Directiva/95/46

July 11, 2004

Principal
Acerca de mí
Protección de Datos
Comercio Electrónico
Seguridad
Mis Favoritos
Propiedad Intelectual

 

Las Directivas dictadas en el seno del parlamento europeo pueden tener como destinatarios uno, varios o todos los Estados de la Unión. En este caso, la Directiva 95/46/CE tiene como destinatarios a todos los Estados miembros.

            Las Directivas vinculan al Estado miembro destinatario en cuanto al resultado que se pretende obtener, las autoridades nacionales son las llamadas a determinar la forma y los medios para llevarlo a cabo. Así, es necesaria la transposición para adaptar el derecho nacional a la Directiva.

            La transposición de la Directiva 95/46/CE se realizó en España mediante la promulgación de la Ley 15/1999 de 13 de diciembre, de Protección de Datos de carácter personal.

            La presente Directiva se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

            Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal.

            Tampoco se aplicará al tratamiento efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

            La protección de las personas jurídicas respecto del tratamiento de datos que las conciernen no es objeto de la presente directiva.

            A efectos de la presente Directiva, se entenderá por:

viñeta

Datos personales: Toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
viñeta

Tratamiento de datos personales: Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
viñeta

Fichero de datos personales: Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

viñeta

Responsable del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;
viñeta

Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;
viñeta

Tercero: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;
viñeta

Destinatario: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;
viñeta

Consentimiento: Toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

           En cuanto a la calidad de los datos el artículo 6 establece que los datos de carácter personal deberán ser tratados de manera leal y lícita, recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines.[1] Además, los datos deberán ser adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente, exactos y, cuando sea necesario, actualizados. Por último, deberán ser conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos.

            Cabe señalar, que el considerando 28 de la Directiva señala que las finalidades objeto del tratamiento deben estar determinadas en el momento de obtener los datos.

            En cuanto a la necesidad de recabar el consentimiento para realizar el tratamiento de los datos, el artículo 7 de la directiva establece que será legítimo sólo si el interesado ha otorgado su consentimiento de forma inequívoca. Como excepciones a este consentimiento, la directiva recoge:

-         si es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado.

-         si es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento.

-         si es necesario para proteger el interés vital del interesado.

-         si es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos.

-         si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado.

            En cuanto al tratamiento de datos sensibles, el artículo 8 de la directiva establece la prohibición de realizar tratamientos de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad. Excepcionalmente, éstos datos podrán ser tratados cuando:

-         el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la prohibición no pueda levantarse aún con el consentimiento del interesado.

-         el tratamiento sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral en la medida en que esté autorizado por la legislación y ésta prevea garantías adecuadas.

-         el tratamiento sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

-         el tratamiento sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo sin fin de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de los interesados.

-         el tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos o sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

-         cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

-         El tratamiento se refiera a infracciones, condenas penales o medidas de seguridad.

            Los Estados, siempre que dispongan de las garantías necesarias podrán establecer otras excepciones.

            En cuanto  al derecho de información, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

-         la identidad del responsable del tratamiento y, en su caso, de su representante;

-         los fines del tratamiento de que van a ser objeto los datos;

-         cualquier otra información tal como: cesionarios, carácter obligatorio o no de las respuestas y consecuencias de no contestar, existencia de los derechos de acceso y rectificación respecto de los datos que les conciernen. En el supuesto de que los datos hayan sido obtenidos de un tercero, el responsable del tratamiento o su representante deberá cumplir con el derecho de información desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos,

            En cuanto al ejercicio de derechos, el artículo 12 de la directiva establece que los Estados miembros deberán garantizar a todos los interesados el derecho a obtener del responsable del tratamiento la información concerniente a ellos. Igualmente deberán garantizar, en su caso, el ejercicio de los derechos de rectificación, supresión o bloqueo de los datos cuando el tratamiento realizado no se ajuste a las disposiciones de la Directiva, especialmente en los supuestos de datos incompletos o inexactos.  Finalmente, el responsable del tratamiento, deberá comunicar  a los cesionarios  de la información, la rectificación supresión o bloqueo de los datos que hayan sido comunicados, salvo que esto resulte imposible o suponga un esfuerzo desproporcionado.

            En cuanto al derecho de oposición regulado en el artículo 14 de la directiva, deberá garantizarse, al menos, en los supuestos en los que el tratamiento se efectúa por ser necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable de tratamiento o a un tercero a quien se comuniquen los datos; o cuando el tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por terceros a quien se comuniquen los datos cuando no prevalezca el interés o los derechos y libertades fundamentales  del interesado.

            El derecho a oposición podrá ejercerse en cualquier momento y por razones legítimas propias del interesado, salvo que disposiciones internas establezcan lo contrario.

            Igualmente podrá ejercerse previa petición  y sin gastos, cuando el tratamiento tenga como finalidad la prospección o tenga como finalidad la cesión a terceros con ese fin.

            En cuanto a las decisiones individuales automatizadas, el artículo 15 de la Directiva reconoce el derecho de los interesados a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc. Sin perjuicio de lo anterior, los Estados miembros permitirán, que el interesado sea objeto de este tipo de decisiones cuando:

-         se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para la salvaguardia de su interés legítimo.

-         esté autorizada por una ley que establezca medidas que garanticen el interés legítimo del interesado.

            En cuanto a las medidas de seguridad, los Estados miembros establecerán las obligaciones del responsable del fichero respecto a las medidas técnicas y de organización adecuadas para la protección de los datos personales contra la destrucción accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso  no autorizado, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red y, contra cualquier otro tratamiento ilícito de datos personales.

            En cuanto a las prestaciones de servicios, cuando el tratamiento se realice por encargo deberá estar regulado en un contrato u acto jurídico que vincule al encargado del tratamiento con el responsable del mismo, que disponga que el encargado sólo actuará siguiendo instrucciones del responsable del tratamiento y aplicará al tratamiento las medidas de seguridad correspondientes.

            En cuanto a la transferencia internacional de datos, el artículo 25 de la Directiva  establece como principio general para realizar transferencia de datos a terceros países que se garantice  en éstos un nivel adecuado de protección. El nivel de protección que ofrece un tercer país se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

            Los Estados miembros y la Comisión se comunicarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado. En cuyo caso, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

            Sin perjuicio de lo anterior, la Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado.

            Excepcionalmente se podrá realizar transferencia de datos a un tercer país que no cumpla con el nivel de protección adecuado cuando:

-         el interesado haya dado su consentimiento inequívocamente a la transferencia prevista.

-         la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado.

-         la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero.

-         la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

-         la transferencia sea necesaria para la salvaguardia del interés vital del interesado.

-         la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta.

            Los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

[1] No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas.