexo a la presente Recomendación, que forma parte integrante de las mismas.

2. Que los países Miembros se esfuercen en retirar o eviten crear, en nombre de la protección de la intimidad, obstáculos injustificados a los flujos transfronterizos de datos personales;

3. Que los países Miembros pacten a la mayor brevedad posible procedimientos específicos de consulta y cooperación para la aplicación de las presentes Directrices.

Anexo a la Recomendación del Consejo de 23 de septiembre de 1980

DIRECTRICES QUE RIGEN LA PROTECCIÓN DE LA INTIMIDAD Y LOS FLUJOS TRANSFRONTERIZOS DE DATOS PERSONALES

PARTE UNO. GENERALIDADES

Definiciones

A los fines de las presentes Directrices:

«controlador de datos» significa una parte que, conforme a su derecho interno, es competente para decidir acerca del contenido y uso de los datos personales, sin tener en cuenta el hecho de que tales datos sean recogidos, almacenados, procesados o divulgados por dicha parte o por un agente en nombre suyo; «datos personales» significa cualquier información relativa a una persona identificada o identificable (sujeto de los datos); «Flujos transfronterizos de datos personales» significa movimientos de datos personales a través de fronteras nacionales.

Ámbito de aplicación de las presentes Directrices

2. Las presentes Directrices se aplican a los datos personales, tanto del sector público como del privado, que, como consecuencia de la forma en que son procesados, o como consecuencia de su naturaleza o del contexto en el que se utilizan, representan un riesgo para la intimidad y para las libertades individuales.

3. Las presentes Directrices no deben interpretarse en el sentido de impedir

la aplicación a diferentes categorías de datos personales, de diferentes medidas protectoras, dependiendo de su naturaleza y del contexto en que sean recogidos, almacenados, procesados o divulgados; la exclusión de la aplicación de las Directrices de aquellos datos personales que obviamente no contengan ningún riesgo para la intimidad y para las libertades individuales; o la aplicación de las Directrices únicamente al proceso automático de datos personales.

4. Las excepciones a los Principios contenidos en las Partes Dos y Tres de las presentes Directrices, incluidas aquellas relativas a la soberanía nacional, seguridad nacional y orden público («ordre public») deben ser:

tan pocas como sea posible, y

puestas en conocimiento del público.

5. En el caso particular de los países federales, la observancia de las presentes Directrices puede verse afectada por la división de poderes dentro de la Federación.

6. Las presentes Directrices deben considerarse como estándares mínimos, que pueden complementarse con medidas adicionales para la protección de la intimidad y de las libertades individuales.

PARTE DOS. PRINCIPIOS BÁSICOS DE APLICACIÓN NACIONAL

Principio de limitación de la recogida

7. Deben existir límites a la recogida de datos personales y cualquiera de dichos datos debe ser obtenido a través de medios legales y leales y, en caso aplicable, con el conocimiento o consentimiento del sujeto de los datos

Principio de calidad de los datos

8. Los datos personales deben ser pertinentes para los fines para los que vayan a ser utilizados y, en la medida necesaria para dichos fines, deben ser exactos, completos y actualizados.

Principio de especificación del fin

9. Los fines para los que se recogen los datos personales deben ser especificados no más tarde del momento en que sean recogidos, y su uso posterior limitado al cumplimiento de tales fines o de aquellos otros que no sean incompatibles con los mismos y que se especifiquen en cada ocasión en que se cambien.

Principio de limitación de uso

11. Los datos personales no deben ser revelados, puestos a disposición o utilizados de otra forma, para fines distintos de los especificados conforme al Apartado 9, excepto:

con el consentimiento del sujeto de los datos; o

con autorización legal.

Principio de salvaguardas de seguridad

12. Habrá una política general de apertura por lo que se refiere a los avances, prácticas y políticas relacionados con los datos personales. Tienen que existir medios fácilmente accesibles para establecer la existencia y la naturaleza de los datos personales, y de los fines principales para los que van a ser utilizados, así como la identidad y residencia habitual del controlador de los datos.

Principio de participación individual

13. Una persona debe tener derecho:

a obtener, de un controlador de los datos o de otra forma, la confirmación de si el controlador de los datos tiene o no datos relacionados con ella;

a que se le comuniquen los datos con ella relacionados dentro de un período de tiempo razonable; con un coste, en su caso, que no sea excesivo; de una manera razonable, y de una forma que le resulte fácilmente inteligible;

a que se le dé una motivación, en caso de que le sea denegada una solicitud al amparo de los subapartados a) y b), y a poder recurrir tal denegación; y

a recurrir contra datos con ella relacionados y, en caso de que el recurso tenga éxito, a que los datos sean borrados, rectificados, completados o enmendados.

Principio de responsabilidad

14. Un controlador de datos debe ser responsable de cumplir las medidas que den efecto a los principios arriba especificados.

PARTE TRES: PRINCIPIOS BÁSICOS DE APLICACIÓN INTERNACIONAL: LIBRE FLUJO Y LIMITACIONES LEGÍTIMAS

15. Los países Miembros deben tener en cuenta las implicaciones que tiene para otros países Miembros el procesado interno y la reexportación de datos personales.

16. Los estados Miembros deben adoptar todas las medidas razonables y adecuadas para garantizar que los flujos transfronterizos de datos personales, incluido el tránsito a través de un país Miembro, sean ininterrumpidos y seguros.

17. Un país Miembro debe abstenerse de limitar los flujos transfronterizos de datos personales entre sí mismo y otro país Miembro, salvo cuando este último no observe todavía de forma sustancial las presentes Directrices, o cuando la reexportación de tales datos escaparía a la aplicación de su legislación interna sobre intimidad. Un país Miembro puede también imponer restricciones en relación con determinadas categorías de datos personales para las que su legislación interna sobre intimidad incluya normas específicas como consecuencia de la naturaleza de aquellos datos y para los que el otro país Miembro no prevea una protección equivalente.

18. Los países Miembros deben evitar elaborar leyes, políticas y prácticas en nombre de la protección de la intimidad y de las libertades individuales, que sean susceptibles de crear obstáculos a los flujos transfronterizos de datos personales superiores a los necesarios para dicha protección.

PARTE CUATRO: PUESTA EN PRÁCTICA A ESCALA NACIONAL

19. A la hora de poner en práctica a escala interna los principios establecidos en las Partes Dos y Tres, los países Miembros deben establecer procedimientos o instituciones jurídicas, administrativas o de otra clase para la protección de la intimidad y de las libertades individuales en relación con los datos personales. Los países Miembros deben, en particular, esforzarse por:

adoptar una legislación interna adecuada;

fomentar y respaldar la autorregulación, ya sea en forma de códigos de conducta o de otra forma;

proporcionar medios razonables para que las personas ejerciten sus derechos;

prever las sanciones y recursos necesarios en caso de incumplimiento, con medidas que pongan en práctica los principios establecidos en las Partes Dos y Tres; y

garantizar que no existe una discriminación desleal contra los sujetos de los datos.

PARTE CINCO: COOPERACIÓN INTERNACIONAL

20. Los países Miembros deben, en caso de que se les solicite, dar a conocer a otros países Miembros los detalles de la observancia de los principios establecidos en las presentes Directrices. Los países Miembros deben también garantizar que los procedimientos relativos a los flujos transfronterizos de datos personales y a la protección de la intimidad y de las libertades individuales sean sencillos y compatibles con los de otros países Miembros que respeten las presente Directrices.

21. Los países Miembros deben establecer procedimientos para facilitar:

1. el intercambio de información relacionada con las presentes Directrices; y la asistencia mutua en las materias de procedimiento e investigación de que se trate.

22. Los países Miembros deben trabajar en la elaboración de principios, internos e internacionales, que rijan el derecho aplicable en caso de flujos transfronterizos de datos personales

MEMORÁNDUM EXPLICATIVO

INTRODUCCIÓN

Una característica de los países miembros de la OCDE durante las pasadas décadas ha sido la elaboración de leyes para la protección de la intimidad. Estas leyes han tendido a asumir diferentes formas en los diferentes países, y en muchos países están todavía en proceso de elaboración. Las disparidades en la legislación pueden crear obstáculos al libre flujo de la información entre los países. Tales flujos han aumentado notablemente en los últimos años y están destinados a continuar creciendo como resultado de la introducción de nuevas tecnologías informáticas y de comunicación.

La OCDE, que se había mostrado activa en este campo desde hacía algunos años, decidió enfrentarse a los problemas derivados de la divergencia de las legislaciones nacionales y en 1978 encargó a un Grupo de Expertos la elaboración de unas Directrices en torno a normas básicas que rigiesen el flujo transfronterizo y la protección de datos personales y de la intimidad, con el fin de facilitar la armonización de la legislación nacional. El Grupo ha finalizado ahora su trabajo.

Las Directrices son de naturaleza amplia y reflejan el debate y la labor legislativa que se ha estado llevando a cabo durante varios años en los países Miembros. El Grupo de Expertos que elaboró las Directrices ha considerado esencial emitir un Memorándum Explicativo anexo. Su finalidad es la de explicar y elaborar las Directrices y los problemas básicos de protección de la intimidad y de las libertades individuales. Dirige la atención hacia temas clave que se han planteado en el debate de las Directrices y explica los motivos por los que se han elegido unas soluciones determinadas.

La primera parte del Memorándum proporciona información sobre antecedentes generales del área objeto de preocupación, tal y como se perciben en los países Miembros. Explica la necesidad de actuación internacional y resume el trabajo que se ha llevado a cabo hasta la fecha por parte de la OCDE y de algunas otras organizaciones internacionales. Concluye con una lista de los principales problemas con que se ha encontrado el Grupo de Expertos en su trabajo.

La Parte Dos tiene dos subapartados. El primero contiene comentarios acerca de determinadas características generales de las Directrices, la segunda comentarios detallados acerca de algunos apartados concretos.

El Memorándum es un documento informativo, elaborado para explicar y describir en general el trabajo del Grupo de Expertos. Está subordinado a las propias Directrices. No puede modificar el sentido de las Directrices, aunque se facilita como ayuda para su interpretación y aplicación.

ANTECEDENTES GENERALES

Los problemas

1. La década de los 70 puede describirse como un período de actividades intensificadas de investigación y legislación acerca de la protección de la intimidad relacionada con la recogida y uso de datos personales. Numerosos informes oficiales muestran que los problemas se toman en serio a nivel político y, al mismo tiempo, que la tarea de equilibrar intereses contrapuestos es delicada y que es improbable que pueda llevarse a cabo de manera definitiva. El interés público ha tendido a centrarse en los riesgos e implicaciones asociadas al proceso informatizado de datos personales, y algunos países han elegido aprobar leyes dirigidas exclusivamente a la informática y a actividades basadas en la informática. Otros países han preferido una aproximación más general a los temas de protección de la intimidad, sea cual sea la tecnología concreta del procesado de datos.

2. Los remedios objeto de debate son principalmente salvaguardas para la persona que impidan una invasión de su intimidad en el sentido clásico, es decir, el abuso o revelación de datos personales íntimos, pero se han puesto de manifiesto otras necesidades de protección más o menos estrechamente relacionadas. La obligación de los responsables de los archivos de informar al público en general de las actividades relacionadas con el procesado de datos, y los derechos de los sujetos de los datos a añadir o modificar los datos que a ellos se refieren constituyen dos ejemplos al azar. En general, ha habido una tendencia a ampliar el concepto tradicional de intimidad («el derecho a que le dejen a uno en paz») y a identificar una síntesis más compleja de intereses que pueden quizás denominarse con mayor corrección intimidad y libertades individuales.

3. Por lo que se refiere a los problemas jurídicos derivados del procesado automático de datos (PAD), la protección de la intimidad y de las libertades individuales constituye quizás el aspecto más ampliamente debatido. Entre los motivos de esta preocupación generalizada se encuentran el uso ubicuo de ordenadores para el procesado de datos personales, las posibilidades ampliamente extendidas de almacenamiento, comparación, vinculación, selección y acceso a los datos personales, y la combinación de la informática con la tecnología de telecomunicaciones, que puede poner los datos personales de forma simultánea a disposición de miles de usuarios en lugares geográficamente distantes y que permite reunir fondos de datos y crear complejas redes de datos nacionales e internacionales. Determinados problemas exigen una atención particularmente urgente, por ejemplo, aquellos relativos a las redes de datos internacionales emergentes, así como la necesidad de equilibrar intereses en pugna, de intimidad por una parte y de libertad de información por otra, con el fin de permitir una explotación plena del potencial de las nuevas tecnologías de procesado de datos en la medida en que resulte deseable.

