Decisión 2007/551/PESC/JAI del Consejo, de 23 de julio de 2007, relativa a la firma, en nombre de la Unión Europea, de un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007).

EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de la Unión Europea y, en particular, sus artículos 24 y 38,

Considerando lo siguiente:

(1) El Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (en lo sucesivo, «DHS») celebrado el 19 de octubre de 2006 (1) expira a más tardar el 31 de julio de 2007,
salvo que se prorrogue mediante consentimiento recíproco por escrito.

(2) El 22 de febrero de 2007, el Consejo decidió autorizar a la Presidencia, asistida por la Comisión, a entablar negociaciones para un acuerdo a largo plazo sobre el mismo asunto. Dichas negociaciones culminaron satisfactoriamente con la redacción de un nuevo acuerdo.

(3) En una carta adjunta al nuevo Acuerdo, el DHS garantiza la protección de los datos del PNR que se transfieren desde la Unión Europea relativos a vuelos de pasajeros con destino u origen en los Estados Unidos.

(4) El DHS y la Unión Europea, mediante una persona designada específicamente para tal fin, pasarán revista periódicamente a la aplicación de las garantías que figuran en la carta adjunta para que las Partes, atendiendo al resultado de dicho examen, puedan tomar cualquier medida
estimada necesaria.

(5) Procede firmar el Acuerdo, sin perjuicio de su celebración en una fecha ulterior.

(6) El artículo 9 del Acuerdo establece que este se aplicará de forma provisional a partir de la fecha de la firma. Por consiguiente, los Estados miembros deben hacer efectivas las disposiciones a partir de dicha fecha con arreglo al Derecho interno vigente. En la fecha de firma del Acuerdo se efectuará una declaración a tal efecto.

DECIDE:

Artículo 1

Queda aprobada, en nombre de la Unión Europea, la firma del Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007), a reserva de la celebración del
citado Acuerdo.

El texto del Acuerdo, la carta adjunta del DHS y la respuesta de la UE se adjuntan a la presente Decisión.

Artículo 2

Se autoriza al Presidente del Consejo para que designe a la(s) persona(s) facultada(s) para firmar el Acuerdo en nombre de la Unión Europea, a reserva de su celebración.

Artículo 3

De conformidad con el artículo 9 del Acuerdo, las disposiciones del Acuerdo se aplicarán de forma provisional con arreglo al Derecho interno vigente a partir del día de su firma, a la espera
de su entrada en vigor. En la fecha de la firma se efectuará la declaración relativa a la aplicación provisional que figura en el anexo.

Hecho en Bruselas, el 23 de julio de 2007.

Por el Consejo

El Presidente, L. AMADO

————————————————————————————————-

(1) DO L 298 de 27.10.2006, p. 29.
————————————————————————————————

Declaración en nombre de la Unión Europea al Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007)

«El presente Acuerdo, pese a no constituir una restricción o modificación de la legislación de la UE o de sus Estados miembros, será aplicado provisionalmente de buena fe por los Estados miembros, a la espera de su entrada en vigor, en el marco de su Derecho interno vigente.».

Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007)

LA UNIÓN EUROPEA y LOS ESTADOS UNIDOS DE AMÉRICA,

DESEOSOS de prevenir y combatir con eficacia el terrorismo y la delincuencia transnacional, como medio de protección de sus respectivas sociedades democráticas y de sus valores comunes;

RECONOCIENDO que el intercambio de información es una herramienta esencial de la lucha contra el terrorismo y la delincuencia transnacional, y que la utilización de los datos del PNR es un instrumento importante en este contexto;

RECONOCIENDO que, para salvaguardar la seguridad pública y con fines policiales, es conveniente establecer normas sobre la transferencia de los datos del PNR por las compañías aéreas al Departamento de Seguridad del Territorio Nacional (Department of Homeland Security, en lo sucesivo «DHS»);

RECONOCIENDO la importancia de prevenir y combatir el terrorismo, los delitos afines y otros delitos graves de carácter transnacional, incluida la delincuencia organizada, respetando al mismo tiempo los derechos y las libertades fundamentales, especialmente la intimidad;

RECONOCIENDO que la legislación y las normas de actuación europeas y estadounidenses en materia de protección de la intimidad tienen un fundamento común, y que las diferencias que puedan existir en cuanto a la aplicación de los correspondientes principios no deberían constituir un obstáculo a la cooperación entre los Estados Unidos y la Unión Europea (UE);

TENIENDO EN CUENTA los convenios internacionales, las normas y reglamentaciones de los Estados Unidos, en virtud de las cuales las compañías aéreas que efectúen vuelos internacionales de transporte de pasajeros con origen o destino en los Estados Unidos han de proporcionar al DHS acceso electrónico a los datos del PNR en la medida en que tales datos se recopilen y conserven en los sistemas informatizados de control de reservas/salidas de las compañías aéreas (en lo
sucesivo, «sistemas de reserva»), y los requisitos comparables exigidos en la UE;

TENIENDO EN CUENTA las disposiciones del artículo 6, apartado 2, del Tratado de la Unión Europea relativas al respeto de los derechos fundamentales y, en particular, el derecho conexo relativo a la protección de los datos personales;

TENIENDO PRESENTES los anteriores Acuerdos sobre el PNR entre la Comunidad Europea y los Estados Unidos de América de 28 de mayo de 2004 y entre la Unión Europea y los Estados Unidos de América de 19 de octubre de 2006.

TENIENDO EN CUENTA las disposiciones pertinentes de la Ley relativa a la seguridad del transporte aéreo (Aviation Transportation Security Act) de 2001, de la Ley sobre seguridad interior (Homeland Security Act) de 2002, de la Ley de reforma de los servicios de inteligencia y de prevención del terrorismo (Intelligence Reform and Terrorism Prevention Act) de 2004 y del Decreto (Executive Order) 13388 sobre la cooperación entre organismos de los Estados Unidos en la lucha contra el terrorismo, así como la Ley de protección de la intimidad (Privacy Act) de 1974, la Ley de libertad de información (Freedom of Information Act) y la Ley de administración electrónica (E-Government Act) de 2002;

TENIENDO PRESENTE que la Unión Europea debe velar por que las compañías aéreas cuyos sistemas de reserva estén situados en la Unión Europea pongan a disposición del DHS los datos del PNR y cumplan las prescripciones técnicas aplicables a dichas transferencias que ha definido el DHS;

AFIRMANDO que el presente Acuerdo no constituye un precedente para futuras conversaciones o negociaciones entre los Estados Unidos y la Unión Europea, o entre una de las Partes y cualquier Estado respecto del tratamiento y transferencia de los datos del PNR o de cualquier otro tipo de datos;

CON ÁNIMO de mejorar y alentar la colaboración entre las Partes dentro del espíritu de la cooperación transatlántica.

HAN CONVENIDO EN LO SIGUIENTE:

(1) Sobre la base las garantías ofrecidas en la carta del DHS, en la que este explica la forma en que protegerá el PNR (en lo sucesivo, «la carta del DHS»), la Unión Europea velará por que las compañías aéreas que efectúen vuelos internacionales de transporte de pasajeros con origen o
destino en los Estados Unidos pongan a disposición de dicho país los datos del PNR contenidos en sus sistemas de reserva, conforme lo requiera el DHS.

(2) El DHS efectuará de inmediato, y a más tardar el 1 de enero de 2008, la transición a un sistema de transmisión (push system) para la transmisión de datos por las mencionadas compañías aéreas, siempre que estas hayan implantado un sistema de este tipo que cumpla las prescripciones técnicas del DHS. Para las compañías aéreas que no hayan implantado dicho sistema, seguirán vigentes los
sistemas actuales hasta que establezcan un sistema que cumpla las prescripciones técnicas del DHS.

Por consiguiente, el DHS accederá de forma electrónica al PNR de los sistemas de reserva de las compañías aéreas situados en el territorio de los Estados miembros de la Unión Europea hasta que se haya establecido un sistema satisfactorio que permita a las compañías aéreas transmitir esos datos.

(3) El DHS tratará los datos del PNR que reciba y a los titulares de los datos objeto de tal tratamiento de conformidad con la legislación y las normas constitucionales de los Estados Unidos, sin discriminación contraria a la ley, en particular por razón de nacionalidad o de país de residencia. La carta del DHS contiene salvaguardias en este y otros sentidos.

(4) El DHS y la UE revisarán periódicamente la aplicación del presente Acuerdo, la carta del DHS y las normas y prácticas de actuación de los Estados Unidos y la UE en lo que respecta al PNR, con ánimo de garantizar, a satisfacción de ambas partes, que sus sistemas funcionan correctamente
en términos de eficacia y de protección de la intimidad.

(5) El DHS entiende que, al celebrar el presente Acuerdo, no se le está pidiendo que adopte para su sistema PNR medidas de protección de datos más restrictivas que las que las autoridades europeas aplican a sus propios sistemas PNR nacionales. El DHS no pide a las autoridades europeas que adopten para sus sistemas PNR medidas de protección de datos más restrictivas que las que los Estados Unidos aplican al sistema PNR nacional. De no resultar correcta esta hipótesis, el DHS se reserva el derecho de suspender las disposiciones pertinentes de la carta del DHS mientras celebra consultas con la UE con vistas a alcanzar una solución rápida y satisfactoria. En caso de que en la Unión Europea o en uno o más de sus Estados miembros se implante un sistema PNR en virtud del cual las compañías aéreas queden obligadas a poner a disposición de las autoridades datos del PNR sobre personas cuyo itinerario de viaje incluya un vuelo con origen o
destino en la Unión Europea, el DHS, sobre una base de estricta reciprocidad, promoverá activamente la cooperación de las compañías aéreas que estén dentro de su jurisdicción.

(6) A efectos de la aplicación del presente Acuerdo, se considera que el DHS ofrece un nivel adecuado de protección de los datos de PNR transferidos desde la Unión Europea.

En consecuencia, la UE no interferirá por motivos de protección de datos en las relaciones entre los Estados Unidos y terceros países en lo que respecta al intercambio de datos sobre pasajeros.

(7) Los Estados Unidos y la UE trabajarán con los interlocutores interesados del sector de la aviación para dar mayor proyección pública a las comunicaciones dirigidas a los viajeros en las que se describan los sistemas PNR (incluidas las prácticas en materia de vías de recurso y de recopilación de datos), y alentarán a las compañías aéreas a que hagan referencia a estas comunicaciones en el contrato oficial de transporte y a que las incorporen en él.

(8) En caso de que la UE determine que los Estados Unidos han vulnerado el presente Acuerdo, solo le cabrá como recurso la terminación del Acuerdo y la anulación de la consideración relativa a la adecuada protección de datos a que se refiere el apartado 6. En caso de que los Estados Unidos determinen que la UE ha vulnerado el presente Acuerdo, solo les cabrá como recurso la terminación del Acuerdo y la revocación de la carta del DHS.

(9) El presente Acuerdo entrará en vigor el primer día del mes siguiente a la fecha en que las Partes se hayan notificado recíprocamente la conclusión de los procedimientos internos necesarios a tal efecto. El presente Acuerdo se aplicará de forma provisional a partir del día de la firma. Cualquiera de las Partes podrá terminar o suspender el presente Acuerdo en todo momento mediante notificación a través de los canales diplomáticos. La terminación surtirá efecto treinta (30) días después de la fecha en que se notifique la terminación a la otra Parte, a menos que una de las Partes considere indispensable un plazo más breve por razones de seguridad interior o de protección de intereses nacionales. El presente Acuerdo y todas las obligaciones que contiene expirarán y dejarán de surtir efectos a los siete años de la fecha de su firma, salvo que las Partes convengan en sustituirlo por otro.

El presente Acuerdo no tiene por objeto restringir o modificar la legislación de los Estados Unidos de América ni de la Unión Europea o sus Estados miembros. El presente Acuerdo no crea ni confiere derechos o beneficios a ninguna otra persona o entidad, privada o pública.

El presente Acuerdo se redactará en doble ejemplar en lengua inglesa. También estará redactado en las lenguas alemana, búlgara, checa, danesa, eslovaca, eslovena, española, estonia, finesa, francesa, griega, húngara, italiana, letona, lituana, maltesa, neerlandesa, polaca, portuguesa, rumana y sueca, y las Partes aprobarán estas versiones lingüísticas. Una vez aprobadas, las versiones en dichas lenguas serán igualmente auténticas.

Hecho en Bruselas el 23 de julio de 2007 y en Washington el 26 de julio de 2007.

Por la Unión Europea Por los Estados Unidos de América

TRADUCCIÓN

Carta de los EE.UU. a la UE

Sr. Luís Amado
Presidente del Consejo de la Unión Europea
Rue de la Loi 175
1048 Bruselas
Bélgica

La presente carta, elaborada en respuesta a la petición de la UE y con el fin de reiterar la importancia que el Gobierno de los Estados Unidos concede a la protección de la intimidad de las personas, tiene por objeto explicar los principios que aplica el Departamento de Seguridad del Territorio Nacional de los Estados Unidos (DHS) a la hora de recopilar, utilizar y almacenar datos de los registros de nombres de pasajeros (PNR). Ninguna de las normas de actuación que en ella se describen crea o confiere derecho o beneficio alguno a persona o entidad alguna, ya sea pública o privada, ni concede más recursos que los estipulados en el Acuerdo entre la UE y los EE.UU. sobre el tratamiento y la transferencia de datos del PNR por las compañías aéreas al DHS, firmado en julio de 2007 (en lo sucesivo, «el Acuerdo»). En lugar de ello, la presente carta presenta las garantías establecidas en la legislación estadounidense y refleja las normas de actuación que el
DHS aplica, con arreglo a dicha legislación, a los datos de PNR derivados de vuelos entre los EE.UU. y la Unión Europea (en lo sucesivo, «los datos de PNR de la UE»).

I. Objeto para el cual se utiliza el PNR:

El DHS utiliza los datos de PNR de la UE estrictamente con objeto de prevenir y combatir: 1) el terrorismo y los delitos afines, 2) otros delitos graves de carácter transnacional, incluida la delincuencia organizada, y 3) la huida de las personas objeto de órdenes judiciales o penas de prisión por alguno de los mencionados delitos. Los PNR pueden utilizarse siempre que sea necesario para la protección de los intereses vitales del titular de los datos o de otras personas, o en cualquier proceso judicial de carácter penal, o cuando por otras razones lo prescriba la ley. El DHS informará a la UE en caso de que se promulgue en los EE.UU. cualquier acto legislativo que afecte materialmente a las declaraciones formuladas en la presente carta.

II. Uso compartido del PNR:

El DHS comparte los datos de PNR de la UE únicamente para los fines indicados en la sección I.
Trata los datos de PNR de la UE como datos sensibles y confidenciales, de conformidad con la legislación estadounidense, y, aplicando su facultad de apreciación, los proporciona exclusivamente a otras autoridades estatales internas con competencias en materia policial y judicial, de seguridad pública o antiterrorista, para ayudarlas en casos de lucha antiterrorista, delincuencia transnacional y seguridad pública (incluidas las amenazas, huidas, personas y rutas que sean motivo de inquietud) que estén examinando o investigando, de conformidad con la ley y con arreglo a los compromisos
escritos y a las leyes estadounidenses sobre el intercambio de información entre las autoridades estatales de EE.UU. El acceso a los datos se limitará rigurosa y escrupulosamente a los casos antes indicados, en la medida en que lo requieran las características de cada caso.

Solo se intercambiarán datos de PNR de la UE con otras autoridades estatales de terceros países tras examinar el fin o fines para los cuales pretende emplearlos el destinatario y su capacidad para proteger la información. Salvo en casos de emergencia, estos intercambios de datos se producirán una vez que las partes hayan formulado compromisos expresos que incorporen disposiciones de protección de datos comparables a las que el DHS aplica a los datos de PNR de la UE, según se describen en el párrafo segundo de la presente sección.

III. Tipo de información recopilada:

La mayor parte de los elementos informativos de los datos de PNR pueden ser obtenidos por el DHS examinando el billete de avión y demás documentos de viaje del viajero, aplicando sus atribuciones normales en materia de control fronterizo; sin embargo, la posibilidad de recibir estos datos electrónicamente aumenta considerablemente la capacidad del DHS para centrar sus recursos en cuestiones de alto riesgo, facilitando y protegiendo así a los viajeros de buena fe.

Tipos de datos de PNR de la UE recopilados:

1) Código del localizador de registro de nombres de los pasajeros

2) Fecha de reserva/emisión del billete

3) Fecha o fechas de viaje previstas

4) Nombre o nombres de los interesados

5) Información disponible sobre viajeros frecuentes y ventajas correspondientes (billetes gratuitos, paso a la categoría superior, etc.)

6) Otros nombres recogidos en el PNR, incluido el número de viajeros del PNR

7) Toda la información de contacto disponible (incluida la información del expedidor)

8) Todos los datos de pago/facturación disponibles (excluidos los demás detalles de la transacción relacionados con una tarjeta de crédito o una cuenta y no relacionados con la transacción correspondiente al viaje)

9) Itinerario de viaje para ciertos datos de PNR

10) Agencia/agente de viaje

11) Información sobre códigos compartidos

12) Información escindida/dividida

13) Situación de vuelo del viajero (incluidas confirmaciones y paso por el mostrador de facturación en el aeropuerto)

14) Información sobre el billete, incluidos el número del billete, los billetes de ida solo y la indicación de la tarifa de los billetes electrónicos (Automatic Ticket Fare Quote, ATFQ)

15) Toda la información relativa al equipaje

16) Datos del asiento, incluido el número

17) Observaciones generales, incluida la información sobre otros servicios (OSI), información sobre servicios especiales (SSI) y sobre servicios especiales solicitados (SSR)

18) Cualquier información recogida en el sistema de información anticipada sobre los pasajeros (sistema API)

19) Todo el historial de cambios de los datos de PNR indicados en los números 1 a 18.

Cuando los datos de PNR de la UE mencionados incluyen datos sensibles (es decir, datos personales que indiquen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a un sindicato o el estado de salud o la vida sexual del viajero), según lo especificado en los términos y códigos PNR determinados por el DHS en consulta con la Comisión Europea, el DHS emplea un sistema automatizado que filtra esos términos y códigos PNR sensibles y no utiliza dicha información. A menos que se acceda a los datos para un caso excepcional, según se define en el párrafo siguiente, el DHS suprime sin demora los datos de PNR de la UE de carácter sensible.

En supuestos de necesidad ante un caso excepcional que ponga en peligro la vida o la integridad física del titular de los datos o de otras personas, los agentes del DHS pueden necesitar y emplear datos de PNR de la UE distintos de los enumerados supra, incluidos datos sensibles. En tales casos, el DHS llevará un registro de acceso a todos los datos sensibles de los PNR de la UE y los suprimirá en un plazo máximo de 30 días a partir del momento en que se haya alcanzado el objetivo para el cual se accedió a ellos, siempre que su conservación no esté prescrita por ley. El DHS
notificará a la Comisión Europea (Dirección General de Justicia, Libertad y Seguridad), normalmente en un plazo de 48 horas, que ha accedido a tales datos, incluidos datos sensibles.

IV. Acceso y medios de recurso:

El DHS ha decidido hacer extensivas las salvaguardias administrativas de la Ley de protección de la intimidad a los datos de PNR almacenados en los servicios de tráfico aéreo (ATS), con independencia de la nacionalidad o del país de residencia del titular de los datos, lo cual incluye los datos relativos a ciudadanos europeos. En consonancia con la legislación estadounidense, el DHS tiene también un sistema de recurso al que pueden acceder los particulares, con independencia de
su nacionalidad o país de residencia, que deseen obtener información o corregir datos de PNr.

Estas medidas pueden consultarse en el sitio web del DHS, www.dhs.gov.

Por otra parte, los datos de PNR facilitados por un particular o por un tercero en su nombre se revelarán al particular de conformidad con las Leyes estadounidenses de protección de la intimidad y de libertad de la información. La Ley de libertad de la información (Freedom of Information Act, FOIA) permite a cualquier ciudadano (con independencia de su nacionalidad o país de residencia) acceder a los registros de una agencia federal de los EE.UU., salvo en caso de que dichos registros (o parte de ellos) no puedan revelarse en virtud de una exención prevista en dicha Ley. El DHS solo comunica los datos de PNR a los titulares de los datos o a sus agentes, de conformidad con la legislación estadounidense. Las solicitudes de acceso a información personalmente identificable contenida en el PNR que haya sido facilitada por el solicitante pueden remitirse a la siguiente dirección: FOIA/PA Unit, Office of Field Operations, U.S. Customs and Border Protection,
Room 5.5-C, 1300 Pennsylvania Avenue, NW, Washington, DC 20229 [tel. (202) 344-1850, fax (202) 344-2791].

En ciertas circunstancias de carácter excepcional, el DHS puede acogerse a las atribuciones que le reconoce la Ley de libertad de la información para denegar o posponer la comunicación de la totalidad o una parte de los datos de PNR a un solicitante que sea el propio titular de los datos, en virtud del título 5, artículo 552.b), del Código de los EE.UU. Con arreglo a la Ley de libertad de la información, cualquier solicitante está facultado para impugnar administrativa y judicialmente la decisión del DHS de no divulgar información.

V. Aplicación:

La legislación estadounidense prevé medidas de carácter administrativo, civil y penal para castigar las infracciones de las normas estadounidenses de protección de la intimidad y la comunicación no autorizada de datos de los registros nacionales. Entre ellas figuran las recogidas en el título 18, artículos 641 y 1030, del Código de los EE.UU., y en el título 19, artículo 103.34, del Código de reglamentos federales.

VI. Notificaciones:

El DHS ha facilitado información a los viajeros, a través de anuncios publicados en el Federal Register y en su sitio web, sobre el tratamiento de datos de PNR que efectúa. Facilitará asimismo a las compañías aéreas comunicaciones sobre los procedimientos de recopilación de datos de PNR y sobre los medios de recurso, para que se expongan en lugares públicos.

El DHS y la UE cooperarán con los interlocutores interesados del sector de la aviación para dar mayor proyección pública a estas comunicaciones.

VII. Conservación de datos:

El DHS conserva los datos de PNR de la UE en una base de datos analítica activa durante siete años; pasado este plazo, los datos pasan a una situación inactiva, no operativa. Los datos inactivos se conservan durante ocho años, y se puede acceder a ellos solo con la autorización de un agente de alto nivel del DHS designado por el Secretario de Seguridad del Territorio Nacional y únicamente en respuesta a una situación, amenaza o riesgo identificable. Esperamos que los datos de PNR de la UE se supriman al final de este período; el DHS y la UE tratarán las cuestiones relacionadas con la conveniencia y el momento de la destrucción de los datos de PNR recopilados de conformidad con la presente carta en el marco de ulteriores negociaciones. Los datos relacionados con casos o investigaciones específicos podrán conservarse en la base de datos activa hasta que se haya archivado el caso o la investigación. El DHS tiene intención de analizar el efecto de estas normas de conservación en las operaciones e investigaciones a la luz de la experiencia que se adquiera en los próximos siete años. El DHS examinará con la UE los resultados de dicho análisis.

Los períodos de conservación mencionados supra se aplicarán asimismo a los datos de PNR de la UE recopilados en virtud de los Acuerdos entre la UE y los EE.UU. de 28 de mayo de 2004 y 19 de octubre de 2006.

VIII. Transmisión:

Las últimas negociaciones han dejado claro a la UE que el DHS está dispuesto a pasar lo más rápidamente posible a un sistema de transmisión en el que sean las compañías aéreas que operan vuelos entre la UE y los EE.UU. quienes transmitan los datos de PNR al DHS. Trece compañías han adoptado ya este planteamiento. La responsabilidad de poner en marcha el paso al sistema de transmisión corresponde a las compañías, que deben allegar los recursos necesarios para la migración de sus sistemas y trabajar con el DHS para cumplir las prescripciones técnicas de este. El DHS adoptará este sistema inmediatamente, y a más tardar el 1 de enero de 2008, a efectos de la transmisión de datos por todas las compañías aéreas que hayan instaurado un sistema acorde con todas las prescripciones técnicas del DHS. Para las compañías aéreas que no implanten este sistema, el sistema actual permanecerá en funcionamiento hasta que adopten un sistema compatible con las prescripciones técnicas del DHS para la transmisión de datos de PNr. Sin embargo, la
transición al sistema de transmisión no confiere a las compañías aéreas facultad discrecional alguna a la hora de decidir cuándo, cómo y qué datos transmitir, ya que tal decisión compete al DHS en virtud de la legislación estadounidense.

En circunstancias normales, el DHS recibirá una primera transmisión de datos de PNR 72 horas antes de la hora de salida prevista del vuelo, y recibirá a continuación las actualizaciones necesarias para garantizar la exactitud de los datos. La garantía de que las decisiones se basan en datos completos y oportunos es una de las principales salvaguardias para la protección de los datos personales, y el DHS colaborará con las diferentes compañías aéreas para que incorporen este
principio a sus sistemas de transmisión. El DHS puede necesitar datos de PNR antes de las 72 horas anteriores a la salida prevista del vuelo, si hay indicios de que es preciso acceder a esos datos con prontitud para hacer frente a una amenaza específica para un vuelo, un conjunto de vuelos o una ruta, o por otras circunstancias asociadas a los fines indicados en la sección I. Al ejercer su facultad de apreciación a este respecto, el DHS actuará con sensatez y mesura.

IX. Reciprocidad:

Durante las últimas negociaciones, convinimos en que el DHS entiende que no se le está pidiendo que adopte para su sistema PNR medidas de protección de datos más restrictivas que las que las autoridades europeas aplican a sus propios sistemas PNR nacionales. El DHS no pide a las autoridades europeas que adopten para sus sistemas PNR medidas de protección de datos más restrictivas que las que los Estados Unidos aplican al sistema PNR nacional. De no resultar
correcta esta hipótesis, el DHS se reserva el derecho de suspender las disposiciones pertinentes de la presente carta mientras celebra consultas con la UE con vistas a alcanzar una solución rápida y satisfactoria. En caso de que se implante en la UE o en uno o varios de sus Estados miembros un sistema de información sobre viajeros que obligue a las compañías aéreas a poner a disposición de las autoridades datos de PNR sobre personas cuyo itinerario de viaje incluya un vuelo entre los EE.UU. y la Unión Europea, el DHS, sobre una base de estricta reciprocidad, promoverá activamente la cooperación de las compañías aéreas que estén dentro de su jurisdicción.

A fin de promover la cooperación policial y judicial, el DHS alentará a las autoridades estadounidenses competentes a que transfieran información analítica procedente de datos de PNR a las autoridades policiales y judiciales de los Estados miembros pertinentes y, cuando orresponda, a Europol y Eurojust. El DHS espera que la UE y sus Estados miembros alienten del mismo modo a sus autoridades competentes a facilitar información analítica procedente de datos de PNR al
DHS y a otras autoridades estadounidenses pertinentes.

X. Revisión:

El DHS y la UE revisarán periódicamente la aplicación del acuerdo, la presente carta, las normas y prácticas de actuación relativas a los datos de PNR de los EE.UU. y de la UE, así como todos los casos de acceso a datos sensibles, a fin de contribuir a que el tratamiento de datos de PNR funcione eficazmente y de forma que garantice la protección de la intimidad. Para esta revisión, la UE estará representada por el Comisario competente en materia de Justicia, Libertad y Seguridad, y el DHS, por el Secretario de Seguridad del Territorio Nacional, o por las personas que mutuamente cada Parte designe aceptables. La UE y el DHS determinarán de consuno el procedimiento detallado de estas revisiones.

En el marco de estas revisiones periódicas, los EE.UU. recabarán información sobre los sistemas PNR de cada Estado miembro, y se invitará a los representantes de los Estados miembros que tengan sistemas PNR a que participen en las conversaciones.

Confiamos en que esta explicación les haya sido de utilidad para comprender la forma en que tratamos los datos de PNR de la UE.

TRADUCCIÓN

Carta de la UE a los EE.UU.

Secretario Michael Chertoff
Departamento de Seguridad del Territorio Nacional de los EE.UU.
Washington DC 20528

Les agradecemos la carta que han remitido a la Presidencia del Consejo y a la Comisión para explicar la forma en que el DHS trata los datos de PNr.

Las garantías dadas a la Unión Europea que se explican en su carta permiten a la UE considerar que el DHS garantiza un nivel adecuado de protección de datos, a los efectos del Acuerdo internacional entre la Unión Europea y los Estados Unidos sobre el tratamiento y la transferencia de datos del PNR, firmado en julio de 2007.

Sobre la base de esta conclusión, la UE tomará todas las medidas necesarias para desalentar las injerencias de organizaciones internacionales o terceros países en las transferencias de datos de PNR de la UE a los Estados Unidos. La UE y sus Estados miembros alentarán además a sus autoridades competentes a que faciliten información analítica derivada de los datos de PNR al DHS y demás autoridades estadounidenses pertinentes.

Esperamos con interés iniciar con ustedes y con el sector de la aviación los trabajos destinados a garantizar que los viajeros estén informados de la forma en que los Gobiernos pueden utilizar la información sobre sus personas

Decisión Administrativa de la Jefatura de Gabinete de Ministro, de 7 de agosto de 2001

Créase el Proyecto de Simplificación e Informatización de Procedimientos Administrativos (PRO-SIPA), en el contexto del Plan Nacional de Modernización y en el ámbito de la Jefatura de Gabinete de Ministros. Autoridad de aplicación. Asígnanse al Ministro Plenipotenciario Eduardo Andrés Villalba funciones de Coordinador General del mencionado Proyecto.

VISTO el Decreto Nº 103 de fecha 25 de enero de 2001, y

CONSIDERANDO:

Que por el Decreto citado en el Visto se aprobó el PLAN NACIONAL DE MODERNIZACION de la ADMINISTRACION PUBLICA NACIONAL, encomendándose a la JEFATURA DE GABINETE DE MINISTROS la coordinación de la ejecución de las acciones derivadas del mencionado Plan.

Que la experiencia recogida en materia de tramitación de actuaciones administrativas aconseja proceder a su simplificación e informatización a fin de tornar eficiente la gestión y dar cumplimiento a las demandas de la ciudadanía en esa materia.

Que en tal sentido resulta conveniente modernizar los procedimientos administrativos, optimizando el uso de recursos y agilizando el funcionamiento institucional.

Que consecuentemente corresponde revisar la normativa aplicable a la materia, proponiendo modificaciones que tiendan a dinamizar el funcionamiento de la gestión pública y el trámite de las actuaciones administrativas.

Que asimismo resulta necesario incorporar de manera expresa los procesos informáticos, a efectos de obtener celeridad y economía en los procedimientos públicos como elementos esenciales para garantizar la transparencia de los actos.

Que a tales fines resulta aconsejable desarrollar en el ámbito de la ADMINISTRACION PUBLICA NACIONAL un Proyecto de Simplificación e Informatización de Procedimientos Administrativos.

Que tal Proyecto debe abarcar al conjunto de la Administración Nacional, partiendo de la experiencia que resulte de su implementación, en determinadas jurisdicciones.

Que en esa inteligencia, en una primera etapa, la experiencia desarrollada en el MINISTERIO DE ECONOMIA y la SECRETARIA LEGAL Y TECNICA de la PRESIDENCIA DE LA NACION en materia de tramitación de actuaciones administrativas y desarrollo informático, aconseja su inclusión en el marco del presente proyecto.

Que mediante el Decreto Nº 673 de fecha 18 de mayo de 2001 se creó la SECRETARIA PARA LA MODERNIZACION DEL ESTADO en el ámbito de la JEFATURA DE GABINETE DE MINISTROS estableciendo dentro de sus competencias la implementación del PLAN NACIONAL DE MODERNIZACION.

Que en virtud de ello la SECRETARIA PARA LA MODERNIZACION DEL ESTADO resulta la Autoridad de Aplicación de la presente.

Que un uso eficiente de los recursos humanos de la Administración, impone la capitalización de la experiencia de especialistas en el tema.

Que el Ministro Plenipotenciario Dn. Eduardo Andrés VILLALBA reúne las condiciones para coordinar el presente proyecto.

Que la SECRETARIA LEGAL Y TECNICA de la PRESIDENCIA DE LA NACION ha tomado la intervención de su competencia.

Que la presente se dicta en uso de las atribuciones emergentes del artículo 100, incisos 1 y 2 de la CONSTITUCION NACIONAL.

Por ello,

EL JEFE DE GABINETE DE MINISTROS

DECIDE:

Artículo 1º. Créase el PROYECTO DE SIMPLIFICACION E INFORMATIZACION DE PROCEDIMIENTOS ADMINISTRATIVOS (PROSIPA) en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, de conformidad con el Plan de Trabajo que se agrega como Anexo al presente artículo.

Artículo 2º . Dicho Proyecto será de aplicación obligatoria para la ADMINISTRACION PUBLICA NACIONAL, conformada por la administración central y los organismos descentralizados, comprendiendo en estos últimos a las instituciones de seguridad social.

