02-MArenasFP_DA.qxd 26/8/08 19:01 Página 113 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL LA PROTECCIÓN DE DATOS PERSONALES EN LOS PAÍSES DE LA UNIÓN EUROPEA Mónica Arenas Ramiro Profesora Ayudante Doctor Universidad de Alcalá de Henares La protección de datos personales es un derecho relativamente reciente que se ha ido reconociendo en cada uno de los Estados miembros de la Unión Europea influenciado por la labor que a nivel europeo han venido desarrollando, legislativa y jurisprudencialmente, instituciones como el Consejo de Europa, el Tribunal Europeo de Derechos Humanos, el Parlamento Europeo, la Comisión, el Consejo y el Tribunal de Justicia de las Comunidades Europeas. Por este motivo, en el presente artículo, se describe cómo ha sido el reconocimiento del derecho a la protección de datos personales en la Unión Europea —con la problemática que la materia de derechos fundamentales tiene en este nivel— para pasar posteriormente a analizar el reconocimiento de dicho derecho en los Estados miembros, completándolo con la regulación jurídica y las garantías específicas —Autoridades de Protección de Datos— que cada Estado le reconoce. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 113 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 114 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro SUMARIO 1. 2. 3. EL RECONOCIMIENTO DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES EN LA UNIÓN EUROPEA. 1.1. La problemática de los derechos fundamentales en la Unión Europea. 1.2. El reconocimiento del derecho a la protección de datos personales. EL RECONOCIMIENTO DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES POR PARTE DE LOS PAÍSES DE LA UNIÓN EUROPEA. 2.1. El proceso de reconocimiento por parte de los Estados miembros. 2.2. El fundamento del derecho. 2.3. Titulares y obligados. 2.4. Contenido y límites. 2.5. Garantías. LA REGULACIÓN JURÍDICA DEL TRATAMIENTO DE DATOS PERSONALES EN LOS PAÍSES DE LA UNIÓN EUROPEA. REFERENCIA BIBLIOGRÁFICA. Listado de abreviaturas utilizadas: AEPD Agencia Española de Protección de Datos. BVerfGE Bundesverfassungsgerichtentscheidung (Sentencia del Tribunal Constitucional alemán). STC Sentencia del Tribunal Constitucional español. STEDH Sentencia del Tribunal Europeo de Derechos Humanos. CEDH Convenio Europeo de Derechos Humanos. CNIL Commission Nationale de l’Informatique et des Libertés. STJCE Sentencia del Tribunal de Justicia de las Comunidades Europeas. CNPD Comissão Nacional de Protecção de Dados. TCE Tratado de la Comunidad Europea. LO Ley Orgánica. TEDH Tribunal Europeo de Derechos Humanos. LOPD Ley Orgánica 15/1999, de Protección de Datos Personales. TJCE LORTAD Ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de Datos Personales. Tribunal de Justicia de las Comunidades Europeas. TUE Tratado de la Unión Europea. 114 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 115 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 1. EL RECONOCIMIENTO DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES EN LA UNIÓN EUROPEA 1.1. LA PROBLEMÁTICA DE LOS DERECHOS FUNDAMENTALES EN LA UNIÓN EUROPEA Antes de centrarnos en el análisis de un derecho fundamental como es el derecho a la protección de datos personales debemos hacer una remisión a la problemática que en torno a los derechos fundamentales ha existido, y sigue existiendo, en la Unión Europea. Cuando se constituyó la Comunidad Europea, los Tratados constitutivos —debido a su carácter predominantemente económico— no incluyeron un catálogo de derechos ni disposiciones específicas al respecto (1). Y aunque en los proyectos y debates previos a la elaboración de los mismos se había discutido la posibilidad de hacerlo, finalmente se consideró que en materia de derechos fundamentales ya existía el Convenio Europeo de Derechos Humanos (CEDH) de 1950 suscrito por los Estados miembros, el cual constituía, en opinión de todos, una garantía suficiente (2). 1. Según el Prof. RUBIO, esto obedecía «dicho con un poco de cinismo, al hecho de que la ideología de los derechos todavía no había alcanzado la importancia y el ascendiente que después ha tenido». Vid. RUBIO LLORENTE, F.: «Los derechos fundamentales en la Unión Europea y el estatuto de la Carta», en EuropaFutura.org, núm. 4, 2004, p. 17. Sobre las causas del silencio, vid. entre otros PI LLORENS, M.: Los derechos fundamentales en el ordenamiento jurídico comunitario, Ariel, Barcelona, 1999, pp. 19-22; y MANGAS MARTÍN, A.: La Constitución Europea, Iustel, Madrid, 2005, p. 178. 2. La citada necesidad se reconoció en la Declaración conjunta del Parlamento Europeo, la Comisión y el Consejo, de 5 de abril de 1977. Vid., también, CARRILLO, M.: «La Unión Europea ante los derechos fundamentales», en VV.AA., La democracia constitucional. Homenaje al Profesor Francisco Rubio Llorente, vol. II, Centro de Estudios Políticos y Constitucionales, Madrid, 2002, p. 1.407; ALONSO GARCÍA, R. y SARMIENTO, D.: REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 115 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 116 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro Pero, como cabía esperar, los problemas que a «nivel económico» se sucedían afectaban también a los derechos fundamentales de los titulares implicados. Por este motivo, entre los años cincuenta y principios de los sesenta del siglo XX, ante casos en los que se solicitaba la anulación de determinadas disposiciones comunitarias por entender que lesionaban derechos fundamentales consagrados en las Constituciones de los Estados miembros, el Tribunal de Justicia de las Comunidades Europeas (TJCE) —institución que representa el poder judicial en la Comunidad Europea y que se encarga de garantizar el respeto del Derecho comunitario— se planteó la cuestión de la protección eficaz de los derechos fundamentales en el ordenamiento comunitario (3). Aunque en un primer momento el TJCE rechazó pronunciarse sobre el tema alegando ser incompetente para interpretar y aplicar normas nacionales (4), ante la «rebelión de los Tribunales constitucionales», en especial el alemán y el italiano, que amenazaban con ser ellos los que se pronunciaran en esos casos (5), el TJCE reaccionó y comenzó a reconocer de un modo gradual su competencia sobre la protección de los derechos fundamentales en el ordenamiento comunitario. Y del mismo modo, los Tribunales Constitucionales nacionales se pronunciaron al respecto, afirmando que mientras el TJCE otorgara La Carta de Derechos Fundamentales en la Unión Europea, Aranzadi, Cizur Menor (Navarra), 2006, p. 18; y BLACKBURN, R.: «Current Developments, Assessment, and Prospects», en BLACKBURN, R. y POLAKIEWICZ, J.: Fundamental Rights in Europe, Oxford University Press, Oxford, 2001, pp. 90-94. 3. El artículo 220 del TCE reconoce las competencias del TJCE y del Tribunal de Primera Instancia (TPI), que se creó por Decisión 88/591, del Consejo, de 24 de octubre de 1988, considerándolo el artículo 225 del TCE una institución independiente y autónoma integrada en el TJCE. 4. Vid. SSTJCE de 4 de febrero de 1959, caso Stork; de 15 de julio de 1960, caso Ruhrkohlen-Verkaufsgesellschaften; y de 1 de abril de 1965, caso Sgarlatta. Vid. BIGLINO CAMPOS, P.: «Derechos fundamentales y competencias de la Unión: el argumento Hamilton», en Revista de Derecho Comunitario Europeo, núm. 14, 2003, p. 49. 5. Vid. BVerfGE de 29 de mayo de 1974, caso Solange I; Sentenza de la Corte Costituzionale de 27 de diciembre de 1973, caso Frontini; y para el caso español, STC 64/1991, de 22 de marzo. Sobre esta cuestión, vid. ARNOLD, R.: «Los derechos fundamentales comunitarios y los derechos fundamentales en las Constituciones nacionales», en MATIA PORTILLA, F.J. (dir.), La protección de los derechos fundamentales en la Unión Europea, Civitas, Madrid, 2002, pp. 52-53; y RUIZ MIGUEL, C.: «El largo y tortuoso camino hacia la Carta de los Derechos Fundamentales de la Unión Europea», en RUIZ MIGUEL, C. (coord.), Estudios sobre la Carta de los Derechos Fundamentales de la Unión Europea, Universidad de Santiago de Compostela, A Coruña, 2004, pp. 28-32, quien, por el contrario, mantiene que los Tribunales alemán e italiano no pretendían «rebelarse», sino hacer valer el principio de primacía. 116 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 117 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea una protección equivalente a la que ellos otorgaban a los derechos fundamentales se abstendrían de intervenir (6). De esta forma, puesto que los Tratados no contenían ningún catálogo de derechos fundamentales, fue el propio TJCE el que, desde finales de los años 60, se encargó de ir elaborando, a través de los casos que caían en sus manos, es decir, de una forma «pretoriana», un cierto catálogo de derechos fundamentales que tenían el valor de «principios generales del Derecho comunitario» (7). Así, es el TJCE el que debe garantizar su plena vigencia al interpretarlos y aplicarlos, mientras que la labor de los jueces de los Estados miembros queda reducida a inaplicar las leyes nacionales contrarias al Derecho comunitario, sin acudir al procedimiento que estarían obligados a seguir si la invalidez de la ley se derivase de una falta de adecuación a su texto constitucional (8). En esta labor pretoriana, el TJCE utilizará el CEDH como un «argumento auxiliar para consolidar soluciones derivadas en primer lugar del propio derecho comunitario», configurando así, «a golpe de sentencia», los derechos fundamentales como principios propios del ordenamiento comunitario, extrayéndolos más allá de los Tratados, de las tradiciones constitucionales comunes de 6. Vid. BVerfGE de 26 de octubre de 1986, caso Solange II, y la de 12 de octubre de 1993, caso Maastricht. Vid. CHUECA SANCHO, A.G.: «La evolución de los derechos fundamentales en los Tratados comunitarios», en MATIA PORTILLA, F.J., La protección de los derechos fundamentales en la Unión Europea, Civitas, Madrid, 2002, pp. 40-47. 7. El primer caso en el que el TJCE se pronuncia sobre los derechos fundamentales es en el caso Stauder (STJCE de 12 de noviembre de 1969), donde reconoce que dichos derechos se entienden parte integrante de los principios generales del Derecho comunitario. Más adelante, en los casos Internationale Handelsgesellschaft (STJCE de 17 de diciembre de 1970) y, de forma más clara, desde el caso Nold (STJCE de 14 de mayo de 1974), se afirma ya la protección de los derechos fundamentales como parte integrante del Derecho comunitario con expresa referencia a las tradiciones constitucionales comunes y a los tratados internacionales sobre derechos fundamentales. Vid. BALAGUER CALLEJÓN, F.: «Derecho y derechos en la Unión Europea», en CORCUERA ATIENZA, J. (coord.), La protección de los derechos fundamentales en la Unión Europea, Dykinson, Madrid, 2002, p. 44; y RODRÍGUEZ BEREIJO, A.: «La Carta de los derechos fundamentales de la Unión Europea y la protección de los derechos humanos», en FERNÁNDEZ SOLA, N. (coord.), Unión Europea y Derechos fundamentales en perspectiva constitucional, Dykinson, Madrid, 2004, pp. 11-13. Críticos con esta postura, RUBIO LLORENTE, F.: «Mostrar los derechos sin destruir la Unión», en GARCÍA DE ENTERRÍA, E. (dir.) y ALONSO GARCÍA, R. La encrucijada constitucional de la Unión Europea, Civitas, Madrid, 2002, p. 123. 8. Así por ejemplo, en la STJCE de 9 de marzo de 1978, caso Simmenthal, el TJCE señaló que el juez nacional debía aplicar el Derecho comunitario y no el nacional cuando ambos Derechos entrasen en conflicto; y en el caso Foto Frost, de 22 de octubre de 1987, el TJCE consideró que él era el único órgano capacitado para decidir sobre la invalidez de una norma comunitaria, aplicando los parámetros propios del Derecho comunitario. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 117 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 118 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro los Estados miembros y del CEDH (9). En relación con el CEDH, tenemos que recordar aquí que desde finales de los años 70 y en diversas ocasiones, otra posibilidad que se planteaba ante la ausencia de un catálogo propio de derechos fundamentales, era la adhesión de la Comunidad Europea al CEDH, posibilidad que sigue abierta (10). Un paso más en este proceso de reconocimiento de los derechos fundamentales a nivel comunitario se produjo en 1992. En este año se firmó en Maastricht el Tratado de la Unión Europea (en adelante, TUE) cuyo artículo 6, apartados 1 y 2, pasó a incorporar formalmente la doctrina que hasta entonces había elaborado el TJCE sobre los derechos fundamentales, esto es, que los derechos fundamentales formaban parte del ordenamiento comunitario como principios generales del Derecho (11). De esta forma, a partir de 1992, se establece la obligación para la Unión Europea de respetar, como principios generales del Derecho comunitario, los derechos humanos y las libertades 9. Es en la Sentencia Rutili (STJCE de 28 de octubre de 1975) donde el TJCE hace la primera referencia explícita al CEDH, afirmando que el mismo es «fuente de inspiración», expresión que utilizará después en muchas más ocasiones, hasta que en la Sentencia Hauer (STJCE de 13 de diciembre de 1979), dando un paso más, se afirme que «…el Convenio (el CEDH) será examinado y, si corresponde, aplicado por el Tribunal cada vez que las partes hagan referencia a él». Se ha mantenido que el TJCE, consciente de la vaguedad de las tradiciones constitucionales comunes, privilegió el recurso al CEDH. Vid., como apoyo a esta teoría, el famoso caso alemán de «las bananas», BVerfGE de 7 de junio de 2000; y CORCUERA ATIENZA, J.: «La protección de los derechos fundamentales en la Unión Europea: el final de un túnel», en CORCUERA ATIENZA, J. (coord.), La protección de los Derechos Fundamentales en la Unión Europea, Dykinson, Madrid, 2002, pp. 69-70. 10. La Comisión ya había aconsejado esta posibilidad en su Memorándum de 4 de abril de 1979, y la reiteró el 19 de noviembre de 1990 y el 26 de octubre de 1993 con el documento «La adhesión de la Comunidad al Convenio Europeo de Derechos Humanos y el ordenamiento jurídico comunitario», hasta que en el año 1996 se decidió consultar al TJCE, que a través del Dictamen 2/94 (aprobado el 28 de marzo de 1996) señaló que la adhesión al CEDH sólo sería posible mediante una modificación de los Tratados. Así en el 2007 el Tratado de Lisboa que procede a reformar el TUE y el TCE recoge nuevamente dicha posibilidad. Vid. CHUECA SANCHO, A.G.: «Por una Europa de los derechos humanos: la adhesión de la Unión Europea al Convenio Europeo de Derechos Humanos», en FERNÁNDEZ SOLA, N. (coord.), Unión Europea y Derechos fundamentales en perspectiva constitucional, Dykinson, Madrid, 2004, pp. 39-40; SALINAS DE FRÍAS, A.: La protección de los Derechos Fundamentales en la Unión Europea, Comares, Granada, 2000, pp. 138 y ss.; y HÄBERLE, P.: «Derecho constitucional común europeo», en Revista de Estudios Políticos, núm. 79, 1993, pp. 25 y ss. 11. El TUE fue firmado en Maastricht el 7 de febrero de 1992, y entró en vigor el 1 de noviembre de 1993. Su art. 6 dispone: «1. La Unión se basa en los principios de libertad, democracia, respeto de los derechos humanos y de las libertades fundamentales y el Estado de Derecho, principios que son comunes a los Estados miembros. 2. La Unión respetará los derechos fundamentales tal y como se garantizan en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950, tal y como resultan de las tradiciones constitucionales comunes a los Estados miembros como principios generales del Derecho Comunitario». 118 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 119 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea fundamentales, tal y como se garantizan en el CEDH y en las tradiciones constitucionales comunes a los Estados miembros. La «lista comunitaria de derechos fundamentales», será, por tanto, la suma de los derechos contenidos en el CEDH, de los procedentes de las tradiciones constitucionales comunes y de los reconocidos por el TJCE, que es al mismo tiempo el órgano encargado de garantizarlos como principios generales del Derecho comunitario (12). Como este sistema seguía sin ser totalmente satisfactorio, en 1999 un Grupo de Expertos en derechos fundamentales elaboró un Informe subrayando con rotundidad la trascendencia de los derechos fundamentales en la Unión Europea y la necesidad de reconocerlos explícitamente (13). Y así en 2000 se procedió a la elaboración de un catálogo propio de derechos fundamentales, la Carta de Derechos Fundamentales para la Unión Europea (en adelante, la Carta). La Carta rompería así con el carácter marcadamente económico de los Tratados y orientaría la política de Europa hacia los derechos de los ciudadanos, demostrando que Europa puede ser algo más que un mercado único (14). Pero la cuestión llegados a este punto era que la citada Carta sólo había sido «solemnemente proclamada», con lo que su valor jurídico era muy relativo. Por este motivo, para otorgar un valor jurídico a la Carta, se procedió a su inserción en el «Tratado por el que se establece una Constitución para Europa» (en adelante, Constitución Europea), cuyo texto fue firmado en Roma el 29 de 12. En este sentido, vid. FREIXES SANJUÁN, T. y REMOTTI, J.C.: El futuro de Europa. Constitución y derechos fundamentales, Minim Ediciones, Valencia, 2002, pp. 92-94. 13. Informe de la Comisión Europea «Afirmación de los Derechos fundamentales en la Unión Europea. Ha llegado el momento de actuar», febrero de 1999, elaborado por un Grupo de Expertos bajo la Presidencia del Sr. D. Spiros Simitis. Sobre los diferentes impulsos (Proyecto Spinelli de 1984, Declaración de Derechos y Libertades Fundamentales del Parlamento de 12 de abril de 1989, Proyecto Oreja y Herman de 1994,…) llevados a cabo para la elaboración de un catálogo de derechos fundamentales, vid. FREIXES SANJUÁN, T. y REMOTTI, J.C.: El futuro de…, ob. cit., pp. 12-16; FONSECA MORILLO, F.J.: «La gestación y el contenido de la Carta de Niza», en MATIA PORTILLA, F.J. (dir.), La protección de los derechos fundamentales en la Unión Europea, Civitas, Madrid, 2002, p. 89; y RODRÍGUEZ, A.: Integración europea y derechos fundamentales, Civitas, Madrid, 2001, pp. 196-203. 