PDF en català - Càtedra UNESCO en Privadesa de Dades

Recull de normativa
i recomanacions sobre
Protecció de Dades
i Secret Estadı́stic
Àrea d’Assistència Tècnica Estadı́stica
Barcelona, a novembre 2010
D’acord amb el que estableix l’article 2, apartat e) del Decret 178/2009, de 17 de novembre, d’organització i funcionament de l’Institut d’Estadı́stica de Catalunya, l’Idescat ha de vetllar per l’aplicació i la
vigilància del compliment de les normes del secret estadı́stic en l’activitat estadı́stica, en els termes que
estableix la Llei 23/1998, de 30 de desembre, d’estadı́stica de Catalunya.
En compliment d’aquests preceptes, fa temps que l’Idescat recopila la normativa més rellevant en
matèria de protecció de dades personals i, sobretot, sobre la confidencialitat estadı́stica. En els darrers
anys s’ha intensificat el desplegament legislatiu al respecte tant a nivell comunitari com a Catalunya,
amb l’aprofundiment de les mesures que pretenen garantir la preservació de les dades individuals i, al
mateix temps, facilitar al màxim l’aprofitament d’aquest tipus d’informació per part de les administracions
públiques i d’altres usuaris. L’aplicació d’aquest conjunt de normes i la seva interpretació també propicia
el desenvolupament d’instruments i criteris que cal adoptar igualment.
En aquest sentit, s’ha considerat oportú posar aquest tipus de documentació a disposició del sistema
estadı́stic de Catalunya i als usuaris de la informació estadı́stica per tal de facilitar el seu coneixement i
seguiment. Atesa la naturalesa dinàmica de la legislació, el seu recull s’actualitzarà de forma contı́nua,
de manera que les successives versions en el temps es dataran convenientment.
En concret, el recull de normativa i recomanacions que configuren la documentació adjunta s’estructura
segons el seu nivell territorial d’aplicació: Catalunya, Espanya, Unió Europea i principis internacionals.
Quan s’ha considerat convenient, només s’han reproduı̈t els textos rellevants de les referències legals més
genèriques. Per úlltim, i amb l’ànim d’agilitar la seva localització i comprensió, el document inclou un
breu conjunt de definicions i un ı́ndex de les principals matèries.
Esperem doncs que, amb la divulgació continuada dels principals preceptes sobre la preservació del
secret estadı́stic, tots els seus responsables puguin afrontar millor els reptes que se’n derivin.
Institut d’Estadı́stica de Catalunya
Barcelona, novembre de 2010
2
1́
Index
3
Índex
4
Índex
1 Índex
3
2 Normativa catalana
7
2.1
Llei 23/1998 d’Estadı́stica de Catalunya - extracte . . . . . . . . . . . . . . . . . . . . . .
8
2.2
Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte . . . . . . . . . . . . . .
10
2.3
Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic . . . . . . . . . . . . . . . . . . . . .
13
Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades . . . . . . . . . . . . . . . . .
22
2.4.1
Decret 48/2003 – Estatut Agència Catalana Protecció de Dades
. . . . . . . . . .
34
2.4.2
Resolució 15 de des 2003 – Registre Protecció de Dades de Catalunya . . . . . . .
41
Estatut d’Autonomia de Catalunya - extracte . . . . . . . . . . . . . . . . . . . . . . . . .
43
2.4
2.5
3 Normativa estatal
45
3.1
Constitució espanyola - extracte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
3.2
Llei 12/1989 de la Funció Estadı́stica Pública - extracte . . . . . . . . . . . . . . . . . . .
48
3.3
Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte . . . . . . . . . . .
51
3.4
LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
. . . . . . . . . . . .
54
3.4.1
Real Decreto 994/1999 – Mesures de seguretat fitxers de dades personals . . . . .
73
3.4.2
Reglament de desplegament de la Llei orgànica 15/1999 . . . . . . . . . . . . . . .
79
4 Normativa europea
125
4.1
Codi de bones pràctiques de les estadı́stiques europees . . . . . . . . . . . . . . . . . . . . 126
4.2
Reglament (CE) 322/97 – Estadı́stica comunitària . . . . . . . . . . . . . . . . . . . . . . 132
4.3
Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
4.3.1
Reglament (CE) 1104/2006 que modifica el Reglament (CE) 831/2002
4.3.2
Reglament (CE) 1000/2007 que modifica el Reglament (CE) 831/2002 . . . . . . . 144
4.3.3
Reglament (CE) 606/2008 que modifica el Reglament (CE) 831/2002 . . . . . . . . 146
5
. . . . . . 142
ÍNDEX
ÍNDEX
4.4
4.3.4
Reglamento (UE) no 520/2010 que modifica el Reglament 831/2002 . . . . . . . . 148
4.3.5
Llista d’organismes els investigadors dels quals poden accedir a dades confidencials 151
Directiva 95/46/CE – Tractament de dades personals
4.4.1
4.5
. . . . . . . . . . . . . . . . . . . . 155
Reglament(CE) 45/2001 – Tractament de dades personals
que desenvolupa la Directiva 95/46/CE . . . . . . . . . . . . . . . . . . . . . . . . 178
Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions . . . . . . . . . . . . . . . . . . . . . . 200
4.5.1
Directiva 2002/58/CE que deroga la Directiva 97/66/CE . . . . . . . . . . . . . . 209
4.6
Directiva 2006/24/CE – Conservació de dades . . . . . . . . . . . . . . . . . . . . . . . . . 225
4.7
Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació . . . . . . . . 237
4.8
Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
4.8.1
Reglament 223/2009 que deroga el Reglament 1101/2008 . . . . . . . . . . . . . . 252
5 Principis i recomanacions internacionals
5.1
267
Declaration on Professional Ethics - ISI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
5.1.1
Declaració sobre l’ètica professional 1985 . . . . . . . . . . . . . . . . . . . . . . . . 268
5.1.2
Declaration on Professional Ethics 2009 (draft) . . . . . . . . . . . . . . . . . . . . 286
5.2
Principles governing International Statistical Activities (UNSD) . . . . . . . . . . . . . . . 298
5.3
Convention Protection of Individuals Automatic Processing
of Personal Data (Council of Europe) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
5.3.1
Amendments to the Convention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
5.3.2
Additional Protocol to the Convention . . . . . . . . . . . . . . . . . . . . . . . . . 309
6 Índex de definicions
311
6
2
Normativa catalana
7
Normativa catalana
2.1. Llei 23/1998 d’Estadı́stica de Catalunya - extracte
2.1 Llei 23/1998, de 30 de desembre, d’estadı́stica de Catalunya
Capı́tol IV. El secret estadı́stic
Article 24
1. Totes les persones, els òrgans i les institucions
que intervenen en les operacions regulades per
aquesta Llei tenen l’obligació de mantenir el
secret estadı́stic sobre la informació estadı́stica.
de dades de les quals es pugui deduir raonablement
una informació individual.
Article 27
Les dades que serveixin per a la identificació immediata de les persones informants han d’ésser destruı̈des quan ja no calgui conservar-les per al desenvolupament de les estadı́stiques programades. En
tot cas, aquestes dades han d’ésser guardades sota
clau, precinte o disposició especial.
2. El deure de guardar el secret estadı́stic s’ha
Article 28
de mantenir fins i tot després que les persones
No queden emparats pel secret estadı́stic els caobligades a preservar-lo hagin finalitzat llurs
activitats professionals o llur vinculació amb sos següents:
els òrgans que fan o tenen estadı́stiques.
a) Qualsevol dada que sigui de coneixement públic i que no afecti la intimitat de les persones.
Article 25
1. El secret estadı́stic empara totes les dades
individualitzades de caràcter privat personal,
familiar, econòmic o financer, utilitzades per a
elaborar l’estadı́stica obtingudes tant directament de la persona informant com de fonts administratives, llevat de les dades que s’han fet
públiques mitjançant registres públics o publicacions no declarades il.legals o contra les
quals no hi ha obert cap procediment judicial.
2. En virtut de l’obligació a què fa referència l’apartat 1, les dades individuals de comunicació
obligatòria no poden ésser fetes públiques ni
comunicades a cap persona o entitat, ni tan
sols a les administracions públiques, llevat de
les institucions o les entitats que també estan
vinculades per l’obligació del secret estadı́stic
i exclusivament amb la finalitat d’ésser usades
per a operacions estadı́stiques.
3. Els arxius informatitzats o manuals que contenen aquestes dades han d’ésser emmagatzemats de forma segura i només accessible al
personal sotmès al secret estadı́stic.
b) Qualsevol dada obtinguda dels registres administratius, sens perjudici de la confidencialitat
i els criteris de difusió que determini la legislació especı́fica que li sigui aplicable.
c) Els directoris que només contenen com a dades les simples relacions d’establiments, empreses, explotacions o organismes de qualsevol tipus, amb llurs denominacions, emplaçaments, indicadors d’activitat, grandàries i
altres caracterı́stiques generals incloses habitualment en els registres o els directoris de
difusió general.
d) Els directoris d’edificis i d’habitatges que només contenen com a dades els identificadors,
l’emplaçament, el tipus d’unitat i altres caracterı́stiques generals que s’inclouen habitualment en els registres o els directoris de distribució general.
e) Les dades protegides quan la persona interessada manifesti expressament i per escrit la seva renúncia a la protecció del secret estadı́stic.
Article 29
Les persones interessades tenen dret a accedir
a llurs dades personals que figuren en els directoris
El secret estadı́stic és vulnerat per la comuni- estadı́stics i a obtenir la rectificació dels errors que
cació de dades no autoritzada i per la comunicació continguin.
Article 26
8
Normativa catalana
2.1. Llei 23/1998 d’Estadı́stica de Catalunya - extracte
Article 30
estadı́stic tenen l’obligació de preservar el secret esEs pot permetre als instituts d’investigació cien- tadı́stic i han de signar una declaració solemne que
tı́fica i als investigadors accedir a les dades empara- són coneixedors de la normativa reguladora del sedes pel secret estadı́stic, sempre que aquestes dades cret estadı́stic i es comprometen a complir-la.
no permetin una identificació directa de les persones
Article 32
i que aquestes institucions o persones compleixin les
Pel que fa a la informació individualitzada decondicions adequades amb l’objecte de garantir la rivada de l’activitat administrativa, el secret estaprotecció fı́sica i informàtica de les dades emparades dı́stic, respecte a la informació desagregada, té el
i evitar qualsevol risc de divulgació il·lı́cita.
mateix abast que el que fixen les normes adminisArticle 31
tratives per a la publicitat de l’expedient.
Tots els empleats públics i el personal adscrit a
Article 33
les institucions, o les entitats, o les empreses que
La vulneració del deure de secret estadı́stic dóna
fan activitats en el marc d’estadı́stiques d’interès
lloc a responsabilitat administrativa, sens perjudici
de la Generalitat i tenen accés per raó de llur càr- de les responsabilitats civils i penals que són exigirec o ocupació a informacions protegides pel secret bles davant la jurisdicció ordinària.
9
Normativa catalana
2.2. Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte
2.2 Llei 13/2010, del 21 de maig, del Pla estadı́stic de Catalunya
2011–2014
DOGC núm. 5638, p.41391 (28.05.2010)
Preàmbul
[. . . ]
D’acord amb els preceptes de la Llei 23/1998
pel que fa a la correcció tècnica i les garanties jurı́diques, el Pla estadı́stic de Catalunya 2011–2014 estableix, d’una banda, els requisits mı́nims que han
de contenir els projectes tècnics de les actuacions
estadı́stiques, que han d’ésser homologats per l’Institut d’Estadı́stica de Catalunya a fi que es puguin
incloure en els programes anuals d’actuació estadı́stica, i, de l’altra, estableix l’obligatorietat de regular mitjançant convenis o contractes la col.laboració
dels organismes o institucions que executen d’una
manera conjunta actuacions estadı́stiques. Aixı́ mateix, aquesta llei segueix reforçant les mesures perquè la cessió d’informació estadı́stica s’adeqüi a la
normativa del secret estadı́stic i a la Llei orgànica
15/1999, del 13 de desembre, de protecció de dades
de caràcter personal.
[. . . ]
Capı́tol II. Eixos estratègics del Pla
Article 4. Eixos estratègics
El Pla estadı́stic de Catalunya 2011–2014 s’estructura en un conjunt de cinc eixos estratègics, entesos com els camps temàtics en què s’identifiquen
els objectius generals del Pla i les activitats estadı́stiques que s’hi associen. Els eixos estratègics del
Pla són els següents:
a) Població: agrupa les estadı́stiques estructurals, de fluxos i de previsions de la població catalana, amb una incidència especial en el tractament
estadı́stic dels fenòmens demogràfics emergents i en
els reptes de l’estadı́stica de base territorial, de la
manera més àmplia i exhaustiva possible.
informació en matèria de qualitat i condicions de vida de la població, de relacions laborals i de provisió
de serveis educatius i sanitaris.
c) Comptes i macromagnituds econòmiques:
comprèn l’estadı́stica macroeconòmica, l’activitat
dels sectors productius i les operacions de la demanda agregada de l’economia catalana, amb una
especial referència a l’evolució conjuntural d’aquesta i als aspectes relacionats amb la nova economia,
la productivitat i la competitivitat del sistema econòmic de Catalunya.
d) Activitats estadı́stiques instrumentals: cobreixen essencialment les prestacions de l’òrgan estadı́stic oficial en matèria de coordinació del Sistema Estadı́stic de Catalunya; formació i assistència
tècnica estadı́stica a les institucions i els òrgans que
formen part del Sistema Estadı́stic de Catalunya
per a l’elaboració d’estadı́stiques oficials; normalització tècnica; innovacions metodològiques, i instruments de base per a la producció i la difusió estadı́stiques, inclosos els registres i els directoris que
faciliten marcs de mostres o en permeten l’explotació estadı́stica.
e) Difusió estadı́stica: comprèn essencialment
les prestacions de l’òrgan estadı́stic oficial en la difusió dels resultats estadı́stics del conjunt del sistema
estadı́stic català, prioritzant Internet com a canal
essencial de difusió i configurant el web de l’Institut
d’Estadı́stica de Catalunya (Idescat) com el portal
interactiu de l’estadı́stica oficial de Catalunya. Aixı́
mateix, inclou un conjunt de serveis d’informació
pública, l’articulació d’un sistema homogeni d’indicadors estadı́stics, la potenciació dels productes de
sı́ntesi, i també les activitats de comunicació, promoció i divulgació de l’estadı́stica oficial.
[. . . ]
Capı́tol III. Objectius generals del Pla
b) Cohesió social, medi ambient i sostenibilitat:
agrupa les estadı́stiques i els indicadors de caràcter social, potencia la producció estadı́stica sobre el [. . . ]
medi ambient i la sostenibilitat i abasta la màxima
Article 27. Cessió de dades estadı́stiques entre
10
Normativa catalana
2.2. Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte
les institucions i els òrgans del Sistema Estadı́stic les activitats estadı́stiques que els encomanen el Pla
de Catalunya
estadı́stic i els programes anuals d’actuació estadı́s1. Les institucions i els òrgans del Sistema Es- tica successius.
tadı́stic de Catalunya s’han de cedir mútuament la
2. Els departaments de la Generalitat, els orinformació de base que requereixin per a portar a ganismes autònoms, les entitats de dret públic i les
terme les estadı́stiques d’interès de la Generalitat, empreses que en depenen han de comunicar anualsi es compleixen les condicions següents:
ment a l’Institut d’Estadı́stica de Catalunya la rea) Que la cessió sigui necessària per a dur a ter- lació dels òrgans amb atribucions estadı́stiques, que
me una estadı́stica d’interès de la Generalitat o bé resten subjectes al deure del secret estadı́stic en els
per a l’aprofundiment o l’ampliació de resultats es- termes establerts per la Llei 23/1998 i les normes
de desplegament.
tadı́stics oficials.
3. La comunicació a què fa referència l’apartat
b) Que hagin estat adoptades les mesures de se2
també
és aplicable a les entitats locals catalanes
guretat suficients per a mantenir el secret estadı́stic
i
a
altres
entitats de dret públic que tenen encomade les dades cedides, d’acord amb el que prescriu la
nada
la
realització
d’estadı́stiques oficials d’acord
Llei 23/1998.
amb el Pla estadı́stic de Catalunya 2011–2014 i els
c) Que la informació cedida s’utilitzi exclusiva- programes anuals d’actuacions estadı́stiques que el
ment per a dur a terme estadı́stiques d’interès de desenvolupen.
la Generalitat que la institució o l’òrgan que rep les
[. . . ]
dades tingui encomanades.
2. Amb l’objectiu de complir la normativa sobre el secret estadı́stic, en els termes establerts per
la Llei 23/1998 i la normativa de desplegament del
Registre de Fitxers Estadı́stics, es prohibeix expressament la transferència de dades de fitxers estadı́stics a altres fitxers no estadı́stics de les institucions i els òrgans als quals se cedeix la informació,
i també qualsevol acarament o encreuament entre
ambdós tipus de fitxers, llevat que tinguin una finalitat exclusivament estadı́stica. Aquesta prohibició
de transferència de dades no és aplicable en els casos establerts per la Llei orgànica 15/1999, del 13 de
desembre, de protecció de dades de caràcter personal, ni en la resta de normativa vigent a Catalunya
en matèria de protecció de dades personals.
Capı́tol VII. Difusió de resultats estadı́stics
[. . . ]
Article 29. Actualitat de les dades i celeritat en
la difusió
La difusió dels resultats de les activitats estadı́stiques ha de respondre, garantint, en qualsevol cas,
el secret estadı́stic, als principis de pertinència, d’oportunitat i puntualitat i d’accessibilitat i claredat
del Codi de bones pràctiques de les estadı́stiques
europees.
[. . . ]
[. . . ]
Capı́tol IV. Activitats estadı́stiques del Pla
Annex 2. Relació d’activitats estadı́stiques
identificades de forma normalitzada i segons
els objectius que despleguen
[. . . ]
[. . . ]
Article 15. Activitats estadı́stiques a càrrec de
Objectiu 22. Metodologia i normalització
les institucions i els òrgans del Sistema Estadı́stic estadı́stiques
de Catalunya
Control de la revelació estadı́stica
1. Les institucions i els òrgans amb atribucions
Codi: 22 03
estadı́stiques dels departaments de la Generalitat i
dels organismes autònoms, les entitats de dret púObjectiu: metodologia i normalització estadı́stiblic i les empreses que en depenen porten a terme ca
11
Normativa catalana
2.2. Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte
Organismes que hi intervenen: Institut d’Esta- a tercers.
dı́stica de Catalunya, universitats i centres de recerCost: baix
ca i organismes especialitzats
Innovacions metodològiques en l’estadı́sDescripció: perfeccionament dels mètodes i els
tica oficial
productes de les noves modalitats de control de la
Codi: 22 05
revelació estadı́stica per a garantir l’accés segur a les
dades confidencials. L’activitat també inclou el conObjectiu: metodologia i normalització estadı́stitrol permanent dels fitxers estadı́stics que gestionen ca
les institucions i els òrgans del Sistema Estadı́stic de
Organismes que hi intervenen: Institut d’EstaCatalunya.
dı́stica de Catalunya, universitats, centres de recerCost: baix
ca i organismes especialitzats
Formació en mètodes i procediments esDescripció: impuls dels avenços metodològics,
tadı́stics
procedimentals i instrumentals que procurin la màCodi: 22 04 Objectiu: metodologia i normalit- xima qualitat i eficàcia en la producció i la difusió de
resultats estadı́stics per mitjà de l’adaptació de nous
zació estadı́stica
desenvolupaments sobre estimació de petites àrees,
Organismes que hi intervenen: Institut d’Esta- tècnica en fusió de dades, mètodes de calibratge i
dı́stica de Catalunya, Departament de Governació ponderació o tractament de dades de panel, articui Administracions Públiques, Escola d’Administra- lats per mitjà de la cooperació amb la comunitat
ció Pública de Catalunya, universitats i organismes
cientı́fica i la participació en projectes de recerca.
especialitzats
L’activitat inclou l’actualització de l’inventari de lı́Descripció: programació i execució d’accions nies d’innovació a càrrec de l’Idescat o promogudes
formatives o divulgatives adreçades al personal tèc- per aquest organisme.
nic especialitzat al servei de l’estadı́stica oficial i als
Cost: moderat
usuaris d’informació estadı́stica per mitjà d’actua[. . . ]
cions pròpies, col·laboracions amb entitats o suport
12
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
2.3 DECRET 143/2010, de 19 d’octubre, del Registre de Fitxers
Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic.
DECRET
143/2010, de 19 d’octubre, del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses
a secret estadı́stic.
Preàmbul
La Llei 23/1998, de 30 de desembre, d’estadı́stica de Catalunya, desenvolupa la competència exclusiva de la Generalitat en l’àmbit de l’estadı́stica,
que era reconeguda com a tal en l’anterior Estatut
d’autonomia de 1979 i que ha estat novament reiterada com a competència exclusiva per l’article 135
de l’Estatut d’autonomia del 2006. Aquesta Llei estableix, amb una periodicitat quadriennal, el desenvolupament del Pla estadı́stic de Catalunya, definit
com l’instrument d’ordenació i planificació de l’estadı́stica d’interès de la Generalitat de Catalunya.
La Llei 2/2006, de 6 de març, del Pla estadı́stic
de Catalunya 2006-2009, d’acord amb la seva disposició addicional primera, crea el Registre de Fitxers Estadı́stics adscrit a l’Institut d’Estadı́stica de
Catalunya, el qual ha d’inventariar els fitxers amb
finalitats exclusivament estadı́stiques, referits tant
a persones fı́siques com jurı́diques, que les institucions i òrgans del Sistema Estadı́stic de Catalunya
creı̈n exclusivament per elaborar estadı́stiques d’interès de la Generalitat de Catalunya. Aixı́ mateix,
estableix que per decret del Govern, a proposta del
conseller o consellera d’Economia i Finances, s’ha
de regular el Registre de Fitxers Estadı́stics i s’ha d’establir el procediment d’inscripció dels fitxers
corresponents i la informació que s’hi ha d’incorporar. Finalment, la Llei 13/2010, de 21 de maig, del
Pla estadı́stic de Catalunya 2011-2014 deroga la Llei
2/2006, amb l’excepció de la disposició addicional
primera, relativa a la creació del Registre de Fitxers
Estadı́stics.
La Llei d’estadı́stica de Catalunya regula en el
capı́tol IV la figura del secret estadı́stic, al qual estan obligats totes les persones, institucions i òrgans
que duen a terme estadı́stica d’interès de la Generalitat, segons la qual les dades individuals de co-
municació obligatòria no poden ser fetes públiques
ni comunicades a cap persona o entitat, ni tan sols
a les administracions públiques, llevat de les institucions o les entitats que també estan vinculades
per l’obligació del secret estadı́stic i exclusivament
amb la finalitat de ser usades per a operacions estadı́stiques. Aixı́ mateix, estableix les condicions en
què les dades subjectes a secret estadı́stic poden ser
cedides per dur a terme estadı́stiques d’interès de
la Generalitat a les institucions o òrgans legitimats
per fer-ho, aixı́ com també als instituts d’investigació cientı́fica i als investigadors amb finalitats de recerca. Finalment, l’article 10 estableix com una de
les funcions de l’Institut d’Estadı́stica de Catalunya
(Idescat) la de vetllar per l’aplicació i la vigilància
del compliment de les normes del secret estadı́stic
en l’activitat estadı́stica.
Aixı́ mateix, la Llei del Pla estadı́stic de Catalunya 2011-2014, en l’article 27, reforça les mesures
perquè la cessió d’informació estadı́stica s’adeqüi a
la normativa del secret estadı́stic i a la Llei orgànica
15/1999, del 13 de desembre, de protecció de dades
de caràcter personal, aixı́ com també amplia els criteris per a la cessió de les dades estadı́stiques entre
les institucions i els òrgans del Sistema Estadı́stic
de Catalunya.
El Decret del Registre de Fitxers Estadı́stics i
de les cessions de dades sotmeses a secret estadı́stic
estableix de forma precisa l’objecte del Registre de
Fitxers Estadı́stics, amb la inclusió tant dels fitxers
que les institucions i òrgans del Sistema Estadı́stic
de Catalunya creı̈n exclusivament per elaborar estadı́stiques d’interès de la Generalitat de Catalunya,
com també dels fitxers que disposin per a aquesta finalitat. Aquesta ampliació natural de l’àmbit
objectiu del Registre facilita l’adopció del principi
de confidencialitat estadı́stica establert en el Codi
de bones pràctiques de les estadı́stiques europees i
la recomanació de la Comissió de les Comunitats
Europees, relativa a la independència, la integritat
i la responsabilitat de les autoritats estadı́stiques i
dels estats membres i de la Comunitat [COM (2005)
13
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
217 final, del 25 de maig del 2005]. D’aquesta manera, el Registre de Fitxers Estadı́stics es proposa
conèixer, enregistrar, vetllar i controlar tota la informació individual sobre persones fı́siques o jurı́diques residents o amb activitat a Catalunya que
estan sotmeses al secret estadı́stic. A la vegada,
el Decret identifica l’abast dels fitxers que s’hi han
d’inscriure establint les definicions corresponents,
concreta el seu àmbit objectiu i subjectiu, estableix
els procediments d’inscripció i la informació que cal
inscriure impulsant la utilització de mitjans electrònics i telemàtics, i fixa les competències de l’Institut
d’Estadı́stica de Catalunya en relació amb la seva
gestió i custòdia, publicitat dels fitxers i de la cessió
de dades de fitxers registrats, suports i assistència
tècnica, certificació de dades registrals i coordinació
amb l’Agència Catalana de Protecció de Dades. Aixı́ mateix, el Decret defineix els principals conceptes
relacionats amb l’accessibilitat a dades sotmeses al
secret estadı́stic, d’acord amb la legislació estadı́stica vigent a Catalunya i la normativa comunitària,
molt especialment allò que estableix el Reglament
(CE) 223/2009 del Parlament i del Consell, d’11 de
març de 2009, relatiu a l’estadı́stica europea, i també amb el Reglament (CE) número 831/2002 de la
Comissió, de 17 de maig de 2002, pel qual s’aplica
el Reglament (CE) número 322/97 del Consell sobre l’estadı́stica comunitària en relació amb l’accés
a dades confidencials amb finalitats cientı́fiques; regula l’accés i les cessions de microdades sotmeses a
secret estadı́stic amb finalitats estadı́stiques i cientı́fiques, i estableix els procediments de sol.licitud.
Finalment, el Registre de Fitxers Estadı́stics també
es regula amb caràcter general per la Llei 30/1992,
de 26 de novembre, de règim jurı́dic de les administracions públiques i del procediment administratiu
comú i per la resta de normativa que li sigui d’aplicació.
Disposicions generals
Capı́tol 1
dica integrant del Sistema Estadı́stic de Catalunya,
Article 1
Naturalesa i objecte
1. El Registre de Fitxers Estadı́stics creat per
la Llei 2/2006, de 6 de març, del Pla estadı́stic de
Catalunya 2006-2009, es constitueix com un Registre públic adscrit a l’Institut d’Estadı́stica de Catalunya (Idescat), amb la finalitat d’inventariar els
fitxers amb finalitats exclusivament estadı́stiques,
referits tant a persones fı́siques com jurı́diques, que
les institucions i òrgans del Sistema Estadı́stic de
Catalunya que estableix l’article 7 de la Llei d’estadı́stica de Catalunya creı̈n o disposin exclusivament
per elaborar estadı́stiques d’interès de la Generalitat de Catalunya.
2. L’objecte d’aquest Decret és regular el Registre de Fitxers Estadı́stics tot establint el procediment d’inscripció dels fitxers corresponents i la informació que s’hi ha d’incorporar, aixı́ com també
les cessions de dades sotmeses a secret estadı́stic.
Article 2
Definicions
Als efectes d’aquest Decret i per a identificar
l’abast dels fitxers que s’hi han d’inscriure s’estableixen les definicions que segueixen:
a) Fitxer estadı́stic : qualsevol conjunt organitzat de dades de caràcter personal de persones
fı́siques o de dades identificatives de persones jurı́diques format a conseqüència d’una actuació estadı́stica reconeguda en els programes anuals d’actuació
estadı́stica i sotmès al secret estadı́stic.
b) Utilització de dades amb finalitats exclusivament estadı́stiques : és aquella utilització que
permet, amb caràcter exclusiu, tractar dades per
desenvolupar i elaborar anàlisis i resultats estadı́sEl Decret ha estat objecte de dictamen per part tics d’acord amb la legislació aplicable en matèria
del Consell de Treball, Econòmic i Social de Catalu- d’estadı́stica d’interès de la Generalitat.
nya, i d’informe de l’Agència Catalana de Protecció
c) Utilització de dades amb finalitats cientı́de Dades
fiques : és aquella utilització que permet tractar
Per això, en ús de les facultats que tinc conferi- dades per desenvolupar i elaborar investigacions i
des, a proposta del conseller d’Economia i Finances, recerques cientı́fiques d’acord amb la legislació aplivist el dictamen de la Comissió Jurı́dica Assessora, cable en matèria d’estadı́stica d’interès de la Genei prèvia deliberació del Govern,
ralitat.
Decreto:
d) Organisme responsable : tota persona jurı́-
14
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
que ha format o creat el fitxer estadı́stic i que decideixi sobre la finalitat, el contingut i l’ús del tractament i que consta com a organisme responsable en
els programes anuals d’actuació estadı́stica.
e) Organisme col.laborador: tota persona jurı́-
l’origen d’aquesta informació.
n) Cessió de fitxer estadı́stic : qualsevol revelació de dades, parcial o total, efectuada per l’organisme responsable del fitxer estadı́stic o per l’organisme col.laborador a una altra administració púdica integrant del Sistema Estadı́stic de Catalunya, blica, aixı́ com també a un institut d’investigació
que consti com a tal en les actuacions estadı́stiques cientı́fica o a un investigador.
integrades en els programes anuals d’actuació esta- Article 3
dı́stica.
Àmbit objectiu del Registre de Fitxers Estaf) Organisme informador : és l’organisme
dı́stics
designat, als efectes de la interlocució amb el Re1. Han de ser objecte d’inscripció en el Registre
gistre entre els organismes responsables i/o collaboradors, en aquelles actuacions del programa de Fitxers Estadı́stics:
anual d’actuació estadı́stica dutes a terme per més
a) Els fitxers creats amb finalitat exclusivad’un organisme.
ment estadı́stica per institucions i òrgans del Sistema Estadı́stic de Catalunya, responsables d’elaborar estadı́stiques d’interès de la Generalitat de
Catalunya com a resultat d’una operació de camp
pròpia, de dades d’origen estadı́stic, de dades d’origen estadı́stic basades en un acte administratiu,
que es corresponguin amb una actuació estadı́stica
inclosa en el programa anual d’actuacions estadı́stiques i d’acord amb la regulació del secret estadı́stic
h) Dades d’una operació de camp pròpia :
que fa la legislació vigent a Catalunya en matèria
aquelles dades obtingudes com a resultat d’una opeestadı́stica.
ració de recollida de dades especı́fica per part de
Aquests fitxers han de produir una sola insl’organisme responsable amb una finalitat exclusicripció
en el Registre, malgrat que hagin estat crevament estadı́stica, per dur a terme una actuació
ats
per
més d’un organisme del Sistema Estadı́stic
estadı́stica oficial sotmesa al secret estadı́stic.
de Catalunya.
i) Dades d’origen estadı́stic : aquelles dades
b) Els fitxers creats o que disposin d’informarecollides, mitjançant una operació de camp, per
ció
estadı́stica
provinent d’un organisme del Sistema
organismes diferents dels que tenen la responsabiliEstadı́stic
de
l’Estat.
tat de dur a terme l’operació estadı́stica.
g) Òrgan estadı́stic : òrgans de les institucions
i organismes legitimats per dur a terme estadı́stiques d’interès de la Generalitat que tenen atribuı̈des
competències estadı́stiques i que estan subjectes al
secret estadı́stic en els termes establerts per la Llei
d’estadı́stica de Catalunya i resta de la normativa
estadı́stica que li sigui d’aplicació.
c) Els fitxers estadı́stics, rebuts o cedits, d’uj) Dades d’origen estadı́stic basades en un acte
administratiu : la informació provinent d’un qües- na altra administració pública que s’hagin generat
tionari, amb finalitats estadı́stiques, que es distri- en el marc d’una actuació estadı́stica d’aquesta adbueix a l’informant, per al seu emplenament, amb ministració pública.
motiu d’un tràmit de caràcter administratiu.
2. Han de ser objecte d’una nova alta al Rek) Observació directa de fets i fenòmens : són gistre aquells fitxers estadı́stics ja inscrits, d’acord
aquelles dades que s’obtenen com a resultat d’algun amb l’apartat 1, que hagin sofert modificacions en
mesurament per mitjà d’instruments tècnics especı́- l’origen de les seves dades o bé modificacions substantives en el nombre i tipus de caracterı́stiques en
fics o mitjançant la constatació visual.
la informació que conté, i també quan les successil) Dades d’origen administratiu : són aquelles ves modificacions registrades puguin conduir a una
dades recollides amb finalitat administrativa susconfusió del fitxer inicialment registrat.
ceptibles de ser tractades estadı́sticament.
3. Han de ser objecte d’inscripció al Registre les
m) Recopilació de dades : és una forma de cessions que es produeixin d’acord amb el que regusistematitzar la informació amb independència de
15
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
la la legislació catalana vigent i de conformitat amb
el Reglament (CE) 223/2009 del Parlament i del
Consell, d’11 de març de 2009, relatiu a l’estadı́stica europea, i, més concretament, amb el Reglament
(CE) 831/2002, de la Comissió, de 17 de maig de
2002, pel qual s’aplica el Reglament (CE) número
322/97 del Consell, sobre l’estadı́stica comunitària,
en relació amb l’accés a dades confidencials amb finalitats cientı́fiques, i han d’incloure els supòsits:
talunya que no són ni responsables ni col.laboradors
d’estadı́stiques integrades en els programes anuals
d’actuació estadı́stica estan també obligats a inscriure fitxers estadı́stics que rebin d’una altra administració pública.
Capı́tol 2
Competències de l’Institut d’Estadı́stica de
Catalunya (Idescat)
a) Les cessions de dades de fitxers estadı́stics Article 5
formats o creats per l’organisme responsable del fit- Gestió i custòdia
xer, o per l’organisme col.laborador, a una altra adCorrespon a l’Idescat la gestió i custòdia del Reministració pública amb finalitats exclusivament esgistre
de Fitxers Estadı́stics en exercici de les funtadı́stiques que ja han estat registrats prèviament.
cions que li han estat atorgades per la Llei d’estab) Les cessions de dades de fitxers estadı́stics dı́stica de Catalunya, articles 9 i 10, i per l’article 2
inscrits al Registre realitzades per l’organisme res- del Decret 178/2009, de 17 de novembre, d’organitponsable del fitxer, o per l’organisme col.laborador, zació i funcionament de l’Institut d’Estadı́stica de
a un institut d’investigació cientı́fica o a un inves- Catalunya.
tigador, amb finalitats cientı́fiques, sempre que s’acrediti interès legı́tim d’acord amb el que preveu Article 6
l’article 20.
Publicitat dels fitxers i de les cessions de da4. Han de ser també objecte d’inscripció en el des de fitxers registrats
Registre les baixes d’un fitxer quan aquest hagi perdut les prestacions en relació amb les finalitats per
a les quals va ser creat, o bé quan han sofert modificacions substantives en el nombre i tipus de caracterı́stiques en la informació que conté, i se segueixi
el procediment establert en l’article 16.
5. Han de quedar fora de l’abast del Registre
aquells fitxers que provinguin de dades d’origen administratiu, d’observació directa de fets i fenòmens
i de recopilació de dades, aixı́ com també els fitxers
estadı́stics obtinguts a partir de les dades d’un altre
fitxer estadı́stic que ja ha estat inscrit prèviament.
Article 4
Correspon a l’Idescat establir els mecanismes i
adoptar les mesures necessàries per donar publicitat sobre els fitxers i sobre les cessions de fitxers
inscrites al Registre.
Article 7
Utilització de mitjans electrònics i telemàtics
Les institucions, organismes i òrgans del Sistema Estadı́stic de Catalunya han d’utilitzar els mitjans electrònics, informàtics i telemàtics que siguin
necessaris per a l’enregistrament dels fitxers estadı́stics i les cessions de dades de fitxers estadı́stics,
aixı́ com també amb l’objectiu de facilitar i agilitar
les comunicacions.
Àmbit subjectiu del Registre
Article 8
1. Els organismes del Sistema Estadı́stic de CaSuport i assistència tècnica
talunya que intervenen en l’elaboració de l’estadı́s1. Correspon a l’Idescat atendre les consultes
tica oficial estan obligats a inscriure en el Registre
que li formulin els organismes del Sistema Estadı́sels ı́tems establerts a l’article 3.
tic de Catalunya en relació amb l’abast dels fitxers
2. En aquelles actuacions dutes a terme per més
estadı́stics i amb les cessions de dades de fitxers esd’un organisme responsable o col.laborador, les instadı́stics objecte de Registre.
cripcions indicades en el punt anterior han de ser
2 Amb la finalitat d’unificar criteris entre els ordutes a terme per aquell que es designi com a orgaganismes del Sistema Estadı́stic de Catalunya, l’Inisme informador.
descat ha de portar a terme les activitats següents:
3. Els organismes del Sistema Estadı́stic de Ca16
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
a) Realitzar formació i perfeccionament pro- ser definitiva.
fessional dirigit als òrgans del Sistema Estadı́stic de
Article 12
Catalunya sobre aspectes referents als fitxers estadı́stics i a les cessions de dades de fitxers estadı́stics. Actuació a proposta d’organismes del Sistema Estadı́stic de Catalunya
b) Atendre per mitjans electrònics, informà1. El director o la directora de l’Idescat ha de
tics i telemàtics, un sistema de consultes sobre l’abast dels fitxers estadı́stics i les cessions de dades resoldre la inscripció dels fitxers estadı́stics que li
proposin els organismes responsables i que compleiobjecte de Registre.
xin els requisits establerts per aquest Decret.
c) Publicar el conjunt de consultes efectuades
2. El director o la directora de l’Idescat ha de
a l’entorn dels criteris i procediments que estableix
aquest Decret i informar-ne els organismes del Sis- resoldre la inscripció de les cessions de fitxers estadı́stics que li siguin tramitades pels organismes
tema Estadı́stic de Catalunya.
responsables del Sistema Estadı́stic de Catalunya
Article 9
i que compleixin els requisits establerts per aquest
Coordinació amb l’Agència Catalana de Pro- Decret.
tecció de Dades
3. El director o la directora de l’Idescat ha de
L’Idescat i l’Agència Catalana de Protecció de
Dades han d’establir els mecanismes de coordinació
necessaris per garantir el compliment del que preveu l’article 5.b) de la Llei 5/2002, de 19 d’abril, de
l’Agència Catalana de Protecció de Dades.
Article 10
Certificacions de dades registrals
En virtut del que regulen els articles 2.ll) i 7.f)
del Decret d’organització i funcionament de l’Idescat, el director o la directora de l’Idescat ha de certificar el contingut de les inscripcions registrals a
petició motivada dels organismes del Sistema Estadı́stic de Catalunya.
Capı́tol 3
Procediments d’inscripció, informació que
cal inscriure i requisits dels formularis
Article 11
Actuació d’ofici
resoldre la inscripció de les cessions de fitxers estadı́stics que li siguin tramitades pels organismes
del Sistema Estadı́stic de Catalunya que rebin fitxers estadı́stics d’una altra administració sense ser
organismes responsables o col.laboradors d’actuacions estadı́stiques directament relacionades amb els
continguts dels fitxers esmentats.
Article 13
Emplenament de dades
1. En el supòsit que les dades trameses pels
organismes responsables del Sistema Estadı́stic de
Catalunya continguin alguna mancança que impedeixi la inscripció del fitxer al Registre, l’Idescat
ha de sol.licitar l’esmena corresponent i concedir un
termini de deu dies hàbils per complementar-lo.
2. Transcorregut el termini sense que es disposi
de la documentació requerida, no s’ha de procedir
a la inscripció del fitxer, la qual cosa s’ha de comunicar a l’organisme responsable.
1. L’Idescat, un cop aprovat pel Govern el pro- Article 14
grama anual d’actuació estadı́stica, ha d’instar d’oInscripció de fitxers i publicitat
fici la inscripció provisional al Registre d’aquells fitL’Idescat ha de posar a disposició dels organisxers estadı́stics que es creı̈n en el marc de les actumes del Sistema Estadı́stic de Catalunya els mecaacions anuals.
nismes per a l’enregistrament de fitxers estadı́stics
2. L’Idescat ha de comunicar als organismes res- i de les cessions de dades de fitxers en el Registre,
ponsables la inscripció provisional dels fitxers esta- aixı́ com també per efectuar la consulta de les insdı́stics al seu càrrec, els quals podran proposar les cripcions efectuades.
esmenes que creguin oportunes dins del termini de
quinze dies hàbils. La no-formulació d’esmenes s’en- Article 15
tendrà com a conformitat i la inscripció passarà a Resum anual d’inscripcions
17
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
Anualment l’Idescat ha de lliurar un informe al
Parlament de Catalunya, al Consell Rector del Sistema Estadı́stic de Catalunya i a l’Agència Catalana
de Protecció de Dades, que ha de contenir el resum
anual d’inscripcions practicades al Registre.
Accés a dades i cessions de dades sotmeses a
secret estadı́stic
Article 16
D’acord amb el Reglament (CE) 223/2009 del
Parlament i del Consell, d’11 de març de 2009, relatiu a l’estadı́stica europea i també amb el Reglament
(CE) número 831/2002 de la Comissió, de 17 de
maig del 2002, pel qual s’aplica el Reglament (CE)
número 322/97 del Consell sobre l’estadı́stica comunitària en relació amb l’accés a dades confidencials
amb finalitats cientı́fiques, i d’acord amb la legislació estadı́stica vigent a Catalunya, a continuació es
defineixen els principals conceptes relacionats amb
l’accessibilitat a dades sotmeses al secret estadı́stic.
Procediments de baixa
1. El director o la directora de l’Idescat ha de
resoldre la baixa del Registre d’aquells fitxers estadı́stics dels quals sigui titular l’Idescat.
2. Quan el titular sigui una altra institució, organisme o òrgan del Sistema Estadı́stic de Catalunya, la baixa d’un fitxer del Registre s’ha de dur a
terme d’acord amb el procediment següent:
Article 18
Definicions
a) L’organisme responsable de l’actuació esa) Unitat estadı́stica : unitat bàsica d’observatadı́stica ha de presentar la sol.licitud de baixa a
ció,
és a dir, una persona fı́sica, una llar, una emprel’Idescat.
sa o altres tipus d’operadors als quals fan referència
b) El director o la directora de l’Idescat ha les dades.
d’acordar o desestimar la baixa mitjançant una reb) Identificació directa: identificació d’una unisolució, i l’ha de comunicar a l’organisme sol.licitant
tat
estadı́stica pel seu nom o cognoms, denominaen el termini màxim de deu dies hàbils.
ció, adreça o un número d’identificació públicament
c) No es pot resoldre la baixa del fitxer esta- accessible.
dı́stic fins que no hagi finalitzat la vigència de les
c) Identificació indirecta : identificació d’una
cessions efectuades.
unitat estadı́stica per altres mitjans que els relatius
Article 17
a la identificació directa
Informació que cal inscriure
a) Les dades bàsiques que s’han de recollir per a
la sol.licitud d’inscripció o baixa de fitxers estadı́stics i per a les cessions de dades de fitxers estadı́stics
són les que s’indiquen en els annexos:
Annex 1. Dades per a la inscripció o baixa al
Registre de Fitxers Estadı́stics
d) Microdades originals : són aquells registres
estadı́stics individuals que contenen informació confidencial obtinguts directament de l’execució d’actuacions estadı́stiques d’interès de la Generalitat de
Catalunya o de l’Estat, o que suposin la recollida d’informació individual d’unitats estadı́stiques
a les quals fan referència de manera que permeten
una identificació directa d’aquestes unitats estadı́stiques.
Annex 2. Dades per a la cessió del fitxer estadı́stic a institucions i òrgans del Sistema Estadı́stic
e) Microdades confidencials : són aquelles mide Catalunya.
crodades originals que s’han modificat a fi d’elimiAnnex 3. Dades per a la cessió del fitxer esta- nar els identificadors directes, de manera que només
dı́stic a investigadors i/o organismes d’investigació permeten una identificació indirecta de les unitats
estadı́stiques a les quals fa referència. Per determicientı́fica
nar si una unitat estadı́stica és identificable, s’haub) Les dades bàsiques establertes en els anneran de tenir en compte tots els mitjans adients que
xos 1, 2 i 3 s’han de concretar en els corresponents
raonablement podria emprar un tercer per identififormularis que s’han d’establir per resolució del dicar una unitat estadı́stica
rector o directora de l’Idescat.
f) Microdades anònimes : són aquelles microdaCapı́tol 4
des originals que s’han modificat a fi de reduir al
18
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
mı́nim, d’acord amb les millors pràctiques actuals, regulació de l’encarregat del tractament en els terel risc d’identificació de les unitats estadı́stiques a mes en què s’estableix a la normativa de protecció
les quals fan referència.
de dades de caràcter personal.
Article 19
Article 20
Accés a microdades originals amb finalitats Accés a microdades confidencials amb finaliestadı́stiques
tats cientı́fiques
1. Les institucions i els òrgans del Sistema EstaEls instituts d’investigació cientı́fica i els investidı́stic de Catalunya han de poder accedir a micro- gadors han de poder accedir a les dades confidencidades originals contingudes en els fitxers estadı́stics als amb finalitats cientı́fiques, sempre que concorrin
formats o emprats en el marc dels programes anuals els requisits següents:
d’actuació estadı́stica.
a) Que les dades emparades pel secret esta2. La cessió de microdades originals ha de com- dı́stic no permetin una identificació directa de les
plir les condicions següents:
persones fı́siques o jurı́diques.
a) Que la cessió de dades es produeixi entre
organismes responsables o col.laboradors del Sistema Estadı́stic de Catalunya, aixı́ com també la que
es pugui produir entre aquests organismes i els investigadors o instituts d’investigació mitjançant un
encàrrec de tractament de dades, ja sigui per fer una
ampliació de resultats, una participació en una recerca o als efectes d’ampliar, aprofundir o analitzar
resultats estadı́stics.
b) Que la cessió sigui necessària per dur a terme una estadı́stica d’interès de la Generalitat o bé
per a l’aprofundiment o l’ampliació de resultats estadı́stics oficials.
b) Que el cessionari declari que té implantades
mesures tècniques i organitzatives amb l’objecte de
garantir la seguretat de les dades emparades i evitar
qualsevol risc de divulgació il.lı́cita, d’acord amb el
que prescriu la Llei d’estadı́stica de Catalunya i, en
particular, d’acord amb el que estableix la normativa de protecció de dades de caràcter personal.
c) Que els organismes responsables i collaboradors del Sistema Estadı́stic de Catalunya verifiquin que els sol.licitants compleixin les condicions
següents:
1. Pertinença a òrgans inclosos en les categories establertes a l’article 3 del Reglament (CE)
c) Que hagin estat adoptades les mesures de núm. 831/2002 de la Comissió, de 17 de maig de
seguretat suficients per mantenir el secret estadı́stic 2002 .
de les dades cedides, d’acord amb el que prescriu la
2. Que siguin organitzacions o institucions
Llei d’estadı́stica de Catalunya i, en particular, d’aa les quals les administracions públiques hagin concord amb el que estableix la normativa de protecció
tractat treballs especı́fics d’investigació.
de dades de caràcter personal.
3. Que presentin un projecte de recerca en
3. La participació en la recerca esmentada en
el qual s’indiqui la finalitat de la recerca i el conjunt
l’apartat a) del punt 2 anterior ha de requerir la
o les tipologies de dades a les quals es vol accedir.
formalització d’un protocol on s’especifiquin les cond) Que el cedent apliqui procediments en madicions de la cessió entre l’organisme responsable o
.
tèria
de
control de la revelació estadı́stica, d’acord
col laborador, com a promotor de la investigació,
amb l’investigador o institut d’investigació, com a amb les millors pràctiques vigents i l’estat de la tecnologia actual, seguint les condicions mı́nimes estaexecutor.
blertes per l’Idescat.
4. La comunicació de la cessió de dades entre
diversos organismes col.laboradors del Sistema Es- Article 21
tadı́stic de Catalunya al Registre l’ha de dur a terme Sol.licituds d’accés a microdades confidencil’organisme informador.
als amb finalitats cientı́fiques
5. Als investigadors o instituts d’investigació als
1. Per tal d’obtenir l’accés a microdades confiquals es refereix aquest article, se’ls ha d’aplicar la dencials amb finalitats cientı́fiques s’ha de seguir el
19
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
procediment següent:
President de la Generalitat
a) Presentar una sol.licitud, als efectes d’acreditar l’interès legı́tim i el contingut bàsic del protocol dels instituts d’investigació cientı́fica o dels
investigadors que s’estableixi, davant l’organisme
responsable del fitxer juntament amb una proposta
d’investigació detallada.
Antoni Castells
Conseller d’Economia i Finances
Annex 1
b) El cedent ha d’emetre un informe de viaDades per a la inscripció o baixa al Registre
bilitat en el qual s’han d’avaluar els impactes sobre
de Fitxers Estadı́stics
la privadesa de les dades que se cedeixin de conforLes dades bàsiques que s’han de recollir per a la
mitat amb les millors pràctiques.
sol.licitud d’inscripció o baixa han de ser:
2. Els instituts d’investigació cientı́fica i els investigadors que portin a terme una investigació i
l’organisme del Sistema Estadı́stic de Catalunya cedent han de signar un protocol on s’han d’especificar
Codi del fitxer:
les condicions de la cessió.
Nom del fitxer:
3. El cessionari ha de trametre al cedent una
declaració de destrucció de les dades una vegada
complert el termini temporal establert en les condicions de cessió.
Article 22
Divulgació de microdades anònimes
L’organisme responsable o col.laborador d’una
estadı́stica d’interès de la Generalitat ha de poder
divulgar conjunts de microdades anònimes de les
estadı́stiques oficials, sempre que s’adoptin les millors pràctiques vigents per a minimitzar el risc d’identificació de les unitats estadı́stiques en qüestió.
Aquesta divulgació no requereix cap comunicació al
Registre de Fitxers Estadı́stics.
Disposicions finals
Única. Vigència
1. Aquest Decret entrarà en vigor 20 dies després d’haver-se publicat al Diari Oficial de la Generalitat de Catalunya.
2. En tot cas, als efectes de registre, aquest Decret s’aplicarà als fitxers estadı́stics que es creı̈n o es
disposin i a les cessions de dades de fitxers estadı́stics que es produeixin en el marc del Programa anual d’actuació estadı́stica corresponent a l’any 2011
i successius.
Data de la inscripció:
Estat de la inscripció:
Data de la baixa:
Motiu de la baixa:
Responsable del fitxer:
Ubicació del fitxer:
Origen del fitxer:
Nom del fitxer origen:
Pla estadı́stic de Catalunya (PEC)
Programa anual d’actuació estadı́stica (PAAE)
Finalitat del fitxer:
Periodicitat de renovació de les dades:
Caracterı́stiques del fitxer:
Univers objecte d’estudi:
Àmbit territorial:
Referència temporal:
Procediment de recollida d’informació:
Nombre de registres del fitxer:
Descripció del registre:
Annex 2
Dades per a la cessió del fitxer estadı́stic a
institucions i òrgans del Sistema Estadı́stic
de Catalunya
Les dades bàsiques que es s’han de recollir per a
la inscripció de les cessions han de ser:
Barcelona, 19 d’octubre de 2010
José Montilla i Aguilera
20
Normativa catalana
2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics
i de les cessions de dades sotmeses a secret estadı́stic
Codi del fitxer:
mes d’investigació cientı́fica han de ser:
Nom del fitxer:
Organisme cedent:
Unitat/persona sol.licitant:
Codi del fitxer:
Organisme cessionari:
Nom del fitxer:
Unitat/persona receptora:
Organisme cedent:
Data de cessió:
Organisme sol.licitant:
Data de comunicació de la cessió:
Nom de l’organisme:
Data registre de cessió:
Condicions de la cessió i del tractament de les dades: Nom de l’investigador responsable:
Document de la sol.licitud:
Vigència temporal:
Objectius de recerca:
Abast de la cessió:
Mesures adoptades:
Document del compromı́s signat:
Annex 3
Data de cessió:
Dades per a la cessió del fitxer estadı́stic a inData de comunicació de la cessió:
vestigadors i/o organismes d’investigació ciData de registre de cessió:
entı́fica
Condicions de la cessió i del tractament de les dades:
Les dades bàsiques que s’han de recollir per a la
Vigència temporal:
inscripció de les cessions a investigadors i organisAbast de la cessió:
21
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
2.4 LLEI 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades. (DOGC núm. 5731 - 08/10/2010 Pàg. 73808)
LLEI
32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades.
El President de la Generalitat de Catalunya
dret a accedir, rectificar, cancel·lar aquestes dades i
oposar-se a llur utilització en determinats supòsits,
i també del dret que la recollida i el tractament siguin realitzats en condicions que en garanteixin la
seguretat.
Sia notori a tots els ciutadans que el Parlament
L’Agència Catalana de Protecció de Dades, aude Catalunya ha aprovat i jo, en nom del Rei i d’a- toritat independent creada per la Llei 5/2002, del 19
cord amb el que estableix l’article 65 de l’Estatut d’abril, de l’Agència Catalana de Protecció de Dad’autonomia de Catalunya, promulgo la següent
des, ha vetllat per la garantia del dret a la protecció
de dades en l’àmbit de les administracions públiques
LLEI
de Catalunya mitjançant l’assessorament, la difusió
Preàmbul
del dret i el compliment de les funcions de control
La recollida i el tractament d’informació per establertes per l’ordenament jurı́dic.
part de les entitats que formen el sector públic, neL’aprovació de l’Estatut d’autonomia del 2006
cessaris per al desplegament de les funcions que els va suposar el reconeixement exprés, per primer cop
encomana l’ordenament jurı́dic, ha experimentat en en l’àmbit estatutari, del dret a la protecció de daels darrers anys un creixement considerable, derivat des i va reforçar el paper de l’autoritat de control en
no solament de l’ampliació de l’activitat del sec- matèria de protecció de dades, ja que, d’una bantor públic, sinó, fonamentalment, de l’espectacular da, en va clarificar i ampliar l’àmbit d’actuació i, de
creixement de les possibilitats ofertes pels mitjans l’altra, en va reforçar la independència quan en va
tecnològics per al tractament de la informació. En establir la designació parlamentària.
aquest context i davant dels riscos que aquest fenoJuntament amb aquestes exigències derivades de
men comporta, adquireix una rellevància creixent
l’Estatut
d’autonomia i amb altres millores tècniel dret a la protecció de dades, no sols per a preserques
necessàries,
cal també incorporar a la legisvar el dret a la intimitat, sinó també, amb caràclació
vigent
a
Catalunya
altres modificacions, com
ter instrumental, per a preservar els altres drets de
ara
la
mateixa
denominació
de l’autoritat, per tal
la persona reconeguts per la Constitució, l’Estatut
d’evitar
la
confusió
de
la
seva
naturalesa amb el de
d’autonomia i la resta de l’ordenament jurı́dic.
les entitats de caràcter instrumental que sota la deEl dret a la protecció de dades és reconegut pel nominació d’agències han aparegut darrerament en
Conveni 108, del 28 de gener de 1981, del Consell l’àmbit administratiu.
d’Europa, per la Directiva 95/46/CE del Parlament
Capı́tol I
Europeu i del Consell, del 24 d’octubre de 1995, i
també per l’article 18.4 de la Constitució espanyoDisposicions generals
la i l’article 31 de l’Estatut d’autonomia. Regulat
Article 1
en l’àmbit estatal per la Llei orgànica 15/1999, del
13 de desembre, de protecció de dades de caràcter
L’Autoritat Catalana de Protecció de Dades
personal, el dret a la protecció de dades comporta
L’Autoritat Catalana de Protecció de Dades és
no solament el poder jurı́dic d’imposar a tercers el
l’organisme independent que té per objecte garandeure d’abstenir-se de qualsevol intromissió en l’estir, en l’àmbit de les competències de la Generalitat,
fera ı́ntima de la persona, sinó, més enllà d’això, un
els drets a la protecció de dades personals i d’accés
poder de disposició sobre les dades personals que a la informació que hi està vinculada.
es tradueix en el reconeixement del dret que es reArticle 2
quereixi el consentiment per a l’ús i la recollida d’aquestes dades personals, del dret a ser informat, del
22
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
Naturalesa jurı́dica
que són competència de la Generalitat o dels ens
locals, si es tracta de fitxers o tractaments desti1. L’Autoritat Catalana de Protecció de Dades
és una institució de dret públic, amb personalitat nats a l’exercici d’aquestes funcions i el tractament
jurı́dica pròpia i plena capacitat d’obrar per al com- es duu a terme a Catalunya.
pliment dels seus fins, amb plena autonomia orgài) Les corporacions de dret públic que compleinica i funcional, que actua amb objectivitat i plena xen llurs funcions exclusivament en l’àmbit territoindependència de les administracions públiques en rial de Catalunya als efectes del que estableix aquesl’exercici de les seves funcions.
ta llei.
2. L’Autoritat Catalana de Protecció de Dades
es relaciona amb el Govern per mitjà del departament que es determini per reglament.
Article 4
Competències
Per al compliment de les funcions que aquesta
llei li assigna i dins del seu àmbit d’actuació, corresÀmbit d’actuació
ponen a l’Autoritat Catalana de Protecció de DaL’àmbit d’actuació de l’Autoritat Catalana de des les competències de registre, control, inspecció,
Protecció de Dades comprèn els fitxers i els tracta- sanció i resolució, i també l’aprovació de propostes,
recomanacions i instruccions.
ments que duen a terme:
Article 3
a) Les institucions públiques.
Article 5
b) L’Administració de la Generalitat.
Funcions
c) Els ens locals.
Les funcions de l’Autoritat Catalana de Protecció de Dades són:
d) Les entitats autònomes, els consorcis i les ala) Vetllar pel compliment de la legislació vigent
tres entitats de dret públic vinculades a l’Adminissobre protecció de dades de caràcter personal.
tració de la Generalitat o als ens locals, o que en
depenen.
b) Resoldre les reclamacions de tutela formulades
per les persones afectades respecte a l’exercici
e) Les entitats de dret privat que compleixin,
dels
drets d’accés, rectificació, cancel·lació i oposicom a mı́nim, un dels tres requisits següents amb
ció.
relació a la Generalitat, als ens locals o als ens que
en depenen:
c) Promoure, en l’àmbit de les seves competències,
la divulgació dels drets de les persones amb
Primer. Que llur capital pertanyi majoritàrirelació
a la protecció de dades i l’accés a la inforament als dits ens públics.
mació, i l’avaluació de l’impacte sobre la privacitat.
Segon. Que llurs ingressos pressupostaris prod) Vetllar pel compliment de les disposicions que
vinguin majoritàriament dels dits ens públics.
la Llei 23/1998, del 30 de desembre, d’estadı́stica de
Tercer. Que en llurs òrgans directius els mem- Catalunya estableix respecte a la recollida de dades
bres designats pels dits ens públics siguin majoria. estadı́stiques i al secret estadı́stic, i adoptar les mef) Les altres entitats de dret privat que pres- sures corresponents per a garantir les condicions de
ten serveis públics per mitjà de qualsevol forma de seguretat dels fitxers constituı̈ts amb finalitats exgestió directa o indirecta, si es tracta de fitxers i clusivament estadı́stiques, sens perjudici de les comtractaments vinculats a la prestació d’aquests ser- petències atribuı̈des a l’Institut d’Estadı́stica de Catalunya. A aquests efectes, l’Autoritat, en l’àmbit
veis.
de les seves competències, pot adoptar instruccions
g) Les universitats públiques i privades que in- i resolucions adreçades als òrgans administratius i
tegren el sistema universitari català, i els ens que en pot sol·licitar, si escau, la col·laboració de l’Institut
depenen.
d’Estadı́stica de Catalunya.
h) Les persones fı́siques o jurı́diques que come) Dictar, sens perjudici de les competències
pleixen funcions públiques amb relació a matèries d’altres òrgans i institucions, les instruccions i les
23
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
recomanacions en matèria de protecció de dades de
p) Atorgar les autoritzacions per a l’exempció
caràcter personal i d’accés a la informació.
del deure d’informació en la recollida de dades, per
f) Requerir als responsables del fitxer o del trac- al manteniment ı́ntegre de determinades dades, i les
tament i als encarregats del tractament l’adopció de altres autoritzacions que estableix la normativa viles mesures necessàries per a adequar el tractament gent en matèria de protecció de dades.
de les dades personals objecte d’investigació a la leq) Col·laborar amb l’Agència Espanyola de Progislació vigent en matèria de protecció de dades de tecció de Dades i amb les altres agències autonòcaràcter personal i, si escau, ordenar el cessament miques, d’acord amb el que estableix la normativa
dels tractaments i la supressió dels fitxers.
reguladora de l’agència estatal.
g) Proporcionar informació sobre els drets de les
r) Complir totes les altres funcions que li siguin
persones en matèria de tractament de dades perso- atribuı̈des d’acord amb les lleis.
nals.
Capı́tol II
h) Atendre les peticions d’informació, les queiOrganització
xes i les denúncies.
Article 6
i) Decidir sobre les inscripcions de fitxers i el
Òrgans de govern
tractament de dades de caràcter personal en el Registre de Protecció de Dades de Catalunya, i també
Els òrgans de l’Autoritat Catalana de Protecció
tenir coneixement d’aquells altres fitxers en què, tot de Dades són:
i estar exempts del deure d’inscripció en el Registre,
a) El director o directora.
la legislació vigent estableixi un deure de comunicació a l’autoritat de protecció de dades.
b) El Consell Assessor de Protecció de Dades.
j) Exercir la potestat d’inspecció.
Article 7
k) Exercir la potestat sancionadora sobre qualEl director o directora
sevol tipus de fitxer o tractament sotmès a la norma1. El director o directora de l’Autoritat Catativa de protecció de dades, en l’àmbit que estableix
lana de Protecció de Dades dirigeix la institució i
l’article 3.
n’exerceix la representació.
l) Elaborar plans d’auditoria.
2. El director o directora de l’Autoritat Catalam) Emetre informe, amb caràcter preceptiu, so- na de Protecció de Dades, amb subjecció a l’ordenabre els projectes de disposicions de caràcter general ment jurı́dic, amb plena independència i objectivide la Generalitat de creació, modificació o supres- tat i sense subjecció a cap altre mandat imperatiu ni
sió de fitxers de dades de caràcter personal, i sobre instrucció, exerceix les funcions que estableix l’artiles disposicions que afectin la protecció de dades de cle 8 i les que s’estableixin per llei o per reglament.
caràcter personal.
3. El director o directora de l’Autoritat Catan) Emetre informe, amb caràcter potestatiu, so- lana de Protecció de Dades és designat pel Ple del
bre els projectes de disposicions de caràcter general Parlament per majoria de tres cinquenes parts, a
dels ens locals de creació, modificació o supressió proposta del Consell Assessor de Protecció de Dade fitxers, i sobre les disposicions que tinguin im- des, d’entre persones amb la condició polı́tica de capacte en matèria de protecció de dades de caràcter talans, amb ple ús dels drets civils i polı́tics i amb
personal que els ens locals li sotmetin.
experiència en matèria de protecció de dades. Si no
o) Respondre les consultes que formulin les en- obté la majoria requerida, s’ha de sotmetre a una
titats del seu àmbit d’actuació sobre la protecció segona votació, en la mateixa sessió del Ple, en què
de dades de caràcter personal en poder de les ad- requereix el vot favorable de la majoria absoluta
ministracions públiques i col·laborar amb aquestes dels membres de la cambra.
entitats en la difusió de les obligacions derivades de
4. Els candidats a director o directora de l’Autola legislació reguladora d’aquestes matèries.
ritat Catalana de Protecció de Dades que proposi el
24
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
Consell Assessor de Protecció de Dades han de comparèixer davant la comissió corresponent del Parlament de Catalunya perquè els membres d’aquesta
puguin demanar els aclariments i les explicacions
pertinents sobre qualsevol aspecte relacionat amb
llur formació acadèmica, llur trajectòria professional o els mèrits al·legats.
1. Correspon al director o directora de l’Autoritat Catalana de Protecció de Dades dictar les
resolucions i les instruccions i aprovar les recomanacions i els dictàmens que requereixi l’exercici de
les funcions de l’Autoritat, i en especial aprovar les
instruccions a què fa referència l’article 15.
6. El director o directora de l’Autoritat Catalana de Protecció de Dades cessa per les causes següents:
a) Resoldre motivadament sobre la procedència o improcedència de les inscripcions que s’hagin
de practicar al Registre de Protecció de Dades de
Catalunya.
2. Corresponen al director o directora de l’Au5. El director o directora de l’Autoritat Catala- toritat Catalana de Protecció de Dades, en l’àmbit
na de Protecció de Dades és elegit per un perı́ode especı́fic de les competències de l’Autoritat, les funde cinc anys, renovable una sola vegada.
cions següents:
a) Per expiració del termini del mandat.
b) Resoldre motivadament sobre la procedència o improcedència de la denegació de l’exercici
c) Per separació, acordada pel Ple del Parla- dels drets d’oposició, d’accés, de rectificació o de
ment per majoria de tres cinquenes parts, per in- cancel·lació.
compliment greu de les seves obligacions, incompac) Requerir als responsables i als encarregats
tibilitat, incapacitat sobrevinguda per a l’exercici
del
tractament
l’adopció de les mesures necessàride les seves funcions declarada per sentència ferma
es
per
a
l’adequació
del tractament de dades pero condemna ferma per delicte dolós.
sonals objecte d’investigació a la legislació vigent i
7. El director o directora de l’Autoritat Cata- ordenar, si escau, el cessament dels tractaments i la
lana de Protecció de Dades té la consideració d’alt cancel·lació dels fitxers.
càrrec, assimilat al de secretari o secretària general.
d) Adoptar les mesures, les resolucions i les
El càrrec, sens perjudici del règim d’incompatibiliinstruccions
necessàries per a garantir les condicitats dels alts càrrecs al servei de la Generalitat, és
ons de seguretat dels fitxers constituı̈ts amb finaliincompatible amb:
tats exclusivament estadı́stiques.
a) L’exercici de qualsevol mandat representae) Dictar les instruccions i les recomanacions
tiu.
necessàries per a adequar els tractaments de dades
b) L’exercici de funcions directives o executi- personals als principis de la legislació vigent en maves en partits polı́tics, sindicats o associacions em- tèria de dades personals.
presarials, o estar-hi afiliat.
f) Emetre informe, amb caràcter preceptiu,
c) La pertinença al Consell de Garanties Es- dels avantprojectes de llei, dels projectes de dispotatutàries o al Tribunal Constitucional.
sicions normatives que elabori el Govern per raó
d) L’exercici de qualsevol càrrec polı́tic o fun- d’una delegació legislativa i dels projectes de reglació administrativa en organismes internacionals, la ments o disposicions de caràcter general que afectin
Unió Europea, l’Estat, les comunitats autònomes o la protecció de dades de caràcter personal.
les entitats locals.
g) Respondre les consultes que l’Administració
de
la Generalitat, els ens locals i les universitats
e) L’exercici de les carreres judicial, fiscal o
de
Catalunya
li formulin sobre l’aplicació de la lemilitar.
gislació de protecció de dades de caràcter personal.
f) El desenvolupament de qualsevol activitat
h) Resoldre sobre l’adopció de mesures per a
professional, mercantil, industrial o laboral.
corregir els efectes de les infraccions.
Article 8
i) Proposar l’inici d’actuacions disciplinàries
Funcions del director o directora
b) A petició pròpia.
25
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
contra els responsables o els encarregats del tracEl Consell Assessor de Protecció de Dades
tament, d’acord amb el que estableix la legislació
1. El Consell Assessor de Protecció de Dades és
vigent sobre règim disciplinari de les administracil’òrgan d’assessorament i participació de l’Autoritat
ons públiques.
Catalana de Protecció de Dades i és constituı̈t pels
j) Resoldre els expedients sancionadors que si- membres següents:
guin de la seva competència i posar en coneixement
a) El president o presidenta, que és nomenat
de l’Agència Espanyola de Protecció de Dades les
pel Consell d’entre els seus membres, un cop efectupresumptes infraccions la sanció de les quals li cor- ada la renovació ordinària dels membres designats
respongui.
pel Parlament.
k) Ordenar el cessament del tractament, de
b) Tres persones designades pel Parlament,
la comunicació il·lı́cita de dades o la immobilització
per una majoria de tres cinquenes parts. Si no obdels fitxers, quan s’escaigui.
tenen la majoria requerida, s’han de sotmetre a una
l) Proporcionar informació sobre els drets de segona votació, en la mateixa sessió del Ple, en què
les persones en matèria de tractament de dades per- es requereix el vot favorable de la majoria absoluta.
sonals.
c) Tres persones en representació de l’Admim) Complir les funcions amb relació als plans nistració de la Generalitat, designades pel Govern.
d’auditoria de l’Autoritat a què fa referència l’artid) Dues persones en representació de l’Admicle 20.
nistració local de Catalunya, designades pel Consell
n) Atendre les peticions que li formulin els de Governs Locals.
ciutadans.
e) Una persona experta en l’àmbit dels drets
o) Respondre les consultes que li formulin les fonamentals, designada pel Consell Interuniversitari
administracions.
de Catalunya.
p) Elaborar la memòria anual de les actuacif) Una persona experta en informàtica, desigons i les activitats de l’Autoritat a què fa referència nada pel Consell Interuniversitari de Catalunya.
l’article 13 i comparèixer davant la comissió pertig) Una persona designada per l’Institut d’Esnent del Parlament per a informar-ne del contingut. tudis Catalans.
q) Complir qualsevol altra que li sigui encoh) Una persona en representació de les orgamanada per llei o per reglament.
nitzacions de consumidors i usuaris, designada pel
3. Corresponen al director o directora de l’Auto- Consell de les Persones Consumidores de Catalunya.
ritat Catalana de Protecció de Dades, en els àmbits
i) El director o directora de l’Institut d’Estaeconòmic, de contractació i de recursos humans de
dı́stica de Catalunya.
l’Autoritat, les funcions següents:
j) Un funcionari o funcionària de l’Autoritat
a) Adjudicar i formalitzar els contractes que Catalana de Protecció de Dades, que actua de serequereixi la gestió de l’Autoritat i vigilar-ne el com- cretari o secretària del Consell.
pliment i l’execució.
2. La renovació dels membres del Consell Asb) Aprovar les despeses i ordenar els paga- sessor de Protecció de Dades es duu a terme cada
ments, dins els lı́mits dels crèdits del pressupost de cinc anys d’acord amb els estatuts de l’Autoritat
despeses de l’Autoritat.
Catalana de Protecció de Dades.
c) Elaborar l’avantprojecte de pressupost de
3. El director o directora de l’Autoritat Catalal’Autoritat i sotmetre’l a la consideració del Consell na de Protecció de Dades assisteix a les reunions del
Assessor de Protecció de Dades.
Consell Assessor de Protecció de Dades amb veu i
d) Proposar al Consell Assessor de Protecció sense vot.
de Dades la plantilla de personal de l’Autoritat.
Article 10
Article 9
26
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
Funcions del Consell Assessor de Protecció de
Dades
tecció de Dades de Catalunya:
a) Els fitxers de dades personals, de titularitat
1. Les funcions del Consell Assessor de Protec- pública o privada, inclosos dins l’àmbit d’actuació
ció de Dades són:
de l’Autoritat Catalana de Protecció de Dades.
a) Proposar al Parlament la persona o les perb) Els codis tipus formulats per les entitats
sones candidates a ocupar el lloc de director o di- incloses dins l’àmbit d’actuació de l’Autoritat Carectora de l’Autoritat.
talana de Protecció de Dades.
b) Emetre informe sobre els projectes d’insc) Les autoritzacions de tractaments de dades
truccions de l’Autoritat que li siguin sotmesos.
de caràcter personal previstes en la legislació vigent.
c) Emetre informe sobre l’avantprojecte de
3. El Govern ha d’establir per reglament el propressupost anual de l’Autoritat que el director o cediment d’inscripció de la creació, la modificació
directora proposi.
i la supressió de fitxers en el Registre de Protecció
d) Assessorar el director o directora de l’Au- de Dades de Catalunya, i també el contingut dels
toritat en aquelles qüestions que li siguin sotmeses. assentaments registrals.
4. El Registre de Protecció de Dades de Catae) Elaborar un informe preceptiu previ a l’alunya és de consulta pública i gratuı̈ta. Qualsevol
provació de la plantilla del personal de l’Autoritat.
persona pot consultar, com a mı́nim, la informaf) Elaborar un informe vinculant sobre el ció sobre l’existència d’un determinat tractament de
nombre màxim de treballadors de la plantilla de dades de caràcter personal, les finalitats i la identipersonal eventual de l’Autoritat.
tat de la persona responsable del tractament.
g) Elaborar estudis i propostes en matèria de
5. L’Autoritat Catalana de Protecció de Daprotecció de dades de caràcter personal i demanar des ha d’establir els acords de cooperació necessaris
al director o directora l’establiment de criteris en la amb l’Agència Espanyola de Protecció de Dades per
matèria.
a integrar la informació registral i mantenir-la ac2. El Consell Assessor de Protecció de Dades ha tualitzada.
d’ésser informat de:
Capı́tol III
a) L’activitat de l’Autoritat Catalana de Protecció de Dades, per part del director o directora i
de manera periòdica.
Relacions amb altres organismes i institucions
b) La memòria anual de l’Autoritat.
Article 12
Col·laboració amb altres institucions
L’Autoritat Catalana de Protecció de Dades pot
c) Els criteris objectius dels plans d’auditoria
subscriure
convenis de col·laboració amb el Sı́ndic
a què fa referència l’article 20.
de Greuges, els sı́ndics locals, l’Institut d’Estadı́sti3. El Consell Assessor de Protecció de Dades ca de Catalunya, les universitats i altres institucions
es regeix per les normes que s’estableixin per regla- i organismes de defensa dels drets de les persones.
ment i, supletòriament, per les disposicions vigents
Article 13
sobre funcionament d’òrgans col·legiats de l’Administració de la Generalitat.
Memòria anual
Article 11
1. L’Autoritat Catalana de Protecció de Dades
ha d’elaborar una memòria anual de les seves
El Registre de Protecció de Dades de Catalunya
activitats i de les conclusions dels treballs i dels ex1. El Registre de Protecció de Dades de Cata- pedients que ha tramitat.
lunya s’integra a l’Autoritat Catalana de Protecció
2. L’Autoritat Catalana de Protecció de Dades
de Dades.
ha de presentar la memòria anual al Parlament i
2. Són objecte d’inscripció en el Registre de Pro- donar-ne compte en el marc de la comissió corres-
27
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
ponent, i l’ha de trametre també al Govern, al Sı́n- transcorregut aquest termini, si l’Autoritat no ha
dic de Greuges i al director o directora de l’Agència notificat la resolució de la reclamació, s’entén que
Espanyola de Protecció de Dades.
ha estat desestimada.
Article 14
3. La resolució d’estimació total o parcial de
la
tutela
d’un dret ha d’establir el termini en què
Relacions entre l’Autoritat Catalana de Protecaquest s’ha de fer efectiu.
ció de Dades i el Sı́ndic de Greuges
4. Si la sol·licitud d’exercici del dret davant de la
Les relacions entre l’Autoritat Catalana de Propersona
responsable del fitxer és estimada, en part
tecció de Dades i el Sı́ndic de Greuges són de
o
totalment,
però el dret no s’ha fet efectiu en la forcol·laboració en l’àmbit de llurs competències resma i els terminis exigibles d’acord amb la normativa
pectives.
aplicable, les persones interessades poden posar-ho
Capı́tol IV
en coneixement de l’Autoritat Catalana de Protecció de Dades perquè es duguin a terme les actuaciExercici de competències i funcions
ons sancionadores corresponents.
Article 15
Article 17
Instruccions
Publicitat dels informes i les resolucions
1. El director o directora de l’Autoritat Catala1. L’Autoritat Catalana de Protecció de Dades
na de Protecció de Dades pot aprovar instruccions
resta
obligada a garantir la confidencialitat de les
per a adequar els fitxers i els tractaments de daconsultes
i les reclamacions de què tingui coneixedes als principis i a les garanties que estableix la
ment,
sens
perjudici del dret d’accés a la informació
legislació vigent en matèria de protecció de dades.
i a la documentació administratives de les persones
2. El projecte d’instrucció s’ha de sotmetre a interessades.
informació pública i a informe del Consell Assessor
2. Els dictàmens, els informes i les resolucions
de Protecció de Dades. Igualment, pot ésser sotmès
de
l’Autoritat
Catalana de Protecció de Dades s’han
a informe de la Comissió Jurı́dica Assessora.
de fer públics, un cop notificats a les persones in3. Les instruccions a què fa referència l’apartat teressades, amb l’anonimització prèvia de les dades
1 es publiquen en el Diari Oficial de la Generalitat de caràcter personal, sens perjudici del que estableix
de Catalunya i a la seu electrònica de l’Autoritat l’apartat 1.