Artículo 3º. El PROYECTO DE SlMPLIFICAClON E INFORMATiZACION DE PROCEDIMIENTOS ADMINISTRATIVOS (PROSIPA) será implementado inicialmente en el ámbito de aplicación determinado en el punto 5 del Anexo al artículo 1º.

Artículo 4º. Establécese que la SECRETARIA PARA LA MODERNIZACION DEL ESTADO de la JEFATURA DE GABINETE DE MINISTROS será la Autoridad de Aplicación de la presente.

El Secretario para la Modernización del Estado podrá dictar las normas aclaratorias, interpretativas y complementarias correspondientes.

Artículo 5º. Instrúyese a las Jurisdicciones y Entidades de la ADMINISTRACION PUBLICA NACIONAL para que presten asistencia y colaboración al desarrollo del Proyecto en sus respectivos ámbitos de competencia.

Artículo 6º. Asígnase al Ministro Plenipotenciario Dn. Eduardo Andrés VILLALBA (DNI Nº 10.474.039) funciones de Coordinador General ad-honorem del Proyecto creado por el artículo 1º.

Artículo 7º. Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

Chrystian G. Colombo.

Domingo F. Cavallo.

Anexo al artículo 1º

ANEXO. PROYECTO DE SIMPLIFICACION E INFORMATIZACION DE PROCEDIMIENTOS ADMINISTRATIVOS (PROSIPA)

PLAN DE TRABAJO

1. INTRODUCCION

La ADMINISTRACION PUBLICA NACIONAL no puede permanecer ajena a los avances y a la aplicación de las nuevas tecnologías de gestión, información y comunicación. Estas contribuyen al incremento de la productividad de los organismos y a optimizar el manejo de la información, reduciendo los costos asociados al traslado y archivo de la misma.

En ese sentido, la reforma del sistema de tramitación de actuaciones administrativas adquiere especial importancia dado que, a través del mismo, se procesa la documentación que dará lugar a la producción de actos administrativos tales como Disposiciones, Resoluciones, Decisiones Administrativas, Decretos y Proyectos de Ley.

Las prácticas arraigadas ponen el acento en el trámite como centro del proceso en desmedro de la calidad y oportunidad del resultado a obtener.

El trámite constituye un medio para la obtención de un resultado, siendo su simplificación e informatización condiciones necesarias para el logro de eficiencia y transparencia del proceso.

Si bien en algunos organismos se comenzó con la aplicación de tecnologías informáticas a los procesos de gestión, por ejemplo en el Ministerio de Economía, el impacto a nivel de la macroestructura sólo será visible cuando esta metodología de trabajo sea adoptada en la mayoría de las organizaciones públicas, generándose de esta manera, un efecto multiplicador.

La ADMINISTRACION PUBLICA NACIONAL cuenta con la Infraestructura de Firma Digital, creada por el Decreto Nº 427/98, que habilita el uso de la misma en reemplazo de la firma manuscrita tendiente a dotar de seguridad a los procedimientos digitalizados.

La utilización de recursos informáticos facilitará la comunicación del ciudadano con el Estado permitiendo la participación del mismo en el control de gestión de la implementación de las políticas públicas.

En el marco del Decreto Nº 103/01 de Modernización del Estado, se formula el presente proyecto cuyos principales objetivos y ámbito de aplicación se detallan a continuación.

2. OBJETIVOS

Diseño e implantación de un moderno sistema de gestión administrativa basado en la figura del «Responsable Primario» como eje del proceso de tramitación de proyectos y en la simplificación de aspectos formales de los procedimientos.

Instrumentación progresiva de procedimientos administrativos digitalizados que eliminen el uso del papel como portador de información.

Adecuación de la normativa vigente en materia de tramitación administrativa a las nuevas tecnologías de gestión, priorizando la transparencia e información al ciudadano.

3. ALCANCE

En una primer etapa, el proyecto de digitalización de trámites, estará focalizado solamente a la tramitación de normas, tales como disposiciones, resoluciones, decisiones administrativas, decretos y proyectos de ley. Como ejemplo de la magnitud del proyecto, se debe tener en cuenta que en el Ministerio de Economía, sobre un total de 120.000 expedientes iniciados en un año, sólo 8000 resultaron ser proyectos de actos administrativos.

4. METODOLOGIA

El proyecto se estructura en base a dos componentes:

A) «Nuevo Modelo de Gestión»: Sus principales actividades son:

-Diagnóstico, en el ámbito de la prueba piloto, del sistema de tramitación de proyectos de actos administrativos.

-Recopilación y análisis de la normativa vigente, en la A.P.N., en materia de tramitación de actuaciones administrativas.

-Análisis de la experiencia internacional en la materia.

-Desarrollo de lineamientos de un nuevo modelo de gestión administrativa.

-Reformulación del marco normativo vigente

-Capacitación

-Implantación de prueba piloto

-Evaluación de resultados

B) «Desarrollo de un Sistema Informático de Gestión de Trámites»: Las principales actividades son:

-Desarrollo prototipo de trámite electrónico con definición de una política de seguridad informática.

-Pruebas y reajustes en función de la reformulación del marco normativo vigente

-Capacitación y nuevas versiones

-Implantación de prueba piloto

-Evaluación de Resultados

5. AMBITO DE APLICACION

En una primera etapa, y como prueba piloto, el ámbito de aplicación del proyecto será la JEFATURA DE GABINETE DE MINISTROS, el MINISTERIO DE ECONOMIA y la SECRETARIA LEGAL Y TECNICA de la PRESIDENCIA DE LA NACION.

En una segunda etapa, se prevé la implantación de acciones de generalización en el resto de los organismos de la ADMINISTRACION PUBLICA NACIONAL.

6. NORMATIVA APLICABLE

6.1. Normativa vigente y objeto de revisión:

Decreto Nº 1759/72

Decreto Nº 759 del 2 de febrero de 1966;

Decreto Nº 4.444 del 13 de agosto de 1969;

Decreto Nº 333 del 19 de febrero de 1985;

Decreto Nº 1593 del 11 de septiembre de 1986;

Decreto Nº 1055 del 6 de julio de 1989;

Decreto Nº 1883 del 17 de septiembre 1991;

Decreto Nº 382 del 21 de marzo de 1995;

Decreto Nº 1571/81

Decreto Nº 229/00

6.2 Normativa vigente en materia de firma digital o Decreto Nº 427/98

Decisión Administrativa N º 102/00

7. BASES CONCEPTUALES

Los ejes rectores del nuevo modelo de gestión administrativa con soporte de firma digital, serán: la figura del Responsable Primario, el tratamiento radial del trámite y la existencia de un seguimiento del proceso del trámite (en tiempo real).

8. CRONOGRAMA DE TRABAJO

Componente – Nuevo Modelo de Gestión

ACTIVIDAD/TIEMPO ESTIMADO

Realización de diagnóstico en áreas estratégicas/ 01/07 al 31/07

Análisis de la normativa vigente en materia de Gestión Administrativa/ 01/07 al 15/08

Análisis de la experiencia internacional en la materia/ 01/07 al 15/08

Formulación de un nuevo modelo de gestión/ 16/08 al 16/09

Reformulación del marco normativo vigente/ 16/08 al 16/09

Implantación de un programa de capacitación y diseño/ 16/09 al 31/10

Implantación Prueba Piloto/ 01/10 al 31/10

Evaluación de resultados/ 01/11 al 15/11

Aprobación de normas/ 15/11 al 15/12

Comienzo de la generalización en la Administración Pública Nacional/ 15/12 en adelante

Componente – Desarrollo de un sistema informático de gestión de trámites

ACTIVIDAD/ TIEMPO ESTIMADO

Desarrollo prototipo de expediente electrónico/ 01/07 al 15/08

Pruebas y reajustes en función de la reformulación marco normativo vigente/ del 16/08 al 30/09

Implantación de un programa de capacitación y nuevas versiones/ 01/10 al 31/10

Implantación Prueba Piloto/ 01/10 al 15/12

Comienzo de la generalización en la Administración Pública Nacional/ 15/12 en adelante

Hacia la unificación de criterios y medidas de seguridad en protección de datos

Desde la evolución del ser humano, el acceso y la creación de la información ha sido constante, es así que al verse basta y extensa en el mundo entero, ha necesitado de un cierto cuidado sobre todo por el tipo de información que se percibe y recepta entre intercomunicadores, con más motivo la de carácter sensible, por lo que para la protección de la información y el dato, y con el pasar del tiempo, se han creado medidas que puedan asegurar su privacidad y legitimidad frente a terceras personas que quieran hacer un mal uso de esta o inclusive apoderarse con fines pecuniarios.

La ausencia de una cultura en seguridad de la información por parte de administraciones públicas, empresas y ciudadanos es palpable. Ello origina riesgos de seguridad de los datos ante la no adopción de medidas que precautelen su seguridad, así como para evitar la obtención de ventajas derivadas de la implantación (mejora de la imagen corporativa, aseguramiento de la continuidad del negocio ante eventos relacionados con la seguridad de la información…).

La Comisión Europea en el documento «La protección de la privacidad en un mundo interconectado. Un marco europeo de protección de datos para el siglo XXI», de 25 de enero de 2012, utiliza la expresión “nuevo y complejo entorno digital actual” para referirse al contexto en el que se le plantean retos a la protección de los datos de carácter personal, una expresión que también resulta de aplicación a los retos que, con carácter general, se le plantean a la seguridad de las tecnologías de la información y la comunicación.

Esa complejidad a la que hace referencia la Comisión Europea está formada por diferentes variables, todas y cada una de ellas a su vez con sus complejidades:

1. La rápida evolución de las tecnologías y de su uso social: en el desarrollo e implementación de los productos y soluciones tecnológicas, pero también en su uso, se prioriza la funcionalidad, por encima de otros criterios, como el de la seguridad de la información, que suele descuidarse o dejarse en un segundo término; ese acelerado ritmo de propuestas tecnológicas y de servicios difícilmente pueden ser asumido por los legisladores y reguladores, al menos con los mecanismos normativos tradicionales.

2. La extraordinaria capacidad de procesamiento de la información: tanto desde la perspectiva cuantitativa (volumen de información), como cualitativa (diferentes tipos de informaciones), con efectos positivos, pero también con impactos negativos, ya que esas capacidades también se ponen al servicio de lo ilícito.

3. El hecho de que la información tenga un valor económico: la información es un objeto susceptible de comercialización, la compra/venta de información tanto de manera lícita como ilícita, constituye una actividad más de negocio, formando ya parte esencial y motor de la economía del siglo XXI, donde el desarrollo de la sociedad de la información y progreso económico van estrechamente unidos, pero en paralelo también se ha incorporado al catálogo de actividades delictivas de grupos altamente organizados y profesionales. Los “ciberataques” masivos, sin otro objetivo que entorpecer o importunar, han pasado a la historia, ahora se trata de ataques directos, absolutamente dirigidos, que tienen objetivos e intereses  claros y definidos. Hay que destacar que incluso personas en el mercado de la Deep Web venden sus conocimientos para el hurto de información a terceras personas como industrias, corporaciones, para otras en ventaja de la información que poseen pueden generar más que las empresas de su competencia, en lo que se denomina “competencia desleal”, más por la atribución de tener información adicional ilícitamente.

4. La confrontación entre la seguridad pública y los derechos y libertades individuales: las tecnologías, y especialmente Internet, están mermando sustancialmente los logros en derechos y libertados conseguidos a lo largo de varios decenios, la intromisión en la vida privada, la alteración de la presunción de inocencia o la censura de Internet, son tan solo unos ejemplos de las actividades lideradas por los Estados cuando actúan como garantes de la seguridad pública o nacional.

5. La globalidad del entorno digital: lo que comporta, a la práctica, la transformación del concepto de territorialidad y de las fronteras entre estados, con las dificultades que ello conlleva para la aplicabilidad de las normas, la determinación de la jurisdicción competente y la ejecución de las decisiones de las autoridades, aunque todo ello solo sea, en estos momentos, “la punta del iceberg”.

Si a esa complejidad le añadimos los diferentes actores que despliegan su papel en ese escenario, esa complejidad se ve claramente amplificada. Las empresas y grandes corporaciones con sus intereses empresariales, los ciudadanos de manera individual o colectiva, lo que incluye a los menores, los grupos de presión de diversa índole y tendencia, los estados con sus servicios de inteligencia y cuerpos de seguridad, la delincuencia organizada, los grupos de activistas, y otros actores, todos ellos actuando en el mismo plano pero con diferentes intereses y capacidades. Incluso, se está produciendo un cambio en los hábitos de la criminalidad , y del espionaje y “guerra” entre países. Así, sobre el primero, crece la criminalidad en la red bajando la que se produce en el mundo real; sobre la segunda, se habla de de “ciber-guerra”.

A toda esa magnitud del entorno digital se une el hecho de que las relaciones laborales, interpersonales, educativas, de ciudadanía, de negocio, etc., se despliegan tanto en el plano presencial como en el plano lógico o virtual, de manera que la realidad finalmente está formada por la suma de ambos espacios, lo que sucede en el plano virtual tiene consecuencias en el plano físico, y viceversa.

Si a todo lo antedicho le sumamos una generalizada falta de cultura de seguridad de la información, especialmente entre la ciudadanía, todo y que no exclusivamente, ya que también afecta a las empresas y al sector público, que con carácter general no son conscientes de los riesgos que para sus actividades, incluso para su supervivencia, conlleva la no implantación de las medidas de seguridad de la información adecuadas, es decir, basadas en la evaluación y gestión de los riesgos a que están sujetos sus sistemas de información, junto con el hecho de que tampoco dedican demasiados esfuerzos a la gestión de su seguridad, da como resultado un panorama, al menos desde la perspectiva de la seguridad de la información, cuando menos, caótico.

Estamos ante un cambio de paradigma de las amenazas a que están expuestos los sistemas de información, lo que hace preciso un cambio de actitud, si bien los principios tradicionales de la seguridad de la información siguen siendo vigentes deben ser potenciados y reforzados para minimizar los impactos negativos.

Los impactos negativos o mínimos se potenciarían educando a la ciudadanía en los lineamientos de la Sociedad de la Información brindando herramientas para que estos puedan proteger sus datos del entorno digital que hoy en día compromete y rodea al menos a un cuarto de la población mundial quien tiene acceso a algún tipo de tecnología en donde su información personal puede ser vulnerada.

Cuestiones tan simples como la implantación de medidas de seguridad preventivas, reactivas y de recuperación, es decir, saber cómo actuar para protegerse antes, durante y una vez se ha producido el incidente, no forman parte de las prioridades, ni tan solo de la cultura, de la mayoría de los actores que desarrollan sus actividades en plena sociedad de la información.

Las consecuencias negativas de no tener en cuenta, con suficiente antelación y de manera planificada, como proteger los sistemas de información resultan evidentes, lo mismo de evidentes deberían ser los impactos positivos derivados de la capacidad para prevenir y reaccionar antes de que se produzcan los ataques a los sistemas de información, y de recuperar la situación previa al incidente de seguridad, con las mínimas afectaciones posibles.

La seguridad de la información debe ocupar por tanto el lugar que le corresponde, debe estar presente, junto con los aspectos funcionales y de negocio, en las primeras etapas de desarrollo de las soluciones y productos tecnológicos, y de sociedad de la información, pero también debe gestionarse de manera continuada y adecuada. La apuesta e impulso por el privacy by desing, es decir, que el producto o servicio desde su gestación esté empapado de privacidad ofrecen gran utilidad ya que uno de sus pilares debe ser la seguridad de los datos.

Cada empresa esta constituida por diversos elementos, cada uno de ellos son los que le otorgan la eficacia y sostenibilidad necesaria para que la empresa pueda mantenerse estable. Dentro de estos activos, necesariamente se debe hablar de la seguridad de información, esto en el entendido de que las empresas y su “saber industrial”, su “saber como” y “datos privados sobre sus clientes” es traducido y plasmado en bits, es decir, su manera de comportarse y con quienes se comportan las empresas, se encuentra almacenado de manera digital ya sea en sus mismas oficinas, o en un servicio de cómputo en la nube externo.

Es precisamente este elemento de información, aquel que podría reflejarse como el esqueleto del modelo de negocios de la empresa, es tal la importancia de esta información, que de ser obtenida de manera ilegítima, podría significar que la copia y simulación de los modelos, al igual que la desacreditación de la empresa, por la fácil obtención de datos privados de su cartera de clientes.

Mientras más importante sea un elemento en la empresa, mayor debe ser la tutela que reciba por la misma, al momento en que se comprende el valor de la información y su fragilidad en cuanto a su destrucción, manipulación y acceso indebido, es cuando las empresas deben velar por la implementación de medidas de seguridad.

Cuando pretendemos respetar las normativas de privacidad de los distintos Estados Iberoamericanos, lo natural es acudir a la legislación propia de cada territorio y comprobar cuales son los principios rectores y las medidas de seguridad aplicables. Pues bien, ese listado de medidas de seguridad tanto técnicas, organizativas como jurídicas, se deben implementar en toda entidad que trate datos de carácter personal en aras de proteger los mismos. Son medidas que deben ser homogéneas para permitir la interoperabilidad de protocolos de seguridad, redes y sistemas en un mundo globalizado. Estas medidas además no tienen en cuenta la dimensión y especificidades de las organizaciones basándose, en su mayoría, únicamente en la sensibilidad de la información personal tratada.

Además, no debemos considerar que la adopción de las medidas de seguridad es únicamente un trámite impuesto por la normativa, sino que su función principal es asegurar los activos de la organización, que no son otros que los datos de las personas.

Pero la tendencia de las legislaciones de privacidad es alcanzar una mayor personalización al proteger la información personal de los individuos que se relacionan con las entidades y conseguir que éstas controlen y resuelvan más eficazmente las posibles fugas de información. Para lograr este segundo objetivo un ejemplo es Europa, en el nuevo Reglamento que se está preparando, encontramos la obligación de comunicar a las autoridades de control las brechas de seguridad que se produzcan en un periodo de tiempo relativamente corto, 72 horas. Esta obligación de notificar es incluso posible que se extienda a los afectados por la misma como ya ocurre con los operadores de servicios de telecomunicaciones. De esta forma, se busca una proactividad, de manera que los afectados puedan adoptar las medidas que fuesen necesarias para proteger sus datos (como por ejemplo, cambiar una contraseña si ha habido una fuga de las mismas que afecten a gran cantidad de usuarios), así como una transparencia en la gestión por parte de las organizaciones. Por lo tanto, la tendencia de introducir medidas destinadas a favorecer el principio de accountability o rendición de cuentas por parte de empresas, corporaciones o administraciones públicas, debería generalizarse ya que obligan a tomar en cuenta la seguridad de los datos.

Por otra parte, se intenta personalizar las medidas a ejecutar estableciendo la obligación de elaborar las llamadas “evaluaciones de impacto sobre privacidad”(Privacy Impact Assessment). Se trata de un informe que al igual que la Privacidad por Diseño, también está previsto en el futuro Reglamento de Protección de Datos de la Unión Europea y se encuentra vigente ya en algunos países sobre todo de influencia anglosajona. Así, por ejemplo, el organismo supervisor de protección de datos en el Reino Unido el ICO (Information Commissioner´s Office) ha elaborado varios manuales en los que se explica cómo elaborar una PIA. En España la Agencia Española de Protección de Datos está trabajando en esa misma línea aunque de momento no será obligatorio realizarla. Con este panorama y siendo una medida que refuerza la seguridad de los datos se hace necesario su generalización en las diferentes legislaciones sobre privacidad y seguridad de la información.

Esta “declaración de impacto” es una obligación similar a las evaluaciones de impacto ambiental exigidas en las distintas normativas. Una declaración de impacto no debe ser una mera verificación de cumplimiento normativo. Consiste en la elaboración por parte del Responsable del Tratamiento de un análisis de riesgos con la finalidad de determinar si el tratamiento que llevará a cabo entraña riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Un hecho a destacar es que las autoridades de control podrán conocer estas evaluaciones de impacto puesto que deberán hacerse públicas las conclusiones por el equipo encargado de realizarlas, por ejemplo por medio del sitio web de la organización.

Las evaluaciones deberían contener, como mínimo una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales.

Además, para realizar un PIA es importante que exista una colaboración total en la organización, de forma que participen todos los agentes implicados (por ejemplo, el departamento jurídico junto con el departamento que haya desarrollado una aplicación).

El responsable del tratamiento tiene que recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

Otra buena práctica aun sin ser obligatoria puede ser la autorregulación por parte de la entidad adoptando un sistema de gestión de seguridad de la información ISO 27001. Esta medida reforzaría uno de los pilares de una Declaración de Impacto, a saber la seguridad de los datos, eso sí teniendo presente que los riesgos de incumplimiento normativo deben ser evitados o eliminados, nunca asumidos, como así se indicó en la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos.

Desde un punto de vista jurídico, la adopción o no de las medidas de índole técnica y organizativas destinadas garantizar la seguridad de los datos tiene unas claras consecuencias.

Así nos encontramos ante una normativa de privacidad relativamente joven en todos los países de Iberoamérica. Este hecho provoca el desconocimiento de los preceptos que conforman las mismas. Un problema, sin duda, en el momento de implementar las obligaciones recogidas, pero que se acrecienta cuando una organización recibe una sanción establecida en dichas normativas por la desestabilización económica que puede sufrir la entidad.

Para garantizar el adecuado tratamiento de los datos personales, uno de los elementos más importantes para cumplirlo y alcanzarlo son las medidas de seguridad, las cuales y como encontramos en diversas legislaciones iberoamericanas, no solo se refieren a elementos técnicos o informáticos, sino que se refieren también a elementos administrativos o físicos que permitan la protección de los datos personales y que eviten la pérdida, alteración, destrucción, acceso, uso o tratamiento no autorizado.

Ahora bien, realizando un viaje por algunas de las legislaciones que en materia de datos personales existen en Iberoamérica, nos encontramos con el hecho de que en términos generales se establece la obligación para el responsable, encargado o usuario de los archivos de datos de adopte las medidas se seguridad técnicas, administrativas o físicas, que le permitan garantizar la seguridad y confidencialidad de los datos personales, evitando con ello riesgos o usos, accesos y tratamientos no autorizados o fraudulentos.

En algunas legislaciones como la mexicana y la costarricense, se establece que para el establecimiento de las medidas de seguridad los responsables no adoptarán medidas de seguridad menores a las que utilicen para su propia información o los que sean adecuados a los desarrollos tecnológicos o mecanismos de seguridad adecuados.

Para lo anterior, el esquema de implementación de las medidas de seguridad consistirá en la adopción de ciertos elementos y características generales que se irán adecuando a las necesidades de las empresas, organizaciones o modelos de negocio de los que se trate.

Citando lo establecido en las mencionadas legislaciones de México y Costa Rica, para determinar las medidas de seguridad el responsable o en su caso, encargado del tratamiento deberá considerar al momento de determinar las medidas de seguridad aplicables a cada organización el riesgo inherente por tipo de dato personal, la sensibilidad de los datos personales tratados, el desarrollo tecnológico, las posibles consecuencias de una vulneración para los titulares, el número de titulares de datos personales, las vulnerabilidades previas ocurridas en los sistemas de tratamiento, el riesgo por el valor potencial (cuantitativo/ cualitativo) que pudieran tener los datos personales tratados para terceras personas no autorizadas y los factores que puedan incidir en el nivel de riesgo o que provengan de otra legislación aplicable al responsable.

Una vez definidas las medidas de seguridad por parte del responsable, para garantizar su cumplimiento, ejecución y seguimiento, a su vez, el responsable deberá considerar acciones tales como la descripción detallada del tipo de datos tratados y almacenados, el inventario de datos personales, sistemas de tratamiento e infraestructura tecnológica utilizada, análisis de brecha (diferenciación entre medidas de seguridad existentes y las faltantes) y el plan de trabajo para implementar las medidas de seguridad faltantes (análisis de brecha), entre otras.

Adicional a lo anterior, México, por ejemplo, remitió las Recomendaciones en materia de seguridad de datos personales y mediante las cuales, se exhorta a los responsables y en su caso, encargados, para que adopten un Sistema de Gestión de Seguridad de Datos Personales basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).

Con dichas Recomendaciones se pretende facilitar a los responsables el contar con una guía que les permita mantener vigente el cumplimiento de la legislación y fomentar las buenas prácticas en materia de datos personales.

Por otra parte, nos encontramos otro tipo de legislaciones que catalogan los datos personales o las medidas se seguridad en niveles y en base a los mismos, establecen o enuncian los diferentes parámetros o elementos que permitan garantizar la seguridad de los datos personales.

Ejemplo de lo anterior lo encontramos en la legislación argentina, la Disposición 11/2006 sobre las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados, se clasifican las medidas de seguridad en tres niveles: básico, medio y crítico (aplicable a archivos, registros, bases y bancos de datos personales sensibles).

Sigue un sistema similar en cuanto a la implementación de las medidas de seguridad, es Perú, ya que tanto en el Reglamento de la Ley de Datos Personales como en la Directiva de Seguridad de la Información, establecen diferentes niveles de datos personales y sus correspondientes medidas de seguridad, donde se establecen los lineamientos para determinar las medidas de seguridad mediante un sistema de categorización más complejo y detallado que en el caso anterior, para cada grupo se consideran variables sobre el tipo de dato; así como variables cuantitativas relacionadas con el número de personales respecto de las cuales se maneja la información y el número de datos personales que son contenidos o tratados en cada base de datos, estableciéndose los niveles básico, simple, intermedio, complejo y crítico.

De manera relacionada a las medidas de seguridad, las distintas legislaciones contemplan el hecho de que en caso de que lleguen a existir vulneraciones a la seguridad durante el tratamiento de los datos, los responsables tendrán la obligación de informar de manera inmediata al titular (en el caso de México, Uruguay y Costa Rica) o a la autoridad competente (en el caso de Colombia). Con la finalidad de que el titular pueda tomar las medidas necesarias o prudentes en defensa de sus derechos y/o de que las autoridades puedan ejercer las acciones que permitan efectuar las investigaciones o procedimientos judiciales o administrativos que correspondan.

Las sanciones que más proliferan son las administrativas a lo largo de los textos legales, y en caso de no implementar alguna de las medidas de seguridad, las sanciones alcanzan sumas económicas muy elevadas, llegando a poner en jaque la estabilidad del negocio del que las recibe. En todo caso, no debemos olvidar que la normativa europea permite que en la vía jurisdiccional ordinaria una persona reclame a una entidad privada una indemnización cuando considera que la vulneración de sus derechos le ha provocado daños y perjuicios. En el caso de las entidades públicas, como norma general, la indemnización se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.

En tanto el tratamiento de datos personales afecta a la esfera más íntima de las personas y su protección viene recogida en la mayor de Constituciones iberoamericanas, en aras a una mayor defensa del derecho al honor, a la privacidad, al buen nombre y la intimidad de las personas, se debe dotar el ordenamiento penal de instrumentos preventivos y coercitivos que eviten conductas delictivas que pongan en juego la seguridad de la información, ataques, tráfico de datos, accesos no autorizados, suplantación de identidades o utilización de la información con finalidades al margen de la ley.

Por otra parte y desde el punto de vista administrativo, existe la figura del apercibimiento que se ha introducido en los últimos tiempos con el objetivo que las instituciones reaccionen y cumplan con las medidas de seguridad bajo la amenaza de sanción económica.

En cambio, en algunos Estados como México sí que se establecen sanciones penales o privativas de libertad en caso de no cumplir con las obligaciones fijadas en la normativa de protección de datos. Alcanzando hasta los diez años de cárcel en los casos más graves.

No cabe duda que en innumerables ocasiones las sanciones económicas han sido desproporcionadas y no han tenido en cuenta la dimensión de la entidad que las recibe. Se han debido cerrar negocios por el hecho de no poder afrontar la cuantía impuesta por una autoridad de control, por ello la tendencia actual es a modular la sanción en relación al volumen de negocio de la entidad y, sobretodo, atenuarlas en base al espíritu y preocupación empresarial en la implementación de medidas de seguridad de protección de datos personales.

La seguridad en toda la amplitud de la palabra, debe hacer referencia a otorgar intangibilidad al activo, la certeza que no será destruido ni dañado, o accedido por terceros no autorizados. La seguridad que ha de buscarse dentro de una institución no debe ser sólo la seguridad informática, sino la seguridad de la información, en el entendido de que una cultura de seguridad debe ser cultivada de manera interna y en todos los niveles tanto administrativos como ejecutivos, no siendo confiada sólo a dispositivos electrónicos programados.

Si bien la información es un activo de la empresa, y la fuga o vulneración del mismo supone, grandes pérdidas monetarias, no se puede olvidar que la implementación de medidas de seguridad, es una inversión cuyas ganancias son vistas a largo plazo. Estos beneficios se traducen en generación de confianza, imagen corporativa, optimización de recursos y capital humano y trazabilidad de la información entre otros.

Mediante la delimitación de perfiles de usuarios en el acceso a la información conforme a las funciones que desarrollan y su puesto de trabajo se optimiza el tiempo dedicado, asignado a cada empleado los recursos necesarios para desarrollar su trabajo, con lo que conseguimos por un lado optimizar el tiempo real de trabajo (ya que sólo podrá acceder a la información precisa para sus funciones) y por otro, un uso racional de lo recursos. Como consecuencia de la adecuación de los procedimientos y sistemas en protección de datos, se pueden descubrir procesos innecesarios, redundantes, o ineficientes que pueden mejorarse sustancialmente con muy poco esfuerzo.

Proteger la información adoptando medidas de seguridad, debe seguirse de una mayor educación, cultura y prevención, que son los lineamientos más avanzados en materia de seguridad, estos son controles regulares que se realizan al personal de la empresa, para ver que tipo de actos cometen y si es que estos podrían traer consecuencias desfavorables para la seguridad.

La libertad de expresión, el honor, la intimidad, la privacidad y la protección de datos personales, como derecho autónomo, e independiente, deben estar equilibrados con el concepto de seguridad, tanto en materia　 empresarial como pública.

La seguridad de los datos personales implica un delicado balance de distintas cuestiones, tales como el nivel de riesgo, la cantidad de datos protegidos por persona, el número de personas cuyos datos personales están siendo tratados, los posibles daños o amenazas, costos financieros y de eficiencia de las medidas de seguridad implementadas para reducir el riesgo y las que se relacionen con las características específicas de la industria de que se trate, tal y como lo mencionaba Daniel Solove.

La integración económica y social resultante del establecimiento y funcionamiento de un mercado globalizado, ha implicado un desarrollo notable de los flujos transfronterizos de datos personales entre distintos agentes públicos y privados establecidos en diferentes países. Este flujo de datos se ha visto favorecido por factores como el avance de las tecnologías de la información y, en particular, el desarrollo de Internet, que facilitan considerablemente el tratamiento y el intercambio de información, y que permiten compartir recursos tecnológicos, centralizar determinadas actividades y procesos, y abaratar costes en la prestación de servicios por la propia empresa fuera del país en el que se encuentra establecida. 

Décret nº 2007-1136 du 25 juillet 2007 portant création d'un traitement automatisé de données à caractère personnel des ressortissants étrangers qui, ayant été contrôlés à l'occasion du franchissement de la frontière, ne remplissent pas les conditions d'entrée requises et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile.

Le Premier ministre,

Sur le rapport du ministre de l'immigration, de l'intégration, de l'identité nationale et du codéveloppement,

Vu la convention d'application de l'accord de Schengen du 14 juin 1985 entre les gouvernements des Etats de l'union économique Benelux, de la République fédérale d'Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes ;

Vu le règlement (CE) nº 562/2006 du Parlement européen et du Conseil du 15 mars 2006 établissant un code communautaire relatif au régime de franchissement des frontières par les personnes (code frontières Schengen), notamment son article 5 ;

Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment ses articles L. 211-1 et L. 611-3 à L. 611-5 ;

Vu la loi nº 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu la loi nº 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, notamment ses articles 9, 32 et 33 ;

Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978, modifié par le décret nº 2007-451 du 25 mars 2007 ;

Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 18 janvier 2007 ;

Le Conseil d'Etat (section de l'intérieur) entendu,

Décrète :

Article 1. Le chapitre unique du titre Ier du livre VI de la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile est ainsi modifié :

1° La section 3 devient la section 4 ;

2° Les articles R. 611-18 et R. 611-19 deviennent respectivement les articles R. 611-25 et R. 611-26 ;

3° Après la section 2, il est inséré une section 3 ainsi rédigée :

» Section 3. Traitement automatisé de données à caractère personnel des ressortissants étrangers qui, ayant été contrôlés à l'occasion du franchissement de la frontière, ne remplissent pas les conditions d'entrée requises

» Art. R. 611-18. – Il est créé, à titre expérimental, pour une durée de deux ans à compter de la date de publication du décret nº 2007-1136 du 25 juillet 2007, un traitement automatisé de données à caractère personnel pris pour l'application des articles L. 611-3 à L. 611-5, relevant du ministère chargé de l'immigration.