14. Tras un largo proceso que comenzó con el Consejo Europeo de Colonia el 3 y 4 de junio de 1999, la Carta se proclamó solemnemente en el Consejo de Niza el 7 de diciembre de 2000 (DOUE C 364, de 18 de diciembre). La Carta se convertía así en «contrapeso» del euro. Esa idea tuvo su origen en el libro de COUDENHOVE-KALERGI, R.N.: Pan-Europa, Pan Europa Verlag, Viena, 1923 (en especial, pp. 143-144). Vid., también, RUIZ MIGUEL, C.: «El largo y…», ob. cit., pp. 13-21; y LÓPEZ GARRIDO, D.: La Constitución Europea, Bomarzo, Albacete, 2005, p. 49. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 119 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 120 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro octubre de 2004 (15), pero que finalmente no logró ver la luz, pues teniendo como requisito indispensable para su entrada en vigor —prevista para el 1 de noviembre de 2006— la ratificación por parte de todos los Estados miembros, el «no» en los referéndos celebrados en Francia y en los Países Bajos se lo impidió y sumió a la Unión en una profunda crisis; y volvió a convertir a la Carta en un mero texto «solemnemente proclamado» y sin ningún efecto jurídico (16). Crisis que podríamos decir que materialmente se ha visto superada con la aprobación del Tratado de Lisboa, firmado el 13 de diciembre de 2007, y que en estos momentos está siendo ratificado por los Estados miembros —condición también indispensable— para su entrada en vigor prevista el 1 de enero de 2009. En el proceso de elaboración del Tratado de Lisboa, además de tomarse la decisión de recoger en un nuevo documento la Carta que fue proclamada de nuevo solemnemente el 12 de diciembre de 2007, se adoptó igualmente la decisión de reconocerle valor vinculante (entrando en vigor el mismo día que el Tratado de Lisboa), y para ello el Tratado ha incluido en su articulado la previsión de que la Unión reconocerá los derechos, libertades y principios enunciados en la Carta, otorgándole además «el mismo valor jurídico que los Tratados» (17). De esta forma, la Carta pasa a ser Derecho originario —con algunos matices, pues no ha sido aprobada con las formalidades inherentes a los Tratados y hay 15. El texto de la Constitución Europea fue publicado en el DOUE C 310, de 16 de diciembre de 2004. La Carta fue incorporada, como se mantuvo en el Consejo Europeo de Laeken de 14 y 15 de diciembre de 2001, al texto de la Constitución Europea concretamente como Parte II de la misma (artículos II-61 a II-114), con lo que pasaba así a ser Derecho originario y a estar garantizada por el TJCE. Vid. WEBER, A.: «La Carta Europea de Derechos Fundamentales y la protección nacional de los derechos fundamentales», en VV.AA., La democracia constitucional. Homenaje al Profesor Francisco Rubio Llorente, vol. II, Centro de Estudios Políticos y Constitucionales, Madrid, 2002, pp. 1393-1394; y SICILIA OÑA, B.: Derechos fundamentales y Constitución Europea, Ararteko, Vitoria-Gasteiz, 2006. 16. En España la Constitución Europea se sometió a referéndum el 20 de febrero de 2005, con una respuesta afirmativa de la población. Vid., en este sentido, Resolución del Parlamento Europeo sobre el Tratado por el que se establece una Constitución para Europa, propuesta el 9 de diciembre de 2004 y aprobada el 12 de enero de 2005, por la que se recomendó a los 25 Estados miembros de la Unión ratificar el Tratado que establece la Constitución Europea; y LO 1/2005 por la que se aprueba el Instrumento de ratificación del Tratado que establece la Constitución Europea (BOE de 21 de mayo). Vid. PEDROL, X.: La Constitución Europea y sus mitos, Icaria, Barcelona, 2005. 17. El nuevo texto de la Carta, que es exactamente el mismo que el que se proclamó en Niza en 2000, se publicó en el DOUE C 303, de 14 de diciembre de 2007. Y el Tratado de Lisboa se encuentra publicado en el DOUE C 306, de 17 de diciembre de 2007. La referencia a la que se alude en el texto sobre el carácter vinculante de la Carta se encuentra prevista en la nueva redacción que el Tratado de Lisboa da al artículo 6 TUE. 120 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 121 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea Estados (Reino Unido y Polonia) que no se someterán a ella—, pasa a tener su mismo efecto vinculante y además, a someterse al control del TJCE. Esto quiere decir que los derechos fundamentales en la Unión Europea tendrán un mayor reconocimiento y gozarán de una mayor garantía. Aunque habrá que estar a la espera de ver qué es lo que sucede con el proceso de ratificación del Tratado de Lisboa del que pende su entrada en vigor. 1.2. EL RECONOCIMIENTO DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES Ya hemos visto cómo el reconocimiento de los derechos fundamentales en el ámbito de la Unión Europea ha pasado por diferentes fases. Pues bien, en el caso del derecho a la protección de datos personales el proceso ha sido semejante (18). El derecho a la protección de datos personales se ha desarrollado en el ordenamiento jurídico comunitario a través de la actividad del TJCE, «vía pretoriana», como todos los demás derechos fundamentales, pero, también, y especialmente, a través de la actividad normativa de las instituciones, que ha desempeñado un papel determinante en el reconocimiento y desarrollo del derecho y en la labor del TJCE. Aunque es finalmente su reconocimiento en la Carta de Derechos Fundamentales de la Unión Europea lo que le otorga un nuevo status (19). Antes de que se aprobase alguna norma comunitaria relativa a la protección de datos personales, se plantearon ante el TJCE diversos casos relacionados con datos personales de ciudadanos comunitarios. En estas primeras sen- 18. En detalle sobre todo este procedimiento, así como sobre los pronunciamientos jurisprudenciales, vid. ARENAS RAMIRO, M.: El derecho fundamental a la protección de datos personales en Europa, Tirant lo Blanch, Valencia, 2006, pp. 225-249. 19. Contrariamente algunos autores mantienen que este derecho, a diferencia de lo que ha sucedido con otros, se ha introducido vía legislación y posteriormente se ha desarrollado por la jurisprudencia. Se apoyan en el hecho de que el TJCE sí había reconocido el derecho a la vida privada, pero no un derecho a la protección de datos personales. Vid. RUIZ MIGUEL, C.: «El derecho a la protección de datos personales en la Carta de Derechos Fundamentales de la Unión Europea», en Revista de Derecho Comunitario Europeo, núm. 14, 2003, p. 15. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 121 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 122 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro tencias el Tribunal no reconoce todavía un derecho a la protección de datos personales autónomo del derecho a la vida privada y, por tanto, no se refiere expresamente a aquél, sino solamente a este último. El TJCE comienza por reconocer el derecho a la protección de datos (vida privada, dignidad) como principio general, para pasar después a incorporar la jurisprudencia del TEDH en la materia (20). El primer caso relativo a la protección de datos personales resuelto por el TJCE es el conocido caso Stauder. El caso trataba sobre una Decisión de la Comisión relativa a la venta de mantequilla a precio reducido a cambio de un cupón nominativo que se entregaba a personas en determinadas situaciones socio-económicas. Un ciudadano alemán argumentó que revelar su nombre y su condición económica era contrario a su dignidad personal y ante el TJCE se cuestionó si «la revelación del nombre del beneficiario a los vendedores era compatible con los principios generales del Derecho comunitario». En el presente caso, aunque el TJCE no hace referencia expresa a un derecho a la protección de datos personales, si entendemos, como ha hecho el TEDH, que el nombre es un dato personal que forma parte de la vida privada estamos ante un caso de protección de datos personales donde se produce la cesión a los vendedores (21). A partir de este caso, ante el TJCE se presentarán demandas relacionadas con datos personales que el Tribunal resolverá de forma diferente: En primer lugar, se plantearon ante el TJCE demandas que el Tribunal resolvió sin pronunciarse sobre la protección de los datos personales, bien por no poder demostrar el daño causado, bien por cuestiones procedimentales (22). En segundo 20. Vid., por ejemplo, STJCE de 26 de junio de 1980, caso National Panasonic; y STPI de 15 de mayo de 1997, caso N. vs. Comisión; GOLA, P.: «Datenschutz durch EG-Rechtsprechung? Grundrechtschutz in der EG», en Recht der Datenverarbeitung, 3 (1990), p. 111; y RIDEAU, J.: «Los derechos fundamentales comunitarios y los derechos humanos», en MATIA PORTILLA, F.J. (dir.), La protección de los derechos fundamentales en la Unión Europea, 2002, p. 66. 21. STJCE de 12 de noviembre de 1969, caso Stauder. Vid. también, por ejemplo, SSTEDH de 22 de febrero de 1994, caso Burghartz; de 25 de noviembre de 1994, caso Stjerna; y de 24 de octubre de 1996, caso Guillot. 22. STJCE de 7 de noviembre de 1985, caso Stanley George Adams, relativo a la transferencia o cesión de datos personales y la divulgación de los mismos; o la STJCE de 7 de octubre de 1987, caso Strack, y Conclusiones presentadas al caso por el Abogado General Darmon el 2 de julio de 1987, donde se analizaba el acceso a los datos médicos contenidos en el expediente personal de un funcionario de las Instituciones europeas. 122 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 123 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea lugar, el TJCE resolvió otro grupo de recursos —en los que ya tiene en cuenta el derecho a la protección de datos personales como principios generales del Derecho comunitario, aunque sin referirse a él expresamente— aplicando el «test de proporcionalidad» del TEDH para comprobar si ciertas medidas relacionadas con el tratamiento de datos personales estaban o no justificadas (23). Tras estas Sentencias, tendremos que esperar unos años, hasta 1999, para que el TJCE vuelva a pronunciarse sobre la protección de datos personales. De forma paralela a estos primeros pronunciamientos jurisprudenciales, en el plano legislativo, a la vista de la normativa tan diversa que existía en cada uno de los países de la Unión Europea y con el fin de lograr una libre circulación de datos personales entre los Estados miembros que no obstaculizara el mercado interior y la aproximación de las regulaciones existentes, se propuso que los Estados miembros de la Comunidad firmaran el Convenio 108 sobre Protección de Datos Personales. Ante el fracaso de esta propuesta, se decidió elaborar la normativa europea necesaria para la aproximación legislativa entre los Estados miembros en materia de protección de datos personales (24). La primera norma en la materia aprobada fue la Directiva 95/46/CE sobre Protección de Datos Personales. Esta norma contiene la definición de datos personales, el reconocimiento de los derechos de los titulares de datos personales (derecho a ser informado, derecho a la libre disposición de los datos, y derechos de acceso, rectificación y cancelación), los principios que deben regir 23. En este momento los casos relativos a datos personales que se le plantean al TJCE se refieren, o bien a los límites a la libre circulación de los datos como consecuencia de alguna de las cuatro libertades (circulación de mercancías, personas, servicios y capitales), o bien, en el marco de la defensa de la competencia, a las facultades de investigación de las instituciones comunitarias frente a la libre disposición de los datos personales por parte de su titular. Así, por ejemplo, el caso National Panasonic, de 26 de junio de 1980, en el que se reconoce por primera vez el derecho a la vida privada, y el caso Hoechst, de 21 de noviembre de 1989, en el que se cuestiona que las personas jurídicas puedan ser titulares del derecho a la vida privada. Vid., también, SSTJCE de 17 de octubre de 1989, caso Dow Chemical Iberica; de 8 de abril de 1992, caso Comisión vs. República Federal de Alemania; de 21 de abril de 1994, caso Campogrande; y de 5 de octubre de 1994, caso X. vs. Comisión, y Conclusiones del Abogado General van Gerven presentadas al mismo el 27 de abril de 1994, donde el TJCE tuvo por primera vez en cuenta el consentimiento del titular de los datos. 24. Convenio núm. 108, hecho en Estrasburgo el 28 de enero de 1981, relativo a la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal; y Recomendación 81/679/CEE, de la Comisión, de 29 de julio de 1981, por la que se anima a los Estados miembros de la Unión a firmar el Convenio 108. Vid., también, TÉLLEZ AGUILERA, A.: La protección de datos en la Unión Europea. Divergencias normativas y anhelos unificadores, Edisofer, Madrid, 2002, pp. 26-58. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 123 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 124 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro cualquier tratamiento de datos que se lleve a cabo, y también prevé la limitación de dichos derechos y principios en determinados casos (25). Posteriormente, en 1997, se aprobó la Directiva 97/66/CE, sobre Protección de Datos y Telecomunicaciones, encargada de regular la protección de datos personales en el sector de las telecomunicaciones, que ha sido derogada por la Directiva 2002/58/CE, sobre Protección de Datos y Comunicaciones Electrónicas, que a su vez ha sido modificada por la Directiva 2006/24/CE, sobre Conservación de Datos de Tráfico en las Comunicaciones Electrónicas (26). Estas Directivas son, en realidad, aplicación de la Directiva 95/46/CE sobre Protección de Datos Personales a un sector con unas características muy específicas como es el de las telecomunicaciones y las comunicaciones electrónicas. La aprobación de estas normas resulta determinante para el reconocimiento y desarrollo del derecho a la protección de datos personales porque el contenido de éstas, los derechos que se atribuyen a los titulares de los datos, las obligaciones de los responsables de los tratamientos de los datos personales y las excepciones a los mismos van a convertirse en definitorias a la construcción del contenido del derecho a la protección de datos personales. A partir de este momento, cuando se planteen demandas ante el TJCE relativas a la protección de datos personales, el Tribunal utilizará las citadas Directivas como piezas de su razonamiento. Estas normas se convierten en el segundo elemento, después de la jurisprudencia del TEDH, que alimenta la jurisprudencia del TJCE en la materia, que a partir de 1999 vuelve a pronunciarse sobre la protección de datos personales (27). 25. Directiva 95/46/CE, de 24 de octubre, del Parlamento Europeo y del Consejo, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (DOCE L 281, de 23 de noviembre). 26. Directiva 97/66/CE, de 15 de diciembre, del Parlamento Europeo y del Consejo, relativa al Tratamiento de los Datos Personales y a la Protección de la Intimidad en el sector de las Telecomunicaciones (DOCE L 24, de 30 de enero de 1998); Directiva 2002/58/CE, de 12 de julio, del Parlamento Europeo y del Consejo, relativa al Tratamiento de los Datos Personales y a la Protección de la Intimidad en el sector de las Comunicaciones Electrónicas (DOCE L 201, de 31 de julio); y Directiva 2006/24/CE, de 15 de marzo, del Parlamento Europeo y del Consejo, relativa a la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DOUE L 105, de 13 de abril de 2006). 27. SSTJCE de 14 de octubre de 1999, caso Adidas, y Conclusiones del Abogado General Cosmas presentadas el 10 de junio de 1999, donde se analiza el acceso a los datos personales; de 18 de noviembre de 1999, caso Comisión y Parlamento vs. Consejo; de 14 de octubre de 2000, caso The Queen and the Ministry of Agri- 124 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 125 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea Con las reformas introducidas en 1997 por el Tratado de Ámsterdam en el TCE, la protección de datos personales pasó a formar parte del Derecho comunitario originario —con la inclusión de un nuevo artículo 286—, estableciéndose su respeto y observación por parte de las instituciones y organismos europeos (28). Unos años más tarde, en 2001, y como desarrollo del mandato contenido en el TCE, y también en la Directiva 95/46/CE sobre Protección de Datos Personales, se aprueba el Reglamento 45/2001 sobre Protección de Datos Personales por parte de las instituciones y órganos comunitarios. En este Reglamento se crea una Administración independiente encargada de la protección de los datos personales, el «Supervisor Europeo de Protección de Datos», con lo cual se dota a la protección de datos personales de una garantía específica y reforzada (29). Y para concluir este proceso, en 2000 se proclama en Niza la Carta de Derechos Fundamentales de la Unión Europea, que recoge en su catálogo de de- culture, Fischeries and Food, y Conclusiones presentadas por el Abogado General Alber el 10 de febrero de 2000, relativo al carácter exacto y completo del derecho de información en el tratamiento de datos personales; de 31 de mayo de 2001, caso D. y Reino de Suecia vs. Consejo, y Conclusiones del Abogado General Mischo presentadas el 22 de febrero de 2001; de 9 de octubre de 2001, caso Países Bajos vs. Parlamento y Consejo, y Conclusiones presentadas por el Abogado General Jacobs el 14 de junio de 2001; y de 15 de octubre de 2002, caso LVM. Sobre el caso Adidas, PIÑAR MAÑAS, J.L.: «El derecho a la protección de datos de carácter personal en la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas», en Cuadernos de Derecho Público, núms. 19-20, 2003, pp. 66-68. 28. El artículo 286 del TCE dispone: «1. A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo. 2. Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecerá, con arreglo al procedimiento previsto en el artículo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptará, en su caso, cualesquiera disposiciones pertinentes». Hay que señalar aquí que en relación con este artículo se ha criticado que el derecho a la protección de datos no vinculase a los órganos comunitarios en el marco del segundo y del tercer pilar, es decir, en el ámbito de la PESC y de la política de interior y justicia. En relación con dichos pilares las instituciones comunitarias han creado tres sistemas de información, el SIS (Sistema de Información Schengen) elaborado con motivo del Convenio Schengen, el SIE (Sistema de Información Europol) y el SIA (Sistema de Información Aduanera), elaborados con motivo del Convenio Europol, que no se sujetan a lo establecido en el TCE, sino sólo a lo establecido en sus normas de creación. A pesar de ello, estos ámbitos han cobrado una mayor importancia desde los ataques terroristas de Estados Unidos, España y el Reino Unido, y fruto de esa preocupación destaca la Propuesta de Decisión marco del Consejo, adoptada por la Comisión el 4 de octubre de 2005, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (COM [2005] 475 final). 