Catalana de Protecció de Dades.
3. De manera excepcional, es pot optar per no
Article 16
publicar les resolucions que no tinguin cap interès
Tutela dels drets d’accés, rectificació, oposició i doctrinal o que, malgrat l’anonimització, sigui aconsellable per causes justificades evitar-ne la publicicancel·lació
tat per a impedir fer recognoscibles les persones que
1. Les persones interessades a les quals es deneho sol·liciten.
gui, en part o totalment, l’exercici dels drets d’acArticle 18
cés, de rectificació, de cancel·lació o d’oposició, o
que puguin entendre desestimada llur sol·licitud pel
Funcions de control
fet de no haver estat resolta i tramesa dins el termi1. L’activitat de control de l’Autoritat Catalana
ni establert, poden presentar una reclamació davant
de
Protecció
de Dades es duu a terme mitjançant la
l’Autoritat Catalana de Protecció de Dades.
potestat d’inspecció, els plans d’auditoria, l’aplica2. L’Autoritat Catalana de Protecció de Dades ció del règim sancionador, els requeriments d’adeha de resoldre expressament sobre la procedència o quació a la legalitat i la potestat d’immobilització
improcedència de la reclamació a què fa referència de fitxers.
l’apartat 1 en el termini de sis mesos, amb l’audi2. Els fets constatats pels funcionaris al servei
ència prèvia de la persona responsable del fitxer i
de
l’Autoritat
Catalana de Protecció de Dades quan
també de les persones interessades si el resultat del
duen
a
terme
llur tasca de control i inspecció, si
primer tràmit d’audiència ho fa necessari. Un cop
28
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
llurs actuacions es formalitzen en un document púa) Verificar el compliment de la normativa en
blic en què s’observen els requisits legals pertinents, matèria de protecció de dades de caràcter personal.
tenen valor probatori, sens perjudici de les proves
b) Recomanar o requerir als responsables dels
en defensa dels drets o dels interessos respectius que fitxers i dels tractaments de dades de caràcter persopuguin aportar els mateixos interessats.
nal que adoptin les mesures correctores adequades.
Article 19
2. Correspon al director o directora de l’AutoPotestat d’inspecció
ritat Catalana de Protecció de Dades:
1. L’Autoritat Catalana de Protecció de Dades
pot inspeccionar els fitxers i els tractaments de dades personals als quals fa referència aquesta llei, a
fi d’obtenir totes les informacions necessàries per a
l’exercici de les seves funcions. Amb aquesta finalitat, l’Autoritat pot sol·licitar la presentació o la
tramesa de documents i de dades o examinar-los en
el lloc on estiguin dipositats, i també inspeccionar
els equips fı́sics i lògics utilitzats, per a la qual cosa
pot accedir als locals on estiguin instal·lats.
a) Decidir el contingut de cada pla d’auditoria i concretar els aspectes i els tractaments que cal
analitzar.
3. En l’exercici de les funcions d’inspecció els
funcionaris poden ésser auxiliats per personal no
funcionari, si aixı́ ho decideix el director o directora de l’Autoritat, per raó dels coneixements d’ordre tècnic que puguin ésser necessaris per a auditar
sistemes d’informació durant les tasques d’investigació. El personal no funcionari que participa en
l’activitat inspectora ho ha de fer seguint les instruccions i sota la supervisió del personal funcionari
inspector, i té les mateixes obligacions que aquest,
especialment pel que fa al deure de secret.
cia prèvia, de la incoació d’un expedient sancionador per part de l’Autoritat Catalana de Protecció
de Dades com a conseqüència de la comissió d’una possible infracció per algun aspecte coincident
o directament relacionat amb el contingut del pla
d’auditoria que s’està duent a terme, l’entitat ha
d’ésser exclosa del pla d’auditoria i s’ha de seguir la
tramitació del procediment sancionador.
b) Seleccionar les entitats que han d’ésser objecte dels plans d’auditoria mitjançant criteris objectius que han d’ésser públics.
3. Les entitats a què fa referència la lletra b de
l’apartat 2 han de col·laborar amb la persona responsable de l’auditoria facilitant la realització de les
verificacions oportunes i aportant la informació i la
2. Els funcionaris que exerceixen la funció insdocumentació necessàries.
pectora a què fa referència l’apartat 1 tenen la con4. Les conclusions dels plans d’auditoria sobre
sideració d’autoritat pública en el desenvolupament
el
grau
general de compliment i les recomanacions
de llur activitat i resten obligats a mantenir el secret
generals
pertinents s’han de difondre públicament.
sobre les informacions que coneguin en l’exercici de
les funcions inspectores, fins i tot després d’haver
5. Si durant el procés d’execució d’un pla d’audicessat en aquestes.
toria l’entitat afectada és objecte, amb una denún-
6. Els requeriments a què es refereix la lletra
b de l’apartat 1 han d’establir un termini adequat
per a l’adopció de les mesures correctores necessà4. Les entitats compreses dins l’àmbit d’aplica- ries per part de les entitats afectades. Si un cop
ció d’aquesta llei tenen l’obligació d’auxiliar, amb transcorregut aquest termini l’entitat afectada no
caràcter preferent i urgent, l’Autoritat Catalana de ha informat l’Autoritat Catalana de Protecció de
Protecció de Dades en les seves investigacions, si Dades sobre les mesures adoptades, o si aquestes
són insuficients o inadequades, l’Autoritat pot iniciaquesta els ho demana.
ar les actuacions inspectores oportunes per a incoar,
Article 20
si escau, un procediment sancionador.
Plans d’auditoria
Article 21
1. Els plans d’auditoria de l’Autoritat Catalana
de Protecció de Dades constitueixen un sistema de
control preventiu per a:
Règim sancionador
1. Els responsables dels fitxers i dels tractaments de dades personals inclosos dins l’àmbit d’ac29
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
tuació de l’Autoritat Catalana de Protecció de Dades i els encarregats dels tractaments corresponents
resten subjectes al règim sancionador que estableix
la legislació estatal de protecció de dades de caràcter personal. Les referències a l’Agència Espanyola
de Protecció de Dades o als seus òrgans, pel que fa
al règim d’infraccions, s’han d’entendre fetes a l’Autoritat Catalana de Protecció de Dades o als seus
òrgans, pel que fa al seu àmbit competencial.
2. En el cas d’infraccions comeses amb relació
a fitxers de titularitat pública, el director o directora de l’Autoritat Catalana de Protecció de Dades
ha de dictar una resolució que declari la infracció
i estableixi les mesures a adoptar per a corregir-ne
els efectes. A més, pot proposar, si escau, la iniciació d’actuacions disciplinàries d’acord amb el que
estableix la legislació vigent sobre el règim disciplinari del personal al servei de les administracions
públiques. Aquesta resolució s’ha de notificar a la
persona responsable del fitxer o del tractament, a
l’encarregada del tractament, si escau, a l’òrgan del
qual depenguin i a les persones afectades, si n’hi ha.
l’Autoritat Catalana de Protecció de Dades, quan
hi hagi motius fonamentats i legı́tims relatius a una
situació personal concreta que aixı́ ho justifiqui.
4. La persona denunciant té dret que li siguin
comunicades les actuacions que es derivin de la seva denúncia, sens perjudici dels drets que li puguin
correspondre si també és persona interessada.
Article 23
Mesures provisionals
En el moment de la incoació o durant la tramitació del procediment sancionador, el director o
directora de l’Autoritat Catalana de Protecció de
Dades pot adoptar, de manera motivada, les mesures provisionals que consideri necessàries per a assegurar l’eficàcia de la resolució que finalment pugui
recaure i per a aconseguir la protecció provisional
del dret a la protecció de dades de les persones afectades. Amb caràcter previ, l’Autoritat ha de donar
audiència a les entitats afectades, tret que hi concorrin circumstàncies d’urgència que puguin fer perdre
la finalitat de la mesura. La resolució que adopti la
mesura és susceptible dels recursos procedents.
3. En el cas d’infraccions comeses amb relació
a fitxers de titularitat privada, la resolució que deArticle 24
clari la infracció ha d’imposar les sancions previstes
Compliment de la resolució del procediment sanper la legislació de protecció de dades i les mesures
cionador
a adoptar a fi de corregir els efectes de la infracció.
1. En les infraccions declarades respecte de fit4. El director o directora de l’Autoritat Catalaxers
de titularitat pública, les persones o entitats
na de Protecció de Dades ha d’informar el sı́ndic o
que
hagin
estat declarades responsables de la insı́ndica de greuges de les actuacions que faci a confracció
han
de comunicar a l’Autoritat Catalana de
seqüència d’una sol·licitud seva i li ha de comunicar
Protecció
de
Dades, en el termini que estableix la
les resolucions sancionadores que dicti amb relació
resolució,
l’adopció
de les mesures i les actuacions
a aquestes actuacions.
a què fa referència l’apartat 2 de l’article 25.
Article 22
2. En les sancions imposades per infraccions coProcediment sancionador
meses respecte de fitxers de titularitat privada, el
1. El Govern ha d’establir per decret el proce- compliment de la sanció s’ha de dur a terme en el
diment per a la determinació de les infraccions i la termini que estableix la legislació vigent. Dins d’aquest termini, l’entitat sancionada pot sol·licitar, de
imposició de sancions.
manera raonada, el fraccionament del pagament. El
2. La denúncia que inicia un procediment san- director o directora de l’Autoritat Catalana de Procionador s’ha de formalitzar mitjançant un escrit
tecció de Dades ha de resoldre la sol·licitud, d’acord
raonat i ha d’estar degudament signada.
amb el que estableix la normativa reguladora de la
3. La persona denunciant s’ha d’identificar en el recaptació dels ingressos públics.
moment de fer la denúncia a què fa referència l’a3. Les persones o entitats sancionades a qui s’hapartat 2. No obstant això, pot sol·licitar de manera
gi imposat alguna mesura correctora d’acord amb el
raonada que la seva identitat no sigui revelada, amb
que estableix l’article 25 han de comunicar a l’Autola ponderació prèvia dels interessos en conflicte per
ritat Catalana de Protecció de Dades, en el termini
30
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
que estableix la resolució, les mesures adoptades.
d’acord amb els crèdits consignats en els pressupostos de la Generalitat, aprova la relació de llocs de
Article 25
treball dels òrgans i els serveis que la integren i que
Requeriments d’adequació i potestat d’immobi- han d’ésser ocupats per personal funcionari, laboral
lització
o eventual, i n’informa el Parlament.
1. En els supòsits, constitutius d’infracció molt
greu, d’utilització o de comunicació il·lı́cita de dades personals en què s’atempti greument contra els
drets fonamentals i les llibertats públiques dels ciutadans o se n’impedeixi l’exercici, el director o directora de l’Autoritat Catalana de Protecció de Dades
pot exigir als responsables dels fitxers de dades personals el cessament de la utilització o la comunicació
il·lı́cita de dades personals.
2. Si el requeriment a què fa referència l’apartat 1 no és atès, el director o directora de l’Autoritat Catalana de Protecció de Dades pot, mitjançant
una resolució motivada, immobilitzar els fitxers de
dades personals, amb l’única finalitat de restaurar
els drets de les persones afectades. En aquest supòsit, la immobilització resta sense efecte si en el
termini de quinze dies l’Autoritat no acorda la incoació d’un procediment sancionador i no es ratifica
la mesura.
2. Al personal al servei de l’Autoritat Catalana de Protecció de Dades se li aplica amb caràcter
general la normativa que regula l’estatut del personal al servei de l’Administració de la Generalitat
pel que fa al règim i la normativa d’ordenació de
l’ocupació pública.
3. Els llocs de treball que comporten l’exercici
de potestats públiques es reserven a personal funcionari.
4. Els llocs de treball considerats de confiança
o d’assessorament especial no reservat a personal
funcionari i que figuren amb aquest caràcter en la
relació de llocs de treball corresponent són desenvolupats per personal eventual, el nombre màxim del
qual fixa el Consell Assessor de Protecció de Dades.
5. L’Autoritat Catalana de Protecció de Dades
exerceix la potestat disciplinària respecte del personal al servei de la institució.
Capı́tol V
6. El personal al servei de l’Autoritat Catalana
de
Protecció
de Dades té el deure de secret sobre les
Règim jurı́dic, de personal, econòmic i de coninformacions
que conegui en l’exercici de les seves
tractació
funcions, fins i tot després d’haver cessat d’exercirArticle 26
les.
Règim jurı́dic
Article 28
1. L’Autoritat Catalana de Protecció de Dades,
Règim econòmic i de contractació
en l’exercici de les seves funcions, actua de confor1. Per al compliment de les seves finalitats, l’Aumitat amb el que disposa aquesta llei, les dispotoritat
Catalana de Protecció de Dades compta amb
sicions que la despleguen i la legislació que regula
els
béns
i els recursos econòmics següents:
el règim jurı́dic de les administracions públiques i
el procediment administratiu aplicable a l’Adminisa) Les assignacions anuals dels pressupostos
tració de la Generalitat.
de la Generalitat.
2. Les resolucions del director o directora de
b) Els béns i els drets que constitueixen el seu
l’Autoritat Catalana de Protecció de Dades exhau- patrimoni, i llurs productes i rendes.
reixen la via administrativa i són susceptibles de
c) El producte de les sancions que imposi en
recurs contenciós administratiu, sens perjudici dels l’exercici de les seves competències.
recursos administratius que siguin procedents.
d) El producte de les taxes i els altres ingresArticle 27
sos públics que meriti per la seva activitat.
Règim de personal
e) Qualsevol altre recurs econòmic que legal1. L’Autoritat Catalana de Protecció de Dades, ment se li pugui atribuir.
en l’exercici de la seva potestat d’autoorganització i
2. El producte de les sancions que l’Autoritat
31
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
Catalana de Protecció de Dades imposi en l’exerciMentre no entrin en vigor els estatuts de l’Autoci de les seves competències ha d’ésser ingressat en ritat Catalana de Protecció de Dades, segueix essent
el Tresor de la Generalitat.
aplicable, en tot allò que no s’oposi a aquesta llei,
3. L’Autoritat Catalana de Protecció de Dades l’Estatut de l’Agència Catalana de Protecció de Daha d’elaborar anualment l’avantprojecte de pressu- des, aprovat pel Decret 48/2003, del 20 de febrer.
post d’ingressos i despeses i trametre’l al departaDisposició derogatòria
ment amb què es relaciona perquè el Govern l’integri
Es deroga la Llei 5/2002, del 19 d’abril, de l’Aen els pressupostos de la Generalitat.
gència Catalana de Protecció de Dades.
4. L’Autoritat Catalana de Protecció de Dades
Disposicions finals
està sotmesa al control financer de la Intervenció
Primera
General de la Generalitat i al règim de comptabilitat pública.
Estatuts de l’Autoritat
5. El règim jurı́dic de contractació de l’Autoritat
En el termini de sis mesos a comptar de l’entraCatalana de Protecció de Dades és el que estableix da en vigor d’aquesta llei, el Govern ha d’aprovar
la legislació sobre contractes del sector públic.
els estatuts de l’Autoritat Catalana de Protecció de
6. El règim patrimonial de l’Autoritat Catalana Dades.
de Protecció de Dades és el que estableix la normaSegona
tiva que regula el patrimoni de l’Administració de
Desplegament dels procediments
la Generalitat.
S’habilita el Govern per a regular els procediDisposicions transitòries
ments necessaris per a l’exercici de les funcions atriPrimera
buı̈des a l’Autoritat Catalana de Protecció de DaSuccessió de l’Agència Catalana de Protecció de des, sens perjudici de la competència de l’Autoritat
per a concretar mitjançant instrucció els aspectes
Dades
en què sigui necessari.
1. L’Autoritat Catalana de Protecció de Dades
Tercera
se subroga en la posició jurı́dica de l’Agència Catalana de Protecció de Dades pel que fa als béns, als
Creació, modificació i supressió de fitxers
drets i a les obligacions de qualsevol tipus de què
1. Els consellers de la Generalitat, dins l’àml’Agència fos titular.
bit de les competències respectives, resten habilitats
2. Les referències que en l’ordenament jurı́dic per a crear, modificar i suprimir, mitjançant ordre,
es fan a l’Agència Catalana de Protecció de Da- els fitxers de llurs departaments o dels ens públics
des s’han d’entendre fetes a l’Autoritat Catalana vinculats o que en depenguin i els fitxers dels conde Protecció de Dades.
sorcis en què la representació de l’Administració de
la Generalitat en els òrgans de govern sigui majoriSegona
tària.
Procediment sancionador
2. Les entitats de dret públic dotades d’una esMentre el Govern no aprovi el decret que regula pecial independència o autonomia resten habilitael procediment sancionador en matèria de protecció des per a exercir la competència de crear, modificar
de dades, continua essent aplicable el procediment
i suprimir fitxers.
establert pel Decret 278/1993, del 9 de novembre,
sobre procediment sancionador d’aplicació als àmPer tant, ordeno que tots els ciutadans als quals
bits de competència de la Generalitat.
sigui d’aplicació aquesta Llei cooperin al seu comTercera
pliment i que els tribunals i les autoritats als quals
Vigència de l’Estatut de l’Agència Catalana de pertoqui la facin complir.
Protecció de Dades
Palau de la Generalitat, 1 d’octubre de 2010
32
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
José Montilla i Aguilera
President de la Generalitat de Catalunya
Jordi Ausàs i Coll
Conseller de Governació i Administracions Públiques
(10.273.092)
CORRECCIÓ D’ERRADA a la Llei 32/2010, mentada, tramès i publicat al DOGC núm. 5731,
de l’1 d’octubre, de l’Autoritat Catalana de Protec- de 8.10.2010, se’n detalla la correcció oportuna:
ció de Dades (DOGC núm. 5731, pàg. 73808, de
A la pàgina 73813, a l’article 8, apartat 3, lletra
8.10.2010). (Pàg. 77285)
d), on diu:
CORRECCIÓ D’ERRADA
a la Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades (DOGC núm.
5731, pàg. 73808, de 8.10.2010).
Havent observat una errada al text de la Llei es-
”d) Proposar al Consell Assessor de Protecció de
Dades la plantilla de personal de l’Autoritat.”,
ha de dir:
”d) Aprovar la plantilla de personal de l’Autoritat.”.
(10.287.060)
33
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
2.4.1
Decret 48/2003, de 20 de febrer, pel qual s’aprova l’Estatut de l’Agència
Catalana de Protecció de Dades (DOGC núm. 3835 de 4.3.2003)
Mitjançant la Llei 5/2002, de 19 d’abril, s’ha cre- aquest Decret.
at l’autoritat Agència Catalana de Protecció de DaDisposicions finals
des amb l’objecte de vetllar pel respecte dels drets
Primera
fonamentals i les llibertats públiques de la ciutadania en tot allò que concerneix les operacions fetes
El Consell Assessor de Protecció de Dades s’ha
mitjançant processos automatitzats o manuals de de constituir en el termini d’un mes a comptar de
dades personals.
l’entrada en vigor d’aquest Decret.
L’Agència Catalana de Protecció de Dades és
Segona
una institució de dret públic amb personalitat juAquest Decret entrarà en vigor l’endemà
rı́dica pròpia i plena capacitat d’obrar que exerceix
d’haver-se
publicat al DOGC.
la seva autoritat de control sobre els tractaments
de dades personals duts a terme per la Generalitat
Barcelona, 20 de febrer de 2003
de Catalunya, pels ens que integren l’Administració
Jordi Pujol
local i per les universitats en l’àmbit territorial de
President de la Generalitat de Catalunya
Catalunya, pels organismes i les entitats autònomes
que depenen de l’Administració de la Generalitat o
Josep Maria Pelegrı́ i Aixut
dels ens locals i pels consorcis dels quals formen
Conseller de Governació
part.
i Relacions Institucionals
En virtut de l’habilitació continguda a la disposició final primera de l’esmentada Llei 5/2002, de 19
d’abril, s’aprova, mitjançant aquest Decret, l’Estatut de l’Agència.
Annex
L’Estatut consta de cinc capı́tols. El capı́tol I
conté les disposicions generals en les quals s’estableix el caràcter d’autoritat independent de l’Agència Catalana de Protecció de Dades. Les competències i funcions de l’Agència es desenvolupen al
capı́tol II, i el capı́tol III regula les relacions amb
les persones afectades i la col.laboració amb altres
entitats, d’acord amb el que disposa la Llei 5/2002,
de creació de l’Agència de Protecció de Dades. El
règim econòmic i patrimonial, el de personal i la determinació dels òrgans de l’Agència i les seves funcions s’estableixen als capı́tols IV i V, d’acord amb
la naturalesa d’institució de dret públic que atorga
a l’Agència la llei de creació esmentada.
Disposicions generals
D’acord amb l’informe de la Comissió Jurı́dica
Assessora, a proposta del conseller de Governació i
Relacions Institucionals i d’acord amb el Govern,
Decreto:
Article únic
S’aprova l’Estatut de l’Agència Catalana de
Protecció de Dades que s’adjunta com a annex a
Capı́tol I
Article 1
L’Agència Catalana de Protecció de Dades
1.1 L’Agència Catalana de Protecció de Dades,
creada per l’article 1 de la Llei 5/2002, de 19
d’abril, és una institució de dret públic, que
ajusta la seva activitat a l’ordenament jurı́dic
públic.
1.2 L’Agència Catalana de Protecció de Dades es
configura com una autoritat independent que
actua amb objectivitat i plena independència
de les administracions públiques en l’exercici de les seves funcions i es relaciona amb el
Govern per mitjà del Departament de Governació i Relacions Institucionals.
1.3 L’Agència Catalana de Protecció de dades té
personalitat jurı́dica pròpia i plena capacitat
d’obrar per al compliment dels seus fins.
Article 2
34
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
Àmbit d’actuació
L’Agència Catalana de Protecció de Dades exerceix la seva autoritat de control sobre els tractaments de dades personals a què fa referència l’article
3 de la Llei 5/2002, de 19 d’abril.
dades de caràcter personal compresos dins el
seu àmbit d’actuació.
Capı́tol III
Relacions i col.laboració
Article 3
Article 6
Règim jurı́dic
Relacions amb les persones afectades
3.1 L’Agència Catalana de Protecció de Dades es
regeix per la Llei 5/2002, de 19 d’abril, per
aquest Estatut i per la Llei orgànica 15/1999,
de 13 de desembre, de protecció de dades de
caràcter personal. En l’exercici de funcions
públiques que té atribuı̈des, resta subjecta a
la Llei 30/1992, de 26 de novembre, de règim
jurı́dic de les administracions públiques i del
procediment administratiu comú, i a la Llei
13/1989, de 14 de desembre, d’organització,
procediment i règim jurı́dic de l’Administració de la Generalitat de Catalunya.
3.2 El funcionament dels òrgans i els serveis tècnics, jurı́dics, administratius i econòmics de
l’Agència es regeixen pel que s’estableix en
aquest Estatut.
Capı́tol II
Competències i funcions
Article 4
Competències de l’Agència
L’Agència Catalana de Protecció de Dades té,
dins el seu àmbit d’actuació, les competències de
registre, control, inspecció, sanció i resolució, aixı́
com l’adopció de propostes i instruccions.
Article 5
Funcions de l’Agència
5.1 L’Agència Catalana de Protecció de Dades
exerceix les funcions previstes a l’article 5 de
la Llei 5/2002, de 19 d’abril.
5.2 Per a l’exercici d’aquestes funcions l’Agència
Catalana de Protecció de Dades, a través del
seu director o directora o de l’òrgan en qui
delegui, podrà dirigir-se directament als titulars i responsables de qualsevol dels fitxers de
6.1 L’Agència Catalana de Protecció de Dades informarà les persones dels drets que la Llei els
hi reconeix en relació amb el tractament de
dades personals. A aquests efectes podrà realitzar campanyes de difusió.
6.2 L’Agència atendrà les peticions que li dirigeixin les persones afectades i hi donarà resposta,
sens perjudici dels recursos que puguin interposar.
Article 7
Col.laboració amb altres entitats
7.1 L’Agència Catalana de Protecció de Dades
col.laborarà amb el Sı́ndic de Greuges i amb
l’Agència de Protecció de Dades de l’Estat i
la resta d’institucions i organismes de defensa
dels drets de les persones.
7.2 A aquests efectes l’Agència pot subscriure
convenis de col.laboració amb aquestes entitats.
Article 8
Cooperació en el desenvolupament normatiu
8.1 L’Agència Catalana de Protecció de Dades
col.laborarà amb els òrgans competents en
el desenvolupament normatiu i l’aplicació de
normes que incideixin en el seu àmbit competencial.
8.2 Als efectes previstos a l’apartat anterior, correspon a l’Agència:
(a) Emetre informe, amb caràcter preceptiu,
dels projectes de disposicions de caràcter
general que es dictin en desenvolupament
de la Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades.
35
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
(b) Dictar instruccions i recomanacions per
adequar els tractaments de dades personals als principis de la legislació vigent
en matèria de protecció de dades de caràcter personal.
Capı́tol IV
Règim de personal, econòmic i patrimonial
Article 9
Règim del personal
9.1 L’Agència Catalana de Protecció de Dades
aprovarà la relació de llocs de treball, la qual
inclourà:
a Els llocs de treball a desenvolupar pel
personal funcionari, entre els quals han
de figurar forçosament els que comporten l’exercici de potestats públiques. Els
llocs de treball que comporten l’exercici de la funció d’assessorament en dret,
representació i defensa judicial es reserven a funcionaris del cos d’advocacia de
la Generalitat de Catalunya.
b Els llocs de treball a desenvolupar per
personal laboral, especificant -hi els factors que, segons les tasques de cada lloc
de treball, determinin la impossibilitat
que siguin desenvolupades per personal
funcionari.
9.2 Els llocs de treball reservats a personal funcionari es proveiran d’acord amb el que estableix
la legislació de la funció pública. Els llocs reservats a personal laboral es proveiran mitjançant convocatòria pública i d’acord amb els
principis d’igualtat, mèrit i capacitat.
Article 10
Règim econòmic
10.1 L’Agència Catalana de Protecció de Dades
compta amb els recursos següents:
a Les assignacions anuals que s’estableixin
als pressupostos de la Generalitat.
b Les subvencions i aportacions que se li
concedeixin.
c Les rendes i els productes dels béns i
drets que integren el seu patrimoni.
d Els ingressos ordinaris i extraordinaris
derivats de l’exercici de les seves activitats.
e Qualsevol altre que se li atribueixi.
10.2 L’Agència Catalana de Protecció de Dades
ajustarà la seva comptabilitat al règim de
comptabilitat pública.
10.3 El control financer de l’Agència el portarà a
terme la Intervenció General de la Generalitat.
Article 11
Pressupost
L’Agència Catalana de Protecció de Dades elaborarà i aprovarà anualment el seu avantprojecte
de pressupost, que serà tramès al Govern, per mitjà
del Departament de Governació i Relacions Institucionals, perquè sigui integrada, en una secció especı́fica, en els pressupostos de la Generalitat.
Article 12
Règim patrimonial i de contractació
12.1 L’Agència Catalana de Protecció de Dades té
un patrimoni propi constituı̈t pels béns i drets
que adquireixi o li siguin donats o cedits per
qualsevol persona o entitat. El règim patrimonial és l’establert per al patrimoni de l’Administració de la Generalitat.
12.2 El règim jurı́dic de contractació de l’Agència
és el que estableix la legislació vigent sobre
contractes de les administracions públiques.
L’òrgan de contractació serà el director o directora, el qual podrà delegar les seves facultats en el secretari general per a l’adjudicació
i formalització dels contractes menors de consultoria, assistència i serveis.
Capı́tol V
Òrgans de l’Agència
36
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
Article 13
Òrgans
L’Agència Catalana de Protecció de Dades s’estructura en els òrgans següents:
b)
a) El director o directora de l’Agència.
b) El Consell Assessor de Protecció de Dades de
Catalunya.
c)
Article 14
El director o directora de l’Agència
14.1 El director o directora de l’Agència Catalana
de Protecció de Dades dirigeix l’Agència i n’exerceix la representació legal. Acompleix les
seves funcions amb plena independència, neutralitat i objectivitat, sense subjecció a cap
mandat imperatiu o instrucció. Tanmateix,
ha d’escoltar les propostes que li faci el Consell Assessor i en el supòsit que no les tingui
en compte ho ha de motivar.
14.2 El nomenament, el cessament, la remuneració
i el règim d’incompatibilitats del director o directora es regeix pel que estableix l’article 13
de la Llei 5/2002, de 19 d’abril.
14.3 Les resolucions del director o directora de l’Agència Catalana de Protecció de Dades posen
fi a la via administrativa i són susceptibles de
recurs contenciós administratiu.
d)
e)
f)
14.4 El director o directora de l’Agència, ha de
comparèixer anualment davant el Parlament
per informar de la seva actuació.
Article 15
Funcions del director o directora
15.1 Correspon al director o directora de l’Agència
dictar les resolucions o instruccions i aprovar
les recomanacions i els dictàmens que requereixi l’exercici de les funcions de l’Agència i,
en especial:
a) Resoldre motivadament sobre la procedència o improcedència de les inscripcions que s’hagin de practicar en el Registre de protecció de dades de Catalunya
g)
a què es refereix l’article 15 de la Llei
5/2002, de 19 d’abril.
Resoldre motivadament sobre la procedència o improcedència de la denegació
de l’exercici dels drets d’oposició, d’accés, de rectificació o de cancel.lació, d’acord amb el que s’estableix a l’article 7.2
de la Llei 5/2002, de 19 d’abril.
Requerir, en els termes establerts a l’article 5.1.d) de la Llei 5/2002, de 19 d’abril, als responsables i als encarregats
del tractament l’adopció de les mesures
necessàries per a l’adequació del tractament de dades personals objecte d’investigació a la legislació vigent i ordenar, si
s’escau, el cessament dels tractaments i
la cancel.lació dels fitxers.
Adoptar les mesures, resolucions i instruccions a què fa referència l’article
5.1.b) de la Llei 5/2002, de 19 d’abril,
per garantir les condicions de seguretat
dels fitxers constituı̈ts amb finalitats exclusivament estadı́stiques.
Dictar les instruccions i recomanacions
necessàries per adequar els tractaments
de dades personals als principis de la legislació vigent en matèria de dades personals, d’acord amb el que s’estableix a
l’article 5.1.c) de la Llei 5/2002, de 19
d’abril.
Emetre informe, amb caràcter preceptiu,
dels avantprojectes de llei, els projectes
de disposicions normatives que elabori el
Govern en virtut de delegació legislativa i
els projectes de reglaments o disposicions
de caràcter general que afectin la protecció de dades de caràcter personal. Els informes seran sol.licitats pel Govern, per
mitjà del secretari o secretària del Govern, o pels consellers o conselleres competents per raó de la matèria. Els informes han de ser emesos en el termini
màxim de quinze dies hàbils a comptar
de l’entrada de l’expedient.
Respondre les consultes que l’Administració de la Generalitat, els ens locals i
les universitats de Catalunya li formulin
sobre l’aplicació de la legislació de protecció de dades de caràcter personal. Les
37
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
consultes que hagi de fer l’Administració
de la Generalitat i els organismes i entitats que en depenen es cursen per mitjà del conseller o consellera competent
per raó de la matèria. Les consultes que
hagin de fer la resta d’institucions i organismes compresos en l’àmbit d’aplicació de la Llei 5/2002, es cursen per mitjà
de l’òrgan que n’ostenti la representació.
Els dictàmens han de ser emesos en el
termini màxim de quinze dies hàbils a
partir de l’entrada de la consulta. El director o directora podrà ampliar el termini fins a un mes si la complexitat del
dictamen ho fa necessari.
a) Adjudicar i formalitzar els contractes
que requereixi la gestió de l’Agència i vigilar -ne el compliment i l’execució.
b) Aprovar les despeses i ordenar els pagaments, dins els lı́mits dels crèdits del
pressupost de despeses de l’Agència.
c) Exercir el control economicofinancer de
l’Agència.
d) Elaborar l’avantprojecte de pressupost
de l’Agència.
e) Proposar al Consell Assessor, la plantilla
de personal de l’Agència.
Article 16
h) Resoldre sobre l’adopció de mesures per
Estructura de la direcció
corregir els efectes de les infraccions, d’aDel director o directora de l’Agència depenen les
cord amb el que es preveu a l’article 16.2
unitats següents:
de la Llei 5/2002, de 19 d’abril.
i) Proposar l’inici d’actuacions disciplinàries contra els responsables o encarregats
del tractament, d’acord amb el que estableix la legislació vigent sobre règim
disciplinari de les administracions públiques.
a) Secretaria General.
b) Assessoria Jurı́dica.
c) Àrea del Registre de Protecció de Dades.
d) Àrea d’Inspecció.
j) Resoldre els expedients sancionadors que
siguin de la seva competència i posar en
coneixement de l’Agència de Protecció
de Dades de l’Estat les presumptes infraccions la sanció de les quals li corresles
pongui.
k) Ordenar el cessament del tractament, de
la comunicació il.lı́cita de dades o la immobilització dels fitxers, en els supòsits
previstos a l’article 18 de la Llei 5/2002,
de 19 d’abril.
l) Proporcionar informació sobre els drets
de les persones en matèria de tractament
de dades personals.
m) Atendre les peticions que li formuli la
ciutadania.
n) Respondre les consultes que li formulin
les administracions.
15.2 Correspon també al director o directora de
l’Agència:
Article 17
Secretaria General
Correspon a la Secretaria General l’exercici de
funcions següents:
a) Gestionar els mitjans personals i materials
adscrits a l’Agència.
b) Realitzar la gestió economicoadministrativa
del pressupost de l’Agència.
c) Portar l’inventari de béns i drets que s’integrin en el patrimoni de l’Agència.
d) Constituir i actualitzar un fons documental en
matèria de protecció de dades personals.
e) Elaborar la memòria anual.
f) Organitzar conferències, seminaris i altres activitats sobre protecció de dades personals.
g) Gestionar els sistemes d’informació mecanitzats de l’Agència.
38
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
Article 18
Assessoria Jurı́dica
Correspon a l’Assessoria Jurı́dica assessorar jurı́dicament l’Agència i emetre informe dels projectes
de disposicions que es dictin en desenvolupament de
la llei, els projectes de llei o de disposicions de caràcter general sobre protecció de dades personals.
Article 19
Àrea del Registre de protecció de dades
19.1 Correspon a l’àrea del Registre de protecció
de dades l’exercici de les funcions següents:
termini màxim d’un mes a comptar de la creació del fitxer. L’Agència ha de resoldre sobre
la procedència o improcedència de la inscripció en el termini d’un mes comptat a partir de
la data de la sol.licitud.
19.4 Les dades contingudes al Registre són públiques i poden ser consultades de forma gratuı̈ta.
Article 20
Àrea d’Inspecció i Tècnica
a) Instruir els expedients d’inscripció dels
fitxers i dels codis a què fa referència l’article 15 de la Llei 5/2002, de 19 d’abril.
20.1 Correspon a l’àrea d’Inspecció les potestats
d’inspecció que atribueix a l’Agència Catalana de Protecció de Dades l’article 8 de la Llei
5/2002.
b) Rectificar d’ofici els errors materials dels
assentaments.
20.2 En concret, correspon a l’àrea d’Inspecció l’exercici de les funcions següents:
c) Instruir els expedients de modificació,
rectificació i cancel.lació del contingut
dels assentaments.
a) Examinar els suports d’informació que
continguin dades personals.
d) Expedir certificats dels assentaments.
e) Donar publicitat, anualment, dels fitxers
notificats i inscrits.
19.2 En els assentaments d’inscripció figuraran les
dades següents:
a) El titular i la ubicació del fitxer.
b) El responsable i/o encarregat del fitxer.
c) La finalitat i els usos del fitxer.
d) Les persones o col.lectius afectats.
e) El procediment de recollida de dades.
f) L’estructura bàsica del fitxer i la descripció dels tipus de dades de caràcter personal que s’hi incloguin.
g) Les cessions de dades de caràcter personal.
h) Els serveis o unitats davant els quals es
puguin exercitar els drets d’accés, rectificació, cancel.lació i oposició.
b) Examinar els equips fı́sics i lògics.
c) Examinar els sistemes de transmissió i
accés a les dades.
d) Realitzar auditories dels sistemes informàtics.
e) Sol.licitar la presentació o tramesa de documents i de dades.
f) Instruir els expedients sancionadors.
20.3 El personal funcionari que exerceix la funció
inspectora té la consideració d’autoritat pública en el desenvolupament de llur activitat i
resten obligats a mantenir el secret sobre les
informacions que coneguin en l’exercici de les
funcions inspectores, fins i tot després d’haver
cessat en aquestes.
20.4 Per a l’exercici de les seves funcions els funcionaris que exerceixen la potestat d’inspecció
poden accedir als locals on estiguin instal.lats
els equips fı́sics i lògics utilitzats o on es trobin
els documents i dades de caràcter personal.
19.3 Les sol.licituds d’inscripció en el Registre, de
Article 21
rectificació de dades o de cancel.lació les han
de presentar els responsables dels fitxers a l’AConsell Assessor de Protecció de Dades de Cagència Catalana de Protecció de Dades en el talunya
39
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
21.1 El Consell Assessor de Protecció de Dades de
Catalunya és constituı̈t pels membres que es
detallen a l’article 14.2 de la Llei 5/2002, els
quals són nomenats pel conseller o consellera de Governació i Relacions Institucionals a
proposta de les entitats que representen.
21.2 El president o presidenta del Consell Assessor
és nomenat pel president de la Generalitat a
proposta del conseller o consellera de Governació i Relacions Institucionals, entre una terna presentada pel Consell Assessor entre els
seus membres.
21.3 El director o directora de l’Agència assisteix
a les reunions del Consell Assessor, amb veu
però sense vot.
Article 22
Funcions del Consell Assessor
Són funcions del Consell Assessor de Protecció
de Dades de Catalunya les següents:
a) Informar totes les qüestions que li sotmeti el
director o directora de l’Agència.
e) Realitzar estudis sobre protecció de dades personals.
f) Aprovar la plantilla del personal de l’Agència.
g) Aprovar la memòria anual de l’Agència.
Article 23
Funcionament del Consell Assessor
23.1 En tot el que no és previst a la Llei 5/2002
i a aquests Estatuts, el Consell Assessor es
regeix per les disposicions vigents sobre funcionament d’òrgans col.legiats.
23.2 Actua com a secretari del Consell un funcionari o funcionària de l’Agència Catalana de
Protecció de Dades.
23.3 El Consell Assessor es reunirà mitjançant convocatòria del seu president o presidenta com
a mı́nim un cop al trimestre. També es podrà
reunir quan ho sol.licitin la majoria dels seus
membres.
c) Respondre les consultes que se li formulin.
23.4 Per a la vàlida constitució del Consell es requerirà la presència del president i del secretari o, si s’escau, de les persones que els substitueixin, i de la meitat dels seus membres.
d) Establir criteris en relació amb els tractaments de dades personals.
23.5 Els membres del Consell Assessor podran percebre dietes per l’assistència a les reunions.
b) Fer propostes al Director de l’Agència en relació amb l’exercici de les seves funcions.
40
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
2.4.2
Resolució de 15 de desembre de 2003, per la qual s’aproven els suports
normalitzats per formalitzar les inscripcions al Registre de Protecció
de Dades de Catalunya (DOGC núm. 4046, de 12.1.2004)
AGÈNCIA CATALANA DE PROTECCIÓ DE
DADES
RESOLUCIÓ de 15 de desembre de 2003, per
la qual s’aproven els suports normalitzats per formalitzar les inscripcions al Registre de Protecció de
Dades de Catalunya.
La Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades, va crear el Registre de
Protecció de Dades de Catalunya com a òrgan integrat a l’Agència. En el seu article 15.2.a) la Llei disposa que són objecte d’inscripció en el Registre els
fitxers de dades personals inclosos en l’àmbit d’aplicació de la Llei orgànica de protecció de dades
que siguin de titularitat de la Generalitat de Catalunya, dels ens que integren l’Administració local
en l’àmbit territorial de Catalunya i la resta d’organismes i entitats a què es refereix l’article 3 de
la Llei 5/2002, de 19 d’abril, i les dades relatives a
aquests fitxers que siguin necessàries per a l’exercici
dels drets d’informació, d’accés, de rectificació, de
cancel.lació i d’oposició.
Aixı́ mateix, mitjançant el Decret 48/2003, de 20
de febrer, pel qual s’aprova l’Estatut de l’Agència
Catalana de Protecció de Dades, en els seus articles
19.2 i 3 preveu les dades que han de constar en els
assentaments d’inscripció del Registre i els requisits
de les sol.licituds d’inscripció dels fitxers.
Tenint en compte que les administracions públiques han d’impulsar l’ús i l’aplicació de tècniques i
mitjans electrònics, informàtics i telemàtics per al
desenvolupament de la seva activitat i l’exercici de
les seves competències;
Fent ús de les competències que em corresponen
a l’empara de l’article 15 del Decret 48/2003, de 20
de febrer,
Resolc:
1. Aprovar el formulari de notificació de fitxers
de dades de caràcter personal al Registre de
Protecció de Dades de Catalunya que consta
en l’annex 1 d’aquesta Resolució, als efectes
de recollir les dades dels assentaments regis-
trals que es determinen en l’apartat 2 de l’article 19 de l’Estatut de l’Agència Catalana de
Protecció de Dades.
2. Aprovar l’imprès de sol.licitud d’inscripció de
creació, modificació o supressió de fitxers de
dades de caràcter personal al Registre de Protecció de Dades de Catalunya que consta en
l’annex 2 d’aquesta Resolució, als efectes d’acomplir allò que s’estableix en l’apartat 3 de
l’article 19 de l’Estatut de l’Agència Catalana
de Protecció de Dades.
3. L’imprès de sol.licitud, el formulari de notificació i les instruccions per emplenar -los, es
poden obtenir gratuı̈tament a la seu de l’Agència Catalana de Protecció de Dades (Llacuna, 166, 7a, 08018 Barcelona) o, en format
digital, al portal www.apdcat.net.
4. Cada formulari de notificació de fitxers de dades de caràcter personal en suport paper, haurà d’anar acompanyat de la corresponent sollicitud d’inscripció de creació, modificació o
supressió, convenientment emplenada i signada. Els formularis i les sol.licituds d’inscripció
al Registre de Protecció de Dades de Catalunya en suport paper han de ser presentades a
la seu de l’Agència Catalana de Protecció de
Dades (Llacuna, 166, 7a, 08018 Barcelona) o
a qualsevol dels registres o oficines públiques
a les que es refereix l’article 38.4 de la Llei
30/1992, de 26 de novembre.
5. Aprovar el programari multiplataforma d’ajuda per a la generació de notificacions en format digital al Registre de Protecció de Dades
de Catalunya, signat electrònicament per l’Agència Catalana de Protecció de Dades amb
certificat de signatura de codi emès per l’Agència Catalana de Certificació, als efectes de
recollir les dades dels assentaments registrals
que es determinen en l’apartat 2 de l’article
19 de l’Estatut de l’Agència Catalana de Protecció de Dades.
41
Normativa catalana
2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades
6. El programari d’ajuda per a la generació de
notificacions, les condicions d’ús, les instruccions d’instal.lació i funcionament i el mecanisme de verificació de la signatura electrònica del mòdul executable, es poden obtenir
gratuı̈tament al portal www.apdcat.net.
7. El programari genera en format digital un màxim de 50 notificacions, que es poden trametre
a l’Agència Catalana de Protecció de Dades,
ja sigui directament a través d’Internet o bé
mitjançant la gravació prèvia en suports magnètics o òptics i la posterior tramesa d’aquests
suports. Tanmateix, mentre no s’implanti el
sistema de signatura electrònica de les notificacions en format digital, també caldrà presentar en suport paper, a la seu de l’Agència Catalana de Protecció de Dades (Llacuna,
166, 7a, 08018 Barcelona) o a qualsevol dels
registres o oficines públiques a les que es refereix l’article 38.4 de la Llei 30/1992, de 26 de
novembre, la sol.licitud d’inscripció generada
automàticament pel programari, convenientment emplenada i signada. A tots els efectes, i concretament per al còmput de terminis,
es considerarà efectuada la notificació dels fitxers per via informàtica o telemàtica en el moment de la presentació de la sol.licitud d’inscripció generada pel programari. En tot cas,
quedarà sense efecte qualsevol tramesa per via
informàtica o telemàtica si en un termini màxim de 10 dies, comptadors des de la seva recepció a l’Agència Catalana de Protecció de
Dades, no es presenta emplenada i signada la
corresponent sol.licitud d’inscripció generada
pel programari.
8. Totes les sol.licituds d’inscripció al Registre
de Protecció de Dades de Catalunya, tant si
s’efectuen en suport paper com si es fan en suport digital, seran provisionals fins que siguin
processades i verificades. En cas que no s’ajustin als formats establerts per aquesta Resolució o en cas que hi hagi defectes substancials que impedeixin tramitar les sol.licituds,
es requerirà al responsable del fitxer o al seu
representant legal a fi que, en un termini màxim de 10 dies hàbils, s’esmenin els defectes i
errors detectats. Si, transcorregut aquest termini, els defectes i errors detectats no han estat corregits, se l’entendrà desistit de la seva
sol.licitud.
9. Aquesta Resolució entrarà en vigor el dia següent al de la seva publicació en el Diari Oficial de la Generalitat de Catalunya.
Barcelona, 15 de desembre de 2003
Josep Xavier Hernández i Moreno
Director
42
Normativa catalana
2.5. Estatut d’Autonomia de Catalunya - extracte
2.5 Estatut d’Autonomia de Catalunya: articles relatius a la protecció de dades. Llei Orgànica 6/2006, de 19 de juliol, de reforma de l’Estatut d’Autonomia de Catalunya publicada pel Decret
306/2006, de 20 de juliol de 2006 (DOGC núm. 4680, de 20 de
juliol de 2006)
Article 31. Dret a la protecció de dades personals.
Totes les persones tenen dret a la protecció de les
dades personals contingudes en els fitxers que són
competència de la Generalitat i tenen dret a accedir -hi, examinar -les i obtenir -ne la correcció. Una
autoritat independent, designada pel Parlament, ha
de vetllar perquè aquests drets siguin respectats, en
els termes que estableixen les lleis.
Article 156. Protecció de dades de caràcter personal.
Correspon a la Generalitat la competència executiva en matèria de protecció de dades de caràcter
personal que, respectant les garanties dels drets fonamentals en aquesta matèria, inclou en tot cas:
a) La inscripció i el control dels fitxers o els tractaments de dades de caràcter personal creats
o gestionats per les institucions públiques de
Catalunya, l’Administració de la Generalitat,
les administracions locals de Catalunya, les
entitats autònomes i les altres entitats de dret
públic o privat que depenen de les administra-
cions autonòmica o locals o que presten serveis o acompleixen activitats per compte propi
per mitjà de qualsevol forma de gestió directa
o indirecta, i les universitats que integren el
sistema universitari català.
b) La inscripció i el control dels fitxers o els tractaments de dades de caràcter personal privats
creats o gestionats per persones fı́siques o jurı́diques per a l’exercici de les funcions públiques amb relació a matèries que són competència de la Generalitat o dels ens locals de
Catalunya, si el tractament s’efectua a Catalunya.
c) La inscripció i el control dels fitxers i els tractaments de dades que creı̈n o gestionin les corporacions de dret públic que exerceixin llurs
funcions exclusivament en l’àmbit territorial
de Catalunya.
d) La constitució d’una autoritat independent,
designada pel Parlament, que vetlli per garantir el dret a la protecció de les dades personals
en l’àmbit de les competències de la Generalitat.
43
Normativa catalana
2.5. Estatut d’Autonomia de Catalunya - extracte
44
3
Normativa estatal
45
Normativa estatal
3.1. Constitució espanyola - extracte
3.1 Constitució espanyola
(BOE núm. 311, de 29.12.1978)
[. . . ]
TÍTOL I. Dels drets i dels deures fonamentals
Article 18
1. Es garanteix el dret a l’honor, a la intimitat
personal i familiar i a la pròpia imatge.
Article 10
2. El domicili és inviolable. No s’hi podrà entrar
ni fer-hi cap escorcoll sense el consentiment del
1. La dignitat de la persona, els drets inviolatitular
o sense resolució judicial, llevat del cas de
bles que li són inherents, el lliure desenvolupament
delicte
flagrant.
de la personalitat, el respecte a la llei i als drets
dels altres són fonament de l’ordre polı́tic i de la
3. Es garanteix el secret de les comunicacions i,
pau social.
especialment, de les postals, telegràfiques i telefòni2. Les normes relatives als drets fonamentals i a ques, excepte en cas de resolució judicial.
les llibertats que la Constitució reconeix s’interpre4. La llei limitarà l’ús de la informàtica per tal
taran de conformitat amb la Declaració Universal de de garantir l’honor i la intimitat personal i familiar
Drets Humans i els tractats i els acords internacio- dels ciutadans i el ple exercici dels seus drets.
nals sobre aquestes matèries ratificats per Espanya.
[. . . ]
[. . . ]
Article 20
apı́tol segon. Drets i llibertats
1. Es reconeixen i es protegeixen els drets:
Article 14
a) A expressar i difondre lliurement els pensaEls espanyols són iguals davant la llei, sense que ments, les idees i les opinions mitjançant la paraula,
pugui prevaler cap discriminació per raó de naixen- l’escriptura o qualsevol altre mitjà de reproducció.
ça, raça, sexe, religió, opinió o qualsevol altra conb) A la producció i a la creació literària, artı́stidició o circumstància personal o social.
ca, cientı́fica i tècnica.
Secció primera. Dels drets fonamentals i de
c) A la llibertat de càtedra.
les llibertats públiques
d) A comunicar o a rebre lliurement informació
[. . . ]
veraç per qualsevol mitjà de difusió. La llei reguArticle 16
larà el dret a la clàusula de consciència i al secret
1. Es garanteix la llibertat ideològica, religiosa professional en l’exercici d’aquestes llibertats.
i de culte dels individus i de les comunitats sen2. L’exercici d’aquests drets no pot ser restringit
se cap més limitació, quan siguin manifestats, que per mitjà de cap tipus de censura prèvia.
la necessària per al manteniment de l’ordre públic
3. La llei regularà l’organització i el control parprotegit per la llei.
lamentari dels mitjans de comunicació social que
2. Ningú podrà ser obligat a declarar quant a la depenguin de l’Estat o de qualsevol entitat pública
seva ideologia, religió o creences.
i garantirà l’accés a aquests mitjans dels grups so3. Cap confessió tindrà caràcter estatal. Els cials i polı́tics significatius, respectant el pluralisme
poders públics tindran en compte les creences re- de la societat i de les diferents llengües d’Espanya.
ligioses de la societat espanyola i mantindran les
4. Aquestes llibertats tenen el lı́mit en el resconsegüents relacions de cooperació amb l’Església pecte als drets reconeguts en aquest tı́tol, en els
catòlica i les altres confessions.
preceptes de les lleis que el desenvolupin i, especialment, en el dret a l’honor, a la intimitat, a la imatge
[. . . ]
pròpia i a la protecció de la joventut i de la infància.
46
Normativa estatal
3.1. Constitució espanyola - extracte
5. Només podrà acordar-se el segrest de publi3. El reconeixement, el respecte i la protecció
cacions, gravacions i altres mitjans d’informació en dels principis reconeguts en el capı́tol tercer inforvirtut de resolució judicial.
maran la legislació positiva, la pràctica judicial i
l’actuació dels poders públics. Només podran ser
[. . . ]
al·legats davant la jurisdicció ordinària d’acord amb
Capı́tol quart. De les garanties de les lliber- allò que disposin les lleis que els desenvolupin.
tats i drets fonamentals
[. . . ]
Article 53
Tı́tol IV. Del Govern i de l’Administració
1. Els drets i les llibertats reconeguts en el capı́[. . . ]
tol segon del present tı́tol vinculen tots els poders
públics. Només per llei, que en tot cas haurà de res- Article 105
pectar el seu contingut essencial, podrà regular-se
La llei regularà:
l’exercici d’aquests drets i d’aquestes llibertats, que
a) L’audiència dels ciutadans directament o a
seran tutelades d’acord amb el que preveu l’article
través
de les organitzacions i associacions recone161.1.a).
gudes per la llei en el procediment d’elaboració de
2. Qualsevol ciutadà podrà demanar la tutela les disposicions administratives que els afectin.
de les llibertats i dels drets reconeguts en l’article
b) L’accés dels ciutadans als arxius i als regis14 i en la secció 1a del capı́tol segon davant els tritres
administratius, salvant el que afecti la seguretat
bunals ordinaris per un procediment basat en els
i
la
defensa
de l’Estat, la indagació dels delictes i la
principis de preferència i sumarietat i, en el seu cas,
intimitat
de
les persones.
a través del recurs d’emparament davant el Tribunal
Constitucional. Aquest darrer recurs serà aplicable
c) El procediment a través del qual han de fera l’objecció de consciència reconeguda en l’article se els actes administratius, amb garantia, quan sigui
30.
procedent, de l’audiència de l’interessat.
47
Normativa estatal
3.2. Llei 12/1989 de la Funció Estadı́stica Pública - extracte
3.2 Llei 12/1989, de 9 de maig, de la Funció Estadı́stica Pública
(BOE 112 de 11.05.1989)
CAPÍTULO III.
DEL SECRETO ESTADÍSTICO.
Artı́culo 13.
1. Serán objeto de protección y quedaran amparados por el secreto estadı́stico los datos personales que obtengan los servicios estadı́sticos
tanto directamente de los informantes como a
través de fuentes administrativas.
2. Se entiende que son datos personales los referentes a personas fı́sicas o jurı́dicas que o
bien permitan la identificación inmediata de
los interesados, o bien conduzcan por su estructura, contenido o grado de desagregación
a la identificación indirecta de los mismos.
3. El secreto estadı́stico obliga a los servicios estadı́sticos a no difundir en ningún caso los datos personales cualquiera que sea su origen.
• Que los servicios que reciban los datos
desarrollen funciones fundamentalmente
estadı́sticas y hayan sido regulados como
tales antes de que los datos sean cedidos.
• Que el destino de los datos sea precisamente la elaboración de las estadı́sticas
que dichos servicios tengan encomendadas.
• Que los servicios destinatarios de la información dispongan de los medios necesarios para preservar el secreto estadı́stico.
2. La comunicación a efectos no estadı́sticos entre las Administraciones y organismos públicos de la información que obra en los Registros
públicos, no estará sujeta al secreto estadı́stico, sino a la legislación especı́fica que en cada
caso sea de aplicación.
Artı́culo 16.
Artı́culo 14.
1. El secreto estadı́stico será aplicado en las mismas condiciones establecidas en el presente
capı́tulo frente a todas las Administraciones
y organismos públicos, cualquiera que sea la
naturaleza de éstos, salvo lo establecido en el
artı́culo siguiente.
1. No quedarán amparados por el secreto estadı́stico los directorios que no contengan más
datos que las simples relaciones de establecimientos, empresas, explotaciones u organismos de cualquier clase, en cuanto aludan a su
denominación, emplazamiento, actividad y el
intervalo de tamaño al que pertenece.
2. Queda prohibida la utilización para finalidades distintas de las estadı́sticas de los datos
personales obtenidos directamente de los informantes por los servicios estadı́sticos.
2. El dato sobre el intervalo de tamaño solo podrá difundirse si la unidad informante no manifiesta expresamente su disconformidad.
Artı́culo 15.
1. La comunicación a efectos estadı́sticos entre
las Administraciones y organismos públicos de
los datos personales protegidos por el secreto estadı́stico solo será posible si se dan los
siguientes requisitos, que habrán de ser comprobados por el servicio u órgano que los tenga
en custodia:
3. Los servicios estadı́sticos harán constar esta
excepción a la preservación del secreto estadı́stico en los instrumentos de recogida de la
información.
4. Los interesados tendrán derecho de acceso a
los datos personales que figuren en los directorios estadı́sticos no amparados por el secreto
y a obtener la rectificación de los errores que
contengan.
48
Normativa estatal
3.2. Llei 12/1989 de la Funció Estadı́stica Pública - extracte
5. Las normas de desarrollo de la presente Ley
establecerán los requisitos necesarios para el
ejercicio del derecho de acceso y rectificación
a que se refiere el apartado anterior de este artı́culo, ası́ como las condiciones que habrán de
tenerse en cuenta en la difusión de los directorios no amparados por el secreto estadı́stico.
Artı́culo 17.
1. Todo el personal estadı́stico tendrá la obligación de preservar el secreto estadı́stico.
2. A los efectos previstos en el párrafo anterior,
se entiende por personal estadı́stico el dependiente de los servicios estadı́sticos a que aluden los TÍTULOs II y III de la presente Ley.
2. La información a que se refiere el apartado
anterior no podrá ser públicamente consultada sin que medie consentimiento expreso de
los afectados o hasta que haya transcurrido
un plazo de veinticinco años desde su muerte, si su fecha es conocida o, en otro caso, de
cincuenta años a partir de la fecha de su obtención.
3. Excepcionalmente, y siempre que hubieran
transcurrido, al menos, veinticinco años desde
que se recibió la información por los servicios
estadı́sticos, podrán ser facilitados datos protegidos por el secreto estadı́stico a quienes, en
el marco del procedimiento que se determine
reglamentariamente acrediten un legitimo interés.
4. En el caso de los datos relativos a personas
3. Quedarán también obligados por el deber de
jurı́dicas, las normas reglamentarias, atendipreservar el secreto estadı́stico cuantas perdas las peculiaridades de cada encuesta, posonas, fı́sicas o jurı́dicas, tengan conocimiendrán disponer perı́odos menores de duración
to de datos amparados por aquel con ocasión
del secreto, nunca inferiores a quince años.
de su participación con carácter eventual en
cualquiera de la fases del proceso estadı́stico
en virtud de contrato, acuerdo o convenio de
CAPÍTULO IV.
cualquier género.
4. El deber de guardar el secreto estadı́stico se LA DIFUSIÓN Y CONSERVACIÓN DE LA
mantendrá aun después de que las personas INFORMACIÓN ESTADÍSTICA.
obligadas a preservarlo concluyan sus activiArtı́culo 20.
dades profesionales o su vinculación a los servicios estadı́sticos.
1. Los resultados de las estadı́sticas para fines
estatales se harán públicos por los servicios
Artı́culo 18.
responsables de la elaboración de las mismas
y habrán de ser ampliamente difundidos.
1. Los datos que sirvan para la identificación
inmediata de los informantes se destruirán
2. Los resultados de las estadı́sticas para fines
cuando su conservación ya no sea necesaria
estatales tendrán carácter oficial desde el mopara el desarrollo de las operaciones estadı́smento que se hagan públicos.
ticas.
3. El personal de los servicios responsables de la
2. En todo caso, los datos aludidos en el apartaelaboración de estadı́sticas para fines estatado anterior se guardarán bajo claves, precintos
les tiene obligación de guardar reserva respeco depósitos especiales.
to de los resultados de las mismas, parciales o
totales, provisionales o definitivos, de los que
conozca por razón de su trabajo profesional,
Artı́culo 19.
hasta tanto se hayan hecho públicos oficialmente.
1. La obligación de guardar el secreto estadı́stico
se iniciará desde el momento en que se obtenga la información por él amparada.
Artı́culo 21.
49
Normativa estatal
3.2. Llei 12/1989 de la Funció Estadı́stica Pública - extracte
1. Los servicios estadı́sticos podrán facilitar a
quien lo solicite:
• Otras tabulaciones o elaboraciones estadı́sticas distintas de los resultados hechos
públicos a los que se refiere el primer
apartado del artı́culo 20, siempre que
quede preservado el secreto estadı́stico.
• Los datos individuales que no estén amparados por el secreto estadı́stico porque
hayan llegado a ser anónimos hasta tal
punto que sea imposible identificar a las
unidades informantes.
2. La descripción de las caracterı́sticas metodológicas de las estadı́sticas para fines estatales
se harán públicas y estarán, en todo caso, a
disposición de quien las solicite.
3. Las publicaciones y cualquier otra información estadı́stica que se facilite a los interesados
podrán llevar aparejadas la percepción de los
precios que legalmente se determinen.
Artı́culo 22.
1. Los servicios estadı́sticos deberán conservar y
custodiar la información obtenida como consecuencia de su propia actividad, que seguirá
sometida al secreto estadı́stico en los términos establecidos por la presente Ley aunque
se hayan difundido, debidamente elaborados,
los resultados estadı́sticos correspondientes.
2. La conservación de la información no implicará necesariamente la de los soportes originales
de la misma, siempre que su contenido se haya
trasladado a soportes informáticos o de otra
naturaleza.
3. Cuando los servicios estadı́sticos aprecien que
la conservación de algún tipo de documentación resulte evidentemente innecesaria, podrán acordar su destrucción una vez cumplidos los trámites que reglamentariamente se
determinen.
50
Normativa estatal
3.3. Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte
3.3 REAL DECRETO 1663/2008, de 17 de octubre, por el que se
aprueba el Plan estadı́stico nacional 2009-2012.
ANEXO I
Lı́neas estratégicas para el periodo 2009-2012
4.2. CONFIDENCIALIDAD ESTADÍSTICA
Uno de los componentes de la calidad, que se
destaca por su relevancia, es la confidencialidad estadı́stica.
Para el periodo 2009-2012 se pretende lograr que
los servicios estadı́sticos analicen los diferentes aspectos de este tema, se conciban las medidas de
protección necesarias durante el diseño del trabajo aunque su aplicación se lleve a cabo durante la
ejecución de cada una de las fases, se desarrollen las
herramientas para su control y se realicen tareas de
supervisión.
Como actuaciones concretas para este periodo
se proponen:
• El establecimiento de una base de datos de las
unidades estadı́sticas que cumplan los requisitos establecidos en la LFEP sobre protección
de datos:
a) que los servicios que reciban los datos
desarrollen funciones fundamentalmente
estadı́sticas y hayan sido regulados como
tales antes de que los datos sean cedidos;
b) que el destino de los datos sea precisamente la elaboración de las estadı́sticas
que dichos servicios tengan encomendadas;
c) que los servicios destinatarios de la información dispongan de los medios necesarios para preservar el secreto estadı́stico.
blezca en la cesión de microdatos individuales: desarrollo e implantación de herramientas
software de anonimización, normas de difusión, entornos seguros de trabajo dentro del
INE para los investigadores, accesos remotos.
• El incremento de las medidas de seguridad en
los procesos de enlace de registros administrativos entre sı́ y con encuestas estadı́sticas, como el Estudio Demográfico Longitudinal, ası́
como en el almacenamiento y acceso a la información resultante, para evitar roturas de la
confidencialidad.
• El inicio de un proyecto de trabajo de colaboración en confidencialidad consistente en un
espacio donde diversos usuarios debidamente
acreditados puedan disponer y consultar información, ası́ como debatir, sobre las dudas
de confidencialidad planteadas en los últimos
años y su resolución oficial (respuesta de la
Agencia de Protección de Datos, respuesta de
la Abogacı́a del Estado, respuesta del INE,
actuación común en esos casos, etc. . . )
8. LA MODERNIZACIÓN DE LA ACTIVIDAD ESTADÍSTICA MEDIANTE EL USO DE
LAS TECONOLGÍAS DE INFORMACIÓN Y COMUNICACIÓN
El fuerte crecimiento experimentado por la estadı́stica pública en los últimos años es debido en
gran parte a las nuevas formas de trabajo ofrecidas
por las nuevas tecnologı́as que se han incorporado
totalmente al quehacer diario de los servicios estadı́sticos. Estas nuevas tecnologı́as siguen ampliando
sus posibilidades y campos de actuación para la función estadı́stica, por lo que se deben establecer los
• La determinación de la posición del Sistema mecanismos necesarios para aprovecharlas al máxiEstadı́stico ante la demanda de más datos y mo durante el periodo de vigencia del próximo plan.
menos anonimizados para tareas de investigaPor otro lado, la Ley 11/2007, de 22 de junio, de
ción, aprobación de las disposiciones legales
acceso electrónico de los ciudadanos a los Servicios
que ello implique y desarrollo de protocolos
Públicos y el Plan de Impulso de la Administración
de actuación
Electrónica en el Ministerio de Economı́a y Hacien• El desarrollo de las herramientas para afron- da constituyen el marco de referencia básico para
tar cualquiera de los escenarios que se esta- determinar el impacto que las comunicaciones van
51
Normativa estatal
3.3. Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte
a tener en los próximos años en la gestión de los
servicios estadı́sticos y en su relación con los ciudadanos y otras administraciones.
Las actuaciones previstas para el cuatrienio
2009-2012 son:
trata de un estándar de intercambio de información contable / financiera que parte de la
definición previa de una taxonomı́a, cuya elaboración es una oportunidad de homogeneizar
cuestionarios de encuestas económicas.
• El control y garantı́a del mantenimiento del
secreto estadı́stico en la utilización de herramientas web en el proceso estadı́stico.
• La difusión gratuita por Internet de los resultados de cada una de las estadı́sticas incluidas
en el Plan Estadı́stico Nacional junto a su metodologı́a y calendario de difusión.
• El establecimiento de estándares y herramientas para el intercambio seguro y eficiente de
datos estadı́sticos.
• La concepción de sistemas de trabajo de recogida de datos armonizados para la mayor
parte de las encuestas, en un esquema de datos común sobre bases centrales, que, en el
caso de las encuestas dirigidas a las empresas,
tengan como elemento central el directorio de
unidades económicas.
• La extensión y consolidación del proyecto de
recogida coordinada de las encuestas de estructura económica lo que supondrı́a la remisión de los cuestionarios en un único envı́o,
realizando la reclamación una única persona,
ajustando los plazos de cumplimentación al
número de cuestionarios y evitando solicitar
la información más de una vez.
• La consolidación de los procedimientos de
pruebas cognitivas de los cuestionarios de las
encuestas dirigidas a los hogares.
• La recogida y primera depuración de datos
mediante cuestionarios web.
• La extensión de los módulos de apoyo a los informantes para permitir a las empresas cargar
información de ficheros XML derivados de los
propios sistemas de gestión.
• La incorporación de la georreferenciación a los
registros administrativos que puedan servir de
base a la generación de directorios para el diseño y la recogida de los datos de las operaciones estadı́sticas.
• El análisis de la viabilidad de implantación del
proyecto XBRL, que se está probando en la recogida de datos de encuestas de empresas. Se
• La adhesión a la iniciativa internacional auspiciada, entre otros, por Eurostat, BCE, OCDE
y FMI, para impulsar un estándar de formato
para la difusión de datos y metadatos estadı́sticos SDMX (Standard data and metadata
exchange).
• El arbitrio, en la página web de cada departamento ministerial y en cada organismo ejecutor de estadı́sticas, de un acceso de primer
nivel con denominación .estadı́stica”, desde el
que se dará entrada de manera sistematizada
y fácil de localizar por los usuarios a toda la
información estadı́stica del organismo.
• La creación de un portal de Estadı́stica Pública de España en coordinación con los distintos
organismos de la Administración General del
Estado, Administraciones Autonómicas y Administración Local.
• La incorporación de la georreferenciación en
los métodos de difusión de las explotaciones
estadı́stica como forma de mejorar su comprensión y de facilitar los análisis estadı́sticos de sus resultados. Para ello se tendrá en
cuenta la Directiva 2007/2/CE del Parlamento Europeo y del Consejo, de 14 de marzo de
2007, por la que se establece una infraestructura de información espacial en la Comunidad
Europea (Inspire) base de un marco de interoperabilidad de capas cartográficas.
• La concienciación de la organización en el problema de la seguridad de la información, incremento de las herramientas para su control
y de las tareas de supervisión. La seguridad de
la información comprende: el control de acceso a las bases de datos, la gestión de usuarios
y permisos, las herramientas informáticas para esta tarea y la revisión de los registros de
accesos para prevenir un mal uso.
52
Normativa estatal
3.3. Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte
• El incremento de la seguridad informática que
contempla tareas como la realización de backups, centros de respaldo, seguridad perimetral (protección frente ataques externos), etc.
• El control de la definición de objetivos de explotación estadı́stica en los procesos administrativos nuevos o en curso de modificación.
• La creación de una Comisión Calificadora de
Documentos con el fin de establecer pautas
para garantizar la protección del patrimonio
documental del INE, en particular, mediante
el control de acceso y utilización de documentos y su calificación. También determinará la
eliminación de documentos y la conservación
de documentos en soporte distinto al original.
• La sistematización de ciertos contenidos en los
impresos electrónicos para facilitar la posterior explotación estadı́stica de la información
de los registros administrativos.
• La gestión documental de la información escrita (cuestionarios en papel principalmente,
pero también otros documentos) mediante su
escaneo.
• La formación de un servidor de imágenes donde los usuarios autorizados pueden acceder de
forma ágil a los cuestionarios y otros documentos.
• La cooperación entre administraciones para
facilitar el acceso y el intercambio de información en los términos autorizados y convenidos, sustituyendo el papel por comunicaciones telemáticas con las periodicidades que se
permitan.
• La consolidación y potenciación del uso de la
infraestructura básica para proveer este tipo
de servicios (plataforma de validación de firma, registro telemático, conexión a la intranet
administrativa) ya disponible en el INE.
53
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
3.4 Llei orgànica 15/1999, de 13 de desembre, de protecció de dades
de caràcter personal
(BOE núm. 298, de 14.12.1999, edició catalana en el suplement núm. 17, de 30.12.1999)
TÍTOL I. Disposicions generals
Article 1. Objecte
responsable del fitxer ha de comunicar-ne prèviament l’existència, les caracterı́stiques generals i la
finalitat a l’Agència de Protecció de Dades.
Aquesta Llei orgànica té com a objecte garan3. Es regeixen per les seves disposicions espetir i protegir, pel que fa al tractament de les dades
cı́fiques,
i pel que preveu especialment, si s’escau,
personals, les llibertats públiques i els drets fonaaquesta
Llei
orgànica els tractaments de dades permentals de les persones fı́siques, i especialment del
sonals següents:
seu honor i la seva intimitat personal i familiar.
a) Els fitxers regulats per la legislació de règim
Article 2. Àmbit d’aplicació
electoral.
1. Aquesta Llei orgànica és aplicable a les dades
b) Els que serveixin a finalitats exclusivament
de caràcter personal registrades en suport fı́sic, que
estadı́stiques,
i estiguin emparats per la legislació
les faci susceptibles de tractament, i a qualsevol moestatal
o
autonòmica
sobre la funció estadı́stica púdalitat d’ús posterior d’aquestes dades pels sectors
blica.
públic i privat.
c) Els que tinguin com a objecte l’emmagatzeEs regeix per aquesta Llei orgànica qualsevol
matge
de les dades contingudes en els informes pertractament de dades de caràcter personal:
sonals de qualificació a què es refereix la legislació
a) Quan el tractament s’efectuı̈ en territori es- del règim del personal de les Forces Armades.
panyol, en el marc de les activitats d’un establiment
d) Els derivats del Registre Civil i del Registre
del responsable del tractament.
central de penats i rebels.
b) Quan al responsable del tractament no estae) Els procedents d’imatges i sons obtinguts mitblert en territori espanyol li sigui aplicable la legisjançant la utilització de videocàmeres per les Forces
lació espanyola en aplicació de les normes de dret
i els Cossos de Seguretat, d’acord amb la legislació
internacional públic.
sobre la matèria.
c) Quan el responsable del tractament no estigui
establert en el territori de la Unió Europea i utilitzi Article 3. Definicions
en el tractament de dades mitjans situats en terriAls efectes d’aquesta Llei orgànica, s’entén per:
tori espanyol, llevat que aquests mitjans s’utilitzin
a) Dades de caràcter personal : qualsevol inúnicament amb finalitats de trànsit.
formació referent a persones fı́siques identificades o
2. El règim de protecció de les dades de caràcter identificables.
personal que estableix aquesta Llei orgànica no és
b) Fitxer: qualsevol conjunt organitzat de dades
aplicable:
de caràcter personal, sigui quina sigui la forma o la
a) Als fitxers mantinguts per persones fı́siques modalitat de creació, emmagatzematge, organitzaen l’exercici d’activitats exclusivament personals o ció i accés.
domèstiques.
c) Tractament de dades : les operacions i els
b) Als fitxers sotmesos a la normativa sobre pro- procediments tècnics de caràcter automatitzat o no,
tecció de matèries classificades.
que permetin recollir, gravar, conservar, elaborar,
.
c) Als fitxers establerts per a la investigació del modificar, bloquejar i cancel lar, aixı́ com les cessions
de
dades
que
derivin
de
comunicacions,
consulterrorisme i de formes greus de delinqüència orgates,
interconnexions
i
transferències.
nitzada. No obstant això, en aquests supòsits el
54
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
d) Responsable del fitxer o el tractament : per2. Les dades de caràcter personal objecte de
sona fı́sica o jurı́dica, de naturalesa pública o pri- tractament no es poden utilitzar per a finalitats invada, o òrgan administratiu, que decideixi sobre la compatibles amb aquelles per a les quals les dades
finalitat, el contingut i l’ús del tractament.
hagin estat recollides. No es considera incompatie) Afectat o interessat : persona fı́sica titular de ble el tractament posterior d’aquestes dades amb
les dades que siguin objecte del tractament a què es finalitats històriques, estadı́stiques o cientı́fiques.
refereix l’apartat c) d’aquest article.
3. Les dades de caràcter personal han de ser
exactes
i posades al dia de manera que responguin
f) Procediment de dissociació : qualsevol tractaamb
veracitat
a la situació actual de l’afectat.
ment de dades personals de manera que la informació que s’obtingui no es pugui associar a una persona
4. Si les dades de caràcter personal registrades
identificada o identificable.
són inexactes, en tot o en part, o incompletes, han
.
g) Encarregat del tractament: la persona fı́sica o de ser cancel lades i substituı̈des d’ofici per les dades
corresponents
rectificades o completades, sens perjurı́dica, l’autoritat pública, el servei o qualsevol aljudici
de
les
facultats
que l’article 16 reconeix als
tre organisme que, sol o conjuntament amb altres,
afectats.
tracti dades personals per compte del responsable
del tractament.
h) Consentiment de l’interessat : qualsevol manifestació de la voluntat, lliure, inequı́voca, especı́fica i informada, mitjançant la qual l’interessat
consenti el tractament de dades personals que el
concerneixen.
i) Cessió o comunicació de dades : qualsevol revelació de dades efectuada a una persona diferent
de l’interessat.
j) Fonts accessibles al públic : els fitxers que
poden ser consultats per qualsevol persona, sense
que ho impedeixi una norma limitativa o sense altra
exigència que, si s’escau, l’abonament d’una contraprestació. Només es consideren fonts d’accés públic
el cens promocional, els repertoris telefònics en els
termes que preveu la normativa especı́fica i les llistes
de persones que pertanyen a grups de professionals
que continguin únicament les dades de nom, tı́tol,
professió, activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup. Aixı́ mateix,
tenen el caràcter de fonts d’accés públic els diaris i
els butlletins oficials i els mitjans de comunicació.
5. Les dades de caràcter personal han de ser
cancel.lades quan hagin deixat de ser necessàries o
pertinents per a la finalitat per a la qual han estat
recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat
durant un perı́ode superior al necessari per a les
finalitats d’acord amb les quals hagin estat recollides o registrades. S’ha de determinar per reglament
el procediment pel qual, com a excepció, atesos els
valors històrics, estadı́stics o cientı́fics d’acord amb
la legislació especı́fica, es decideixi el manteniment
ı́ntegre de determinades dades.
6. Les dades de caràcter personal han de ser
emmagatzemades de manera que permetin l’exercici
del dret d’accés, llevat que siguin legalment cancellades.
7. Es prohibeix la recollida de dades per mitjans
fraudulents, deslleials o il.lı́cits.
Article 5. Dret d’informació en la recollida
de dades
1. Els interessats als quals se sol.licitin dades
personals han de ser prèviament informats de maTÍTOL II. Principis de la protecció de dades nera expressa, precisa i inequı́voca:
Article 4. Qualitat de les dades
a) De l’existència d’un fitxer o un tractament
de
dades
de caràcter personal, de la finalitat de la
1. Les dades de caràcter personal només es porecollida
de
les dades i dels destinataris de la inforden recollir per ser tractades, aixı́ com sotmetre-les
mació.
a aquest tractament, quan siguin adequades, pertinents i no excessives en relació amb l’àmbit i les
b) Del caràcter obligatori o facultatiu de la resfinalitats determinades, explı́cites i legı́times per a posta a les preguntes que els siguin plantejades.
les quals s’han obtingut.
c) De les conseqüències de l’obtenció de les dades
55
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
o de la negativa a subministrar-les.
del responsable del tractament, aixı́ com dels drets
d) De la possibilitat d’exercir els drets d’accés, que l’assisteixen.
rectificació, cancel.lació i oposició.
Article 6. Consentiment de l’afectat
e) De la identitat i la direcció del responsable
del tractament o, si s’escau, del seu representant.
Quan el responsable del tractament no estigui establert en el territori de la Unió Europea i utilitzi
en el tractament de dades mitjans situats en territori espanyol, ha de designar, llevat que aquests
mitjans s’utilitzin amb finalitats de tràmit, un representant a Espanya, sens perjudici de les accions
que es puguin emprendre contra el mateix responsable del tractament.
2. Quan s’utilitzin qüestionaris o altres impresos per a la recollida, han de figurar-hi, de manera
clarament llegible, les advertències a què es refereix
l’apartat anterior.
3. No és necessària la informació a què es refereixen les lletres b), c) i d) de l’apartat 1 si el
contingut de la informació es dedueix clarament de
la naturalesa de les dades personals que se sol.liciten
o de les circumstàncies en què es recullen.
4. Quan les dades de caràcter personal no hagin estat recollides de l’interessat, aquest ha de ser
informat de manera expressa, precisa i inequı́voca,
pel responsable del fitxer o pel seu representant,
dins dels tres mesos següents al moment de registrar les dades, del contingut del tractament, de la
procedència de les dades i del que preveuen les lletres a), d) i e) de l’apartat 1 d’aquest article, llevat
que ja n’hagi estat informat anteriorment.
1. El tractament de les dades de caràcter personal requereix el consentiment inequı́voc de l’afectat,
llevat que la llei disposi una altra cosa.
2. No cal el consentiment quan les dades de
caràcter personal es recullin per a l’exercici de les
funcions pròpies de les administracions públiques
en l’àmbit de les seves competències; quan es refereixin a les parts d’un contracte o un precontracte
d’una relació de negoci, laboral o administrativa i
siguin necessàries per al seu manteniment o compliment; quan el tractament de les dades tingui com a
finalitat protegir un interès vital de l’interessat en
els termes de l’article 7, apartat 6, d’aquest Llei, o
quan les dades figurin en fonts accessibles al públic
i el seu tractament sigui necessari per a la satisfacció de l’interès legı́tim perseguit pel responsable del
fitxer o pel del tercer a qui es comuniquin les dades,
sempre que no es vulnerin els drets i les llibertats
fonamentals de l’interessat.
3. El consentiment a què es refereix aquest article pot ser revocat quan hi hagi una causa justificada per fer-ho i no se li atribueixin efectes retroactius.
4. En els casos en què no sigui necessari el consentiment de l’afectat per al tractament de les dades de caràcter personal, i sempre que una llei no
disposi el contrari, aquest pot oposar-se al seu tractament quan hi hagi motius fonamentats i legı́tims
5. No és aplicable el que disposa l’apartat ante- relatius a una situació personal concreta. En aquest
rior quan, de manera expressa, una llei ho prevegi, supòsit, el responsable del fitxer ha d’excloure del
quan el tractament tingui finalitats històriques, es- tractament les dades relatives a l’afectat.
tadı́stiques o cientı́fiques, o quan sigui impossible Article 7. Dades especialment protegides
informar-ne l’interessat o exigeixi esforços despro1. D’acord amb el que estableix l’apartat 2 de
porcionats, a criteri de l’Agència de Protecció de
l’article 16 de la Constitució, ningú no pot ser obliDades o de l’organisme autonòmic equivalent, en
gat a declarar sobre la seva ideologia, religió o creconsideració al nombre d’interessats, a l’antiguitat ences.
de les dades i a les possibles mesures compensatòriQuan en relació amb aquestes dades es procees.
deixi a recollir el consentiment a què es refereix l’aAixı́ mateix, tampoc no regeix el que disposa l’apartat següent, s’ha d’advertir l’interessat respecte
partat anterior quan les dades procedeixin de fonts al seu dret a no donar-lo.
accessibles al públic i es destinin a l’activitat de pu2. Només amb el consentiment exprés i per esblicitat o prospecció comercial; en aquest cas, en
cada comunicació que s’adreci a l’interessat se l’ha crit de l’afectat poden ser objecte de tractament les
d’informar de l’origen de les dades i de la identitat dades de caràcter personal que revelin la ideologia,
56
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
l’afiliació sindical, la religió i les creences. S’exceptuen els fitxers mantinguts pels partits polı́tics, els
sindicats, les esglésies, les confessions o les comunitats religioses i associacions, les fundacions i altres
entitats sense ànim de lucre, amb finalitat polı́tica,
filosòfica, religiosa o sindical, quant a les dades relatives als seus associats o els seus membres, sens
perjudici que la cessió d’aquestes dades requereix
sempre el consentiment previ de l’afectat.
que disposa la legislació estatal o autonòmica sobre
sanitat.
6. No obstant el que disposen els apartats anteriors, poden ser objecte de tractament les dades de
caràcter personal a què es refereixen els apartats 2 i
3 d’aquest article quan aquest tractament sigui necessari per a la prevenció o per al diagnòstic mèdics,
la prestació d’assistència sanitària o de tractaments
mèdics o la gestió de serveis sanitaris, sempre que el
tractament de dades, l’efectuı̈ un professional sanitari subjecte al secret professional o una altra persona subjecta a una obligació equivalent de secret.
qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel
que fa a les dades i al deure de guardarles, obligacions que subsisteixen fins i tot després de finalitzar
les seves relacions amb el titular del fitxer o, si s’escau, amb el seu responsable.
Article 8. Dades relatives a la salut
b) Quan es tracti de dades recollides de fonts
accessibles al públic.
Article 9. Seguretat de les dades
1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de
caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal
i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tec3. Les dades de caràcter personal que facin renologia, la naturalesa de les dades emmagatzemades
ferència a l’origen racial, a la salut i a la vida sei els riscos a què estan exposats, tant si provenen de
xual només poden ser recollides, tractades i cedides
l’acció humana o del medi fı́sic o natural.
quan, per raons d’interès general, aixı́ ho disposi
2. No s’han de registrar dades de caràcter persouna llei o l’afectat hi consenti expressament.
nal en fitxers que no compleixin les condicions que
4. Queden prohibits els fitxers creats amb la
es determinin per via reglamentària en relació amb
finalitat exclusiva d’emmagatzemar dades de caràcla seva integritat i seguretat i a les dels centres de
ter personal que revelin la ideologia, l’afiliació sintractament, locals, equips, sistemes i programes.
dical, la religió, les creences, l’origen racial o ètnic,
3. S’han d’establir per reglament els requisits
o la vida sexual.
i les condicions que han de complir els fitxers i les
5. Les dades de caràcter personal relatives a la
persones que intervinguin en el tractament de les
comissió d’infraccions penals o administratives nodades a què es refereix l’article 7 d’aquesta Llei.
més poden ser incloses en fitxers de les administracions públiques competents en els casos que preveuen Article 10. Deure de secret
les normes reguladores respectives.
El responsable del fitxer i els qui intervinguin en
Article 11. Comunicació de dades
1. Les dades de caràcter personal objecte del
tractament només poden ser comunicades a un tercer per al compliment de finalitats directament relaTambé poden ser objecte de tractament les da- cionades amb les funcions legı́times del cedent i del
des a què es refereix el paràgraf anterior quan el cessionari amb el consentiment previ de l’interessat.
tractament sigui necessari per salvaguardar l’inte2. El consentiment que exigeix l’apartat anterior
rès vital de l’afectat o d’una altra persona, en cas
no
és
necessari:
que l’afectat estigui fı́sicament o jurı́dicament incapacitat per donar-ne el consentiment.
a) Quan la cessió està autoritzada en una llei.
Sens perjudici del que disposa l’article 11 pel que
fa a la cessió, les institucions i els centres sanitaris
públics i privats i els professionals corresponents poden procedir al tractament de les dades de caràcter
personal relatives a la salut de les persones que hi
acudeixin o hi hagin de ser tractades, d’acord amb el
c) Quan el tractament respongui a la lliure i legı́tima acceptació d’una relació jurı́dica el desenvolupament, el compliment i el control de la qual
impliqui necessàriament la connexió del tractament
esmentat amb fitxers de tercers. En aquest cas, la
57
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
comunicació només és legı́tima quan es limiti a la
finalitat que la justifiqui.
permeti acreditar-ne la concertació i el contingut, i
s’hi ha d’establir de manera expressa que l’encarregat del tractament només ha de tractar les dades d’acord amb les instruccions del responsable del
tractament, que no les pot aplicar ni utilitzar amb
una finalitat diferent de la que figuri en el contracte
esmentat, ni comunicar-les a altres persones, ni tan
sols per conservar-les.
d) Quan la comunicació que s’hagi d’efectuar
tingui com a destinatari el defensor del Poble, el
ministeri fiscal o els jutges o tribunals o el Tribunal de Comptes, en l’exercici de les funcions que
té atribuı̈des. Tampoc no cal el consentiment quan
la comunicació tingui com a destinatari institucions
autonòmiques amb funcions anàlogues al defensor
El contracte també ha d’estipular les mesures
del Poble o al Tribunal de Comptes.
de seguretat a què es refereix l’article 9 d’aquesta
e) Quan la cessió es produeixi entre administra- Llei que l’encarregat del tractament està obligat a
cions públiques i tingui com a objecte el tractament implementar.
posterior de les dades amb finalitats històriques, es3. Una vegada complerta la prestació contractadı́stiques o cientı́fiques.
tual, les dades de caràcter personal han de ser desf) Quan la cessió de dades de caràcter personal truı̈des o tornades al responsable del tractament, i
relatives a la salut sigui necessària per solucionar també qualsevol suport o document en què consti
una urgència que requereixi accedir a un fitxer o alguna dada de caràcter personal objecte del tracper fer els estudis epidemiològics en els termes que tament.
estableix la legislació sobre sanitat estatal o auto4. En cas que l’encarregat del tractament desnòmica.
tini les dades a una altra finalitat, les comuniqui
3. És nul el consentiment per a la comunicació o les utilitzi incomplint les estipulacions del conde les dades de caràcter personal a un tercer quan tracte, també ha de ser considerat responsable del
la informació que es proporcioni a l’interessat no li tractament, i ha de respondre de les infraccions en
permeti conèixer la finalitat a què destinen les da- què hagi incorregut personalment.
des la comunicació de les quals s’autoritza o el tipus TÍTOL III. Drets de les persones
d’activitat del receptor de la comunicació.
Article 13. Impugnació de valoracions
4. El consentiment per a la comunicació de les
1. Els ciutadans tenen dret a no estar sotmedades de caràcter personal també té caràcter revosos a una decisió amb efectes jurı́dics, sobre ells o
cable.
que els afecti de manera significativa, que es basi
5. El receptor de la comunicació de les dades de únicament en un tractament de dades destinades a
caràcter personal s’obliga, pel sol fet de la comuni- avaluar determinats aspectes de la seva personalicació, a l’observança de les disposicions d’aquesta tat.
Llei.
2. L’afectat pot impugnar els actes administra6. Si la comunicació s’efectua amb el procedi- tius o les decisions privades que impliquin una vament previ de dissociació, no és aplicable el que es- loració del seu comportament, que tinguin com a
tableixen els apartats anteriors.
únic fonament un tractament de dades de caràcter
personal
que ofereixi una definició de les seves caArticle 12. Accés a les dades per compte de
racterı́stiques
o de la seva personalitat.
tercers
3. En aquest cas, l’afectat té dret a obtenir in1. No es considera comunicació de dades l’accés
formació
del responsable del fitxer sobre els criteris
d’un tercer a les dades quan l’accés sigui necessade
valoració
i el programa utilitzats en el tractari per a la prestació d’un servei al responsable del
ment
que
va
servir
per adoptar la decisió en què va
tractament.
consistir l’acte.
2. La realització de tractaments per compte de
4. La valoració sobre el comportament dels ciutercers ha d’estar regulada en un contracte que ha
tadans,
basada en un tractament de dades, únicade constar per escrit o en alguna altra forma que
ment pot tenir valor probatori a petició de l’afectat.
58
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
Article 14. Dret de consulta al Registre General de Protecció de Dades
tractament ha de notificar la rectificació o la cancellació efectuada a qui s’hagin comunicat, en cas que
Qualsevol persona pot conèixer, recollint amb aquest últim mantingui el. tractament, que també
aquesta finalitat la informació oportuna al Regis- ha de procedir a la cancel lació.
tre General de Protecció de Dades, l’existència de
5. Les dades de caràcter personal han de ser contractaments de dades de caràcter personal, les seves servades durant els terminis que preveuen les disfinalitats i la identitat del responsable del tracta- posicions aplicables o, si s’escau, les relacions conment. El Registre general és de consulta pública i tractuals entre la persona o l’entitat responsable del
gratuı̈ta.
tractament i l’interessat.
Article 15. Dret d’accés
Article 17. Procediment d’oposició, accés,
.
1. L’interessat té dret a sol.licitar i obtenir gra- rectificació o cancel lació
tuı̈tament informació de les seves dades de caràcter
1. Els procediments per exercir el dret d’oposipersonal sotmeses a tractament, l’origen de les da- ció, accés, aixı́ com els de rectificació i cancel.lació
des i les comunicacions efectuades o que es prevegin han de ser establerts per reglament.
fer.
2. No s’ha d’exigir cap contraprestació per l’e2. La informació es pot obtenir mitjançant la xercici dels drets d’oposició, accés, rectificació o
mera consulta de les dades per mitjà de la visua- cancel.lació.
lització, o la indicació de les dades que són objecte
Article 18. Tutela dels drets
de tractament mitjançant escrit, còpia, telecòpia o
1. Les actuacions contràries al que disposa
fotocòpia, certificada o no, en forma llegible i intelaquesta
Llei poden ser objecte de reclamació pels
ligible, sense utilitzar claus o codis que requereixin
interessats
davant l’Agència de Protecció de Dades,
l’ús de dispositius mecànics especı́fics.
en la forma que es determini per reglament.
3. El dret d’accés a què es refereix aquest article
2. L’interessat al qual es denegui, totalment o
només pot ser exercit a intervals no inferiors a dotparcialment,
l’exercici dels drets d’oposició, accés,
ze mesos, llevat que l’interessat acrediti un interès
rectificació
o
cancel.lació, ho pot posar en coneixelegı́tim a aquest efecte, cas en què el poden exercir
ment
de
l’Agència
de Protecció de Dades o, si s’esabans.
cau,
de
l’organisme
competent de cada comunitat
Article 16. Dret de rectificació i cancel.lació autònoma, que s’ha d’assegurar de la procedència o
1. El responsable del tractament té l’obligació la improcedència de la denegació.
de fer efectiu el dret de rectificació o cancel.lació de
3. El termini màxim en què s’ha de dictar la rel’interessat en el termini de deu dies.
solució expressa de tutela de drets és de sis mesos.
2. Han de ser rectificades o cancel.lades, si s’es4. Contra les resolucions de l’Agència de Procau, les dades de caràcter personal el tractament de
tecció de Dades es pot presentar recurs contenciós
les quals no s’ajusti al que disposa aquesta Llei i,
administratiu.
en particular, quan aquestes dades siguin inexactes
Article 19. Dret a indemnització
o incompletes.
1. Els interessats que, com a conseqüència de
3. La cancel.lació dóna lloc al bloqueig de les
l’incompliment
del que disposa aquesta Llei pel resdades, i només s’han de conservar a disposició de
ponsable
o
l’encarregat
del tractament, pateixin
les administracions públiques, els jutges i els tribudany
o
lesió
en
els
seus
béns
o drets tenen dret a ser
nals, per a l’atenció de les possibles responsabiliindemnitzats.
tats nascudes del tractament, durant el termini de
prescripció d’aquestes responsabilitats. Complert
2. Quan es tracti de fitxers de titularitat públiaquest termini, s’ha de procedir a la supressió.
ca, la responsabilitat s’exigeix d’acord amb la legis4. Si les dades rectificades o cancel.lades han lació reguladora del règim de responsabilitat de les
estat comunicades prèviament, el responsable del administracions públiques.
59
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
3. En el cas dels fitxers de titularitat privada, cies que tractin matèries diferents, excepte quan la
l’acció s’ha d’exercir davant els òrgans de la juris- comunicació hagi estat prevista per les disposicions
dicció ordinària.
de creació del fitxer o per una disposició de rang
superior que en reguli l’ús 1 , o quan la comunicaTÍTOL IV. Disposicions sectorials
ció tingui com a objecte el tractament posterior de
Capı́tol I. Fitxers de titularitat pública
les dades amb finalitats històriques, estadı́stiques o
Article 20. Creació, modificació o supressió cientı́fiques.1
1. La creació, la modificació o la supressió dels
fitxers de les administracions públiques només es
poden fer per mitjà d’una disposició general publicada en el Butlletı́ Oficial de l’Estat o en el diari
oficial corresponent.
2. Les disposicions de creació o de modificació
de fitxers han d’indicar:
a) La finalitat del fitxer i els usos previstos.
b) Les persones o els col.lectius sobre els quals
es pretén obtenir dades de caràcter personal o que
estiguin obligats a subministrar- les.
c) El procediment de recollida de les dades de
caràcter personal.
d) L’estructura bàsica del fitxer i la descripció
dels tipus de dades de caràcter personal incloses en
el mateix fitxer.
e) Les cessions de dades de caràcter personal i, si
s’escau, les transferències de dades que es prevegin
a paı̈sos tercers.
f) Els òrgans de les administracions responsables
del fitxer.
g) Els serveis o les unitats davant els quals es
puguin exercir els drets d’accés, rectificació, cancellació i oposició.
h) Les mesures de seguretat amb indicació del
nivell bàsic, mitjà o alt exigible.
3. En les disposicions que es dictin per a la supressió dels fitxers, se n’ha d’establir el destı́ o, si
s’escau, les previsions que s’adoptin per destruir-los.
Article 21. Comunicació de dades entre administracions públiques
2. En tot cas, poden ser objecte de comunicació les dades de caràcter personal que una administració pública obtingui o elabori amb destinació a
una altra. 3. No obstant el que estableix l’article
11.2.b), la comunicació de dades recollides de fonts
accessibles al públic no es pot efectuar a fitxers de
titularitat privada, si no és amb el consentiment de
l’interessat o quan una llei prevegi una altra cosa.
4. En els supòsits que preveuen els apartats 1 i
2 d’aquest article no és necessari el consentiment
de l’afectat a què es refereix l’article 11 d’aquesta
Llei. Article 22. Fitxers de les Forces i els Cossos
de Seguretat 1. Els fitxers creats per les Forces i
els Cossos de Seguretat que continguin dades de caràcter personal que, pel fet d’haver-se recollit per
a finalitats administratives, han de ser objecte de
registre permanent, estan subjectes al règim general d’aquesta Llei. 2. La recollida i el tractament
per a finalitats policials de dades de caràcter personal per les Forces i els Cossos de Seguretat sense el
consentiment de les persones afectades estan limitats a aquells supòsits i aquelles categories de dades
que siguin necessaris per a la prevenció d’un perill
real per a la seguretat pública o per a la repressió
d’infraccions penals, i han de ser emmagatzemades
en fitxers especı́fics establerts a aquest efecte, que
s’han de classificar per categories en funció del grau
de fiabilitat. 3. La recollida i el tractament per
les Forces i els Cossos de Seguretat de les dades a
què fan referència els apartats 2 i 3 de l’article 7
es poden fer exclusivament en els supòsits en què
sigui absolutament necessari per a les finalitats d’una investigació concreta, sens perjudici del control
de legalitat de l’actuació administrativa o de l’obligació de resoldre les pretensions formulades, si
s’escau, pels interessats que corresponen als òrgans
jurisdiccionals.
1. Les dades de caràcter personal recollides o
elaborades per les administracions públiques per a
4. Les dades personals registrades amb finalil’exercici de les seves atribucions no han de ser co- tats policials s’han de cancel ·lar quan no siguin
municades a altres administracions públiques per a necessàries per a les investigacions que n’hagin mol’exercici de competències diferents o de competèn1 L’incı́s
en cursiva ha estat declarat inconstitucional per la STC 292/2000, de 30 de novembre (BOE núm. 4, de 4.1.2001)
60
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
tivat l’emmagatzematge. A aquests efectes, s’ha de
considerar especialment l’edat de l’afectat i el caràcter de les dades emmagatzemades, la necessitat
de mantenir les dades fins a la conclusió d’una investigació o un procediment concret, la resolució judicial ferma, especialment l’absolutòria, l’indult, la
rehabilitació i la prescripció de responsabilitat. Article 23. Excepcions als drets d’accés, rectificació
i cancel.lació 1. Els responsables dels fitxers que
continguin les dades a què es refereixen els apartats
2, 3 i 4 de l’article anterior poden denegar l’accés,
la rectificació o la cancel.lació en funció dels perills
que es puguin derivar per a la defensa de l’Estat
o la seguretat pública, la protecció dels drets i les
llibertats de tercers o les necessitats de les investigacions que s’estiguin duent a terme. 2. Els responsables dels fitxers de la Hisenda Pública també
poden denegar l’exercici dels drets a què es refereix
l’apartat anterior quan això obstaculitzi les actuacions administratives tendents a assegurar el compliment de les obligacions tributàries i, en tot cas,
quan l’afectat estigui sent objecte d’actuacions inspectores. 3. L’afectat al qual es denegui, totalment
o parcialment, l’exercici dels drets esmentats en els
apartats anteriors ho pot posar en coneixement del
director de l’Agència de Protecció de Dades o de
l’organisme competent de cada comunitat autònoma en el cas de fitxers mantinguts per cossos de
policia propis d’aquestes comunitats, o per les administracions tributàries autonòmiques, els quals s’han d’assegurar de la procedència o improcedència
de la denegació. Article 24. Altres excepcions als
drets dels afectats 1. El que disposen els apartats
1 i 2 de l’article 5 no és aplicable a la recollida de
dades quan el fet d’informar-ne l’afectat impedeixi
o dificulti greument el compliment de les funcions
de control i verificació de les administracions públiques o quan afecti la Defensa Nacional, la seguretat pública o la persecució d’infraccions penals o
administratives. 2. El que disposen l’article 15 i
l’apartat 1 de l’article 16 no és aplicable si, ponderats els interessos en presència, resulta que els drets
que aquests preceptes concedeixen a l’afectat han de
cedir per raons d’interès públic o davant interessos
de tercers més dignes de protecció. Si l’òrgan administratiu responsable del fitxer invoca el que disposa
aquest apartat, ha de dictar una resolució motiva-
da i instruir l’afectat del dret que l’assisteix a posar
la negativa en coneixement del director de l’Agència de Protecció de Dades o, si s’escau, de l’òrgan
equivalent de les comunitats autònomes.2
Capı́tol II. Fitxers de titularitat privada
Article 25. Creació
Es poden crear fitxers de titularitat privada que
continguin dades de caràcter personal quan sigui necessari per aconseguir l’activitat o l’objecte legı́tims
de la persona, l’empresa o l’entitat titular i es respectin les garanties que aquesta Llei estableix per a
la protecció de les persones.
Article 26. Notificació i inscripció registral
1. Qualsevol persona o entitat que procedeixi a
la creació de fitxers de dades de caràcter personal ho
ha de notificar prèviament a l’Agència de Protecció
de Dades.
2. Per la via reglamentària s’ha de procedir a la
regulació detallada dels diferents aspectes que ha de
contenir la notificació, entre els quals han de figurar
necessàriament el responsable del fitxer, la finalitat,
la ubicació, el tipus de dades de caràcter personal
que conté, les mesures de seguretat, amb indicació
del nivell bàsic, mitjà o alt exigible i les cessions de
dades de caràcter personal que es prevegin realitzar i, si s’escau, les transferències de dades que es
prevegin a paı̈sos tercers.
3. S’han de comunicar a l’Agència de Protecció
de Dades els canvis que es produeixin en la finalitat
del fitxer automatitzat, en el seu responsable i en
l’adreça de la seva ubicació.
4. El Registre General de Protecció de Dades ha
d’inscriure el fitxer si la notificació s’ajusta als requisits exigibles. En cas contrari pot demanar que
es completin les dades que faltin o que s’esmenin.
5. Transcorregut un mes des de la presentació
de la sol.licitud d’inscripció sense que l’Agència de
Protecció de Dades hagi emès resolució sobre la sollicitud, s’entén inscrit el fitxer automatitzat amb
caràcter general.
Article 27. Comunicació de la cessió de dades
1. El responsable del fitxer, en el moment en què
s’efectuı̈ la primera cessió de dades, ha d’informar-
2 Els incisos en cursiva han estat declarats inconstitucionals per la STC 292/2000, de 30 de novembre (BOE núm. 4, de
4.1.2001).
61
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
ne els afectats, indicanthi, també, la finalitat del Article 29. Prestació de serveis d’informació
fitxer, la naturalesa de les dades que han estat ce- sobre solvència patrimonial i crèdit
dides i el nom i l’adreça del cessionari.
1. Els qui es dediquin a la prestació de serveis
2. L’obligació que estableix l’apartat anterior no d’informació sobre la solvència patrimonial i el crèexisteix en el supòsit que preveuen els apartats 2, dit només poden tractar dades de caràcter personal
lletres c), d), e) i 6 de l’article 11, ni quan la cessió obtingudes dels registres i les fonts accessibles al
estigui imposada per llei.
públic establerts a aquest efecte o procedents d’inArticle 28. Dades incloses en les fonts d’ac- formacions facilitades per l’interessat o amb el seu
consentiment.
cés públic
2. També es poden tractar dades de caràcter
personal relatives al compliment o l’incompliment
d’obligacions dineràries facilitades pel creditor o per
qui actuı̈ pel seu compte o interès. En aquests casos, s’ha de notificar als interessats pel que fa als
que hagin registrat dades de caràcter personal en
fitxers, en el termini de trenta dies des del registre esmentat, una referència dels que hi hagin estat
inclosos i se’ls ha d’informar del seu dret a recollir
informació de tots ells, en els termes que estableix
2. Els interessats tenen dret que l’entitat res- aquesta Llei.
ponsable del manteniment dels llistats dels col.legis
3. En els supòsits a què es refereixen els dos
professionals indiqui gratuı̈tament que les seves daapartats
anteriors, quan l’interessat ho sol.liciti, el
des personals no es poden utilitzar per a finalitats
responsable
del tractament li ha de comunicar les
de publicitat o prospecció comercial. Els interessats
dades,
i
també
les avaluacions i les apreciacions que
tenen dret a exigir gratuı̈tament l’exclusió de la tosobre ell li hagin estat comunicades durant els últalitat de les seves dades personals que constin en el
cens pro183 mocional per les entitats encarregades tims sis mesos, i el nom i l’adreça de la persona o
l’entitat a qui s’hagin revelat les dades.
del manteniment d’aquestes fonts.
4. Només es poden registrar i cedir les dades
L’atenció a la sol.licitud d’exclusió de la inforde caràcter personal que siguin determinants per
mació innecessària o d’inclusió de l’objecció a l’ús
de les dades per a finalitats de publicitat o venda a enjudiciar la solvència econòmica dels interessats i
distància s’ha de fer en el termini de deu dies pel que no es refereixin, quan siguin adverses, a més de
que fa a les informacions que s’efectuı̈n mitjançant sis anys, sempre que responguin amb veracitat a la
consulta o comunicació telemàtica i en l’edició se- situació actual dels interessats.
1. Les dades personals que figurin en el cens promocional, o les llistes de persones que pertanyin a
grups de professionals a què es refereix l’article 3.j)
d’aquesta Llei s’han de limitar a les que siguin estrictament necessàries per complir la finalitat a què
es destina cada llistat. La inclusió de dades addicionals per les entitats responsables del manteniment
d’aquestes fonts requereix el consentiment de l’interessat, que pot ser revocat en qualsevol moment.
güent del llistat sigui quin sigui el suport en què
s’editi.
Article 30. Tractaments amb finalitats de publicitat i de prospecció comercial
3. Les fonts d’accés públic que s’editin en forma
1. Els qui es dediquin a la recopilació d’adreces,
de llibre o algun altre suport fı́sic perden el caràcter repartiment de documents, publicitat, venda a disde font accessible amb la nova edició que es publi- tància, prospecció comercial i altres activitats anàqui.
logues poden utilitzar els noms, les adreces o altres
En cas que s’obtingui telemàticament una còpia dades de caràcter personal quan figurin en fonts acde la llista en format electrònic, aquesta perd el ca- cessibles al públic o quan hagin estat facilitats pels
ràcter de font d’accés públic en el termini d’un any, mateixos interessats o s’hagin obtingut amb el seu
consentiment.
a comptar des del moment d’obtenir-la.
2. Quan les dades procedeixin de fonts accessi4. Les dades que figurin en les guies de serveis de
bles
al públic, de conformitat amb el que estableix el
telecomunicacions disponibles al públic es regeixen
paràgraf
segon de l’article 5.5 d’aquesta Llei, en caper la seva normativa especı́fica.
da comunicació que s’adreci a l’interessat s’ha d’in62
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
formar de l’origen de les dades i de la identitat del programes o equips, obligacions dels implicats en el
responsable del tractament, aixı́ com dels drets que tractament i ús de la informació personal, aixı́ com
l’assisteixen.
les garanties, en el seu àmbit, per a l’exercici dels
3. En l’exercici del dret d’accés, els interessats drets de les persones, amb ple respecte als principis
tenen dret a conèixer l’origen de les seves dades de i les disposicions d’aquesta Llei i les seves normes
caràcter personal, aixı́ com de la resta d’informació de desplegament.
a què es refereix l’article 15.
4. Els interessats tenen el dret d’oposar-se, amb
la petició prèvia i sense despeses, al tractament de
les dades que els concerneixin, cas en el qual han
de ser donats de baixa del tractament i s’han de
cancel.lar les informacions que sobre els interessats
figurin en el tractament, amb la simple sol.licitud.
Article 31. Cens promocional
1. Els qui vulguin exercir de manera permanent
o esporàdica l’activitat de recopilació d’adreces, repartiment de documents, publicitat, venda a distància, prospecció comercial o altres activitats anàlogues, poden sol.licitar a l’Institut Nacional d’Estadı́stica o als òrgans equivalents de les comunitats
autònomes una còpia del cens promocional, format
amb les dades de nom, cognoms i domicili que consten en el cens electoral.
2. Aquests codis poden contenir o no regles operacionals detallades de cada sistema particular i estàndards tècnics d’aplicació. En el cas que aquestes
regles o estàndards no s’incorporin directament al
codi, les instruccions o les ordres que els estableixin
han de respectar els principis que fixi el codi.
3. Els codis tipus tenen el caràcter de codis deontològics o de bona pràctica professional, i han
de ser dipositats o inscrits en el Registre general
de protecció de dades i, quan correspongui, en els
creats a aquests efectes per les comunitats autònomes, d’acord amb l’article 41. El Registre General
de Protecció de Dades pot denegar-ne la inscripció
quan consideri que no s’ajusta a les dis186 posicions legals i reglamentàries sobre la matèria, i, en
aquest cas, el director de l’Agència de Protecció de
Dades ha de requerir els sol.licitants perquè facin les
correccions oportunes.
2. L’ús de cada llista de cens promocional té un TÍTOL V. Moviment internacional de dades
termini de vigència d’un any. Transcorregut aquest
termini, la llista perd el seu caràcter de font d’accés Article 33. Norma general
públic.
1. No es poden fer transferències temporals ni
definitives
de dades de caràcter personal que hagin
3. Els procediments mitjançant els quals els
estat
objecte
de tractament o hagin estat recolli.
interessats poden sol licitar no constar en el cens
des
per
sotmetre-les
al tractament esmentat amb
promocional s’han de regular per reglament. Entre
destinació
a
paı̈sos
que
no proporcionin un nivell
aquests procediments, que han de ser gratuı̈ts per
de
protecció
equiparable
al que presta aquesta Llei,
als interessats, s’ha d’incloure el document d’empallevat que, a més a més d’haver-se observat el que
dronament. Trimestralment s’ha d’editar una llista
actualitzada del cens promocional en què s’exclo- disposa aquesta Llei, s’obtingui l’autorització prèguin els noms i les adreces dels que aixı́ ho hagin via del director de l’Agència de Protecció de Dades,
que només la pot atorgar si s’obtenen garanties adesol.licitat.
quades.
4. Es pot exigir una contraprestació per facilitar
2. El caràcter adequat del nivell de protecció
la llista en suport informàtic.
que ofereix el paı́s de destinació, l’avalua l’Agència
Article 32. Codis tipus
de Protecció de Dades atenent totes les circumstàn1. Mitjançant acords sectorials, convenis ad- cies que concorrin en la transferència o la categoria
ministratius o decisions d’empresa, els responsa- de transferència de dades. En particular, cal tenir
bles de tractaments de titularitat pública i privada, en consideració la naturalesa de les dades, la finaaixı́ com les organitzacions en què s’agrupin, po- litat i la durada del tractament o dels tractaments
den formular codis tipus que estableixin les condi- previstos, el paı́s d’origen i el paı́s de destinació ficions d’organització, règim de funcionament, proce- nal, les normes de dret, generals o sectorials, vigents
diments aplicables, normes de seguretat de l’entorn, en el paı́s tercer de què es tracti, el contingut dels
63
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
informes de la Comissió de la Unió Europea, aixı́ ció un Estat membre de la Unió Europea, o un estat
com les normes professionals i les mesures de segu- respecte del qual la Comissió de les Comunitats Euretat en vigor en aquests paı̈sos.
ropees, en l’exercici de les seves competències, hagi
declarat que garanteix un nivell de protecció adeArticle 34. Excepcions
quat.
El que disposa l’article anterior no és aplicable:
TÍTOL VI. Agència de Protecció de Dades3
a) Quan la transferència internacional de dades
de caràcter personal resulti de l’aplicació de tractats Article 35. Naturalesa i règim jurı́dic
o convenis en què Espanya sigui part.
1. L’Agència de Protecció de Dades és un ens de
dret
públic, amb personalitat jurı́dica pròpia i pleb) Quan la transferència es faci a efectes de presna
capacitat
pública i privada, que actua amb plena
.
tar o sol licitar auxili judicial internacional.
independència de les administracions públiques en
c) Quan la transferència sigui necessària per a l’exercici de les seves funcions. Es regeix pel que
la prevenció o per al diagnòstic mèdics, la presta- disposen aquesta Llei i un estatut propi, que ha de
ció d’assistència sanitària o tractament mèdics o la ser aprovat pel Govern.
gestió de serveis sanitaris.
2. En l’exercici de les seves funcions públiques,
d) Quan es refereixi a transferències dineràries i en defecte del que disposin aquesta Llei i les sed’acord amb la legislació especı́fica.
ves disposicions de desplegament, l’Agència de Proe) Quan l’afectat hagi donat el seu consentiment tecció de Dades ha d’actuar d’acord amb la Llei
30/1992, de 26 de novembre, de règim jurı́dic de les
inequı́voc a la transferència prevista.
administracions públiques i del procediment admif) Quan la transferència sigui necessària per a nistratiu comú.
l’execució d’un contracte entre l’afectat i el responEn les seves adquisicions patrimonials i contracsable del fitxer o per a l’adopció de mesures precontació
està subjecta al dret privat.
tractuals adoptades a petició de l’afectat.
3. Els llocs de treball dels òrgans i serveis que
g) Quan la transferència sigui necessària per a
integrin
l’Agència de Protecció de Dades han de ser
la subscripció o l’execució d’un contracte subscrit o
ocupats
per funcionaris de les administracions púper subscriure, en interès de l’afectat, pel responsabliques
i
per personal contractat a aquest efecte,
ble del fitxer i un tercer.
segons la naturalesa de les funcions assignades a
h) Quan la transferència sigui necessària o le- cada lloc de treball. Aquest personal està obligat
galment exigida per salvaguardar un interès públic. a guardar secret de les dades de caràcter personal
Té aquesta consideració la transferència sol.licitada que conegui en l’exercici de la seva funció.
per una administració fiscal o duanera per al com4. L’Agència de Protecció de Dades ha de displiment de les seves competències.
posar, per al compliment de les seves finalitats, dels
i) Quan la transferència sigui necessària per al béns i mitjans econòmics següents:
reconeixement, l’exercici o la defensa d’un dret en
a) Les assignacions que s’estableixin anualment
un procés judicial.
amb càrrec als pressupostos generals de l’Estat.
j) Quan la transferència s’efectuı̈, a petició d’ub) Els béns i els valors que constitueixin el seu
na persona amb interès legı́tim, des d’un registre
públic i aquella estigui d’acord amb la finalitat del patrimoni, aixı́ com els productes i les rendes del
mateix patrimoni.
registre.
k) Quan la transferència tingui com a destina-
c) Qualsevol altre que legalment li pugui ser atri-
3 Cal tenir en compte el contingut de l’article 79 de la Llei 62/2003, de 30 de desembre, de mesures fiscals, administratives
i de l’ordre social (BOE núm. 313, de 31.12.2003, edició catalana en el suplement núm. 3, de 31.1.2004),que es reprodueix
a continuació: L’Agència de Protecció de Dades passa a denominar-se Agència Espanyola de Protecció de Dades. Les
referències a l’Agència de Protecció de Dades realitzades en la Llei orgànica 15/1999, de 13 de desembre, de protecció de
dades de caràcter personal, aixı́ com en les normes a què es refereix la seva disposició transitòria tercera i qualssevol altres
que estiguin en vigor s’han d’entendre alitzades a l’Agència Espanyola de Protecció de Dades.
64
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
buı̈t.
petències d’altres òrgans, les instruccions necessàries per adequar els tractaments als principis d’a5. L’Agència de Protecció de Dades ha d’elaborar i aprovar amb caràcter anual el corresponent questa Llei.
avantprojecte de pressupost i l’ha de remetre al God) Atendre les peticions i les reclamacions forvern perquè sigui integrat, amb la independència mulades per les persones afectades.
deguda, en els pressupostos generals de l’Estat.
e) Proporcionar informació a les persones resArticle 36. El director
pecte als seus drets en matèria de tractament de les
1. El director de l’Agència de Protecció de Da- dades de caràcter personal.
des dirigeix l’Agència i n’exerceix la representació.
f) Requerir als responsables i els encarregats dels
És nomenat, d’entre els qui componen el Consell tractaments, amb l’audiència prèvia d’aquests, l’aConsultiu, mitjançant reial decret, per un perı́ode dopció de les mesures necessàries per a l’adequació
de quatre anys.
del tractament de dades a les disposicions d’aquesordenar la cessació dels tracta2. Exerceix les funcions amb plena independèn- ta Llei i, si s’escau,
ments i la cancel.lació dels fitxers, quan no s’ajusti
cia i objectivitat, i no està subjecte a cap instrucció
a les seves disposicions.
en l’exercici de les seves funcions.
g) Exercir la potestat sancionadora en els termes
En tot cas, el director ha d’escoltar el Consell
que
preveu el tı́tol VII d’aquesta Llei.
Consultiu en les propostes que li faci en l’exercici
de les seves funcions.
h) Emetre informe, amb caràcter preceptiu, sobre
els projectes de disposicions generals que des3. El director de l’Agència de Protecció de Dapleguin
aquesta Llei.
des només cessa abans de l’expiració del perı́ode a
què es refereix l’apartat 1, a petició pròpia o per
separació acordada pel Govern, amb la instrucció
prèvia d’un expedient, en el qual han de ser escoltats necessàriament els altres membres del Consell
Consultiu, per incompliment greu de les seves obligacions, incapacitat sobrevinguda per a l’exercici de
la seva funció, incompatibilitat o condemna per delicte dolós.
4. El director de l’Agència de Protecció de Dades té la consideració d’alt càrrec i queda en la situació de serveis especials si anteriorment exercia una
funció pública. En cas que sigui nomenat per al
càrrec algun membre de la carrera judicial o fiscal,
també passa a la situació administrativa de serveis
especials.
Article 37. Funcions
i) Recollir dels responsables dels fitxers tota l’ajuda i la informació que consideri necessària per a
l’exercici de les seves funcions.
j) Vetllar per la publicitat de l’existència dels fitxers de dades amb caràcter personal; a aquest efecte, ha de publicar periòdicament una relació dels
fitxers esmentats amb la informació addicional que
el director de l’Agència determini.
k) Redactar una memòria anual i remetre-la al
Ministeri de Justı́cia.
l) Exercir el control i adoptar les autoritzacions
que siguin procedents en relació amb els moviments
internacionals de dades, aixı́ com exercir les funcions de cooperació internacional en matèria de protecció de dades personals.
m) Vetllar pel compliment de les disposicions
1. Són funcions de l’Agència de Protecció de
que la Llei de la funció estadı́stica pública estaDades:
bleix respecte a la recollida de dades estadı́stiques
a) Vetllar pel compliment de la legislació sobre i al secret estadı́stic, aixı́ com dictar les instrucciprotecció de dades i controlar-ne l’aplicació, espe- ons necessàries, dictaminar sobre les condicions de
cialment pel que fa als drets d’informació, accés, seguretat dels fitxers constituı̈ts amb finalitats exrectificació, oposició i cancel.lació de dades.
clusivament estadı́stiques i exercir la potestat a la
b) Emetre les autoritzacions que preveuen la Llei qual es refereix l’article 46.
o les seves disposicions reglamentàries.
n) Totes les altres que li siguin atribuı̈des per
normes
legals o reglamentàries.
c) Dictar, si s’escau, i sens perjudici de les com65
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
2. Les resolucions de l’Agència Espanyola de
Protecció de Da- des s’han de fer públiques, una
vegada hagin estat notificades als interessats. La
publicació s’ha de fer preferentment a través de mitjans informàtics o telemàtics.
per les normes reglamentàries que s’estableixin a
aquest efecte.
Article 39. El Registre General de Protecció
de Dades
1. El Registre General de Protecció de Dades és
Reglamentàriament es poden establir els termes
un òrgan integrat a l’Agència de Protecció de Daen què es dugui a terme la publicitat de les resoludes.
cions esmentades.
2. Són objecte d’inscripció en el Registre GeneEl que estableixen els paràgrafs anteriors no és
ral de Protecció de Dades:
aplicable a les resolucions referents a la inscripció
a) Els fitxers de què siguin titulars les adminisd’un fitxer o tractament en el Registre general de
protecció de dades ni a aquelles per a les quals s’- tracions públiques.
hi resolgui la inscripció dels codis tipus, que regula
b) Els fitxers de titularitat privada.
l’article 32 d’aquesta Llei orgànica.4
c) Les autoritzacions a què es refereix aquesta
Article 38. Consell Consultiu
Llei.
El director de l’Agència de Protecció de Dades
d) Els codis tipus a què es refereix l’article 32
està assessorat per un Consell Consultiu compost d’aquesta Llei.
pels membres següents:
e) Les dades relatives als fitxers que siguin necesUn diputat, proposat pel Congrés dels Diputats. sàries per a l’exercici dels drets d’informació, accés,
rectificació, cancel.lació i oposició.
Un senador, proposat pel Senat.
3. Per via reglamentària s’ha de regular el proceUn representant de l’Administració central,
diment d’inscripció dels fitxers, tant de titularitat
designat pel Govern.
pública com de titularitat privada, en el Registre
Un representant de l’Administració local, propoGeneral de Protecció de Dades, el contingut de la
sat per la Federació Espanyola de Municipis i Pro- inscripció, la seva modificació, la cancel.lació, les revı́ncies.
clamacions i els recursos contra les resolucions corUn membre de la Reial Acadèmia de la Història, responents i altres aspectes pertinents.
proposat per aquesta.
Article 40. Potestat d’inspecció
Un expert en la matèria, proposat pel Consell
1. Les autoritats de control poden inspeccionar
Superior d’Universitats.
els fitxers a què fa referència aquesta Llei i recollir
Un representant dels usuaris i consumidors, se- tota la informació que requereixin per al complileccionat de la manera que es prevegi per reglament. ment de les seves comeses.
Un representant de cada comunitat autònoma
A aquest efecte, poden sol.licitar l’exhibició o
que hagi creat una agència de protecció de dades
en el seu àmbit territorial, proposat d’acord amb el
procediment que estableixi la comunitat autònoma
respectiva.
l’enviament de documents i dades, i examinar-los
en el lloc en què estiguin dipositats, aixı́ com inspeccionar els equips fı́sics i lògics utilitzats per al
tractament de les dades, i accedir als locals on esti.
Un representant del sector de fitxers privats, per guin instal lats.
a la proposta del qual s’ha de seguir el procediment
2. Els funcionaris que exerceixin la inspecció a
que es reguli per reglament.
què es refereix l’apartat anterior tenen la consideEl funcionament del Consell Consultiu es regeix ració d’autoritat pública en l’exercici de les seves
4 Apartat 2 afegit per l’article 82.1 de la Llei 62/2003, de 30 de desembre, de mesures fiscals, administratives i de l’ordre
social (BOE núm. 313, de 31.12.2003, edició catalana en el suplement núm. 3, de 31.1.2004). En relació amb aquest article,
vegeu la Instrucció 1/2004, de 22 de desembre, de l’Agència Espanyola de Protecció de Dades sobre publicació de les seves
Resolucions (BOE núm. 4, de 5.1.2005).
66
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
comeses.
nistració corresponent que adopti les mesures corEstan obligats a guardar secret sobre les infor- rectores que determini en el termini que es fixi exmacions que co193 neguin en l’exercici de les funci- pressament en el requeriment.
ons esmentades, fins i tot després d’haver-ne cessat.
2. Si l’Administració pública corresponent no
compleix
el requeriment formulat, el director de l’AArticle 41. Òrgans corresponents de les cogència
de
Protecció de Dades pot impugnar la resomunitats autònomes
lució adoptada per aquella Administració.
1. Les funcions de l’Agència de Protecció de Da5
des que regula l’article 37, excepte les esmentades TÍTOL VII. Infraccions i sancions
en els apartats j), k) i l), i en els apartats f) i g) pel Article 43. Responsables
que fa a les transferències internacionals de dades,
1. Els responsables dels fitxers i els encarregats
aixı́ com els articles 46 i 49, en relació amb les se- dels tractaments estan subjectes al règim sancionaves competències especı́fiques han de ser exercides,
dor que estableix aquesta Llei.
quan afectin fitxers de dades de caràcter personal
2. Quan es tracti de fitxers dels quals siguin rescreats o gestionats per les comunitats autònomes
ponsables
les administracions públiques cal ateniri per l’Administració local del seu àmbit territorise,
pel
que
fa al procediment i les sancions, al que
al, pels òrgans corresponents de cada comunitat,
disposa
l’article
46, apartat 2.
que tenen la consideració d’autoritats de control,
als quals han de garantir plena independència i ob- Article 44. Tipus d’infraccions
jectivitat en l’exercici de la seva comesa.
1. Les infraccions es qualifiquen de lleus, greus
2. Les comunitats autònomes poden crear i o molt greus.
mantenir els seus propis registres de fitxers per a
2. Són infraccions lleus:
l’exercici de les competències que se’ls reconeix sobre els fitxers.
a) No atendre, per motius formals, la sol.licitud
.
3. El director de l’Agència de Protecció de Da- de l’interessat de rectificació o cancel lació de les dades pot convocar regularment els òrgans correspo- des personals objecte de tractament quan legalment
nents de les comunitats autònomes a efectes de coo- sigui procedent.
peració institucional i coordinació de criteris o prob) No proporcionar la informació que sol.liciti
cediments d’actuació. El director de l’Agència de l’Agència de Protecció de Dades en l’exercici de les
Protecció de Dades i els òrgans corresponents de les competències que té atribuı̈des legalment, en relacomunitats autònomes poden sol.licitar-se mútua- ció amb aspectes no substantius de la protecció de
ment la informació necessària per al compliment de dades.
les seves funcions.
c) No sol.licitar la inscripció del fitxer de daArticle 42. Fitxers de les comunitats autòno- des de caràcter personal en el Registre General de
mes en matèria de la seva competència exclu- Protecció de Dades, quan no sigui constitutiu d’insiva
fracció greu.
1. Quan el director de l’Agència de Protecció
d) Recollir dades de caràcter personal dels made Dades constati que el manteniment o l’ús d’un teixos afectats sense proporcionar-los la informació
determinat fitxer de les comunitats autònomes con- que assenyala l’article 5 d’aquesta Llei.
travé a algun precepte d’aquesta Llei en matèria de
e) Incomplir el deure de secret que estableix l’arla seva competència exclusiva pot requerir a l’Admi5 La disposició addicional vuitena, apartat tres, de la Llei 59/2003, de 19 de desembre, de signatura electrònica (BOE
núm. 304, de 20.12.2003, edició catalana en el suplement núm. 1, d’1.1.2004), modifica el segon paràgraf de l’apartat 1 de
l’article 43 de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic, que queda
redactat de la manera següent:No obstant això, la imposició de sancions per incompliment de les resolucions dictades pels
òrgans competents en funció de la matèria o entitat de què es tracti a què es refereixen els paràgrafs a) i b) de l’article 38.2
d’aquesta Llei correspon a l’òrgan que va dictar la resolució incomplerta. Igualment, correspon a l’Agència de Protecció de
Dades imposar sancions per la comissió de les infraccions tipificades als articles 38.3 c), d) i i) i 38.4 d), g) i h) d’aquesta
Llei.
67
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
ticle 10 d’aquesta Llei, llevat que constitueixi infrac- ves disposicions de desplegament, i no proporcionar
ció greu.
a l’Agència en el termini escaient tots els documents
i les informacions que hagi de rebre o siguin reque3. Són infraccions greus:
rits per aquell a aquests efectes.
a) Crear fitxers de titularitat pública o iniciar
j) L’obstrucció de l’exercici de la funció inspecla recollida de dades de caràcter personal per als
tora.
k) No inscriure el fitxer de dades de caràcter
mateixos fitxers, sense l’autorització de disposició
personal
al Registre General de Protecció Dades,
general, publicada en el Butlletı́ Oficial de l’Estat o
quan
hagi
estat requerit per fer-ho pel director de
el diari oficial corresponent.
l’Agència de Protecció de Dades. l) Incomplir el
b) Crear fitxers de titularitat privada o iniciar deure d’informació que estableixen els articles 5, 28
la recollida de dades de caràcter personal per als i 29 d’aquesta Llei, quan les dades hagin estat recomateixos fitxers amb finalitats diferents de les que llides d’una persona diferent de l’afectat.
constitueixen l’objecte legı́tim de l’empresa o enti4. Són infraccions molt greus:
tat.
a) La recollida de dades en forma enganyosa i
c) Recollir dades de caràcter personal sense obfraudulenta.
tenir el consentiment exprés de les persones afectades, en els casos en què aquest sigui exigible.
b) La comunicació o la cessió de les dades de
caràcter
personal, llevat dels casos en què estigui
d) Tractar les dades de caràcter personal o
permès.
utilitzar-les posteriorment amb conculcació dels
principis i les garanties que estableix aquesta Llei o
c) Recollir i tractar les dades de caràcter persoamb incompliment dels preceptes de protecció que nal a què es refereix l’apartat 2 de l’article 7 quan no
imposin les disposicions reglamentàries de desplega- hi hagi el consentiment exprés de l’afectat; recollir
ment, quan no constitueixi infracció molt greu.
i tractar les dades referides a l’apartat 3 de l’article
e) Impedir o obstaculizar l’exercici dels drets 7 quan no ho disposi una llei o l’afectat no hi had’accés i oposició i la negativa a facilitar la infor- gi consentit expressament, o violentar la prohibició
que conté l’apartat 4 de l’article 7.
mació que sigui sol.licitada.
d) No cessar en l’ús il.legı́tim dels tractaments
f) Mantenir dades de caràcter personal inexactes o no fer les rectificacions o les cancel.lacions de de dades de caràcter personal quan sigui requerit
les dades que legalment siguin procedents quan si- per fer-ho pel director de l’Agència de Protecció de
guin afectats els drets de les persones que empara Dades o per les persones titulars del dret d’accés.
aquesta Llei.
e) La transferència temporal o definitiva de dades
de caràcter personal que hagin estat objecte de
g) La vulneració del deure de guardar secret sotractament
o hagin estat recollides per sotmetre-les
bre les dades de caràcter personal incorporades a
a
aquest
tractament,
amb destinació a paı̈sos que
fitxers que continguin dades relatives a la comisno
tinguin
un
nivell
de
protecció equiparable sense
sió d’infraccions administratives o penals, Hisenda
l’autorització del director de l’Agència de Protecció
Pública, serveis financers, prestació de serveis de
solvència patrimonial i crèdit, aixı́ com els altres de Dades.
fitxers que continguin un conjunt de dades de caf) Tractar les dades de caràcter personal de maràcter personal suficients per obtenir una avaluació nera il.legı́tima o amb menyspreu dels principis i
de la personalitat de l’individu.
garanties que els siguin aplicables, quan amb això
h) Mantenir els fitxers, locals, programes o s’impedeixi l’exercici dels drets fonamentals o s’aequips que continguin dades de caràcter personal tempti contra aquest exercici.
sense les degudes condicions de seguretat que es deg) La vulneració del deure de guardar secret soterminin per la via reglamentària.
bre les dades de caràcter personal a què fan referèni) No remetre a l’Agència de Protecció de Dades cia els apartats 2 i 3 de l’article 7, aixı́ com les que
les notificacions que preveuen aquesta Llei o les se- hagin estat recollides per a finalitats policials sense
el consentiment de les persones afectades.
68
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
h) No atendre o obstaculitzar de manera sis- tar una resolució per establir les mesures que escau
temàtica l’exercici dels drets d’accés, rectificació, adoptar perquè cessin o es corregeixin els efectes de
cancel.lació o oposició.
la infracció. Aquesta resolució s’ha de notificar al
i) No atendre de manera sistemàtica el deure le- responsable del fitxer, a l’òrgan del qual depengui
gal de notificació de la inclusió de dades de caràcter jeràrquicament i als afectats, si n’hi ha.
personal en un fitxer.
6
rticle 45. Tipus de sancions
1. Les infraccions lleus se sancionen amb una
multa de 100.000 a 10.000.000 de pessetes.
2. Les infraccions greus se sancionen amb una
multa de 10.000.000 a 50.000.000 de pessetes.
2. El director de l’Agència també pot proposar
la iniciació d’actuacions disciplinàries, si són procedents. El procediment i les sancions que s’han
d’aplicar han de ser les establertes en la legislació
sobre règim disciplinari de les administracions públiques.
3. S’han de comunicar a l’Agència les resolucions
que es dictin en relació amb les mesures i les
3. Les infraccions molt greus se sancionen amb
actuacions
a què es refereixen els apartats anteriors.
una multa de 50.000.000 a 100.000.000 de pessetes.
4. El director de l’Agència ha de comunicar al
4. La quantitat de les sancions es gradua atenent
la naturalesa dels drets personals afectats, el volum Defensor del Poble les actuacions que efectuı̈ i les
dels tractaments efectuats, els beneficis obtinguts, resolucions que dicti a l’empara dels apartats anteel grau d’intencionalitat, la reincidència, els danys i riors.
perjudicis causats a les persones interessades i a ter- Article 47. Prescripció
ceres persones, i qualsevol altra circumstància que
1. Les infraccions molt greus prescriuen al cap
sigui rellevant per determinar el grau d’antijuridicide
tres
anys, les greus al cap de dos anys i les lleus
tat i de culpabilitat presents en l’actuació infractora
al cap d’un any.
concreta.
2. El termini de prescripció es comença a comp5. Si, pel que fa a les circumstàncies concurtar
des del dia en què s’hagi comès la infracció.
rents, s’aprecia una disminució qualificada de la culpabilitat de l’imputat o de l’antijuridicitat del fet,
l’òrgan sancionador ha d’establir la quantitat de la
sanció aplicant l’escala relativa a la classe d’infraccions que precedeixi immediatament en gravetat a
aquella en què s’integra la considerada en el cas de
què es tracti.
3. Interromp la prescripció la iniciació, amb coneixement de l’interessat, del procediment sancionador, i es reprèn el termini de prescripció si l’expedient sancionador està paralitzat durant més de
sis mesos per causes no imputables al presumpte
infractor.
6. En cap cas es pot imposar una sanció més
greu que la que fixa la Llei per a la classe d’infracció en què s’integri la que es pretengui sancionar. 7.
El Govern ha d’actualitzar periòdicament la quantitat de les sancions d’acord amb les variacions que
experimentin els ı́ndexs de preus.
4. Les sancions imposades per faltes molt greus
prescriuen al cap de tres anys, les imposades per
faltes greus al cap de dos anys i les imposades per
faltes lleus al cap d’un any.
5. El termini de prescripció de les sancions comença a comptar des de l’endemà del dia en què
Article 46. Infraccions de les administracions adquireixi fermesa la resolució per la qual s’imposa
públiques
la sanció.
1. Quan les infraccions a què es refereix l’ar6. La prescripció s’interromp per la iniciació,
ticle 44 siguin comeses en fitxers dels quals siguin amb coneixement de l’interessat, del procediment
responsables les administracions públiques, el direc- d’execució, i torna a transcórrer el termini si el protor de l’Agència de Protecció de Dades ha de dic- cediment està paralitzat durant més de sis mesos
6 L’import en euros de les sancions establertes en aquest article és el que disposa l’annex de la Resolució del Ministeri de
Justı́cia, d’11 de desembre de 2001, de conversió en euros dels valors corresponents als procediments sancionadors establerts
en diverses normes i als preus privats (BOE núm. 303, de 19.12.2001).
69
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
per una causa no imputable a l’infractor.
del fitxer o adaptar l’existent.
Article 48. Procediment sancionador
En el cas de fitxers i tractaments no automatitzats,
la seva adequació a aquesta Llei orgànica i
1. Per la via reglamentària s’ha d’establir el prol’obligació
que preveu el paràgraf anterior s’han de
cediment que s’ha de seguir per a la determinació
complir
en
el termini de dotze anys a comptar des
de les infraccions i la imposició de les sancions a què
del 24 d’octubre de 1995, sens perjudici de l’exercici
fa referència aquest tı́tol.
dels drets d’accés, rectificació i cancel.lació per part
2. Les resolucions de l’Agència de Protecció de dels afectats.
Dades o l’òrgan corresponent de la comunitat autòDisposició addicional segona. Fitxers i Renoma exhaureixen la via administrativa.
gistre de població de les administracions pú3. Els procediments sancionadors tramitats per bliques
l’Agència Espanyola de Protecció de Dades, en exer1. L’Administració General de l’Estat i les adcici de les potestats que a aquesta atribueixin aquesministracions
de les comunitats autònomes poden
ta o altres lleis, llevat dels referits a infraccions de
sol.licitar a l’Institut Nacional d’Estadı́stica, sense
la Llei 32/2003, de 3 de novembre, general de telecomunicacions, tenen una durada màxima de sis el consentiment de l’interessat, una còpia actualitzada del fitxer format amb les dades del nom, els
mesos.7
cognoms, el domicili, el sexe i la data de naixement
Article 49. Potestat d’immobilització de fit- que consten en els padrons municipals d’habitants i
xers
en el cens electoral corresponents en els territoris on
En els supòsits, constitutius d’infracció molt exerceixin les seves competències, per a la creació
greu, d’utilització o cessió il.lı́cita de les dades de de fitxers o registres de població.
caràcter personal en què s’impedeixi greument o s’a2. Els fitxers o els registres de població tenen
tempti de la mateixa manera contra l’exercici dels com a finalitat la comunicació dels diferents òrdrets dels ciutadans i el lliure desenvolupament de gans de cada Administració pública amb els interesla personalitat que la Constitució i les lleis garantei- sats residents en els territoris respectius, respecte a
xen, el director de l’Agència de Protecció de Dades, les relacions juridicoadministratives derivades de les
a més d’exercir la potestat sancionadora, pot reque- competències respectives de les administracions púrir als responsables de fitxers de dades de caràcter bliques.
personal, tant de titularitat pública com privada,
la cessació en la utilització o la cessió il.lı́cita de Disposició addicional tercera. Tractament
les dades. Si el requeriment és desatès, l’Agència de dels expedients de les derogades lleis de vaProtecció de Dades pot immobilitzar aquests fitxers, gabunds i malfactors i de perillositat i rehamitjançant resolució motivada, als únics efectes de bilitació social
restaurar els drets de les persones afectades.
Els expedients especı́ficament instruı̈ts a l’empara
de
les derogades lleis de vagabunds i malfactors,
Disposició addicional primera. Fitxers prei
de
perillositat
i rehabili201 tació social, que conexistents
tinguin dades de qualsevol ı́ndole suscepti- bles d’aEls fitxers i els tractaments automatitzats ins- fectar la seguretat, l’honor, la intimitat o la imatge
crits o no en el Registre General de Protecció de de les persones, no poden ser consultats sense que
Dades s’han d’adequar a aquesta Llei orgànica dins hi hagi consentiment exprés dels afectats, o hagin
el termini de tres anys, a comptar des de la seva en- transcorregut cinquanta anys des de la data d’atrada en vigor. En aquest termini, els fitxers de ti- quells.
tularitat privada han de ser comunicats a l’Agència
En aquest últim cas, l’Administració General de
de Protecció de Dades i les administracions públil’Estat,
llevat que hi hagi constància expressa de
ques, responsables de fitxers de titularitat pública,
la
mort
dels afectats, ha de posar a disposició del
han d’aprovar la disposició pertinent de regulació
7 Apartat 3 afegit per l’article 82.2 de la Llei 62/2003, de 30 de desembre, de mesures fiscals, administratives i de l’ordre
social (BOE núm. 313, de 31.12.2003, edició catalana en el suplement núm. 3, de 31.1.2004).
70
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
sol.licitant la documentació, i suprimir-hi les dades
esmentades en el paràgraf anterior, mitjançant la
utilització dels procediments tècnics pertinents en
cada cas.
Disposició addicional quarta. Modificació de
l’article 112.4 de la Llei general tributària
seves dades, de qui sigui el responsable del fitxer i
de les formes d’exercici dels drets d’accés, rectificació i cancel.lació. ”En tot cas, les dades relatives a la
salut només poden ser objecte de tractament amb
el consentiment exprés de l’afectat.”
Disposició transitòria primera. Tractaments
L’apartat quart de l’article 112 de la Llei general creats per convenis internacionals
tributària passa a tenir la redacció següent: ”4. La
L’Agència de Protecció de Dades és l’organisme
cessió d’aquelles dades de caràcter personal, objec- competent per a la protecció de les persones fı́siques
te de tractament, que s’ha de fer a l’Administració pel que fa al tractament de dades de caràcter persotributària d’acord amb el que disposen l’article 111, nal respecte dels tractaments establerts en qualsevol
els apartats anteriors d’aquest article o una altra conveni internacional del qual Espanya sigui part
norma de rang legal, no requereix el consentiment que atribueixi aquesta competència a una autoritat
de l’afectat. En aquest àmbit tampoc no és aplica- nacional de control, mentre no es creı̈ una autoritat
ble el que, respecte a les administracions públiques, diferent per a aquesta comesa en desplegament del
estableix l’apartat 1 de l’article 21 de la Llei orgà- conveni.
nica de protecció de dades de caràcter personal.”
Disposició transitòria segona. Utilització del
Disposició addicional cinquena. Competènci- cens promocional
es del defensor del Poble i òrgans autonòmics
S’han de desplegar per reglament els procedisemblants
ments de formació del cens promocional, d’oposició
El que disposa aquesta Llei orgànica s’entén sens a constar-hi, de posada a disposició dels sol.licitants
perjudici de les competències del defensor del Poble i de control de les llistes difoses. El reglament ha
i dels òrgans anàlegs de les comunitats autònomes. d’establir els terminis per a la posada en operació
Disposició addicional sisena. Modificació de del cens promocional.
l’article 24.3 de la Llei d’ordenació i supervi- Disposició transitòria tercera. Subsistència
sió de les assegurances privades
de normes preexistents
Es modifica l’article 24.3, paràgraf 2n de la Llei
30/1995, de 8 de novembre, d’ordenació i supervisió de les assegurances privades, amb la redacció
següent: L.Les entitats asseguradores poden establir fitxers comuns que continguin dades de caràcter personal per a la liquidació de sinistres i la collaboració estadı́stica actuarial amb la finalitat de
permetre la tarifació i la selecció de riscos i l’elaboració d’estudis de tècnica asseguradora. La cessió
de dades als fitxers esmentats no requereix el consentiment previ de l’afectat, però sı́ la comunicació a aquest de la possible cessió de les seves dades
personals a fitxers comuns per a les finalitats assenyalades amb indicació expressa del responsable
perquè es puguin exercir els drets d’accés, rectificació i cancel.lació que preveu la llei. ”També es
poden establir fitxers comuns la finalitat dels quals
sigui prevenir el frau en l’assegurança sense que sigui necessari el consentiment de l’afectat. No obstant això, en aquests casos és necessària la comunicació a l’afectat, en la primera introducció de les
Fins que no es portin a terme les previsions de
la disposició final primera d’aquesta Llei, continuen en vigor, amb el seu propi rang, les normes reglamentàries existents i, especialment, els reials decrets 428/1993, de 26 de març; 1332/1994, de 20 de
juny, i 994/1999, d’11 de juny, mentre no s’oposin
a aquesta Llei. Disposició derogatòria única. Derogació normativa Queda derogada la Llei orgànica
5/1992, de 29 d’octubre, de regulació del tractament
automatitzat de les dades de caràcter personal.
Disposició final primera. Habilitació per al
desplegament reglamentari
El Govern ha d’aprovar, o modificar, les disposicions reglamentàries necessàries per a l’aplicació i
el desplegament d’aquesta Llei.
Disposició final segona. Preceptes amb caràcter de llei ordinària
Els tı́tols IV, VI excepte l’últim incı́s del paràgraf 4 de l’article 36 i VII d’aquesta Llei, la dis-
71
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
posició addicional quarta, la disposició transitòria
Aquesta Llei entra en vigor en el termini d’un
primera i la final primera tenen el caràcter de Llei mes, a comptar de la publicació en el Butlletı́ Oficial
ordinària.
de l’Estat.
Disposició final tercera. Entrada en vigor
72
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
3.4.1
Reial Decret 994/1999, d’11 de juny, pel qual s’aprova el Reglament de
mesures de seguretat dels fitxers automatitzats que continguin dades
de caràcter personal (BOE 151 de 25.6.1999)
Real Decreto 994/1999, de 11 de junio,
por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.
CAPı́TULO I.- DISPOSICIONES GENERALES
10. identificació: Procedimiento de reconocimiento de la identidad de un usuario.
11. Autenticación
12. autenticació: Procedimiento de comprobación
de la identidad de un usuario.
13. Control del acceso
Artı́culo 1.- Ámbito de aplicación y fines.
El presente Reglamento tiene por objeto establecer las medidas de ı́ndole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de
tratamiento, locales, equipos, sistemas, programas y
las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al
régimen de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado
de los Datos de carácter personal.
14. control d’accés: Mecanismo que en función a
la identificación ya autenticada permite acceder a datos o recursos.
15. Contraseña
16. contrasenya: Información confidencial, frecuentemente constituida por una cadena de
caracteres, que puede ser usada en la autenticación de un usuario.
17. Incidencia
Artı́culo 2.- Definiciones.
A efectos de este Reglamento, se entenderá por:
18. incidència: Cualquier anomalı́a que afecte o
pudiera afectar a la seguridad de los datos.
1. Sistema de información
19. Soporte
2. sistema d’informació: Conjunto de ficheros automatizados, programas, soportes y equipos
empleados para el almacenamiento y tratamiento de datos de carácter personal.
20. suport: Objeto fı́sico susceptible de ser tratado en un sistema de información y sobre el
cual se pueden grabar o recuperar datos.
3. Usuario
4. usuari: Sujeto o proceso autorizado para acceder a datos o recursos.
5. Recurso
6. recurs: Cualquier parte componente de un sistema de información.
7. Accesos autorizados
8. accés autoritzat: Autorizaciones concedidas a
un usuario para la utilización de los diversos
recursos.
9. Identificación
21. Responsable de seguridad
22. responsable de seguretat: Persona o personas
a las que el responsable del fichero ha asignado formalmente la función de coordinar y
controlar las medidas de seguridad aplicables.
23. Copia de respaldo
24. còpia de recolzament: Copia de los datos de un
fichero automatizado en un soporte que posibilite su recuperación.
Artı́culo 3.- Niveles de seguridad.
1. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.
73
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
2. Dichos niveles se establecen atendiendo a la
Artı́culo 6.- Régimen de trabajo fuera de los lonaturaleza de la información tratada, en rela- cales de la ubicación del fichero.
ción con la mayor o menor necesidad de gaLa ejecución de tratamiento de datos de carácrantizar la confidencialidad y la integridad de ter personal fuera de los locales de la ubicación del
la información.
fichero deberá ser autorizada expresamente por el
responsable del fichero y, en todo caso, deberá gaArtı́culo 4.- Aplicación de los niveles de seguri- rantizarse el nivel de seguridad correspondiente al
dad.
tipo de fichero tratado.
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas
de seguridad calificadas como de nivel básico.
Artı́culo 7.- Ficheros temporales.
1. Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente
Reglamento.
2. Los ficheros que contengan datos relativos a la
comisión de infracciones administrativas o pe2. Todo fichero temporal será borrado una vez
nales, Hacienda Pública, servicios financieros
que haya dejado de ser necesario para los fiy aquellos ficheros cuyo funcionamiento se rija
nes que motivaron su creación.
por el articulo 28 de la Ley Orgánica 5/1992,
deberán reunir, además de las medidas de niCAPı́TULO II.- MEDIDAS DE SEGURIvel básico, las calificadas como de nivel medio. DAD DE NIVEL BÁSICO
Artı́culo 8.- Documento de seguridad.
3. Los ficheros que contengan datos de ideologı́a,
religión, creencias, origen racial, salud o vida
sexual ası́ como los que contengan datos recabados para fines policiales sin consentimiento
de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio,
las calificadas como de nivel alto.
4. Cuando los ficheros contengan un conjunto de
datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artı́culos 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de mı́nimos exigibles,
sin perjuicio de las disposiciones legales o reglamentarias especı́ficas vigentes.
Artı́culo 5.- Acceso a datos a través de redes de
comunicaciones.
Las medidas de seguridad exigibles a los accesos
a datos de carácter personal a través de redes de
comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos
en modo local.
1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un
documento de obligado cumplimiento para el
personal con acceso a los datos automatizados de carácter personal y a los sis temas de
información.
2. El documento deberá contener, como mı́nimo,
los siguientes aspectos:
a. Ámbito de aplicación del documento con
especificación detallada de los recursos
protegidos.
b. Medidas, normas, procedimientos, reglas
y estándares encam inados a garantizar
el nivel de seguridad exigido en este Reglamento.
c. Funciones y obligaciones del personal.
d. Estructura de los ficheros con datos de
carácter personal y descripción de los sistemas de información que los tratan.
e. Procedimiento de notificación, gestión y
respuesta ante las incidencias.
f. Los procedimientos de realización de copias de respaldo y de recuperación de los
datos.
74
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el
sistema de información o en la organización
del mismo.
4. El contenido del documento deberá adecuarse,
en todo momento, a las disposiciones vigentes
en materia de seguridad de los datos de carácter personal.
Artı́culo 9.- Funciones y obligaciones del personal.
1. Las funciones y obligaciones de cada una de
las personas con acceso a los datos de carácter
personal y a los sistemas de información estarán claramente definidas y documentadas, de
acuerdo con lo previsto en el artı́culo 8.2.c)
2. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las
normas de seguridad que afecten al desarrollo
de sus funciones ası́ como las consecuencias en
que pudiera incurrir en caso de incumplimiento.
3. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de
seguridad y mientras estén vigentes se almacenarán de forma ininteligible.
Artı́culo 12.- Control de acceso.
1. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen
para el desarrollo de sus funciones.
2. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos
de los autorizados.
3. La relación de usuarios a la que se refiere el
artı́culo 11.1 de este Reglamento contendrá el
acceso autorizado para cada uno de ellos.
4. Exclusivamente el personal autorizado para
ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
Artı́culo 13.- Gestión de soportes.
Artı́culo 10.- Registro de incidencias.
El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el
que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la
notificación, a quién se le comunica y los efectos que
se hubieran derivado de la misma.
Artı́culo 11.- Identificación y autenticación.
1. El responsable del fichero se encargará de que
exista una relación actualizada de usuarios
que tengan acceso autorizado al sistema de
información y de establecer procedimientos de
identificación y autenticación para dicho acceso.
2. Cuando el mecanismo de autenticación se base
en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad
e integridad.
1. Los soportes informáticos que contengan datos de carácter personal deberán permitir
identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad.
2. La salida de soportes informáticos que contengan datos de carácter personal, fuera de
los locales en los que esté ubicado el fichero,
únicamente podrá ser autorizada, por el responsable del fichero.
Artı́culo 14. - Copias de respaldo y recuperación.ç
1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de
los procedimientos de realización de copias de
respaldo y de recuperación de los datos.
75
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su
reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o
destrucción.
3. Los informes de auditorı́a serán analizados por
el responsable de seguridad competente, que
elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la
Agencia de Protección de Datos.
3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.
Artı́culo 18.- Identificación y autenticación.
CAPı́TULO III.- MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Artı́culo 15.- Documento de seguridad.
1. El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequı́voca y personalizada de todo aquel
usuario que intente acceder al sistema de información y la verificación de que está autorizado.
El documento de seguridad deberá contener,
2. Se limitará la posibilidad de intentar reiteraademás de lo dispuesto en el artı́culo 8 del presente
damente el acceso no autorizado al sistema de
Reglamento, la identificación del responsable o resinformación.
ponsables de seguridad, los controles periódicos que
Artı́culo 19.- Control de acceso fı́sico.
se deban realizar para verificar el cumplimiento de
lo dispuesto en el propio documento y las medidas
Exclusivamente el personal autorizado en el doque sea necesario adoptar cuando un soporte vaya cumento de seguridad podrá tener acceso a los loa ser desechado o reutilizado.
cales donde se encuentren ubicados los sistemas de
información con datos de carácter personal.
Artı́culo 16.- Responsable de seguridad.
El responsable del fichero designará uno o varios
responsables de seguridad encargados de coordinar
y controlar las medidas definidas en el documento
de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con
este Reglamento.
Artı́culo 17.- Auditorı́a.
1. Los sistemas de información e instalaciones de
tratamiento de datos se someterán a una auditorı́a interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos
años.
2. El informe de auditorı́a deberá dictaminar sobre la adecuación de las medidas y controles
al presente Reglam ento, identificar sus deficiencias y proponer las medidas correctoras
o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados
y recomendaciones propuestas.
Artı́culo 20.- Gestión de soportes.
1. Deberá establecerse un sistema de registro de
entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo
de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que
contienen, la forma de envı́o y la persona responsable de la recepción que deberá estar debidamente autorizada.
2. Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que
permita, directa o indirectamente, conocer el
tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envı́o y la
persona responsable de la entrega que deberá
estar debidamente autorizada.
3. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias
para impedir cualquier recuperación posterior
de la información almacenada en él, previamente a que se proceda a su baja en el inventario.
76
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
4. Cuando los soportes vayan a salir fuera de los
locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de
mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación
indebida de la información almacenada en
ellos.
3. Los mecanismos que permiten el registro de
los datos detallados en los párrafos anteriores
estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en
ningún caso, la desactivación de los mismos.
Artı́culo 21.- Registro de incidencias.
5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
1. En el registro regulado en el artı́culo 10 deberán consignarse, además, los procedimientos
realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los
datos restaurados y , en su caso, qué datos
ha sido necesario grabar manualmente en el
proceso de recuperación.
4. El perı́odo mı́nimo de conservación de los datos registrados será de dos años.
Artı́culo 25.- Copias de respaldo y recuperación.
Deberá conservarse una copia de respaldo y de
los procedimientos de recuperación de los datos en
2. Será necesaria la autorización por escrito del un lugar diferente de aquél en que se encuentren los
responsable del fichero para la ejecución de los equipos informáticos que los tratan cumpliendo en
procedimientos de recuperación de los datos. todo caso, las medidas de seguridad exigidas en este
Reglamento.
Artı́culo 22.- Pruebas con datos reales.
Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten
ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel
de seguridad correspondiente al tipo de fichero tratado.
Artı́culo 26.- Telecomunicaciones.
La transmisión de datos de carácter personal a
través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro
mecanismo que garantice que la información no sea
inteligible ni manipulada por terceros.
CAPı́TULO V.- INFRACCIONES Y
CAPı́TULO IV.- MEDIDAS DE SEGU- SANCIONES.
RIDAD DE NIVEL ALTO
Artı́culo 27.- Infracciones y sanciones.
Artı́culo 23.- Distribución de soportes.
1. El incumplimiento de las medidas de s eguLa distribución de los soportes que contengan
ridad descritas en el presente Reglamento sedatos de carácter personal se realizará cifrando dirá sancionado de acuerdo con lo establecido
chos datos o bien utilizando cualquier otro mecaen los artı́culos 43 y 44 de la Ley Orgánica
nismo que garantice que dicha información no sea
5/1992, cuando se trate de ficheros de titulainteligible ni manipulada durante su transporte.
ridad privada. El procedimiento a seguir para
Artı́culo 24.- Registro de accesos.
la imposición de la sanción a la que se refiere el párrafo anterior será el establecido en el
1. De cada acceso se guardarán, como mı́nimo,
Real Decreto 1332/1994, de 20 de junio, por
la identificación del usuario, la fecha y hora
el que se desarrollan determinados aspectos de
en que se realizó, el fichero accedido, el tipo
la Ley Orgánica 5/1992, de 29 de octubre, de
de acceso y si ha sido autorizado o denegado.