» La finalité de ce traitement est de lutter contre l'entrée et le séjour irréguliers en France des étrangers non ressortissants d'un Etat membre de l'Union européenne, d'un autre Etat partie à l'accord sur l'Espace économique européen ou de la Confédération suisse, en facilitant l'identification des étrangers qui, lors de leur contrôle à l'occasion du franchissement de la frontière à l'aéroport Roissy – Charles-de-Gaulle, en provenance d'un pays tiers aux Etats parties à la convention signée à Schengen le 19 juin 1990, ne remplissent pas les conditions prévues à l'article 5 du règlement (CE) nº 562/2006 du Parlement européen et du Conseil du 15 mars 2006 établissant un code communautaire relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) ou à l'article L. 211-1.

» Il est procédé à son évaluation.

» Art. R. 611-19. – Les données à caractère personnel enregistrées dans le traitement automatisé prévu à l'article R. 611-18 sont :

» 1° L'identité de l'étranger : nom, nom marital, alias ou surnom, prénom(s), date et lieu de naissance, sexe, nationalité, lieu de résidence, complétée par l'identité des mineurs dont il est accompagné ;

» 2° Le titre de voyage : type de document de voyage, Etat ou organisme émetteur du document de voyage, numéro perforé ou imprimé sur le document de voyage ;

» 3° Les images numérisées de la photographie et des empreintes digitales des dix doigts ;

» 4° L'image numérisée de la page du document d'identité ou de voyage supportant la photographie du titulaire ;

» 5° Les données relatives au transport : titre de transport, provenance, compagnie ayant acheminé l'étranger, date et numéro de vol ;

» 6° Le motif du refus d'entrée sur le territoire ;

» 7° La suite réservée à la procédure de non-admission.

» Le traitement ne comporte pas de dispositif de reconnaissance faciale à partir de l'image numérisée de la photographie.

» Art. R. 611-20. – La durée de conservation des données à caractère personnel mentionnées à l'article R. 611-19 est de cinq ans à compter de leur inscription, sous réserve de l'engagement de la procédure de création du traitement automatisé prévu à l'article L. 611-3 ;

» Sont par ailleurs conservées pendant un délai de 32 jours les informations énumérées à l'annexe 6-6 pour les besoins exclusifs des procédures administratives ou juridictionnelles de refus d'entrée sur le territoire et, le cas échéant, de maintien en zone d'attente des ressortissants étrangers mentionnés à l'article R. 611-18. Passé ce délai de 32 jours, ces informations sont effacées.

» Art. R. 611-21. – I. – Les destinataires des données à caractère personnel mentionnées à l'article R. 611-19 sont :

» 1° Les agents de la police aux frontières, individuellement désignés et spécialement habilités par le directeur central de la police aux frontières ;

» 2° A l'exclusion des données biométriques, les agents chargés de l'application de la réglementation relative aux étrangers à la direction des libertés publiques et des affaires juridiques, individuellement désignés et spécialement habilités par le directeur des libertés publiques et des affaires juridiques.

» II. – Peuvent également accéder aux données mentionnées au I, dans les conditions fixées aux articles 9 et 33 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers :

» 1° Les agents des services de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale chargés des missions de prévention et de répression des actes de terrorisme, individuellement désignés et spécialement habilités respectivement par le directeur général de la police nationale et le directeur général de la gendarmerie nationale ;

» 2° Les agents des services de renseignement du ministère de la défense, chargés des missions de prévention des actes de terrorisme, individuellement désignés et spécialement habilités par le directeur général de la sécurité extérieure, le directeur de la protection et de la sécurité de la défense ou le directeur du renseignement militaire.

» III. – Les dispositions du II sont applicables jusqu'au 31 décembre 2008.

» IV. – Les destinataires des informations mentionnées à l'annexe 6-6 sont les agents mentionnés au I.

» Art. R. 611-22. – Le traitement automatisé prévu à l'article R. 611-18 ne peut faire l'objet d'aucune interconnexion, rapprochement ou mise en relation avec un autre traitement automatisé de données à caractère personnel.

» Art. R. 611-23. – Le droit d'accès et de rectification prévu par les articles 39 et 40 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés s'exerce auprès du ministère de l'intérieur (direction de la police aux frontières des aéroports Roissy-Charles-de-Gaulle et Le Bourget).

» Art. R. 611-24. – Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 précitée ne s'applique pas au présent traitement. «

Article 2. Il est créé une annexe 6-6 au code de l'entrée et du séjour des étrangers et du droit d'asile ainsi rédigée :

» A N N E X E 6-6 mentionnée à l'article R. 611-20. LISTE DES INFORMATIONS ENREGISTRÉES PENDANT UN DÉLAI DE 32 JOURS POUR LES BESOINS EXCLUSIFS DES PROCÉDURES ADMINISTRATIVES OU JURIDICTIONNELLES DE REFUS D'ENTRÉE SUR LE TERRITOIRE ET, LE CAS ÉCHÉANT, DE MAINTIEN EN ZONE D'ATTENTE

» 1° L'identité de l'étranger : état civil, langue parlée, situation familiale, domicile, profession ;

» 2° Désignation de l'administrateur ad hoc : nom, prénom ;

» 3° Désignation de l'interprète : nom, prénom, langue parlée, société ;

» 4° L'identité du rédacteur du procès-verbal : matricule, nom et prénom, grade, qualité, affectation ;

» 5° Les réquisitions en cours de procédure ;

» 6° Le résultat des examens médicaux relatifs à la compatibilité du maintien en zone d'attente ou à la détermination de l'âge de l'étranger ;

» 7° Le(s) visa(s) : type de visa, numéro, date de délivrance, lieu de délivrance, date de validité, consulat de délivrance, nombre d'entrées, durée de séjour, nom apposé, prénom apposé ;

» 8° Nature des documents falsifiés, contrefaits ou usurpés ;

» 9° Informations relatives à l'amende infligée aux transporteurs en application des articles L. 625-1 et suivants ;

» 10° Informations relatives aux actes de procédures relatifs au refus d'entrée sur le territoire et au maintien en zone d'attente ;

» 11° La demande d'admission au titre de l'asile présentée à la frontière et la décision prise à l'égard de cette demande par le ministre de l'intérieur. «

Article 3. La ministre de l'intérieur, de l'outre-mer et des collectivités territoriales, le ministre de l'immigration, de l'intégration, de l'identité nationale et du codéveloppement et le ministre de la défense sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 25 juillet 2007.

Par le Premier ministre : François Fillon

Le ministre de l'immigration, de l'intégration, de l'identité nationale et du codéveloppement, Brice Hortefeux

La ministre de l'intérieur, de l'outre-mer et des collectivités territoriales, Michèle Alliot-Marie

Le ministre de la défense, Hervé Morin

Le Premier ministre,

Vu la loi nº 78-753 du 17 juillet 1978 modifiée portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal, notamment le chapitre II de son titre Ier ;

Vu la loi nº 2009-431 du 20 avril 2009 modifiée de finances rectificative pour 2009, notamment son article 4 ;

Vu le décret nº 2005-1755 du 30 décembre 2005 relatif à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques, pris pour l'application de la loi nº 78-753 du 17 juillet 1978, notamment ses titres III et VI ;

Vu le décret nº 2009-151 du 10 février 2009 relatif à la rémunération de certains services rendus par l'Etat consistant en une valorisation de son patrimoine immatériel ;

Le Conseil d'Etat (section de l'administration) entendu,

Décrète :

Article 1　

Le décret du 30 décembre 2005 susvisé est ainsi modifié :　

1° A l'article 38, il est ajouté deux alinéas ainsi rédigés :　

» Lorsqu'il est envisagé, notamment dans les conditions prévues par l'article 3 du décret nº 2009-151 du 10 février 2009 relatif à la rémunération de certains services rendus par l'Etat consistant en une valorisation de son patrimoine immatériel, de soumettre au paiement d'une redevance la réutilisation d'informations publiques contenues dans des documents produits ou reçus par l'Etat, la liste de ces informations ou catégories d'informations est préalablement fixée par décret après avis du conseil d'orientation de l'édition publique et de l'information administrative. La même procédure est applicable aux établissements publics de l'Etat à caractère administratif. » Sans préjudice de la publication du répertoire mentionné à l'article 36, la liste mentionnée à l'alinéa précédent est rendue publique sur un site internet créé sous l'autorité du Premier ministre, avec l'indication, soit de la personne responsable des questions relatives à la réutilisation des informations publiques mentionnée au titre IV, soit, pour les établissements publics qui ne sont pas tenus de désigner un tel responsable, du service compétent pour recevoir les demandes de licence » ;　

2° Après l'article 48 du même décret, il est inséré au titre VI un article 48-1 ainsi rédigé :　

» Art. 48-1.-Les redevances instituées au bénéfice de l'Etat ou de l'un de ses établissements publics à caractère administratif avant le 1er juillet 2011 demeurent soumises au régime en vigueur avant cette date sous réserve que les informations ou catégories d'informations concernées soient inscrites, dans un délai maximal d'un an à compter de cette date, sur une liste publiée sur le site internet prévu au quatrième alinéa de l'article 38.　

» Le responsable du site internet procède à l'inscription des informations ou catégories d'informations mentionnées à l'alinéa précédent sur simple demande de l'autorité compétente pour délivrer les licences de réutilisation.

» A défaut d'inscription des informations concernées sur la liste mentionnée au premier alinéa ou à défaut de publication de cette liste, avant le 1er juillet 2012, les redevances instituées deviennent caduques et les titulaires de licences peuvent réutiliser les informations en cause gratuitement. «

Article 2　

Le présent décret sera publié au Journal officiel de la République française et entrera en vigueur le 1er juillet 2011.

Fait le 26 mai 2011.

François Fillon　

EL GRUPO DE TRABAJO SOBRE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

creado con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24de octubre de 1995,

Visto el artículo 29, el artículo 30, apartado 1, letra c), y el artículo 30, apartado 3, de la Directiva mencionada,

Visto su Reglamento interno y, en particular, sus artículos 12 y 14,

HA ADOPTADO EL PRESENTE DICTAMEN:

1.- INTRODUCCIÓN

El presente dictamen del Grupo de Trabajo sobre protección de datos del artículo 29 (en lo sucesivo «el Grupo de Trabajo») se refiere a las cuestiones de protección de datos relacionadas con el sistema de cooperación para la protección de los consumidores (en lo sucesivo «el SCPC»), que es la base de datos electrónica gestionada por la Comisión Europea para el intercambio de información entre las autoridades responsables de la protección de los consumidores en los Estados miembros y la Comisión, de acuerdo con las disposiciones del Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores (en lo sucesivo «Reglamento CPC«).

El presente dictamen responde a una carta de 30 de marzo de 2007 del Jefe de la Unidad B-5 «Aplicación de la legislación y recurso para los consumidores» de la Dirección General de Sanidad y Protección de los Consumidores de la Comisión Europea (en lo sucesivo «DG SANCO»), dirigida a la Secretaría del Grupo de Trabajo solicitando su dictamen.

El Grupo de Trabajo acoge con satisfacción la consulta, pero lamenta que la misma se le solicite después de la adopción del Reglamento CPC y de la Decisión 2007/76/CE de la Comisión de 22 de diciembre de 2006 (en lo sucesivo «Decisión de aplicación del Reglamento CPC«), y después de que el SCPC se haya creado, esté plenamente operativo y haya comenzado a funcionar. Si se le hubiera consultado antes, el Grupo de Trabajo habría podido proponer sus ideas en una fase en la que habría sido más fácil tener en cuenta susrecomendaciones.

Dicho esto, en general, el Grupo de Trabajo acoge con satisfacción el establecimiento de un sistema electrónico para el intercambio de información. En efecto, tal sistema modernizado puede no sólo aumentar la eficacia de la cooperación, sino que también, desde el punto de vista de la protección de datos, puede contribuir a garantizar la conformidad con las legislaciones vigentes en este ámbito, fijando un marco que defina claramente la información que puede intercambiarse, con quién y en qué condiciones.

Sin embargo, la creación de esta base de datos centralizada implica también algunos riesgos.

El principal riesgo consiste en el hecho de que pueda intercambiarse aún más información y de forma más amplia de lo que es estrictamente necesario para una cooperación eficaz, y que los datos, algunos de los cuales pueden estar desfasados o ser inexactos, podrían permanecer en la base de datos más tiempo del necesario. La seguridad de una base de datos accesible a 27 Estados miembros representa también una cuestión delicada, puesto que la seguridad de todo el sistema depende del nivel de seguridad que pueda garantizar el eslabón más débil de la red.

El presente documento tiene por objeto identificar las principales preocupaciones en materia de protección de datos que podrían suscitar la creación y el funcionamiento del SCPC, y recomendar soluciones capaces de reducir estas preocupaciones.

El documento va dirigido tanto a la Comisión como a las autoridades competentes de los Estados miembros, en su calidad de responsables del tratamiento en el marco del SCPC, tal como se explicará más abajo. Además, las recomendaciones que se formulan en el documento deberían también servir de base para las futuras decisiones del «Comité regulador» compuesto por representantes de los Estados miembros, constituido de conformidad con lo dispuesto en el artículo 19 del Reglamento CPC, con la misión de asistir a la Comisión en la aplicación del Reglamento CPC. Por último, el presente documento va dirigido también a los legisladores de los Estados miembros, a los que el apartado 4 del artículo 13 del Reglamento CPC obliga a adoptar «las medidas legislativas necesarias para restringir los derechos y las obligaciones previstos en los artículos 10, 11 y 12 de la Directiva 95/46/CE en la medida que se requiera para salvaguardar los intereses contemplados en las letras d) y f) del apartado 1 del artículo 13 de dicha Directiva.»

PARTE A.- DESCRIPCIÓN DEL SISTEMA

2.- OBLIGACIONES DE ASISTENCIA MUTUA PREVISTAS POR EL REGLAMENTO CPC

2.1.- Objeto del Reglamento CPC: la cooperación entre las autoridades responsables de la protección de los consumidores.

El Reglamento CPC se adoptó con el fin de mejorar la aplicación de la legislación que protege a los consumidores en el mercado interior. Este Reglamento crea, a escala de la Unión Europea, una red de autoridades nacionales encargadas de garantizar esta aplicación. Fija el marco y las condiciones generales de la cooperación entre los Estados miembros. En este nuevo sistema, cada autoridad podrá pedir la asistencia de las otras autoridades pertenecientes a la red para investigar posibles infracciones de la legislación de protección de los consumidores y para actuar con vistas a poner fin a prácticas comerciales engañosas destinadas a los consumidores que viven en otros países de la Unión Europea.

2.2.- Ámbito de aplicación del Reglamento CPC: las infracciones intracomunitarias de directivas y reglamentos específicos.

El ámbito de aplicación del Reglamento CPC se limita a las «infracciones intracomunitarias» de las directivas y reglamentos enumerados en el anexo del Reglamento CPC. Esta lista, que podrá actualizarse en caso necesario, contiene actualmente 15 directivas y reglamentos, incluidas las directivas relativas a la publicidad engañosa, la venta a distancia, el crédito al consumo, la radiodifusión televisiva, los viajes combinados, las cláusulas abusivas en los contratos, la multipropiedad, el comercio electrónico y otros ámbitos. Para estar reguladas por el Reglamento CPC, las «infracciones intracomunitarias» i) deben tener carácter «transfronterizo», y ii) deben perjudicar «los intereses colectivos de los consumidores».

2.3.- Asistencia mutua en virtud del Reglamento CPC: investigación, ejecución y alertas.

Los capítulos II y III del Reglamento CPC obligan a las autoridades competentes de los Estados miembros a prestarse mutuamente asistencia en materia de investigación y ejecución.

Además, deben también informar a los otros Estados miembros y a la Comisión en caso de sospecha o confirmación de una infracción intracomunitaria. Por último, tienen la obligación específica de coordinar sus actividades cuando los consumidores de más de dos Estados miembros se vean afectados por una infracción.

3.- FINALIDAD, BASE JURÍDICA Y CREACIÓN DEL SCPC

3.1.- Finalidad del SCPC: una base de datos para intercambiar información relacionada con la asistencia mutua.

El SCPC es una base de datos electrónica gestionada por la Comisión Europea, concebida para ofrecer un sistema estructurado de intercambio de información entre las autoridades competentes de los Estados miembros, con el fin de cumplir su obligación de asistencia mutua prevista por el Reglamento CPC.

3.2.- Esquema de las operaciones de tratamiento en el marco del SCPC.

Los usuarios del sistema son la Comisión y las autoridades competentes de los Estados miembros. Además, se designa una «oficina de enlace única» en cada Estado miembro para garantizar la coordinación (véase el punto 5.3 infra).

Las autoridades competentes introducen los datos en el sistema. Por ejemplo, una autoridad competente puede enviar una solicitud de información o ejecución a otra autoridad competente. Puede también enviar una alerta a determinados Estados miembros y a la Comisión. Esta información se almacena en la base de datos y puede ser recuperada por otros usuarios destinatarios de la comunicación, por ejemplo la autoridad a la que se haya solicitado que lleve a cabo una medida de ejecución, o por la Comisión. Ésta realiza las supresiones de datos a petición de las autoridades de los Estados miembros, que deben informarla cuando los casos se cierran o cuando las alertas resultan infundadas. En caso de infracción confirmada que dé lugar a una medida de ejecución, los datos se conservan durante cinco años tras la notificación de la medida. Las normas sobre la conservación y la supresión de los datos se describen y examinan con más detalle en los puntos 6 y 11 infra.

3.3.- Base jurídica del SCPC.

La base jurídica del SCPC se encuentra en el artículo 10 del Reglamento CPC, que dispone que «la Comisión mantendrá actualizada una base de datos electrónica en la que registrará y tratará la información recibida con arreglo a los artículos 7, 8 y 9″ de dicho Reglamento. Además, el apartado 3 del artículo 12 prevé que «las solicitudes de asistencia y toda comunicación de información se presentarán por escrito en un formulario tipo y se comunicarán por vía electrónica mediante la base de datos establecida en el artículo 10″.

La lectura conjunta de estos artículos pone de manifiesto que las solicitudes de asistencia mutua, las alertas y las comunicaciones realizadas en virtud de los capítulos II y III del Reglamento CPC deben canalizarse a través del SCPC (1).

Además, la Decisión de aplicación del Reglamento CPC prevé que los Estados miembros informarán a la Comisión y a los demás Estados miembros, a través del foro de debate que se pondrá a su disposición en la base de datos, de todas las competencias adicionales en materia de investigación y aplicación que se atribuyan a las autoridades competentes y que no sean las establecidas en el artículo 4, apartado 6, del Reglamento CPC.

3.4.- Decisión de aplicación del Reglamento CPC.

Las disposiciones del Reglamento CPC aplicables al SCPC entraron en vigor el 29 de diciembre de 2006. Poco antes de esta fecha, la Comisión, asistida por un Comité regulador compuesto por representantes de los Estados miembros, adoptó una decisión de aplicación.

Esta Decisión determina los campos de datos que deben incluirse en la base de datos, así como el contenido mínimo de las solicitudes, de las respuestas y de las alertas. Prevé también los plazos de algunas etapas de los procedimientos de asistencia mutua y otras medidas de aplicación.

3.5.- Creación del SCPC.

La concepción del sistema sigue las disposiciones fijadas por el Reglamento CPC y por su Decisión de aplicación. Estas dos fuentes precisan las principales características y enumeran algunos aspectos de la base de datos. Sin embargo, no proporcionan un conjunto completo de directrices para su concepción, su gestión, su funcionamiento y su utilización. La Comisión concibió el SCPC tal como existe actualmente, en concertación con los Estados miembros y con un grupo de usuarios clave que representaban a las autoridades competentes en distintos Estados miembros.

Desde el punto de vista técnico, la Comisión construyó el sistema y es el operador. Los datos se albergan en servidores de la Comisión, y son sus técnicos quienes administran el sistema y garantizan su seguridad. Además, la Comisión también puede introducir modificaciones en el diseño del sistema, en caso necesario.

El SCPC ya está instalado y en funcionamiento, pero algunas características previstas por la Decisión de aplicación del Reglamento CPC están bloqueadas: en particular, los campos de datos que se refieren a los directores de empresa no se pueden utilizar actualmente, a la espera de que se clarifiquen los aspectos relacionados con el respeto de la protección de datos.

4.- FLUJO DE DATOS EN EL MARCO DEL SCPC

El Reglamento CPC y la Decisión de aplicación, conjuntamente, establecen de forma detallada las categorías de información que pueden o deben intercambiarse a través del SCPC.

4.1.- Disposiciones generales y confidencialidad.

En general, la Decisión de aplicación del Reglamento CPC prevé que la autoridad competente que lanza una solicitud de asistencia mutua o una alerta debe proporcionar toda la información de que disponga y que pueda ser útil a otras autoridades competentes con el fin de responder a la solicitud de una manera eficaz o de garantizar un seguimiento adecuado de la alerta.

En el momento de responder a la solicitud de información, la autoridad requerida debe a su vez proporcionar toda la información mencionada por la autoridad requirente que sea necesaria para establecer si ha tenido lugar una infracción intracomunitaria o si existe una sospecha razonable de que pueda tener lugar. De la misma manera, en el momento de responder a una solicitud de ejecución, la autoridad requerida debe informar a la autoridad requirente de las acciones emprendidas o previstas y de los poderes ejercidos para responder a la solicitud. En los dos casos, si una autoridad competente se niega a responder a una solicitud, debe incluir en su respuesta una motivación de la denegación.

En cualquier caso, las autoridades requirentes y requeridas deben indicar si la información proporcionada debe recibir un tratamiento confidencial (véase también el punto 5.4 infra).

4.2.- Alertas e información de retorno.

El apartado 1 del artículo 7 del Reglamento CPC dispone que «cuando una autoridad competente tenga conocimiento de que se ha producido una infracción intracomunitaria, o tenga sospechas razonables de que tal infracción pueda producirse, lo notificará a las autoridades competentes de otros Estados miembros y a la Comisión y les enviará sin demora toda la información necesaria». Además, el apartado 2 del artículo 7 dispone que «cuando una autoridad competente adopte otras medidas de aplicación o reciba solicitudes de asistencia mutua con respecto a la infracción intracomunitaria, lo notificará a las autoridades competentes de otros Estados miembros y a la Comisión».

En la práctica, el artículo 7 implica el intercambio de dos tipos de información:

* alertas: un mensaje de alerta enviado por una autoridad a homólogos de la red en otros Estados miembros y a la Comisión para informarles de la existencia de una infracción de la legislación sobre protección de los consumidores o de una sospecha razonable de tal infracción;

* información de retorno: cuando las autoridades competentes adoptan otras medidas de ejecución o reciben solicitudes de asistencia mutua, informan a la Comisión y a otros homólogos de la red acerca de la solicitud recibida o de la acción de ejecución que se haya emprendido.

De acuerdo con la Decisión de aplicación del Reglamento CPC, el SCPC debería contener los campos de información siguientes para las alertas:

i) tipo de infracción intracomunitaria,

ii) estado de la infracción intracomunitaria (verificada, sospechas razonables),

iii) base jurídica,

iv) breve resumen,

v) cálculo del número de consumidores que pueden ser perjudicados y de los perjuicios económicos,

vi) requisitos, en su caso, de tratamiento confidencial,

vii) documentos adjuntos (en particular los relativos a declaraciones y otras pruebas).

Además, las alertas también deben contener los datos del vendedor o el proveedor responsable o sospechoso de ser responsable de una infracción intracomunitaria, tal como se describe en el punto 4.6 infra.

4.3.- Cooperación en materia de ejecución.

El apartado 1 del artículo 8 del Reglamento CPC dispone que, «a petición de la autoridad solicitante, la autoridad requerida adoptará todas las medidas de aplicación necesarias para poner término o prohibir inmediatamente la infracción intracomunitaria».

En la práctica, el intercambio de información con arreglo al artículo 8 incluye:

* solicitudes de ejecución: la solicitud de una autoridad a otra para que realice una acción destinada a hacer cesar una infracción confirmada.

Considerando las exigencias del apartado 3 del artículo 12 del Reglamento CPC, las respuestas se proporcionan también a través del SCPC, así como todas las comunicaciones a este respecto, mediante mensajes enviados a través del sistema.

La Decisión de aplicación del Reglamento CPC exige que la autoridad requirente proporcione a la autoridad requerida al menos: a) una identificación del comerciante o proveedor con respecto al cual se solicitan las medidas; b) datos relativos a la conducta o práctica en cuestión; c) la calificación jurídica de la infracción intracomunitaria con arreglo a la legislación aplicable, así como su base jurídica; y d) pruebas del perjuicio de los intereses colectivos de los consumidores, incluido, si es posible, el cálculo del número de consumidores que pueden ser perjudicados.

Esta Decisión de aplicación del Reglamento CPC prevé también que el SCPC deberá contener los siguientes campos de datos para las solicitudes de ejecución:

i) ubicación de los consumidores que puedan ser perjudicados,

ii) nombre del producto o servicio,

iii) código CCIF,

iv) base jurídica,

v) publicidad o soporte de venta utilizado,

vi) tipo de infracción intracomunitaria,

vii) estado de la infracción intracomunitaria (verificada, sospechas razonables),

viii) cálculo del número de consumidores que pueden ser perjudicados y de los perjuicios económicos,

ix) plazos de respuesta propuestos,

x) documentos adjuntos (en particular los relativos a declaraciones y otras pruebas) y requisitos, en su caso, de tratamiento confidencial,

xi) indicación de la asistencia solicitada,

xii) referencia a la alerta (si procede),

xiii) lista de las autoridades requeridas y Estados miembros afectados,

xiv) petición relativa a la participación de un funcionario competente en la investigación [artículo 6, apartado 3, del Reglamento (CE) nº 2006/2004].

4.4.- Coordinación de las actividades de vigilancia del mercado (2).

El apartado 1 del artículo 9 del Reglamento CPC, prevé que «las autoridades competentes coordinarán sus actividades de vigilancia del mercado y de aplicación de la legislación. Intercambiarán toda la información necesaria al efecto.» El apartado 2 del artículo 9 añade lo siguiente: «cuando una autoridad competente tenga conocimiento de una infracción intracomunitaria que perjudique los intereses de los consumidores en más de dos Estados miembros, las autoridades competentes afectadas coordinarán sus acciones de aplicación de la legislación y sus solicitudes de asistencia mutua a través de la oficina de enlace única. En particular, intentarán coordinar temporalmente sus medidas de investigación y de aplicación.» El apartado 3 del artículo 9 añade que «las autoridades competentes informarán a la Comisión por adelantado sobre las medidas de coordinación previstas en el párrafo anterior y podrán invitar a los funcionarios y otros acompañantes autorizados por la Comisión a participar en las reuniones de coordinación».

En la práctica, el intercambio de información con arreglo el apartado 2 del artículo 9 incluye situaciones en las cuales están implicadas las autoridades competentes de al menos tres países.

En este caso, puede intercambiarse información con el fin de detectar si ha tenido lugar una infracción. También se informa a la Comisión, que podrá, si las autoridades competentes se lo piden, participar en las investigaciones.

4.5.- Intercambio de información previa solicitud.

El apartado 1 del artículo 6 del Reglamento CPC dispone que, «a petición de la autoridad solicitante, la autoridad requerida […] facilitará sin demora toda la información pertinente solicitada para establecer si se ha producido una infracción intracomunitaria o para establecer si hay sospechas razonables de que pueda producirse». El apartado 2 del artículo 6, prevé por otro lado que «la autoridad requerida realizará, si fuera necesario con la asistencia de otras autoridades públicas, las investigaciones apropiadas o adoptará cualquier otra medida necesaria o apropiada […] para reunir la información solicitada».

El artículo 10 no hace expresamente referencia al artículo 6, sino que impone que determinados intercambios de información deberán realizarse exclusivamente a través del SCPC. No obstante, con arreglo al apartado 3 del artículo 12, que prevé que «las solicitudes de asistencia y toda comunicación de información se presentarán por escrito en un formulario tipo y se comunicarán por vía electrónica mediante la base de datos establecida en el artículo 10″, todo intercambio de información con arreglo al artículo 6 deberá también efectuarse utilizando el SCPC.

En la práctica, el intercambio de información con arreglo al artículo 6 incluye:

* solicitudes de información: solicitud de una autoridad a otra para que le proporcione información útil que permita establecer si se ha producido una infracción de la legislación sobre protección de los consumidores o si hay sospechas razonables de que tal infracción pueda producirse.

Considerando las exigencias del apartado 3 del artículo 12 del Reglamento CPC, las respuestas se proporcionan también a través del SCPC, así como todas las comunicaciones a este respecto, mediante mensajes enviados a través del sistema.

La Decisión de aplicación del Reglamento CPC exige que la autoridad requirente deberá al menos: a) informar a la autoridad requerida de la naturaleza de la supuesta infracción comunitaria y de su base jurídica; b) aportar elementos suficientes para identificar la conducta o la práctica objeto de investigación; y c) especificar la información solicitada.

Esta Decisión prevé también los campos de datos que deberá contener el SCPC por lo que se refiere a las solicitudes de información. Son idénticos a los mencionados respecto de las solicitudes de ejecución en el punto 4.3 supra.

4.6.- Datos del comerciante o proveedor responsable de una infracción intracomunitaria efectiva o supuesta.

La Decisión de aplicación del Reglamento CPC dispone que el SCPC deberá incluir los campos de datos siguientes por lo que se refiere al vendedor o proveedor responsable o sospechoso de la infracción:

i) nombre,

ii) otros nombres comerciales,

iii) nombre de la sociedad matriz, en su caso,

iv) tipo de actividad empresarial,

v) domicilio(s) postal(es),

vi) dirección de correo electrónico,

vii) número de teléfono,

viii) número de fax,

ix) sitio web,

x) dirección IP,

xi) nombre o nombres del director o directores de la empresa, en su caso.

4.7.- Foro de debate.

Tal como se indica en el punto 3.3 supra, el SCPC incluye también un «foro de debate». Este foro se crea de conformidad con la Decisión de aplicación del Reglamento CPC con el único fin de intercambiar información relativa a los poderes de ejecución suplementarios que las autoridades competentes puedan haber recibido. El foro, como su nombre indica, es un foro de debate estructurado y la Decisión no impone ningún campo de datos obligatorio.

4.8.- Tratamiento de datos relativos al personal.

La Comisión trata también una cantidad limitada de datos personales (nombres, datos de contacto, lenguas habladas) relativos al personal que trabaja para las autoridades competentes y para las oficinas de enlace de los Estados miembros. Las operaciones de tratamiento de estos datos constituyen sin embargo un aspecto marginal del SCPC. Además, estas operaciones de tratamiento son inherentes a la gestión de todas las bases de datos con múltiples usuarios. Por esta razón no se profundizará en ellas en el presente documento.

5.- ACCESO A LOS DATOS EN EL SCPC

5.1.- Acceso de la Comisión a los datos

Acceso de la Comisión a los datos en virtud del Reglamento CPC.

Tal como se ha descrito en el punto 4 supra, en virtud del Reglamento CPC, la Comisión debería tener acceso a lo siguiente:

* alertas (artículo 7, apartado 1),

* información de retorno (artículo 7, apartado 2; artículo 8, apartado 6; y artículo 10 apartado 2),

* en determinados casos, también a otra información vinculada al caso en cuestión (artículo 8, apartado 5; artículo 9, apartado 3; y artículo 15, apartado 5 (3).

No obstante, según el Reglamento CPC, la Comisión no debe recibir:

* las solicitudes de información contempladas en el artículo 6,

* las solicitudes de ejecución contempladas en el artículo 8.

Estas solicitudes de asistencia mutua van dirigidas solamente a las autoridades competentes de los Estados miembros.

Acceso de la Comisión a los datos en virtud del documento de debate de la Comisión.

De acuerdo con la descripción del documento de debate, los funcionarios de la Comisión responsables del seguimiento de la aplicación de uno o varios actos legislativos previstos por el Reglamento CPC, y solamente para los asuntos correspondientes al ámbito de esos actos, recibirán acceso únicamente de lectura para consultar la información relativa a la ejecución de las acciones con arreglo al artículo 8, apartado 6, del Reglamento CPC. El documento de debate de la Comisión no menciona la información de retorno por lo que se refiere a las solicitudes de información o a las alertas (artículo 7, apartado 2, y artículo 10, apartado 2), aunque probablemente estos flujos de información también figuran en la base de datos.

El documento de debate de la Comisión menciona también que los funcionarios de la Comisión que trabajan en la unidad responsable de la aplicación del Reglamento CPC tendrán acceso a toda la demás información contenida en la base de datos. Actualmente sólo utilizan estos datos para realizar el seguimiento de la aplicación del Reglamento CPC, en particular para extraer datos con fines estadísticos. A primera vista, eso deja suponer que, contrariamente a las disposiciones del Reglamento CPC, estos funcionarios de la Comisión disponen de un acceso ilimitado al SCPC, incluso a las solicitudes de información y a las solicitudes de ejecución intercambiadas entre las autoridades competentes de los Estados miembros y a todos los datos registrados como confidenciales (véase el punto 5.4 infra). La información suplementaria proporcionada por la DG SANCO durante la preparación del presente dictamen confirmó sin embargo que no es el caso. La DG SANCO confirmó expresamente que ningún funcionario de la Comisión tiene acceso a las solicitudes de información o a las solicitudes de ejecución intercambiadas entre las autoridades competentes de los Estados miembros, y que el acceso de la Comisión a los datos registrados como confidenciales está limitado, tal como se indica en el punto 5.4 infra.

Por último, según el documento de debate, los funcionarios de la Comisión pueden también participar en investigaciones coordinadas o en acciones de ejecución con arreglo al artículo 9, apartado 3 del Reglamento CPC. Estos funcionarios gozan de un acceso total a la información relacionada con los casos en cuestión.

5.2.- Acceso de las autoridades competentes a los datos.

Cuando las autoridades competentes introducen información en el sistema en forma de alertas, solicitudes de información o solicitudes de ejecución, les corresponde a ellas decidir a qué otras autoridades competentes conceden acceso a esta información. Por ejemplo, las autoridades competentes belgas pueden enviar únicamente a Francia y Luxemburgo una alerta pertinente para estos tres países, pero no para los otros Estados miembros. Lo mismo sucede con la información de retorno y las otras comunicaciones efectuadas a través de la base de datos.

5.3.- Acceso a los datos por parte de las oficinas de enlace únicas.

De acuerdo con el Reglamento CPC, las solicitudes de asistencia mutua (tanto las solicitudes de información como las solicitudes de ejecución) se envían a través de las oficinas de enlace únicas de las autoridades solicitante y requerida de los Estados miembros. La información transmitida a raíz de la solicitud se comunicará directamente a la autoridad solicitante y simultáneamente a las oficinas de enlace únicas pertinentes de las autoridades solicitante y requerida. Si la cooperación implica a más de dos Estados miembros, estas oficinas desempeñarán un papel suplementario de coordinación. En todos estos casos, las oficinas de enlace únicas pueden tener acceso a datos personales, siempre que estén incluidos en las solicitudes de asistencia mutua y en las correspondientes respuestas. Sin embargo, estas oficinas no tienen acceso a la información registrada como confidencial (véase el punto 5.4).

Además, hay que tener en cuenta que numerosas oficinas de enlace únicas pueden ejercer dos funciones: por una parte, ejercen sus funciones de coordinación como oficinas de enlace únicas y, por otra parte, actúan también como autoridades competentes por lo que se refiere a determinadas infracciones de la protección de los consumidores. En esta última calidad, tienen acceso a los datos de la misma manera que cualquier otra autoridad competente.

5.4.- Información registrada como confidencial.

El apartado 3 del artículo 13 del Reglamento CPC dispone que la información almacenada en el SCPC y cuya difusión pudiera poner en peligro: i) la protección de la intimidad e integridad de la persona, ii) los intereses comerciales de una persona física o jurídica, iii) procedimientos judiciales y asesoría jurídica, o iv) la finalidad de inspecciones o investigaciones, será confidencial, a no ser que su difusión resulte necesaria para que se lleve a cabo la cesación o la prohibición de una infracción intracomunitaria y la autoridad que comunica la información esté de acuerdo con que se difunda.

La Decisión de aplicación del Reglamento CPC, según lo descrito en el punto 4, exige que las autoridades que introducen información o solicitudes de ejecución o alertas indiquen si la información debe tratarse de forma confidencial. Del mismo modo, al proporcionar información, la autoridad requerida también debe indicar si esta información debe tratarse confidencialmente. La Decisión de aplicación del Reglamento CPC exige también que el SCPC incluya campos de datos específicos para indicar que los datos intercambiados deben recibir un tratamiento confidencial. Según el documento de debate de la Comisión, una autoridad competente puede desear registrar una información como confidencial, por ejemplo cuando adjunta un documento a su mensaje y este documento adjunto contiene información confidencial.

Al igual que entre la Comisión, las autoridades competentes y las oficinas de enlace únicas, la Decisión de aplicación del Reglamento CPC dispone que el hecho de registrar datos como «confidenciales» implica también que las oficinas de enlace únicas no tendrán acceso a estos datos. Durante la preparación del presente dictamen, la DG SANCO precisó claramente que su intención es limitar de igual modo el acceso de la Comisión a la información registrada como confidencial (4).

Además, según el documento de debate de la Comisión, en algunos casos algunos documentos tampoco pueden revelarse a «organismos con intereses legítimos en la cesación o la prohibición de infracciones intracomunitarias», designados sobre la base de las disposiciones del Reglamento CPC con el fin de asistir a las autoridades competentes en las cuestiones de ejecución. De acuerdo con la Decisión de aplicación del Reglamento CPC, la revelación de información a estos organismos debería someterse a la aprobación previa de la autoridad solicitante, precisando la naturaleza y los detalles de la información que puede revelarse a este organismo.

El tratamiento confidencial no impide sin embargo que las autoridades competentes puedan compartir datos confidenciales o que estos datos puedan transferirse a tribunales o a otras autoridades públicas. De momento, el texto del Reglamento CPC y la Decisión de aplicación tampoco limitan el acceso de la Comisión a estos datos.

6.- PERIODOS DE CONSERVACIÓN EN VIRTUD DEL REGLAMENTO CPC Y DE LA DECISIÓN DE APLICACIÓN DEL REGLAMENTO CPC

6.1.- Retirada de las alertas.

El apartado 2 del artículo 10 del Reglamento CPC dispone que «cuando una autoridad competente establezca que una notificación de una infracción intracomunitaria comunicada conforme al artículo 7 se ha revelado ulteriormente infundada, retirará la notificación y la Comisión sin demora suprimirá la información correspondiente de la base de datos.»

En la práctica, esto significa que la autoridad competente que haya introducido una alerta con arreglo al artículo 7 deberá retirarla, y que la información debe suprimirse de la base de datos en cuanto la autoridad competente establezca que la alerta era infundada.

6.2.- Casos cerrados después de su ejecución.

Con arreglo al apartado 6 del artículo 8, «la autoridad requerida informará sin demora a la autoridad solicitante, a las autoridades competentes de los demás Estados miembros y a la Comisión las medidas adoptadas y elefecto de éstas en la infracción intracomunitaria y también si dicha infracción ha cesado.» El apartado 2 del artículo 10, dispone a continuación que «los datos almacenados en relación con la infracción intracomunitaria se borrarán a los cinco años de la notificación».

En la práctica, eso significa que la autoridad requerida debe notificar a la Comisión las medidas de ejecución adoptadas y que la información debe suprimirse de la base de datos cinco años después de esta notificación.

6.3.- Casos cerrados después de las solicitudes de información.

La Decisión de aplicación del Reglamento CPC dispone que la autoridad solicitante debe informar a la Comisión y suprimir la información de la base de datos a raíz de una solicitud con arreglo al artículo 6, si:

a) la información intercambiada no genera una alerta o una solicitud en virtud del artículo 8; o

b) se establece que no se ha producido ninguna infracción intracomunitaria.

En la práctica, esto significa que la autoridad solicitante debe informar a la Comisión si la solicitud de información no desemboca en una acción posterior de cooperación, como el envío de una solicitud de ejecución o de una alerta, o si se establece que no ha tenido lugar ninguna infracción del Reglamento CPC. La información debe entonces suprimirse de la base de datos.

7.- LA ARQUITECTURA DE SEGURIDAD DEL SCPC

7.1.- El centro de datos de la Comisión.

La Comisión proporciona la infraestructura técnica del SCPC, incluidos el apoyo técnico y el servicio de ayuda al usuario. Los datos recogidos se almacenan en servidores del centro de datos de la Dirección General de Informática, en Luxemburgo. Este servidor funciona con arreglo a las decisiones y las disposiciones de la Comisión en materia de seguridad adoptadas por la Dirección de Seguridad. Se aplica el sistema general de protección de las telecomunicaciones y de la informática de la Comisión Europea.

El SCPC está protegido por sistemas de detección de intrusiones y contra los virus, correo electrónico no deseado y otros tipos de amenazas. Está asegurado por un cortafuegos y por un servidor proxy situados y gestionados por el centro de telecomunicaciones DIGIT de la Comisión. Todas las transacciones se codifican a través del canal https. El sistema sigue las normas de protección y recuperación del centro de datos de la Comisión Europea.

7.2.- La red TESTA II.

La información no se intercambia por Internet, sino a través de la red de telecomunicaciones seguras TESTA II, que conecta los organismos e instituciones comunitarias con las autoridades nacionales. TESTA II es una red privada y cerrada. La Comisión garantiza la seguridad hasta los puntos de contacto nacionales. El acceso a esta columna vertebral de la red se efectúa a través de puntos de conexión identificados. Todo el tráfico de esta red está codificado. La migración hacia s-TESTA, actualmente en curso, aportará una mayor seguridad.

Desde los puntos de contacto nacionales hasta los usuarios, los Estados miembros respectivos son responsables de la construcción física de la conexión y de la vigilancia de su seguridad.

Cada país debe garantizar que solamente el personal autorizado pueda acceder a TESTA. La red no posee ninguna «ventana» a Internet. Sólo es accesible por los usuarios predefinidos y solamente a través de aquellos ordenadores que estén conectados físicamente a la red y estén instalados en las oficinas de las autoridades nacionales y de la Comisión.

7.3.- Acceso a los datos.

Existen diferentes perfiles de acceso al SCPC. Estos perfiles vienen determinados por los derechos de acceso a los datos almacenados en la base de datos. Las autoridades competentes comunican el nombre de sus usuarios a la Comisión. Cada autoridad competente cuenta con al menos un usuario. El acceso al SCPC sólo se concede a un grupo de usuarios bien definidos e identificables. Cada acceso es nominativo y está vinculado a una única persona. No se autorizan usuarios funcionales.

Para acceder a la aplicación, es necesario disponer de un nombre de usuario y de una contraseña. La oficina de enlace única de cada país solicita los nombres de usuario a la Comisión. Ésta crea la clave de acceso y la contraseña inicial que se transmite al usuario a través de la oficina de enlace única. El usuario debe modificar esta contraseña en su primera conexión. La nueva contraseña debe ser una contraseña segura, es decir, debe constar de al menos 8 caracteres y ser alfanumérica. Se ha previsto mejorar este sistema: a partir de finales de año, la cadena de caracteres deberá contener al menos tres tipos de caracteres de entre cuatro familias de caracteres (letras minúsculas, letras mayúsculas, cifras y caracteres especiales).

El documento de debate de la Comisión insiste en que la combinación de las medidas anteriormente mencionadas con una red privada sitúa el acceso al SCPC en un nivel de seguridad adecuado en relación a la naturaleza de los datos almacenados y transferidos a través del SCPC.

Ya es posible una mayor extensión de la seguridad a nivel nacional. Si un país decide utilizar, por ejemplo, un equipo de autenticación codificada con chip, éste puede integrarse fácilmente a nivel nacional porque los procedimientos de acceso al sistema se deciden en los Estados miembro y ellos son responsables del funcionamiento y la seguridad del sistema a partir de los puntos de contacto nacionales TESTA II.

PARTE B.- ANÁLISIS

8.- RESPONSABLES DEL TRATAMIENTO DE LOS DATOS, LEGISLACIÓN APLICABLE Y AUTORIDADES DE CONTROL

8.1.- El Reglamento CPC designa responsables del tratamiento de los datos a las autoridades competentes y a la Comisión.

El artículo 2, letra d) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo «Directiva 95/46/CE«) y el artículo 2, letra d), del Reglamento (CE) n° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (en lo sucesivo » Reglamento (CE) n° 45/2001«) disponen ambos que, cuando los fines y los medios del tratamiento estén determinados por un acto comunitario concreto, el responsable del tratamiento o los criterios específicos aplicables a su nombramiento podrán determinarse en tal acto comunitario.

Este es el caso del SCPC, cuyos fines y medios de tratamiento están definidos por el Reglamento CPC, cuyo artículo 10 dispone expresamente que la Comisión y las autoridades competentes actuarán como responsables del tratamiento en relación con sus responsabilidades conforme al Reglamento CPC.

En particular, el artículo 10 dispone lo siguiente: «En relación con su responsabilidad de notificar la información que se vaya a almacenar en la base de datos y el tratamiento de datos personales que ello conlleve, las autoridades competentes serán consideradas responsables del tratamiento de acuerdo con la letra d) del artículo 2 de la Directiva 95/46/CE. En relación con sus responsabilidades conforme al presente artículo, y al tratamiento de datos personales que conlleven, la Comisión será considerada responsable del tratamiento de conformidad con la letra d) del artículo 2 del Reglamento (CE) no 45/2001.»

8.2.- Las autoridades competentes como responsables del tratamiento.

Cada autoridad competente es responsable del tratamiento con respecto a sus propias actividades de tratamiento de los datos como usuario del sistema para sus propias finalidades, tal como prevé el Reglamento CPC. Deberá cumplir su propia legislación nacional en materia de protección de datos y estará sometida a la supervisión de sus propias autoridades nacionales encargadas de esta protección.

8.3.- Las oficinas de enlace únicas como responsables del tratamiento.

Como se ha visto en los puntos 5.3 y 5.4, las oficinas de enlace únicas también reciben información, excepto la información registrada como confidencial, con el fin de cumplir su función de coordinación por lo que respecta a la transmisión de la información y las solicitudes de ejecución. En este marco, deben ajustarse a su propia legislación nacional en materia de protección de datos y están sometidas a la supervisión de sus propias autoridades nacionales encargadas de esta protección.

8.4.- El papel sui generis de la Comisión.

El Reglamento CPC designa a la Comisión como responsable del tratamiento de los datos por lo que se refiere a sus propias tareas y responsabilidades. Habida cuenta de estas misiones y responsabilidades, que incluyen a la vez i) el funcionamiento del SCPC en beneficio de las autoridades competentes de los Estados miembros, y ii) su propia utilización del SCPC, la Comisión posee un papel sui generis, que no puede definirse fácilmente. Es importante que se reconozca la naturaleza sui generis de este papel, y que las tareas y las responsabilidades en materia de respeto de la protección de datos estén claramente distribuidas entre la Comisión y las autoridades competentes.

Las actividades de la Comisión están reguladas por el Reglamento (CE) n° 45/2001 y están sometidas al control del Supervisor Europeo de Protección de Datos (en lo sucesivo «SEPD»).

9.- BASE JURÍDICA

9.1.- Aplicabilidad de la Directiva 95/46/CE y del Reglamento (CE) n° 45/2001.

El SCPC se utiliza para el tratamiento de los datos de los vendedores y proveedores sospechosos de cometer infracciones a la legislación relativa a la protección de los consumidores. Estos vendedores y proveedores pueden ser sociedades, pero, más importante desde el punto de vista de la protección de datos, puede también tratarse de personas físicas. Además, la Decisión de aplicación del Reglamento CPC establece campos de datos específicos para el intercambio de información acerca de los directores de los vendedores o proveedores sospechosos. Por último, los datos personales relativos a otros individuos, por ejemplo propietarios o empleados de los vendedores o proveedores, denunciantes, agentes o testigos pueden aparecer también en los documentos adjuntos y breves resúmenes, que también se prevén específicamente en la Decisión de aplicación del Reglamento CPC. Por tanto, no cabe duda de que la utilización del SCPC implica un tratamiento de los datos personales en el sentido de lo dispuesto en el artículo 2, letra a), de la Directiva 95/46/CE y en la disposición correspondiente del Reglamento (CE) n° 45/2001.

9.2.- Base jurídica y legalidad del tratamiento.

El artículo 7, letra c) de la Directiva 95/46/CE prevé que el tratamiento de datos personales sólo podrá efectuarse si «es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento». El artículo 7, letra e), autoriza también el tratamiento si «es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos». El artículo 5, letras a) y b), del Reglamento (CE) n° 45/2001 contiene disposiciones similares.

Artículo 7, letra c).- obligación legal de los responsables del tratamiento.

Como se ha visto en el punto 3.3, el Reglamento CPC es la base jurídica del SCPC. Impone también la obligación a todas las autoridades competentes de intercambiar los datos relativos a la asistencia mutua exclusivamente a través de la base de datos. El Reglamento CPC es directamente aplicable a las autoridades competentes de todos los Estados miembros.

Artículo 7, letra e).- realización de una tarea de interés público.

El SCPC participa en la lucha contra las infracciones transfronterizas de la legislación europea sobre protección de los consumidores, en particular facilitando la coordinación de las actividades de las distintas autoridades competentes en distintos Estados miembros. Se trata de una misión de interés público. La cuestión de la «necesidad» se aborda en el punto 10.1 infra.

Por tanto, el Grupo de Trabajo considera que el artículo 7, letras c) y e), de la Directiva 95/46/CE puede considerarse una base jurídica adecuada para el tratamiento de los datos.

10.- CALIDAD DE LOS DATOS

10.1.- Limitación de la finalidad, imposibilidad de utilización posterior para una finalidad incompatible.

De conformidad con lo dispuesto en el artículo 6, apartado 1, letra b), de la Directiva 95/46/CE, se dispondrá que los datos personales sean «recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines». El Reglamento (CE) n° 45/2001 contiene una disposición similar.

Limitación de la finalidad fijada por el Reglamento CPC.

El apartado 1 del artículo 13 del Reglamento CPC prevé que «la información comunicada sólo podrá utilizarse para asegurar el respeto de la legislación protectora de los intereses los consumidores». El apartado 2 del artículo 13, añade que «las autoridades competentes podrán utilizar como prueba cualquier información, documento, constatación, declaración, copia certificada conforme o información comunicada sobre la misma base que los documentos análogos obtenidos en su propio país».

El Grupo de Trabajo acoge con satisfacción la limitación de la finalidad fijada para la utilización de los datos. No obstante, destaca que las finalidades permitidas y cualquier limitación de uso deben definirse de una manera más precisa a nivel operativo. Por esta razón, el Grupo de Trabajo hace las siguientes recomendaciones:

La utilización por las autoridades competentes debería limitarse a una cooperación específica caso por caso.

Un riesgo inherente a las grandes bases de datos electrónicas de este tipo es que se utilicen para buscar sistemáticamente a individuos y «clasificarlos» en función de los resultados de la investigación. Habida cuenta de que tal uso no está previsto en el Reglamento CPC y que no existe ninguna protección a este respecto, el Grupo de Trabajo recomienda que la información contenida en la base de datos sólo se utilice en relación con cada investigación o ejecución del caso específico para el que se haya emitido una solicitud de asistencia mutua o una alerta en primer lugar, a menos que en una nueva Decisión de aplicación del Reglamento CPC se prevean específicamente usos suplementarios y se establezcan garantías adecuadas para la protección de datos.

Las finalidades para las cuales la Comisión puede utilizar los datos deberían precisarse claramente.

En algunos casos, la propia Comisión utiliza los datos para los fines precisados en el Reglamento CPC, en particular para asistir a las autoridades competentes en determinados conflictos o para participar en investigaciones coordinadas que implican a más de dos países (véase el punto 10.2). Se trata de usos permitidos, definidos en el Reglamento CPC.

Sin embargo, en general, el Reglamento CPC no precisa cuál debería ser la finalidad del uso y el acceso de la Comisión a los datos. Este el caso tanto por lo que se refiere a la alerta y a la información de retorno. Se supone que la Comisión tendrá acceso a estos datos para que pueda: i) supervisar la aplicación del Reglamento CPC; ii) supervisar la aplicación de la legislación específica relativa a la protección de los consumidores cubierta por el Reglamento CPC (las directivas y reglamentos enumerados en su anexo); y iii) reunir información estadística relacionada con la realización de estas tareas. Estos usos están permitidos. Sin embargo, la Comisión debería garantizar que los datos personales que figuran en la alerta y en la información de retorno que recibe no se utilicen para fines suplementarios no especificados.

Éstos deberían especificarse claramente en una nueva Decisión de aplicación del Reglamento CPC, y la arquitectura del SCPC debería también configurarse de nuevo en consecuencia.

10.2.- Necesidad y proporcionalidad

De conformidad con lo dispuesto en el artículo 6, apartado 1, letra c), de la Directiva 95/46/CE, los datos personales deben ser «adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente».

Introducciones de datos facultativas y predefinidas; acceso limitado a la base de datos.

En primer lugar, el Grupo de Trabajo acoge con satisfacción el hecho de que la Decisión de aplicación del Reglamento CPC elabore una lista definida de los campos de datos que pueden incluirse en la base de datos. En segundo lugar, también acoge con satisfacción que la Decisión no exija que todos los campos de datos se rellenen cada vez, sino que más allá de unos requisitos mínimos esenciales, deja a la autoridad competente que introduce los datos la decisión de qué campos de datos rellenará y con qué nivel de detalle. En tercer lugar, el Grupo de Trabajo acoge con satisfacción el hecho de que solamente las autoridades competentes designadas por cada Estado miembro tienen acceso al SCPC y, de estas autoridades, solamente los agentes especialmente designados.

Análisis de la proporcionalidad caso por caso.

El Grupo de Trabajo también acoge con satisfacción el hecho de que la lista de campos de datos parece en conjunto razonable y no excesiva para los fines perseguidos por el SCPC (las excepciones y motivos de  preocupación se mencionarán más abajo).

Dicho esto, el Grupo de Trabajo no puede determinar de antemano si la utilización de todos los campos de datos es adecuada en todos los casos particulares. Además, algunos campos de datos están definidos tan ampliamente que depende casi totalmente del agente encargado de la ejecución que introduce los datos determinar en un caso concreto qué volumen de datos personales introducirá en la base de datos. Por ejemplo, un documento adjunto podrá contener copias de facturas que incluyan nombres de clientes y números de cuentas bancarias, o una lista de direcciones electrónicas de clientes a los que se hayan enviado mensajes de correoelectrónico no deseado (spam). La conveniencia de incluir estos datos en la base dependerá del caso concreto.

Por esta razón, el Grupo de Trabajo señala que la «necesidad» y la «proporcionalidad» del tratamiento de los datos deben analizarse in concreto, para cada caso particular, cuando la información se introduzca o se recupere y se utilice.

En particular, las autoridades competentes deben garantizar, para cada información que se introduzca, que i) sólo se introduce la información personal que sea estrictamente necesaria en aras de una cooperación eficaz, y que ii) comparten la información solamente con las autoridades competentes de otros Estados miembros que necesiten tener acceso a la misma.

Además, deben también garantizar que sólo conservarán los datos personales en la base de datos el tiempo necesario para la cooperación.

Formación de los agentes responsables de la ejecución, directrices para la utilización de la base de datos y medios técnicos para recordar la conformidad.

Se trata de una evaluación que los agentes responsables de la ejecución deben realizar cada vez que transfieran o traten la información. Estos agentes deberían tener conciencia de la importancia de realizar un análisis serio de la proporcionalidad caso por caso. Con el fin de garantizar que la Comisión y las autoridades competentes tratan los datos de acuerdo con el principio de calidad de los datos, el Grupo de Trabajo recomienda que la Comisión, como administradora del sistema, elabore una serie de directrices («directrices SCPC») destinadas a los agentes responsables de la ejecución que tienen acceso al SCPC, describiendo las normas que deben seguirse con el fin de garantizar la conformidad con las normas de protección de datos. Estas directrices deben redactarse de tal modo que sean fácilmente comprendidas por personas que no tengan ningún conocimiento particular en el ámbito de la protección de datos. Pueden por ejemplo adoptar la forma de preguntas frecuentes en el SCPC y estar disponibles para todos los usuarios. Las directrices deberán cubrir todos los aspectos de la protección de datos del SCPC, pero haciendo especial hincapié en la cuestión del análisis de la proporcionalidad caso por caso.

Aunque corresponda a la Comisión elaborar las directrices del SCPC, son las autoridades competentes quienes, en definitiva, por lo que se refiere a la mayoría de las operaciones de tratamiento (por ejemplo, la introducción de información en el SCPC o la designación de los destinatarios de las alertas) y en virtud de su legislación nacional, siguen siendo responsables del cumplimiento de las obligaciones relativas a la protección de datos, incluida la realización de un análisis de proporcionalidad caso por caso. Por esta razón, con el fin de obtener un elevado nivel de conformidad, el contenido de las directrices y los elementos de protección de datos deberían también integrarse en la formación impartida a los agentes responsables de la ejecución por lo que se refiere a la utilización del SCPC.

Por último, en la medida en que resulte posible desde el punto de vista técnico y operativo, las características técnicas del SCPC deberán modificarse para incitar a los agentes responsables de la ejecución a evaluar los aspectos de la protección de datos cada vez que accedan a la base de datos. Una vez más, estas características deberán limitarse al aspecto de la proporcionalidad.

Información acerca de los directores.

El Reglamento CPC no sugiere ni exige específicamente que la información relativa a los directores de los comerciantes o proveedores responsables de una infracción intracomunitaria efectiva o supuesta figuren en la base de datos. La Decisión de aplicación del Reglamento CPC exige sin embargo la creación de campos de datos para los nombres de los directores respecto de los intercambios de información, al igual que exige una entrada para la dirección y el número de teléfono del vendedor o el proveedor.

El Grupo de Trabajo reconoce que el intercambio de información relativa a los directores de los comerciantes o proveedores puede ser necesario en algunos casos. Por ejemplo, las mismas personas pueden utilizar una serie de sociedades como medio para realizar actividades fraudulentas. Por esta razón, los agentes responsables de la ejecución pueden tener necesidad legítima de intercambiar información sobre estas personas.

No obstante, el Grupo de Trabajo destaca que este intercambio de información plantea al mismo tiempo graves preocupaciones en materia de derecho a la intimidad.

En efecto, el hecho de incluir información acerca de los directores en el SCPC puede constituir graves violaciones del derecho a la intimidad y puede, en algunas situaciones, equivaler a acusarlos de ser «culpables por asociación», lo que podría tener un efecto perjudicial sobre su reputación y sobre sus perspectivas profesionales. La Comisión es consciente de este problema y, hasta ahora, ha decidido bloquear esta función de la base de datos. Por esta razón, el Grupo de Trabajo recomienda que las directrices del SCPC prevean específicamente que los agentes responsables de la ejecución deberán evaluar en cada caso si la inclusión del nombre del director es adecuada o no.

Información acerca de los consumidores, demandantes y otros terceros en los «breves resúmenes» y los «anexos».

Entre los campos de datos que pueden utilizarse en caso de alertas, solicitudes de información y solicitudes de ejecución, la Decisión de aplicación del Reglamento CPC incluye un campo para los «documentos adjuntos». Prevé también «breves resúmenes» en caso de alertas.

Es posible que los documentos adjuntos o los breves resúmenes contengan datos personales sobre los demandantes, clientes, testigos, empleados, propietarios, agentes u otros terceros.

Por ejemplo, un anexo puede contener copias de facturas donde figuren nombres de clientes y números de cuentas bancarias, o una lista de direcciones electrónicas resultante del envío de mensajes de correo electrónico no deseado (spam).

La comunicación de algunos de estos documentos que incluyan datos personales puede justificarse en determinadas circunstancias. No obstante, el Grupo de Trabajo recomienda que, siempre que sea posible, los datos personales se retiren de los breves resúmenes y se borren o supriman de los documentos adjuntos (por ejemplo, tachando los nombres, direcciones o números de tarjetas de crédito). En caso de duda por lo que respecta a la necesidad de transferir información o documentos que contengan datos personales, el Grupo de Trabajo recomienda que se supriman los datos personales. En caso de que posteriormente resulte que el destinatario necesita una copia íntegra de un documento, por ejemplo con fines probatorios, siempre tendrá la posibilidad de pedir la información que falte a la parte que haya proporcionado inicialmente el documento. Estas recomendaciones deberían especificarse claramente en las directrices del SCPC.

Datos personales en el «foro de debate».

Tal como se ha indicado en el punto 3.3 supra, la Decisión de aplicación del Reglamento CPC prevé que los Estados miembros deberán informar a la Comisión y a los otros Estados miembros a través de un «foro de debate» establecido en la infraestructura del SCPC, acerca de todas las competencias adicionales en materia de investigación y aplicación que se atribuyan a las autoridades competentes además de las requeridas específicamente en virtud del Reglamento CPC. Durante la elaboración del presente dictamen, la DG SANCO explicó que está previsto que el foro de debate se utilice sólo para el intercambio de información relativa a cuestiones tales como nuevos poderes de ejecución o mejores prácticas. Es pues improbable que estos intercambios de información incluyan datos personales. Es importante en cualquier caso destacar que este foro no debe servir para intercambiar datos vinculados a los casos analizados, y que no debería, por regla general, contener datos personales. Esto también deberá precisarse en las directrices del SCPC.

Sospechas «razonables».

El Grupo de Trabajo destaca también que los datos relativos a las presuntas infracciones sólo deberían incluirse si estas «sospechas» son «razonables». La interpretación de la expresión «sospechas razonables» se deja a los Estados miembros, pero el Grupo de Trabajo destaca que no puede incluirse ningún dato en el SCPC si no existe al menos información significativa o alguna prueba de que ha tenido lugar una infracción. Se trata de otro aspecto que debe discutirse en las directrices del SCPC.

Los derechos de acceso de la Comisión deberían estar más limitados.

Si bien la redacción del documento de debate de la Comisión suscitó inicialmente dudas a este respecto, parece que el acceso de la Comisión a los datos no va más allá de lo que requiere el Reglamento CPC.

El Grupo de Trabajo se acoge con satisfacción este aspecto y destaca la importancia de que el acceso de la Comisión esté limitado estrictamente a lo que prevé el Reglamento CPC. En particular, la Comisión no debería tener ningún acceso a las comunicaciones entre los Estados miembros acerca de las solicitudes de información con arreglo al artículo 6 o las solicitudes de ejecución con arreglo al artículo 8. Los planes de la DG SANCO de limitar (con algunas excepciones) el acceso de la Comisión a la información calificada como confidencial también son bienvenidos.

Tal como se ha visto en el punto 5.1, la información de retorno por lo que se refiere tanto a las solicitudes de información como de ejecución debe enviarse a la Comisión con arreglo al artículo 7, apartado 2, y al artículo 8, apartado 6, del Reglamento CPC. Esta información de retorno contiene probablemente suficientemente información de alto nivel para permitir a la Comisión controlar la aplicación del Reglamento CPC y recuperar y compilar información estadística incorporada. Por esta razón, no debería ser necesario un acceso sistemático a todos los datos vinculados a los expedientes en las solicitudes de información y ejecución, incluso con fines de extracción de información estadística.

La nueva Decisión de aplicación del Reglamento CPC debería limitar específicamente el acceso de la Comisión a lo requerido por el Reglamento CPC y a lo estrictamente necesario para la realización de sus misiones. La arquitectura del SCPC debe concebirse en consecuencia.

El acceso de las autoridades competentes debería limitarse a sus necesidades de información.

El SCPC permite actualmente a cada autoridad competente designar libremente a los destinatarios de los mensajes de alerta. Por tanto, no puede excluirse actualmente que una autoridad competente difunda alertas más ampliamente que lo que sería estrictamente necesario para las finalidades de la alerta, «solamente a efectos de información». Las autoridades competentes deben ser conscientes de que deben evaluar caso por caso la utilidad de estas transferencias a todos los destinatarios y no difundir información más ampliamente de lo que requiere una cooperación eficaz. Esta es otra cuestión que debe abordarse en las directrices SCPC y en la arquitectura del sistema.

Durante la preparación del presente dictamen, la DG SANCO indicó que prevé configurar el sistema de tal modo que la información de retorno contemplada en el artículo 8, apartado 2 y en el artículo 7, apartado 6, se envíe a todas las autoridades responsables de la aplicación de la legislación relativa a la Directiva sobre protección de los consumidores o al Reglamento en cuestión (por ejemplo, la Directiva sobre el comercio electrónico o sobre la utilización a tiempo parcial de bienes inmuebles – time sharing). El Grupo de Trabajo recomienda que la cuestión de los destinatarios y el contenido de la información de retorno se regulen en la nueva Decisión de aplicación del Reglamento CPC después de una atenta evaluación de la proporcionalidad del enfoque propuesto.

10.3.- Exactitud.

El artículo 6, apartado 1, letra d), de la Directiva 95/46/CE prevé que los datos personales deberán ser «exactos y, cuando sea necesario, actualizados» y que «deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados». El Reglamento (CE) n° 45/2001 prevé requisitos similares.

Tal como se expondrá en el punto 11 relativo al período de conservación, el SCPC tal como está diseñado actualmente no garantiza suficientemente que los datos potencialmente obsoletos no permanezcan en la base datos durante largos períodos, por ejemplo cuando los expedientes se perpetúan sin que se tome una medida al respecto o cuando la autoridad competente «se olvida» de informar a la Comisión sobre el cierre de un caso.

A este respecto, el Grupo de Trabajo considera que una revisión periódica de la información por parte de la autoridad competente que la haya proporcionado contribuiría a la exactitud de los datos almacenados en el SCPC. Con el fin de animar a los usuarios a efectuar esta revisión, la base de datos podría contener una función de recordatorio que alertaría a los usuarios periódicamente, por ejemplo cada seis meses o una vez el año, y les pediría que comprobasen la exactitud de la información que han introducido. Esta información se señalaría a continuación con una señal visible electrónica que indicaría que se ha efectuado la comprobación. También pueden añadirse comentarios relativos a la situación del caso.

11.- PERIODO DE CONSERVACIÓN

El artículo 6, apartado 1, letra e), de la Directiva 95/46/CE prevé que los datos personales deben ser «conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente».

Los períodos de conservación descritos en el punto 6 supra plantean importantes cuestiones acerca de la protección de datos. En efecto, sin las protecciones y los límites necesarios, el SCPC corre el riesgo de convertirse en una base de datos gigantesca que contenga información obsoleta e inexacta, conservada durante largos períodos y utilizada por las autoridades competentes para obtener información con fines no especificados en el Reglamento CPC.

11.1.- Período de cinco años para la conservación de los datos después de la ejecución.

El Reglamento CPC prevé la obligación de conservar los datos relativos a infracciones durante cinco años en los casos en que se haya tomado una medida de ejecución, sin precisar no obstante la finalidad de conservar los datos durante un periodo tan largo. Este periodo de conservación obligatorio corre el riesgo de transformar el SCPC en una base de datos europea de empresas inscritas en una lista negra. Las personas físicas, comerciantes o proveedores, así como los directores, empleados u otras personas implicadas y que figuren en la base de datos podrían considerarse no dignas de confianza, únicamente en virtud de lo que podría ser a veces una simple asociación con una empresa infractora. No es posible saber si fue ésta la intención de los legisladores. Sin embargo, queda claro que tampoco hicieron explícita esta intención ni proporcionaron las garantías necesarias de protección de datos para garantizar que éstos puedan utilizarse con total seguridad para estos fines suplementarios.

El Grupo de Trabajo vuelve a lamentar que no se le haya consultado antes de adoptar el Reglamento CPC. De haberse hecho, habría expresado su seria preocupación en cuanto a la proporcionalidad del plazo de cinco años, y habría insistido también en que se precisase con claridad la finalidad de conservar los datos.

El Grupo de Trabajo mantiene estas preocupaciones y acogería con satisfacción una modificación del Reglamento CPC. No obstante, dado que debe emitir su dictamen a este respecto a posteriori, recomienda, como medida práctica, que hasta que los legisladores modifiquen el Reglamento CPC o especifiquen el objeto de tal período de conservación o bien lo supriman, la Comisión y las autoridades competente deberán interpretar la obligación de conservación durante cinco años de la manera más limitada posible y, al mismo tiempo, introducir una serie de garantías mínimas. Esto implica, entre otras cosas, una aclaración en un sentido favorable a la protección de datos y una respuesta a las siguientes cuestiones:

* ¿Cuál es la finalidad del período de cinco años para la conservación de los datos?

* ¿A qué datos se aplica este período?

* ¿Cuándo debe la información ser objeto de una notificación para su supresión?

Estas preguntas deberían encontrar una respuesta con el fin de garantizar que solamente se conserva la cantidad mínima de datos personales necesaria para una cooperación eficaz. Las respuestas deberían formalizarse en una nueva Decisión de aplicación del Reglamento CPC y también deberían introducirse modificaciones en la arquitectura de sistema del SCPC.

11.2.- Casos «olvidados» o no notificados para su supresión.

El Reglamento CPC y su Decisión de aplicación prevén la obligación de las autoridades competentes de informar a la Comisión cuando los casos se cierran o cuando ellas mismas determinan que una alerta es infundada. Sin embargo, deben resolverse varias lagunas:

* la autoridad competente puede simplemente decidir no cerrar un caso abierto aunque no se haya tomado ninguna medida de investigación y no haya aparecido ninguna información nueva durante un largo período de tiempo. En otras palabras: a veces hay casos que se eternizan;

* la autoridad competente puede cerrar un caso, pero «olvidar» notificar a la Comisión que los datos relativos a este caso deben suprimirse de la base de datos;

* la autoridad requerida puede acabar no adoptando una medida de ejecución, y por tanto no notificando a la Comisión, y no obstante la infracción puede cesar por otros motivos (por ejemplo, debido al inicio de una acción judicial por terceros).

Para abordar estas preocupaciones, el Grupo de Trabajo recomienda invertir la «lógica» de la conservación y la supresión de los datos: los casos deberán suponerse cerrados después de un periodo razonable a partir del envío de la solicitud de información o ejecución, y en ese momento los datos deberían suprimirse del SCPC, previa advertencia a las autoridades competentes interesadas, que deberían tener la posibilidad de confirmar que el caso sigue abierto. La ampliación del plazo de conservación debería concederse solamente por un período determinado, de modo que la necesidad de almacenamiento se revise periódicamente.

Si la autoridad competente no solicita una prórroga, toda la información vinculada al caso debería suprimirse.

Para garantizar que la información no se borre «por error», el sistema podría prever alertas repetidas y «períodos de gracia» razonables para manejar la situación cuando una autoridad competente no reaccione rápidamente. Durante la elaboración del presente dictamen, la DG SANCO explicó que ya está ocupada en poner a punto el envío de recordatorios a las autoridades competentes, cada 6 ó 12 meses, cuando alguno de sus casos parezca «dormido».

El Grupo de Trabajo expresa su satisfacción por esta iniciativa y fomenta la continuación de estos planes con el fin de responder de una manera más amplia a la recomendación hecha en el presente dictamen.

11.3.- Conservación de datos fuera del SCPC.

Por último, el Grupo de Trabajo indica que, en este documento, no aborda la cuestión del periodo de tiempo durante el cual una autoridad competente puede conservar fuera del sistema los datos intercambiados a través del sistema, por ejemplo en un documento impreso adjunto al expediente correspondiente. Sin embargo, el Grupo de Trabajo llama la atención de las autoridades competentes y de la Comisión sobre el hecho de que la legislación y los principios de protección de datos se aplican de la misma manera al almacenamiento de información fuera del SCPC.

12.- TRATAMIENTO DE DATOS SENSIBLES

12.1.- Origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, pertenencia a sindicatos y salud o sexualidad.

El artículo 8 de la Directiva 95/46/CE prohíbe el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad. El artículo 10 del Reglamento (CE) n° 45/2001 contiene una prohibición similar.

Ningún dato de esta naturaleza se trata sistemáticamente en el SCPC, aunque ni el Reglamento CPC ni la Decisión que lo aplica prohíben específicamente este tratamiento, y es posible que estos datos puedan, en su caso, incluirse en la información intercambiada. Por ejemplo, en un documento adjunto como prueba de compra de determinados productos o servicios puede figurar información sensible sobre un cliente.

El Grupo de Trabajo recomienda que se modifique la Decisión de aplicación del Reglamento CPC para prohibir explícitamente el tratamiento de esta categoría especial de datos, permitiendo al mismo tiempo, si fuere necesario, algunas excepciones estrictamente definidas.

12.2.- Datos relativos a infracciones, a supuestas infracciones y medidas de seguridad.

El apartado 5 del artículo 8 de la Directiva 95/46/CE dispone que «el tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad, sólo podrá efectuarse bajo el control de la autoridad pública o si hay previstas garantías específicas en el Derecho nacional, sin perjuicio de las excepciones que podrá establecer el Estado miembro basándose en disposiciones nacionales que prevean garantías apropiadas y específicas. [… ] Los Estados miembros podrán establecer que el tratamiento de datos relativos a sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos.»

El SCPC incluye sistemáticamente datos relativos a infracciones o a supuestas infracciones, en particular actividades que infringen la legislación sobre protección de los consumidores.

Puede tratarse tanto de infracciones administrativas como penales. Las sanciones administrativas, las condenas penales, las sentencias en asuntos civiles y las medidas de seguridad también podrán figurar en la base de datos.

El Reglamento CPC, que es directamente aplicable en los Estados miembros, autoriza el tratamiento de estos datos. El Grupo de Trabajo destaca no obstante que no debería considerarse que este Reglamento autoriza global e incondicionalmente este tratamiento. La utilización de los datos debe limitarse a fines específicos de asistencia mutua.

12.3.- Número nacional de identificación.

El apartado 7 del artículo 8 de la Directiva prevé que los Estados miembros «determinarán las condiciones en las que un número nacional de identificación o cualquier otro medio de identificación de carácter general podrá ser objeto de tratamiento». A su vez, el apartado 6 del artículo 10 del Reglamento prevé que «el Supervisor Europeo de Protección de Datos determinará las condiciones en las que podrá ser objeto de tratamiento un número personal o cualquier otro medio de identificación de aplicación general por parte de una institución o un organismo comunitario.»

Ni el Reglamento CPC, ni la Decisión de aplicación de este Reglamento, ni el documento de debate de la Comisión sugieren que se utilicen sistemáticamente números nacionales de identificación en el SCPC. La Decisión, al especificar los distintos campos de datos que deben servir para identificar a un comerciante o a un proveedor, menciona otra información, como la dirección y los números de teléfono, pero no establece una entrada específica para los números nacionales de identificación. Dicho esto, no puede excluirse que un agente responsable de la ejecución de una autoridad competente no pueda incluir los números nacionales de identificación de determinadas personas, por ejemplo las personas físicas comerciantes o proveedores, directores o empleados, demandantes, testigos u otras partes involucradas.

Habida cuenta de la naturaleza sensible de los números nacionales de identificación, al menos en algunos Estados miembros, el Grupo de Trabajo recomienda que, a menos que la identificación sea estrictamente necesaria y no pueda ser efectuada de forma fiable por otros medios (por ejemplo, utilizando la dirección, la designación del empleo u otro identificador), debe evitarse utilizar estos números nacionales en el SCPC. En cualquier caso, de utilizarse estos números en estas circunstancias excepcionales, deberá tenerse en cuenta plenamente las posibles restricciones impuestas por las legislaciones nacionales sobre protección de datos en el momento de introducir o tratar estos datos.

13.- EXENCIONES Y RESTRICCIONES

El apartado 4 del artículo 13 del Reglamento CPC prevé que, a efectos de la aplicación de este Reglamento, «los Estados miembros adoptarán las medidas legislativas necesarias para restringir los derechos y las obligaciones previstos en los artículos 10, 11 y 12 de la Directiva 95/46/CE en la medida que se requiera para salvaguardar los intereses contemplados en las letras d) y f) del apartado 1 del artículo 13 de dicha Directiva. La Comisión podrá restringir los derechos y las obligaciones previstos en el apartado 1 del artículo 4, el artículo 11, el apartado 1 del artículo 12, los artículos 13 a 17 y el apartado 1 del artículo 37 del Reglamento (CE) n° 45/2001 cuando dicha restricción constituya una medida necesaria para salvaguardar los intereses a que se hace referencia en las letras a) y e) del apartado 1 del artículo 20 de dicho Reglamento.»

Esta disposición no sustituye al sistema heterogéneo preexistente, en el que las limitaciones a los derechos de las personas interesadas, en particular sus derechos en materia de información y de acceso, variaban de acuerdo con las distintas exenciones legislativas adoptadas en los Estados miembros. Esto puede ser comprensible a la luz de las diferencias que existen entre los Estados miembros en cuestiones que implican procedimientos judiciales, penales o administrativos y el acceso a los documentos relativos a estos procedimientos. No obstante, la falta de armonización a este respecto dificulta especialmente el cumplimiento de la normativa en materia de protección de datos y la cooperación entre los Estados miembros por lo que se refiere a las autorizaciones de acceso, tal como se mostrará en el punto 15. Con el fin de facilitar un entendimiento común y animar a los legisladores nacionales a elaborar una serie de principios comunes, el Grupo de Trabajo emite las recomendaciones que figuran más abajo.

13.1.- Exenciones y restricciones que deben fijar los Estados miembros.

El artículo 13, apartado 1, letra d) prevé que podrán establecerse limitaciones cuando tales limitaciones constituyan una medida necesaria para la salvaguardia de «la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas». El artículo 13, apartado 1, letra f) precisa por otro lado que la misma excepción se aplica a «una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública» con arreglo al artículo 13, apartado 1, letra d).

El Grupo de Trabajo recomienda que los Estados miembros, cuando adopten medidas destinadas a limitar los derechos y las obligaciones con arreglo a los artículos 10, 11 y 12 de la Directiva 95/46/CE, tengan en cuenta el hecho de que estas restricciones deben limitarse a lo estrictamente necesario para salvaguardar el interés mencionado en el artículo 13, apartado 1, letras d) y f), de la Directiva 95/46/CE.

En primer lugar, las limitaciones sólo deberían aplicarse respecto de los derechos a la información de los interesados con arreglo a los artículos 10 y 11 de la Directiva 95/46/CE o sus derechos de acceso, rectificación, supresión o bloqueo de conformidad con lo dispuesto en el artículo 12. No está permitida la limitación de ningún otro derecho contemplado en el artículo 13 de la Directiva 95/46/CE, en particular los principios relativos a la calidad de los datos o el requisito de notificación a las autoridades responsables de la protección de datos.

En segundo lugar, ni la Directiva 95/46/CE ni el Reglamento (CE) n° 45/2001 prevén una norma global y sistemática que prive de sus derechos de información y acceso a todas las personas interesadas cuyos datos puedan tratarse en relación con delitos penales e infracciones de la deontología de profesiones reguladas. La adopción de medidas restrictivas no debería ser arbitraria ni desproporcionada, ni tampoco limitar sistemáticamente el derecho de información de las personas interesadas ni su derecho de acceso a sus datos personales.

Las limitaciones sólo podrán estar permitidas si la divulgación de información a los interesados o el acceso de los mismos a los datos pudiera poner en peligro los fines de «la prevención, la investigación, la detección y la represión». En otros términos, recogiendo la terminología del artículo 13, apartado 3, del Reglamento CPC, las limitaciones sólo están permitidas si la concesión de derechos a los interesados pudiera poner en peligro «la finalidad de inspecciones o investigaciones».

Aunque una orientación legislativa general es bienvenida en los casos en los que sea posible, es necesario un análisis de los hechos caso por caso para determinar si se permite una limitación de los derechos de acceso a la información. Las directrices del SCPC mencionadas supra deberían contener más orientación a este respecto.

En tercer lugar, las excepciones a los derechos de protección de los datos sólo se aplican temporalmente, mientras sean necesarias para salvaguardar los fines de la «prevención, la investigación, la detección y la represión».

En cuarto lugar, las personas interesadas deben ser informadas de las principales razones en que se basa la limitación y de su derecho a recurrir ante las autoridades nacionales responsables de la protección de datos. La provisión de información puede diferirse mientras esta información prive a la limitación de sus efectos.

En cualquier caso, el Grupo de Trabajo recomienda que toda limitación figure claramente en las declaraciones de las distintas autoridades competentes relativas al derecho a la intimidad.

13.2.- Exenciones y restricciones que debe fijar la Comisión.

El Reglamento CPC prevé posibilidades de limitación similares para la Comisión por lo que se refiere a los derechos de las personas interesadas. Sin embargo, los derechos de la Comisión son más amplios que los de los Estados miembros. En particular, la Comisión puede limitar las disposiciones del Reglamento (CE) n° 45/2001 por lo que se refiere a la calidad de los datos, y puede conservar los datos de tráfico relativos a los usuarios al final de cada llamada o de cualquier otra conexión.

El Grupo de Trabajo destaca que todas las observaciones mencionadas anteriormente con respecto a las limitaciones que pueden ser aplicadas por las autoridades competentes en los Estados miembros se aplican también a la Comisión.

Además, al Grupo de Trabajo le preocupa la posibilidad que el Reglamento CPC confiere a la Comisión de limitar las disposiciones del Reglamento (CE) n° 45/2001 por lo que se refiere a i) la calidad de los datos y ii) la conservación de datos relativos al tráfico.

La posibilidad de limitar los principios fundamentales, como los principios relativos a la calidad de los datos, debe restringirse estrictamente a los casos en los que tal limitación resulte indispensable. En efecto, el Grupo de Trabajo no imagina una situación que justifique limitaciones en el contexto de la cooperación entre las autoridades responsables de la protección de los consumidores, por lo que se refiere por ejemplo a la publicidad engañosa, los viajes combinados o la utilización a tiempo parcial de bienes inmuebles, incluso cuando se produzcan actividades fraudulentas.

Por lo que se refiere a la posible conservación de datos sobre el tráfico por la Comisión, el Grupo de Trabajo no comprende con qué objetivo podría alegarse esta disposición, dado que todos los datos sobre el tráfico que figuran en el SCPC se refieren a intercambios de información entre autoridades competentes y que no hay razón alguna para que la Comisión conserve el contenido de estas comunicaciones más allá de lo permitido (por ejemplo, conservación durante seis meses para permitir la comprobación del uso autorizado). Mientras el contenido de los datos propiamente dicho figure en la base de datos, es legítimo almacenar algunos datos sobre el tráfico, tales como la «fecha de introducción» en el sistema. Una vez que el contenido de la comunicación se borra, por ejemplo cuando se retira una alerta, no es necesario conservar los datos sobre el tráfico.

14.- INFORMACIÓN QUE DEBE PROPORCIONARSE A LA PERSONA INTERESADA

De conformidad con lo dispuesto en los artículos 10 y 11 de la Directiva 95/46/CE, los responsables del tratamiento deben informar a las personas interesadas del tratamiento de sus datos personales. El Reglamento (CE) n° 45/200 establece requisitos similares. Las personas físicas también deben ser informadas, entre otras cosas, de la finalidad del tratamiento, de los destinatarios de los datos y de sus derechos específicos como personas interesadas. El derecho de información es esencial en sí. Además, permite a las personas físicas ejercer otros derechos: si ignoran que se está tratando información que los concierne, no estarán en condiciones de ejercer otros derechos, como el derecho de acceso y rectificación.

Ni el Reglamento CPC, ni la Decisión de aplicación del Reglamento CPC, ni el documento de debate de la Comisión prevén disposiciones relativas a los derechos de información de las personas interesadas (excepto lo que figura en el punto 13 con respecto a las limitaciones). El Grupo de Trabajo recomienda la adopción de un enfoque por etapas.

14.1.- Aviso general relativo al derecho a la intimidad en la página web del SCPC de la Comisión.

En su página web dedicada al SCPC, la Comisión debería incluir un aviso general relativo al derecho a la intimidad que recoja todos los puntos requeridos con arreglo a los artículos 10 y 11 del Reglamento (CE) n° 45/2001. Este aviso también debería contener una descripción del SCPC y de los papeles de la Comisión y las autoridades competentes con un nivel de detalle al menos comparable a las explicaciones proporcionadas en el presente documento. El Grupo de Trabajo recomienda también que este aviso precise expresamente cómo pueden ejercer sus derechos de acceso las personas interesadas y cuáles son las restricciones impuestas a estos derechos, sin enumerar no obstante las distintas limitaciones específicas de los Estados miembros. La declaración relativa al derecho a la intimidad debe redactarse en un lenguaje claro y sencillo, accesible para las personas interesadas que no posean conocimientos en el ámbito de la protección de datos.

14.2.- Aviso general relativo al derecho a la intimidad en las páginas web de las autoridades competentes.

Las autoridades competentes deberían también incluir un aviso general relativo al derecho a la intimidad en su página web. A este respecto, el Grupo de Trabajo señala también que, además de las obligaciones en virtud de la Directiva 95/46/CE, el artículo 4, apartado 8, del Reglamento CPC prevé específicamente que «cada autoridad competente informará al público general sobre sus derechos y responsabilidades con arreglo al presente Reglamento». El aviso relativo al derecho a la intimidad debería incluir una referencia y un enlace al aviso de la Comisión a este respecto, así como otros detalles específicos de la autoridad o el Estado miembro en cuestión. Estos avisos deberán incluir, por ejemplo, las limitaciones nacionales a los derechos de acceso o de información. La difusión del aviso podrá estar coordinada por la oficina de enlace única entre las autoridades competentes en un país determinado.

14.3.- Aviso dirigido directamente a las personas interesadas.

A más tardar en el momento de la introducción de los datos personales, y a menos que pueda aplicarse una limitación (véase el punto 13), también deberá enviarse el aviso a las personas interesadas por otros medios distintos al aviso relativo al derecho a la intimidad en la página web. Esta comunicación podría hacerse incluyendo en toda la correspondencia que se intercambie con la persona interesada (vendedor, director, demandante, testigo, etc.) una breve referencia al SCPC y un enlace hacia los avisos en Internet en materia de derecho a la intimidad.

Si la comunicación de estos avisos individuales resulta imposible o requiere esfuerzos desproporcionados (por ejemplo, si la autoridad competente no dispone de los datos de la persona interesada), puede omitirse tal comunicación. Tal como se indica en el punto 13, el suministro de información también puede diferirse si los derechos de información se ven temporalmente limitados.

15.- DERECHO DE ACCESO DE LAS PERSONAS INTERESADAS A LOS DATOS

El artículo 12, letra a), de la Directiva 95/46/CE establece que los interesados tendrán el derecho de obtener del responsable del tratamiento: i) la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así como información por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios, y ii) la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos.

Además, la letra b) del artículo 12 establece que los interesados tendrán el derecho de obtener del responsable del tratamiento, en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la Directiva 95/46/CE, en particular a causa del carácter incompleto o inexacto de los datos. El Reglamento (CE) n° 45/2001 contiene disposiciones similares.

Ni el Reglamento CPC, ni la Decisión de aplicación del Reglamento CPC, ni el documento de debate de la Comisión contienen disposiciones relativas a los derechos de acceso de las personas interesadas. Se trata en efecto de una cuestión compleja, habida cuenta de los distintos actores implicados en las actividades de tratamiento de los datos.

Varias autoridades competentes, así como la Comisión, tienen acceso a determinados datos personales introducidos en el sistema. A menudo, varios intervinientes tienen acceso a la misma información. En general, por ejemplo, dos autoridades, o a veces más, tienen acceso a las solicitudes de información y ejecución. Algunas autoridades, así como la Comisión, pueden tener acceso a la información sobre alertas. Las personas interesadas pueden dirigirse a varias autoridades para pedir sus derechos de acceso.

La situación es tanto más difícil cuanto que las normas relativas a las limitaciones de acceso varían de un Estado miembro a otro, como se ha visto en el punto 13. Teniendo en cuenta que existen distintas limitaciones a los derechos de acceso en los Estados miembros, es posible que un Estado miembro permita acceder a unos datos, mientras que otro no lo haga. Por tanto, es indispensable que las autoridades competentes cooperen respecto de cada solicitud de acceso que reciban.

Las recomendaciones que el Grupo de Trabajo formula a continuación describen dos situaciones, que requieren medidas de coordinación específicas con el fin de garantizar la conformidad: i) se solicita información a una autoridad competente, pero el hecho de permitir el acceso a estos datos puede influir en las actividades de investigación o ejecución de otra autoridad; y ii) las personas interesadas envían sus solicitudes de acceso a la Comisión.

15.1.- Coordinación entre autoridades competentes.

El Grupo de Trabajo recomienda que, si la concesión de acceso a datos personales puede influir en el procedimiento de investigación o de ejecución realizado por otras autoridades competentes, la autoridad competente a la que se haya presentado la solicitud de acceso deberá solicitar la opinión de estas otras autoridades antes conceder el acceso.

El acceso deberá concederse únicamente si las otras autoridades competentes interesadas han tenido la ocasión de comunicar sus posiciones y se han tenido en cuenta las posibles objeciones a la concesión del acceso basadas en exenciones en virtud de su legislación nacional en materia de protección de datos. Si las autoridades no responden en un plazo razonable o no plantean objeciones, la autoridad a la que se haya presentado la solicitud de acceso podrá decidir en función de su propia legislación nacional si se aplica una exención o si puede concederse el acceso. Si las autoridades no están de acuerdo sobre la concesión del acceso, la autoridad que haya proporcionado la información deberá ser la que fije finalmente los criterios de acceso.

Un mecanismo de cooperación similar debería aplicarse a la rectificación, a la supresión o al bloqueo de los datos.

El Grupo de Trabajo destaca sin embargo que este procedimiento de coordinación no debería utilizarse para denegar arbitrariamente el acceso a las personas interesadas ni para prolongar artificialmente el plazo necesario para la concesión del derecho de acceso. Además, la denegación de este derecho debe justificarse claramente, y la persona interesada debe ser informada de que, en su caso, puede dirigirse a otra autoridad competente para obtener este derecho de acceso.

15.2.- Coordinación entre la Comisión y las autoridades competentes.

Es posible que las personas interesadas envíen sus solicitudes de acceso a la Comisión.

A este respecto, conviene en primer lugar destacar que la Comisión sólo puede proporcionar acceso a los datos a los que ella misma tiene acceso legítimo. No tiene por tanto obligación de proporcionar acceso a solicitudes de información, a solicitudes de ejecución ni a comunicaciones relacionadas. En estos casos, deberá dirigir a las personas interesadas a las autoridades que tienen acceso a la información.

La situación es diferente respecto a la información a la que la Comisión tiene acceso legítimo, por ejemplo la información de alerta o la información de retorno. A este respecto, el Grupo de Trabajo recomienda que, cuando la Comisión reciba una solicitud de acceso, solicite la opinión de la autoridad competente que haya proporcionado la información en primer lugar.

Entonces deberá concederse el acceso solamente si el socio que aporta la información ha tenido la ocasión de comunicar su posición y si se ha examinado cualquier objeción a la concesión del acceso basada en una excepción específica en virtud de su legislación nacional sobre protección de datos. Si el socio que aporta la información no responde en un plazo razonable o si no plantea objeciones, la Comisión puede decidir sobre la base del Reglamento (CE) n° 45/2001 si se aplica una excepción o si puede concederse el acceso.

Además de ponerse en contacto con la autoridad competente que haya proporcionado la información, la Comisión debe también dar a todas las demás autoridades competentes cuyas actividades de investigación o ejecución podrían verse en peligro la oportunidad de expresar sus preocupaciones. Sin embargo, si las autoridades no están de acuerdo sobre la concesión del acceso, la autoridad que haya proporcionado la información deberá ser la que fije finalmente los criterios de acceso.

Un mecanismo similar de cooperación debería aplicarse a la rectificación, la supresión o el bloqueo de los datos.

16.- MEDIDAS DE RECURSO

Sin perjuicio de la disponibilidad de recursos administrativos ante las autoridades nacionales de protección de datos o el SEPD, el artículo 22 de la Directiva 95/46/CE exige a los Estados miembros que prevean que toda persona disponga de un recurso jurisdiccional en caso de violación de los derechos que le garantizan las disposiciones nacionales aplicables sobre protección de datos. El artículo 23, en particular, exige a los Estados miembros que dispongan que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.

Según el análisis del Grupo de Trabajo relativo a los actores del SCPC, tal como se indica en el punto 8, la Comisión, las oficinas de enlace únicas y las autoridades competentes se considerarán responsables del tratamiento por lo que respecta a sus propias tareas y responsabilidades, y responderán por lo que respecta a sus propias funciones, tareas y responsabilidades.

17.- SEGURIDAD

Con arreglo al artículo 22 del Reglamento (CE) n° 45/2001, el responsable del tratamiento pondrá en práctica las medidas de carácter técnico y organizativo adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse. La Directiva 95/46/CE prevé medidas de seguridad similares.

La Comisión, que es el operador del SCPC y responsable del tratamiento designada en virtud del Reglamento CPC, está sujeta a las disposiciones del Reglamento (CE) n° 45/2001.

Considerando, por una parte, que las legislaciones nacionales relativas a la protección de datos están en gran parte armonizadas sobre la base de la Directiva 95/46/CE y, por otra parte, que tal armonización no está completa y que existen algunas diferencias entre los Estados miembros en cuanto al nivel de seguridad aceptable, el Grupo de Trabajo recomienda que las disposiciones del Reglamento (CE) n° 45/2001 en materia de seguridad se interpreten de acuerdo con las mejores prácticas en los Estados miembros. Se debería también fomentar que los Estados miembros aumenten la seguridad del acceso por parte de las autoridades competentes.

Si se produce una violación de la seguridad o la confidencialidad, las personas interesadas podrían quejarse al SEPD, que tiene poderes de supervisión sobre la Comisión, de acuerdo con las disposiciones del Reglamento (CE) n° 45/2001 puede también realizar por iniciativa propia una inspección de la seguridad o una auditoría de la base de datos. Estas operaciones pueden tener lugar tanto en el marco del procedimiento de control previo contemplado en el punto 18 infra como fuera del mismo.

18.- NOTIFICACIÓN Y CONTROL PREVIO

18.1.- Autoridades nacionales responsables de la protección de datos.

En aplicación de los artículos 18, 19 y 20 de la Directiva 95/46/CE, las autoridades competentes de varios Estados miembros deben notificar sus operaciones de tratamiento en el marco del SCPC a las autoridades nacionales responsables de la protección de datos. En algunos Estados miembros, es posible que las operaciones de tratamiento deban ser controladas de antemano por estas autoridades.

En los Estados miembros que prevén tal procedimiento, las operaciones de tratamiento están sometidas al control previo por parte de las autoridades nacionales, puesto que pueden presentar riesgos específicos respecto a los derechos y libertades de las personas en cuestión.

Este el caso, por ejemplo, cuando la legislación nacional exige que el tratamiento de datos relativos a infracciones penales o presuntas infracciones penales sea objeto de un control previo. En cuanto a saber si estas operaciones de tratamiento están sujetas al requisito del control previo, esto depende de la legislación nacional y de la práctica de la autoridad nacional responsable de la protección de datos.

18.2.- Control previo por el SEPD.

La información intercambiada contiene datos personales relativos a delitos, presuntos delitos, condenas penales, y también posiblemente medidas de seguridad. Habida cuenta de la naturaleza de los datos y del papel de la Comisión en el caso presente, la base de datos debería someterse al control previo con arreglo al artículo 27, apartado 2, letra a), del Reglamento (CE) n° 45/2001.

El tratamiento también está sujeto al artículo 27, apartado 2, letra b), de dicho Reglamento, que prevé que los tratamientos «destinados a evaluar aspectos de la personalidad del interesado, como su competencia, rendimiento o conducta» están sujetos al control previo del SEPD. En efecto, los datos contenidos en el SCPC podrán utilizarse para evaluar el comportamiento de las personas físicas (comerciantes, directores, y quizá también miembros del personal u otros) que supuestamente están implicados en infracciones, con el fin de determinar las medidas adecuadas que deben adoptarse (medidas de investigación o ejecución).

El control previo es tanto más necesario cuanto que: i) los detalles de la base de datos no se fijaron en un Reglamento o una Directiva de alto nivel del Parlamento y el Consejo; ii) el SEPD no aconsejó a los legisladores durante el proceso legislativo; y iii) se ha designado a la Comisión responsable del tratamiento en virtud del Reglamento CPC.

Como el sistema ya está en funcionamiento, el SEPD deberá realizar el examen del control previo a posteriori.

18.3.- Coordinación de los procedimientos de notificación y control previo.

Habida cuenta de que las autoridades competentes, así como la Comisión, son responsables del tratamiento, y que en algunos Estados miembros existen varias autoridades competentes, el Grupo de Trabajo recomienda que los procedimientos de control previo se coordinen entre las autoridades nacionales responsables de la protección de datos y el SEPD, para poder desarrollar un enfoque coherente.

19.- TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES

El artículo 14, apartado 2, del Reglamento CPC prevé que la información comunicada con arreglo al Reglamento CPC «podrá también transmitir[se] a la autoridad de un tercer país en el marco de un acuerdo bilateral de asistencia mutua con dicho país, siempre que la autoridad competente que envió inicialmente la información dé su consentimiento y de conformidad con la legislación comunitaria en materia de protección de las personas respecto del tratamiento de datos personales.»

De conformidad con lo dispuesto en el artículo 25 de la Directiva 95/46/CE, las transferencias a un país tercero sólo pueden tener lugar si el país tercero en cuestión garantiza un nivel de protección adecuado. El artículo 26 de la Directiva 95/46/CE prevé algunas excepciones a este principio. Entre éstas figura la del artículo 26, apartado 1, letra d), que prevé que «la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante». El apartado 2 del artículo 26 prevé por otro lado que los Estados miembros podrán autorizar transferencias cuando el responsable del tratamiento ofrezca garantías suficientes, en particular mediante cláusulas contractuales apropiadas.