Actividades a escala nacional

4. Más de una tercera parte de los países Miembros de la OCDE han aprobado hasta la fecha diversas leyes que, entre otras cosas, pretenden proteger a los individuos contra el abuso de los datos que a ellos se refieren y darles derecho a acceder a los datos con el fin de comprobar su exactitud y conveniencia. En los estados federales, pueden encontrarse leyes de este tipo tanto a nivel nacional como estatal o provincial. Tales leyes se denominan de distinta forma en los diferentes países. De esta forma, resulta práctica habitual en la Europa continental el hablar de «leyes de datos» o de «leyes de protección de datos» (lois sur la protection des données), mientras que en los países anglófonos se conocen normalmente como «leyes de protección de la intimidad». La mayor parte de las leyes fueron aprobadas después de 1973, y el período actual puede describirse como de actividad legislativa continua e incluso intensificada. Los países que ya tienen leyes en vigor están dirigiéndose hacia nuevas áreas de protección o se están dedicando a revisar o complementar las leyes existentes. Algunos otros países están entrando en la materia, y tienen proyectos de ley pendientes o están estudiando los problemas con el fin de elaborar la legislación. Estos esfuerzos nacionales, y en no menor medida los amplios informes y documentos de investigación elaborados por comités públicos u organismos similares, ayudan a clarificar las problemas y las ventajas e implicaciones de las distintas soluciones. En el estadio actual, proporcionan una sólida base para la actuación internacional.

5. Los enfoques de protección de la intimidad y de las libertades individuales adoptados por los distintos países tienen muchas características comunes. Así, es posible identificar determinados intereses o valores básicos que se consideran, en general, componentes elementales del área de protección. Algunos principios nucleares de este tipo son: poner límites a la recogida de datos personales de acuerdo con los objetivos de quien los recoge y criterios similares, limitar el uso de datos para conformarse a fines abiertamente especificados, crear medios para que los individuos conozcan la existencia y contenido de los datos y puedan corregirlos, e identificación de las partes que sean responsables de hacer respetar el cumplimiento de las normas y decisiones pertinentes de protección de la intimidad. Hablando en términos generales, las leyes que protegen la intimidad y las libertades individuales en relación con los datos personales tratan de cubrir los sucesivos estadios del ciclo que comienza con la recogida inicial de datos y finaliza con su supresión o medidas similares, así como de garantizar en la mayor medida posible la concienciación, participación y control individuales.

6. Las diferencias entre enfoques nacionales que se manifiestan en la actualidad en leyes, proyectos o propuestas legislativas se refieren a aspectos como el ámbito de aplicación de la legislación, los diferentes elementos de protección en los que se hace hincapié, la puesta en práctica detallada de los principios generales arriba indicados, y la maquinaria que garantiza su cumplimiento. De esta forma, las opiniones varían con respecto a las exigencias de licencias y mecanismos de control en forma de organismos supervisores especiales («autoridades de inspección de datos»). Las categorías de datos sensibles se definen de diferentes formas, los medios de garantizar la apertura y la participación individual varían, por poner algún ejemplo. Indudablemente, las diferencias tradicionales existentes entre sistemas jurídicos constituyen un motivo de disparidad, tanto por lo que se refiere a los enfoques legislativos como a la formulación detallada del marco reglamentario de protección de los datos personales.

Aspectos internacionales de la intimidad y de los bancos de datos

7. Por una serie de motivos, los problemas derivados de la elaboración de salvaguardas del individuo en relación con el manejo de datos personales no pueden resolverse exclusivamente a escala nacional. El enorme aumento de los flujos de datos a través de fronteras nacionales y la creación de bancos de datos internacionales (recopilaciones de datos que tienen por finalidad la recuperación y otros usos) han destacado la necesidad de una actuación nacional concertada y, al mismo tiempo, proporcionan argumentos a favor de los libres flujos de información, que la mayor parte de las veces hay que equilibrar con las exigencias de protección de los datos y de limitaciones a su recogida, procesado y divulgación.

8. Una preocupación básica a escala internacional es el consenso acerca de los principios fundamentales en los que debe basarse la protección del individuo. Tal consenso obviaría o disminuiría los motivos para regular la exportación de datos y facilitaría la resolución de problemas de conflicto de leyes. Además, constituiría un primer paso hacia la elaboración de acuerdos internaciones más detallados y obligatorios.

9. Existen otros motivos por los que la regulación del procesado de datos personales debe ser considerada en un contexto internacional: los principios afectados se refieren a valores que muchas naciones están deseosas de salvaguardar y ver generalmente aceptados; pueden ayudar a ahorrar costes en el tráfico internacional de datos; los países tienen un interés común en evitar la creación de lugares en los que pueda escaparse fácilmente a la aplicación de las normas nacionales relativas al procesado de datos; sin duda, en vista de la movilidad internacional de personas, mercancías y actividades comerciales y científicas, unas prácticas comúnmente aceptadas en relación con el proceso de datos pueden resultar ventajosas, incluso cuando no esté directamente implicado un tráfico transfronterizo de datos.

Actividades internacionales relevantes

10. Existen diversos acuerdos internacionales relativos a distintos aspectos de las telecomunicaciones que, al tiempo que facilitan las relaciones y la cooperación entre países, reconocen el derecho soberano de cada país a regular sus propias telecomunicaciones (El Convenio Internacional de Telecomunicaciones de 1973). La protección de los datos y programas informáticos ha sido investigada por, entre otros, la Organización Mundial de Propiedad Intelectual, que ha elaborado un borrador de disposiciones modelo para leyes nacionales sobre protección de software informático. Pueden encontrarse acuerdos especializados dirigidos a la cooperación informativa en una serie de áreas, como la de cumplimiento de la ley, servicios sanitarios, estadísticas y servicios judiciales (por ejemplo, por lo que se refiere a la recogida de pruebas).

11. Existen diversos acuerdos internacionales que abordan de una forma más general cuestiones que son actualmente objeto de debate, por ejemplo, la protección de la intimidad y la libre divulgación de la información. Entre ellos se encuentran el Convenio Europeo de Derechos Humanos de 4 de noviembre de 1950 y el Pacto Internacional de Derechos Civiles y Políticos (Naciones Unidas, 19 de diciembre de 1966).

12. No obstante, y en vista de lo inadecuado de los instrumentos nacionales existentes en relación con el procesado de datos y los derechos individuales, distintas organizaciones internacionales han llevado a cabo estudios detallados de los problemas, con el fin de encontrar soluciones más satisfactorias.

13. En 1973 y 1974, el Comité de Ministros del Consejo de Europa adoptó dos resoluciones relacionadas con la protección de la intimidad de los individuos frente a los bancos de datos electrónicos en los sectores privado y público, respectivamente. Ambas resoluciones recomiendan que los gobiernos de los estados Miembros del Consejo de Europa adopten medidas para poner en práctica una serie de principios básicos de protección relacionados con la obtención de datos, la calidad de los datos y los derechos de los individuos a ser informados acerca de los datos y de las actividades del procesado de datos.

14. Posteriormente, el Consejo de Europa, siguiendo instrucciones del Comité de Ministros, empezó a elaborar un Convenio internacional de protección de la intimidad en relación con el procesado de datos en el extranjero y el procesado de datos transfronterizo. También inició trabajos relativos a normas modelo para bancos de datos médicos y normas de conducta para los profesionales del procesado de datos. El Convenio fue adoptado por el Comité de Ministros de 17 de septiembre de 1980. Busca establecer principios básicos de protección de datos cuyo cumplimiento garanticen los países Miembros, reducir las limitaciones a los flujos de datos transfronterizos entre las Partes Contratantes sobre la base de la reciprocidad, conseguir la cooperación entre las autoridades nacionales de protección de datos y crear un Comité Consultivo para la aplicación y desarrollo permanente del convenio.

15. La Comunidad Europea ha llevado a cabo estudios acerca de los problemas de armonización de las legislaciones nacionales dentro de la Comunidad, en relación con los flujos de datos transfronterizos y las posibles distorsiones de la competencia, los problemas de seguridad y confidencialidad de los datos y la naturaleza de los flujos de datos transfronterizos. Un subcomité del Parlamento Europeo celebró una audiencia pública sobre protección de datos y derechos del individuo a principios de 1978. Sus trabajos han dado como resultado un informe para el Parlamento Europeo en la primavera de 1979. El informe, que fue adoptado por el Parlamento Europeo en mayo de 1979, contiene una resolución relativa a la protección de los derechos del individuo frente a la evolución técnica del proceso de datos.

Actividades de la OCDE

16. El programa de la OCDE sobre flujos de datos transfronterizos se deriva de los estudios de utilización de la informática en el sector público iniciados en 1969. Un Grupo de Expertos, el Data Bank Panel, analizó y estudió diferentes aspectos de la intimidad, por ejemplo, en relación con la información digital, la administración pública, los flujos de datos transfronterizos y las implicaciones políticas en general. Con el fin de obtener pruebas acerca de la naturaleza de los problemas, el Data Bank Panel organizó un Simposio en Viena en 1977, que proporcionó opiniones y experiencia desde una diversidad de intereses, incluidos gobiernos, industria, usuarios de redes internacionales de comunicación de datos, servicios de procesado y organizaciones intergubernamentales interesadas.

17. Se elaboraron una serie de principios rectores dentro de un marco general de posible actuación internacional. Estos principios reconocían: a) la necesidad de flujos generalmente continuos e ininterrumpidos de información entre los países; b) los legítimos intereses de los países en impedir las transferencias de datos que fuesen peligrosas para su seguridad o contrarias a sus leyes relativas al orden público y a la decencia, o que violasen los derechos de sus ciudadanos; c) el valor económico de la información y la importancia de proteger el «comercio de datos» mediante normas aceptadas de competencia leal; d) la necesidad de salvaguardas de seguridad para minimizar las violaciones de datos sujetos a derechos de propiedad y el mal uso de la información personal; y e) la importancia de un compromiso entre países en torno a un conjunto de principios nucleares para la protección de la información personal.

18. A principios de 1978 se creó dentro de la OCDE un nuevo Grupo de Expertos ad hoc sobre Barreras Transfronterizas a los Datos y Protección de la Intimidad, al que se encargó la elaboración de directrices sobre normas básicas que rigiesen el flujo transfronterizo y la protección de los datos personales y de la intimidad, con el fin de facilitar una armonización de las legislaciones nacionales, sin que esto impidiese en una fecha posterior el establecimiento de un Convenio internacional. Este trabajo iba a ser llevado a cabo en estrecha colaboración con el Consejo de Europa y con la Comunidad Europea y estar terminado para el 1 de julio de 1979.

19. El Grupo de Expertos, bajo la presidencia del Excmo. Sr. Magistrado Kirby, de Australia, y con la asistencia del Dr. Peter Seipel (Asesor), elaboró diversos borradores y debatió diversos informes que contenían, por ejemplo, análisis comparativos de diferentes enfoques de la legislación en este campo. Se preocupó de forma especial por una serie de cuestiones clave, que a continuación se exponen.

La cuestión de los hechos específicos, sensibles

Se planteó la cuestión de si las Directrices debían ser de naturaleza general o si debían estar estructuradas de forma que abordasen diferentes tipos de datos o actividades (por ejemplo, información de créditos). Es probable, sin duda, que no resulte posible identificar una serie de datos que sean universalmente considerados como sensibles.

La cuestión del procesado automático de datos (PAD)

El argumento de que el PAD constituye el principal motivo de preocupación es dudoso y, sin duda, objeto de controversia.

La cuestión de las personas jurídicas

Algunas leyes nacionales, aunque en modo alguno todas, protegen los datos relacionados con las personas jurídicas de forma similar a los datos relacionados con las personas físicas.

La cuestión de los recursos y sanciones

Los enfoques de los mecanismos de control varían considerablemente: por ejemplo, los sistemas que implican supervisión y licencia por parte de autoridades especialmente constituidas pueden ser comparados con sistemas que implican el cumplimiento voluntario por parte de los responsables de archivos y el recurso a los remedios judiciales tradicionales a través de los Tribunales.

La cuestión de la maquinaria básica o de la puesta en práctica

La elección de los principios nucleares y de su adecuado nivel de detalle presenta dificultades. Por ejemplo, la medida en que deben contemplarse las cuestiones de seguridad de los datos (protección de datos contra interferencias no autorizadas, fuego y eventos similares) como parte del complejo de protección de la intimidad es discutible; las opiniones pueden diferir en cuanto a los límites de tiempo de retención,. o en cuanto a los requisitos para la supresión de datos, y lo mismo sucede con la exigencia de que los datos sean relevantes para fines específicos. En particular, resulta difícil trazar una línea divisoria clara entre el nivel de principios u objetivos básicos y un nivel más bajo de cuestiones de «maquinaria», que deben dejarse a la instrumentación interna.

La cuestión de la elección del derecho

Los problemas de elección de jurisdicción, elección de derecho aplicable y reconocimiento de resoluciones extranjeras han demostrado ser complejos en el contexto de los flujos de datos transfronterizos. Se planteó, no obstante, la cuestión de si y en qué medida debería intentarse en este momento dar soluciones de carácter no vinculante en las Directrices.

La cuestión de las excepciones

De igual forma, las opiniones varían con respecto a la cuestión de las excepciones. ¨Son en realidad necesarias? En caso afirmativo, ¨deben preverse categorías específicas de excepciones o deben formularse límites generales a las excepciones?

La cuestión de la inclinación

Finalmente, existe un conflicto intrínseco entre la protección y el libre flujo transfronterizo de datos personales. Puede ponerse el acento en una o en otro y los intereses de protección de la intimidad pueden ser difíciles de distinguir de otros intereses relacionados con el comercio, la cultura, la soberanía nacional, etc.

20. En el curso de sus trabajos, el Grupo de Expertos mantuvo estrechos contactos con los órganos correspondientes del Consejo de Europa. Se hicieron los mayores esfuerzos para evitar diferencias innecesarias entre los textos elaborados por ambas organizaciones; de esta forma, el conjunto de principios básicos de protección es similar en muchos aspectos. Por otra parte, existen algunas diferencias. Para empezar, las Directrices de la OCDE no son legalmente vinculantes, mientras que el Consejo de Europa ha elaborado un convenio que es legalmente vinculante entre aquellos países que lo ratifiquen. Esto significa, a su vez, que la cuestión de las excepciones ha sido resuelta con mayor detalle por el Consejo de Europa. Por lo que se refiere al ámbito de aplicación, el Convenio del Consejo de Europa trata principalmente del procesado automático de datos personales, mientras que las Directrices de la OCDE se aplican a los datos personales que implican riesgos para la intimidad y las libertades individuales, sean cuales sean los métodos y maquinaria utilizados para su manejo. Por lo que se refiere al nivel de detalle, los principios básicos de protección propuestos por las dos organizaciones no son idénticos y la terminología empleada difiere en algunos aspectos. El marco institucional para la cooperación permanente se trata con mayor detalle en el Convenio del Consejo de Europa que en las Directrices de la OCDE.

21. El Grupo de Expertos también mantuvo colaboración con la Comisión de las Comunidades Europeas, como lo exigía su mandato.

LAS DIRECTRICES

OBJETO Y ÁMBITO DE APLICACIÓN

Generalidades

22. El preámbulo de la Recomendación expresa las preocupaciones básicas que requieren una actuación. La Recomendación afirma el compromiso de los países Miembros para proteger la intimidad y las libertades individuales y respetar los flujos transfronterizos de datos personales.

23. Las Directrices establecidas en el Anexo a la Recomendación constan de cinco partes. La Parte Uno contiene una serie de definiciones y especifica el ámbito de aplicación de las Directrices, indicando que representan estándares mínimos. La Parte Dos contiene ocho principios básicos (Apartados 7 a 14) relacionados con la protección de la intimidad y las libertades individuales a escala nacional. La Parte Tres aborda los principios de aplicación internacional, es decir, aquellos principios que se refieren principalmente a relaciones entre países Miembros.

24. La Parte Cuatro trata, en términos generales, los medios de puesta en práctica de los principios básicos establecidos en las partes precedentes y especifica que estos principios deben ser aplicados de forma no discriminatoria. La Parte Cinco se ocupa de cuestiones de asistencia mutua entre países Miembros, principalmente a través del intercambio de información y la evitación de procedimientos nacionales de protección de datos personales que sean incompatibles. Concluye con una referencia a las cuestiones relacionadas con el derecho aplicable que pueden plantearse cuando los flujos de datos personales afecten a varios países Miembros.

Objetivos

25. El núcleo de las Directrices está constituido por los principios establecidos en la Parte Dos del Anexo. Se recomienda a los países Miembros que se adhieran a estos principios con el fin de:

conseguir la aceptación por parte de los países Miembros de determinados estándares mínimos de protección de la intimidad y de las libertades individuales en relación con los datos personales;

reducir al mínimo las diferencias entre las normas y prácticas internas aplicables en los países Miembros;

garantizar que, a la hora de proteger los datos personales, se tomen en consideración los intereses de otros países Miembros y la necesidad de evitar interferencias indebidas en los flujos de datos personales entre países Miembros; y

eliminar, en la medida de lo posible, los motivos que puedan inducir a los países Miembros a limitar los flujos transfronterizos de datos personales como consecuencia de los posibles riesgos asociados a dichos flujos.

Como se indica en el Preámbulo, hay dos valores básicos esenciales en juego: la protección de la intimidad y de las libertades individuales y el fomento de los libres flujos de datos personales. Las Directrices tratan de encontrar un equilibrio entre ambos valores; al tiempo que aceptan determinadas limitaciones a los libres flujos transfronterizos de datos personales, tratan de reducir la necesidad de dichas limitaciones y, en consecuencia, de reforzar la noción de libres flujos de información entre países.

26. Finalmente, las Partes Cuatro y Cinco de las Directrices contienen principios que tratan de garantizar:

medidas nacionales eficaces para la protección de la intimidad y de las libertades individuales;

evitación de prácticas que supongan una discriminación injusta entre individuos; y

las bases para una cooperación internacional permanente y unos procedimientos compatibles en cualquier regulación de los flujos transfronterizos de datos personales.

Nivel de detalle

27. El nivel de detalle de las Directrices varía en función de dos factores principales, a saber: a) la amplitud del consenso alcanzado en relación con las soluciones propuestas, y b) el conocimiento y experiencia disponibles que apunten a soluciones a adoptar en este momento. Por ejemplo, el Principio de Participación Individual (Apartado 13) aborda específicamente diversos aspectos de la protección del interés individual, de ahí que la disposición relativa a problemas de elección de derecho aplicable y cuestiones relacionadas (Apartado 22) meramente indique un punto de partida para el desarrollo gradual de medidas comunes detalladas y de acuerdos internacionales. En su conjunto, las Directrices constituyen un marco general para actuaciones concertadas de los países Miembros: los objetivos plasmados en las Directrices pueden perseguirse de diferentes formas, dependiendo de los instrumentos y estrategias legales que prefieran los países Miembros para su puesta en práctica. Para concluir, existe la necesidad de una revisión permanente de las Directrices, tanto por parte de los países Miembros como de la OCDE. A medida que se vaya adquiriendo experiencia, puede resultar conveniente desarrollar y ajustar las Directrices en consecuencia.

Países no miembros

28. La Recomendación va dirigida a los países Miembros y esto se refleja en diversas disposiciones que se limitan expresamente a las relaciones entre países Miembros (ver Apartados 15, 17 y 20 de las Directrices). El reconocimiento generalizado de las Directrices resulta, sin embargo, deseable, por lo que nada de lo en ellas dispuesto debe interpretarse como un impedimento a la aplicación de las disposiciones pertinentes por parte de los países Miembros a los países no miembros. A la vista del aumento de los flujos transfronterizos de datos y de la necesidad de garantizar soluciones concertadas, se harán esfuerzos para atraer la atención de los países no miembros y de las correspondientes organizaciones internacionales hacia las Directrices.

La perspectiva regulatoria más amplia

29. Se ha señalado antes que la protección de la intimidad y de las libertades individuales constituye uno de los muchos aspectos legales superpuestos que afectan al procesado de datos. Las Directrices constituyen un instrumento nuevo, que se añade a otros instrumentos internacionales relacionados que regulan cuestiones tales como los derechos humanos, las telecomunicaciones, el comercio internacional, los derechos de autor y diversos servicios de información. Si surge la necesidad, los principios establecidos en las Directrices pueden desarrollarse con mayor amplitud, dentro del marco de las actividades a que se dedica la OCDE en el campo de las políticas de la información, informática y comunicaciones.

Në mbështetje të nenit 100 të Kushtetutës dhe të neneve 6 e 7 të ligjit Nr. 8530, date 23.9.1999 «Për shërbimin postar në Republikën e Shqipërisë», të ndryshuar, me propozimin e Ministrit për Inovacionin dhe Teknologjinë e Informacionit e të Komunikimit, Këshilli i Ministrave

VENDOSI:

1. Kryeministria, ministritë, institucionet e sektorit publik, veprimtaria e të cilave mbështetet në pronën publike, shtetërore, institucionet e qeverisjes vendore, si dhe shoqëritë tregtare me capital shtetëror, si për llogari të tyre, ashtu edhe në shërbim të shtetasve e anasjellas, të realizojnë nëpëmjet «Posta shqiptare» sh.a., këto shërbime:

a) shërbimet postare;

b) shërbimet financiare që nuk bien në kundërshtim me legjislacionin aktual;

c) Shërbime, që janë në përputhje me veprimtarinë e «Posta Shqiptare» sh.a., të cilat ngarkohen me vendim të Këshillit të Ministrave ose ministrit që mbulon veprimtarinë e shërbimeve postare.

2. Institucionet e lartpërmendura, për shërbimet e tjera, të cilat janë në përputhje me veprimtarinë e «Posta Shqiptare» sh.a., si ofrues i parë, t’i drejtohen kësaj poste. Në rast se këto shërbime nuk realizohen nga «Posta Shqiptare» sh.a., atëherë mund t’u ofrohen operatorëve të tjerë.

3. Për shërbimet e ofruara, sipas këtij vendimi «Posta Shqiptare» sh.a., do të zbatojë tarifa të orientuara me vlerat e tregut.

4. Vendimi Nr. 414, datë 7.6.2006 i Këshillit të Ministrave «Për kryerjen nga «Posta Shqiptare» sh.a., të shërbimeve postare dhe financiare të ministrive, institucioneve buxhetore, ndërmarrjeve dhe shoqërive me kapital shtetëror», shfuqizohet.

5. Ngarkohet Ministri për Inovacion dhe Teknologjinë e Informacionit e të Komunikimit për ndjekjen e zbatimit të këtij vendimi.

Ky vendim hyn në fuqi pas botimit në Fletoren Zyrtare.

KRYEMINISTRI

Sali Berisha

Nr. 682 din 28 noiembrie 2001
Privind ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981
Parlamentul României adopta prezenta lege.

Art. 1
Se ratifica Conventia pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981, semnata de România la 18 martie 1997.

Art. 2
Cu ocazia depunerii instrumentului de ratificare a Conventiei vor fi facute cunoscute Secretariatului General al Consiliului Europei urmatoarele declaratii:

1. La art. 3 pct. 2 lit. a):
«Prezenta conventie nu se aplica prelucrarilor de date cu caracter personal care fac parte dintr-un sistem de evidenta, atunci când:
a) sunt efectuate în cadrul activitatilor din domeniul apararii nationale si sigurantei nationale, desfasurate în limitele si cu restrictiile stabilite de lege;
b) prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
c) sunt efectuate de catre persoanele fizice exclusiv pentru uzul lor personal, daca datele în cauza nu sunt destinate a fi dezvaluite.»

2. La art. 3 pct. 2 lit. b):
«Prezenta conventie se va aplica în egala masura prelucrarilor de date cu caracter personal efectuate în cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios sau sindical, cu conditia ca persoana vizata sa fie membra a acestei organizatii sau sa întretina cu aceasta în mod regulat relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamântul persoanei vizate.»

3. La art. 3 pct. 2 lit. c):
«Prezenta conventie se aplica si prelucrarilor de date cu caracter personal efectuate prin alte mijloace decât cele automate, care fac parte dintr-un sistem de evidenta sau care sunt destinate a fi incluse într-un asemenea sistem. Autoritatea nationala competenta este institutia Avocatul Poporului.»

Aceasta lege a fost adoptata de Camera Deputatilor în sedinta din 18 septembrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia României.

PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU

Aceasta lege a fost adoptata de Senat în sedinta din 5 noiembrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia României.

p. PRESEDINTELE SENATULUI,
PAUL PACURARU

CONVENTIE pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal Publicata în Monitorul Oficial cu numarul 830 din data de 21 decembrie 2001

Zakon o spremembah in dopolnitvah zakona o organizaciji in delovnem podrocju ministrstev (ZODPM-C).

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena ustave Republike Slovenije izdajam

UKAZ o razglasitvi zakona o spremembah in dopolnitvah zakona o organizaciji in delovnem podrocju ministrstev (ZODPM-C)

Razglašam zakon o spremembah in dopolnitvah zakona o organizaciji in delovnem podrocju ministrstev (ZODPM-C), ki ga je sprejel Državni zbor Republike Slovenije na seji 12. aprila 2001.

Št. 001-22-44/01

Ljubljana, dne 20. aprila 2001.

Predsednik　
Republike Slovenije　
Milan Kucan l. r.

ZAKON O SPREMEMBAH IN DOPOLNITVAH ZAKONA O ORGANIZACIJI IN DELOVNEM PODROCJU MINISTRSTEV (ZODPM-C)

1. člen

V zakonu o organizaciji in delovnem podrocju ministrstev (Uradni list RS, št. 71/94, 47/97 in 60/99) se v 2. členu crtajo 2., 14. in 16. tocka.

V 3. tocki se tretja alinea spremeni tako, da se glasi:

«– Urad Republike Slovenije za nadzor prirejanja iger na sreco,».

Besedilo 4. tocke se spremeni tako, da se glasi:

«Ministrstvo za gospodarstvo;

v njegovi sestavi so:

– Urad Republike Slovenije za varstvo konkurence,

– Urad Republike Slovenje za varstvo potrošnikov,

– Agencija Republike Slovenije za gospodarsko promocijo Slovenije in tuje investicije,

– Agencija Republike Slovenije za regionalni razvoj,

– Urad Republike Slovenije za intelektualno lastnino,

– Tržni inšpektorat Republike Slovenije.»

V 5. tocki se druga alinea spremeni tako, da se glasi:

«– Urad Republike Slovenije za varstvo in registracijo sort rastlin,» .

Za drugo alineo se dodata dve novi alinei, ki se glasita:

«– Urad Republike Slovenije za priznavanje oznacb kmetijskih pridelkov oziroma živil,

– Inšpektorat Republike Slovenije za kontrolo kakovosti kmetijskih pridelkov in živil,».

Dosedanja tretja in cetrta alinea postaneta peta in šesta alinea.