Regulación del Tratamiento Automatizado de
los Datos de Carácter Personal.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que
2. Cuando se trate de ficheros de los que sean
permita identificar el regis tro accedido.
responsables las Administraciones Públicas se
77
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artı́culo 45 de la
Ley Orgánica 5/1992.
ficheros cuando no se cumplan las medidas de
seguridad previstas en el presente Reglamento.
Artı́culo 28.- Responsables.
Disposición transitoria única.- Plazos de implantación
de las medidas.
Los responsables de los ficheros, sujetos al régimen sancionador de la Ley Orgánica 5/1992, deEn el caso de sistemas de información que se enberán adoptar las medidas de ı́ndole técnica y or- cuentren en funcionamiento a la entrada en vigor
ganizativas necesarias que garanticen la seguridad del presente Reglamento, las medidas de seguridad
de los datos de carácter personal en los términos de nivel básico previstas en el presente Reglamento
establecidos en el presente Reglamento.
deberán implantarse en el plazo de seis meses desde
CAPı́TULO VI.- COMPETENCIAS DEL su entrada en vigor, las de nivel medio en el plazo
DIRECTOR DE LA AGENCIA DE PRO- de un año y las de nivel alto en el plazo de dos años.
TECCIÓN DE DATOS
Cuando los sistemas de información que se encuentren
en funcionamiento no permitan tecnológiArtı́culo 29.- Competencias del Director de la
camente
la
implantación de alguna de las medidas
Agencia de Protección de Datos.
de seguridad previstas en el presente Reglamento,
El Director de la Agencia de Protección de Da- la adecuación de dichos sistemas y la implantación
tos podrá, de conformidad con lo establecido en el de las medidas de seguridad deberán realizarse en el
artı́culo 36 de la Ley Orgánica 5/1992:
plazo máximo de tres años a contar desde la entrada
en vigor del presente Reglamento.
1. Dictar, en su caso y sin perjuicio de las comOrden de 31-7-1998 del Ministerio de Justicia
petencias de otros órganos, las instrucciones
por
la que se amplı́a la relación de paı́ses con proprecisas para
tección de datos de carácter personal equiparable a
2. Ordenar la cesación de los tratamientos de da- la española, a efectos de transferencia internacional
tos de carácter personal y la cancelación de los de datos.
78
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
3.4.2
Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre,
de protecció de dades de caràcter personal
(BOE núm. 17, de 19.1.2008, edició catalana en el suplement núm. 17, de 19.1.2008)
(Versió actualitzada a data 29.01.2010)
L’actual Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal,
va adaptar el nostre ordenament al que disposa la
Directiva 95/46/CE, del Parlament Europeu i del
Consell, de 24 d’octubre de 1995, relativa a la protecció de les persones fı́siques pel que fa al tractament de dades personals i a la lliure circulació
d’aquestes dades, i va derogar al seu torn la fins
aleshores vigent Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de
dades de caràcter personal.
La nova Llei, que ha nascut amb una àmplia vocació de generalitat, preveu a l’article 1 que “té per
objecte garantir i protegir, pel que fa al tractament
de les dades personals, les llibertats públiques i els
drets fonamentals de les persones fı́siques, i especialment del seu honor i intimitat personal”. Inclou,
per tant, el tractament automatitzat i el no automatitzat de les dades de caràcter personal.
A fi de garantir la necessària seguretat jurı́dica
en un àmbit tan sensible per als drets fonamentals
com el de la protecció de dades, el legislador va
declarar subsistents les normes reglamentàries existents i, en especial, els reials decrets 428/1993, de
26 de març, pel qual s’aprova l’Estatut de l’Agència
de Protecció de Dades; 1332/1994, de 20 de juny,
pel qual es despleguen determinats aspectes de la
Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal, i 994/1999, d’11 de juny, pel qual
s’aprova el Reglament de mesures de seguretat dels
fitxers automatitzats que continguin dades de caràcter personal, alhora que va habilitar el Govern
per aprovar i modificar les disposicions reglamentàries necessàries per a l’aplicació i el desplegament
de la Llei orgànica 15/1999.
Protecció de Dades. Aquestes requereixen un desplegament reglamentari amb la peculiaritat que les
dues normes s’ordenen vers la tutela no només dels
drets de les persones fı́siques, sinó també de les jurı́diques.
II
Aquest Reglament comparteix amb la Llei orgànica la finalitat de fer front als riscos que per als
drets de la personalitat poden suposar la recopilació i el tractament de dades personals. Per això,
cal destacar que aquesta norma reglamentària neix
amb la vocació de no reiterar els continguts de la
norma superior i de desplegar, no només els mandats que conté la Llei orgànica d’acord amb els principis que emanen de la Directiva, sinó també aquells
que en aquests anys de vigència de la Llei s’ha demostrat que necessiten més desplegament normatiu.
Per tant, s’aprova aquest Reglament partint de la
necessitat de dotar de coherència la regulació reglamentària en tot el que es relaciona amb la transposició de la Directiva i de desplegar els aspectes
innovadors de la Llei orgànica 15/1999, juntament
amb aquells en què l’experiència ha aconsellat un
cert de grau de precisió que aporti seguretat jurı́dica al sistema.
III
El Reglament abraça l’àmbit tutelat abans pels
reials decrets 1332/1994, de 20 de juny, i 994/1999,
d’11 de juny, tenint en compte la necessitat de fixar
criteris aplicables als fitxers i tractaments de dades
personals no automatitzats. D’altra banda, l’atribució de funcions a l’Agència Espanyola de Protecció de Dades que fan la Llei 34/2002, d’11 de juliol,
D’altra banda, la Llei 34/2002, d’11 de juliol, de de serveis de la societat de la informació i de comerç
serveis de la societat de la informació i de comerç electrònic, i la Llei 32/2003, de 3 de novembre, geelectrònic, i la Llei 32/2003, de 3 de novembre, gene- neral de telecomunicacions, obliga a desplegar tamral de telecomunicacions, atribueixen competències bé els procediments per a l’exercici de la potestat
en matèria sancionadora a l’Agència Espanyola de sancionadora de l’Agència.
79
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
El Reglament s’estructura en nou tı́tols el con- nen del dret fonamental a la protecció de dades i
tingut dels quals desplega els aspectes essencials en “serveixen per a la funció capital que exerceix aquest
aquesta matèria.
dret fonamental: garantir a la persona un poder de
El tı́tol I preveu l’objecte i àmbit d’aplicació del control sobre les seves dades personals, fet que noReglament. Al llarg de la vigència de la Llei orgà- més és possible i efectiu imposant a tercers els dits
nica 15/1999 s’ha advertit la conveniència de des- deures de fer”.
plegar l’apartat 2 del seu article 2 per aclarir què
s’entén per fitxers i tractaments relacionats amb activitats personals o domèstiques, aspecte molt rellevant atès que estan exclosos de la normativa sobre
protecció de dades de caràcter personal.
D’altra banda, el present Reglament no conté
previsions per als tractaments de dades personals a
què es refereix l’apartat 3 de l’article 2 de la Llei
orgànica, atès que es regeixen per les seves disposicions especı́fiques i pel que especialment preveu, si
s’escau, la mateixa Llei orgànica 15/1999. En conseqüència, es manté el règim jurı́dic propi d’aquests
tractaments i fitxers.
A més, en aquest tı́tol s’aporta un conjunt de
definicions que ajuden a la correcta comprensió de
la norma, fet que és particularment necessari en un
àmbit tan tecnificat com el de la protecció de dades
personals. D’altra banda, fixa el criteri que s’ha
de seguir en matèria de còmput de terminis amb
la finalitat d’homogeneı̈tzar aquesta qüestió evitant
distincions que suposen diferències de tracte dels
fitxers públics respecte dels privats.
El tı́tol II es refereix als principis de la protecció de dades. Revesteix una particular importància
la regulació de la manera de captació del consentiment atenent aspectes molt especı́fics com el cas
dels serveis de comunicacions electròniques i, molt
particularment, la captació de dades dels menors.
Aixı́ mateix, s’ofereix el que no es pot definir sinó
com un estatut de l’encarregat del tractament, que
sens dubte ha de contribuir a clarificar tot el que
es relaciona amb aquesta figura. Les previsions en
aquest àmbit es completen amb el que disposa el
tı́tol VIII en matèria de seguretat en què es dota
d’un marc coherent l’actuació de l’encarregat.
El tı́tol III s’ocupa d’una qüestió tan essencial
com són els drets de les persones en aquest àmbit. Aquests drets d’accés, rectificació, cancel.lació
i oposició al tractament, segons ha afirmat el Tribunal Constitucional en la seva sentència número
292/2000, constitueixen el feix de facultats que ema-
A continuació, els tı́tols IV a VII permeten clarificar aspectes importants per al tràfic ordinari, com
l’aplicació de criteris especı́fics a un determinat tipus de fitxers de titularitat privada que, per la seva
transcendència, ho requerien –els relatius a la solvència patrimonial i crèdit i els utilitzats en activitats de publicitat i prospecció comercial–; el conjunt
d’obligacions materials i formals que han de conduir
els responsables a la creació i inscripció dels fitxers;
els criteris i procediments per a la realització de les
transferències internacionals de dades, i, finalment,
la regulació d’un instrument, el codi tipus, que cada cop té un paper més rellevant com a element
dinamitzador del dret fonamental a la protecció de
dades.
El tı́tol VIII regula un aspecte essencial per a la
tutela del dret fonamental a la protecció de dades,
la seguretat, que repercuteix sobre múltiples aspectes organitzatius, de gestió i fins i tot d’inversió, en
totes les organitzacions que tractin dades personals.
La repercussió del deure de seguretat obligava a un
rigor particular, ja que en aquesta matèria hi han
confluı̈t diferents elements molt rellevants. D’una
banda, l’experiència dimanant de l’aplicació del Reial decret 994/1999 permetia conèixer les dificultats
que havien enfrontat els responsables i identificar
els punts febles i forts de la regulació. De l’altra, es
reclamava l’adaptació de la regulació en diferents
aspectes. En aquest sentit, el Reglament intenta
ser particularment rigorós en l’atribució dels nivells
de seguretat, en la fixació de les mesures que correspongui adoptar en cada cas i en la revisió d’aquestes
mesures quan això sigui necessari. D’altra banda,
ordena amb més precisió el contingut i les obligacions vinculades al manteniment del document de
seguretat. A més, s’ha pretès regular la matèria de
manera que tingui en compte les múltiples formes
d’organització material i personal de la seguretat
que es donen en la pràctica. Finalment, es regula
un conjunt de mesures destinades als fitxers i tractaments estructurats i no automatitzats que ofereixi
als responsables un marc clar d’actuació.
80
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
Finalment, en el tı́tol IX, dedicat als procediments tramitats per l’Agència Espanyola de Protecció de Dades, s’ha optat per dictar normes exclusivament de les especialitats que diferencien els
diversos procediments tramitats per l’Agència de les
normes generals previstes per als procediments a la
Llei 30/1992, de 26 de novembre, de règim jurı́dic
de les administracions públiques i del procediment
administratiu comú, l’aplicació de la qual es declara
supletòria al present Reglament.
En virtut d’això, a proposta del ministre de Justı́cia, amb l’aprovació prèvia de la ministra d’Administracions Públiques, d’acord amb el Consell d’Estat i amb la deliberació prèvia del Consell de Ministres en la reunió del dia 21 de desembre de 2007.
Social i es relacionin amb l’exercici de les seves competències.
2n Aquells els responsables dels quals siguin les
mútues d’accidents de treball i malalties professionals de la Seguretat Social.
3r Aquells que continguin un conjunt de dades
de caràcter personal que ofereixin una definició de
les caracterı́stiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes
de la seva personalitat o del seu comportament, respecte de les mesures d’aquest nivell que no siguin
exigibles conforme al que preveu l’article 4.4 del Reglament de mesures de seguretat dels fitxers automatitzats de dades de caràcter personal, aprovat pel
Reial decret 994/1999, d’11 de juny.
DISPOSO:
b) En el termini d’un any des de la seva entrada
en vigor s’han d’implantar les mesures de segureS’aprova el Reglament de desplegament de la tat de nivell mitjà, i en el de divuit mesos des d’aLlei orgànica 15/1999, de 13 de desembre, de pro- quella data, les de nivell alt exigibles en els fitxers
tecció de dades de caràcter personal, el text del qual següents:
s’inclou a continuació.
1r Aquells que continguin dades derivades d’actes
de violència de gènere.
DISPOSICIÓ TRANSITÒRIA PRIMEArticle únic. Aprovació del Reglament
RA. Adaptació dels codis tipus inscrits en
2n Aquells els responsables dels quals siguin els
el Registre General de Protecció de Dades
operadors que prestin serveis de comunicacions elecEn el termini d’un any des de l’entrada en vigor tròniques disponibles al públic o explotin xarxes púdel present Reial decret s’han de notificar a l’Agèn- bliques de comunicacions electròniques respecte a
cia Espanyola de Protecció de Dades les modifica- les dades de tràfic i a les dades de localització.
cions que siguin necessàries en els codis tipus insc) En els altres supòsits, quan el present Reglacrits en el Registre general de protecció de dades ment exigeixi la implantació d’una mesura addiciper adaptar-ne el contingut al que disposa el tı́tol onal, no prevista en el Reglament de mesures de
VII d’aquest Reglament.
seguretat dels fitxers automatitzats de dades de caDISPOSICIÓ TRANSITÒRIA SEGO- ràcter personal, aprovat pel Reial decret 994/1999,
NA. Terminis d’implantació de les mesures d’11 de juny, aquesta mesura s’ha d’implantar en
el termini d’un any des de l’entrada en vigor del
de seguretat
present Reial decret.
La implantació de les mesures de seguretat que
2a Respecte dels fitxers no automatitzats que hi
preveu el present Reial decret s’ha de produir d’aha
en
la data d’entrada en vigor del present Reial
cord amb les regles següents:
decret:
1a Respecte dels fitxers automatitzats que hi ha
a) Les mesures de seguretat de nivell bàsic s’en la data d’entrada en vigor del present Reial dehan
d’implantar en el termini d’un any des de la
cret:
seva entrada en vigor.
a) En el termini d’un any des de la seva entrada
b) Les mesures de seguretat de nivell mitjà s’han
en vigor, s’han d’implantar les mesures de seguretat
d’implantar en el termini de divuit mesos des de la
de nivell mitjà exigibles en els fitxers següents:
seva entrada en vigor.
1r Aquells els responsables dels quals siguin les
c) Les mesures de seguretat de nivell alt s’han
entitats gestores i serveis comuns de la Seguretat
81
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
d’implantar en el termini de dos anys des de la seva competencial
entrada en vigor.
El tı́tol I, a excepció de l’apartat c) de l’article
3r Els fitxers, tant si són automatitzats com no 4; els tı́tols II, III, VII i VIII, aixı́ com els artiautomatitzats, creats amb posterioritat a la data cles 52, 53.3, 53.4, 54, 55.1, 55.3, 56, 57, 58 i 63.3
d’entrada en vigor del present Reial decret han de del Reglament es dicten a l’empara del que disposa
tenir implantades, des del moment de la seva cre- l’article 149.1.1a de la Constitució, que atribueix a
ació, la totalitat de les mesures de seguretat que l’Estat la competència exclusiva per a la regulació
regula.
de les condicions bàsiques que garanteixin la igualDISPOSICIÓ TRANSITÒRIA TERCE- tat de tots els espanyols en l’exercici dels drets i en
RA. Règim transitori de les sol.licituds per el compliment dels deures constitucionals.
a l’exercici dels drets de les persones
DISPOSICIÓ FINAL SEGONA. Entrada
en
vigor
A les sol.licituds per a l’exercici dels drets d’accés, oposició, rectificació i cancel.lació que han estat
El present Reial decret entra en vigor al cap de
efectuades abans de l’entrada en vigor del present tres mesos des de la publicació ı́ntegra en el Butlletı́
Reial decret, no els és aplicable el mateix Reial de- Oficial de l’Estat.
cret, i es regeixen per la normativa anterior.
REGLAMENT DE DESPLEGAMENT
DISPOSICIÓ TRANSITÒRIA QUAR- DE LA LLEI ORGÀNICA 15/1999, DE 13
TA. Règim transitori dels procediments
DE DESEMBRE, DE PROTECCIÓ DE DAAls procediments ja iniciats abans de l’entrada DES DE CARÀCTER PERSONAL
en vigor del present Reial decret, no els és aplicable TÍTOL I. Disposicions generals
el mateix Reial decret, i es regeixen per la normatiArticle 1. Objecte
va anterior.
1. El present Reglament té per objecte el desDISPOSICIÓ TRANSITÒRIA CINQUE- plegament de la Llei orgànica 15/1999, de 13 de
NA. Règim transitori de les actuacions prè- desembre, de protecció de dades de caràcter persovies
nal.
A les actuacions prèvies iniciades amb anteriori2. Aixı́ mateix, el capı́tol III del tı́tol IX d’aquest
tat a l’entrada en vigor del present Reial decret, no Reglament desplega les disposicions relatives a l’eels és aplicable el mateix Reial decret, i es regeixen xercici per part de l’Agència Espanyola de Protecció
per la normativa anterior.
de Dades de la potestat sancionadora, en aplicació
El present Reial decret s’ha d’aplicar a les actua- del que disposen la Llei orgànica 15/1999, de 13 de
cions prèvies que s’iniciı̈n després de la seva entrada desembre, el tı́tol VII de la Llei 34/2002, d’11 de
en vigor.
juliol, de serveis de la societat de la informació i de
DISPOSICIÓ DEROGATÒRIA ÚNICA. comerç electrònic, i el tı́tol VIII de la Llei 32/2003,
de 3 de novembre, general de telecomunicacions.
Derogació normativa
Queden derogats el Reial decret 1332/1994, de Article 2. Àmbit objectiu d’aplicació
20 de juny, pel qual es despleguen determinats aspectes de la Llei orgànica 5/1992, de 29 d’octubre,
de regulació del tractament automatitzat de les dades de caràcter personal; el Reial decret 994/1999,
d’11 de juny, pel qual s’aprova el Reglament de mesures de seguretat dels fitxers automatitzats que
continguin dades de caràcter personal, i totes les
normes del mateix rang o inferior que contradiguin
el que disposa el present Reial decret o s’hi oposin.
1. El present Reglament és aplicable a les dades
de caràcter personal registrades en suport fı́sic, que
les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors
públic i privat.
2. Aquest Reglament no és aplicable als tractaments de dades referides a persones jurı́diques,
ni als fitxers que es limitin a incorporar les dades
de les persones fı́siques que hi prestin els seus serDISPOSICIÓ FINAL PRIMERA. Tı́tol veis, consistents únicament en el nom i cognoms, les
82
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
funcions o llocs exercits, aixı́ com l’adreça postal o
electrònica, telèfon i número de fax professionals.
aplicable als fitxers i tractaments següents:
a) Als realitzats o mantinguts per persones fı́si3. Aixı́ mateix, les dades relatives a empresaris ques en l’exercici d’activitats exclusivament persoindividuals, quan hi facin referència en la seva qua- nals o domèstiques.
litat de comerciants, industrials o naviliers, també
Només es consideren relacionats amb activitats
s’han d’entendre excloses del règim d’aplicació de la
personals o domèstiques els tractaments relatius a
protecció de dades de caràcter personal.
les activitats que s’inscriuen en el marc de la vida
4. Aquest Reglament no és aplicable a les da- privada o familiar dels particulars.
des referides a persones mortes. No obstant això,
b) Als sotmesos a la normativa sobre protecció
les persones vinculades al mort, per raons familide matèries classificades.
ars o anàlogues, es poden dirigir als responsables
c) Als establerts per a la investigació del terrodels fitxers o tractaments que continguin dades de
la persona morta amb la finalitat de notificar l’òbit, risme i de formes greus de delinqüència organitzada.
aportant l’acreditació suficient, i sol.licitar, quan si- No obstant això, el responsable del fitxer ha de comunicar prèviament l’existència del mateix fitxer,
gui possible, la cancel.lació de les dades.
les seves caracterı́stiques generals i la seva finalitat
Article 3. Àmbit territorial d’aplicació
a l’Agència Espanyola de Protecció de Dades.
1. Pel present Reglament s’ha de regir qualsevol
Article 5. Definicions
tractament de dades de caràcter personal:
1. Als efectes que preveu aquest Reglament,
a) Quan el tractament s’efectuı̈ en el marc de s’entén per:
les activitats d’un establiment del responsable del
a) Afectat o interessat : persona fı́sica titular de
tractament, sempre que l’establiment estigui ubicat
les
dades
que siguin objecte del tractament.
en el territori espanyol. Quan no sigui aplicable
el que disposa el paràgraf anterior, però hi ha un
b) Cancel.lació: procediment en virtut del qual
encarregat del tractament ubicat a Espanya, li són el responsable cessa en l’ús de les dades. La cancelaplicables les normes que conté el tı́tol VIII del pre- lació implica el bloqueig de les dades, consistent
sent Reglament.
en la identificació i reserva d’aquestes dades amb
la finalitat d’impedir-ne el tractament excepte per
posar-les a disposició de les administracions públiques, jutges i tribunals, per a l’atenció de les possibles responsabilitats nascudes del tractament i només durant el termini de prescripció de les responsac) Quan el responsable del tractament no estigui bilitats esmentades. Transcorregut aquest termini
establert en el territori de la Unió Europea i utilitzi s’ha de procedir a la supressió de les dades.
en el tractament de dades mitjans situats en el terc) Cessió o comunicació de dades : tractament
ritori espanyol, llevat que aquests mitjans s’utilitzin
de dades que suposa la seva revelació a una persona
únicament amb fins de tràfic.
diferent de l’interessat.
En aquest cas, el responsable del tractament ha
d) Consentiment de l’interessat : qualsevol made designar un representant establert en el territori
nifestació de voluntat, lliure, inequı́voca, especı́fica i
espanyol.
informada, mitjançant la qual l’interessat consent el
2. Als efectes previstos en els apartats anteri- tractament de dades personals que el concerneixen.
ors, s’entén per establiment, amb independència de
e) Dada dissociada : la que no permet la identila seva forma jurı́dica, qualsevol instal.lació estable
ficació
d’un afectat o interessat.
que permeti l’exercici efectiu i real d’una activitat.
b) Quan al responsable del tractament no establert en el territori espanyol li sigui aplicable la
legislació espanyola, segons les normes de dret internacional públic.
f) Dades de caràcter personal: qualsevol informació numèrica, alfabètica, gràfica, fotogràfica,
El règim de protecció de les dades de caràcter
acústica o de qualsevol altre tipus que concerneix
personal que estableix el present Reglament no és
persones fı́siques identificades o identificables.
Article 4. Fitxers o tractaments exclosos
83
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
g) Dades de caràcter personal relacionades amb
la salut : les informacions que concerneixen la salut passada, present i futura, fı́sica o mental, d’un
individu. En particular, es consideren dades relacionades amb la salut de les persones les referides al
seu percentatge de discapacitat i a la seva informació genètica.
h) Destinatari o cessionari : la persona fı́sica o
jurı́dica, pública o privada o òrgan administratiu, a
què es revelin les dades.
responsables dels quals siguin els òrgans constitucionals o amb rellevància constitucional de l’Estat o
les institucions autonòmiques amb funcions anàlogues a aquests òrgans, les administracions públiques
territorials, aixı́ com les entitats o organismes que
hi estan vinculats o en depenen i les corporacions
de dret públic, sempre que la seva finalitat sigui
l’exercici de potestats de dret públic.
n) Fitxer no automatitzat : qualsevol conjunt
de dades de caràcter personal organitzat de forma
També poden ser-ne destinataris els ens sense no automatitzada i estructurat conforme a criteris
personalitat jurı́dica que actuı̈n en el tràfic com a especı́fics relatius a persones fı́siques, que permetin
accedir sense esforços desproporcionats a les seves
subjectes diferenciats.
dades personals, tant si aquell és centralitzat, desi) Encarregat del tractament : la persona fı́sica centralitzat o repartit de forma funcional o geogrào jurı́dica, pública o privada, o òrgan administra- fica.
tiu que, sol o conjuntament amb altres, tracti dañ) Importador de dades personals : la persona
des personals per compte del responsable del tracfı́sica
o jurı́dica, pública o privada, o l’òrgan admitament o del responsable del fitxer, com a consenistratiu
receptor de les dades en cas de transferènqüència de l’existència d’una relació jurı́dica que l’cia
internacional
d’aquestes dades a un tercer paı́s,
hi vincula i delimita l’àmbit de la seva actuació per
tant si és responsable del tractament, encarregada
a la prestació d’un servei.
del tractament o un tercer.
També poden ser encarregats del tractament els
o) Persona identificable : qualsevol persona la
ens sense personalitat jurı́dica que actuı̈n en el tràfic
identitat
de la qual es pugui determinar, directacom a subjectes diferenciats.
ment o indirectament, mitjançant qualsevol inforj) Exportador de dades personals: la persona mació referida a la seva identitat fı́sica, fisiològica,
fı́sica o jurı́dica, pública o privada, o l’òrgan admi- psı́quica, econòmica, cultural o social. Una persona
nistratiu situat en el territori espanyol que realitzi, fı́sica no es considera identificable si la dita identiconforme al que disposa el present Reglament, una ficació requereix terminis o activitats desproporciotransferència de dades de caràcter personal a un pa- nats.
ı́s tercer.
p) Procediment de dissociació : qualsevol track) Fitxer : qualsevol conjunt organitzat de da- tament de dades personals que permeti l’obtenció
des de caràcter personal que permeti l’accés a les de dades dissociades.
dades d’acord amb uns criteris determinats, sigui
q) Responsable del fitxer o del tractament: perquina sigui la forma o modalitat de la seva creació,
sona
fı́sica o jurı́dica, de naturalesa pública o privaemmagatzematge, organització i accés.
da, o òrgan administratiu, que sol o conjuntament
l) Fitxers de titularitat privada: els fitxers els amb altres decideixi sobre la finalitat, contingut i
responsables dels quals siguin les persones, empre- ús del tractament, encara que no ho realitzi mateses o entitats de dret privat, amb independència de rialment.
qui tingui la titularitat del seu capital o de la proTambé poden ser responsables del fitxer o del
cedència dels seus recursos econòmics, aixı́ com els
tractament
els ens sense personalitat jurı́dica que
fitxers els responsables dels quals siguin les corpoactuı̈n
en
el
tràfic com a subjectes diferenciats.
racions de dret públic, si és que aquests fitxers no
estan estrictament vinculats a l’exercici de potestats
r) Tercer : la persona fı́sica o jurı́dica, pública o
de dret públic que els atribueix la seva normativa privada, o l’òrgan administratiu diferent de l’afectat
especı́fica.
o interessat, del responsable del tractament, del resm) Fitxers de titularitat pública : els fitxers els ponsable del fitxer, de l’encarregat del tractament
i de les persones autoritzades per tractar les dades
84
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
sota l’autoritat directa del responsable del tracta- tractament ocasional o com a pas intermedi durant
ment o de l’encarregat del tractament.
la realització d’un tractament.
També poden ser tercers els ens sense personalih) Identificació : procediment de reconeixement
tat jurı́dica que actuı̈n en el tràfic com a subjectes de la identitat d’un usuari.
diferenciats.
i) Incidència: qualsevol anomalia que afecti o
s) Transferència internacional de dades: tracta- pugui afectar la seguretat de les dades.
ment de dades que suposa una transmissió d’aquesj) Perfil d’usuari : accessos autoritzats a un grup
tes dades fora del territori de l’Espai Econòmic Eud’usuaris.
ropeu, tant si constitueix una cessió o comunicació
k) Recurs: qualsevol part component d’un sistede dades, com si té per objecte la realització d’un
tractament de dades per compte del responsable del ma d’informació.
fitxer establert en el territori espanyol.
l) Responsable de seguretat: persona o persot) Tractament de dades: qualsevol operació o
procediment tècnic, ja sigui automatitzat o no, que
permeti la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, modificació,
cancel.lació, bloqueig o supressió, aixı́ com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.
nes a les quals el responsable del fitxer ha assignat
formalment la funció de coordinar i controlar les
mesures de seguretat aplicables.
m) Sistema d’informació: conjunt de fitxers,
tractaments, programes, suports i, si s’escau, equips
utilitzats per al tractament de dades de caràcter
personal.
2. En particular, en relació amb el que disposa
el tı́tol VIII d’aquest Reglament, s’entén per:
n) Sistema de tractament: manera en què s’organitza o utilitza un sistema d’informació. Atenent
a) Accessos autoritzats : autoritzacions conce- el sistema de tractament, els sistemes d’informació
dides a un usuari per a la utilització dels diversos poden ser automatitzats, no automatitzats o parcirecursos. Si s’escau, han d’incloure les autoritzaci- alment automatitzats.
ons o funcions que tingui atribuı̈des un usuari per
ñ) Suport: objecte fı́sic que emmagatzema o
delegació del responsable del fitxer o tractament o conté dades o documents, o objecte susceptible de
del responsable de seguretat.
ser tractat en un sistema d’informació i sobre el qual
b) Autenticació : procediment de comprovació
de la identitat d’un usuari.
es poden gravar i recuperar dades.
o) Transmissió de documents: qualsevol trasllat,
c) Contrasenya : informació confidencial, fre- comunicació, enviament, lliurament o divulgació de
qüentment constituı̈da per una cadena de caràcters, la informació que conté.
que pot ser usada en l’autenticació d’un usuari o en
p) Usuari: subjecte o procés autoritzat per acl’accés a un recurs.
cedir a dades o recursos. Tenen la consideració d’ud) Control d’accés : mecanisme que en funció suaris els processos que permeten accedir a dades o
de la identificació ja autenticada permet accedir a recursos sense identificació d’un usuari fı́sic.
dades o recursos.
Article 6. Còmput de terminis
e) Còpia de seguretat : còpia de les dades d’un
En els supòsits en què aquest Reglament assefitxer automatitzat en un suport que possibiliti nyali un termini per dies, s’han de computar únicarecuperar-les.
ment els hàbils. Quan el termini sigui per mesos,
f) Document : qualsevol escrit, gràfic, so, imat- s’han de computar de data a data.
ge o qualsevol altra classe d’informació que pot ser Article 7. Fonts accessibles al públic
tractada en un sistema d’informació com una unitat
1. A efectes de l’article 3, paràgraf j), de la Llei
diferenciada.
orgànica 15/1999, s’entén que només tenen el caràcg) Fitxers temporals: fitxers de treball creats ter de fonts accessibles al públic:
per usuaris o processos que són necessaris per a un
85
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
a) El cens promocional, regulat conforme al que
5. Les dades de caràcter personal han de ser
disposa la Llei orgànica 15/1999, de 13 de desembre. exactes i han d’estar posades al dia de forma que
b) Les guies de serveis de comunicacions electrò- responguin amb veracitat a la situació actual de
niques, en els termes que preveu la seva normativa l’afectat. Si les dades es recullen directament de
l’afectat, s’han de considerar exactes les que ell faespecı́fica.
ciliti.
c) Les llistes de persones pertanyents a grups
Si les dades de caràcter personal sotmeses a tracde professionals que continguin únicament les dades
tament
resulten ser inexactes, del tot o en part, o
del nom, tı́tol, professió, activitat, grau acadèmic,
incompletes,
s’han de cancel.lar i substituir d’ofici
adreça professional i indicació de la seva pertinença
al grup. L’adreça professional pot incloure les da- per les corresponents dades rectificades o compledes del domicili postal complet, número telefònic, tades en el termini de deu dies des que es tingui
número de fax i adreça electrònica. En el cas dels coneixement de la inexactitud, llevat que la legiscol.legis professionals, es poden indicar com a dades lació aplicable al fitxer estableixi un procediment o
de pertinença al grup les de número de col.legiat, un termini especı́fic per a això.
data d’incorporació i situació d’exercici professioQuan les dades han estat comunicades prèvianal.
ment, el responsable del fitxer o tractament ha de
notificar al cessionari, en el termini de deu dies, la
d) Els diaris i butlletins oficials.
rectificació o cancel.lació efectuada, sempre que el
e) Els mitjans de comunicació social.
cessionari sigui conegut.
2. En tot cas, perquè els supòsits enumerats a
En el termini de deu dies des de la recepció de
l’apartat anterior puguin ser considerats fonts ac- la notificació, el cessionari que mantingui el tractacessibles al públic, és necessari que la seva consulta ment de les dades ha de procedir a la rectificació i
la pugui fer qualsevol persona, no impedida per una cancel.lació notificada.
norma limitativa, o sense més exigència que, si s’esAquesta actualització de les dades de caràccau, l’abonament d’una contraprestació.
ter personal no requereix cap comunicació a l’inTÍTOL II. Principis de protecció de dades
teressat, sense perjudici de l’exercici dels drets per
part dels interessats reconeguts a la Llei orgànica
CAPÍTOL I. Qualitat de les dades
15/1999, de 13 de desembre.
Article 8. Principis relatius a la qualitat de
El que disposa aquest apartat s’entén sense perles dades
judici de les facultats que als afectats reconeix el
1. Les dades de caràcter personal han de ser tı́tol III d’aquest Reglament.
tractades de manera lleial i lı́cita. Es prohibeix la
6. Les dades de caràcter personal s’han de
recollida de dades per mitjans fraudulents, deslleials
.lar quan han deixat de ser necessàries o per.
cancel
o il lı́cits.
tinents per a la finalitat per a la qual han estat
2. Les dades de caràcter personal només poden sol.licitades o registrades.
ser recollides per al compliment de finalitats deterNo obstant això, es poden conservar durant el
minades, explı́cites i legı́times del responsable del
temps
en què es pugui exigir algun tipus de respontractament.
sabilitat derivada d’una relació o obligació jurı́dica
3. Les dades de caràcter personal objecte de o de l’execució d’un contracte o de l’aplicació de metractament no es poden fer servir per a finalitats sures precontractuals sol.licitades per l’interessat.
incompatibles amb aquelles per a les quals les daUna vegada complert el perı́ode a què es refereides han estat recollides.
xen els paràgrafs anteriors, les dades només poden
4. Només poden ser objecte de tractament les ser conservades amb la seva dissociació prèvia, sendades que siguin adequades, pertinents i no exces- se perjudici de l’obligació de bloqueig que preveuen
sives en relació amb les finalitats determinades, ex- la Llei orgànica 15/1999, de 13 de desembre, i el
plı́cites i legı́times per a les quals s’han obtingut.
present Reglament.
86
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
7. Les dades de caràcter personal s’han de trac- preveu l’article 1 de la Llei orgànica 15/1999, de 13
tar de manera que permetin l’exercici del dret d’ac- de desembre.
cés, mentre no sigui procedent cancel.lar-les.
El tractament o la cessió de les dades siguin neArticle 9. Tractament amb fins estadı́stics, cessaris perquè el responsable del tractament comhistòrics o cientı́fics
pleixi un deure que li imposi una de les normes es1. No es considera incompatible, a l’efecte que mentades.
preveu l’apartat 3 de l’article anterior, el tractament
b) Les dades objecte de tractament o de cessió
de les dades de caràcter personal amb fins històrics, figurin en fonts accessibles al públic i el responsable
estadı́stics o cientı́fics.
del fitxer, o el tercer a qui es comuniquin les daPer tal de determinar els fins a què es refereix des tingui un interès legı́tim per al seu tractament
el paràgraf anterior, cal atenir-se a la legislació que o coneixement, sempre que no es vulnerin els drets
en cada cas sigui aplicable i, en particular, al que i llibertats fonamentals de l’interessat.
disposen la Llei 12/1989, de 9 de maig, reguladora
de la funció estadı́stica pública; la Llei 16/1985, de
25 juny, del patrimoni històric espanyol, i la Llei
13/1986, de 14 d’abril, de foment i coordinació general de la investigació cientı́fica i tècnica, i les seves
respectives disposicions de desplegament, aixı́ com
la normativa autonòmica en aquestes matèries.
2. Per via d’excepció al que disposa l’apartat 6
de l’article anterior, l’Agència Espanyola de Protecció de Dades o, si s’escau, les autoritats de control
de les comunitats autònomes poden acordar, prèvia
sol.licitud del responsable del tractament i conforme al procediment que estableix la secció segona
del capı́tol VII del tı́tol IX del present Reglament,
el manteniment ı́ntegre de determinades dades, atesos els seus valors històrics, estadı́stics o cientı́fics
d’acord amb les normes a què es refereix l’apartat
anterior.
Article 10. Supòsits que legitimen el tractament o cessió de les dades
No obstant això, les administracions públiques
només poden comunicar a l’empara d’aquest apartat les dades recollides de fonts accessibles al públic
a responsables de fitxers de titularitat privada quan
estiguin autoritzades per fer-ho per una norma amb
rang de llei.
3. Les dades de caràcter personal es poden tractar sense necessitat del consentiment de l’interessat
quan:
a) Es recullin per a l’exercici de les funcions pròpies de les administracions públiques en l’àmbit de
les competències que els atribueixi una norma amb
rang de llei o una norma de dret comunitari.
b) Les sol.liciti el responsable del tractament en
ocasió de la subscripció d’un contracte o precontracte o de l’existència d’una relació negocial, laboral o
administrativa de la qual sigui part l’afectat i siguin
necessaris per al seu manteniment o compliment.
c) El tractament de les dades tingui per finalitat protegir un interès vital de l’interessat en els
1. Les dades de caràcter personal només poden termes de l’apartat 6 de l’article 7 de la Llei orgàser objecte de tractament o cessió si l’interessat hi nica 15/1999, de 13 de desembre.
ha prestat prèviament el seu consentiment.
4. És possible la cessió de les dades de caràcter
2. No obstant això, és possible el tractament
personal sense tenir el consentiment de l’interessat
o la cessió de les dades de caràcter personal sense
quan:
necessitat del consentiment de l’interessat quan:
a) La cessió respongui a la lliure i legı́tima aca) Ho autoritzi una norma amb rang de llei o una
ceptació d’una relació jurı́dica el desenvolupament,
norma de dret comunitari i, en particular, quan es
compliment i control de la qual comporti la comudoni un dels supòsits següents:
nicació de les dades. En aquest cas la comunicació
El tractament o la cessió tinguin per objecte la només és legı́tima quan es limiti a la finalitat que la
satisfacció d’un interès legı́tim del responsable del justifiqui.
tractament o del cessionari emparat per les normes
b) La comunicació que s’ha d’efectuar tingui per
esmentades, sempre que no prevalgui l’interès o els
destinatari el Defensor del Poble, el ministeri fiscal
drets i llibertats fonamentals dels interessats que
87
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
La sol.licitud del consentiment ha de fer referència a un tractament o sèrie de tractaments concrets,
amb delimitació de la finalitat per als quals se sollicita, aixı́ com de les restants condicions que concorrin en el tractament o sèrie de tractaments.
c) La cessió entre administracions públiques
2. Quan se sol.liciti el consentiment de l’afectat
quan es doni un dels supòsits següents:
per a la cessió de les seves dades, ha de ser informat
Tingui per objecte el tractament de les dades de manera que conegui inequı́vocament la finalitat
a què es destinen les dades respecte de la comunicaamb fins històrics, estadı́stics o cientı́fics.
ció de les quals se sol.licita el consentiment i el tipus
Les dades de caràcter personal les hagi recollit o d’activitat que porta a terme el cessionari. En cas
elaborat una administració pública amb destinació contrari, el consentiment és nul.
a una altra.