29. Reglamento (CE) núm. 45/2001, de 18 de diciembre, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios, y a la libre circulación de esos datos (DOUE L 8, de 12 de enero). REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 125 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 126 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro rechos fundamentales, en concreto en su artículo 8, el derecho a la protección de datos personales como un derecho autónomo e independiente del derecho a la vida privada, derecho con el que la mayoría de textos legales lo vinculaban. El artículo 8 de la Carta, bajo la rúbrica «Protección de datos de carácter personal», dispone lo siguiente: «1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente». De este modo se dio un paso más en el proceso de reconocimiento del derecho a la protección de datos como derecho fundamental, a pesar de que la mera proclamación de la Carta impedía que los derechos en ella reconocidos tuvieran la fuerza normativa propia de los derechos fundamentales (30). Problema que fue y ha sido solventado, en primer lugar, con la fallida Constitución Europea, que lo incluía como parte de su articulado (en su artículo II-68, reproduciendo el artículo 8 de la Carta; y en su artículo I-51, reproduciendo el artículo 286 del TCE); y, en segundo lugar, con el Tratado de Lisboa, que otorga a la Carta el mismo valor jurídico que a los Tratados y por tanto, efecto vinculante. Eso sí, se otorga efecto a la Carta según fue proclamada posteriormente en Estrasburgo el 12 de diciembre de 2007 (que en realidad es el mismo texto del 2000) (31). 30. Sobre el reconocimiento del derecho a la protección de datos en la Carta, el G 29 elaboró el Dictamen 4/1999 donde recordó que la jurisprudencia del TEDH ya había elaborado y definido un derecho fundamental basándose en distintos derechos humanos vinculados a la protección de datos de carácter personal. Vid. TÉLLEZ AGUILERA, A.: La protección de…, ob. cit., pp. 59-65. 31. El nuevo texto de la Carta se publicó en el DOUE C 303, de 14 de diciembre de 2007, y entrará en vigor el 1 de enero de 2009, junto con el Tratado de Lisboa. 126 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 127 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea Por último queremos señalar que entre la proclamación de la inicial Carta de Niza y la actual Carta proclamada en 2007 el TJCE se ha pronunciado ya expresamente, en cuatro ocasiones, sobre el derecho a la protección de datos personales. En el año 2003 el TJCE pronuncia dos importantes sentencias en materia de protección de datos personales (el llamado caso Österreichischer Rundfunk, STJCE de 20 de mayo de 2003; y el caso Lindqvist, de 6 de noviembre de 2003). Se trata de recursos relativos a la interpretación de la Directiva 95/46/CE sobre Protección de Datos Personales, en los que el TJCE reconocida ya expresamente la existencia de un derecho a la protección de datos personales, configura alguno de sus elementos más importantes (como la recogida y cesión de datos personales o el tratamiento de datos «especialmente protegidos»), haciendo suya la jurisprudencia del TEDH (32). En el 2006, el TJCE se pronunció (Caso PNR, STJCE de 20 de mayo de 2006) sobre la nulidad de las normas comunitarias que autorizaban el acceso por parte de los Estados Unidos a la información relativa a los datos de viaje reservados por un pasajero, esto es, al Passenger Name Record (PNR) (33). Y, por último, el 29 de enero de 2008, el TJCE se pronunció en el caso Productores de Música (Promusicae)/Telefónica, sobre la negativa de la compañía telefónica a suministrar a una asociación que representa a los titulares de derechos de propiedad intelectual los datos personales relativos al uso de Internet a través de las conexiones suministradas por la citada compañía. Podemos decir, por tanto, que estas cuatro sentencias son representativas de una fase diferente en la jurisprudencia del TJCE en la que los derechos fundamentales ya están presentes tal y como se consagran en la Carta. 32. Sobre el caso Österreichischer Rundfunk vid. también PIÑAR MAÑAS, J.L.: «El derecho a…», ob. cit., pp. 61-66; y sobre el caso Lindqvist, PULIDO QUECEDO, M.: «La catequista y los riesgos de Internet», en AJA, núm. 602/2003, 2003; y ROSSNAGEL, A.: «EuGH: Personenbezogene Daten im Internet», en Multimedia und Recht, 2/2004, pp. 95-100. 33. Sobre el caso PNR, GUERRERO PICÓ, M.C.: «Operadores privados y seguridad pública: la retención de los datos de tráfico a la luz de la sentencia PNR», en Revista Española de Protección de Datos, núm. 2, enero-julio de 2007, pp. 185-215. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 127 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 128 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro 2. EL RECONOCIMIENTO DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES POR PARTE DE LOS PAÍSES DE LA UNIÓN EUROPEA 2.1. EL PROCESO DE RECONOCIMIENTO POR PARTE DE LOS ESTADOS MIEMBROS El reconocimiento de un derecho a nivel europeo, como puede ser el derecho a la protección de datos personales, se ve influenciado por las tradiciones constitucionales comunes y por el CEDH (y, más concretamente, por la interpretación que del mismo haga el TEDH). Pero este «intercambio de influencias» no va sólo de abajo hacia arriba, sino que la regulación a nivel europeo ha contribuido muy mucho a configurar el contenido del derecho a la protección de datos personales en cada uno de los Estados miembros. El reconocimiento del derecho a la protección de datos personales es relativamente reciente en todos los Estados europeos, pues ha tenido lugar como consecuencia del desarrollo tecnológico y su impacto en los derechos fundamentales, cuando se advierten las ventajas y desventajas que el uso de las nuevas tecnologías, en especial la informática, representan para la vida privada de las personas (34). Se reconoce así un derecho que otorgue al individuo las facultades necesarias para que pueda controlar y disponer libremente de sus propios datos personales como garantía última de su dignidad y del libre desarrollo de su personalidad. Pero este reconocimiento se ha realizado de forma diferente en unos Estados y en otros. Mientras en unos casos el derecho a la protección de datos personales forma parte del contenido de otro derecho fundamental (como puede ser la intimidad o la dignidad humana), en otros países se ha reconocido un 34. Este derecho, que se incluiría entre los denominados de «tercera generación», es una respuesta a los nuevos peligros que en las sociedades actuales existen para el individuo. Este fenómeno es conocido como «contaminación de las libertades» («Liberties Pollution»), término con el que se alude a la degradación que sufren los derechos fundamentales ante determinados usos de las nuevas tecnologías. Sobre este fenómeno vid. SÁNCHEZ JIMÉNEZ, E.: «Los derechos humanos de la tercera generación: la libertad informática», en Informática y Derecho, núm. 4, 1994, pp. 165-168. 128 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 129 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea derecho fundamental autónomo a la protección de datos personales (35). De esta forma, según se haya reconocido el derecho a la protección de datos personales, los diferentes Estados miembros de la Unión Europea pueden clasificarse en los siguientes tres grupos: a) Estados miembros en los que el texto constitucional reconoce expresamente un derecho a la protección de datos personales. Así ocurre en Suecia, Portugal, Eslovaquia, Eslovenia, Hungría y Polonia (36). El primer país en el que se reconoció este derecho fundamental en la Constitución fue Portugal, en 1976. Posteriormente, ante la importancia que está cobrando este derecho, el reconocimiento expreso en los textos constitucionales se produce cada vez más en los Estados miembros. Por regla general, en las Constituciones más recientes se ha decidido incluir el «derecho a la protección de datos personales», como es el caso de las Constituciones de los países del Este, como la de Polonia; en otros casos, como está ocurriendo en los Länder de Austria y de Alemania, por ejemplo, se han reformado sus Constituciones para incluir este derecho. b) Estados en los que el texto constitucional no reconoce expresamente un derecho a la protección de datos personales, pero sí contiene disposiciones sobre la materia (como, por ejemplo, un mandato al legislador) que han permitido al Tribunal Constitucional reconocer dicho derecho fundamental. Este es el caso de España, Países Bajos, Finlandia y Lituania (37). c) Estados en los que en el texto constitucional no existe ninguna referencia a la protección de datos personales y el Tribunal Constitucional ha recono- 35. El hecho de que unos países hayan optado por una vía u otra ha dependido de las características de su sistema de derechos fundamentales, del carácter abierto o cerrado de su Constitución en lo que al reconocimiento de nuevos derechos se refiere, del reconocimiento de otros derechos a la intimidad, a la vida privada que pudieran proteger las facultades que ahora hay que reconocer a los individuos, del reconocimiento expreso en el texto constitucional de un derecho a la protección de datos personales, y, finalmente, como es lógico, de la labor interpretativa desarrollada por los Tribunales correspondientes. Sobre cada uno de los modelos de reconocimiento del derecho en los Estados miembros vid. ARENAS RAMIRO, M.: El derecho fundamental…, ob. cit., pp. 377-473. 36. En este sentido, vid. artículo 3 del Capítulo II de la Constitución sueca; artículo 19.3 de la eslovaca; artículo 38 de la eslovena; artículo 59 de la húngara, y artículo 51 de la polaca. 37. Vid. artículo 18.4 de la Constitución española; artículo 10 de la holandesa; artículo 10 de la finesa, y artículo 22.3 de la lituana. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 129 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 130 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro cido la existencia del derecho a la protección de datos personales como parte integrante, como nuevo contenido, de otro derecho fundamental sí reconocido expresamente en la Constitución, ya sea el derecho a la intimidad o a la vida privada, ya sea al libre desarrollo de la personalidad y la dignidad humana. Así, se encuentran dentro de este tercer grupo la mayoría de los Estados miembros, como, por ejemplo, Italia, donde el derecho a la protección de datos personales no se encuentra reconocido constitucionalmente y han sido la jurisprudencia y la doctrina las que se han encargado de reconocerlo como parte integrante del «diritto a la riservatezza» (38). Debemos señalar que más allá de las diferencias relativas a la forma de reconocimiento, en lo que se refiere a la fundamentación de este derecho, sus titulares y obligados, y la determinación de su contenido y límites, no existen diferencias realmente relevantes entre unos Estados miembros y otros, ya que todos ellos han tomado como referente el CEDH y la jurisprudencia del TEDH, las normas reguladoras de la protección de datos tanto del Consejo de Europa como de la Unión, y también la Carta de Derechos Fundamentales de la Unión Europea. Por todo ello, nos limitaremos aquí a dar una referencia de los citados elementos para pasar a ver cuál es la regulación jurídica que existe en cada Estado miembro, centrándonos en la norma que regula el tratamiento de datos y en la existencia de la agencia o autoridad encargada de su control. 2.2. EL FUNDAMENTO DEL DERECHO En lo que al fundamento del derecho a la protección de datos personales se refiere, en todos los ordenamientos de los Estados europeos se considera que el derecho a la protección de datos personales tiene por objeto garantizar al individuo el derecho a organizar y determinar por sí mismo aspectos esen- 38. TRONCOSO REIGADA, A.: «La protección de datos personales. Una reflexión crítica de la jurisprudencia constitucional», en Cuadernos de Derecho Público, núms. 19-20, 2003, pp. 235-236. Sobre el debate doctrinal en Italia vid., por ejemplo, PIZZORUSSO, A.: «Sul diritto alla riservatezza nella Constituzione italiana», en Prassi e teoria, 1976; FROSINI, V.: Il diritto nella società tecnologica, Giuffrè, Milán, 1981; PARDOLESI, R. (dir.): Diritto alla riservatezza e circolazione dei dati personali, Giuffrè, Milán, 2003; y NIGER, S.: Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, Cedam, Padua, 2006. 130 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 131 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea ciales de su vida, como a quién y en qué momento quiere comunicar cuestiones personales, pensamientos, sentimientos o emociones, o incluso su identidad. El fundamento último de este derecho es la dignidad de la persona —en lo que coincide con el derecho a la intimidad y con la mayoría de los derechos fundamentales— y el libre desarrollo de la personalidad, sin los que se priva a la persona del disfrute de los demás derechos fundamentales. 2.3. TITULARES Y OBLIGADOS En lo que respecta a los titulares y obligados por el derecho a la protección de datos personales, en todos los ordenamientos jurídicos europeos se considera que son titulares todas las personas físicas, incluyéndose a los menores (a los que se les otorga un tratamiento especial) y excluyéndose en la mayoría de los casos a las personas fallecidas. En cambio, es en relación con la titularidad de las personas jurídicas donde existen diferencias entre unos ordenamientos jurídicos y otros. También es doctrina compartida por dichos ordenamientos que los obligados por el derecho a la protección de datos personales ya no son sólo los poderes públicos sino también los particulares y, en especial, las empresas que se encargan de gestionar bancos de datos personales. Incluso en algunos Estados, como es el caso de Alemania y España, se establece una regulación diferente para el tratamiento de datos por parte del sector público y por parte del sector privado («ficheros públicos» y «ficheros privados») (39). 2.4. CONTENIDO Y LÍMITES En relación con el contenido y límites del derecho a la protección de datos personales, a pesar de que existen diferencias concretas entre todos los ordenamientos jurídicos de los Estados miembros, todos ellos tienen en común 39. En cualquier caso, los ciudadanos europeos consideran más peligrosos los tratamientos de datos efectuados por las empresas privadas que por el Estado. Así lo demuestran los resultados del Eurobarómetro de la Comisión Europea sobre protección de datos personales publicado en febrero de 2008. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 131 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 132 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro los elementos determinantes del contenido y límites del derecho que coinciden además con lo establecido en el Convenio 108 sobre Protección de Datos del Consejo de Europa, del que son todos ellos firmantes, y con lo establecido en la Directiva 95/46/CE sobre Protección de Datos Personales, que todos ellos tienen la obligación de transponer. Así en todos los Estados miembros se reconocen como facultades integrantes del derecho a la protección de datos personales los derechos de acceso, rectificación y cancelación y se regula detalladamente lo relativo a la información y al consentimiento del titular de los datos. 2.5. GARANTÍAS Y por último, en relación con las garantías del derecho a la protección de datos personales, debemos señalar que el derecho a la protección de datos personales, en tanto que derecho fundamental —ya sea autónomo, ya sea como parte integrante del ámbito protegido por otro derecho fundamental— disfruta de la protección que en cada ordenamiento jurídico nacional se establezca para los derechos fundamentales. Así pues, con carácter general, y al margen de las diferencias típicas de los correspondientes ordenamientos jurídicos, ante una violación del derecho a la protección de datos personales su titular puede acudir a las siguientes vías: la vía judicial ordinaria (40), los Tribunales Constitucionales (41), el Defensor del Pueblo (42), el recurso ante el TEDH (43), y el recurso an- 40. Hay que señalar que a nivel europeo, tanto por parte del Consejo de Europa, a través del Convenio 108 sobre Protección de Datos, como por parte de la Unión Europea, a través de la Directiva 95/46/CE sobre Protección de Datos Personales (Considerando 55) se ha exigido a los Estados miembros garantizar el derecho a la protección de datos personales a todas las personas, al menos, mediante un recurso judicial. 41. Los ciudadanos pueden acudir por la vía del recurso de amparo, como en Alemania, o por la vía del recurso o cuestión de inconstitucionalidad, como en Italia. En España, agotada la vía judicial previa se puede interponer el recurso de amparo (artículo 53.2 de la CE y artículos 41 a 58 de la LOTC). 42. En la práctica, los ciudadanos, antes de acudir a un órgano como el Defensor del Pueblo para garantizar el derecho a la protección de datos personales, acuden a la «Autoridad» especializada creada con tal objetivo, es decir, a una Autoridad de protección de datos. Destaca aquí el caso de Rumanía, donde es el Defensor del Pueblo el encargado de garantizar el ejercicio de este derecho en muchas ocasiones. 43. Una vez agotadas las vías previstas en el ordenamiento jurídico nacional para hacer valer el derecho a la protección de datos personales se puede acudir en última instancia ante el TEDH, alegando la violación del artículo 8 del CEDH. 132 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 133 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea te el TJCE (44). Con la elevación de la Carta de Derechos Fundamentales de la Unión Europea al rango de Derecho originario, tal y como prevé el Tratado de Lisboa, los derechos reconocidos en ésta —entre ellos el de la protección de datos personales— se podrán invocar directamente ante el TJCE. Pero en Europa se ha considerado que la garantía del derecho a la protección de datos personales exigía mecanismos específicos adicionales a los mecanismos establecidos con carácter para proteger los derechos fundamentales. Concretamente, en Europa se ha considerado necesario crear un determinado tipo de organismo, las Autoridades nacionales de protección de datos, encargadas de controlar el cumplimiento de la normativa sobre protección de datos personales y que sirven así de garantía específica al derecho a la protección de datos personales (45). En estos casos se prevé también la posibilidad de utilizar una de las garantías específicas a nivel comunitario, un «amparo» ante el Supervisor Europeo de Protección de Datos (SEPD) (46). Así, fruto de esta obligación a nivel europeo, los Estados miembros han creado en sus respectivos ordenamientos jurídicos nacionales «Autoridades independientes» encargadas de controlar los tratamientos de datos personales y garantizar de esta forma el derecho a la protección de datos (47). Las clasificaciones realizadas de dichas Autoridades son muy variadas: en función de su 44. Si un Estado o un ciudadano consideran que la normativa nacional de protección de datos personales vulnera lo establecido en la normativa comunitaria se puede acudir al TJCE para que éste se pronuncie sobre dicha cuestión. 45. La exigencia de crear «Autoridades» encargadas de controlar los tratamientos de datos personales se manifestó por primera vez en el ámbito del Consejo de Europa, en el Convenio 108 sobre Protección de Datos (artículo 13, aunque dicha obligación se concretó posteriormente en el 2001 en su Protocolo Adicional), y a través de la jurisprudencia del TEDH (en concreto, STEDH de 7 de julio de 1989, caso Gaskin, donde se manifestó que la falta de este tipo de garantía supone una injerencia injustificada en el derecho garantizado por el artículo 8 CEDH); y, posteriormente, en la Unión Europea, a través de la Directiva 95/46/CE sobre Protección de Datos Personales (artículo 28), así como de la Carta de Derechos Fundamentales de la Unión Europa (artículo 8). Los argumentos esgrimidos para justificar la creación de estas Autoridades han sido principalmente tres: la necesidad de establecer un mecanismo preventivo, su especialización técnica y la independencia en el ejercicio de la tarea que tienen atribuida. Vid. SALVADOR MARTÍNEZ, M.: Autoridades independientes, Ariel, Barcelona, 2002. 46. Artículo 32 del Reglamento 45/2001 sobre Protección de Datos Personales por parte de las instituciones y órganos comunitarios. 47. Las direcciones de todas estas Autoridades, así como sus páginas web, se pueden encontrar en <http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm>. Sobre ellas, vid. Primer In- REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 133 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 134 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro composición, ya que algunas son órganos colegiados y otras órganos unipersonales; en función de su grado de independencia funcional, dependiendo de si ejercen sus funciones dentro de la estructura de algún otro órgano administrativo o no; y en función de las competencias de la Autoridad (48). No obstante, con carácter general se puede decir que en Europa se ha optado, claramente, por la creación de un órgano especializado e independiente para la garantía del derecho a la protección de los datos personales. 3. LA REGULACIÓN JURÍDICA DEL TRATAMIENTO DE DATOS PERSONALES EN LOS PAÍSES DE LA UNIÓN EUROPEA Fue a partir de 1970 cuando los diferentes países europeos fueron abordando la tarea de regular el tratamiento de datos personales para tratar así de hacer frente a los potenciales peligros que los desarrollos tecnológicos representaban para la vida privada de las personas. Una de las primeras decisiones que tuvieron que tomar estos países fue la relativa al tipo de norma que se debía aprobar y al modo en que ésta regularía los tratamientos de datos personales, y se optó por una norma que regulara con carácter general todos los tratamientos de datos que se produjeran, sin que se obstaculizara la existencia de una normativa sectorial sobre la materia siempre que no contradijera la norma de carácter general (49). En relación con las diferentes normas que se fueron aprobando en esta materia, la doctrina ha distinguido diferentes «generaciones de leyes de protección de datos personales» en función del momento en el que se elaboraron y de sus características (50). Desde la primera Ley regional de protección de da- forme de la Comisión relativo a la aplicación de la Directiva sobre Protección de Datos 95/46/CE, de 15 de mayo de 2003 [COM (2003) 265 final], pp. 38-41; KORFF, D.: EC study on implementation of data protection Directive, Study Contract ETD/2001/B5-3001/A/49, Human Rights Centre, Cambridge, 2002, pp. 200-209; y ARENAS RAMIRO, M.: El derecho fundamental…, ob. cit., pp. 541-597. 48. REBOLLO DELGADO, L.: Derechos Fundamentales y Protección de Datos, Dykinson, Madrid, 2004, pp. 167-169. 49. Sobre estas cuestiones, vid. PÉREZ LUÑO, A.E.: «Los derechos humanos en la sociedad tecnológica», en Cuadernos y debates, núm. 21, 1989, pp. 152-154. 134 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 135 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea tos europea, aprobada por el Land de Hesse en 1970, y la primera Ley nacional en la materia, aprobada en Suecia en 1973, hasta nuestros días, se han sucedido tres generaciones de leyes de protección de datos: 1) Las leyes de primera generación, surgidas tras la aprobación de la Ley del Land de Hesse, se caracterizaron por exigir una autorización previa para la creación de ficheros de datos y por crear Autoridades de control encargadas de supervisar el tratamiento de datos (51); 2) Las leyes de segunda generación, elaboradas tras la aprobación del Convenio 108 sobre Protección de Datos del Consejo de Europa, se caracterizaron por una tendencia a la simplificación, por el abandono de los mecanismos previos de control y por la búsqueda de la autorregulación, de un equilibrio entre la protección de los derechos de los ciudadanos y el desarrollo de las nuevas tecnologías; esta fase destaca por la incorporación de los denominados «datos sensibles», por el reconocimiento y tutela de los derechos de los titulares de los datos y por la inclusión en algunas Constituciones de los Estados miembros del derecho a la protección de datos personales (52); 50. Sobre las generaciones de leyes de protección de datos vid., en especial, PÉREZ LUÑO, A.E.: «Los derechos humanos...», ob. cit., pp. 145-154; LAZPITA GURTUBAY, M.: «Análisis comparado de las legislaciones sobre protección de datos de los Estados miembros de la Comunidad Europea», en Informática y Derecho, núms. 6-7, 1994, pp. 403-408; y TRONCOSO REIGADA, A.: «La protección de...», ob. cit., pp. 253-254. 51. A una primera generación pertenecerían, en primer lugar, la Ley sueca de 1973 y las Leyes de Francia, Dinamarca, Luxemburgo, Noruega, Austria y Alemania, aunque esta última se podría situar entre la primera y la segunda generación por las importantes novedades que introducía (como la incentivación del sistema de autorregulación). Sobre alguna de estas normas vid., con más detalle, GARRIGA DOMÍNGUEZ, A.: La protección de los datos personales en el derecho español, Dykinson, Madrid, 1999, pp. 46-49; y HONDIUS, F.W.: Emerging data protection in Europe, Oxford, 1975, p. 44. Vid., también, DRESNER, S.H.: «Panorama de la legislación europea sobre protección de datos personales», en Informática y Derecho, núms. 6-7, 1994, pp. 385-392; y ROSSNAGEL, A.: Handbuch Datenschutzrecht, C.H. Beck, Munich, 2003, pp. 112-117, quien incluye en un «modelo escandinavo» a Suecia, Dinamarca y Finlandia. 52. Pertenecerían a la denominada segunda generación las Leyes de Irlanda, Holanda, Bélgica, Finlandia, Reino Unido, Portugal y España. Otros países adaptaron la normativa ya existente a los principios exigidos por el Convenio 108, como es el caso de Alemania, Suecia, Francia, Luxemburgo y Dinamarca. Sobre esta clasificación, vid. BRAIBANT, G.: Données personnelles et société de l’information, La Documentation Française, París, 1998, p. 223; SERRANO PÉREZ, M.M.: El derecho fundamental a la protección de datos personales, Civitas, Madrid, 2003, pp. 100-101; y en la misma línea, GARRIGA DOMÍNGUEZ, A.: La protección de…, ob. cit., pp. 5657 y 113. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 135 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 136 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro 3) Y, por último, tras la aprobación de la Directiva 95/46/CE sobre Protección de Datos Personales, las leyes de tercera generación se caracterizan por armonizar la libre circulación de datos y la defensa de los derechos de las personas, incrementando las medidas de seguridad; estas leyes, a diferencia de las anteriores, ya no se centran tanto en el uso de la informática como en la protección del individuo frente a la acumulación de datos personales (53). Actualmente todos los Estados miembros de la Unión Europea han aprobado normas sobre protección de datos personales que son transposición de, o adaptación a la Directiva 95/46/CE sobre Protección de Datos Personales, y cumplimiento del Convenio 108 sobre Protección de Datos del Consejo de Europa. Por este motivo, la regulación del tratamiento de datos personales en los Estados miembros de la Unión Europea se ha caracterizado por el alto grado de homogeneidad entre las normas existentes sobre la materia en cada uno de dichos Estados. No obstante, no podemos olvidar que cada Estado miembro tiene un margen de maniobra en la materia y que, además, se verá influenciado por diferentes factores políticos, culturales y sociológicos a nivel interno que provocarán pequeñas diferencias entre las legislaciones de unos y otros Estados (54). Así las cosas, a continuación ofrecemos una relación detallada de las Leyes de protección de datos de los Estados miembros de la Unión Europea, y de los organismos encargados de velar por su cumplimiento, con sus principales peculiaridades y diferencias (55). 53. Pertenecen a esta tercera generación las nuevas Leyes de España y Portugal, la Ley de Suiza, la Ley de Bélgica y la nueva Ley de Alemania. Vid. SERRANO PÉREZ, M.M.: El derecho fundamental…, ob. cit., pp. 101102; y ROSSNAGEL, A.: Handbuch Datenschutzrecht, ob. cit., pp. 374-378. 54. Más pesimista se muestra el Primer Informe de la Comisión relativo a la aplicación de la Directiva sobre Protección de Datos 95/46/CE, de 15 de mayo de 2003 [COM (2003) 265 final], pp. 12-13, en el que se considera que las divergencias son todavía «demasiado grandes», especialmente las relativas a las definiciones, los motivos de legitimación del tratamiento de datos, el derecho de información al interesado, las excepciones a los tratamientos de datos, las excepciones a las transmisiones de datos personales, las relativas al Derecho nacional aplicable o las relativas a los poderes concedidos a las Autoridades de Control. 55. Las referencias de todas estas Leyes pueden encontrarse en la página oficial de la Unión Europea <http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm>. Y sobre cada una de ellas y los desarrollos de la normativa sobre protección de datos en cada uno de los Estados vid. Décimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo al año 2006, adoptado el 20 de junio de 2007, pp. 14-118. Vid., también, TÉLLEZ AGUILERA, A.: La protección de…, ob. cit., pp. 77-163. 136 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 137 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea ALEMANIA En Alemania encontramos la Ley Federal de Protección de Datos, de 14 de enero de 2003 (56). Todos los Länder, a excepción del Land de Bremen y el de Sachsen, han adoptado nuevas Leyes de protección de datos con el fin de transponer las Directivas comunitarias. El encargado de controlar el cumplimiento de la protección de datos es el Comisionado Federal para la Protección de Datos y la Libertad de Información (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit). El Comisionado Federal se creó por la Ley de protección de datos alemana con la función de velar por el cumplimiento de la Ley en el sector público. El Comisionado Federal es nombrado a propuesta del Gobierno federal por el Presidente de la Federación, tras haber sido elegido por el Bundestag por mayoría absoluta de sus miembros y deberá tener una edad superior a los 35 años. Su mandato, que tiene una duración de cinco años, puede ser renovado una sola vez, y concluye una vez finalizado el plazo para el que fue nombrado o por el cese ordenado por el Presidente Federal a petición del propio Comisionado o a propuesta del Gobierno federal. Está sujeto sólo al imperio de la Ley y no recibe órdenes o instrucciones de ningún organismo público. Se le han atribuido competencias de control y asesoramiento. Junto al Comisionado se han creado otras dos figuras, el Oficial para la protección de datos (Beauftragter für den Datenschutz und die Informationsfreiheit) y la Autoridad de supervisión (Aufsichtsbehörde). El primero debe ser nombrado por cada organismo, público o privado, que desee realizar un tratamiento de datos personales y su tarea es la de «vigilar» los tratamientos de datos que el mencionado organismo realice; la segunda, la Autoridad de Supervisión, que puede ser designada por los Gobiernos de los Länder, se encarga de comprobar todos los tratamientos de datos personales que se realicen, llevando un registro de ellos y pudiendo notificar las infracciones que se cometan a los órganos competentes en función de la infracción cometida. Hay que señalar finalmente que en Alemania, al ser un Estado federal, además del Comisionado Federal, se han creado Au- 56. Bundesdatenschutzgesetz (BDSG). Publicada en la BGBl. (Bundesgesetzblatt, Diario Oficial) I, S. 66. En adelante, Ley alemana. Esta Ley sustituyó a la Ley de 20 de diciembre de 1990, que derogó a la original de 1977. Fue modificada por última vez en agosto de 2006 (BGBl. I, S. 1970), y se puede encontrar una versión actualizada en inglés a fecha 15 de noviembre de 2006. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 137 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 138 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro toridades de protección de datos en los diferentes Länder (Landesdatenschutzbeauftragten), que son designadas por los Gobiernos de los Länder —o por los órganos que éstos designen— para controlar los tratamientos de datos personales que tengan lugar en su ámbito de actuación (57). AUSTRIA En Austria es la Ley Federal sobre la Protección de Datos Personales, del 2000, la que regula el tratamiento de datos personales (58). Como en Alemania, la mayoría de sus Länder han adoptado nuevas Leyes sobre la materia. La Autoridad independiente existente en Austria es la Comisión Austriaca de Protección de Datos (Österreichische Datenschutzkommission). La Ley de protección de datos austriaca establece que para garantizar la protección de datos personales, además de las garantías genéricas, se deben crear una Comisión de Protección de Datos (Datenschutzkommission) y un Consejo de Protección de datos (Datenschutzrat). La Comisión se compone de seis miembros nombrados a propuesta del Gobierno federal por el Presidente de la Federación por un periodo de cinco años, pudiendo ser reelegidos. Todos los miembros deben tener conocimientos de Derecho y uno de ellos debe pertenecer al cuerpo de Jueces. Se trata de un órgano independiente en el ejercicio de sus funciones que no está sujeto a órdenes o instrucciones. Contra sus decisiones no cabe ningún tipo de recurso. Junto a esta Comisión, encargada del control de los tratamientos de datos personales, se ha creado para el asesoramiento del Gobierno Federal y de los Gobiernos de los Länder en cuestiones jurídico-políticas de protección de datos un Consejo de Protección de Datos (Datenschutzrat), compuesto por representantes de los partidos políti- 57. Sobre el Comisionado alemán vid. artículos 22 a 26 de la Ley alemana; y sobre las otras figuras, artículos 4f y 4g, y artículo 38 de la misma Ley. Las funciones de supervisión del sector privado, la forma en la que serán elegidas estas Landesdatenschutzbeauftragten, así como su dependencia del Ministerio del Interior o del Gobierno regional, variará de un Land a otro. Sobre esta cuestión, vid. Primer Informe de la Comisión relativo a la aplicación de la Directiva sobre Protección de Datos 95/46/CE, de 15 de mayo de 2003 (COM [2003] 265 final), p. 38. 58. Bundesgesetz über den Schutz personenbezogener Daten. Conocida como Datenschutzgesetz 2000 (DSG 2000) y publicada en la BGBl. (Bundesgesetzblatt, Diario Oficial) I, núm. 165/1999. En adelante, Ley austriaca. Modificada por última vez en el 2005 (BGBl. I, núm. 13/2005). 138 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 139 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea cos, un representante de los Tribunales laborales y del Tribunal de Cuentas, dos representantes de los Länder, un representante de los municipios y de las ciudades, y un representante del Canciller (59). BÉLGICA En Bélgica nos encontramos la Ley, de 8 de diciembre de 1992, relativa a la protección de datos de carácter personal (60). Y el órgano encargado del control de la protección de datos personales es la Comisión para la protección de la vida privada (Commission de la protection de la vie privée, CPVP). En 2003 se modificó la Ley de protección de datos personales belga con el fin de cambiar el estatuto de dicha Comisión y desvincularla del Ministerio de Justicia, adscribiéndola al Parlamento. Se trata de una institución independiente, cuyos miembros son elegidos por la Cámara de Representantes y por el Senado. Se compone de ocho miembros (cuatro de habla francesa y cuatro de habla holandesa), elegidos por un periodo de seis años renovable, y es presidida por un Magistrado, debiendo ser al menos uno de ellos un jurista, un informático, un profesional con experiencia en la gestión de datos en el ámbito privado y otro del sector público. Esta Comisión emite avisos y recomendaciones, pero no tiene competencia para la imposición directa de sanciones. En el seno de la Comisión se crean una serie de Comités sectoriales (Comités sectoriels) competentes para instruir las demandas relativas al tratamiento o a la comunicación de datos personales. Además, la Ley ha creado la figura del «oficial encargado para la protección de datos» («préposé à la protection des données»), designado por el responsable del tratamiento para aquellos tratamientos de datos más «peligrosos», encargado de asegurar, de forma independiente, la aplicación de la Ley (61). 