La ejecución y la interpretación de estas disposiciones pueden variar de un Estado miembro a otro. Por tanto, el Grupo de Trabajo acoge con satisfacción que el Reglamento CPC someta expresamente toda transferencia de datos hacia un tercer país al consentimiento de la autoridad competente que haya proporcionado la información inicialmente.

El Grupo de Trabajo recomienda por otro lado a los Estados miembros que velen por que los acuerdos de asistencia bilateral con terceros países se revisen con el fin de prever garantías adecuadas relativas a la protección de datos.

20.- CONCLUSIONES

En conclusión, el Grupo de Trabajo se felicita por que el SCPC disponga de una base jurídica adecuada, se establezca para fines legítimos y pueda servir de instrumento para la protección de datos con el fin de contribuir a la cooperación entre las autoridades competentes y la Comisión, siempre que se tengan en cuenta plenamente las recomendaciones del Grupo de Trabajo.

Dicho esto, el Grupo de Trabajo reitera su pesar por no haber sido consultado en una fase anterior del procedimiento, antes de la adopción del Reglamento CPC, de la Decisión de aplicación de este Reglamento y del inicio del funcionamiento del SCPC.

De momento, sobre la base del texto actual del Reglamento CPC, el Grupo de Trabajo recomienda varias medidas que deberían ser adoptadas por la Comisión y las autoridades competentes para mejorar la conformidad con las disposiciones en materia de protección de datos. En algunos casos, la adopción de medidas puede exigir el recurso al procedimiento reglamentario y la emisión de una nueva Decisión de aplicación del Reglamento CPC con la ayuda del Comité. Otras recomendaciones podrían aplicarse a un nivel más operativo, por la Comisión, a través de las directrices del SCPC y mediante la formación impartida a los agentes responsables de la ejecución, así como mediante modificaciones de la arquitectura del SCPC.

El Grupo de Trabajo destaca también que, en el marco del funcionamiento y la utilización del sistema, las autoridades competentes y la Comisión deben ser conscientes de la naturaleza especial de su papel de control, así como de la diversidad de las legislaciones aplicables en materia de protección de datos y la diversidad de las autoridades de control. Deben esforzarse en cooperar plenamente para garantizar el respeto de las legislaciones sobre protección de datos.

El Grupo de Trabajo recomienda en particular lo siguiente:

• Los agentes responsables de la ejecución que trabajan para las autoridades competentes deberían evaluar caso por caso la conformidad con los principios de protección de datos.

* Para ayudar a la toma de decisiones, la Comisión debería elaborar y difundir directrices para el SCPC.

* Siempre que sea posible, las características técnicas del SCPC deberían adaptarse con el fin de incluir recordatorios y otras medidas técnicas para contribuir a la conformidad con los principios de la protección de datos.

* Los principios de la protección de datos deberían integrarse en la formación de los agentes responsables de la ejecución.

• Los fines para los que las autoridades competentes y la Comisión pueden tener acceso a la base de datos deberían limitarse y especificarse claramente. La Comisión no debería tener acceso a las solicitudes de información y ejecución (excepto la información de retorno importante), y su acceso a la información registrada como confidencial debe también limitarse a los casos para los que tal acceso sea necesario y proporcionado.

• Los agentes responsables de la ejecución deberían limitar la introducción de datos personales a lo estrictamente necesario a efectos de la eficacia de la cooperación. Esto se aplica en particular a la información relativa a los directores, así como a todos los demás datos personales que figuran en los documentos adjuntos y en los breves resúmenes.

• Los agentes responsables de la ejecución deberían también abstenerse de difundir las alertas o las solicitudes de asistencia mutua más ampliamente de lo que sea estrictamente necesario.

• Deberían adoptarse medidas con el fin de comprobar periódicamente la exactitud de los datos introducidos en la base de datos.

• Los agentes responsables de la ejecución deberían evaluar periódicamente la necesidad de conservar la información. La lógica de la conservación y la supresión de los datos debería invertirse: tras un recordatorio (o eventualmente recordatorios repetidos y períodos de gracia razonables), los datos deberían suprimirse automáticamente, salvo si las autoridades competentes confirman que aún no han cerrado el caso.

• Las personas interesadas deben ser informadas de que sus datos se han introducido en el SCPC, mediante un enfoque por etapas, que incluye avisos en la página web y también información comunicada directamente a los interesados. Este derecho no debería limitarse sistemáticamente, ya que las limitaciones a un derecho fundamental no pueden aplicarse sistemáticamente. Lo mismo sucede con el derecho de acceso. Debe establecerse un mecanismo de cooperación eficaz para proporcionar acceso a las personas interesadas.

• Deberían adoptarse medidas de seguridad de acuerdo con las mejores prácticas en los Estados miembros.

• El SCPC debe estar sujeto al control previo del SEPD, así como a las autoridades responsables de la protección de datos en algunos Estados miembros. Deberá informarse a otras autoridades nacionales responsables de la protección de datos. Los procedimientos de control previo deben coordinarse.

Hecho en Bruselas, el 21 de septiembre de 2007

Por el Grupo de Trabajo

El Presidente

Peter Schaar

———————————————————————————————

(1) No todas las actividades de cooperación e intercambios de información previstos por el Reglamento CPC deben pasar obligatoriamente por la base de datos del SCPC. Por ejemplo, el capítulo IV prevé una cooperación en materia de formación e intercambio de los responsables de la aplicación de la protección de los consumidores. Puesto que el intercambio de información vinculado a estas actividades no está incluido en el ámbito de aplicación del SCPC, no se aborda en el presente documento.

(2) El artículo 3, inciso i), del Reglamento CPC define las actividades de vigilancia del mercado como «las acciones de una autoridad competente encargada de detectar las infracciones intracomunitarias que se producen en su territorio».

(3) Si la Comisión participa en investigaciones transfronterizas que implican a más de dos países, con arreglo al artículo 9, apartado 3, y previa invitación de las autoridades competentes, deberá recibir información sobre el caso en cuestión. Además, con arreglo al artículo 8, apartado 5 y al artículo 15, apartado 5, la Comisión deberá también tener acceso a determinada información relativa a las solicitudes de asistencia mutua siempre que deba contribuir a resolver conflictos entre autoridades requirentes y requeridas.

(4 ) Este principio admite algunas excepciones. La información confidencial, si fuere necesario, puede utilizarse siempre que la Comisión deba resolver conflictos y siempre que participe en una investigación (véase el artículo 8, apartado 5; el artículo 9, apartado 3; y el artículo 15, apartado 5, del Reglamento CPC).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 47, apartado 2, frases primera y tercera, y su artículo 95,

Vista la propuesta de la Comisión,

Consultado el Comité Económico y Social Europeo,

Visto el dictamen del Banco Central Europeo (1),

De conformidad con el procedimiento establecido en el artículo 251 del Tratado (2),

Considerando lo siguiente:

(1) Es fundamental, para el establecimiento del mercado interior, que desaparezcan todas las fronteras internas de la Comunidad, a fin de permitir la libre circulación de bienes, personas, servicios y capitales. Para ello es vital el correcto funcionamiento del mercado único de los servicios de pago. Sin embargo, en la actualidad, la falta de armonización en este ámbito impide el funcionamiento de dicho mercado.

(2) Hoy en día, los mercados de servicios de pago de los Estados miembros están organizados de manera independiente, según criterios nacionales, y el marco jurídico de los servicios de pago se encuentra fragmentado en 27 regímenes nacionales.

(3) Las diferentes disposiciones comunitarias ya adoptadas en este ámbito, a saber, la Directiva 97/5/CE del Parlamento Europeo y del Consejo, de 27 de enero de 1997, relativa a las transferencias transfronterizas (3), y el Reglamento (CE) nº 2560/2001 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2001, sobre los pagos transfronterizos en euros (4), no han remediado suficientemente estasituación, como tampoco lo ha hecho la Recomendación 87/598/CEE de la Comisión, de 8 de diciembre de 1987, sobre un código europeo de buena conducta en materia de pago electrónico (relaciones entre financieros, comerciantes-organismos prestadores de servicios y consumidores) (5), la Recomendación 88/590/CEE de la Comisión, de 17 de noviembre de 1988, relativa a los sistemas de pago y en particular a las relaciones entre titulares y emisores de tarjetas (6), o la Recomendación 97/489/CE de la Comisión, de 30 de julio de 1997, relativa a las transacciones efectuadas mediante instrumentos electrónicos de pago, en particular, las relaciones entre emisores y titulares de tales instrumentos (7). Estas medidas siguen siendo insuficientes.

Además, la coexistencia de disposiciones nacionales y un marco comunitario incompleto da lugar a confusiones y a la ausencia de seguridad jurídica.

(4) Es, por lo tanto, de importancia vital establecer a escala comunitaria un marco jurídico moderno y coherente para los servicios de pago, sean o no compatibles dichos servicios con el sistema que resulte de la iniciativa del sector financiero a favor de una zona única de pagos en euros, que sea neutra y garantice la igualdad de condiciones para todos los sistemas de pago, con el fin de preservar la elección del consumidor, y que debe suponer para el consumidor un avance considerable en términos de coste, seguridad y eficiencia en comparación con los sistemas nacionales existentes en la actualidad.

(5) Dicho marco jurídico debe garantizar la coordinación de las disposiciones nacionales en materia de requisitos prudenciales, acceso al mercado de los nuevos proveedores de servicios de pago, requisitos de información y derechos y obligaciones respectivos de los usuarios y proveedores de estos servicios. Dentro de este marco deben mantenerse las disposiciones del Reglamento (CE) nº 2560/2001, en virtud del cual se creó un mercado único de pagos en euros en lo relativo a los precios. Las disposiciones contempladas en la Directiva 97/5/CE y las recomendaciones formuladas en las Recomendaciones 87/598/CEE, 88/590/CEE y 97/489/CE deben integrarse en un único texto de carácter vinculante.

(6) Sin embargo, no es conveniente que este marco jurídico sea exhaustivo. Su aplicación debe limitarse a los proveedores de servicios de pago cuya actividad principal sea la prestación de servicios de pago a los usuarios de dichos servicios. Tampoco procede hacerlo aplicable a aquellos servicios en los cuales la transferencia o el transporte de fondos del ordenante al beneficiario se efectúan exclusivamente por medio de billetes de banco y monedas, o cuando la transferencia se realiza mediante cheques en papel, letras, pagarés u otro instrumento, vales en papel o tarjetas extendidas por un proveedor de servicios de pago o por otras partes a fin de poner fondos a disposición del beneficiario. Además, debe establecerse una diferencia en el caso de medios ofrecidos por operadores de telecomunicaciones, de tecnologías de la información y de redes para facilitar la adquisición de bienes o servicios digitales, tales como tonos de llamada, música o prensa digital, además de los servicios vocales tradicionales y su distribución a dispositivos digitales. El contenido de dichos bienes o servicios puede haber sido producido por un tercero o por el operador, que puede haberle añadido valor intrínseco en forma de facilidades de acceso, distribución o búsqueda. En este último caso, si los bienes o servicios son distribuidos por uno de estos operadores o, por motivos técnicos, por un tercero, y cuando solo pueden utilizarse mediante dispositivos digitales tales como teléfonos móviles u ordenadores, no se aplicará el citado marco jurídico, habida cuenta de que la actividad del operador va más allá de una simple operación de pago. Procede, sin embargo, aplicar dicho marco jurídico a los casos en los que el operador se limita a actuar como intermediario que simplemente se encarga de que se realice el pago a un tercero, el proveedor.

(7) El envío de dinero constituye un sencillo servicio de pago que se basa, por lo general, en el efectivo entregado por un ordenante a un prestador de servicios de pago, que remite la cantidad correspondiente, por ejemplo, mediante redes de comunicación, a un beneficiario o a otro prestador de servicios de pago que actúe por cuenta del beneficiario. En algunos Estados miembros existen supermercados, comerciantes y otros minoristas que prestan al público un servicio correspondiente que permite pagar servicios y otras facturas domésticas periódicas. Estos servicios de pago de facturas deben considerarse como servicio de envío de dinero, tal como se define en la presente Directiva, salvo que las autoridades competentes consideren la actividad como correspondiente a otro tipo de servicio de pago de los recogidos en el anexo.

(8) Es preciso especificar las categorías de proveedores de servicios de pago que pueden legítimamente prestar servicios de pago en toda la Comunidad, a saber, las entidades de crédito que acepten depósitos de los usuarios a fin de financiar operaciones de pago, las cuales deben seguir sometidas a los requisitos prudenciales contemplados en la Directiva 2006/48/CE del Parlamento Europeo y del Consejo, de 14 de junio de 2006, relativa al acceso a la actividad de las entidades de crédito y a su ejercicio (8), las entidades de dinero electrónico que emiten dinero electrónico a fin de financiar operaciones de pago, las cuales deben seguir sometidas a los requisitos prudenciales contemplados en la Directiva 2000/46/CE del Parlamento Europeo y del Consejo, de 18 de septiembre de 2000, sobre el acceso a la actividad de las entidades de dinero electrónico y su ejercicio así como la supervisión cautelar de dichas entidades (9) , y las instituciones de giro postal con derecho a prestar servicios de pago conforme a la legislación nacional.

(9) La presente Directiva debe establecer las normas de ejecución de las operaciones de pago cuando los fondos sean dinero electrónico, tal como establece el artículo 1, apartado 3, letra b), de la Directiva 2000/46/CE. La presente Directiva no debe regular, sin embargo, la emisión de dinero electrónico ni modificar la reglamentación en materia de supervisión cautelar de las entidades de dinero electrónico, establecida mediante la Directiva 2000/46/CE.

Por consiguiente, las entidades de pago no deben estar autorizadas a emitir dinero electrónico.

(10) Sin embargo, y a fin de eliminar los obstáculos jurídicos a la entrada en el mercado, es preciso establecer una licencia única para todos los proveedores de servicios de pago que no ejerzan actividades de aceptación de depósitos o de emisión de dinero electrónico. Es, por tanto, conveniente introducir una nueva categoría de proveedores de servicios de pago, «las entidades de pago», que contemple la autorización, sujeta a una serie de requisitos estrictos y generales, de personas jurídicas no pertenecientes a las categorías existentes a prestar servicios de pago en toda la Comunidad. De este modo se aplicarán en toda la Comunidad los mismos requisitos a este tipo de servicios.

(11) Entre las condiciones para la concesión y conservación de autorizaciones a las entidades de pago deben figurar requisitos prudenciales que sean proporcionados con respecto a los riesgos operativos y financieros que afrontan este tipo de entidades en el ejercicio de sus actividades. En este contexto, debe garantizarse un sólido régimen de capital inicial combinado con un capital permanente que pueda elaborarse de manera más compleja a su debido tiempo, dependiendo de las necesidades del mercado.

Debido a la amplia gama de los diversos servicios de pago, la presente Directiva debe ofrecer margen para emplear varios métodos, junto con una cierta amplitud en la discrecionalidad en el ejercicio de la supervisión, a fin de garantizar que, a igualdad de riesgo, reciban el mismo trato todos los proveedores de servicios de pago. Los requisitos para las entidades de pago deben reflejar el hecho de que ejercen actividades más especializadas y limitadas, tales que generan riesgos más limitados y de más fácil supervisión y control que los que se plantean en toda la gama más amplia de actividades propias de las entidades de crédito. En particular, debe prohibirse a las entidades de pago la aceptación de depósitos de usuarios, y debe autorizárseles la utilización de fondos recibidos de los usuarios únicamente a efectos de prestación de servicios de pago. Debe establecerse que los fondos de los clientes se mantengan separados de los fondos de las entidades de pago destinados a otras actividades comerciales. Las entidades de pago deben asimismo ser objeto de requisitos eficaces en materia de lucha contra el blanqueo de dinero y la financiación del terrorismo.

(12) Las entidades de pago deben elaborar sus cuentas anuales y consolidadas de conformidad con la Directiva 78/660/CEE del Consejo, de 25 de julio de 1978, relativa a las cuentas anuales de determinadas formas de sociedades (10), y, cuando proceda, con la Directiva 83/349/CEE del Consejo, de 13 de junio de 1983, relativa a las cuentas consolidadas (11), y la Directiva 86/635/CEE del Consejo, de 8 de diciembre de 1986, sobre las cuentas anuales y las cuentas consolidadas de los bancos y de otras entidades financieras (12). Las cuentas anuales y las cuentas consolidadas deben ser sometidas a auditoría, a menos que la entidad de pago haya quedado exenta de esta obligación, en virtud de la Directiva 78/660/CEE y, cuando proceda, de las Directivas 83/349/CEE y 86/635/CEE.

(13) La presente Directiva debe regular la concesión de créditos por las entidades de pago, es decir, la concesión de líneas de crédito y expedición de tarjetas de crédito, solamente en la medida en que esté estrechamente ligada a servicios de pago. Solo si el crédito se concede por la entidad de pago para facilitar servicios de pago y si son créditos a corto plazo y concedidos por un período no superior a doce meses, inclusive de modo rotativo, procede permitir a las entidades de pago que concedan dichos créditos para las actividades transfronterizas con la condición de que se refinancien principalmente utilizando los fondos propios de la entidad de pago, y otros fondos procedentes de mercados de capitales, pero no los fondos depositados por los clientes para operaciones de pago. Lo anteriormente expuesto se entiende sin perjuicio de la Directiva 87/102/CEE del Consejo, de 22 de diciembre de 1986, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de crédito al consumo (13), u otra normativa pertinente a nivel nacional o comunitario por lo que respecta a condiciones de concesión de créditos a los consumidores no armonizadas por la presente Directiva.

(14) Es preciso que los Estados miembros designen a las autoridades responsables de conceder autorizaciones a las entidades de pago, efectuar controles y decidir sobre la posible retirada de dichas autorizaciones. A fin de garantizar la igualdad de trato, los Estados miembros no deben aplicar a las entidades de pago requisito alguno adicional a los contemplados en la presente Directiva. Sin embargo, todas las decisiones adoptadas por las autoridades competentes deben poder ser objeto de recurso ante los tribunales. Por otra parte, las tareas de las autoridades competentes no deben ir en perjuicio de la vigilancia de los sistemas de pago, la cual, de conformidad con lo dispuesto en el artículo 105, apartado 2, cuarto guión, del Tratado, es tarea que incumbe al Sistema Europeo de Bancos Centrales.

(15) Dada la conveniencia de registrar la identidad y paradero de todas las personas que presten servicios de envío de dinero y de conceder a todas cierto grado de reconocimiento, con independencia de su capacidad de cumplir íntegramente los requisitos para su autorización como entidades de pago, de modo que no se vean obligadas a pasar a la economía sumergida y de que todas las personas que presten servicios de envío de dinero entren dentro de un marco dotado con un mínimo de requisitos legales y reglamentarios, es conveniente y se atiene a la lógica de la Recomendación especial VI del Grupo de Acción Financiera Internacional sobre el blanqueo de capitales (GAFI), establecer un mecanismo que permita tratar como entidades de pago a aquellos proveedores de servicios de pago que no puedan cumplir todos los requisitos a tal fin. Para ello, los Estados miembros deben incluir a dichas personas en un registro de entidades de pago sin por ello aplicarles todos o parte de los requisitos para su autorización. No obstante, es fundamental que la posibilidad de conceder excepciones se supedite a requisitos estrictos sobre el volumen de las operaciones de pago. Las entidades de pago que se beneficien de una excepción no deben disponer del derecho de establecimiento ni de la libre prestación de servicios, ni deben ejercer indirectamente estos derechos en tanto en cuanto sean miembros de un sistema de pago.

(16) Para los proveedores de servicios de pago resulta fundamental poder acceder a servicios de infraestructuras técnicas de sistemas de pago. No obstante, el acceso debe estar supeditado al cumplimiento de los requisitos pertinentes con el fin de garantizar la integridad y estabilidad de dichos sistemas. Todo proveedor de servicios de pago que solicite su inclusión en un sistema de pago debe demostrar a los participantes en el sistema de pago que sus procedimientos internos son tan sólidos como para enfrentarse a todo tipo de riesgo. Estos sistemas de pago incluyen normalmente, por ejemplo, el sistema cuatripartito de las tarjetas así como los principales sistemas de tratamiento de las transferencias y de adeudos domiciliados.

A fin de garantizar en toda la Comunidad la igualdad de trato entre las diferentes categorías de proveedores autorizados de servicios de pago con arreglo a las condiciones contempladas en su licencia, es preciso clarificar las normas que rigen el acceso a la actividad de prestación de servicios de pago y el acceso a los sistemas de pago. Conviene establecer disposiciones en materia de trato no discriminatorio de las entidades de pago autorizadas y las entidades de crédito, de tal forma que todo proveedor de servicios de pago que opere en el mercado interior pueda recurrir a los servicios de las infraestructuras técnicas de dichos sistemas de pago en igualdad de condiciones. Es preciso establecer diferencias de trato entre los proveedores autorizados de servicios de pago y los que se beneficien de una excepción de conformidad con la presente Directiva, así como de las excepciones contempladas en el artículo 8 de la Directiva 2000/46/CE, debido a las diferencias entre ellos en el marco de la supervisión prudencial. En cualquier caso, deben permitirse diferencias en las condiciones de precio solo cuando estén motivadas por diferencias de costes inducidas por los proveedores de servicios de pago. Dichas disposiciones se entienden sin perjuicio de las prerrogativas de los Estados miembros en la limitación del acceso a sistemas de pago de importancia sistémica, con arreglo a la Directiva 98/26/CE del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, sobre la firmeza de la liquidación en los sistemas de pagos y de liquidación de valores (14), y sin perjuicio de las competencias del Banco Central Europeo y del Sistema Europeo de Bancos Centrales (SEBC), tal como establece el artículo 105, apartado 2, del Tratado y los artículos 3.1 y 22 del Estatuto del SEBC, relativos al acceso a sistemas de pago.

(17) Las disposiciones relativas al acceso a los sistemas de pago no deben aplicarse a los sistemas que han sido creados y son utilizados por un único proveedor de servicios de pago.

Estos sistemas de pago pueden utilizarse, bien compitiendo directamente con los sistemas de pago, bien, más frecuentemente, en un sector de mercado que no esté cubierto de forma adecuada por sistemas de pago. Estos sistemas de pago incluyen normalmente sistemas tripartitos, tales como los sistemas tripartitos de tarjeta, servicios de pago ofrecidos por proveedores de telecomunicaciones o servicios de envío de dinero en los que el operador del sistema es el proveedor de servicios de pago tanto para el ordenante como para el beneficiario, así como sistemas internos de grupos bancarios. Con el fin de estimular la competencia que puedan introducir tales sistemas de pago con respecto a los sistemas de pago mayoritarios establecidos, no procede en principio conceder acceso a terceros a dichos sistemas de pago. No obstante, dichos sistemas deben estar siempre sujetos a las normas comunitarias y nacionales de defensa de la competencia, que pueden requerir que se permita el acceso a esos sistemas con el fin de mantener una competencia efectiva en los mercados de servicios de pago.

(18) Es preciso establecer un conjunto de normas que garanticen la transparencia de las condiciones y los requisitos de información aplicables a los servicios de pago.

(19) La presente Directiva no debe aplicarse ni a las operaciones de pago efectuadas en efectivo, dado que existe ya un mercado único para los servicios de pago en efectivo, ni a las operaciones de pago efectuadas por medio de cheques en papel, toda vez que dichas operaciones, por su propia naturaleza, no pueden procesarse con la eficiencia de otros medios de pago. Sería conveniente, no obstante, que las buenas prácticas en la materia se inspiraran en los principios enunciados en la presente Directiva.

(20) Dado que los consumidores y las empresas no están en la misma posición, no deben disponer del mismo nivel de protección. Si bien procede garantizar los derechos de los consumidores mediante disposiciones con respecto a las cuales no pueden establecerse excepciones en los contratos, resulta razonable dejar a las empresas y organizaciones que convengan lo que estimen conveniente. No obstante, los Estados miembros deben disponer de la facultad de establecer que las microempresas, según la definición recogida en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (15), reciban el mismo trato que los consumidores. Determinadas disposiciones esenciales de la presente Directiva deben aplicarse en todos los casos, sea cual fuere el tipo de usuario.

(21) La presente Directiva debe especificar las obligaciones impuestas a los proveedores de servicios de pago al facilitar información a los usuarios de dichos servicios, los cuales deben recibir información de un mismo nivel de claridad sobre los servicios de pago a fin de poder elegir con información suficiente y comparar precios dentro de la UE.

En interés de la transparencia, la presente Directiva debe establecer los requisitos armonizados necesarios para garantizar el suministro de la información necesaria y suficiente a los usuarios de servicios de pago en relación con el contrato de servicio de pago y con las operaciones de pago. Para promover un funcionamiento correcto del mercado interior de los servicios de pago, los Estados miembros no deben poder adoptar disposiciones en materia de información que difieran de las establecidas en la presente Directiva.

(22) Procede proteger a los consumidores contra prácticas comerciales engañosas y desleales, tal como establece la Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior (16), así como la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (17), y la Directiva 2002/65/CE del Parlamento Europeo y del Consejo, de 23 de septiembre de 2002, relativa a la comercialización a distancia de servicios financieros destinados a los consumidores (18). Las disposiciones adicionales de esas Directivas siguen siendo aplicables. No obstante, conviene aclarar la relación entre la presente Directiva y la Directiva 2002/65/CE por lo que se refiere a los requisitos de información precontractual.

(23) La información requerida debe ser proporcionada a las necesidades de los usuarios y comunicarse de modo normalizado. Sin embargo, los requisitos en materia de información aplicables a una operación de pago individual deben ser diferentes de los aplicables a un contrato marco que contemple una sucesión de operaciones de pago.

(24) En la práctica, los contratos marco y las operaciones de pago en el marco de dichos contratos son mucho más frecuentes y tienen mayor importancia económica que las operaciones de pago individual. Si existe una cuenta de pago o un instrumento de pago específico, se requiere un contrato marco. Por lo tanto, los requisitos en materia de información previa sobre contratos marco deben ser bastante exhaustivos y la información debe facilitarse por escrito o a través de otros soportes duraderos, tales como impresos obtenidos mediante impresoras de extractos, disquetes, CD-ROM, DVD y discos duros de ordenadores personales en los que se almacenen correos electrónicos y sitios de internet, en la medida en que para futuras referencias se pueda acceder a dichos sitios durante un período de tiempo adecuado a efectos de información, y que permitan la reproducción sin cambios de la información archivada. No obstante, el contrato marco entre el proveedor de servicios de pago y el usuario del servicio de pago puede estipular la forma en que se ofrece la información ulterior correspondiente a las operaciones de pago ejecutadas, por ejemplo que, por lo que respecta a las operaciones bancarias por internet, toda la información sobre cuentas de pago esté disponible en línea.

(25) Por lo que se refiere a las operaciones de pago individual, solo se ofrecerá la información esencial sobre la base de la propia iniciativa del proveedor del servicio de pago. Habida cuenta de que el ordenante está normalmente presente cuando da la orden de pago, no es necesario disponer que la información deba facilitarse en cada caso por escrito o mediante otro soporte duradero. El proveedor del servicio de pago podría ofrecer información oral in situ o hacer que la información esté fácilmente disponible, por ejemplo mediante difusión de las condiciones en un tablón de anuncios en el edificio. También debe informarse sobre si se puede acceder a información adicional más detallada (por ejemplo, direcciones de sitios de internet). No obstante, si así lo solicita el consumidor, la información esencial debe proporcionarse por escrito o mediante otro soporte duradero.

(26) La presente Directiva debe disponer el derecho de los consumidores a recibir información pertinente gratuita antes de comprometerse mediante un contrato de servicios de pago. El consumidor también debe poder solicitar que se le facilite por escrito gratuitamente la información previa y el contrato marco en cualquier momento a lo largo de la relación contractual, de forma que pueda comparar los servicios y las condiciones ofrecidas por los proveedores de servicios de pago y, en caso de litigio, comprobar sus derechos y obligaciones contractuales. Estas disposiciones deben ser compatibles con la Directiva 2002/65/CE. Lo dispuesto explícitamente en la presente Directiva en materia de información gratuita no debe tener como consecuencia que se permita imponer tasas por facilitar información a los consumidores con arreglo a otras Directivas aplicables.

(27) La forma en que el proveedor de servicios de pago facilite la información necesaria al usuario del servicio de pago debe tener en cuenta las necesidades de este último, así como aspectos técnicos de carácter práctico y de coste-beneficio en función de la situación con respecto al acuerdo del contrato respectivo de servicio de pago. Así pues, la presente Directiva debe distinguir entre las dos formas en las que el proveedor de servicios de pago debe facilitar la información, es decir, que o bien el proveedor de servicios de pago debe comunicarla de forma activa en el momento adecuado, tal como establece la presente Directiva, sin que el usuario del servicio de pago tenga que tomar ninguna iniciativa, o bien la información se debe poner a disposición del usuario de servicio de pago, tomando en consideración toda posible solicitud presentada en el sentido de obtener información adicional. En este último caso, el usuario del servicio de pago debe adoptar alguna medida activa para obtener la información, tales como solicitarla explícitamente del proveedor de servicios de pago, entrar en la cuenta de correo electrónico de la cuenta bancaria o introducir su tarjeta bancaria en una impresora de extractos de cuenta. A estos efectos, el proveedor de servicios de pago debe garantizar la posibilidad de acceso a la información y que la información esté a disposición del usuario del servicio de pago.

(28) Además, el consumidor debe recibir información básica sobre las operaciones de pago efectuadas sin gastos suplementarios. Por lo que respecta a las operaciones de pago individual, el proveedor de servicios de pago no debe facturar separadamente esta información. De la misma forma, debe ofrecerse gratuitamente la información mensual ulterior sobre operaciones de pago con arreglo al contrato marco. No obstante, habida cuenta de la importancia de la transparencia en el establecimiento de precios y de las distintas exigencias de los clientes, las partes deben poder convenir la facturación de gastos si se trata de información adicional o proporcionada con mayor frecuencia. Para tener en cuenta las diferentes prácticas nacionales, los Estados miembros deben estar autorizados a establecer normas por las cuales los extractos mensuales de las cuentas de pago en papel deban ofrecerse siempre gratuitamente.

(29) A fin de facilitar la movilidad de los clientes, los consumidores deben tener la posibilidad de rescindir un contrato marco después de un año de vigencia sin incurrir en gastos. Por lo que respecta a los consumidores, no debe convenirse un plazo de notificación previa superior a un mes y, por lo que respecta a los proveedores de servicios de pago, dicho plazo no puede ser inferior a dos meses. La presente Directiva debe entenderse sin perjuicio de la obligación del proveedor de servicios de pago de cancelar el contrato de servicios de pago en circunstancias excepcionales, con arreglo a otra normativa nacional o comunitaria pertinente, tales como la normativa en materia de blanqueo de capitales y financiación del terrorismo, cualquier acción que tenga por objetivo la congelación de fondos o cualquier otra medida específica en relación con la prevención e investigación de delitos.

(30) Los instrumentos de pagos de escasa cuantía deben constituir una alternativa barata y fácilmente accesible en el caso de los bienes y servicios de precio reducido, y no deben someterse a requisitos excesivos. Los requisitos y normas pertinentes de información sobre su ejecución deben limitarse, por consiguiente, a la información esencial, habida cuenta de las características técnicas que pueden razonablemente esperarse de instrumentos dedicados a pagos de escasa cuantía. A pesar de ser un régimen más ligero, los usuarios de servicios de pago deben beneficiarse de la protección adecuada habida cuenta de los riesgos limitados que plantea dicho tipo de instrumentos de pago, en particular cuando se trata de instrumentos de prepago.

(31) Para reducir los riesgos y las consecuencias de operaciones de pago no autorizadas o que hayan sido ejecutadas incorrectamente, el usuario del servicio de pago debe informar al proveedor de servicios de pago lo antes posible sobre sus posibles reclamaciones en relación con las supuestas operaciones de pago no autorizadas o que hayan sido ejecutadas incorrectamente, siempre y cuando el proveedor de servicios de pago haya respetado sus obligaciones de información con arreglo a la presente Directiva. Si el usuario del servicio de pago respeta el plazo de la notificación, debe tener la posibilidad de presentar esa reclamación respetando los plazos de prescripción aplicables con arreglo al Derecho nacional. La presente Directiva no debe afectar a otras reclamaciones entre usuarios de servicios de pago y proveedores de servicios de pago.