V 7. tocki se alinea spremeni tako, da se glasi:

«– Policija».

V 8. tocki se zadnja alinea spremeni tako, da se glasi:

«– Inšpektorat Republike Slovenije za varstvo pred naravnimi in drugimi nesrecami;».

V 9. tocki se prva in druga alinea spremenita tako, da se glasita:

«– Agencija Republike Slovenije za okolje,

– Uprava Republike Slovenije za rudarstvo,».

Za peto alineo se doda nova alinea, ki se glasi:

«– Agencija Republike Slovenije za ucinkovito rabo energije;».

Dosedanja šesta alinea postane sedma alinea.

V 11. tocki se besedilo » Ministrstvo za promet in zveze»  nadomesti z besedilom » Ministrstvo za promet».

Druga in tretja alinea se spremenita tako, da se glasita:

«– Uprava Republike Slovenije za civilno letalstvo,

– Direkcija za železniški promet,».

V 12. tocki se besedilo » Ministrstvo za šolstvo in šport»  nadomesti z besedilom «Ministrstvo za šolstvo, znanost in šport».

Za drugo alineo se dodata novi tretja in cetrta alinea, ki se glasita:

«– Urad slovenske nacionalne komisije za UNESCO,

– Urad Republike Slovenije za meroslovje,».

Dosedanja tretja alinea postane peta alinea.

V 13. tocki se besedilo «Ministrstvo za zdravstvo»  nadomesti z besedilom «Ministrstvo za zdravje».

Za prvo alineo se dodata novi druga in tretja alinea, ki se glasita:

«– Urad Republike Slovenije za zdravila,

– Urad Republike Slovenije za kemikalije,».

Dosedanja druga alinea postane cetrta alinea.

Na koncu člena se doda nova tocka, ki se glasi:

«17. Ministrstvo za informacijsko družbo;

V njegovi sestavi so:

– Direkcija Republike Slovenije za poslovno informacijsko središce,

– Uprava Republike Slovenije za telekomunikacije,

– Inšpektorat Republike Slovenije za pošto in telekomunikacije.»

Tocke se ustrezno preštevilcijo.

2. člen

Crta se 4. člen.

3. člen

V 5. členu se v prvem odstavku pika spremeni v podpicje in doda besedilo «na nadzor nad državnimi pomocmi; na sistem javnih narocil in na sistem koncesij.».

Besedilo cetrtega odstavka se spremeni tako, da se glasi:

«Urad Republike Slovenije za nadzor prirejanja iger na sreco opravlja nadzor vseh procesov, ki so neposredno ali posredno povezani s prirejanjem iger na sreco, nadzira in analizira izvajanje predpisov s podrocja iger na sreco, nadzira lastniške strukture koncesionarjev ter preverja in analizira podatke za sklenitev koncesijskih pogodb oziroma za izdajo dovoljenj.»

4. člen

Besedilo 6. člena se spremeni, tako da se glasi:

«Ministrstvo za gospodarstvo opravlja naloge, ki se nanašajo na politiko povecanja konkurencnosti gospodarstva v povezavi s politikami, ki zagotavljajo stabilno makroekonomsko okolje in gospodarski razvoj ter podpirajo konkurencnost in skladni regionalni razvoj; na spodbujanje tehnološkega razvoja, inovativnosti in podjetništva; na zunanjetrgovinsko politiko in ekonomske odnose s tujino ter na ukrepe na podrocju notranjega trga glede carinske zašcite trga, razen za kmetijske pridelke in živila, blagovnega prometa, preskrbljenosti trga in blagovnih rezerv, kontrole cen, varstva konkurence in varstva potrošnikov.

Urad Republike Slovenije za varstvo konkurence opravlja naloge na podrocju pravil o konkurenci ter vodi postopke in izdaja dokoncne odlocbe v zvezi z omejevalnimi sporazumi in zlorabo prevladujocega položaja; presoja skladnosti koncentracij s pravili konkurence, vodi postopke v zvezi z dumpinškim in subvencioniranim uvozom, izdeluje analize o stanju in razvoju konkurence na trgu ter sodeluje z institucijami Evropske Unije na podlagi predpisov s podrocja konkurencnega prava.

Urad Republike Slovenije za varstvo potrošnikov opravlja strokovne in upravne naloge, ki se nanašajo na pripravo in izvajanje programa varstva potrošnikov v državnih organih, strokovnih organizacijah in nevladnih organizacijah; na vzgojo, izobraževanje in obvešcanje potrošnikov, organiziranje primerjalnih ocenjevanj proizvodov in storitev ter na svetovanje potrošnikom, na spremljanje in koordiniranje dejavnosti ministrstev in strokovnih institucij; na uresnicevanje nalog s podrocja varstva potrošnikov; na sodelovanje in spodbujanje razvoja nevladnih, neprofitnih potrošniških organizacij; na meddržavno in mednarodno sodelovanje na strokovnem in upravnem podrocju z vidika varstva potrošnikov.

Agencija Republike Slovenije za gospodarsko promocijo Slovenije in tuje investicije opravlja naloge na podrocju spodbujanja tujih investicij; pridobiva tuje investitorje s trženjem Slovenije kot lokacije za tuje investicije in opravlja strokovne naloge v zvezi s predlaganjem politike do tujih investicij; izvaja ukrepe na podrocju pospeševanja internacionalizacije slovenskih podjetij okviru programa povecevanja konkurencnosti slovenskega gospodarstva; informira ter nudi druge storitve slovenskim izvoznikom ter tujim kupcem in organizira promocijske dogodke.

Agencija Republike Slovenije za regionalni razvoj opravlja svetovalne, pospeševalne in usklajevalne naloge pri spodbujanju regionalnega razvoja; izvaja programe regionalnih spodbud in daje mnenja o regionalnih razvojnih programih, s katerimi se usklajujejo razvojna predvidevanja in naloge na podrocju gospodarskega, socialnega, kulturnega, prostorskega in okoljskega razvoja v regiji.

Urad Republike Slovenije za intelektualno lastnino opravlja naloge, ki se nanašajo na varstvo industrijske lastnine in na varstvo avtorskih in njim sorodnih pravic.

Tržni inšpektorat Republike Slovenije nadzoruje izvrševanje zakonov in drugih predpisov, ki urejajo promet blaga in opravljanja storitev; kontrolo cen; kakovost blaga in storitev; standarde; varstvo blagovnih in storitvenih znamk, znakov o kakovosti, oznacb izvora blaga; nadzoruje tlacne posode; nadzoruje kakovost gradbenih materialov in gradbenih proizvodov; nadzoruje proizvodnjo materialov in opreme za energetiko, plinovodnih sistemov in naprav.»

5. člen

V 7. členu se besedilo tretjega odstavka spremeni tako, da se glasi:

«Urad Republike Slovenije za varstvo in registracijo sort rastlin opravlja naloge na podrocju varstva in registracije sort rastlin.»

Za tretjim odstavkom se dodata novi cetrti in peti odstavek, ki se glasita:

«Urad Republike Slovenije za priznavanje oznacb kmetijskih pridelkov oziroma živil opravlja naloge na podrocju priznavanja oznacb kmetijskih pridelkov oziroma živil.

Inšpektorat Republike Slovenije za kontrolo kakovosti kmetijskih pridelkov in živil opravlja nadzor nad izvajanjem predpisov o kakovosti kmetijskih pridelkov in živil.»

Dosedanji cetrti oziroma peti odstavek postaneta šesti oziroma sedmi odstavek.

6. člen

V 9. členu se v prvem odstavku besedilo «na sistem financiranja, place in druge prejemke v državni upravi;» nadomesti z besedilom «na sistem financiranja, place in druge prejemke v javni upravi;» besedilo » na sistem delovnih razmerij v državni upravi;»  se nadomesti z besedilom «na sistem delovnih razmerij v javni upravi;» za besedilom » na gibanje in prebivanje tujcev;» se doda novo besedilo » na spremljanje in reševanje priseljenske in begunske problematike;» za besedilom » na državljanstvo, maticne knjige in osebna imena;»  se doda besedilo «na javno varnost; na sistemsko in normativno urejanje zadev na delovnih podrocjih, kjer upravne naloge izvršuje policija in ki niso v pristojnosti drugih ministrstev; na usmerjanje in nadzor nad policijo;»; na koncu pa se crta besedilo: «na varovanje življenja ljudi in premoženja; na vzdrževanje javnega reda in miru; na urejanje in nadzorovanje prometa na javnih cestah; na preprecevanje in odkrivanje kaznivih dejanj ter prekrškov; na odkrivanje, prijetje in izrocanje osumljencev in drugih iskanih oseb v zvezi s kaznivimi dejanji pristojnim organom; na varovanje dolocenih oseb in objektov; na varovanje državne meje in na nadzor prehajanja cez državno mejo.»

Za prvim odstavkom se doda nov drugi odstavek, ki se glasi:

«Ministrstvo za notranje zadeve opravlja tudi naloge, ki se nanašajo na sistem, organizacijo, delovanje in razvoj lokalne samouprave oziroma organov lokalnih skupnosti; na nadzorstvo nad zakonitostjo dela organov lokalnih skupnosti na tistih podrocjih, ki niso v pristojnosti drugih ministrstev.»

V drugem odstavku, ki postane tretji odstavek, se besedilo «Višja šola za notranje zadeve»  spremeni tako, da se glasi «Visoka policijsko varnostna šola».

Besedilo tretjega odstavka, ki postane cetrti odstavek, se spremeni tako, da se glasi:

«Policija opravlja naloge, ki se nanašajo na varovanje življenja, osebne varnosti in premoženja ljudi; na preprecevanje in preiskovanje kaznivih dejanj in prekrškov, odkrivanje in prijemanje storilcev kaznivih dejanj in prekrškov, drugih iskanih oseb ter njihovo izrocanje pristojnim organom; na vzdrževanje javnega reda, na nadzor in urejanje prometa na javnih cestah in nekategoriziranih cestah, ki so dane v uporabo za javni promet; na varovanje državne meje in opravljanje mejne kontrole; na opravljanje nalog, dolocenih v predpisih o tujcih; na varovanje dolocenih oseb, organov, objektov in okolišev; na varovanje dolocenih delovnih mest in tajnosti podatkov državnih organov.»

7. člen

V 10. členu se besedilo petega odstavka spremeni tako, da se glasi:

«Inšpektorat Republike Slovenije za varstvo pred naravnimi in drugimi nesrecami nadzoruje izvajanje predpisov, ki urejajo varstvo pred naravnimi in drugimi nesrecami.»

8. člen

Besedilo 11. člena se spremeni tako, da se glasi:

«Ministrstvo za okolje in prostor opravlja naloge, ki se nanašajo na varstvo okolja in narave; na urejanje prostora in nadzorstvo nad zakonitostjo prostorskih aktov lokalnih skupnosti, na vode in vodno gospodarstvo; na primarno in transformirano energijo; na pridobivanje virov energije in na racionalno ravnanje z njimi; na strategijo gospodarjenja z vsemi vrstami mineralnih surovin, ne glede na to, ali so te energetske, kovinske ali nekovinske; na odpiranje in delovanje rudnikov, razen tistih, ki se v skladu z zakonom zapirajo oziroma so prenehali delovati; na geološke, seizmološke, meteorološke in druge geofizikalne pojave oziroma naravne pojave; na jedrsko varnost; na posege v prostor in graditev objektov, razen zadev, ki so v zvezi z gradbenimi proizvodi; na stanovanjske zadeve; na strategijo razvoja, vzpostavljanje in povezovanje prostorskih, informacijskih sistemov na državni in lokalni ravni; na geodezijo; ter na inšpekcijsko nadzorstvo na teh podrocjih.

Agencija Republike Slovenije za okolje opravlja upravne in strokovne naloge, ki se nanašajo na celovito varstvo okolja in naravnih dobrin; na varstvo voda, zraka in tal; na presojo vplivov na okolje; na javne službe varstva okolja in naravnih dobrin; na varstvo pred hrupom in drugimi tveganji za okolje; na ohranjanje narave; na gospodarjenje z vodami in vodnogospodarskimi objekti in napravami; na javne službe urejanja voda in podeljevanje koncesij za rabo voda; na spodbujanje in izvajanje programov ucinkovite rabe energije; na monitoringe in drugo evidentiranje meteoroloških, hidroloških, agroloških in ekoloških razmer; na meteorološke, hidrološke in ekološke analize in ekspertize; na napovedovanje meteoroloških in hidroloških procesov ter opozarjanje na izredne pojave, letalsko meteorologijo; na monitoring in drugo evidentiranje geoloških, seizmoloških in drugih geofizikalnih pojavov; na njihovo rajonizacijo in kategorizacijo; na potresno varstvo objektov in naprav; na varstvo, zašcito in zgodnje opozarjanje pred potresnimi pojavi; na ravnanje z odpadki, razen radioaktivnih; na odpravo posledic naravnih in drugih nesrec; ter na izpolnjevanje mednarodnih obveznosti s teh podrocij in mednarodno izmenjavo podatkov.