59. Esta Comisión se regula en los artículos 35 a 44 de la Ley austriaca. 60. Loi du 8 décembre 1992, relative à la protection des données à caractère personnel. Existe una versión consolidada de agosto de 2007, que incluye las modificaciones introducidas en 1998, 2003 y 2005. En adelante, Ley belga. 61. Esta Comisión se regula en los artículos 23 a 36 de la Ley belga; los Comités se regulan en los artículos 31 bis y 36 bis; y es el artículo 17 bis de la Ley belga el que regula la figura del «Oficial». Vid., también, Sépti- REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 139 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 140 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro BULGARIA La norma encargada de regular el tratamiento de datos personales en Bulgaria es la Ley de Protección de Datos Personales 1/4 de enero de 2002 (62). En Bulgaria el organismo encargado de controlar el tratamiento de datos personales es la Comisión para la Protección de Datos Personales (Commission for Personal Data Protection). Como todos sus homólogos europeos, es una autoridad pública independiente. De carácter colegiado, se compone de un Presidente y de cuatro miembros, todos ellos elegidos por el Parlamento a propuesta del Consejo de Ministros, por un periodo de cinco años, pudiendo ser reelegidos por otro mandato. Entres sus funciones, además de asesorar respecto de los proyectos de ley en materia de protección de datos, tendrá capacidad para inspeccionar y dictar sanciones en el ámbito administrativo y penal. Destaca el hecho de que la Comisión aprobó en 2005, tras una reforma de la Ley de Protección de Datos, la elaboración de un «Código de Comportamiento Ético» («Ethic Code of Behaviour of Personal Data Controllers») para los «administradores» o responsables de los tratamientos de datos personales y se encarga de que el mismo sea cumplido, estableciéndose en el mismo Código que su incumplimiento provocará sanciones disciplinarias (63). CHIPRE En Chipre se aprobó la Ley 138 (I) 2001, de Procesamiento de Datos Personales (64). mo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo a los años 2002 y 2003, adoptado el 21 de junio de 2004, p. 10. 62. Law for Protection of the Personal Data 1/4 Jan 2002. Esta Ley ha sido reformada por última vez en julio de 2007 (SG. 57/13 Jul. 2007). En adelante, Ley búlgara. 63. Esta Comisión fue creada por Decisión del Parlamento de 23 de mayo de 2002. Su creación y composición se encuentra prevista en los artículos 6 a 9 de la Ley búlgara, y sus funciones se encuentran reguladas en los arts. 10 y 11 de dicha Ley. 64. Processing of Personal Data (Protection of Individuals) Law 138 (I) 2001. Publicada en la Official Gazzette Section I (I), 138 (I) 2001. Modificada por última vez en 2004 [Law núm. 112 (1)/2004]. En adelante, Ley chipriota. 140 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 141 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea Y la Autoridad independiente del control de la protección de datos personales es el Comisionado para la Protección de Datos (Commissioner for the Protection of Personal Data). Este Comisionado, que tiene como función la garantía del cumplimiento de la legislación sobre protección de datos personales, es elegido por un periodo de cuatro años, pudiendo ser reelegido una vez, por el Consejo de Ministros a propuesta del Ministro, tras la consulta con el Comité parlamentario de asuntos europeos. Esta figura destaca por su estrecha relación con el Consejo de Ministros, de quien también recibe su remuneración, y por su capacidad sancionadora (65). DINAMARCA En Dinamarca está en vigor la Ley núm. 429, de 31 de mayo de 2000, sobre el Procesamiento de Datos Personales (66). El organismo independiente de Dinamarca es la Agencia de Protección de Datos Danesa (Danish Data Protection Agency o Datatilsynet). Esta Agencia, que consta de un Consejo y una Secretaría, está encargada de la supervisión de todos los tratamientos de datos personales que entren en el campo de aplicación de la normativa danesa. El Consejo, adscrito al Ministro de Justicia, está compuesto por un Presidente, que ha de ser un Juez, y seis miembros, todos ellos nombrados para un mandato de cuatro años. Se trata de un órgano independiente, que ejerce sus funciones libre de órdenes e instrucciones. Tiene competencias de supervisión y control, pero no tiene competencia para imponer sanciones; aprueba circulares, instrucciones y órdenes. Contra sus decisiones no cabe ningún tipo de recurso, aunque se puede acudir a los Tribunales administrativos con el fin de supervisar los tratamientos de datos que estén bajo su competencia (67). 65. Se regula en los artículos 18 a 24 de la Ley chipriota, en la que se establece su forma de elección, su estatuto y sus funciones. 66. Act No. 429 of 31 May 2000, on Proccesing of Personal Data. Publicada en el Lovtidende (Boletín Oficial) de 2 de junio de 2000. En adelante, Ley danesa. Esta Ley sustituye a la regulación existente hasta el momento, que distinguía entre ficheros privados y públicos, regulados por las Leyes núms. 293 y 294 de 8 de junio de 1978, respectivamente. Ha sido modificada en varías ocasiones (2001 y 2005), siendo la última en junio de 2007. 67. Vid. artículos 55 a 66 de la Ley danesa. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 141 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 142 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro ESLOVAQUIA La Ley que regula el tratamiento de datos personales en Eslovaquia es la Ley núm. 428, de 3 de julio de 2002, sobre Protección de Datos Personales (68). En este caso, la Autoridad independiente es la Oficina para la protección de Datos Personales (Personal Data Protection Office of the Slovak Republic). Esta Oficina es un órgano de la Administración pública encargada de vigilar de forma independiente la protección de datos personales. La dirige un Presidente elegido por el Consejo Nacional de la República de Eslovaquia a propuesta del Gobierno por un periodo de cinco años, pudiendo ser reelegido en un máximo de dos ocasiones. El Presidente de la Oficina debe cumplir un requisito de «integridad», ser mayor de 35 años y tener al menos diez años de práctica en el campo de la ciencia de la información, y no podrá ser miembro de ningún partido político, a pesar de ser propuesto por el Gobierno. El Presidente está asistido de un conjunto de Inspectores que son nombrados por el Gobierno a propuesta suya. Las sanciones las puedan imponer tanto el Presidente de la Oficina como sus inspectores, y si las infracciones cometidas son muy graves el Presidente puede hacer públicos los datos del responsable del tratamiento (69). ESLOVENIA La Ley eslovena de protección de datos personales es la Ley de Datos Personales de 15 de julio de 2004 (70). 68. Act. No. 428 of 3 July 2002, on Personal Data Protection, del National Council of the Slovak Republic. Desde su aprobación ha sido modificada en varias ocasiones (2003 y 2004), siendo la última a finales de noviembre de 2005. En adelante, Ley eslovaca. 69. Artículos 33 a 48 de la Ley eslovaca, donde se regula el nombramiento y funciones del Presidente y de los Inspectores, así como el procedimiento a seguir ante ellos. 70. Esta Ley desarrolla el artículo 38 de la Constitución eslovena, que reconoce expresamente un derecho fundamental a la protección de datos personales. Es la Personal Data Protection Act (Zakon o varstvu osebnich podatkov, ZVOP-1). Publicada en la Official Gazette of the Republic of Slovenia núm. 86/2004. Existe una versión consolidada de 26 de octubre de 2007, que incluye las importantes modificaciones sufridas por la Ley en el 2005, tras la aprobación de la Information Commissioner Act (Official Gazette of the Republic of Slovenia núm. 113/05). En adelante, Ley eslovena. 142 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 143 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea Y la autoridad independiente encargada del control del derecho es el Comisionado Informativo (Information Commissioner). Hay que señalar aquí que antes de la entrada en vigor de la Ley sobre el Comisionado Informativo, el 30 de noviembre de 2005, se ocupaba del control de la normativa sobre protección de datos, tal y como establecía la Ley, el Organismo Supervisor Nacional para la Protección de Datos (National Supervisory Body for Personal Data) y antes la Inspectoría para la Protección de Datos Personales (Inspectorate for Personal Data Protection). A mediados de 2001, dando cumplimiento al mandato constitucional y a la Ley eslovena de protección de datos, se creó un organismo dependiente del Ministerio de Justicia —con un carácter básicamente preventivo, encargado de informar a los ciudadanos de sus derechos y de recibir sus quejas— y se preparó la creación de este nuevo Comisionado (71). El Comisionado es designado por la Asamblea a propuesta del Presidente de la República entre los ciudadanos eslovacos con más de cinco años de experiencia en la materia. Se le nombra y adquiere el carácter de funcionario, por un periodo de cinco años, pudiendo ser reelegido una vez más. Su función principal será investigar las infracciones en materia de protección de datos, prevenirlas y suprimirlas. ESPAÑA En España, en cumplimiento del mandato del artículo 18.4 de la Constitución, el legislador aprobó, para «limitar el uso de la informática», la Ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (en adelante, LORTAD), que, además, incorporaba el contenido del Convenio 108 sobre Protección de Datos Personales del Consejo de Europa (72). 71. Artículos 37 a 61 de la Ley eslovena y artículos 2 a 9 de la Information Commissioner Act. Hasta 2005, a pesar de la existencia de esta Autoridad, debido a su «escaso» carácter independiente, hay que destacar el importante papel que ha jugado el Defensor de los Derechos Humanos de Eslovenia (Human Rights Ombudsman), que entre sus funciones tiene encomendada la protección de los derechos constitucionales, entre los que se encuentra la protección de datos personales. Así, las quejas que tengan que ver con la protección de datos personales las resuelve, también, un grupo de especialistas en la materia que forman parte de este organismo. 72. La LORTAD se publicó en el BOE de 31 de octubre de 1992. Algún autor ha señalado que este desarrollo no fue exactamente consecuencia del mandato constitucional, sino del interés por formar parte del Grupo REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 143 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 144 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro Posteriormente, esta Ley fue sustituida por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante, LOPD), para transponer al ordenamiento interno los cambios introducidos en esta materia por la Directiva 95/46/CE sobre Protección de Datos Personales, y «garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas» (73). Junto a estas Leyes de protección de datos, el legislador ha elaborado toda una normativa para su desarrollo y aplicación, donde destaca el Real Decreto por el que se estableció el Estatuto de la Agencia Española de Protección de Datos (en adelante, AEPD) —autoridad encargada de velar por el cumplimiento y observancia del derecho a la protección de datos personales— y un Real Decreto por el que se aprueba el Reglamento de desarrollo de la LOPD. Este Reglamento de desarrollo, aprobado a finales de 2007, viene a sustituir a la anterior normativa de desarrollo de la LORTAD que continuaba vigente incluso tras la derogación de ésta, algo totalmente criticable (74). Además de la normativa específica sobre protección de datos personales, el legislador se ha encargado de regular el tratamiento de datos personales, de «limitar el uso de la informática», en determinados sectores (75). de países Schengen en los que se habían suprimido los controles fronterizos interiores. Recordemos que el Acuerdo Schengen imponía a los firmantes la exigencia de adecuar su normativa de protección de datos personales. Sobre la LORTAD, vid. LUCAS MURILLO DE LA CUEVA, P.: «La Constitución y el derecho a la autodeterminación informativa», en Cuadernos de Derecho Público, núms. 19-20, 2003, pp. 29-30; y TRONCOSO REIGADA, A.: «La protección de…», ob. cit., pp. 256-261. 73. La LOPD se publicó en el BOE de 14 de diciembre de 1999. Aunque esta Ley en principio era una modificación de la LORTAD para adoptar los cambios producidos por la Directiva comunitaria, al final se optó por la sustitución de esta última, aunque, como ha criticado la doctrina, no existen prácticamente diferencias entre ambos textos. Vid., por ejemplo, TÉLLEZ AGUILERA, A.: La protección de…, ob. cit., pp. 233-235; y TRONCOSO REIGADA, A.: «La protección de...», ob. cit., pp. 262-263. 74. RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (BOE de 19 de enero de 2008). En desarrollo de la LORTAD el Gobierno aprobó el Estatuto de la Agencia Española de Protección de Datos mediante RD 428/1993. Además, se aprobó el RD 1332/1994, de 20 de junio, que desarrollaba determinados aspectos de la LORTAD; el RD 994/1999, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados de datos personales, y el RD 195/2000, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el RD 994/1999. Todos ellos, excepto el Estatuto de la AEPD, continuaron en vigor tras la aprobación de la LOPD (tal y como dispone la Disposición Adicional 3.ª de la LOPD) hasta que se aprobó el citado Reglamento de desarrollo de la LOPD (RD 1720/2007). 75. Como normativa sectorial, podemos encontrar, por ejemplo: la LO 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos; la LO 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obtenidos a partir 144 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 145 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea Junto a esta regulación legal, en nuestro ordenamiento jurídico el Tribunal Constitucional se ha pronunciado sobre la necesidad de crear Autoridades de protección de datos, y en concreto sobre la Agencia Española de Protección de Datos (AEPD) (76). La AEPD es un ente de Derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Una de las características definitorias de la AEPD es su «independencia», que deriva, esencialmente, del estatuto de sus miembros. La Agencia se compone de los siguientes órganos: el Consejo Consultivo (compuesto por nueve miembros nombrados y cesados por el Gobierno a propuesta del organismo que los propone), el Director (elegido y nombrado por el Gobierno de entre los miembros del Consejo Consultivo). Todos los miembros son elegidos por un periodo de cuatro años. Y, como órganos jerárquicamente dependientes del Director, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General. Entre las funciones de la Agencia destacan además de las de control, supervisión e inspección o tutela de derechos la potestad sancionadora incluso en relación con las infracciones cometidas por las Administraciones Públicas. Sus decisiones ponen fin a la vía administrativa, pudiendo ser recurribles (77). Por último, no podemos olvidar el papel que en España juegan las Comunidades Autónomas en esta materia. Una vez «desarrollado» el derecho a la del ADN; la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública; la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; la Ley 3/2007, de 15 de marzo, reguladora de la rectificación registral de la mención relativa al sexo de las personas; la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos; el RD 59/2003, de 19 de diciembre, de firma electrónica; el RD 1553/2005, de 23 de diciembre, por el que se regula la expedición del DNI y sus certificados de firma electrónica; y el RD 602/2006, de 19 de mayo, por el que se aprueba el Reglamento de exención de determinadas categorías de acuerdo de intercambio de información sobre morosidad. Sobre los beneficios e inconvenientes de una regulación mixta vid. TRONCOSO REIGADA, A.: «La protección de…», ob. cit., pp. 258-260 y 264-266. 76. Título VI de la LOPD. De acuerdo con el Tribunal Constitucional la creación de esta «Autoridad independiente» se deduce, por un lado, de la necesidad de una respuesta rápida, especializada técnicamente y que actúe de forma preventiva, pues, frente a las amplias posibilidades informáticas, la vía jurisdiccional resulta insuficiente e inadecuada para proteger los datos personales; y, por otro lado, de la necesidad de crear un órgano de control independiente del Gobierno, pues la Administración también debe cumplir las normas de protección de datos y queda sometida a control. Vid. STC 290/2000, FJ 9.º y, también, SALVADOR MARTÍNEZ, M.: Autoridades independientes, ob. cit., pp. 270-271. 77. Artículo 35.1 de la LOPD y artículo 1 del Estatuto de la AEPD. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 145 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 146 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro protección de datos personales a través de la LORTAD y de la LOPD, las Comunidades Autónomas entendieron que la Ley contenía una «habilitación» para elaborar normas autonómicas en la materia y se aprobaron diversas Leyes sobre protección de datos personales (78). Con independencia de las normas que regulan la utilización de la informática para la modernización de las Administraciones públicas, las Comunidades Autónomas que han aprobado normas sobre protección de datos personales y han creado autoridades de control —para regular sus propios registros de ficheros y controlar los ficheros creados y gestionados por ellas mismas, y a imagen y semejanza de la AEPD— son Madrid, Cataluña y el País Vasco (79). ESTONIA En Estonia rige la Ley de 15 de febrero de 2007, de Protección de Datos Personales (80). Aquí, es la Inspección de la Protección de Datos (Estonian Data Protection Inspectorate o Andmekaitse Inspektsioon) la que se encarga de controlar el cumplimiento de la Ley de Protección de Datos Personales. La Ley de pro- 78. Artículo 41.2 de la LOPD. 79. Artículo 41.1, 2 y 3 de la LOPD. En Madrid: Ley 8/2001, de 13 de julio, reguladora de la Protección de Datos de Carácter Personal (BOCM de 25 de julio; BOE de 12 de octubre), y Decreto 40/2004, de 18 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de la Comunidad de Madrid (BOCM de 25 de marzo). En Cataluña: Ley 5/2002, de 19 de abril, de creación de la Agencia Catalana de Protección de Datos (DOGC de 29 de abril; BOE de 14 de mayo), y Decreto 48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos (DOGC de 4 de marzo). Y en el País Vasco: Ley 2/2004, de 25 de febrero, reguladora de los Ficheros de Datos de Carácter Personal de Titularidad Pública y de creación de la Agencia Vasca de Protección de Datos (BOPV de 4 de marzo), y Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos (BOPV de 8 de noviembre). Hay que señalar que aunque en principio ningún Estatuto de Autonomía atribuía a su Comunidad Autónoma competencias en materia de protección de datos personales, esto está cambiando con la aprobación de los nuevos Estatutos de Autonomía. En este sentido, vid. TRONCOSO REIGADA, A.: «La contribución de las Agencias Autonómicas al derecho fundamental a la protección de datos», en DAVARA RODRÍGUEZ, M.A. (coord.), XVII Encuentros sobre Informática y Derecho 2002-2003, 2003; y del mismo TRONCOSO REIGADA, «Las Comunidades Autónomas y la protección de datos personales: marco constitucional y posibilidades para el futuro», en Revista parlamentaria de la Asamblea de Madrid, núm. 12, junio de 2005, pp. 116 y 127-128; y, también, COTINO HUESO, L.: Una propuesta de reconocimiento de la protección de datos personales en los Estatutos de Autonomía», en revista digital datospersonales.org, núm. 17, septiembre de 2005. 80. Personal Data Protection Act of 15 February 2007. Publicada en el Riiji Teataja I de 16 de marzo de 2007, 24, 127, entró en vigor en enero de 2008. Esta Ley sustituye a la Personal Data Protection Act de 2003. En adelante, Ley estona. 146 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 147 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea tección de datos estona califica al Inspector encargado de monitorizar todos los tratamientos de datos que se realicen como órgano «extrajudicial» de carácter independiente. El Gobierno de la República, a propuesta del Ministerio de Asuntos Internos, designa al encargado (a un Director general) de la Inspección de la Protección de Datos por un periodo de cinco años, pudiendo ser reelegido dos veces consecutivas. En Estonia esta figura no se regula sólo en la Ley de protección de datos personales, sino también en otras normas relativas a los tratamientos de datos personales. En cualquier caso, la función principal de este Inspector es controlar el cumplimiento de la normativa sobre protección de datos, para lo que se le atribuyen diferentes competencias, entre ellas la potestad sancionadora (81). FINLANDIA En Finlandia tenemos la Ley 523/1999, de Datos Personales (82). Aquí, el organismo independiente es la Oficina del Defensor de la Protección de Datos (Office of the Data Protection Ombudsman). Esta Oficina está presidida por el Defensor de la Protección de Datos (Data Protection Ombudsman), elegido por el Gobierno por un periodo de cinco años y que se encarga de dirigir y supervisar los tratamientos de datos personales. Junto al Defensor se ha creado la Junta de Protección de Datos (Data Protection Board), formada por cinco miembros elegidos por un periodo de 3 años, y encargada de las cuestiones relativas a los principios del tratamiento de datos personales, como, por ejemplo, la concesión de la autorización para el tratamiento de determinados datos sensibles. El Defensor proporciona la dirección y el asesoramiento sobre el tratamiento de los datos personales, supervisa el tratamiento y toma decisiones. Las decisiones de ambos órganos pueden ser recurridas ante los Tribunales, e incluso se establece la posibilidad de que el Defensor recurra las decisiones adoptadas por la Junta (83). 81. Artículos 32 a 42 de la Ley estona; y desarrollado por la Regulation No. 10 from February 14, 2007 by the Minister of Justice. 82. Personal Data Act (523/1999). Esta Ley viene a sustituir a la Ley núm. 471, de 30 de abril de 1987. Modificada por última vez por la Ley 986/2000. En adelante, Ley finesa. 83. Sobre estas figuras, vid. artículos 38 a 46 de la Ley finesa. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 147 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 148 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro FRANCIA El caso de Francia es relevante en tanto que este país ha sido tomado como referente por muchos otros países europeos. Aquí encontramos la Ley núm. 78-17, de 6 de enero de 1978, relativa a la informática, a los ficheros y a las libertades (84). Y si la Ley francesa es relevante, su autoridad independiente es referente indiscutible. En Francia es la Comisión Nacional de la Informática y de las Libertades (Commission Nationale de L’informatique et des Libertés, CNIL). Esta Comisión es una de las primeras Autoridades de control de protección de datos personales y una de las primeras «autoridades administrativas independientes», calificativo que le otorga la Ley de protección de datos francesa. Esta Autoridad se caracteriza por lo que la doctrina francesa ha denominado el «gobierno de los expertos» («governement des sages»), es decir, una composición caracterizada por la independencia del Gobierno (no está sujeta a instrucción u orden alguna) y la neutralidad de sus técnicos y miembros directivos. Se compone de diecisiete miembros, provenientes de diferentes instituciones y organismos. De entre ellos se nombra a su Presidente y al Vicepresidente. Los miembros de la Comisión se eligen por un mandato de cinco años o, en el caso de los miembros parlamentarios, por el periodo de su mandato. Se rigen por un sistema de incompatibilidades y no existe ninguna limitación a la facultad de renovar a los miembros, ni límite de edad. Además, la Ley de protección de datos francesa prevé que un «Comisionado del Gobierno» (commissaire du gouvernement), designado por el Primer Ministro, pueda estar presente en la CNIL y pueda acudir a todas sus sesiones en las mismas condiciones que el resto de miembros, asumiendo un papel de «coordinador» de los tratamientos de datos que se realizan en las diferentes Administraciones. Junto a este «Comisionado» la Ley francesa, como se prevé en las Leyes alemana, holandesa y sueca, prevé la existencia de un «corresponsal para la protección de datos personales» («correspondant à la protection des données à caractère personnel»), que es un empleado del responsable del tratamiento de datos o de una empresa, que se 84. Loi núm. 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés. Existe una versión consolidada a fecha 21 de febrero de 2006 que incluye la modificación de la Ley 2004-801, pero no la de la Ley 2006-64. En adelante, Ley francesa. 148 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 149 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea encarga de controlar los tratamientos de datos que se realicen en el sector o empresa que lo haya designado. Se considera que la tarea de la CNIL no es sólo el control del tratamiento de datos personales, sino la búsqueda del equilibrio entre la informática y las libertades. Para ello ejerce competencias de control, de inspección, de asesoramiento, normativa y tiene potestad sancionadora. Por último, tenemos que señalar que estas competencias se vieron reducidas a partir del 2006, con la aprobación el 23 de enero de una Ley Antiterrorista que aumenta las posibilidades de acceso y uso de las bases de datos públicas por parte de los servicios policiales (85). GRECIA En este país encontramos la Ley 2472/1997, relativa a las Personas y al tratamiento de sus Datos Personales (86). Su autoridad independiente es la Autoridad de Protección de Datos Helénica (Hellenic Personal Data Protection Authority). Esta Autoridad se crea, conforme a la Ley de protección de datos griega, con el objeto de vigilar su aplicación y que los tratamientos de datos personales no lesionen los derechos de las personas. Es una Autoridad independiente, con su propio presupuesto y que no está sometida a ningún mandato administrativo, aunque es el Ministerio de Justicia el que se encarga de aprobar su presupuesto y al que le remite los Informes. Está compuesta por un Juez que ocupa el cargo de Presidente y por seis miembros: un profesor de un centro de enseñanza superior especializado en Derecho, un profesor de un Centro superior de informática, un profesor universitario y tres 85. Sobre la CNIL, vid. artículos 11 a 21 y 22 (figura del corresponsal). Vid. FENOLL-TROUSSEAU, M.P. y HAAS, G.: Internet et protection des données personnelles, Éditions Litec, París, 2000, pp. 17 y 22-23; BRAIBANT, G.: Données personnelles et…, ob. cit., pp. 130-132; GARCÍA-BERRIO, T.: Informática y libertades. La protección de datos personales en Francia y España, Universidad de Murcia, Murcia, 2003, pp. 358-359; y FLAHERTY, D.H.: Protecting privacy in surveillance societies, University of North Carolina Press, Chapel Hill, 1989, pp. 177178, quien considera que la verdadera misión de la CNIL es complementar desarrollo tecnológico y evolución social. En este sentido, se la ha tomado como referente en muchos Estados miembros, incluida España. Vid., también, Décimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo al año 2006, adoptado el 20 de junio de 2007, p. 38. 86. Law 2472/1997 on the Individuals with regard to the Processing of Personal Data. Publicada en la Official Gazette 50 A, de 10 de abril de1997. Ha sido modificada en varias ocasiones, siendo la última por Ley 3471/2007. En adelante, Ley griega. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 149 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 150 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro personas con experiencia en el ámbito de la protección de datos de carácter personal. El mandato de sus miembros es de cuatro años, pudiendo ser reelegidos sólo una vez, siendo la mitad de ellos renovados cada dos años. Destaca la precisión y la amplitud con la que se han desarrollado las funciones y obligaciones de esta Autoridad, a la que se reconocen entre otros poderes potestad normativa, inspectora y sancionadora. Cuenta con el apoyo de una Secretaría formada por un número no superior de treinta funcionarios (87). HUNGRÍA La ley húngara es la Ley LXIII de 1992, sobre Protección de Datos Personales y Acceso a los Datos de Interés Público (88). En Hungría es el Comisionado para la Protección de Datos y la Libertad de Información (Hungarian Parliamentary Commissioner for Data Protection and Freedom of Information). El Comisionado (Data Protection Commissioner) es el encargado de garantizar la protección de datos personales. La Ley de protección de datos húngara, con la finalidad de garantizar el derecho constitucional a la protección de datos personales y el acceso a los datos personales de interés público, crea un Comisionado para la Protección de Datos elegido por el Parlamento de entre los húngaros con estudios universitarios, sin antecedentes penales y con conocimientos o al menos diez años de práctica en la materia. De la labor de este Comisionado destaca la forma de imponer las sanciones, ya que si el Comisionado observa un tratamiento de datos ilegal requerirá al «director» del mismo que ponga fin al mismo, y si éste no atendiera a tal petición, en un plazo de treinta días, el Comisionado anunciará públicamente la ilegalidad, la identidad del director del tratamiento y la categoría de los datos tratados. En este sistema, como en Irlanda y el Reino Unido, se le da una gran importancia al Registro, y así todos los tratamientos de datos personales deben ser inscritos en el Registro de Protección de Datos (Data Protection Register) tras haber pasado por un previo control del Comisionado (89). 87. Sobre esta Autoridad, vid. artículos 15 a 23 de la Ley griega. 88. Esta Ley es manifestación del reconocimiento expreso del derecho fundamental a la protección de datos en el artículo 59 de su texto constitucional. Es la 1992. évi LXIII. Törvény a személyes adatok védelméröl és a közérdekü adatok nyilvánosságáról. Se modificó en julio de 1999. En adelante, Ley húngara. 89. Artículos 23 a 31A de la Ley húngara. 150 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 151 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea IRLANDA En Irlanda encontramos las Leyes de Protección de Datos de 1988 y 2003 (90). En este país su autoridad independiente es el Comisionado de Protección de Datos (Data Protection Commissioner). Este Comisionado, nombrado por el Gobierno para un periodo de cinco años, es un órgano independiente y dotado de personalidad jurídica propia que tiene como principal función velar por la aplicación de la Ley de protección de datos. Tiene competencia para investigar a los titulares de los ficheros, públicos o privados, tanto de oficio como a instancia de parte, y puede solicitar la cancelación o rectificación de los datos. Además, tiene competencia en relación con las comunicaciones electrónicas no solicitadas (o spam). Sus decisiones son apelables ante los Tribunales de Justicia. Este Comisionado se encarga de la llevanza del Registro de Ficheros. El sistema de protección de datos irlandés es eminentemente registral, la inscripción de los registros tiene un valor constitutivo y es obligatoria para los ficheros del sector público y determinados ficheros del sector privado, como los de las instituciones financieras, de compañías de seguros, de empresas de venta por correo, de agencias de información sobre solvencia patrimonial y crediticias o los que traten datos especialmente protegidos (91). ITALIA En Italia encontramos como norma de referencia el Decreto Legislativo núm. 196, de 30 de junio de 2003, por el que se aprueba el Código en materia de protección de datos personales (92). 90. Data Protection Acts 1988 and 2003 (informal consolidation). Tras la modificación operada por la Data Protection (Amendment) Act 2003, el Comisionado de Protección de Datos irlandés publicó en el 2007 un compendio («Compendium of Acts») de ambas Leyes, sin incluir las modificaciones introducidas en octubre de 2007. En adelante, Ley irlandesa. 91. Sobre este Comisionado, vid. artículos 9 a 26 de la Ley irlandesa; y sobre el Registro, vid. artículos 16 a 20 de la misma Ley. 92. Decreto legislativo n. 196, 30 giugno 2003, Codice in materia di protezione dei dati personali. Este Decreto, con el fin de introducir los cambios en materia de protección de datos de las Directivas comunitarias sobre Protección de Datos, ha derogado la conocida Legge n. 675 del 31 dicembre 1996, sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Ha experimentado numerosas modificaciones, siendo la última la de la Legge 26 febbraio 2007. En adelante, Decreto italiano. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 151 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 152 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro Aquí, la autoridad encargada de controlar los tratamientos de datos personales es el Garante para la protección de los datos personales (Garante per la protezione dei dati personali). Se trata de un órgano autónomo e independiente, colegiado, que se compone de cuatro miembros de reconocida competencia en materia de Derecho o Informática, elegidos dos por la Cámara de Diputados y dos por el Senado, que nombran entre ellos a un Presidente con voto de calidad. Con el fin de garantizar tanto su independencia como la de las personas a su cargo, se ha aprobado un Código ético de funcionamiento en el que se recogen los principios que plasman dicha independencia. El mandato es de cuatro años y pueden ser reelegidos una sola vez. Tiene un amplio número de competencias, entre las que destacan la de recibir las quejas y reclamaciones de los afectados, la de denunciar ante los Tribunales los hechos que tengan carácter delictivo, proponer al Gobierno las normas sobre protección de datos y elaborar un informe anual que eleva al Parlamento y al Gobierno. En su organización cuenta con el apoyo de una Oficina (Ufficio del Garante) que no puede superar los cuarenta y cinco funcionarios. Sus recursos dependen de una partida de los presupuestos del Estado, en función de las previsiones del Ministerio de Economía, y está, en este sentido, sujeto al control del Tribunal de Cuentas. En 2007, la Ley de Presupuestos aprobó que se incrementara en un máximo del 25% la plantilla del Garante con el fin de mejorar sus funciones de supervisión y control (93). LETONIA En Letonia tenemos la Ley de Protección de Datos Personales, de 23 de marzo de 2000 (94). El organismo independiente es la Inspección Estatal de Datos (Data State Inspection). La Ley sobre protección de datos personales de Letonia establece la 93. Artículos 153 a 160 del Decreto italiano; y Código ético, aprobado por Reglamento núm. 1/2000, del Garante, el 28 de junio del 2000. Vid., también, Décimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo al año 2006, adoptado el 20 de junio de 2007, p. 58. 94. Fizisko personu datu aizsardzibas likums o Personal Data Protection Law. Esta Ley fue adoptada el 23 de marzo de 2000 y publicada el 6 de abril del mismo año. Existe un texto consolidado (versión en inglés) que incluye las modificaciones de 2002 y 2006, pero no recoge las posteriores modificaciones de 2007 y 2008. 