(32) A fin de ofrecer incentivos para que el usuario de servicios de pago comunique sin demora a su proveedor toda pérdida o robo de un instrumento de pago y reducir así el riesgo de operaciones de pago no autorizadas, el usuario solo debe ser responsable por un importe limitado, salvo en caso de fraude o grave negligencia por parte del usuario del servicio de pago. Asimismo, una vez que el usuario haya comunicado al proveedor de servicios de pago que su instrumento de pago puede haber sido objeto de uso fraudulento, no deben exigírsele responsabilidades por las ulteriores pérdidas que pueda ocasionar el uso no autorizado del instrumento. La presente Directiva se entiende sin perjuicio de la responsabilidad de los proveedores de servicios de pago por la seguridad técnica de sus propios productos.

(33) A la hora de evaluar las posibles negligencias del usuario de servicios de pagos, deben tomarse en consideración todas las circunstancias. Las pruebas y el grado de presunta negligencia deben ser evaluados con arreglo a la normativa nacional. Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor.

(34) No obstante, los Estados miembros deben poder establecer normas menos estrictas que las anteriormente mencionadas, con el fin de mantener los niveles existentes de protección de los consumidores y promover la confianza en la utilización segura de los instrumentos electrónicos de pago. Debe tomarse en consideración de forma adecuada el hecho de que los diferentes instrumentos de pago impliquen diferentes riesgos, y de esta forma promover la creación de instrumentos más seguros. Los Estados miembros deben poder reducir o suprimir totalmente la responsabilidad del ordenante, a menos que el ordenante haya actuado de forma fraudulenta.

(35) Deben adoptarse las disposiciones oportunas para proceder a una asignación de pérdidas en caso de operaciones de pago no autorizadas. Disposiciones distintas pueden aplicarse a los usuarios de servicios de pago que no sean consumidores, pues estos usuarios, por lo general, se hallan en mejores condiciones de evaluar el riesgo de fraude y adoptar las medidas correspondientes.

(36) La presente Directiva debe establecer normas de devolución, con el fin de proteger al consumidor en caso de que la operación de pago ejecutada sea superior a la cantidad que razonablemente puede esperarse. Los proveedores de servicios de pago deben poder establecer incluso condiciones más favorables para sus clientes y, por ejemplo, devolver las cantidades correspondientes a posibles operaciones de pago objeto de litigio. En aquellos casos en que el usuario reclame la devolución de una operación de pago, los derechos de devolución no deben afectar a la responsabilidad del ordenante frente al beneficiario, derivada de la relación subyacente, por ejemplo, por los bienes y servicios solicitados, consumidos o legítimamente facturados, o el derecho del usuario a revocar una orden de pago.

(37) A efectos de la planificación financiera y del cumplimiento de las obligaciones de pago a su debido tiempo, los consumidores y las empresas deben disponer de garantías sobre los plazos de ejecución de las órdenes de pago. Por consiguiente, la presente Directiva debe establecer el momento a partir del cual comienzan a surtir efecto los derechos y obligaciones, a saber, cuando el proveedor de servicios de pago recibe la orden de pago, incluso cuando haya tenido la oportunidad de recibirla por los medios de comunicación convenidos en el contrato de servicio de pago, a pesar de que haya podido participar previamente en el proceso de creación y transmisión de la orden de pago, por ejemplo, en las comprobaciones de seguridad y de disponibilidad de los fondos, en la información sobre el uso del número de identidad personal o en la emisión de promesas de pago. Por otra parte, la recepción de una orden de pago debe producirse en el momento en que el proveedor del servicio de pago del ordenante recibe la orden de pago que debe cargarse a la cuenta del ordenante.

No deben ser pertinentes a estos efectos el día o el momento en que el beneficiario transmite a su proveedor de servicios las órdenes de pago para su cobro, por ejemplo de pagos con tarjeta o de adeudos domiciliados, ni aquellos en que el beneficiario obtiene de su proveedor de servicios de pago una financiación previa de las cantidades afectadas (mediante un crédito contingente a su cuenta). Los usuarios deben poder confiar en la correcta ejecución de la orden de pago, completa y válida, si el proveedor de servicio de pago no tiene motivos de denegación de carácter contractual o reglamentario. En caso de que el proveedor de servicios de pago rechace una orden de pago, debe comunicárselo al usuario del servicio de pago junto con los motivos en que se basa en cuanto se presente la primera ocasión, respetando las obligaciones impuestas por la normativa comunitaria y nacional.

(38) Dada la rapidez de procesamiento de las operaciones que permiten los sistemas de pago modernos y completamente automatizados, debido a la cual no es posible, transcurrido un determinado plazo, revocar las órdenes de pago sin afrontar elevados costes de intervención manual, es preciso especificar, para la revocación de pagos, un plazo claro. Sin embargo, en función del tipo de servicio de pago y de la orden de pago, el momento preciso puede variar si así lo acuerdan las partes. La revocación en este contexto solamente se puede aplicar a la relación entre el usuario del servicio de pago y el proveedor del servicio de pago, sin perjuicio del carácter irrevocable y de la firmeza de las operaciones de pago en los sistemas de pago.

(39) Según el ordenamiento nacional de algunos Estados miembros, esta irrevocabilidad no debe afectar al derecho u obligación del proveedor de servicios de pago, a tenor del contrato marco del ordenante o de las leyes, reglamentos y disposiciones administrativas o directrices nacionales, de reembolsar al ordenante el importe de la operación de pago ejecutada en caso de litigio entre el ordenante y el beneficiario. Dicho reembolso debe considerarse una nueva operación de pago. Excepto en esos casos, los litigios que surjan en la relación que subyace a la orden de pago deben resolverse exclusivamente entre el ordenante y el beneficiario.

(40) Para el tratamiento integrado y automatizado de los pagos y la seguridad jurídica con respecto al cumplimiento de cualquier obligación subyacente entre usuarios de servicios de pago, es fundamental que se deba abonar en la cuenta del beneficiario el importe íntegro transferido por el ordenante. Por consiguiente, no debe existir posibilidad de deducciones sobre el importe transferido por parte de ninguno de los intermediarios que intervengan en la ejecución de las operaciones de pago. No obstante, el beneficiario debe poder celebrar un acuerdo con su proveedor de servicios de pago tal que permita a este último deducir sus propios gastos. Sin embargo, para que el beneficiario pueda comprobar que se le ha abonado correctamente la cantidad debida, la información ulterior facilitada sobre la operación de pago debe indicar no solo la cantidad total de fondos transferidos sino también las posibles comisiones.

(41) En relación con los gastos, la experiencia demuestra que compartirlos entre el ordenante y el beneficiario es el sistema más eficaz, pues facilita un tratamiento completamente automatizado de los pagos. Por tanto, debe establecerse que, en circunstancias normales, los proveedores de servicios de pago respectivos cobren directamente los gastos al ordenante y al beneficiario. No obstante, esta disposición solo debe aplicarse en caso de que la operación de pago no requiera cambio de divisas. También puede ocurrir que no se cobre ningún gasto, ya que la presente Directiva no afecta a los casos en los que el proveedor de servicio de pago no cobra comisiones a los consumidores por los abonos en cuenta. Igualmente, en función de los términos del contrato, un proveedor de servicios de pago puede cobrar comisión únicamente al beneficiario (el comerciante) por la utilización del servicio de pago, lo que significa que no se cargan comisiones al ordenante. Las comisiones abonadas a los sistemas de pago pueden adoptar la forma de una cuota de suscripción. Las disposiciones relativas a la cantidad transferida o las posibles comisiones aplicadas no tendrán efectos sobre la fijación de precios entre proveedores de servicios de pago o intermediarios.

(42) Para promover la transparencia y la competitividad, el proveedor de servicios de pago no debe impedir al beneficiario que exija un canon al ordenante por la utilización de instrumentos específicos de pago. Aunque el beneficiario debe ser libre de cobrar un canon por el uso de determinado instrumento de pago, los Estados miembros pueden decidir prohibir o limitar dicha práctica cuando, a su juicio, ello esté justificado por la fijación de precios abusivos o de precios que puedan tener un efecto negativo en el uso de un determinado instrumento de pago, habida cuenta de la necesidad de fomentar la competencia y el uso de instrumentos eficientes de pago.

(43) Para mayor eficiencia de los pagos en toda la Comunidad, todos los pagos iniciados por el ordenante y denominados en euros o en otra moneda de un Estado miembro fuera de la zona del euro, incluidas las transferencias y los servicios de envío de dinero, deben respetar un plazo máximo de ejecución de un día. En todos los demás pagos, tales como los iniciados por el beneficiario o a través del mismo, incluido el adeudo domiciliado y el pago con tarjeta, a falta de acuerdo explícito entre el proveedor y el ordenante que prevea un plazo de ejecución más prolongado, debe aplicarse la misma norma del plazo máximo de ejecución de un día. El mencionado plazo podría prorrogarse un día hábil adicional si la orden de pago se presenta en papel. De esta forma se permite mantener la prestación de servicios de pago a los consumidores que solo utilizan normalmente documentos en papel. Cuando se utilice un régimen de adeudo domiciliario, el proveedor de servicios de pago del ordenante debe transmitir la orden en los plazos acordados entre el ordenante y su proveedor de servicios de pago, a fin de permitir la liquidación en la fecha convenida. Habida cuenta de la gran eficiencia que a menudo caracteriza a las infraestructuras nacionales de pago y a fin de evitar cualquier deterioro de los niveles de servicio actuales, debe permitirse a los Estados miembros mantener o establecer normas, según proceda, que especifiquen un plazo de ejecución más corto que un día hábil.

(44) Las disposiciones sobre ejecución por el importe íntegro y plazo de ejecución deben constituir buenas prácticas cuando uno de los proveedores de servicios de pago no esté situado en la Comunidad.

(45) Es de fundamental importancia que los usuarios de los servicios de pago estén informados de los costes reales y comisiones de los servicios de pago a fin de elegir la opción que les interese. Por ello, no debe permitirse el uso de métodos de fijación de precios no transparentes, pues dificultan extremadamente al usuario la determinación del precio real del servicio de pago. En concreto, no debe permitirse el uso en perjuicio del usuario de la fecha de valor.

(46) Para el funcionamiento eficaz y ordenado de los sistemas de pago es imprescindible que el usuario pueda confiar en que el proveedor de servicios de pago ejecute la operación correctamente y en el plazo acordado. Normalmente, el proveedor se halla en condiciones de evaluar los riesgos de la operación de pago. Le corresponde al proveedor proporcionar el sistema de pago, tomar medidas para reclamar los fondos asignados erróneamente y, en la mayoría de los casos, decidir qué intermediarios intervienen en la ejecución de una operación de pago. Por todos estos motivos, es del todo procedente, excepto cuando se trate de circunstancias excepcionales e imprevisibles, hacer al proveedor de servicios de pago responsable de la ejecución de las operaciones de pago que acepte del usuario, salvo en lo que respecta a los actos y omisiones del proveedor de servicios de pago del ordenante de cuya selección solo sea responsable el ordenante. No obstante, a fin de no dejar desprotegido al ordenante en improbables circunstancias anómalas en que no sea posible dilucidar (non liquet) si el proveedor de los servicios de pago del ordenante recibió o no a su debido tiempo el importe del pago, la correspondiente carga de la prueba recaerá en dicho proveedor. Como regla general, cabe esperar que la entidad intermediaria (normalmente un organismo «neutral», tal como un banco central o una cámara de compensación) que transfiera el importe del pago del proveedor de servicios remitente al receptor conservará los datos de la cuenta y podrá presentarlos cuando sea necesario. Siempre que el importe del pago se haya ingresado en la cuenta del proveedor de servicios de pago receptor, el ordenante debe poder invocar inmediatamente frente al proveedor de servicios de pago su derecho a fin de que se ingrese el importe en su cuenta.

(47) El proveedor de servicios de pago del ordenante debe asumir la responsabilidad de la correcta ejecución del pago, incluida, en particular, la cantidad total correspondiente a la operación de pago y el plazo de ejecución, así como la plena responsabilidad por los posibles incumplimientos de otras partes en la cadena de pago hasta llegar a la cuenta del beneficiario. Como resultado de esa responsabilidad, en caso de que no se abone al proveedor de servicios de pago del beneficiario la totalidad de la cantidad, el proveedor de servicio de pago del ordenante debe corregir la operación de pago o devolver al ordenante sin demora injustificada la cantidad correspondiente de dicha operación, sin perjuicio de que pueda reclamarle ulteriormente otra cantidad con arreglo a la normativa nacional. La presente Directiva debe referirse únicamente a las obligaciones y responsabilidades contractuales entre el usuario del servicio de pago y su proveedor de servicios de pago. Sin embargo, para un funcionamiento correcto de las transferencias y demás servicios de pago es preciso que los proveedores de servicios de pago y sus intermediarios, por ejemplo, los encargados del tratamiento de la operación, dispongan de contratos que estipulen sus derechos y obligaciones mutuos. Las cuestiones relacionadas con las responsabilidades constituyen una parte esencial de dichos contratos uniformes. Para garantizar la fiabilidad de los proveedores de servicios de pago y de los intermediarios que participan en una operación de pago, es necesaria seguridad jurídica en cuanto a que un proveedor de servicios de pago que no sea responsable será compensado por las pérdidas que sufra o por las sumas que abone en cumplimiento de las disposiciones de la presente Directiva sobre responsabilidad. Debe dejarse para que se establezcan en disposiciones contractuales cuestiones sobre otros derechos y el contenido detallado del derecho de recurso, así como las modalidades del tratamiento de reclamaciones al proveedor de servicios de pago o al intermediario por motivos de operaciones de pago ejecutadas incorrectamente.

(48) El proveedor de servicios de pago debe tener la posibilidad de especificar sin ambigüedad la información requerida para ejecutar una orden de pago correctamente. Ahora bien, por otra parte, a fin de evitar la fragmentación y el riesgo de que se vea comprometido el establecimiento de sistemas integrados de pago en la Comunidad, no debe autorizarse a los Estados miembros a exigir que se emplee un determinado identificador para las operaciones de pago.

Sin embargo, esto no debe impedir a los Estados miembros exigir al proveedor de servicios de pago del ordenante actuar con la debida diligencia y comprobar, cuando sea técnicamente posible y sin que ello requiera intervención manual, la coherencia del identificador único y que, cuando resulte que el identificador único es incoherente, rechace la orden de pago e informe de ello al ordenante. La responsabilidad del proveedor de servicios de pago debe limitarse a la ejecución correcta de la operación de pago conforme a la orden del usuario de servicios de pago.

(49) A fin de facilitar la efectiva prevención del fraude y lucha contra el fraude en toda la Comunidad, debe propiciarse un intercambio eficaz de datos entre los proveedores de servicios de pago, a los cuales debe permitirse la recogida, tratamiento e intercambio de los datos personales de toda persona implicada en fraudes de este tipo. Todas estas actividades deben realizarse con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (19).

(50) Es preciso garantizar el cumplimiento efectivo de las disposiciones de derecho nacional adoptadas en aplicación de la presente Directiva. Por consiguiente, deben establecerse procedimientos adecuados que permitan tramitar las quejas contra aquellos proveedores de servicios de pago que no cumplan dichas disposiciones, y, en su caso, garantizar la imposición de sanciones adecuadas, efectivas, proporcionadas y disuasorias.

(51) Sin perjuicio del derecho de los clientes a emprender acciones ante los tribunales, los Estados miembros deben garantizar que existan medios extrajudiciales fácilmente accesibles y de coste razonable para la resolución de aquellos conflictos entre proveedores de servicios de pago y consumidores derivados de los derechos y obligaciones contemplados en la presente Directiva. El artículo 5, apartado 2, del Convenio de Roma sobre la ley aplicable a las obligaciones contractuales (20), establece que las posibles disposiciones contractuales sobre la legislación aplicable no podrán producir el resultado de debilitar la protección al consumidor que le aseguren las disposiciones imperativas de la ley del país en que tenga su residencia habitual.

(52) Los Estados miembros deben determinar si las autoridades competentes designadas para conceder autorización a las entidades de pago pueden ser asimismo autoridades competentes en relación con los procedimientos de reclamación y de recurso extrajudicial.

(53) La presente Directiva no debe ir en perjuicio de las disposiciones de derecho nacional que regulen las responsabilidades derivadas de las inexactitudes a la hora de formular o transmitir declaraciones.

(54) Dada la necesidad de examinar el eficaz funcionamiento de la presente Directiva y supervisar los avances hacia el establecimiento de un mercado único de los pagos, debe instarse a la Comisión a presentar un informe en un plazo de tres años a partir del final del período de transposición de la presente Directiva. Por lo que respecta a la integración global de los servicios financieros y a una protección armonizada del consumidor también más allá del eficaz funcionamiento de la presente Directiva, entre los puntos centrales de dicho examen debe figurar la eventual necesidad de ampliar su ámbito de aplicación con respecto a las monedas que no sean las de la UE y a las operaciones de pago en las que solo un proveedor de los servicios de pago de que se trate esté situado en la Comunidad.

(55) Dado que las disposiciones de la presente Directiva sustituyen las de la Directiva 97/5/CE, esta debe derogarse.

(56) Es preciso establecer normas más detalladas sobre el uso fraudulento de las tarjetas de pago, ámbito que actualmente regulan la Directiva 97/7/CE del Parlamento Europeo y del Consejo, de 20 de mayo de 1997, relativa a la protección de los consumidores en materia de contratos a distancia (21), y la Directiva 2002/65/CE. Dichas Directivas deben, pues, modificarse en consecuencia.

(57) Toda vez que, con arreglo a la Directiva 2006/48/CE, las entidades financieras no están sometidas a las normas aplicables a las entidades de crédito, deben aplicárseles los mismos requisitos que a las entidades de pago, de modo que puedan prestar servicios de pago en toda la Comunidad. Por consiguiente, debe procederse a la adaptación de la Directiva 2006/48/CE de forma correspondiente.

(58) Habida cuenta de que el servicio de envío de dinero se define en la presente Directiva como un servicio de pago que requiere una autorización de una entidad de pago o un registro para determinadas personas físicas o jurídicas que se benefician de una cláusula de excepción en determinadas circunstancias establecidas en la presente Directiva, procede modificar en este sentido la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo (22).

(59) Por motivos de seguridad jurídica, es conveniente establecer disposiciones transitorias con arreglo a las cuales aquellas personas que hayan iniciado actividades de entidades de pago con arreglo a la normativa nacional vigente con anterioridad a la entrada en vigor de la presente Directiva puedan proseguir dichas actividades en el Estado miembro de que se trata durante un período determinado.

(60) Dado que los objetivos de la presente Directiva, a saber, el establecimiento de un mercado único de servicios de pago, no pueden ser alcanzados de manera suficiente por los Estados miembros, pues requieren la armonización de la multitud de normativas diferentes que en la actualidad existen en los regímenes jurídicos de los distintos Estados miembros y, por consiguiente, pueden lograrse mejor a escala comunitaria, la Comunidad puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(61) Las medidas necesarias para la ejecución de la presente Directiva deben aprobarse con arreglo a la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión (23).

(62) Conviene, en particular, conferir competencias a la Comisión para que adopte medidas de ejecución con objeto de tener en cuenta la evolución tecnológica y del mercado. Dado que estas medidas son de alcance general, y están destinadas a modificar elementos no esenciales de la presente Directiva, deben adoptarse con arreglo al procedimiento de reglamentación con control previsto en el artículo 5 bis de la Decisión 1999/468/CE.

(63) De conformidad con el punto 34 del Acuerdo interinstitucional «Legislar mejor» (24), se alienta a los Estados miembros a establecer, en su propio interés y en el de la Comunidad, sus propios cuadros que muestren, en la medida de lo posible, la concordancia entre la presente Directiva y las medidas de transposición, y a hacerlos públicos.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

TÍTULO I.- OBJETO, ÁMBITO DE APLICACIÓN Y DEFINICIONES

Artículo 1.- Objeto

1. La presente Directiva establece las normas con arreglo a las cuales los Estados miembros distinguirán las seis categorías siguientes de proveedores de servicios de pago:

a) entidades de crédito, a efectos del artículo 4, punto 1, letra a), de la Directiva 2006/48/CE;

b) entidades de dinero electrónico, a efectos del artículo 1, apartado 3, letra a), de la Directiva 2000/46/CE;

c) instituciones de giro postal facultadas en virtud de la legislación nacional para prestar servicios de pago;

d) entidades de pago en el sentido de la presente Directiva;

e) el Banco Central Europeo y los bancos centrales nacionales, cuando no actúen en su condición de autoridad monetaria u otras autoridades públicas;

f) los Estados miembros y sus autoridades regionales y locales, cuando no actúen en su condición de autoridades públicas.

2. La presente Directiva establece asimismo normas en materia de requisitos de transparencia y requisitos de información para los servicios de pago, así como los derechos y obligaciones respectivos de los usuarios de servicios de pago y de los proveedores de servicios de pago en relación con la prestación de dichos servicios con carácter de profesión u ocupación habitual.

Artículo 2.- Ámbito de aplicación

1. La presente Directiva se aplicará a los servicios de pago dentro de la Comunidad. No obstante, con excepción de lo dispuesto en el artículo 73, los títulos III y IV se aplican solamente cuando tanto el proveedor de los servicios de pago del ordenante como el proveedor de los servicios de pago del beneficiario, o el único proveedor de servicio de pago en una operación de pago, estén situados en la Comunidad.

2. Los títulos III y IV se aplicarán a los servicios de pago efectuados en euros o en la moneda de un Estado miembro fuera de la zona del euro.

3. Los Estados miembros también podrán eximir de la aplicación total o parcial de las disposiciones de la presente Directiva a las entidades mencionadas en el artículo 2 de la Directiva 2006/48/CE, excepto aquellas a que se refieren los guiones primero y segundo de dicho artículo.

Artículo 3.- Exenciones

La presente Directiva no se aplicará a las actividades siguientes:

a) las operaciones de pago efectuadas exclusivamente en efectivo y directamente del ordenante al beneficiario, sin intervención de ningún intermediario;

b) las operaciones de pago del ordenante al beneficiario a través de un agente comercial autorizado para negociar o concluir la compra o venta de bienes o servicios por cuenta del ordenante o del beneficiario;

c) el transporte físico, como actividad profesional, de billetes y monedas, incluidos la recogida, tratamiento y entrega;

d) las operaciones de pago consistentes en la recogida y entrega no profesionales de dinero en efectivo realizadas con motivo de actividades no lucrativas o caritativas;

e) los servicios en los que el beneficiario proporciona dinero en efectivo al ordenante como parte de una operación de pago, a instancia expresa del usuario del servicio de pago inmediatamente antes de la ejecución de una operación de pago mediante pago destinado a la compra de bienes o servicios;

f) el negocio de cambio de divisas, esto es, las operaciones de «efectivo por efectivo», cuando los fondos no se mantengan en cuentas de pago;

g) las operaciones de pago realizadas por medio de cualquiera de los siguientes documentos extendidos por un proveedor de servicios de pago a fin de poner fondos a disposición del beneficiario:

i) cheques en papel con arreglo al Convenio de Ginebra de 19 de marzo de 1931 que establece una ley uniforme sobre cheques,

ii) cheques en papel similares a los contemplados en el inciso i) y regulados por el Derecho de Estados miembros que no sean partes en el Convenio de Ginebra de 19 de marzo de 1931 que establece una ley uniforme sobre cheques,

iii) efectos en papel con arreglo al Convenio de Ginebra de 7 de junio de 1930 que establece una ley uniforme sobre letras de cambio y pagarés,

iv) efectos en papel similares a los que se refiere el inciso

iii) y regulados por el Derecho de los Estados miembros que no sean partes en el Convenio de Ginebra de 7 de junio de 1930 que establece una ley uniforme sobre letras de cambio y pagarés,

v) vales en papel,

vi) cheques de viaje en papel, o

vii) giros postales en papel, según la definición de la Unión Postal Universal;

h) las operaciones de pago realizadas por medio de un sistema de liquidación de pagos o valores o entre agentes de liquidación, contrapartes centrales, cámaras de compensación y/o bancos centrales y otros participantes en el sistema, y proveedores de servicios de pago, sin perjuicio de lo dispuesto en el artículo 28;

i) las operaciones de pago relacionadas con la gestión de carteras, con inclusión de dividendos, réditos u otras distribuciones, o con amortizaciones o ventas, realizadas por personas mencionadas en la letra h) o por sociedades de inversión, entidades de crédito, organismos de inversión colectiva o empresas de gestión de activos que presten servicios de inversión y cualquier otra entidad autorizada a custodiar instrumentos financieros;

j) los servicios prestados por proveedores de servicios técnicos como soporte a la prestación de servicios de pago, sin que dichos proveedores lleguen a estar en ningún momento en posesión de los fondos que deban transferirse, incluidos el tratamiento y almacenamiento de datos, servicios de confianza y de protección de la intimidad, autenticación de datos y entidades, la tecnología de la información y el suministro de redes de comunicación, suministro y mantenimiento de terminales y dispositivos empleados para los servicios de pago;

k) los servicios que se basen en instrumentos que puedan utilizarse para la adquisición de bienes o servicios únicamente en las instalaciones del emisor o, en virtud de un acuerdo comercial con el emisor, bien en una red limitada de proveedores de servicios o para un conjunto limitado de bienes o servicios;

l) las operaciones de pago ejecutadas por medio de dispositivos de telecomunicación, digitales o de tecnologías de la información, cuando los bienes o servicios adquiridos se entregan y utilizan mediante dispositivos de telecomunicación, digitales o de tecnologías de la información, siempre y cuando el operador de servicios de telecomunicación, digitales o de tecnologías de la información no actúe únicamente como intermediario entre el usuario del servicio de pago y el proveedor de los bienes y servicios;

m) las operaciones de pago efectuadas por cuenta propia entre proveedores de servicios de pago y entre agentes o sucursales por cuenta propia;

n) las operaciones de pago entre una empresa matriz y su filial o entre filiales de la misma empresa matriz, sin intervención de intermediarios, a través de un proveedor de servicios de pago que no sea una empresa del mismo grupo, o

o) los servicios de proveedores de retirada de dinero en cajeros automáticos que actúen en nombre de uno o varios expedidores de tarjetas, que no sean parte del contrato marco con el consumidor que retire dinero de una cuenta de pago, siempre y cuando dichos proveedores no realicen otros servicios de pago contemplados en el anexo.

Artículo 4.- Definiciones

A efectos de la presente Directiva, se entenderá por:

1) «Estado miembro de origen»: uno de los siguientes:

i) el Estado miembro en el que el proveedor de servicio de pago tenga fijado su domicilio social, o

ii) si el proveedor de servicio de pago no posee domicilio social con arreglo a la legislación nacional, el Estado miembro en el que tenga fijada su administración central;

2) «Estado miembro de acogida»: el Estado miembro distinto del Estado miembro de origen en el cual el proveedor de servicio de pago tiene un agente o una sucursal o presta servicios de pago;

3) «servicio de pago»: cualquiera de las actividades comerciales contempladas en el anexo;

4) «entidad de pago»: una persona jurídica a la cual se haya otorgado autorización, de conformidad con el artículo 10, para prestar y ejecutar servicios de pago en toda la Comunidad;

5) «operación de pago»: una acción, iniciada por el ordenante o por el beneficiario, de situar, transferir o retirar fondos, con independencia de cualesquiera obligaciones subyacentes entre ambos;

6) «sistema de pago»: un sistema de transferencia de fondos regulado por disposiciones formales y normalizadas y dotado de normas comunes para el tratamiento, liquidación o compensación de operaciones de pago;

7) «ordenante»: una persona física o jurídica titular de una cuenta de pago que autoriza una orden de pago a partir de dicha cuenta o, en caso de que no exista una cuenta de pago, la persona física o jurídica que da una orden de pago;

8) «beneficiario»: una persona física o jurídica que sea el destinatario previsto de los fondos que hayan sido objeto de una operación de pago;

9) «proveedor de servicios de pago»: las empresas contempladas en el artículo 1, apartado 1, y las personas físicas y jurídicas que se acogen a las excepciones previstas en el artículo 26;

10) «usuario de servicios de pago»: una persona física o jurídica que haga uso de un servicio de pago, ya sea como ordenante, como beneficiario o ambos;

11) «consumidor»: una persona física que, en los contratos de servicios de pago que son objeto de la presente Directiva, actúa con fines ajenos a su actividad económica, comercial o profesional;

12) «contrato marco»: un contrato de servicio de pago que rige la ejecución futura de operaciones de pago individuales y sucesivas y que puede estipular la obligación de abrir una cuenta de pago y las correspondientes condiciones;

13) «servicio de envío de dinero»: un servicio de pago que permite bien recibir fondos de un ordenante sin que se cree ninguna cuenta de pago en nombre del ordenante o del beneficiario, con el único fin de transferir una cantidad equivalente a un beneficiario o a otro proveedor de servicios de pago que actúe por cuenta del beneficiario, y/o bien recibir fondos por cuenta del beneficiario y ponerlos a disposición de este;

14) «cuenta de pago»: una cuenta a nombre de uno o varios usuarios de servicios de pago y utilizada para la ejecución de operaciones de pago;

15) «fondos»: billetes y monedas, dinero escritural y dinero electrónico con arreglo al artículo 1, apartado 3, letra b), de la Directiva 2000/46/CE;

16) «orden de pago»: toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago;

17) «fecha de valor»: momento utilizado por un proveedor de servicios de pago como referencia para el cálculo del interés sobre los fondos abonados o cargados a una cuenta de pago;

18) «tipo de cambio de referencia»: tipo de cambio empleado como base para calcular cualquier cambio de divisas y que facilita el proveedor de servicio de pago o procede de una fuente disponible públicamente;

19) «autenticación»: un procedimiento que permita al proveedor de servicios de pago comprobar la utilización de un instrumento de pago específico, incluyendo sus características de seguridad personalizadas;

20) «tipo de interés de referencia»: tipo de interés empleado como base para calcular cualquier interés que deba aplicarse y procedente de una fuente disponible públicamente que pueda ser verificada por las dos partes en un contrato de servicios de pago;

21) «identificador único»: una combinación de letras, números o signos especificados por el proveedor de servicios de pago al usuario de dichos servicios, que este último debe proporcionar a fin de identificar de forma inequívoca al otro usuario del servicio de pago y/o su cuenta de pago en una operación de pago;

22) «agente»: una persona física o jurídica que presta servicios de pago en nombre de una entidad de pago;

23) «instrumento de pago»: cualquier mecanismo o mecanismos personalizados, y/o conjunto de procedimientos acordados por el proveedor de servicios de pago y el usuario del servicio de pago y utilizado por el usuario del servicio de pago para iniciar una orden de pago;

24) «medio de comunicación a distancia»: cualquier medio que, sin la presencia física simultánea del proveedor de servicios de pago y del usuario de servicios de pago, pueda emplearse para la celebración de un contrato de servicios de pago;

25) «soporte duradero»: cualquier instrumento que permita al usuario de servicios de pago almacenar la información que le ha sido transmitida personalmente, de manera fácilmente accesible para su futura consulta, durante un período de tiempo adecuado para los fines de dicha información, y que permita la reproducción sin cambios de la información almacenada;

26) «microempresa»: una empresa que, en la fecha de celebración del contrato de servicios de pago, cumpla las condiciones definidas en el artículo 1 y en el artículo 2, apartados 1 y 3, del anexo de la Recomendación 2003/361/CE;

27) «día hábil»: día de apertura comercial, a los efectos necesarios para la ejecución de una operación de pago, de los proveedores de servicios de pago del ordenante o del beneficiario que intervienen en la ejecución de la operación de pago;

28) «adeudo domiciliado»: servicio de pago destinado a efectuar un cargo en la cuenta de pago del ordenante, por el que la operación de pago es iniciada por el beneficiario sobre la base del consentimiento dado por el ordenante al beneficiario, al proveedor de servicios de pago del beneficiario o al proveedor de servicios de pago del propio ordenante;

29) «sucursal»: un centro de actividad, distinto de la administración central, que constituye una parte de una entidad de pago, desprovisto de personalidad jurídica, y que efectúa directamente todas o algunas de las operaciones inherentes a la actividad de la entidad de pago; todos los centros de actividad establecidos en un mismo Estado miembro por una entidad de pago con la administración central en otro Estado miembro, se considerarán una única sucursal;

30) «grupo»: un grupo de empresas compuesto por una empresa matriz, sus filiales y las entidades en las que la empresa matriz o sus filiales tienen participación, así como las empresas vinculadas entre sí por una relación en el sentido del artículo 12, apartado 1, de la Directiva 83/349/CEE.