Uprava Republike Slovenije za rudarstvo opravlja upravne in z njimi povezane strokovne naloge, ki se nanašajo na gospodarjenje z vsemi vrstami mineralnih surovin, ne glede na to, ali so te energetske, kovinske ali nekovinske, razen tistih, ki so v zvezi s predpisi o zapiranju rudnikov; na podeljevanje rudarskih pravic za raziskovanje in izkorišcanje vseh vrst mineralnih surovin; ter na razvoj metod in tehnik raziskovanja in izkorišcanja teh surovin in z njimi povezano pripravo podzakonskih predpisov.

Urad Republike Slovenije za prostorsko planiranje opravlja strokovne in z njimi povezane upravne naloge, ki se nanašajo na prostorski razvoj in prostorsko nacrtovanje; na pripravo in izvajanje prostorskega plana Slovenije in drugih prostorskih aktov državnega in regionalnega pomena ter sodelovanje pri pripravi prostorskih aktov lokalnih skupnosti in ugotavljanje njihove usklajenosti z državnimi prostorskimi akti; na spremljanje stanja v zvezi z urejanjem prostora; na rabo prostora in z njo povezanimi evidencami o stanju prostora na podrocju prostorskega nacrtovanja; na prostorski informacijski sistem; na izpolnjevanje mednarodnih obveznosti s teh podrocij in mednarodno izmenjavo podatkov; ter na razvoj metod in tehnik prostorskega nacrtovanja in z njimi povezano pripravo podzakonskih predpisov.

Geodetska uprava Republike Slovenije opravlja upravne in z njimi povezane strokovne naloge, ki se nanašajo na standarde za izmero topografije, hidrografije, mej, komunalnih objektov in naprav ter prometnic, standarde za izmero za potrebe kartografskih in prostorskih informacijskih sistemov ter standarde, ki omogocajo povezovanje geodetskih podatkov in evidenc; na osnovni geodetski sistem; na geodetska dela v zvezi z državno mejo in evidenco o državni meji; na državne karte; na zemljiški kataster in kataster stavb; na register prostorskih enot z evidenco hišnih številk; na evidenco zemljepisnih imen; na geodetska dela pri komasaciji in melioraciji zemljišc; na izdajanje in uporabo podatkov uradnih geodetskih evidenc; ter na razvoj metod in tehnik geodetske dejavnosti in z njo povezano pripravo podzakonskih predpisov.

Uprava Republike Slovenije za jedrsko varnost opravlja upravne in strokovne naloge, ki se nanašajo na jedrsko in radiološko varnost jedrskih objektov; na promet, prevoz in ravnanje z jedrskimi materiali; na nadzor in materialno bilanco jedrskih materialov; na zašcito jedrskih objektov in zgodnje obvešcanje ob jedrskih in radioloških nesrecah; na odgovornost za jedrsko škodo; za zagotovitev radiološkega monitoringa; na usposobljenost uporabnikov jedrskih objektov; na ravnanje z radioaktivnimi odpadki in iztrošenim jedrskim gorivom; na mednarodno sodelovanje na podrocju dela uprave ter na druge naloge, dolocene s predpisi; ter na nadzorstvo nad izvrševanjem zakonov, drugih predpisov in splošnih aktov, ki urejajo podrocje jedrske varnosti.

Agencija Republike Slovenije za ucinkovito rabo energije opravlja strokovne in z njimi povezane upravne naloge, ki se nanašajo na pripravo predlogov za oblikovanje politike nacionalnega programa in predpisov Vlade Republike Slovenije za pospeševanje okolju prijazne in stroškovno ustrezne rabe energije, izvajanje državnih programov za spodbujanje ucinkovite rabe energije, izrabe virov energije v industriji, široki rabi in prometu, koordinacijo in sodelovanje pri izvajanju programov ucinkovite rabe ter na izpolnjevanje mednarodnih obveznosti na teh podrocjih.

Inšpektorat Republike Slovenije za okolje in prostor nadzoruje izvrševanje zakonov, drugih predpisov in splošnih aktov, ki urejajo varstvo okolja in narave ter ekološki nadzor na državni meji; vodni režim, urejanje voda in gospodarjenje z njimi, raziskovanje in izkorišcanje vseh vrst mineralnih surovin, elektroenergetiko, termoenergetiko in racionalno porabo energije, urejanje prostora in naselij, graditve objektov in izvedbo gradbenih konstrukcij, izpolnjevanje bistvenih zahtev za objekte, stanovanjskih zadev in geodetskih dejavnosti.»

9. člen

V 12. členu se v prvem odstavku za besedilom «na organizacijsko zakonodajo s podrocja sodstva, državnega tožilstva, javnega pravobranilstva, odvetništva in notariata ter izvrševanja kazenskih sankcij;» doda besedilo «
na sistemsko ureditev in usklajevanje izvajanja denacionalizacije».

10. člen

V 13. členu se v prvem odstavku besedilo «Ministrstvo za promet in zveze»  nadomesti z besedilom «Ministrstvo za promet»; za besedo «cestah»  pa se dodata besedi «za vozila»  in crta besedilo » na poštni in telekomunikacijski promet; na telekomunikacijske zveze in sisteme;».

V drugem odstavku se na koncu crta pika in doda besedilo «in ostale upravne in strokovne naloge s podrocja pomorstva.»

Besedilo tretjega odstavka se spremeni tako, da se glasi:

«Uprava Republike Slovenije za civilno letalstvo opravlja upravne in strokovne naloge, ki se nanašajo na varnost v letalstvu in letalske standarde, plovnost in registracijo zrakoplovov, licenciranje v letalstvu, letalske operacije, registracijo letališc in vzletišc, navigacijske službe zracnega prometa in druge naloge v zracnem prometu.»

Besedilo cetrtega odstavka se spremeni tako, da se glasi:

«Direkcija za železniški promet opravlja strokovno tehnicne, organizacijske, razvojne ter dolocene upravne in nadzorne naloge s podrocja železniškega prometa, opravlja zadeve, ki se nanašajo na gospodarjenje z železniško infrastrukturo ter zadeve, ki se nanašajo na varno odvijanje prometa v železniškem prometnem sistemu.»

V petem odstavku se za besedilom «nadzor nad njihovim stanjem» doda besedilo «na prevoze v tovornem in potniškem cestnem prometu, na homologacijo vozil,».

V šestem odstavku se za besedo «letališca»  crta vejica in besedilo » poštni in telekomunikacijski promet, telekomunikacijske zveze in sisteme.»

11. člen

V 14. členu se v prvem odstavku besedilo «Ministrstvo za šolstvo in šport»  nadomesti z besedilom «Ministrstvo za šolstvo, znanost in šport», na koncu pa se za piko postavi podpicje ter doda besedilo: «na podrocje znanstvene dejavnosti; na usposabljanje in podiplomsko izobraževanje mladih raziskovalcev; na program gibanja znanost mladini in promocijo znanosti; na zagotavljanje infrastrukture za raziskovalno dejavnost; na znanstveno publicistiko; na sistem znanstvenega informiranja in komuniciranja; na informatiko za podrocje znanstvene dejavnosti; na mednarodno znanstveno sodelovanje.»

V tretjem odstavku se za besedilom «Urad za mladino opravlja zadeve, ki se nanašajo» doda besedilo » na nacrtovanje, organiziranje in izvajanje ukrepov s podrocja mladinske politike; na izvajanje dejavnosti s podrocja socialne politike otrok in mladine, vzgoje in neformalnega izobraževanje, prostocasnih dejavnosti, kulture, javnega obvešcanja in mednarodnega sodelovanja; na spremljanje uresnicevanja predpisov in drugih aktov, kolikor se nanašajo na mladino, opozarjanje na neucinkovito izvrševanje le-teh in predlaganje ukrepov za ucinkovitejše izvrševanje; na oblikovanje in nadzorovanje izvajanja prednostnih programov za mlade;».

Za tretjim odstavkom se dodata novi cetrti in peti odstavek, ki se glasita:

«Urad slovenske nacionalne komisije za UNESCO opravlja naloge, ki se nanašajo na sodelovanje z UNESCOM.

Urad Republike Slovenije za meroslovje opravlja naloge, ki se nanašajo na urejanje nacionalnega meroslovnega sistema.»

Dosedanji cetrti odstavek postane šesti odstavek.

12. člen

V 15. členu se v prvem odstavku besedilo «Ministrstvo za zdravstvo»  nadomesti z besedilom «Ministrstvo za zdravje».

Za drugim odstavkom se dodata nov tretji in cetrti odstavek, ki se glasita:

«Urad Republike Slovenije za zdravila izvaja naloge na podrocjih proizvodnje in prometa z zdravili in medicinskimi pripomocki.

Urad Republike Slovenije za kemikalije izvaja naloge na upravnih podrocjih nevarnih snovi, kemicnega orožja, kozmetike in nadzora pesticidov in drugih kemijskih onesnaževalcev v živilih in pitni vodi.»

Dosedanji tretji odstavek postane peti odstavek.

13. člen

Crtata se 16. in 17.a člen.

14. člen

Na koncu II. poglavja se doda nov 17.b člen, ki se glasi:

«17.b člen

Ministrstvo za informacijsko družbo opravlja naloge, ki se nanašajo na elektronsko poslovanje; na usklajevanje programov elektronskega poslovanja v javni upravi; na informatiko in informacijske sisteme; na razvoj informacijske in komunikacijske tehnologije; na pospeševanje informacijske družbe in elektronskega poslovanja; na poštni in telekomunikacijski promet; na telekomunikacijske zveze in sisteme ter inovacije.

Direkcija Republike Slovenije za poslovno informacijsko središce zagotavlja državni upravi, trgovini, gospodarski zbornici, mednarodnim prevoznikom, špediterjem, bankam, zavarovalnicam ter drugim zainteresiranim institucijam dostop do strateških mednarodnih poslovnih informacij s povezovanjem v specializirane svetovne informacijske centre. Direkcija je pravna oseba.

Uprava Republike Slovenije za telekomunikacije opravlja naloge, ki se nanašajo na upravljanje radijskega frekvencnega spektra; na telekomunikacijske sisteme in naprave; na urejanje telekomunikacijskih storitev ter druge zadeve v zvezi s telekomunikacijami.

Inšpektorat Republike Slovenije za pošto in telekomunikacije nadzoruje izvrševanje zakonov, drugih predpisov in splošnih aktov, ki urejajo poštni in telekomunikacijski promet, telekomunikacijske zveze in sisteme.»

15. člen

Crta se 23. člen.

PREHODNE IN KONCNE DOLOCBE

16. člen

Z dnem uveljavitve tega zakona nadaljuje z delom Urad za makroekonomske analize in razvoj kot vladna služba, ki jo vodi direktor.

17. člen

Urad Republike Slovenije za meroslovje opravlja do zacetka dela javnega zavoda Slovenska akreditacija in do zacetka dela Slovenskega inštituta za standardizacijo tudi naloge s podrocja nacionalne standardizacije in akreditacije.

18. člen

Z dnem uveljavitve tega zakona prenehata delovati Služba Vlade Republike Slovenije za lokalno samoupravo in Urad Vlade Republike Slovenije za denacionalizacijo kot službi Vlade Republike Slovenije. Njune naloge prevzameta pristojni ministrstvi.

19. člen

Z dnem uveljavitve tega zakona kot organi v sestavi Ministrstva za okolje in prostor in z delovnim podrocjem,dolocenim s tem zakonom, nadaljujejo z delom:

– Hidrometeorološki zavod Republike Slovenije, Uprava Republike Slovenije za varstvo narave in Uprava Republike Slovenije za geofiziko kot Agencija Republike Slovenije za okolje,

– Direkcija za rudna bogastva in Direkcija Republike Slovenije za oskrbo z energijo kot Uprava Republike Slovenije za rudarstvo,

– Inšpektorat Republike Slovenije za okolje in prostor, Republiški rudarski inšpektorat in Republiški energetski inšpektorat, razen tistih njegovih nalog, ki se nanašajo na nadzorstvo nad proizvodnjo materialov in opreme za energetiko, plinovodnih sistemov in naprav ter tlacnih posod, kot Inšpektorat Republike Slovenije za okolje in prostor,

– Agencija Republike Slovenije za ucinkovito rabo energije.

20. člen

Z dnem uveljavitve zakona prevzame Tržni inšpektorat Republike Slovenije delovno podrocje Republiškega gradbenega inšpektorata v delu, ki se nanaša na kakovost gradbenih proizvodov in gradbenih materialov ter delovno podrocje Republiškega energetskega inšpektorata v delu, ki se nanaša na nadzor nad tlacnimi posodami ter proizvodnjo materialov in opreme za energetiko, plinovodnih sistemov in naprav.

21. člen

Ministri z dnem uveljavitve tega zakona nadaljujejo z opravljanjem funkcije na delovnih podrocjih ministrstev, dolocenih s tem zakonom, oziroma z vodenjem ministrstev z delovnimi podrocji, kot jih doloca ta zakon.

Ministrstva in organi v sestavi, ki prevzamejo po dolocbah tega zakona naloge oziroma del nalog dosedanjih ministrstev, organov v sestavi in vladnih služb prevzamejo tudi delavce, ki so na dan uveljavitve tega zakona opravljali te naloge.