152 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 153 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea posibilidad de que los ciudadanos que consideren que se ha lesionado su derecho a la protección de datos puedan acudir a la Inspección Estatal de Datos, encargada, entre otras cosas, del registro obligatorio de los tratamientos de datos personales. Esta figura se define como una institución de la Administración del Estado bajo la jurisdicción del Ministerio de Justicia que actúa de forma independiente. Está dirigida por un Director que es designado y cesado por el Gobierno a propuesta del Ministerio de Justicia y por un determinado número de empleados. En el Estatuto de esta Inspección se recoge en diez puntos quiénes forman parte de la misma, sus funciones y lo relativo a su presupuesto. Las decisiones de este órgano pueden ser recurridas ante los Tribunales. Por último, añadir que a partir de 2006 y tras el pronunciamiento de la Corte Constitucional el 16 de octubre, con el fin de garantizar la independencia de la Inspección, se adoptó la decisión —además de otorgarle más funciones de control y supervisión y reducir las relativas a los procedimientos de notificación— de desvincularlo del arriba citado Ministerio (95). LITUANIA En este Estado miembro tenemos la Ley núm. IX-1296, de 21 de enero de 2003, sobre Protección Legal de Datos Personales (96). En Lituania encontramos la Autoridad Estatal de Supervisión de Datos (State Data Protection Inspectorate). Esta Autoridad, creada con la anterior Ley de protección de datos de 1996, aunque comenzó supervisando únicamente los ficheros de titularidad pública, a partir de 1998 incluyó en su campo de actuación también a los ficheros de titularidad privada. Conforme a la Ley de protección de datos lituana, el control de la aplicación corresponde a la Autoridad de Supervisión, institución estatal financiada con los Presupuestos del Estado y cuya regulación se deja también en manos del Gobierno. Su vincu- 95. Artículos 20 y 29 a 31 de la Ley letona y el Estatuto de dicha Inspección, aprobado el 28 de noviembre del 2000. Vid., también, Décimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo al año 2006, adoptado el 20 de junio de 2007, pp. 70-71. 96. Law No. IX-1296, of 21 January 2003, on Legal Protection of Personal Data. La versión oficial recoge el texto consolidado tras las modificaciones sufridas por la Ley de 13 de abril de 2004. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 153 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 154 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro lación con el Gobierno se refleja también desde que en 2001 dicha Autoridad pasa a estar bajo el Ministerio de Reforma de las Administraciones Públicas y de Asuntos de las Entidades Locales. Entre sus funciones destaca la función de asesoramiento, la de examinar las demandas y quejas impuestas ante las violaciones de la Ley de protección de datos y la de conceder las autorizaciones para transmitir datos a terceros países, pero no tiene atribuida potestad sancionadora al respecto. Por otro lado se le excluye toda competencia respecto del tratamiento de datos personales que se realice en los Tribunales, así como sobre las cuestiones que surjan en el terreno la información pública o en los tratamientos de datos con fines artísticos o literarios, de lo que se ocupará el Inspector de Ética Periodística («Inspector of Journalistic Ethics»). Tanto su organización como sus competencias se recogen en una Resolución de 25 de septiembre de 2001. Y en 2006 amplió sus competencias en relación con los controles previos sobre los tratamientos de datos personales (97). LUXEMBURGO En Luxemburgo es la Ley, de 2 de agosto de 2002, relativa a la protección de las personas en atención al tratamiento de los datos de carácter personal la encargada de regular la materia (98). Aquí encontramos la Comisión nacional para la protección de datos (Commission nationale pour la protection des donnèes). Esta Comisión es la encargada de controlar y verificar si los datos sometidos a tratamientos son conformes con los principios y disposiciones de la normativa sobre protección de datos. Es una autoridad independiente, con personalidad jurídica propia, que está compuesta por un Presidente, un Vicepresidente y tres miembros, todos ellos con experiencia profesional en la materia, elegidos para un periodo 97. Sobre esta Autoridad, vid. artículos 29 a 32 de la Ley lituana. 98. Loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, que deroga la anterior Ley de 1979. Ha sido modificada en varias ocasiones en 2006 y a finales de julio de 2007. En adelante, Ley luxemburguesa. Vid., también, Décimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo al año 2006, adoptado el 20 de junio de 2007, p. 77, en el que se recoge que las nuevas modificaciones introducidas en 2006 prevén un régimen más amplio de excepciones al requisito de la notificación o al previo control de su Autoridad de control. 154 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 155 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea de seis años renovables. Funciona como un órgano colegiado y puede imponer sanciones administrativas a las personas físicas y jurídicas. Junto a la Commission nationale pour la protection des donnèes se ha creado una Autoridad específica (L’autorité de contrôle «Article 17») vinculada al Ministerio Fiscal, encargada de controlar la aplicación de la protección de datos personales en el ámbito de las operaciones relativas a la seguridad pública, defensa, seguridad del Estado y prevención, detección y persecución de delitos criminales. Y también, junto a esta Comisión, se crea la figura del «encargado de la protección de datos» («chargé de la protection de données») nombrado por el responsable para velar por el cumplimiento de la legislación en materia de protección de datos personales realizados bajo su responsabilidad en relación con los registros de los tratamientos efectuados; debe ser un profesional con formación universitaria en derecho, economía, gestión de empresa, ciencias de la naturaleza o informática y su nombramiento debe contar con el consentimiento de la Comisión. Hay que señalar que este «encargado de la protección de datos» nada tiene que ver con la figura del «encargado» prevista en las Directivas comunitarias y en la propia Ley luxemburguesa («sous-traitant»), que se encarga de tratar los datos personales por orden del responsable del tratamiento (99). MALTA En Malta nos encontramos con la Ley XXVI, de 14 de diciembre de 2001, de Protección de Datos (100). En este Estado tenemos al Comisionado para la Protección de Datos (Data Protection Commissioner). La Ley de protección de datos personales de Malta exige que exista un Comisionado encargado de la protección de los datos personales, designado por el Primer Ministro tras consulta con el líder de la 99. La Comisión se regula en los artículos 32 a 38 de la Ley luxemburguesa, la Autoridad de control en el art. 17 y la figura del «encargado de la protección de datos» en el artículo 12.3 de la misma Ley, al excluir de la obligación de notificar el tratamiento de datos a la Autoridad de control en aquellos casos en los que se nombre a dicho «encargado». 100. Data Protection Act XXVI of 14 December 2001 (Chapter 440, Data Protection Act). Fue modificada al año siguiente por la Ley XXXI. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 155 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 156 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro oposición. El Comisionado actúa de forma independiente en el ejercicio de sus funciones (de instrucción, asesoramiento, sancionadoras…), sin estar sujeto a órdenes o a instrucciones, durante su mandato de cinco años, pudiendo ser reelegido una sola vez. Puede ser cesado por el Primer Ministro, aunque después de un determinado proceso. Junto al Comisionado se ha creado, del mismo modo que en el Reino Unido, un Tribunal (Data Protection Appeals Tribunal) encargado de conocer de aquellos asuntos que se le presenten en relación con las decisiones que hubiera tomado el Comisionado. El Tribunal está compuesto por un Director que debe ser un abogado con al menos doce años de experiencia, y por otros dos miembros elegidos por el Gobierno y que representen, a entender del Gobierno, los intereses de los titulares de los datos y de los responsables de los tratamientos. Estos miembros no pueden estar en el cargo más de tres años. Las decisiones del Tribunal son recurribles ante un Tribunal de Apelaciones (101). Además del Comisionado y del Tribunal, encontramos un «representante de los datos personales» («personal data representative»), que no debemos confundir con el «encargado» que actúa por orden del responsable del tratamiento de datos personales, y que se encarga de controlar de forma independiente la legitimidad de los tratamientos de datos personales y de llevar un registro de los mismos (102). PAÍSES BAJOS En los Países Bajos se aprobó la Ley de 6 de julio de 2000, en la que se contienen las reglas relativas a la protección de los datos personales (103). En este Estado miembro tenemos a la Autoridad para la Protección de datos Personales (College bescherming persoonsgegevens, CBP, o Dutch Data Protection Authority). En el Capítulo dedicado a la supervisión, la Ley de protección 101. Sobre estas figuras vid. artículos 36 a 53 de la Ley maltesa. 102. El artículo 2 Ley maltesa define al representante, diferenciándolo del «encargado» («processor»), al que dedica también los arts. 30 a 35. 103. Act of 6 July 2000 containing rules regarding the protection of personal data (Dutch personal data protection Act / Wet bescherming persoonsgegevens, Wbp). Publicada en el Staatsblad 2000, 302. Esta Ley sustituye a la Wet personenregistraties, de 28 de diciembre de 1988. Ha sido modificada en varias ocasiones, siendo la última en febrero de 2002. En adelante, Ley holandesa. 156 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 157 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea de datos holandesa exige la creación de una Autoridad independiente con el fin de controlar el procesamiento de datos personales en los Países Bajos. Esta Autoridad de control se ha creado con el fin de vigilar que los tratamientos de datos personales se realicen conforme a la Ley de protección de datos holandesa. Es un órgano independiente, compuesto por un Presidente proveniente de la carrera Judicial, nombrado para un mandato de seis años, por otros dos miembros y por miembros especiales, en ambos casos, nombrados para un periodo de cuatro años. La Comisión cuenta con el apoyo de una Secretaría compuesta por funcionarios públicos. La Comisión es designada por Real Decreto a propuesta del Ministro y sólo puede ser cesada por el Ministerio de Justicia. Es de destacar que, junto a la Autoridad, existe la posibilidad de que las entidades privadas nombren en el seno de su institución un «Oficial de protección de datos» (Data protection officer), que posee un conocimiento adecuado a la materia y actúa de forma independiente, encargándose de fiscalizar los tratamientos de datos que se realicen, incluso los que realicen el responsable del tratamiento o los responsables afiliados a la organización que lo han designado. La Comisión debe llevar un registro de dichos Oficiales, los cuales no podrán comenzar su tarea si no se encuentran inscritos (104). POLONIA La Ley polaca es la Ley de 29 de agosto de 1997, sobre la Protección de Datos Personales (105). Aquí encontramos como autoridad independiente al Inspector General para la Protección de Datos Personales (Inspector General for Personal Data Protection). El Inspector es nombrado por la Asamblea de Polonia, con el consentimiento del Senado, exigiéndose que la persona en cuestión sea un ciudadano polaco con residencia permanente en Polonia, conocido por «tener unos principios morales excelentes», sin antecedentes penales y licenciado en Derecho 104. Vid. artículos 51a a 64 de la ley holandesa; y, en concreto, sobre el Oficial de protección de datos («Data protection officer»), artículos 62 a 64. 105. Esta Ley da cumplimiento al mandato establecido en el artículo 51 de su Constitución. Act of 29 August 1997, on the Protection of Personal Data. Publicada en el Journal of Laws of October, 29, 1997, No. 133, item 883. Y para el texto consolidado, tras la reforma de 2002, vid. Boletín Oficial de 6 de julio de 2002, núm. 101, ítem 926. Posteriores modificaciones ha sufrido en 2004, 2006 y en octubre de 2007. En adelante, Ley polaca. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 157 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 158 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro con una experiencia profesional adecuada. Sólo está sometido al imperio de la Ley y su nombramiento es para un periodo de cuatro años, pudiendo perderlo, además de por la pérdida de la nacionalidad polaca, entre otras cosas, por una orden de la Asamblea con el consentimiento del Senado en el caso de que el mismo Inspector pida la renuncia, devenga incapaz de realizar sus funciones por enfermedad, por haber violado su juramento o por haber sido condenado por la comisión de un delito. El Inspector goza de inmunidad, es decir, es inmune a la detención policial salvo caso de flagrante delito y previo consentimiento de la Asamblea para su procesamiento. Cuenta con el apoyo de un Ayudante (Deputy Inspector General), designado por él y nombrado por la Asamblea; y de una Oficina integrada por Inspectores (Bureau of the Inspector General for Personal Data Protection), cuya organización y funcionamiento se regula por un Estatuto personal (106). PORTUGAL En Portugal se aprobó la Ley núm. 67/98, de 26 de octubre, de Protección de Datos Personales (107). Aquí es la Comisión Nacional de Protección de Datos (Comissão Nacional de Protecção de Dados, CNPD) su autoridad independiente. Es una entidad administrativa independiente cuya misión principal es controlar y fiscalizar el cumplimiento de la legislación en materia de protección de datos, para lo cual dispone de potestades de investigación, asesoramiento, procesal y de sanción. Está compuesta por siete miembros de reconocida competencia, siendo el Presidente y dos vocales nombrados por la Asamblea de la República, dos vocales nombrados por el Gobierno por su reconocida competencia en la materia y otros dos vocales magistrados con más de diez años en la carrera judicial. Todos ellos son nombrados para un solo mandato de cinco años y cesan con la toma de posesión de los nuevos miembros ante el Presidente de la Asamblea. Sólo se encuentra sometido al imperio de la Ley, y se somete a sus miembros 106. Vid. artículos 8 a 22a de la Ley polaca y Estatuto de la Oficina, aprobado el 3 de noviembre de 2006. 107. Desarrolla el artículo 35 de su Constitución, donde se reconoce expresamente un derecho fundamental a la protección de datos personales. Lei núm. 67/98, de 26 de Outubro, da Protecção de dados pessoais. Publicada en el Diàrio da República I Série A núm. 247. 158 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 159 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea a un estricto régimen de incompatibilidades. Sus decisiones tienen fuerza vinculante y pueden ser recurridas ante el Tribunal Central Administrativo (108). REINO UNIDO En el Reino Unido la norma que regula la protección de datos personales es la Ley de Protección de Datos de 1998 (109). Las autoridades que se encargan del control del tratamiento de datos personales son el Comisionado de Información (Information Commissioner) y el Tribunal de Información (Information Tribunal). La antigua Ley de protección de datos inglesa de 1984 establecía la existencia de un Registrador de la Protección de Datos (Data Protection Registrar) y un Tribunal de Proteccion de Datos (Data Protection Tribunal). Con la aprobación de la nueva Ley de protección de datos de 1998, así como con la aprobación de la Ley de Libertad de Información de 2000 (Freedom of Information Act, FOIA) (110), el Registrador y el Tribunal de Datos pasaron a ser, respectivamente, el Comisionado y el Tribunal de Información. El Comisionado es un oficial independiente nombrado por la Reina y encargado de controlar, por un lado, la aplicación de la legislación sobre protección de datos personales y, por otro lado, la relativa a la libertad de información prevista en la FOIA, en la que se regula el acceso a los datos personales que obran en manos de los poderes públicos. Su obligación principal es promover las buenas prácticas entre los responsables de los tratamientos de datos personales y controlar el cumplimiento de la legislación sobre protección de datos. Es nombrado por un periodo de cinco años, pudiendo ser reelegido por tres veces consecutivas, aunque en la práctica suele estar dos periodos consecutivos. Puede ser cesado a petición propia o por la Reina en escrito dirigido al Parlamento (mediante un procedimiento parecido al impeachment). El Comisionado 108. Sobre la CNPD vid. artículos 21 a 31 de la Ley portuguesa y la Ley 43/2004, de 18 de agosto, por la que se regula su organización, funcionamiento y competencias. Hasta la aprobación de la nueva Ley de protección de datos portuguesa (Ley núm. 67/98) dicha Comisión se denominaba Comissão Nacional de Protecção de Dados Pessoais Informatizados (CNPDPI) y se ocupaba sólo del control de los tratamientos de datos automatizados. 109. Data Protection Act 1998 (1998 Chapter 29). En adelante, Ley inglesa. 110. Esta Ley ofrece el derecho general de acceso a todo tipo de información «grabada» por las autoridades públicas. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 159 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 160 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro es un órgano independiente que responde ante el Parlamento y no ante el Ministro, y ejerce las funciones que le son asignadas por Ley. El Comisionado cuenta, desde 2003, con tres Oficinas Regionales (Irlanda del Norte, Escocia y Gales), que se encargan del tratamiento de datos en sus respectivas regiones. En enero de 2008 se aprobó un Documento de organización y funcionamiento de este Comisionado, en el que se regula además su relación con el Gobierno. Junto al Comisionado, existe un Tribunal «especial», el Tribunal de Información. Las reglas por las que se rige el funcionamiento de este Tribunal, que estaban previstas en la Ley de protección de datos inglesa, se han modificado para introducir los cambios técnicos necesarios para que este Tribunal pueda ocuparse también de los recursos presentados contra la FOIA, que entró en vigor en enero de 2005. Este Tribunal está compuesto por un número indeterminado de miembros, entre los que tienen que existir: un Presidente, designado por el Ministro de Justicia; tantos Vicepresidentes como determine el mismo Ministro de Justicia; y tantos miembros como designe el Gobierno. Tanto el Presidente como los Vicepresidentes deben ser personas o juristas con más de siete años de antigüedad y experiencia en la materia; mientras que los demás miembros deben ser personas que representen los intereses de los titulares de los datos y de los responsables de los tratamientos. Respecto de la duración del mandato de estos miembros, únicamente se establece que ocuparán sus puestos en función de su cargo y que deben abandonarlo al cumplir los setenta años. Es el Gobierno el que dota al Tribunal de los medios materiales y personales necesarios para el desempeño de sus funciones, por lo que en principio no cuenta con personal ni con domicilio fijo, aunque en la práctica tiene a su cargo personal de apoyo y suele situarse en Londres (111). REPÚBLICA CHECA En la República Checa nos encontramos con la Ley 101, de 4 de abril de 2000, sobre Protección de Datos Personales (112). 