TÍTULO II.- PROVEEDORES DE SERVICIOS DE PAGO

CAPÍTULO 1.- Entidades de pago

Sección 1.- Normas generales

Artículo 5.- Solicitudes de autorización

Para obtener autorización como entidad de pago, se remitirá a las autoridades competentes del Estado miembro de origen una solicitud acompañada de los elementos siguientes:

a) un programa de actividades en el que se indique, en particular, el tipo de servicio de pago que se pretende prestar;

b) un plan de negocios que incluya un cálculo de las previsiones presupuestarias para los tres primeros ejercicios, del que quepa deducir que el solicitante podrá emplear sistemas, recursos y procedimientos adecuados y proporcionados para operar correctamente;

c) pruebas de que la entidad de pago dispone del capital inicial mencionado en el artículo 6;

d) por lo que respecta a las entidades de pago contempladas en el artículo 9, apartado 1, una descripción de las medidas adoptadas para proteger los fondos del usuario de los servicios de pago con arreglo al artículo 9;

e) una descripción de los métodos de gestión empresarial del solicitante y de los mecanismos de control interno, incluidos procedimientos administrativos, de gestión de riesgo y contables, que demuestre que dichos métodos de gestión empresarial, mecanismos de control y procedimientos son proporcionados, apropiados, sólidos y adecuados;

f) una descripción de los mecanismos de control interno introducidos por el solicitante a fin de cumplir las obligaciones que establece la Directiva 2005/60/CE y el Reglamento (CE) nº 1781/2006 del Parlamento Europeo y del Consejo, de 15 de noviembre de 2006, relativo a la información sobre los ordenantes que acompaña a las transferencias de fondos (25);

g) una descripción de la organización estructural del solicitante, incluida, cuando proceda, una descripción de la utilización que se pretenda hacer de agentes y sucursales y una descripción de las disposiciones en materia de externalización, así como de su participación en un sistema de pago nacional o internacional;

h) la identidad de las personas que posean, directa o indirectamente, participaciones cualificadas en el sentido del artículo 4, punto 11, de la Directiva 2006/48/CE, con indicación de la cuantía de su participación efectiva y pruebas de su idoneidad, atendiendo a la necesidad de garantizar la gestión sana y prudente de la entidad de pago;

i) la identidad de los directores y gestores de la entidad de pago y, en su caso, de los gestores de los servicios de pago de la entidad de pago, así como pruebas de su honorabilidad y de que tienen la experiencia y poseen los conocimientos necesarios para la prestación de servicios de pago, según determine el Estado miembro de origen de la entidad de pago;

j) en su caso, la identidad de los auditores legales y empresas de auditoría, tal como establece la Directiva 2006/43/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a la auditoría legal de las cuentas anuales y de las cuentas consolidadas (26);

k) el estatuto jurídico y los estatutos sociales del solicitante;

l) la dirección de la administración central del solicitante.

A efectos de las letras d), e) y g), el solicitante facilitará una descripción de sus procedimientos de auditoría y de las disposiciones organizativas que haya establecido a fin de adoptar todas las medidas razonables para proteger los intereses de sus usuarios y garantizar la continuidad y fiabilidad de la prestación de servicios de pago.

Artículo 6.- Capital inicial

Los Estados miembros establecerán que, en el momento de la autorización, las entidades de pago posean un capital inicial que incluya los elementos definidos en el artículo 57, letras a) y b), de la Directiva 2006/48/CE, de la forma siguiente:

a) en caso de que la entidad de pago solo preste el servicio de pago que figura en el punto 6 del anexo, su capital no será en ningún momento inferior a 20.000 EUR;

b) en caso de que la entidad de pago preste el servicio de pago que figura en el punto 7 del anexo, su capital no será en ningún momento inferior a 50.000 EUR, y

c) en caso de que la entidad de pago preste cualquiera de los servicios de pago que figuran en los puntos 1 a 5 del anexo, su capital no será en ningún momento inferior a 125.000 EUR.

Artículo 7.- Fondos propios

1. Los fondos propios de la entidad de pago, tal como se definen en los artículos 57 a 61, 63, 64 y 66 de la Directiva 2006/48/CE, no podrán ser inferiores a la cantidad mayor de las contempladas en los artículos 6 y 8.

2. Los Estados miembros adoptarán las medidas necesarias para impedir el uso múltiple de elementos que puedan considerarse como fondos propios cuando la entidad de pago pertenezca al mismo grupo de otra entidad de pago, entidad de crédito, empresa de inversión, empresa de gestión de activos o empresa de seguros. El presente apartado se aplicará también cuando una entidad de pago tiene carácter híbrido y realiza actividades distintas de las establecidas en el anexo.

3. Cuando se satisfagan las condiciones establecidas en el artículo 69 de la Directiva 2006/48/CE, los Estados miembros o sus autoridades competentes podrán optar por no aplicar el artículo 8 a aquellas entidades de pago que estén incluidas en la supervisión consolidada de entidades de créditos matrices con arreglo a la Directiva 2006/48/CE.

Artículo 8.- Cálculo de los fondos propios

1. Sin perjuicio de los requisitos de capital inicial establecidos en el artículo 6, los Estados miembros establecerán que las entidades de pago posean permanentemente fondos propios calculados con arreglo a uno de los tres métodos siguientes, según determinen las autoridades competentes de acuerdo con la legislación nacional:

Método A

Los fondos propios de las entidades de pago serán, como mínimo, igual al 10 % de sus gastos generales del año anterior.

Las autoridades competentes podrán ajustar dicha exigencia en caso de que los negocios de una entidad de pago registren un cambio sustancial desde el año anterior. Cuando una entidad de pago no haya completado todavía un año de actividad en la fechade cálculo, los fondos propios serán igual al 10 % de los correspondientes gastos generales previstos en su plan de negocios, a menos que las autoridades competentes exijan la modificación de dicho plan.

Método B

Los fondos propios de las entidades de pago serán, como mínimo, igual a la suma de los siguientes elementos multiplicados por el factor de escala k, establecido en el apartado 2, en el que el volumen de pagos (VP) representa una duodécima parte de la cuantía total de las operaciones de pago ejecutadas por la entidad de pago durante el año anterior:

a) 4,0 % del tramo de VP hasta los 5 millones EUR, más

b) 2,5 % del tramo de VP entre 5 millones EUR y 10 millones EUR, más

c) 1 % del tramo de VP entre 10 millones EUR y 100 millones EUR, más

d) 0,5 % del tramo de VP entre 100 millones EUR y 250 millones EUR, más

e) 0,25 % del tramo de VP por encima de 250 millones EUR.

Método C

Los fondos propios de la entidad de pago serán, como mínimo, igual al indicador pertinente, definido en la letra a), multiplicado por el factor de multiplicación establecido en la letra b), y multiplicado a su vez por el factor de escala k, establecido en el apartado 2:

a) el indicador pertinente es la suma de los elementos siguientes:

— ingresos por intereses,

— gastos por intereses,

— comisiones y tasas recibidas, y

— otros ingresos de explotación.

Cada elemento se incluirá en la suma con su signo positivo o negativo. Los ingresos en concepto de partidas extraordinarias o irregulares no podrán incluirse en el cálculo del indicador pertinente. Los gastos ocasionados por la externalización de servicios prestados por terceros podrán reducir el indicador pertinente si el gasto es contraído por una empresa sujeta a supervisión con arreglo a la presente Directiva. El indicador pertinente se calcula sobre la base de las doce últimas observaciones mensuales a finales del último ejercicio financiero. El indicador pertinente se calculará sobre el último ejercicio financiero.

No obstante, los fondos propios, calculados según el método C, no podrán ser inferiores al 80 % de la media de los últimos tres ejercicios para el indicador pertinente.

Cuando no se disponga de cifras auditadas, podrán utilizarse estimaciones de negocio;

b) el factor de multiplicación será:

i) 10 % del tramo de indicador pertinente hasta los 2,5 millones EUR,

ii) 8 % del tramo de indicador pertinente entre 2,5 millones EUR y 5 millones EUR,

iii) 6 % del tramo de indicador pertinente entre 5 millones EUR y 25 millones EUR,

iv) 3 % del tramo de indicador pertinente entre 25 millones EUR y 50 millones EUR,

v) 1,5 % por encima de 50 millones EUR.

2. El factor de escala k, que se utilizará en los métodos B y C del apartado 1, será el siguiente:

a) 0,5 en caso de que la entidad de pago solo preste el servicio de pago que figura en el punto 6 del anexo;

b) 0,8 en caso de que la entidad de pago preste el servicio de pago que figura en el punto 7 del anexo;

c) 1 en caso de que la entidad de pago preste cualquiera de los servicios de pago que figuran en los puntos 1 a 5 del anexo.

3. Las autoridades competentes, sobre la base de una evaluación de los procesos de la gestión del riesgo, de la base de datos de los riesgos de pérdidas y de los mecanismos de control internos de la entidad de pago, podrán exigir que la entidad de pago posea una cifra de fondos propios hasta un 20 % superior a la que resultaría de la aplicación del método elegido con arreglo al apartado 1, o permitir que la entidad de pago posea una cifra de fondos propios hasta un 20 % inferior a la que resultaría de la aplicación del método elegido con arreglo al apartado 1.

Artículo 9.- Requisitos de garantía

1. Los Estados miembros o las autoridades competentes establecerán que la entidad de pago que preste alguno de los servicios de pago contemplados en el anexo y realice al mismo tiempo otras actividades empresariales mencionadas en el artículo 16, apartado 1, letra c), salvaguardará los fondos recibidos de los usuarios de servicios de pago o recibidos a través de otro proveedor de servicios de pago para la ejecución de las operaciones de pago, de la forma siguiente:

Según convenga:

a) no se mezclarán en ningún momento con los fondos de ninguna persona física o jurídica que no sean los usuarios de servicios de pago en cuyo nombre se dispone de los fondos y, en caso de que todavía estén en posesión de la entidad de pago y aún no se hayan entregado al beneficiario o transferido a otro proveedor de servicios de pago al final del día hábil siguiente al día en que se recibieron los fondos, se depositarán en una cuenta separada en una entidad de crédito o se invertirán en activos seguros, líquidos y de bajo riesgo, tal como hayan establecido las autoridades competentes del Estado miembro de origen, y

b) quedarán aislados, de conformidad con la normativa nacional, en beneficio de los usuarios de servicios de pago, con respecto a posibles reclamaciones de otros acreedores de la entidad de pago, en particular en caso de insolvencia, o

c) estarán cubiertos por una póliza de seguro u otra garantía comparable de una compañía de seguros o de una entidad de crédito, que no pertenezca al mismo grupo que la propia entidad de pago, por una cantidad equivalente a la que habría sido separada en caso de no existir la póliza de seguro u otra garantía comparable, que se hará efectiva en caso de que la entidad de pago sea incapaz de hacer frente a sus obligaciones financieras.

En caso de que una entidad de pago tenga que salvaguardar fondos con arreglo al apartado 1 y de que una fracción de dichos fondos se destine a operaciones de pago futuras y el resto se utilice para servicios distintos de los servicios de pago, esa fracción de los fondos destinados a operaciones de pago futuras también estará sujeta a los requisitos establecidos en el apartado 1. En caso de que dicha fracción sea variable o no se conozca con antelación, los Estados miembros podrán permitir a las entidades de pago que apliquen el presente apartado sobre la base de una hipótesis acerca de la fracción representativa que se destinará a servicios de pago, siempre que esa fracción representativa pueda ser objeto, a satisfacción de las autoridades competentes, de una estimación razonable a partir de datos históricos.

3. Los Estados miembros o las autoridades competentes podrán establecer que las entidades de pago que no lleven a cabo otras actividades empresariales mencionadas en el artículo 16, apartado 1, letra c), cumplan asimismo los requisitos de salvaguardia establecidos en el apartado 1 del presente artículo.

4. Los Estados miembros o las autoridades competentes también podrán limitar la exigencia de dichos requisitos de salvaguardia a los fondos de usuarios de servicios de pago que superen, a título individual, un umbral de 600 EUR.

Artículo 10.- Concesión de autorización

1. Los Estados miembros dispondrán que empresas distintas a aquellas a que se refiere el artículo 1, apartado 1, letras a) a c), e) y f), y distintas de las personas físicas o jurídicas que se acojan a la excepción del artículo 26, que pretendan prestar servicios de pago, obtengan autorización como entidades de pago antes de poder comenzar a prestar tales servicios de pago. Solo se concederá autorización a las personas jurídicas establecidas en un Estado miembro.

2. Se concederá una autorización siempre y cuando la información y las pruebas que acompañen a la solicitud cumplan todos los requisitos indicados en el artículo 5 y si, una vez examinada la solicitud, las autoridades competentes han llegado a una evaluación favorable. Antes de conceder una autorización, las autoridades competentes podrán consultar, cuando proceda, al banco central nacional o a otras autoridades públicas pertinentes.

3. Las entidades de pago que, con arreglo a la legislación nacional de su Estado miembro de origen, estén obligadas a disponer de un domicilio social, deberán tener su administración central en el mismo Estado miembro que su domicilio social.

4. Las autoridades competentes únicamente concederán una autorización en caso de que, habida cuenta de la necesidad de garantizar una gestión sana y prudente de las entidades de pago, la entidad de que se trate disponga de sólidos procedimientos de gobierno corporativo, incluida una estructura organizativa clara, con líneas de responsabilidad bien definidas, transparentes y coherentes, así como procedimientos eficaces de identificación, gestión, control y comunicación de los riesgos a los que esté o pueda estar expuesta, junto con mecanismos adecuados de control interno, incluidos procedimientos administrativos y contables adecuados; tales métodos, procedimientos y mecanismos serán exhaustivos y proporcionados a la naturaleza, escala y complejidad de los servicios de pago prestados por dicha entidad.

5. Cuando una entidad de pago preste alguno de los servicios de pago contemplados en el anexo y realice simultáneamente otras actividades, las autoridades competentes podrán exigirle que constituya una entidad separada para la actividad de los servicios de pago, en caso de que las actividades de la entidad de pago en relación con servicios distintos de los de pago perjudiquen o puedan perjudicar, bien la solidez financiera de la entidad de pago, bien la capacidad de las autoridades competentes para supervisar el cumplimento de las obligaciones establecidas por la presente Directiva por parte de la entidad de pago.

6. Las autoridades competentes denegarán la autorización si, atendiendo a la necesidad de garantizar una gestión sana y prudente por parte de la entidad de pago, no están convencidas de la idoneidad de los accionistas o socios que posean participaciones significativas.

7. Cuando existan vínculos estrechos, según se definen en el artículo 4, punto 46, de la Directiva 2006/48/CE, entre la entidad de pago y otras personas físicas o jurídicas, las autoridades competentes concederán una autorización únicamente si dichos vínculos no obstaculizan el ejercicio efectivo de sus funciones de supervisión.

8. Las autoridades competentes únicamente concederán una autorización cuando el buen ejercicio de su misión de supervisión no se vea obstaculizado por las disposiciones legales, reglamentarias o administrativas del Derecho de un tercer país, aplicables a una o varias de las personas físicas o jurídicas con las que la entidad de pago mantenga vínculos estrechos, o por problemas relacionados con la aplicación de dichas disposiciones legales, reglamentarias o administrativas.

9. Una autorización será válida en todos los Estados miembros y permitirá a la entidad de pago interesada prestar servicios de pago en toda la Comunidad, ya sea en virtud de la libre prestación de servicios, ya de la libertad de establecimiento, siempre que dichos servicios estén cubiertos por la autorización.

Artículo 11.- Comunicación de la decisión

En el plazo de tres meses desde la recepción de una solicitud o, en caso de que esté incompleta, de toda la información necesaria para adoptar la decisión, la autoridad competente informará al solicitante de la aceptación o denegación de la solicitud. Toda denegación de autorización deberá motivarse.

Artículo 12.- Revocación de la autorización

1. Las autoridades competentes podrán revocar la autorización a una entidad de pago únicamente cuando la entidad:

a) no haga uso de la autorización en un plazo de doce meses, renuncie a la autorización expresamente y haya cesado de ejercer su actividad durante un período superior a seis meses, a menos que el Estado miembro afectado no haya previsto, en este caso, que la autorización caduque;

b) haya obtenido la autorización por medio de falsas declaraciones o por cualquier otro medio irregular;

c) no reúna ya las condiciones para conceder la autorización;

d) pueda constituir una amenaza para la estabilidad del sistema de pagos en caso de seguir prestando servicios de pago, o

e) corresponda a uno de los casos de revocación de una autorización previstos por la legislación nacional.

2. Toda revocación de la autorización se justificará y comunicará a los interesados.

3. Se hará pública la revocación de una autorización.

Artículo 13.- Registro

Los Estados miembros establecerán un registro público en el que figuren las entidades de pago autorizadas y sus agentes y sucursales, así como las personas físicas o jurídicas y sus agentes y sucursales que se beneficien de una excepción con arreglo al artículo 26, y aquellas entidades mencionadas en el artículo 2, apartado 3, a las que su legislación nacional autorice a prestar servicios de pago. Constarán en el registro público del Estado miembro de origen.

En dicho registro se harán constar los servicios de pago para los que se haya habilitado a la entidad de pago o para los que esté registrada la persona física o jurídica. Las entidades de pago autorizadas constarán en el registro en una lista aparte de las personas físicas o jurídicas que hayan sido registradas con arreglo al artículo 26. El registro estará a disposición pública para su consulta, será accesible en línea y se actualizará periódicamente.

Artículo 14.- Mantenimiento de la autorización

En caso de que se produzca cualquier cambio que afecte a la exactitud de la información y las pruebas facilitadas de conformidad con el artículo 5, la entidad de pago informará de ello sin demora a las autoridades competentes de su Estado miembro de origen.

Artículo 15.- Contabilidad y auditoría legal

1. La Directiva 78/660/CEE y, en su caso, la Directiva 83/349/CEE, la Directiva 86/635/CEE y el Reglamento (CE) nº 1606/2002 del Parlamento Europeo y del Consejo, de 19 de julio de 2002, relativo a la aplicación de normas internacionales de contabilidad (27), se aplicarán mutatis mutandis a las entidades de pago.

2. A menos que estén exentas con arreglo a la Directiva 78/660/CEE y, en su caso, la Directiva 83/349/CEE y la Directiva 86/635/CEE, las cuentas anuales y las cuentas consolidadas de las entidades de pago serán objeto de auditoría por parte de auditores legales o de empresas de auditoría con arreglo a lo dispuesto en la Directiva 2006/43/CE.

3. A efectos de la supervisión, los Estados miembros establecerán que las entidades de pago presenten por separado la contabilidad relativa a los servicios de pago incluidos en el anexo y la relativa a las actividades mencionadas en el artículo 16, apartado 1, que serán objeto de un informe de auditoría. En su caso, elaborarán este informe los auditores legales o una empresa de auditoría.

4. Las obligaciones establecidas en el artículo 53 de la Directiva 2006/48/CE se aplicarán mutatis mutandis a los auditores legales o empresas de auditoría de las entidades de pago con respecto a las actividades de servicio de pago.

Artículo 16.- Actividades

1. Aparte de la prestación de los servicios de pago que se contemplan en el anexo, las entidades de pago estarán habilitadas para llevar a cabo las siguientes actividades:

a) prestación de servicios operativos o servicios auxiliares estrechamente relacionados, tales como la garantía de la ejecución de operaciones de pago, servicios de cambio de divisas, actividades de custodia y almacenamiento y tratamiento de datos;

b) la gestión de sistemas de pago, sin perjuicio del artículo 28;

c) actividades económicas distintas de la prestación de servicios de pago, con arreglo a la legislación comunitaria y nacional aplicable.

2. Cuando las entidades se pago se dediquen a la prestación de uno o más de los servicios de pago que figuran en el anexo, únicamente podrán mantener cuentas de pago cuyo uso exclusivo se limite a operaciones de pago. Los fondos recibidos por las entidades de pago de los usuarios de servicios de pago con vistas a la prestación de servicios de pago no constituirán depósitos u otros fondos reembolsables a efectos del artículo 5 de la Directiva 2006/48/CE, ni dinero electrónico a efectos del artículo 1, apartado 3, de la Directiva 2000/46/CE.

3. Las entidades de pago podrán conceder créditos en relación con los servicios de pago contemplados en los puntos 4, 5 y 7 del anexo únicamente si se cumplen las siguientes condiciones:

a) se tratará de un crédito subordinado concedido exclusivamente en relación con la ejecución de una operación de pago;

b) sin perjuicio de lo dispuesto en la normativa nacional en materia de concesión de créditos mediante tarjetas de crédito, el crédito concedido en relación con el pago, ejecutado con arreglo al artículo 10, apartado 9, y al artículo 25, será reembolsado dentro de un plazo corto que, en ningún caso, será superior a doce meses;

c) dicho crédito no se concederá con cargo a los fondos recibidos o en posesión a efectos de la ejecución de una operación de pago, y

d) los fondos propios de la entidad de pago serán en todo momento adecuados a criterio de las autoridades de supervisión y teniendo en cuenta la cuantía total de los créditos concedidos.

4. Las entidades de pago no podrán llevar a cabo actividades de constitución de depósitos u otros fondos reembolsables en el sentido del artículo 5 de la Directiva 2006/48/CE.

5. La presente Directiva no prejuzgará las medidas nacionales de aplicación de la Directiva 87/102/CEE. La presente Directiva no prejuzgará tampoco ninguna otra normativa comunitaria o nacional respecto de las condiciones para conceder créditos a los consumidores no armonizadas por la presente Directiva, que sean conformes con el Derecho comunitario.

Sección 2.- Otros requisitos

Artículo 17.- Utilización de agentes, sucursales o entidades mediante actividades externalizadas

1. Las entidades de pago que tengan el propósito de prestar servicios de pago a través de un agente deberán comunicar la siguiente información a las autoridades competentes de su Estado miembro de origen:

a) nombre y domicilio del agente;

b) una descripción de los mecanismos de control interno que vayan a utilizar los agentes a fin de cumplir las obligaciones que establece la Directiva 2005/60/CE con respecto al blanqueo de capitales y a la financiación del terrorismo, y

c) la identidad de los directores y personas responsables de la gestión del agente que vaya a utilizarse en la prestación de servicios de pago, así como la prueba de que se trata de personas con los conocimientos y capacidades necesarios.

2. Cuando las autoridades competentes reciban la información de conformidad con el apartado 1, podrán entonces incluir al agente de que se trate en el registro contemplado en el artículo 13.

3. Antes de incluir al agente en el registro, las autoridades competentes podrán, en caso de que consideren que la información facilitada es incorrecta, proceder a ulteriores averiguaciones para comprobar dicha información.

4. Si, de resultas de dichas averiguaciones adicionales, las autoridades competentes siguen dudando de que la información que se les ha proporcionado con arreglo a lo dispuesto en el apartado 1 sea correcta, se negarán a incluir al agente de que se trate en el registro contemplado en el artículo 13.

5. Si la entidad de pago desea prestar servicios de pago en otro Estado miembro mediante la contratación de un agente, deberá seguir los procedimientos establecidos en el artículo 25. En este caso, antes de que pueda registrarse al agente con arreglo a lo dispuesto en el presente artículo, las autoridades competentes del Estado miembro de origen informarán a las autoridades competentes del Estado miembro de acogida de su intención de registrar a dicho agente y tener en cuenta su parecer.

6. En caso de que las autoridades competentes del Estado miembro de acogida tengan motivos razonables para sospechar que, en relación con la contratación del agente o el establecimiento de la sucursal previstos, se están perpetrando o ya se han perpetrado o intentado actividades de blanqueo de dinero o de financiación del terrorismo con arreglo a lo dispuesto en la Directiva 2005/60/CE, o que la contratación de dicho agente o el establecimiento de dicha sucursal podrían aumentar el riesgo de blanqueo de dinero o financiación del terrorismo, informarán a las autoridades competentes del Estado miembro de origen, las cuales podrán negarse a registrar al agente o sucursal, o podrán revocar la inscripción en caso de haberse ya realizado.

7. Cuando una entidad de pago pretenda externalizar funciones operativas relacionadas con los servicios de pago, deberá informar de ello a las autoridades competentes de su Estado miembro de origen.

La externalización de funciones operativas importantes deberá realizarse de modo tal que no afecte significativamente ni a la calidad del control interno de dichas funciones por parte de la entidad de pago ni a la capacidad de las autoridades competentes para controlar que la entidad de pago cumple todas las obligaciones que establece la presente Directiva.

A efectos del párrafo segundo, una función operativa se considerará importante si una anomalía o deficiencia en su ejecución puede afectar de manera sustancial a la capacidad de la entidad de pago para cumplir permanentemente las condiciones que se derivan de su autorización en virtud del presente título, o sus demás obligaciones en el marco de la presente Directiva, o afectar a los resultados financieros, a la solidez o a la continuidad de sus servicios de pago. Los Estados miembros se asegurarán de que, cuando las entidades de pago externalicen funciones operativas importantes, cumplan con las siguientes condiciones:

a) la externalización no dará lugar a la delegación de responsabilidad por parte de la alta dirección;

b) no alterará las relaciones y obligaciones de la entidad de pago con respecto a sus usuarios de conformidad con la presente Directiva;

c) no irá en menoscabo de las condiciones que debe cumplir la entidad de pago para recibir la autorización de conformidad con el presente título, y para conservarla, y

d) no dará lugar a la supresión o modificación de ninguna de las restantes condiciones a las que se haya supeditado la autorización de la entidad de pago.

Las entidades de pago se asegurarán de que los agentes o sucursales que actúen en su nombre informen de ello a los usuarios de servicios de pago.

Artículo 18.- Responsabilidad

1. Los Estados miembros velarán por que, cuando las entidades de pago que recurran a terceros para la realización de funciones operativas, dichas entidades adopten medidas razonables para garantizar el cumplimiento de los requisitos establecidos en la presente Directiva.

2. Los Estados miembros exigirán que las entidades de pago sean plenamente responsables de los actos de sus empleados y de cualesquiera agentes, sucursales o instituciones a las que se hayan externalizado sus actividades.

Artículo 19.- Mantenimiento de registros

Los Estados miembros exigirán a las entidades de pago que conserven todos los documentos necesarios a efectos del presente título durante cinco años como mínimo, sin perjuicio de lo dispuesto en la Directiva 2005/60/CE y de otras disposiciones de la legislación comunitaria o nacional pertinente.

Sección 3.- Autoridades competentes y supervisión

Artículo 20.- Designación de las autoridades competentes

1. Los Estados miembros designarán como autoridades competentes responsables de la autorización y supervisión prudencial de las entidades de pago que tengan que llevar a cabo las funciones establecidas a tenor del presente título a autoridades públicas o a organismos reconocidos por el derecho nacional o por autoridades públicas expresamente facultadas a tal fin en virtud del derecho nacional, incluidos los bancos centrales nacionales.

Las autoridades competentes garantizarán su independencia con respecto a los organismos económicos y evitarán conflictos de intereses. Sin perjuicio de lo dispuesto en el primer párrafo, no podrán ser designadas autoridades competentes las entidades de pago, las entidades de crédito, las entidades de dinero electrónico ni las instituciones de giro postal.

Los Estados miembros informarán al respecto a la Comisión.

2. Los Estados miembros velarán por que las autoridades competentes designadas en virtud del apartado 1 posean todas las facultades necesarias para el desempeño de su cometido.

3. Cuando exista en su territorio más de una autoridad competente en los asuntos indicados en el presente título, los Estados miembros garantizarán que dichas autoridades colaboren estrechamente entre sí a fin de poder cumplir con eficacia sus cometidos respectivos. Los Estados miembros harán lo propio cuando las autoridades competentes en asuntos recogidos en el presente título no sean las autoridades competentes responsables de la supervisión de las entidades de crédito.

4. Las funciones de las autoridades competentes designadas en virtud del apartado 1 serán responsabilidad de las autoridades competentes del Estado miembro de origen.

5. El apartado 1 no implicará que las autoridades competentes hayan de supervisar actividades empresariales de las entidades de pago distintas de la prestación de servicios de pago, incluidos en el anexo, y de las actividades enumeradas en el artículo 16, apartado 1, letra a).

Artículo 21.- Supervisión

1. Los Estados miembros velarán por que los controles efectuados por las autoridades competentes a fin de comprobar que se mantenga el cumplimiento de lo dispuesto en el presente título sean proporcionados, suficientes y adecuados para los riesgos a los que se encuentran expuestas las entidades de pago.

A fin de comprobar el cumplimiento de lo dispuesto en el presente título, las autoridades competentes estarán facultadas para adoptar las medidas siguientes, en particular:

a) exigir a la entidad de pago que facilite toda la información necesaria para supervisar el cumplimiento;

b) efectuar inspecciones in situ de la entidad de pago, en cualesquiera agentes o sucursales que presten servicios de pago bajo la responsabilidad de la entidad de pago o en las entidades que realicen las actividades relacionadas con servicios de pago que se hayan externalizado;

c) emitir recomendaciones y directrices y, cuando proceda, medidas administrativas de obligado cumplimiento, y

e) suspender o revocar la autorización en los casos indicados en el artículo 12.

2. Sin perjuicio de los procedimientos de revocación de la autorización y de la responsabilidad penal, los Estados miembros establecerán que sus respectivas autoridades competentes puedan adoptar sanciones contra las entidades de pago o sus directivos responsables, por infracción de disposiciones legales, reglamentarias o administrativas en materia de supervisión o de ejercicio de la actividad, o adoptar a su respecto sanciones o medidas cuya aplicación tenga por objeto poner fin a las infracciones comprobadas o a sus causas.

3. Sin perjuicio de lo dispuesto en el artículo 6, en el artículo 7, apartados 1 y 2, y en el artículo 8, los Estados miembros garantizarán que las autoridades competentes estén habilitadas para adoptar las medidas contempladas en el apartado 1 del presente artículo para garantizar la existencia de capital suficiente para los servicios de pago, en particular cuando las actividades de la entidad de pago en relación con servicios distintos de los pagos perjudiquen o puedan perjudicar a la solidez financiera de la entidad de pago.

Artículo 22.- Secreto profesional

1. Los Estados miembros velarán por que todas las personas que trabajen o hayan trabajado para las autoridades competentes, así como los expertos que actúen por cuenta de las autoridades competentes, estén sometidos a la obligación de secreto profesional, sin perjuicio de los asuntos cubiertos por el Derecho penal.

2. A fin de garantizar la protección de los derechos individuales y comerciales, se observará estricto secreto profesional en relación con el intercambio de información indicado en el artículo 24.

3. Los Estados miembros podrán aplicar el presente artículo teniendo en cuenta, mutatis mutandis, los artículos 44 a 52 de la Directiva 2006/48/CE.

Artículo 23.- Derecho de recurso judicial

1. Los Estados miembros dispondrán que las decisiones tomadas por las autoridades competentes con respecto a una entidad de pago en virtud de las disposiciones legales, reglamentarias y administrativas adoptadas conforme a la presente Directiva puedan ser objeto de recurso judicial.

2. Lo dispuesto en el apartado 1 será también de aplicación en caso de omisión.

Artículo 24.- Intercambio de información

1. Las autoridades competentes de los distintos Estados miembros cooperarán entre sí y, cuando corresponda, con el Banco Central Europeo, los bancos centrales nacionales de los Estados miembros y las demás autoridades competentes designadas en virtud de la legislación comunitaria o nacional aplicable a los proveedores de servicios de pago.

2. Asimismo, los Estados miembros permitirán el intercambio de información entre sus autoridades competentes y:

a) las autoridades competentes de otros Estados miembros responsables de la autorización y supervisión de las entidades de pago;

b) el Banco Central Europeo y los bancos centrales nacionales de los Estados miembros, en su calidad de autoridades monetarias y de supervisión, y, en su caso, otras autoridades públicas responsables de la vigilancia de los sistemas de pago y liquidación;

c) otras autoridades pertinentes designadas en virtud de la presente Directiva, de la Directiva 95/46/CE, de la Directiva 2005/60/CE y de otras disposiciones de derecho comunitario aplicables a los proveedores de servicios de pago, como la legislación aplicable en materia de protección de las personas en relación con el tratamiento de datos personales, así como de blanqueo de dinero y de financiación del terrorismo.

Artículo 25.- Ejercicio del derecho de libertad de establecimiento y libre prestación de servicios

1. Toda entidad de pago autorizada que desee prestar servicios de pago por primera vez en un Estado miembro distinto de su Estado miembro de origen en virtud del derecho de establecimiento o libre prestación de servicios lo comunicará a las autoridades competentes de su Estado miembro de origen.

En el plazo de un mes desde la recepción de dicha información, las autoridades competentes del Estado miembro de origen comunicarán a las autoridades competentes del Estado miembro de acogida el nombre y la dirección de la entidad de pago, los nombres de las personas responsables de la gestión de la sucursal, su estructura organizativa y el tipo de servicios de pago que pretende prestar en el territorio del Estado miembro de acogida.

2. A fin de poder llevar a cabo los controles y aplicar las medidas necesarias que establece el artículo 21 con respecto a un agente, una sucursal o una entidad a la que se han externalizado actividades de una entidad de pago situada en territorio de otro Estado miembro, la autoridad competente del Estado miembro de origen cooperará con las autoridades competentes del Estado miembro de acogida.