Ministrstva in organi v njihovi sestavi iz prejšnjega odstavka prevzamejo tudi ustrezne pravice proracunske uporabe in obveznosti ter dokumentacijo, ki se nanaša na prevzete naloge, prostore, opremo in inventar, ki se uporabljajo za izvajanje teh nalog, ce ne pride do drugacnega dogovora med organi oziroma ce vlada ne odloci drugace.

22. člen

Ministrstva iz drugega odstavka prejšnjega člena morajo najkasneje v roku enega meseca od uveljavitve tega zakona uskladiti akte o notranji organizaciji in sistemizaciji z dolocbami tega zakona.

23. člen

V zakonu o elektronskem poslovanju in elektronskem podpisu (Uradni list RS, št. 57/00) se v 18. členu besedilo «ministrstvu, pristojnemu za gospodarstvo»  nadomesti z besedilom «ministrstvu, pristojnemu za informacijsko družbo».

V zakonu iz prejšnjega odstavka se v 51. členu besedilo «minister, pristojen za gospodarske dejavnosti»  nadomesti z besedilom «minister, pristojen za informacijsko družbo».

24. člen

«V zakonu o nadzoru državnih pomoci (Uradni list RS, št. 1/00) se v drugem odstavku 4. člena besedilo «iz ministrstva, pristojnega za trg,» nadomesti z besedilom » iz ministrstva, pristojnega za finance», besedilo «ministrstva, pristojnega za ekonomske odnose in razvoj»  pa se nadomesti z besedilom «ministrstva, pristojnega za trg.»

V zakonu iz prejšnjega odstavka se v 5. in 14. členu besedilo «ministrstvo, pristojno za ekonomske odnose in razvoj»  v ustreznem sklonu nadomesti z besedilom «ministrstvo, pristojno za finance»  v ustreznem sklonu.

V zakonu iz prvega odstavka tega člena se v 15. in 18. členu besedilo «minister, pristojen za ekonomske odnose in razvoj»  nadomesti z besedilom «minister, pristojen za finance».

25. člen

V zakonu o Vladi Republike Slovenije (Uradni list RS, št. 4/93, 71/94, 23/96, 47/97, 23/99 in 119/00) se v celotnem besedilu beseda «zdravstvo»  nadomesti z besedo «zdravje».

26. člen

Proracun Republike Slovenije za leto 2001 se prilagodi organizacijski strukturi, ki izhaja iz tega zakona, v roku treh mesecev po uveljavitvi tega zakona.

27. člen

Ta zakon zacne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.

Št. 020-05/93-15/34

Ljubljana, dne 12. aprila 2001.

Predsednik　
Državnega zbora　
Republike Slovenije　
Borut Pahor l. r.

Bericht der Bundesregierung Umsetzung des Informations und Kommunikationsdienste-Gesetzes (IuKDG) (18.06.1999).

Bericht der Bundesregierung über die Erfahrungen und Entwicklungen bei den neuen Informations- und Kommunikationsdiensten im Zusammenhang mit der Umsetzung des Informations- und Kommunikationsdienste-Gesetzes (IuKDG)

Inhaltsübersicht

A. Einleitung

I. Entschließungsauftrag

Am 1. August 1997 ist das Informations- und Kommunikationsdienste-Gesetz (IuKDG zeitgleich mit dem Mediendienste-Staatsvertrag (MDStV) in Kraft getreten. Mit dem Gesetz wurden neue Wege in der Gestaltung rechtlicher Rahmenbedingungen beschritten, mit denen dem grundlegenden Wandel und der Dynamik der technischen Entwicklung von Information und Kommunikation Rechnung getragen werden soll. Dies gilt vor allem für die Regelungen zur Verantwortlichkeit von Providern, für den Datenschutz bei neuen Diensten, für sichere digitale Signaturen im elektronischen Geschäfts- und Verwaltungsverkehr und für den Jugendschutz mit der gesetzlichen Verankerung der freiwilligen Selbstkontrolle und des technischen Selbstschutzes.

Der Deutsche Bundestag hat deshalb bei der Verabschiedung des IuKDG die Bundesregierung aufgefordert, die Entwicklung bei den neuen Informations- und Kommunikationsdiensten zu beobachten – ggf. auch in Form von wissenschaftlichen Begleitprojekten – und darzulegen, ob und ggf. in welchen Bereichen Anpassungs- bzw. Ergänzungsbedarf besteht und hierüber spätestens zwei Jahre nach Inkrafttreten des Gesetzes zu berichten. Dabei sollen die Erfahrungen der Länder mit der Umsetzung des Mediendienste-Staatsvertrages, die wirtschaftlichen Auswirkungen der Regelungen sowie die Entwicklung der rechtlichen Rahmenbedingungen auf der Ebene der EU und im internationalen Bereich Berücksichtigung finden.

Auf folgende Fragen soll im einzelnen eingegangen werden:

– die Erfahrungen in der Praxis mit der grundsätzlichen Zuordnung der neuen Dienste zum Geltungsbereich des IuKDG und des MDStV;

– die Erfahrungen mit der Regelung zur Providerverantwortlichkeit in Fällen automatischer Zwischenspeicherung (Newsgroups, Proxy-Cache-Speicher);

– die Auswirkungen des Teledienstedatenschutzes auf das Nutzerverhalten und die wirtschaftliche Entwicklung bei den neuen Diensten;

– die Weiterentwicklung des elektronischen Rechts- und Geschäftsverkehrs im Zusammenhang mit der Einführung und Umsetzung sicherer digitaler Signaturen, insbesondere die Frage der Haftung gegenüber Dritten und Anpassungen im bürgerlichen-, öffentlichen- und Zivilprozeßrecht;

– Gewährleistung eines effektiven Jugendschutzes mit den geltenden Regelungen unter besonderer Berücksichtigung von Einrichtungen der freiwilligen Selbstkontrolle, des technischen Selbstschutzes und weiterer Vereinfachungen des Indizierungsverfahrens sowie der Erfahrungen mit der Verfolgung strafbarer Inhalte im Internet.

Mit diesem Bericht soll dem Beschluß des Deutschen Bundestages entsprochen werden.

II. Überblick zum IuKDG

1. Vorgeschichte

Bund und Länder haben sich 1996 darauf verständigt, im Rahmen der Zuständigkeitsverteilung des Grundgesetzes einen in der Sache einheitlichen, pragmatischen und entwicklungsoffenen Rechtsrahmen für die neuen Informations- und Kommunikationsdienste in Form eines Bundesgesetzes und eines Länderstaatsvertrages zu schaffen. Die zentralen Vorschriften in beiden Regelwerken wie die Zugangsfreiheit, der Datenschutz und in den Grundzügen die Anbieterkennzeichnung und Provider-Verantwortlichkeit sind deshalb weitgehend wortoder inhaltsgleich geregelt. Weitergehende medienspezifische Vorschriften enthält der MDStV im Hinblick auf die vorrangig publizistische Zielrichtung der Mediendienste mit den Regelungen zur Gegendarstellung, zur Impressumspflicht und zum Jugendschutz. Hinzu kommen besondere Regelungen zur Aufsicht und Ordnungsbewehrung.

Zur schnellen und pragmatischen Klärung möglicher Zuordnungs- und Abgrenzungsfragen im Zusammenhang mit der Entwicklung künftiger neuer Dienste haben sich die Bundesregierung und die Ministerpräsidenten der Länder am 18. Dezember 1996 ausdrücklich darauf verständigt, die Entwicklung neuer Dienste sowie die Anwendung der beiderseitigen gesetzlichen Regelungen fortlaufend zu beobachten und erforderlichenfalls eine Verständigung über notwendige Anpassungen unverzüglich und auf politischer Ebene herbeizuführen.

2. Zielsetzung und Regelungsbereiche

Ziel des IuKDG ist es, im Rahmen der Bundeskompetenzen eine verläßliche Grundlage für die Gestaltung der sich dynamisch entwickelnden Angebote im Bereich der Informations- und Kommunikationsdienste zu schaffen, einen Ausgleich zwischen freiem Wettbewerb, berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen herbeizuführen und vor allem die wirtschaftliche Entwicklung in diesem Bereich national und international anzustoßen und zu befördern.

Das IuKDG ist ein Artikelgesetz: Die ersten drei Artikel enthalten Neuregelungen: das Teledienstegesetz, das Teledienstedatenschutzgesetz und das Signaturgesetz. In sechs weiteren Artikeln werden bestehende Bundesgesetze in den Bereichen des Straf- und Ordnungswidrigkeitenrechts, des Jugendschutzrechts, des Urheberrechts sowie im Verbraucherschutzrecht angepaßt.

– Das Teledienstegesetz-TDG (Artikel 1 IuKDG regelt die Rahmenbedingungen für das Angebot und die Nutzung von Telediensten durch Sicherstellung der Zugangsfreiheit, der Klarstellung von Verantwortlichkeiten der Diensteanbieter und der Verpflichtung zur Anbieterkennzeichnung;

– das Teledienstedatenschutzgesetz-TDDSG (Artikel 2 IuKDG enthält bereichspezifische Regelungen zum Datenschutz im Hinblick auf die erweiterten Risiken der Erhebung, Verarbeitung und Nutzung personenbezogener Daten und setzt für den Online-Bereich die EG-Datenschutzrichtlinie um;

– mit dem Signaturgesetz-SigG (Artikel 3 IuKDG werden die Rahmenbedingungen für sichere digitale Signaturen geschaffen;

– Die Artikel 4 und 5 enthalten Klarstellungen des Schriftenbegriffs im Strafgesetzbuch und im Ordnungswidrigkeitengesetz mit Blick auf die erweiterten Nutzungs- und Verbreitungsmöglichkeiten von rechtswidrigen Inhalten;

– Artikel 6 stellt eine einheitliche Anwendung des Schriftenbegriffs zur Gewährleistung eines effektiven Jugendschutzes im Gesetz über die Verbreitung jugendgefährdender Schriften und Medieninhalte sicher und ergänzt dieses um Regelungen zur freiwilligen Selbstkontrolle und zum technischen Selbstschutz;

Artikel 7 setzt die EG-Richtlinie 96/9/EG vom 11. März 1996 über den rechtlichen Schutz von Datenbanken durch entsprechende Ergänzungen des Urheberrechtsgesetzes um;

Die Artikel 8 und 9 erstrecken den Verbraucherschutz im Preisangabengesetz und in der Preisangabenverordnung auf die erweiterten wirtschaftlichen Handlungsmöglichkeiten durch die neuen Dienste;

Die Artikel 10 und 11 enthalten gesetzestechnische Regelungen (Rückkehr zum einheitlichen Verordnungsrang und Inkrafttretenszeitpunkte).

B. Evaluierungsverfahren

Die Bundesregierung hat den Prozeß der Umsetzung des IuKDG in engem Dialog mit den Beteiligten in Industrie, Wirtschaft und Verbänden sowie in Wissenschaft und Verwaltung begleitet und unterstützt. Sie hat dazu das «Forum Informations- und Kommunikationsdienste» zu wichtigen Grundsatzfragen des Gesetzes und vier Arbeitskreise zu Schwerpunktfragen aus den Bereichen «Allgemeine Fragen des Gesetzes», «Datenschutz», «Digitale Signaturen» und «Jugendschutz» eingerichtet, in denen die Beteiligten unmittelbar vertreten sind.

Das «Forum Informations- und Kommunikationsdienste» hat am 8. Dezember 1997 mit einer Fachveranstaltung die Diskussion auf breiter Ebene mit den Beteiligten aufgenommen. Schwerpunkte der Veranstaltung waren die nationalen und internationalen Entwicklungen bei den rechtlichen Rahmenbedingungen für neue Dienste und deren Auswirkungen auf die nationale Gesetzgebung sowie die Formulierung von grundlegenden Ausgangsfragen für die Evaluierung und Fortentwicklung des Rechtsrahmens. Abgeschlossen wurde der Diskussionsprozeß mit einer Fachveranstaltung des Bundesministeriums für Wirtschaft und Technologie am 27. April 1999. Schwerpunkt der Veranstaltung waren die Weiterentwicklung der rechtlichen Rahmenbedingungen auf der Ebene der EU und zu bestimmten Gesichtspunkten aus dem Evaluierungsprozeß wie der Frage nach veränderten Regulierungsansätzen und -instrumenten sowie Einzelaspekte eines modernen Verbraucher- und Datenschutzes.