111. Vid. artículos 6, 12 y 40 a 54 (51.[1]) y Schedules 5 y 6 de la Ley Inglesa; y en general, sobre la misma, JAY, R. / HAMILTON, A.: Data protection. Law and practice, 2.ª ed., Sweet & Maxwell, Londres, 2003 (en especial, pp. 518 y 534-536). 112. Act 101 of April 4, 2000, on Personal Data Protection (Act No. 101/2000 Coll. on the Protection of Personal Data and on Amendment to Some Acts). Esta Ley ha sufrido múltiples modificaciones (2000, 2001, 2002, 160 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 161 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea La autoridad independiente es la Oficina de Protección de Datos (Office for Personal Data Protection). La Ley de protección de datos checa crea la Oficina de Protección de Datos con la finalidad de controlar el cumplimiento de la legislación sobre protección de datos. Es una autoridad independiente sometida tan solo al imperio de la Ley. Entre sus funciones destaca la de atender las peticiones y quejas hechas por los ciudadanos y la de conceder las autorizaciones previstas en la Ley. Está compuesta por un Presidente, los inspectores y los empleados de la misma. El Presidente es designado por el Presidente de la República a propuesta del Senado por un periodo de cinco años, pudiendo estar en el cargo un máximo de dos periodos sucesivos, exigiéndose que se trate de un ciudadano de nacionalidad checa y en pleno disfrute de su capacidad jurídica, sin antecedentes penales y licenciado universitario con conocimiento y experiencia acreditada. Los inspectores también son designados de la misma forma que el Presidente, pero son elegidos por un periodo de diez años y pueden ser reelegidos repetidamente. Esta Oficina tiene labores de registro, publicidad mediante la elaboración de una Memoria anual, inspección y ejerce también la potestad sancionadora. En 2005 sus competencias se ampliaron en relación con las comunicaciones electrónicas no solicitadas acompañándose de un estricto régimen sancionador, que fue «dulcificado» en 2006 (113). RUMANÍA La norma que regula el tratamiento de datos personales en Rumanía es la Ley 677/2001, de 21 de noviembre, sobre protección de los sujetos respecto del tratamiento y libre circulación de sus datos personales (114). 2004 —con la que se adaptó a la Directiva 95/46/CE—, 2005 y 2006), siendo la última en 2007. En adelante, Ley checa. 113. Sobre esta Oficina vid. artículos 28 a 43 de la Ley checa. Vid., también, Décimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo al año 2006, adoptado el 20 de junio de 2007, p. 24. 114. Law No. 677/2001, of 21st of november 2001, on the protection of individuals with regard to the processing of personal data and the free movement of such data. Publicada en el Diario Oficial de Rumanía núm. 790, de 12 de diciembre de 2001. Ha sido modificada en 2005. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 161 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 162 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro En Rumanía quien se encarga de controlar el cumplimiento del derecho a la protección de datos personales es del Defensor del Pueblo (People’s Advocate). Es elegido por un periodo de cinco años por el Parlamento, pudiendo ser reelegido una sola vez, y no está sujeto a mandato imperativo o representativo alguno. Desde su creación en 1997 sus funciones y competencias han ido aumentando —siempre dentro de la defensa de los derechos y libertades de los ciudadanos—, siendo actualmente el encargado de resolver los conflictos que se producen en materia de protección de datos personales. Así entre sus normas de funcionamiento se prevé el ejercicio de todas aquellas competencias previstas legalmente como autoridad encargada del control del tratamiento de datos personales, pudiendo delegar dichas competencias en otros sujetos dentro de su institución. Cuenta por ello con el asesoramiento de una serie de empleados que están especializados en diversas materias, especialmente relacionadas con los derechos fundamentales, y que son propuestos por él mismo y designados por el Parlamento, tras haber sido oído el comité jurídico de ambas Cámaras del Parlamento. Tanto el Defensor como sus empleados gozan de inviolabilidad por los actos y manifestaciones realizados durante el ejercicio de su cargo; pero sólo el Defensor goza de inmunidad y podrá ser detenido previa autorización del Parlamento, mientras que sus empleados sólo podrán ser detenidos previa información al mismo (115). SUECIA En Suecia se aprobó la Ley 1998:204, de 29 de abril, de Protección de Datos Personales (116). En este Estado, el organismo de control es la Inspección de Datos Sueca (Datainspektionen, o Data Inspection Board). La regulación de la Autoridad na- 115. Aunque su creación estaba prevista constitucionalmente, no empezó su funcionamiento hasta que por Ley 35/1997 se reguló su estatuto. Y no fue hasta finales del 2002, comienzo del 2003, tras una modificación legal, cuando que asumió competencias sobre la vigilancia y control del tratamiento de datos personales. Así se reconoce también en sus Normas de organización y funcionamiento aprobadas el 11 de octubre de 2004. 116. Personuppgiftslagen 1998:204 of 29 April 1998 o Personal Data Act. Esta Ley deroga a la anterior Ley sueca núm. 289 de 1973. 162 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 163 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea cional de protección de datos en la Ley sueca es un tanto ambigua y confusa, pues ésta se refiere indistintamente a la «Autoridad designada por el Gobierno», encargada de autorizar ciertos tratamientos de datos y de informar sobre ellos o sobre las excepciones a ellos, y a la «Autoridad de supervisión», encargada de decidir sobre las medidas de seguridad que debe implantar el responsable del tratamiento, de recibir las notificaciones de los tratamientos que se vayan a realizar y de tomar las decisiones procedentes sobre los tratamientos de datos que se le planteen. No obstante, a pesar de la diferente terminología empleada en la Ley, existe una única Autoridad de protección de datos, la Inspección de Datos (Data Inspection Board) compuesta por unos cuarenta empleados, abogados en su mayoría, distribuidos en diferentes unidades administrativas bajo el mando de un Comité ejecutivo formado por un Director General y por ocho miembros designados por el Gobierno, de ahí que se la considere una «agencia central del Gobierno» («central government agency»). Esta Autoridad realiza las funciones que la Ley expresamente le atribuye, siendo la más importante la de prevención, que desarrolla a través de la información y regulación de la materia. Junto a la Inspección de Datos, la Ley sueca de protección de datos personales crea también un «representante de los datos personales» («personal data representative»), nombrado por el responsable del tratamiento de datos y encargado de asegurar de forma independiente que el responsable del tratamiento de datos realiza un tratamiento de datos personales conforme a los principios establecidos en la legislación sobre la materia (117). 117. En la Ley sueca podemos ver cómo en un mismo artículo se hace referencia a lo que parecen dos tipos de «autoridades». El artículo 35 de la Ley es el relativo a las excepciones a la prohibición de transferir datos a terceros países. Por otro lado, el artículo 3 define esta figura del «representante» junto a la del responsable («controller of personal data») y a la del «encargado» («personal data assistant»). Sobre dicha figura, vid. también, artículos 37 a 40 de la Ley sueca. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 163 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 164 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro REFERENCIA BIBLIOGRÁFICA ALONSO GARCÍA, R. y SARMIENTO, D.: La Carta de Derechos Fundamentales en la Unión Europea, Aranzadi, Cizur Menor (Navarra), 2006. ARENAS RAMIRO, M.: El derecho fundamental a la protección de datos personales en Europa, Tirant lo Blanch, Valencia, 2006. ARNOLD, R.: «Los derechos fundamentales comunitarios y los derechos fundamentales en las Constituciones nacionales», en MATIA PORTILLA, F.J. (dir.), La protección de los derechos fundamentales en la Unión Europea, Civitas, Madrid, 2002, pp. 51-59. BALAGUER CALLEJÓN, F.: «Derecho y derechos en la Unión Europea», en CORCUERA ATIENZA, J. (coord.), La protección de los derechos fundamentales en la Unión Europea, Dykinson, Madrid, 2002, pp. 39-59. BIGLINO CAMPOS, P.: «Derechos fundamentales y competencias de la Unión: el argumento Hamilton», en Revista de Derecho Comunitario Europeo, núm. 14, 2003, pp. 45-68. BLACKBURN, R.: «Current Developments, Assessment, and Prospects», en BLACKBURN, R. y POLAKIEWICZ, J.: Fundamental Rights in Europe, Oxford University Press, Oxford, 2001, pp. 77-100. BRAIBANT, G.: Données personnelles et société de l’information, La Documentation Française, Paris, 1998. CARRILLO, M.: «La Unión Europea ante los derechos fundamentales», en VV.AA., La democracia constitucional. Homenaje al Profesor Francisco Rubio Llorente, vol. II, Centro de Estudios Políticos y Constitucionales, Madrid, 2002, pp. 1407-1422. COMISIÓN EUROPEA: Primer Informe de la Comisión relativo a la aplicación de la Directiva sobre Protección de Datos 95/46/CE, de 15 de mayo de 2003 (COM [2003] 265 final). CORCUERA ATIENZA, J.: «La protección de los derechos fundamentales en la Unión Europea: el final de un túnel», en CORCUERA ATIENZA, J. (coord.), La protección de los Derechos Fundamentales en la Unión Europea, Dykinson, Madrid, 2002, pp. 61-99. 164 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 165 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea COTINO HUESO, L.: «Una propuesta de reconocimiento de la protección de datos personales en los Estatutos de Autonomía», en revista digital datospersonales.org, núm. 17, septiembre de 2005. COUDENHOVE-KALERGI, R.N.: Pan-Europa, Pan Europa Verlag, Viena, 1923. CHUECA SANCHO, A.G.: «La evolución de los derechos fundamentales en los Tratados comunitarios», en MATIA PORTILLA, F.J., La protección de los derechos fundamentales en la Unión Europea, Civitas, Madrid, 2002, pp. 21-49. — «Por una Europa de los derechos humanos: la adhesión de la Unión Europea al Convenio Europeo de Derechos Humanos», en FERNÁNDEZ SOLA, N. (coord.), Unión Europea y Derechos fundamentales en perspectiva constitucional, Dykinson, Madrid, 2004, pp. 37-58. DRESNER, S.H.: «Panorama de la legislación europea sobre protección de datos personales», en Informática y Derecho, núms. 6-7, 1994, pp. 385395. FENOLL-TROUSSEAU, M.P. y HAAS, G.: Internet et protection des données personnelles, Éditions Litec, París, 2000. FLAHERTY, D.H.: Protecting privacy in surveillance societies, University of North Carolina Press, Chapel Hill, 1989. FONSECA MORILLO, F.J.: «La gestación y el contenido de la Carta de Niza», en MATIA PORTILLA, F.J. (dir.), La protección de los derechos fundamentales en la Unión Europea, Civitas, Madrid, 2002, pp. 87-121. FREIXES SANJUÁN, T. y REMOTTI, J.C.: El futuro de Europa. Constitución y derechos fundamentales, Minim Ediciones, Valencia, 2002. FROSINI, V.: Il diritto nella società tecnologica, Giuffrè, Milán, 1981. GARCÍA-BERRIO, T.: Informática y libertades. La protección de datos personales en Francia y España, Universidad de Murcia, Murcia, 2003. GARRIGA DOMÍNGUEZ, A.: La protección de los datos personales en el derecho español, Dykinson, Madrid, 1999. GOLA, P.: «Datenschutz durch EG-Rechtsprechung? Grundrechtschutz in der EG», en Recht der Datenverarbeitung, núm. 3, 1990, pp. 109-113. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 165 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 166 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro GRUPO DE TRABAJO DEL ARTÍCULO 29 DE LA DIRECTIVA 95/46/CE: Séptimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo a los años 2002 y 2003, adoptado el 21 de junio de 2004. — Décimo Informe Anual sobre la situación de la protección de las personas en lo que respecta al tratamiento de los datos personales y a la protección de la vida privada en la Unión Europea y en terceros países, relativo al año 2006, adoptado el 20 de junio de 2007. GUERRERO PICÓ, M.C.: «Operadores privados y seguridad pública: la retención de los datos de tráfico a la luz de la sentencia PNR», en Revista Española de Protección de Datos, núm. 2, enero-julio de 2007, pp. 185-215. HÄBERLE, P.: «Derecho constitucional común europeo», en Revista de Estudios Políticos, núm. 79, 1993, pp. 25 y ss. HONDIUS, F.W.: Emerging data protection in Europe, Oxford, 1975. JAY, R. y HAMILTON, A.: Data protection. Law and practice, 2.ª ed., Sweet & Maxwell, London, 2003. KORFF, D.: EC study on implementation of data protection Directive, Study Contract ETD/2001/B5-3001/A/49, Human Rights Centre, Cambridge, 2002. LAZPITA GURTUBAY, M.: «Análisis comparado de las legislaciones sobre protección de datos de los Estados miembros de la Comunidad Europea», en Informática y Derecho, núms. 6-7, 1994, pp. 397-420. LÓPEZ GARRIDO, D.: La Constitución Europea, Bomarzo, Albacete, 2005. LUCAS MURILLO DE LA CUEVA, P.: «La Constitución y el derecho a la autodeterminación informativa», en Cuadernos de Derecho Público, núms. 19-20, 2003, pp. 27-43. MANGAS MARTÍN, A.: La Constitución Europea, Iustel, Madrid, 2005. NIGER, S.: Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, Cedam, Padua, 2006. PARDOLESI, R. (dir.): Diritto alla riservatezza e circolazione dei dati personali, Giuffrè, Milán, 2003. 166 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 167 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos personales en los países de la Unión Europea PEDROL, X.: La Constitución Europea y sus mitos, Icaria, Barcelona, 2005. PÉREZ LUÑO, A.E.: «Los derechos humanos en la sociedad tecnológica», en Cuadernos y debates, núm. 21, 1989, pp. 133-213. PI LLORENS, M.: Los derechos fundamentales en el ordenamiento jurídico comunitario, Ariel, Barcelona, 1999. PIÑAR MAÑAS, J.L.: «El derecho a la protección de datos de carácter personal en la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas», en Cuadernos de Derecho Público, núms. 19-20, 2003, pp. 45-90. PIZZORUSSO, A.: «Sul diritto alla riservatezza nella Constituzione italiana», en Prassi e teoria, 1976. PULIDO QUECEDO, M.: «La catequista y los riesgos de Internet», en AJA, núm. 602/2003, 2003. REBOLLO DELGADO, L.: Derechos Fundamentales y Protección de Datos, Dykinson, Madrid, 2004. RIDEAU, J.: «Los derechos fundamentales comunitarios y los derechos humanos», en MATIA PORTILLA, F.J. (dir.), La protección de los derechos fundamentales en la Unión Europea, 2002, pp. 61-86. RODRÍGUEZ BEREIJO, A.: «La Carta de los derechos fundamentales de la Unión Europea y la protección de los derechos humanos», en FERNÁNDEZ SOLA, N. (coord.), Unión Europea y Derechos fundamentales en perspectiva constitucional, Dykinson, Madrid, 2004, pp. 11-36. RODRÍGUEZ-VERGARA DÍAZ, A.: Integración europea y derechos fundamentales, Civitas, Madrid, 2001. ROSSNAGEL, A.: Handbuch Datenschutzrecht, C.H. Beck, Munich, 2003. — «EuGH: Personenbezogene Daten im Internet», en Multimedia und Recht, 2/2004, pp. 95-100. RUBIO LLORENTE, F.: «Mostrar los derechos sin destruir la Unión», en GARCÍA DE ENTERRÍA, E. (dir.) y ALONSO GARCÍA, R., La encrucijada constitucional de la Unión Europea, Civitas, Madrid, 2002, pp. 113-150. — «Los derechos fundamentales en la Unión Europea y el estatuto de la Carta», en EuropaFutura.org, núm. 4, 2004, pp. 15-27. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 167 02-MArenasFP_DA.qxd 26/8/08 19:01 Página 168 NÚMERO MONOGRÁFICO Mónica Arenas Ramiro RUIZ MIGUEL, C.: «El derecho a la protección de datos personales en la Carta de Derechos Fundamentales de la Unión Europea», en Revista de Derecho Comunitario Europeo, núm. 14, 2003, pp. 7-43. — «El largo y tortuoso camino hacia la Carta de los Derechos Fundamentales de la Unión Europea», en RUIZ MIGUEL, C. (coord.), Estudios sobre la Carta de los Derechos Fundamentales de la Unión Europea, Universidad de Santiago de Compostela, A Coruña, 2004, pp. 13-53. SALINAS DE FRÍAS, A.: La protección de los Derechos Fundamentales en la Unión Europea, Comares, Granada, 2000. SALVADOR MARTÍNEZ, M.: Autoridades independientes, Ariel, Barcelona, 2002. SÁNCHEZ JIMÉNEZ, E.: «Los derechos humanos de la tercera generación: la libertad informática», en Informática y Derecho, núm. 4, 1994, pp. 165-175. SERRANO PÉREZ, M.M.: El derecho fundamental a la protección de datos personales, Civitas, Madrid, 2003. SICILIA OÑA, B.: Derechos fundamentales y Constitución Europea, Ararteko, Vitoria-Gasteiz, 2006. TÉLLEZ AGUILERA, A.: La protección de datos en la Unión Europea. Divergencias normativas y anhelos unificadores, Edisofer, Madrid, 2002. TRONCOSO REIGADA, A.: «La contribución de las Agencias Autonómicas al derecho fundamental a la protección de datos», en DAVARA RODRÍGUEZ, M.A. (coord.), XVII Encuentros sobre Informática y Derecho 2002-2003, 2003, pp. 23-45. — «La protección de datos personales. Una reflexión crítica de la jurisprudencia constitucional», en Cuadernos de Derecho Público, núms. 19-20, 2003, pp. 231-334. — «Las Comunidades Autónomas y la protección de datos personales: marco constitucional y posibilidades para el futuro», en Revista parlamentaria de la Asamblea de Madrid, núm. 12, junio de 2005, pp. 115-134. WEBER, A.: «La Carta Europea de Derechos Fundamentales y la protección nacional de los derechos fundamentales», en VV.AA., La democracia constitucional. Homenaje al Profesor Francisco Rubio Llorente, vol. II, Centro de Estudios Políticos y Constitucionales, Madrid, 2002, pp. 1391-1405. 168 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008