Die vertiefte Erörterung von Einzelfragen erfolgte in vier Arbeitskreisen:

– Der Arbeitskreis «Allgemeine Fragen des Gesetzes» befaßte sich mit aktuellen Anwendungs- und Auslegungsfragen im Zusammenhang mit der rechtlichen Zuordnung von neuen Diensten zu den Regelungen des Bundes und der Länder, mit Fragen zur Verantwortlichkeit und Haftungsprivilegierung sowie mit Verbraucherschutzfragen, insbesondere der Anbieterkennzeichnung und Preisangabenverpflichtung;

– im Arbeitskreis «Datenschutz» wurden die Erfahrungen mit der Umsetzung des neuen Datenschutzkonzeptes erörtert; diese dienten als fachliche Grundlage für die weiteren Überlegungen zur Entwicklung und Anwendung datenschutzfreundlicher Technologien und damit verbundener Projekte;

– der Arbeitskreis «Digitale Signaturen» befaßte sich mit Fragen der Umsetzung und Fortentwicklung sicherer digitaler Signaturen im nationalen und internationalen Bereich. Aus dem Arbeitskreis heraus entwickelten sich Expertenkreise zur Lösung von weiteren speziellen Fragen wie beispielsweise die der Interoperabilität von digitalen Signaturen. Eine weitere wichtige Initiative dieses Arbeitskreises war die Einrichtung des «Wissensforum digitale Signaturen», mit dem Anwendungsfragen im Zusammenhang mit der Umsetzung des Signaturgesetzes online erörtert und befördert werden können;

– im Arbeitskreis «Jugendschutz» wurden Fragen der Wirksamkeit der geschaffenen Regelungen vor allem im Bereich der freiwilligen Selbstkontrolle und bei der Anwendung und Umsetzung des technischen Selbstschutzes erörtert. Aus diesem Arbeitskreis hat sich der «Gesprächskreis Jugendschutz» entwickelt, in dem die für die Durchführung und Kontrolle des Jugendschutzes in den Netzen verantwortlichen freiwilligen und staatlichen Stellen offene Fragen unmittelbar und gemeinsam erörtern.

Neben dem Dialog im Forum Kommunikations- und Informationsdienste und in den Arbeitskreisen hat die Bundesregierung zahlreiche Gespräche mit einzelnen Unternehmen, Verbänden und staatlichen Einrichtungen über die Erfahrungen mit dem IuKDG und dem MDStV geführt. Zum Teil haben die Verbände eigene Initiativen zur Klärung offener Fragen und zur Vorbereitung von Handreichungen für die angeschlossenen Unternehmen ergriffen; zu nennen sind hier vor allem der Bundesverband Deutscher Banken mit der Erstellung von Handreichungen zur Anwendung des Gesetzes beim Telebanking und die vom DIHT veranstalteten «Sprechstunden zum IuKDG», bei denen die angeschlossenen Unternehmen und Verbände Gelegenheit hatten, ihre Erfahrungen und Fragen mit dem Gesetz unmittelbar darstellen zu können.

Über das Evaluierungsverfähren und seine wesentlichen Ergebnisse wird auf einer eigenen Webseite zum IuKDG (www.iukdg.de [LINK]) aktuell berichtet. Diese Webseite wurde auch als technische Plattform zur Information über die Diskussion und Maßnahmen zu bestimmten Fragestellungen den am Evaluierungsverfähren Beteiligten zur Verfügung gestellt, so für das «Wissensforum digitale Signaturen». Die vergleichsweise hohen Zugriffszahlen auf diese Webseite zeigen das anhaltend große Interesse auch aus dem Ausland an der gesetzlichen Regelung und den Erfahrungen mit ihrer Umsetzung.

Zu wichtigen Fragen aus den innovativen Regelungsbereichen des Gesetzes hat die Bundesregierung eine Reihe von Projekten und Studien vergeben, auf die in den nachfolgenden Ausrührungen im einzelnen eingegangen wird. Sie entspricht damit dem ausdrücklichen Wunsch des Deutschen Bundestages, die künftigen Entwicklungen bei den neuen Diensten und die Erfahrungen mit dem IuKDG im Hinblick auf den teilweisen Experimentiercharakter des Gesetzes wissenschaftlich zu begleiten.

C. Erfahrungen mit den einzelnen Regelungsbereichen des IuKDG, internationale Entwicklung und wirtschaftliche Auswirkungen

Die Ergebnisse der Gespräche im Forum Informations- und Kommunikationsdienste und in den vier Arbeitskreisen, aber auch die Überlegungen auf internationaler Ebene und die zahlreichen Veröffentlichungen in der Fachliteratur zu den einzelnen Rechtsbereichen des Gesetzes zeigen, daß die Diskussion über die Gestaltung der rechtlichen Rahmenbedingungen bei weitem nicht abgeschlossen ist, und sich der Erfahrungsprozeß mit den neuen Regelungen – und zwar mit unterschiedlicher Intensität in den einzelnen Rechtsgebieten – erst im Anfangsstadium befindet. Insoweit sind fundierte Aussagen darüber, ob sich die grundsätzlichen Ansätze des Gesetzes bewährt haben, beim gegenwärtigen Erfahrungsstand nur bedingt möglich. Gleichwohl lassen sich aus dem Evaluierungsverfähren wichtige Schlußfolgerungen für die Fortentwicklung der rechtlichen Rahmenbedingungen ziehen.

I. Allgemeine Regelungen des Teledienstegesetzes

1. Anwendungsbereich und Abgrenzung zu Mediendiensten und Rundfunk

1.1 Zuordnungs- und Abgrenzungsfragen

Bei den Erfahrungen zur Frage der Zuordnung und Abgrenzung von Telediensten zu Mediendiensten und zum Rundfunk muß zwischen der rechtsdogmatischen Auseinandersetzung einerseits und den Erfahrungen in der Praxis andererseits deutlich unterschieden werden:

Die von Bund und Ländern getroffenen Regelungen zum Anwendungsbereich des TDG und des MDStV haben in der wissenschaftlichen Diskussion ein lebhaftes Echo ausgelöst; sie werden in der Literatur vor allem vor dem Hintergrund der Kompetenzverteilung von Bund und Ländern und damit verbundenen rechtlichen Unschärfen der von Bund und Ländern getroffenen Regelungen in den Schnittstellenbereichen «Teledienste – Mediendienste» sowie «Mediendienste – Rundfunk» diskutiert. Ein wesentlicher Grund für die angeführten Abgrenzungsschwierigkeiten wird darin gesehen, daß die Abgrenzungsmerkmale nicht eindeutig auf die tatsächliche Inhaltsnutzung abstellen würden. Dies führe zu dem Mißverständnis, daß die Abgrenzung nach technischen Verbreitungs- und Übermittlungsmerkmalen zu erfolgen habe; diese werden im Hinblick auf die fortschreitende Digitalisierung und technische Konvergenz nicht als taugliches Abgrenzungskriterium angesehen. Diese Betrachtungsweise läßt jedoch außer acht, daß nach dem Wortlaut des § 2 TDG die Zuordnung eines Dienstes zum Anwendungsbereich des TDG oder MDStV ausschließlich funktionsbezogen nach dem inhaltlichen Schwerpunkt des einzelnen Angebotes und gerade nicht nach der zugrundeliegenden technischen Verbreitungsart zu erfolgen hat. Der Gesetzgeber hat dem dadurch Rechnung getragen, daß er den Begriff der individuellen Nutzung in der Generalklausel des § 2 Abs. 1 TDG durch die Beispiele in Absatz 2 der Vorschrift zusätzlich erläutert hat. Die Verwendung des Begriffs «Angebot» bei den einzelnen Beispielen läßt nur eine funktionsbezogene inhaltliche Abgrenzung zu. Die Ausführungen in der Literatur lassen allerdings darauf schließen, daß die in § 2 Abs. 1 MDStV verwendete Formulierung «an die Allgemeinheit gerichtete Informations- und Kommunikationsdienste» und die in Absatz 2 der Vorschrift aufgenommenen Beispiele häufig unter sendetechnischen Gesichtspunkten und nicht als inhaltliche funktionsbezogene Abgrenzung verstanden werden. Dabei wird allerdings häufig nicht berücksichtigt, daß der Bundesgesetzgeber den Regierungsentwurf in § 2 Abs. 4 Nr. 3. TDG ergänzt hat (Beschlußempfehlung und Bericht Drucksache 13/7934), um mögliche Rechtsunsicherheiten gerade zu dieser Frage auszuschließen. Nach dieser Vorschrift hat auch die Zuordnung eines Dienstes als Mediendienst ausschließlich nach fünktionsbezogenen Merkmalen zu erfolgen. Vom Anwendungsbereich des TDG sind danach «inhaltliche Angebote» nur ausgenommen und fallen unter den Anwendungsbereich des MDStV, «soweit die redaktionelle Gestaltung zur Meinungsbildung für die Allgemeinheit im Vordergrund steht». Dies gilt nach dem Wortlaut der Vorschrift gleichermaßen sowohl für Verteil- als auch für Abrufdienste.

Insgesamt wird bei der wissenschaftlichen Diskussion zur Abgrenzungsfrage zu wenig berücksichtigt, daß es sich bei den Definitionen des TDG und MDStV zum Anwendungsbereich um Formulierungen handelt, die auf eine pragmatische und entwicklungsoffene Handhabung angelegt sind und mit denen möglichen langjährigen Verfassungsstreitverfahren zwischen Bund und Ländern zu Lasten des Wirtschaftsstandorts Deutschland begegnet werden soll. Dies setzt offene Formulierungen voraus, die den notwendigen Beurteilungs- und Handlungsspielraum für die Praxis lassen.

In der praktischen Umsetzung hat sich demgegenüber die Dreiteilung der Angebote bei den neuen Diensten in Teledienste, Mediendienste und Rundfunk bislang weitgehend bewährt. Teledienste und Mediendienste, soweit diese auf Abruf erfolgen, stellen den Nutzem einzelne Informationen zu individueller, nicht gesteuerter Auswahl zur Verfügung, wobei Teledienste durch Individualität und Interaktivität der jeweiligen Angebote bzw. ihrer Nutzung, Mediendienste durch primär publizistische Relevanz gekennzeichnet sind. Demgegenüber stellt Rundfunk ein zeitlich planmäßig ablaufendes Gesamtprogramm dar. In wichtigen Angebots- und Nutzungsbereichen ist eine eindeutige rechtliche Zuordnung als Tele- oder Mediendienst möglich; zu nennen sind hier vor allem Abrufdienste aus dem Bereich der Banken- und Versicherungswirtschaft sowie das Online-Shopping als Teledienste, der Femseheinkauf mit Medienbruch (per Telefon), das elektronische Zeitungs- und Zeitschriftenangebot sowie Textanzeigen im Femsehkanal und -programm als Mediendienste. Typische Formen individualkommunikativer elektronischer Angebote und damit Teledienste sind auch die Einrichtung von Newsgroups, Chatrooms und vergleichbare interaktive Kommunikationsangebote.

Bei den bisher bekannt gewordenen Fragen im Zusammenhang mit der Zuordnung bzw. Abgrenzung handelte es sich im wesentlichen um Fragen der Auslegung und des Umgangs mit den neuen Regelungen, wie sie in der Umsetzungsphase solcher Regelungen nicht unüblich und im Hinblick auf den entwicklungsoffenen Charakter und vor dem Hintergrund der dynamischen Entwicklungen auch zu erwarten sind. Konkrete Anhaltspunkte dafür, daß die Entwicklung neuer Angebote vor dem Hintergrund einer unklaren rechtlichen Zuordnung zurückgestellt oder nachhaltig behindert worden wäre, sind der Bundesregierung nicht bekannt geworden. Die bisherige Praxis in Wirtschaft und Verwaltung hat gezeigt, daß die aufgetretenen Zweifelsfragen im Wege einer verständigen Rechtsauslegung geklärt werden konnten. Die nach Auskunft einzelner Fachverbände zwischenzeitlich entwickelten bzw. in Vorbereitung befindlichen Handreichungen haben zu einer weiteren Entspannung in der Abgrenzungsfrage geführt. Bestätigt wird diese Einschätzung auch insoweit, als gerichtliche Entscheidungen zur Frage der Abgrenzung «Teledienste – Mediendienste» bisher nicht bekannt geworden sind.

Mit der Entwicklung von neuen Diensteangeboten unter Nutzung des Programmbereichs wie beispielsweise Web-TV, Business-TV und branchenbezogene interaktive TV-Dienstleistungs- und Werbeangebote, geht es bei den Zuordnungs- und Abgrenzungsfragen darüber hinaus zunehmend nicht mehr um Auslegungsfragen zu der Schnittstelle Teledienste – Mediendienste, sondern um die Abgrenzung der Mediendienste zum Rundfunk und umgekehrt. Die erforderliche Abgrenzung konnte aber auch in diesen Fällen bisher mit dem ebenfalls neu eingeführten Instrument der Unbedenklichkeitsbescheinigung nach § 20 Abs. 2 des Rundfünkstaatsvertrages gelöst werden. Nach dieser Vorschrift besteht die Möglichkeit, sich von der zuständigen Landesmedienanstalt mit Bindungswirkung aller Landesmedienanstalten eine «Unbedenklichkeitsbescheinigung» erteilen zu lassen, sofern Zweifel bestehen, ob ein Mediendienst dem Rundfunk zuzuordnen ist. Dementsprechend sind auch bei dieser Abgrenzungsfrage gerichtliche Entscheidungen bisher eine Ausnahme (Verwaltungsgericht Berlin zu Textanzeigen im Börsenlaufband, Az.: VG 27 A 413.98).

Die Bundesregierung ist auch dem wiederholten Hinweis aus dem Bereich der Telekommunikationsanbieter nachgegangen, daß eine eindeutige Trennung zwischen dem Anwendungsbereich des Telekommunikationsgesetzes (TKG) und dem IuKDG bzw. MDStV nicht gewährleistet sei und damit die Gefahr von Überschneidungsfällen bestehe. Die Vorschriften des IuKDG und des MDStV nehmen Telekommunikationsdiensleistungen ausdrücklich vom Anwendungsbereich der jeweiligen Regelung aus (§ 2 Abs. 4 Ziffer 1 IuKDG; § 2 Abs. 1 Satz 3 MDStV). Bundes- und Ländergesetzgeber haben damit eine Trennung vorgenommen zwischen der technischen Bereitstellung von Informations- und Kommunikationsdiensten, wie sie beispielsweise in der Veröffentlichung der Anbieter von Telekommunikationsdienstleistungen im Amtsblatt 2/97 des (ehemaligen) Bundesministeriums für Post und Telekommunikation aufgeführt ist, und den darauf anzuwendenden spezifischen TK-Regelungen des TKG sowie den mittels dieser Dienstleistung ermöglichten Nutzungen und Anwendungen mit den dafür spezifischen Inhalte-Regelungen des IuKDG, MDStV und Rundfünkstaatsvertrages. Das TKG ist deshalb auch auf Anbieter von Telediensten anwendbar, soweit sie Telekommunikationsdienstleistungen erbringen.

In diesem Zusammenhang wird aktuell die Zuordnung der Vergabe von IP-Adressen zum Anwendungsbereich des TKG oder des IuKDG diskutiert. Für den Nutzer wird die Möglichkeit, im Internet zu surfen, nicht bereits durch den Aufbau einer ständigen Verbindung über die Telefonleitung zum Provider hergestellt. Voraussetzung sind vielmehr neben der Einwahlmöglichkeit auch die zum Verbindungsaufbau notwendigen Protokollfunktionen und die Vergabe der IP-Adresse, Name-Service und Routing. Bei diesen Dienstleistungen handelt es sich nicht um die reine Datenübertragung, sondern um ein spezifisches Diensteangebot des Providers zur Nutzung von Informations- und Kommunikationsangeboten im Internet und anderen Netzen.

Mit der Frage der Abgrenzung der verschiedenen Regelungsbereiche hat sich auch der «Düsseldorfer Kreis», ein Beratungsgremium der Aufsichtsbehörden für den Datenschutz, befaßt. Er kommt zu dem Ergebnis, daß sich die aufgetretenen Auslegungsfragen zwar als schwierig, aber dennoch als grundsätzlich lösbar herausgestellt haben. Er spricht sich für eine entsprechende Klarstellung aus.

Auch aus dem Blickwinkel der Diskussion zu den ordnungspolitischen Auswirkungen der Konvergenz der Branchen Telekommunikation, Medien und Informationstechnologie auf der Ebene der EU wird der nationale Regulierungsansatz beim gegenwärtigen Stand der Technik und Entwicklung nicht in Frage gestellt. In den öffentlichen Konsultationen zum «Grünbuch zur Konvergenz der Branchen Telekommunikation, Medien und Informationstechnologie und ihren ordnungspolitischen Auswirkungen – Ein Schritt in Richtung Informationsgesellschaft» [KÖM (97) 623] haben sich die meisten Mitgliedstaaten für eine klare Trennung des technischen Bereichs (Infrastruktur) vom inhaltlichen Bereich ausgesprochen. Die Mehrzahl der Mitgliedstaaten befürwortet einen evolutionären Regulierungsansatz im Sinne einer vorsichtigen Anpassung der bestehenden nationalen Regelungen (Option I des Kommissionsvorschlags) bzw. die Schaffung eines separaten Regelungsmodells für die neuen Dienste (Option II des Kommissionsvorschlags) und dies teilweise auch erst für eine spätere Phase. Der Kommissionsvorschlag für eine horizontale, branchenübergreifende Regulierung (Option III) wurde demgegenüber nur von einzelnen Mitgliedstaaten ausdrücklich unterstützt und dies auch erst für einen späteren Zeitpunkt.

In seinen Schlußfolgerungen zu den Ergebnissen der öffentlichen Anhörung zum Grünbuch vom 22. April 1999 hat sich der Rat u. a. für ein umfassendes Regulierungskonzept, bei dem Infrastrukturen und Inhalte getrennt sind, ausgesprochen. Die Regulierung der Inhalte sollte mit den spezifischen Merkmalen gegebener Inhalt-Dienste, einschließlich audiovisueller Dienste, sowie mit den mit diesen Diensten verbundenen Zielen von öffentlichem Interesse verknüpft werden. Aus Sicht des Rates impliziert dies ein vertikales Konzept, erforderlichenfalls auf der Grundlage der derzeitigen Regulierungsstrukturen.

Der in Deutschland eingeschlagene Weg entspricht einer Kombination der im Grünbuch aufgeführten Optionen I und II mit den Neuregelungen in den Artikeln 1 bis 3 IuKDG sowie der Anpassung des bestehenden Rechtsrahmens und der Umsetzung von EG-Recht in den Artikeln 4 bis 9 IuKDG; er liegt damit auf der Linie des vom Rat vorgeschlagenen Regulierungskonzepts. Der Diskussionsprozeß zum Grünbuch der Kommission hat deutlich gemacht, daß Deutschland im Vergleich zu anderen Mitgliedstaaten der EU durch die parlamentarische und öffentliche Debatte zum IuKDG und MDStV bei der Gestaltung der rechtlichen Rahmenbedingungen weit fortgeschritten ist.

Die im Evaluierungszeitraum bekannt gewordenen Abgrenzungsfragen haben nach Erkenntnis der Bundesregierung insgesamt nicht zu einer Behinderung bei der Einrührung und Entwicklung neuer Dienste gerührt; sie konnten pragmatisch und damit im Sinne der Zielsetzung von IuKDG und MDStV gelöst werden. Offene Zuordnungs- und Abgrenzungsfragen für eine Bund-Länder-Abstimmung auf politischer Ebene sind nicht aufgetreten. Gleichwohl sieht die Bundesregierung in dem derzeitigen Regulierungsmodell nur eine vorübergehende Lösung. Sie schließt nicht aus, daß die von Bund und Ländern vorgenommene Abgrenzung der neuen IuK-Dienste gegenüber dem Rundfunk bei weiter zunehmender Erfahrung mit der gesetzlichen Regelung und vor dem Hintergrund der sich abzeichnenden neuen Entwicklungen bei den Informations- und Kommunikationsdiensten sowie -anwendungen überdacht werden muß. Sie wird die Funktionsfähigkeit der geltenden Regelung vor allem mit Blick auf die Abgrenzung zum Rundfunk weiterhin intensiv beobachten und mit den Ländern wegen der notwendigen Fortentwicklung zu einem zukunftsfähigen Regulierungsmodell im Gespräch bleiben.

1.2 Unterschiedliche Rechtsfolgen bei Tele- und Mediendiensten

Zweifelsfragen im Zusammenhang mit der Zuordnung zum TDG und mit der Abgrenzung zum MDStV wurden häufig mit den unterschiedlichen Rechtsfolgen beider Regelwerke begründet. Während beispielsweise das IuKDG mit Ausnahme der Ergänzungen und Anpassungen des GjS keine Sanktionen vorsieht, enthält der MDStV einen umfangreichen Ordnungswidrigkeitenkatalog. Ferner enthält der MDStV eine modifizierte Vorschrift zur Aufsicht in § 18 Abs. 3 MDStV für den Fall, daß Aufsichtsmaßnahmen gegenüber dem Verantwortlichen nach § 5 Abs. 1 und 2 MDStV nicht durchführbar oder nicht erfolgversprechend sind, sowie weitergehende medienspezifische Regelungen bei der Impressumspflicht und im Jugendschutz. Schließlich kann sich im Schnittstellenbereich «Mediendienste-Rundfunk» die Notwendigkeit einer rundfunkrechtlichen Überprüfung nach § 20 Rundfunkstaatsvertrag ergeben. Im Hinblick darauf ist der Wunsch nach einer entsprechend weiten Definition für den Anwendungsbereich des TDG verständlich. Gleichwohl ist die Bundesregierung der Auffassung, daß die Fragen der rechtlichen Subsumtion und der Rechtsfolgen unter den Anwendungsbereich beider Regelwerke klar voneinander zu trennen sind. Soweit sich auf der Rechtsfolgenseite Fragen des Gesetzesvollzugs mit Auswirkungen auf die wirtschaftliche Entwicklung der neuen Dienste ergeben, z. B. im Rahmen der Aufsicht oder infolge unübersichtlicher Verwaltungsstrukturen in den Ländern, sind diese unabhängig von der Frage der rechtlichen Zuordnung und Abgrenzung zu behandeln.

1.3 Geschlossene Nutzergruppen

Der Deutsche Bundestag hat die Bundesregierung gebeten, in die Prüfung des Gesetzes die Frage einzubeziehen, ob die beschlossenen Regelungen in internen Netzen und geschlossenen Nutzergruppen wirtschaftlich praktikabel sind und ggf. ergänzt oder angepaßt werden müssen.

Das IuKDG enthält keine Regelung, mit der geschlossene Nutzergruppen vom Anwendungsbereich des Gesetzes ausgenommen werden. Dies gilt auch für den MDStV. Für die Bundesregierung waren dabei insbesondere zwei Gesichtspunkte maßgebend: Die durch die neuen technischen Möglichkeiten ausgelösten vielfältigen Formen geschlossener Nutzerkreise im beruflichen, wirtschaftlichen und im gesellschaftlichen Bereich und die nicht absehbare weitere Entwicklung von geschlossenen Netzstrukturen schließen eine klare definitorische Eingrenzung nahezu aus. Auch die eingehenden Erörterungen zu dieser Frage mit den Verbänden und Unternehmen im Arbeitskreis «Allgemeine Fragen des Gesetzes» haben zu keinem anderen Ergebnis geführt. Frühere Spezialregelungen zu geschlossenen Nutzergruppen in der Telekommunikationsverleihungs-Verordnung (außer Kraft getreten am 31. Dezember 1997) und im Btx-Staatsvertrag (außer Kraft getreten am 1. August 1997) wurden deshalb – ebenso wie beim TKG – nicht in das IuKDG und den MDStV übernommen.

Auch die vorgeschlagene Herausnahme von «verbundenen Unternehmen» und/oder «schuldrechtlichen Dauerbeziehungen» aus dem Anwendungsbereich des TDG läßt eine sachgerechte rechtliche Eingrenzung nicht zu. Bei den verbundenen Unternehmen stehen unterschiedliche Konzemstrukturen und die oftmals sehr hohe Zahl von Beschäftigten mit vielfältigen Betätigungs- und Nutzungsmöglichkeiten in den Netzen einer Zuordnung als geschlossene Nutzergruppe entgegen. Eine schuldrechtliche Dauerbeziehung liegt regelmäßig auch den Nutzungsverhältnissen zugrunde, für die die gesetzliche Regelung gerade Anwendung finden soll. Hinzu kommt, daß auch im dienstlichen und beruflichen Bereich eine Trennung zwischen privater und dienstlicher oder beruflicher Nutzung häufig nicht mehr vorgenommen wird, teilweise ist eine Trennung technisch auch nicht möglich, z. B. bei einer vom Arbeitgeber während der beruflichen Nutzung erlaubten privaten Nutzung der Netzangebote. Deshalb würde auch eine Abgrenzung allein nach technischen Kriterien, z. B. ein geschlossenes Netzwerk, zu rechtsfreien Räumen und Umgehungsmöglichkeiten führen, die zu Lasten der Nutzer gehen und – wie gerade im Datenschutz – nicht mit dem verfassungsmäßig verbürgten Recht auf informationelle Selbstbestimmung im Einklang stehen. Die Bundesregierung ist deshalb bei der Vorbereitung des IuKDG wie zuvor beim TKG und später im Postgesetz einen anderen Weg gegangen. Sie hat durch entsprechende Formulierungen in § 2 Abs. 2 TDG («Angebote») und in § 6 TDG («geschäftsmäßige Angebote») deutlich gemacht, daß die geschlossenen Nutzergruppen erfaßt sind. Ausgenommen sind nur die betriebsinteme Information und Kommunikation zu rein dienstlichen oder beruflichen Zwecken oder zur Steuerung des Arbeitsprozesses. Hier fehlt es am Angebotscharakter.

Auch der «Düsseldorfer Kreis» hat sich mit der Frage der Anwendung des TDG, des TDDSG und des MDStV im Arbeitsverhältnis befaßt. Er kommt ebenfalls zu dem Ergebnis, daß die genannten Vorschriften im Arbeitsverhältnis keine Anwendung finden. Begründet wird dies damit, daß es sich bei Anbieter und Nutzer von Tele- und Mediendiensten um verschiedene Ebenen handelt und mindestens im Falle der ausschließlich dienstlichen Überlassung von Telediensten durch den Arbeitgeber an den Arbeitnehmer diese Voraussetzung nicht erfüllt sei. Der Arbeitgeber ist insbesondere nicht verpflichtet, die Gestaltung von Telediensten an den Grundsätzen der Datensparsamkeit auszurichten, noch den Arbeitnehmern die anonyme oder pseudonyme Nutzung dieser Dienste einzuräumen. Insoweit finden die Vorschriften des BDSG Anwendung. Sofern allerdings eine private Nutzung der Dienste durch den Arbeitgeber eingeräumt wird, finden TDG und TDDSG in vollem Umfang Anwendung; hier ist der Arbeitgeber als Anbieter von Telediensten im Sinne des TDG anzusehen. Der Düsseldorfer Kreis spricht sich für eine entsprechende Klarstellung im Gesetz aus.