3. Correspon al responsable del tractament la
La comunicació es realitzi per a l’exercici de prova de l’existència del consentiment de l’afectat
competències idèntiques o que versin sobre les ma- per qualsevol mitjà de prova admissible en dret.
teixes matèries.
Article 13. Consentiment per al tractament
5. Les dades especialment protegides es poden de dades de menors d’edat
tractar i cedir en els termes que preveuen els articles
1. Es pot procedir al tractament de les dades
7 i 8 de la Llei orgànica 15/1999, de 13 de desembre.
dels més grans de catorze anys amb el seu consenEn particular, no és necessari el consentiment de timent, excepte en els casos en què la Llei exigeixi
l’interessat per a la comunicació de dades personals per a la seva prestació l’assistència dels titulars de
sobre la salut, fins i tot a través de mitjans electrò- la pàtria potestat o tutela. En el cas dels menors de
nics, entre organismes, centres i serveis del Sistema catorze anys es requereix el consentiment dels pares
Nacional de Salut, quan es faci per a l’atenció sa- o tutors.
nitària de les persones, conforme al que disposa el
2. En cap cas es poden sol.licitar dades del mecapı́tol V de la Llei 16/2003, de 28 de maig, de conor que permetin obtenir informació sobre els altres
hesió i qualitat del Sistema Nacional de Salut.
membres del grup familiar, o sobre les caracterı́stiArticle 11. Verificació de dades en sol.licituds ques del mateix grup, com ara les dades relatives a
formulades a les administracions públiques
l’activitat professional dels progenitors, informació
.
Quan es formulin sol licituds per mitjans electrò- econòmica, dades sociològiques o qualssevol altres,
nics en què l’interessat declari dades personals que sense el consentiment dels titulars d’aquestes dades.
.
constin en poder de les administracions públiques, No obstant això, es poden sol licitar les dades d’il’òrgan destinatari de la sol.licitud pot efectuar en dentitat i adreça del pare, mare o tutor amb l’única
l’exercici de les seves competències les verificacions finalitat d’obtenir l’autorització que preveu l’aparnecessàries per comprovar l’autenticitat de les da- tat anterior.
des.
3. Quan el tractament es refereixi a dades de
menors
d’edat, la informació que s’hi adreci s’ha d’CAPÍTOLII. Consentiment per al tractaexpressar
en un llenguatge que els sigui fàcilment
ment de les dades i deure d’informació
comprensible, amb expressa indicació del que disSecció primera. Obtenció del consentiment posa aquest article.
de l’afectat
4. Correspon al responsable del fitxer o tractaArticle 12. Principis generals
ment articular els procediments que garanteixin que
1. El responsable del tractament ha d’obtenir s’ha comprovat de manera efectiva l’edat del menor
el consentiment de l’interessat per al tractament de i l’autenticitat del consentiment prestat, si s’escau,
les seves dades de caràcter personal excepte en els pels pares, tutors o representants legals.
supòsits en què el consentiment no sigui exigible Article 14. Forma d’obtenir el consentiment
d’acord amb el que disposen les lleis.
o els jutges o tribunals o el Tribunal de Comptes o
les institucions autonòmiques amb funcions anàlogues al Defensor del Poble o al Tribunal de Comptes
i es realitzi en l’àmbit de les funcions que la llei els
atribueixi expressament.
88
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
1. El responsable del tractament pot sol.licitar
el consentiment de l’interessat a través del procediment que estableix aquest article, excepte quan
la Llei li exigeixi l’obtenció del consentiment exprés
per al tractament de les dades.
ment o control de la relació contractual, ha de permetre a l’afectat que manifesti expressament la seva
negativa al tractament o comunicació de dades.
En particular, aquest deure s’entén acomplert
quan es permeti a l’afectat que marqui una casella
2. El responsable es pot dirigir a l’afectat, l’ha clarament visible i que no estigui ja marcada en el
d’informar en els termes previstos en els articles 5 document que se li lliuri per a la subscripció del conde la Llei orgànica 15/1999, de 13 de desembre, i tracte o s’estableixi un procediment equivalent que
12.2 d’aquest Reglament, li ha de concedir un ter- li permeti manifestar la seva negativa al tractament.
mini de trenta dies perquè manifesti la seva negativa
Article 16. Tractament de dades de facturaal tractament, i l’ha d’advertir que, en cas que no
ció i tràfic en serveis de comunicacions eleces pronunciı̈ a aquest efecte, s’entén que consent el
tròniques
tractament de les seves dades de caràcter personal.
La sol.licitud del consentiment per al tractament
En particular, quan es tracti de responsables que
o cessió de les dades de tràfic, facturació i localitprestin un servei a l’afectat que generi informació
zació per part dels subjectes obligats o, si s’escau,
periòdica o reiterada, o facturació periòdica, la cola revocació d’aquell, segons la legislació reguladora
municació es pot portar a terme de manera conjunde les telecomunicacions s’ha de sotmetre al que esta a aquesta informació o a la facturació del servei tableix la seva normativa especı́fica i, en el que no
prestat, sempre que es faci de forma clarament vi- hi sigui contrari al que estableix la present secció.
sible.
Article 17. Revocació del consentiment
3. En tot cas, és necessari que el responsable
1. L’afectat ha de poder revocar el seu consendel tractament pugui conèixer si la comunicació ha
estat objecte de devolució, per qualsevol causa, cas timent a través d’un mitjà senzill, gratuı̈t i que no
en què no pot procedir al tractament de les dades impliqui cap ingrés per al responsable del fitxer o
tractament. En particular, es considera ajustat al
referides a aquest interessat.
present Reglament el procediment en què la dita
4. S’ha de facilitar a l’interessat un mitjà senzill negativa es pugui efectuar, entre d’altres, mitjani gratuı̈t per manifestar la seva negativa al tracçant un enviament prefranquejat al responsable del
tament de les dades. En particular, es consideren
tractament o la trucada a un número telefònic graajustats al present Reglament els procediments en
tuı̈t o als serveis d’atenció al públic que aquest ha
què la dita negativa es pugui efectuar, entre d’altres,
establert.
mitjançant un enviament prefranquejat al responsaNo es consideren conformes al que disposa la Llei
ble del tractament, la trucada a un número telefònic
orgànica
15/1999, de 13 de desembre, els supòsits en
gratuı̈t o als serveis d’atenció al públic que aquest
què
el
responsable
estableix com a mitjà perquè l’inha establert.
teressat
pugui
manifestar
que es nega al tractament
5. Quan se sol.liciti el consentiment de l’inte- l’enviament de cartes certificades o enviaments semressat a través del procediment establert en aquest blants, la utilització de serveis de telecomunicacions
article, no és possible tornar-lo a sol.licitar respecte
que impliquin una tarifació addicional a l’afectat o
dels mateixos tractaments i per a les mateixes finaqualssevol altres mitjans que impliquin un cost adlitats en el termini d’un any a comptar de la data
dicional a l’interessat.
de l’anterior sol.licitud.
2. El responsable ha de cessar en el tractament
Article 15. Sol.licitud del consentiment en el
de les dades en el termini màxim de deu dies a compmarc d’una relació contractual per a fins que
tar de la recepció de la revocació del consentiment,
no s’hi relacionin directament
sense perjudici de la seva obligació de bloquejar les
Si el responsable del tractament sol.licita el con- dades d’acord amb el que disposa l’article 16.3 de
sentiment de l’afectat durant el procés de formació la Llei orgànica 15/1999, de 13 de desembre.
d’un contracte per a finalitats que no tinguin una
3. Quan l’interessat ha sol.licitat del responsarelació directa amb el manteniment, desenvolupa89
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
ble del tractament la confirmació del cessament en d’un servei al responsable no es considera comuniel tractament de les seves dades, aquest ha de res- cació de dades, sempre que es compleixi el que estapondre expressament a la sol.licitud.
bleixen la Llei orgànica 15/1999, de 13 de desembre,
4. Si les dades han estat cedides prèviament, el i el present capı́tol.
responsable del tractament, una vegada revocat el
consentiment, ho ha de comunicar als cessionaris,
en el termini que preveu l’apartat 2, perquè cessin
en el tractament de les dades en cas que encara el
mantinguin, d’acord amb l’article 16.4 de la Llei orgànica 15/1999, de 13 de desembre.
El servei prestat per l’encarregat del tractament
pot tenir o no caràcter remunerat i ser temporal o
indefinit.
No obstant això, es considera que existeix comunicació de dades quan l’accés tingui per objecte
l’establiment d’un nou vincle entre el qui accedeix
Secció segona. Deure d’informació a l’inte- a les dades i l’afectat.
ressat
2. Quan el responsable del tractament contracti
Article 18. Acreditació del compliment del la prestació d’un servei que comporti un tractament
deure d’informació
de dades personals sotmès al que disposa aquest
1. El deure d’informació a què es refereix l’arti- capı́tol ha de vetllar perquè l’encarregat del traccle 5 de la Llei orgànica 15/1999, de 13 de desembre, tament compleixi les garanties per al compliment
s’ha de portar a terme a través d’un mitjà que per- del que disposa aquest Reglament.
meti acreditar-ne el compliment, i s’ha de conservar
3. En cas que l’encarregat del tractament desmentre persisteixi el tractament de les dades de l’a- tini les dades a una altra finalitat, les comuniqui o
fectat.
les utilitzi incomplint les estipulacions del contrac2. El responsable del fitxer o tractament ha te a què es refereix l’apartat 2 de l’article 12 de
de conservar el suport en què consti el compliment la Llei orgànica 15/1999, de 13 de desembre, tamdel deure d’informar. Per a l’emmagatzematge dels bé es considera responsable del tractament, i ha de
suports, el responsable del fitxer o tractament pot respondre de les infraccions en què ha incorregut
utilitzar mitjans informàtics o telemàtics. En par- personalment.
ticular pot escanejar la documentació en suport de
No obstant això, l’encarregat del tractament no
paper, sempre que es garanteixi que en l’esmenta- incorre en responsabilitat quan, prèvia indicació exda automatització no s’ha produı̈t cap alteració dels pressa del responsable, comunica les dades a un tersuports originals.
cer designat per aquell, a qui ha encomanat la prestació d’un servei conforme al que preveu el present
Article 19. Supòsits especials
capı́tol.
En els supòsits en què es produeixi una modificació del responsable del fitxer com a conseqüència Article 21. Possibilitat de subcontractació
d’una operació de fusió, escissió, cessió global d’ac- dels serveis
tius i passius, aportació o transmissió de negoci o
1. L’encarregat del tractament no pot subconbranca d’activitat empresarial, o qualsevol operació tractar amb un tercer la realització de cap tractade reestructuració societària de naturalesa anàloga, ment que li ha encomanat el responsable del tracque preveu la normativa mercantil, no s’ha de pro- tament, llevat que n’ha obtingut autorització per
duir cessió de dades, sense perjudici del compliment fer-ho. En aquest cas, la contractació sempre s’ha
per part del responsable del que disposa l’article 5 d’efectuar en nom i per compte del responsable del
de la Llei orgànica 15/1999, de 13 de desembre.
tractament.
CAPÍTOL III. Encarregat del tractament
2. No obstant el que disposa l’apartat anterior,
és
possible
fer la subcontractació sense necessitat
Article 20. Relacions entre el responsable i
d’autorització
sempre que es compleixin els requil’encarregat del tractament
sits següents:
1. L’accés a les dades per part d’un encarregat
a) Que s’especifiquin en el contracte els serveis
del tractament que sigui necessari per a la prestació
que puguin ser objecte de subcontractació i, si això
90
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
és possible, l’empresa amb la qual s’ha de subcon- tat.
tractar.
2. Aquests drets els ha d’exercir:
Quan no s’identifiqui en el contracte l’empresa
a) L’afectat, acreditant la seva identitat, de la
amb la qual s’ha de subcontractar, és necessari que
manera que preveu l’article següent.
l’encarregat del tractament comuniqui al responsab) Quan l’afectat estigui en situació d’incapable les dades que la identifiquin abans de procedir
citat o minoria d’edat que l’impossibiliti l’exercici
a la subcontractació.
personal d’aquests drets, els pot exercir el seu reb) Que el tractament de dades de caràcter perpresentant legal, cas en què és necessari que acrediti
sonal per part del subcontractista s’ajusti a les insaquesta condició.
truccions del responsable del fitxer.
c) Els drets també es poden exercir a través d’un
c) Que l’encarregat del tractament i l’empresa representant voluntari, expressament designat per
subcontractista formalitzin el contracte, en els tera l’exercici del dret. En aquest cas ha de constar
mes previstos a l’article anterior.
clarament acreditada la identitat del representat,
En aquest cas, el subcontractista és considerat mitjançant l’aportació d’una còpia del seu docuencarregat del tractament, i li és aplicable el que ment nacional d’identitat o document equivalent,
preveu l’article 20.3 d’aquest Reglament.
i la representació que li ha conferit.
3. Si durant la prestació del servei és necessari
subcontractar-ne una part i aquesta circumstància
no s’ha previst en el contracte, s’han de sotmetre al
responsable del tractament els aspectes assenyalats
a l’apartat anterior.
Quan el responsable del fitxer sigui un òrgan
de les administracions públiques o de l’Administració de Justı́cia, es pot acreditar la representació per
qualsevol mitjà vàlid en dret que deixi constància
fidedigna, o mitjançant una declaració en compareiArticle 22. Conservació de les dades per part xença personal de l’interessat.
de l’encarregat del tractament
3. Els drets es deneguen quan la sol.licitud la
1. Una vegada complerta la prestació contractual, les dades de caràcter personal han de ser destruı̈des o retornades al responsable del tractament
o a l’encarregat que aquest ha designat, com també
qualsevol suport o documents en què consti alguna
dada de caràcter personal objecte del tractament.
formuli una persona diferent de l’afectat i no s’acrediti que la dita persona actua en representació
d’aquell.
Article 24. Condicions generals per a l’exercici dels drets d’accés, rectificació, cancellació i oposició
No pertoca la destrucció de les dades quan hi
1. Els drets d’accés, rectificació, cancel.lació i
ha una previsió legal que n’exigeixi la conservació, oposició són drets independents, de tal manera que
cas en què s’ha de procedir a la devolució de les da- no es pot entendre que l’exercici de cap d’aquests
des amb la garantia del responsable del fitxer de la drets és un requisit previ per a l’exercici dels altres.
conservació esmentada.
2. S’ha de concedir a l’interessat un mitjà senzill
2. L’encarregat del tractament ha de conser- i gratuı̈t per a l’exercici dels drets d’accés, rectificavar les dades, degudament bloquejades, mentre no ció, cancel.lació i oposició.
es puguin derivar responsabilitats de la seva relació
3. L’exercici per part de l’afectat dels seus drets
amb el responsable del tractament.
d’accés, rectificació, cancel.lació i oposició és gratuı̈t
TÍTOL III. Drets d’accés,
cancel.lació i oposició
rectificació, i en cap cas pot suposar un ingrés addicional per al
responsable del tractament davant el qual s’exerceixen.
CAPÍTOL I. Disposicions generals
No es consideren conformes amb el que disposen
Article 23. Caràcter personalı́ssim
la Llei orgànica 15/1999, de 13 de desembre, i el pre1. Els drets d’accés, rectificació, cancel.lació i sent Reglament, els supòsits en què el responsable
oposició són personalı́ssims i els ha d’exercir l’afec- del tractament estableix com a mitjà perquè l’in91
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
teressat pugui exercir els seus drets l’enviament de
d) Documents acreditatius de la petició que forcartes certificades o semblants, la utilització de ser- mula, si s’escau.
veis de telecomunicacions que impliqui una tarifació
2. El responsable del tractament ha de contesaddicional a l’afectat o qualssevol altres mitjans que tar la sol.licitud que se li dirigeixi en tot cas, amb
impliquin un cost excessiu per a l’interessat.
independència que figurin o no dades personals de
4. Quan el responsable del fitxer o tractament l’afectat en els seus fitxers.
disposi de serveis de qualsevol ı́ndole per a l’aten3. En cas que la sol.licitud no compleixi els requició al públic o l’exercici de reclamacions relaciona- sits que especifica l’apartat primer, el responsable
des amb el servei prestat o els productes que s’hi del fitxer ha de sol.licitar-ne l’esmena.
ofereixen, es pot concedir a l’afectat la possibilitat
4. La resposta ha de ser conforme amb els red’exercir els seus drets d’accés, rectificació, cancellació i oposició a través dels serveis esmentats. En quisits que preveu el present tı́tol per a cada cas.
aquest cas, la identitat de l’interessat es considera
5. Correspon al responsable del tractament la
acreditada pels mitjans establerts per a la identifi- prova del compliment del deure de resposta a què
cació dels clients del responsable en la prestació dels es refereix l’apartat 2, i ha de conservar l’acreditació
seus serveis o contractació dels seus productes.
del compliment del deure esmentat.
5. El responsable del fitxer o tractament ha d’atendre la sol.licitud d’accés, rectificació, cancel.lació
o oposició exercida per l’afectat tot i que aquest
no hagi utilitzat el procediment establert especı́ficament a l’efecte per aquell, sempre que l’interessat
hagi utilitzat un mitjà que permeti acreditar l’enviament i la recepció de la sol.licitud, i que la mateixa
sol.licitud contingui els elements indicats en el paràgraf 1 de l’article següent.
6. El responsable del fitxer ha d’adoptar les mesures oportunes per garantir que les persones de la
seva organització que tenen accés a dades de caràcter personal puguin informar del procediment que
ha de seguir l’afectat per a l’exercici dels seus drets.
7. L’exercici dels drets d’accés, rectificació,
cancel.lació i oposició es pot modular per raons de
seguretat pública en els casos i amb l’abast que preveuen les lleis.
Article 25. Procediment
8. Quan les lleis aplicables a determinats fitxers
1. Excepte en el supòsit indicat en el paràgraf 4 concrets estableixin un procediment especial per a
de l’article anterior, l’exercici dels drets s’ha de por- la rectificació o cancel.lació de les dades que contetar a terme mitjançant una comunicació dirigida al nen, cal atenir-se al que aquelles lleis disposen.
responsable del fitxer, que ha de contenir:
Article 26. Exercici dels drets davant un ena) Nom i cognoms de l’interessat; fotocòpia del carregat del tractament
document nacional d’identitat, o del passaport o un
Quan els afectats exerceixin els seus drets daaltre document vàlid que l’identifiqui i, si s’escau, de
vant
un encarregat del tractament i sol.licitin l’ela persona que el representi, o instruments electròd’ell, l’encarregat ha de
nics equivalents; aixı́ com el document o instrument xercici del seu dret davant
.licitud al responsable, a fi
donar
trasllat
de
la
sol
electrònic acreditatiu d’aquesta representació. La
utilització de signatura electrònica identificativa de que ell mateix la resolgui, llevat que en la relació
l’afectat eximeix de la presentació de les fotocòpies existent amb el responsable del tractament es prevegi precisament que l’encarregat ha d’atendre, per
del DNI o document equivalent.
compte del responsable, les sol.licituds d’exercici per
El paràgraf anterior s’entén sense perjudici de part dels afectats dels seus drets d’accés, rectificala normativa especı́fica aplicable a la comprovació ció, cancel.lació o oposició.
de dades d’identitat per part de les administracions
CAPÍTOL II. Dret d’accés
públiques en els procediments administratius.
Article 27. Dret d’accés
b) Petició en què es concreta la sol.licitud.
1. El dret d’accés és el dret de l’afectat a obc) Adreça als efectes de notificacions, data i sigtenir
informació sobre si les seves pròpies dades de
natura del sol.licitant.
caràcter personal estan sent objecte de tractament,
92
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
la finalitat del tractament que, si s’escau, s’estigui butja, aquell no ha de respondre pels possibles risrealitzant, aixı́ com la informació disponible sobre cos que per a la seguretat de la informació puguin
l’origen de les dades esmentades i les comunicacions derivar de l’elecció.
realitzades o previstes d’aquestes dades.
De la mateixa manera, si el responsable ofereix
2. En virtut del dret d’accés, l’afectat pot ob- un procediment per fer efectiu el dret d’accés i l’atenir del responsable del tractament informació re- fectat exigeix que aquest dret es materialitzi a tralativa a dades concretes, a dades incloses en un de- vés d’un procediment que impliqui un cost desproterminat fitxer, o a totes les seves dades sotmeses a porcionat, quan el procediment ofert pel responsatractament.
ble produeix el mateix efecte i garanteix la mateixa
No obstant això, quan raons de complexitat es- seguretat, les despeses derivades de la seva elecció
pecial ho justifiquin, el responsable del fitxer pot han d’anar a càrrec de l’afectat.
sol.licitar de l’afectat que especifiqui els fitxers res- Article 29. Atorgament de l’accés
pecte dels quals vulgui exercir el dret d’accés, i a
1. El responsable del fitxer ha de resoldre sobre
aquest efecte li ha de facilitar una relació de tots els
la sol.licitud d’accés en el termini màxim d’un mes
fitxers.
a comptar de la recepció de la sol.licitud. Trans3. El dret d’accés és independent del que ator- corregut el termini sense que de forma expressa es
guen als afectats les lleis especials i en particular la respongui a la petició d’accés, l’interessat pot interLlei 30/1992, de 26 de novembre, de règim jurı́dic posar la reclamació que preveu l’article 18 de la Llei
de les administracions públiques i del procediment orgànica 15/1999, de 13 de desembre.
administratiu comú.
En cas que no disposi de dades de caràcter persoArticle 28. Exercici del dret d’accés
nal dels afectats, igualment els ho ha de comunicar
1. En exercir el dret d’accés, l’afectat pot optar en el mateix termini.
per rebre la informació a través d’un o diversos dels
2. Si la sol.licitud és estimada i el responsable
següents sistemes de consulta del fitxer:
no acompanya la seva comunicació amb la informació a què es refereix l’article 27.1, l’accés s’ha de fer
a) Visualització en pantalla.
efectiu durant els deu dies següents a la comunicació
b) Escrit, còpia o fotocòpia remesa per correu, esmentada.
certificat o no.
3. La informació que es proporcioni, sigui quin
c) Telecòpia.
sigui el suport en què es faciliti, s’ha de donar de
.
d) Correu electrònic o altres sistemes de comu- manera llegible i intel ligible, sense que es facin servir claus o codis que requereixin l’ús de dispositius
nicacions electròniques.
mecànics especı́fics.
e) Qualsevol altre sistema que sigui adequat a la
La informació ha d’incloure totes les dades de
configuració o implantació material del fitxer o a la
base
de l’afectat, les resultants de qualsevol elabonaturalesa del tractament, ofert pel responsable.
ració o procés informàtic, aixı́ com la informació
2. Els sistemes de consulta del fitxer que pre- disponible sobre l’origen de les dades, els cessionaveu l’apartat anterior es poden restringir en funció ris de les dades i l’especificació dels concrets usos
de la configuració o implantació material del fitxer i finalitats per als quals es van emmagatzemar les
o de la naturalesa del tractament, sempre que el dades.
que s’ofereixi a l’afectat sigui gratuı̈t i asseguri la
Article 30. Denegació de l’accés
comunicació escrita, si aquest aixı́ ho exigeix.
1. El responsable del fitxer o tractament pot de3. El responsable del fitxer, quan en faciliti l’accés, ha de complir el que estableix el tı́tol VIII d’a- negar l’accés a les dades de caràcter personal quan
el dret ja s’ha exercit en els dotze mesos anteriors a
quest Reglament.
la sol.licitud, llevat que s’acrediti un interès legı́tim
Si aquest responsable ofereix un determinat sis- a aquest efecte.
tema per fer efectiu el dret d’accés i l’afectat el re93
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
2. També s’hi pot denegar l’accés en els supòsits
en què ho prevegi una llei o una norma de dret comunitari aplicable directament o quan aquesta llei
o norma impedeixin al responsable del tractament
revelar als afectats el tractament de les dades a què
es refereixi l’accés.
sonal de l’afectat, igualment l’hi ha de comunicar
en el mateix termini.
3. Si les dades rectificades o cancel.lades han es-
xactes o incompletes.
caràcter personal han de ser conservades durant els
terminis que preveuen les disposicions aplicables o,
si s’escau, les relacions contractuals entre la persona
o l’entitat responsable del tractament i l’interessat
que van justificar el tractament de les dades.
tat cedides prèviament, el responsable del fitxer ha
de comunicar-ne la rectificació o cancel.lació efectuada al cessionari, en un termini idèntic, perquè el
3. En tot cas, el responsable del fitxer ha d’in- cessionari, també en el termini de deu dies comptats
formar l’afectat del seu dret a demanar la tutela des de la recepció de la dita comunicació, procedeide l’Agència Espanyola de Protecció de Dades o, si xi, aixı́ mateix, a rectificar o cancel.lar les dades.
s’escau, de les autoritats de control de les comuniLa rectificació o cancel.lació efectuada pel cestats autònomes, conforme al que disposa l’article 18
sionari no requereix cap comunicació a l’interessat,
de la Llei orgànica 15/1999, de 13 de desembre.
sense perjudici de l’exercici dels drets per part dels
CAPÍTOL III. Drets de rectificació i cancel- interessats que reconeix la Llei orgànica 15/1999, de
lació
13 de desembre.
Article 31. Drets de rectificació i cancel.lació Article 33. Denegació dels drets de rectifica.
1. El dret de rectificació és el dret de l’afectat ció i cancel lació
per tal que es modifiquin les dades que siguin ine1. La cancel.lació no pertoca quan les dades de
2. L’exercici del dret de cancel.lació dóna lloc
al fet que se suprimeixin les dades que siguin inadequades o excessives, sense perjudici del deure de
bloqueig conforme a aquest Reglament.
En els supòsits en què l’interessat invoqui l’exercici del dret de cancel.lació per revocar el consentiment prestat prèviament, cal atenir-se al que
disposen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
2. També es poden denegar els drets de rectificació o cancel.lació en els supòsits en què ho prevegi
una llei o una norma de dret comunitari aplicable
directament o quan aquesta llei o norma impedeixin
al responsable del tractament revelar als afectats el
tractament de les dades a què es refereixi l’accés.
Article 32. Exercici dels drets de rectificació
3. En tot cas, el responsable del fitxer ha d’ini cancel.lació
formar l’afectat del seu dret a demanar la tutela
1. La sol.licitud de rectificació ha d’indicar a de l’Agència Espanyola de Protecció de Dades o, si
quines dades es refereix i la correcció que s’ha de s’escau, de les autoritats de control de les comunifer, i ha d’anar acompanyada de la documentació tats autònomes, conforme al que disposa l’article 18
justificativa del que se sol.licita.
de la Llei orgànica 15/1999, de 13 de desembre.
.
.
En la sol licitud de cancel lació, l’interessat ha CAPÍTOL IV. Dret d’oposició
d’indicar a quines dades es refereix, i ha d’aportar
a aquest efecte la documentació que ho justifiqui, si Article 34. Dret d’oposició
s’escau.
El dret d’oposició és el dret de l’afectat per tal
que
no es porti a terme el tractament de les seves
2. El responsable del fitxer ha de resoldre sobre
dades
de caràcter personal o se cessi en aquest trac.
.
la sol licitud de rectificació o cancel lació en el tertament
en els supòsits següents:
mini màxim de deu dies a comptar de la recepció de
.
la sol licitud. Transcorregut el termini sense que de
a) Quan no sigui necessari el seu consentiment
forma expressa es respongui a la petició, l’interessat per al tractament, a conseqüència que hi hagi un
pot interposar la reclamació que preveu l’article 18 motiu legı́tim i fundat, referit a la seva situació perde la Llei orgànica 15/1999, de 13 de desembre.
sonal concreta, que ho justifiqui, sempre que una llei
En cas que no disposi de dades de caràcter per- no disposi el contrari.
94
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
b) Quan es tracti de fitxers que tinguin per finalitat la realització d’activitats de publicitat i prospecció comercial, en els termes que preveu l’article
51 d’aquest Reglament, sigui quina sigui l’empresa
responsable de la seva creació.
c) Quan el tractament tingui per finalitat l’adopció d’una decisió referida a l’afectat i basada únicament en un tractament automatitzat de les seves
dades de caràcter personal, en els termes que preveu l’article 36 d’aquest Reglament.
a) S’ha adoptat en el marc de la subscripció
o execució d’un contracte a petició de l’interessat,
sempre que se li atorgui la possibilitat d’al.legar el
que estimi pertinent, a fi de defensar el seu dret o interès. En tot cas, el responsable del fitxer ha d’informar prèviament l’afectat, de forma clara i precisa,
que s’han d’adoptar decisions amb les caracterı́stiques que assenyala l’apartat 1 i que ha de cancel.lar
les dades en cas que no s’arribi a subscriure finalment el contracte.
b) L’autoritzi una norma amb rang de llei que
estableixi mesures que garanteixin l’interès legı́tim
1. El dret d’oposició s’ha d’exercir mitjançant de l’interessat.
una sol.licitud dirigida al responsable del tractament. Quan l’oposició es faci basant-se en la lle- TÍTOL IV. Disposicions aplicables a detertra a) de l’article anterior, en la sol.licitud s’hi han minats fitxers de titularitat privada
de fer constar els motius fundats i legı́tims, relatius CAPÍTOL I. Fitxers d’informació sobre sola una situació personal concreta de l’afectat, que vència patrimonial i crèdit
justifiquen l’exercici d’aquest dret.
Secció primera. Disposicions generals
2. El responsable del fitxer ha de resoldre sobre
Article 37. Règim aplicable
la sol.licitud d’oposició en el termini màxim de deu
1. El tractament de dades de caràcter personal
dies a comptar de la recepció de la sol.licitud. Transsobre
solvència patrimonial i crèdit, que preveu l’acorregut el termini sense que de forma expressa es
partat
1 de l’article 29 de la Llei orgànica 15/1999,
respongui a la petició, l’interessat pot interposar la
de
13
de
desembre, s’ha de sotmetre al que estableireclamació que preveu l’article 18 de la Llei orgànica
xen,
amb
caràcter general, la Llei orgànica esmen15/1999, de 13 de desembre.
tada i el present Reglament.
En cas que no disposi de dades de caràcter perso2. L’exercici dels drets d’accés, rectificació,
nal dels afectats, igualment els ho ha de comunicar
.lació i oposició, en el cas dels fitxers a què
cancel
en el mateix termini.
es refereix l’apartat anterior, es regeix pel que dis3. El responsable del fitxer o tractament ha posen els capı́tols I a IV del tı́tol III del present
d’excloure del tractament les dades relatives a l’aReglament, amb els criteris següents:
fectat que exerceixi el seu dret d’oposició o denegar
a) Quan la petició d’exercici dels drets es dirimotivadament la sol.licitud de l’interessat en el tergeixi al responsable del fitxer, aquest està obligat a
mini que preveu l’apartat 2 d’aquest article.
satisfer, en qualsevol cas, els drets esmentats.
Article 36. Dret d’oposició a les decisions
b) Si la petició es dirigeix a les persones i entibasades únicament en un tractament autotats a què es presta el servei, aquestes només han
matitzat de dades
de comunicar a l’afectat les dades que s’hi refereixin
1. Els interessats tenen dret a no quedar sotme- que els han estat comunicades i facilitar la identitat
sos a una decisió amb efectes jurı́dics sobre ells madel responsable perquè, si s’escau, puguin exercir els
teixos o que els afecti de manera significativa, que es
seus drets davant d’ell.
basi únicament en un tractament automatitzat de
3. De conformitat amb l’apartat 2 de l’article
dades destinat a avaluar determinats aspectes de la
seva personalitat, com ara el seu rendiment laboral, 29 de la Llei orgànica 15/1999, de 13 de desembre,
també es poden tractar les dades de caràcter persocrèdit, fiabilitat o conducta.
nal relatives al compliment o incompliment d’obli2. No obstant això, els afectats poden quedar
gacions dineràries facilitades pel creditor o per qui
sotmesos a una de les decisions que preveu l’apar- actuı̈ pel seu compte o interès.
tat 1 quan aquesta decisió:
Article 35. Exercici del dret d’oposició
95
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
Aquestes dades s’han de conservar en fitxers creats amb l’exclusiva finalitat de facilitar informació
creditı́cia de l’afectat i el seu tractament es regeix
pel que disposa el present Reglament i, en particular, per les previsions que conté la secció segona
d’aquest capı́tol.
Secció segona. Tractament de dades relatives
al compliment o incompliment d’obligacions
dineràries facilitades pel creditor o per qui
actuı̈ pel seu compte o interès
Article 39. Informació prèvia a la inclusió
El creditor ha d’informar el deutor, en el moment en què se subscrigui el contracte i, en tot cas,
en el moment d’efectuar el requeriment a què es refereix la lletra c) de l’apartat 1 de l’article anterior,
que en cas que no es produeixi el pagament en el
terme previst per fer-ho i es compleixin els requisits
que preveu l’article esmentat, les dades relatives a
l’impagament es poden comunicar a fitxers relatius
al compliment o incompliment d’obligacions dineràries.
Article 38. Requisits per a la inclusió de les
dades
Article 40. Notificació d’inclusió
1. Només és possible incloure en aquests fitxers
1. El responsable del fitxer comú ha de notificar
dades de caràcter personal que siguin determinants als interessats respecte dels quals han registrat daper enjudiciar la solvència econòmica de l’afectat, des de caràcter personal, en el termini de trenta disempre que concorrin els requisits següents:
es des del dit registre, una referència de les que han
a) Existència prèvia d’un deute cert, vençut, exi- estat incloses, i també els ha d’informar de la posd’exercir els seus drets d’accés, rectificació,
gible, que ha resultat impagat i respecte del qual sibilitat
.lació i oposició, en els termes que estableix la
cancel
no s’ha interposat una reclamació judicial, arbitral
o administrativa, o si es tracta de serveis financers, Llei orgànica 15/1999, de 13 de desembre.
no s’ha plantejat una reclamació en els termes que
2. S’ha d’efectuar una notificació per cada deute
preveu el Reglament dels comissionats per a la de- concret i determinat amb independència que aquest
fensa del client de serveis financers, aprovat pel Re- deute es tingui amb el mateix creditor o amb diverial decret 303/2004, de 20 de febrer.
sos.
b) Que no han transcorregut sis anys des de la
3. La notificació s’ha d’efectuar a través d’un
data en què es va haver de procedir al pagament mitjà fiable, auditable i independent de l’entitat nodel deute o del venciment de l’obligació o del termi- tificadora, que li permeti acreditar l’efectiva realitni concret si aquell és de venciment periòdic.
zació dels enviaments.
c) Requeriment previ de pagament a qui corres4. En tot cas, és necessari que el responsable del
pongui el compliment de l’obligació.
fitxer pugui conèixer si la notificació ha estat objecte de devolució per qualsevol causa, cas en què no
2. No es poden incloure en els fitxers d’aquesta
naturalesa dades personals sobre les quals hi ha un pot procedir al tractament de les dades que es refeprincipi de prova que, de manera indiciària, contra- reixen a aquest interessat.
digui algun dels requisits anteriors.
No es consideren suficients perquè no es pugui
procedir al tractament de les dades referides a un
Aquesta circumstància també determina la
cancel.lació cautelar de la dada personal desfavo- interessat les devolucions en què el destinatari ha
rable en els supòsits en què ja se n’ha efectuat la refusat rebre l’enviament.
inclusió en el fitxer.
5. Si la notificació d’inclusió es retorna, el responsable del fitxer comú ha de comprovar amb l’en3. El creditor o qui actuı̈ pel seu compte o interès està obligat a conservar a disposició del res- titat creditora que l’adreça utilitzada per efectuar
ponsable del fitxer comú i de l’Agència Espanyo- la dita notificació es correspon amb la pactada conla de Protecció de Dades la documentació suficient tractualment amb el client als efectes de comunicaque acrediti el compliment dels requisits que esta- cions, i no ha d’efectuar el tractament de les dades
bleix aquest article i del requeriment previ a què es si l’entitat esmentada no confirma l’exactitud d’aquesta dada.
refereix l’article següent.
Article 41. Conservació de les dades
96
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
1. Només poden ser objecte de tractament les Article 44. Exercici dels drets d’accés, rectidades que responguin amb veracitat a la situació ficació, cancel.lació i oposició
del deute en cada moment concret.
1. L’exercici dels drets d’accés, rectificació,
El pagament o compliment del deute determina cancel.lació i oposició es regeix pel que disposen els
la cancel.lació immediata de qualsevol dada que en capı́tols I a IV del tı́tol III d’aquest Reglament, senfa referència.
se perjudici del que assenyala el present article.
2. En els restants supòsits, les dades han de ser
2. Quan l’interessat exerciti el seu dret d’accancel.lades quan s’han complert sis anys comptats cés en relació amb la inclusió de les seves dades en
a partir del venciment de l’obligació o del termini un fitxer que regula l’article 29.2 de la Llei orgàniconcret, si aquell és de venciment periòdic.
ca 15/1999, de 13 de desembre, s’han de tenir en
Article 42. Accés a la informació que conté compte les regles següents:
el fitxer
1a Si la sol.licitud es dirigeix al titular del fitxer
1. Les dades que conté el fitxer comú només
poden ser consultades per tercers quan necessitin
enjudiciar la solvència econòmica de l’afectat. En
particular, es considera que es dóna la circumstància esmentada en els supòsits següents:
comú, aquest ha de comunicar a l’afectat totes les
dades que s’hi refereixen que constin en el fitxer.
En aquest cas, el titular del fitxer comú, a més
de donar compliment al que estableix el present Reglament, ha de facilitar les avaluacions i apreciacions que sobre l’afectat s’han comunicat en els últims
a) Que l’afectat mantingui amb el tercer algun
tipus de relació contractual que encara no estigui sis mesos i el nom i l’adreça dels cessionaris.
vençuda.
2a Si la sol.licitud es dirigeix a qualsevol altra
b) Que l’afectat pretengui subscriure amb el ter- entitat que participa en el sistema, ha de comunicar a l’afectat totes les dades que s’hi refereixen a
cer un contracte que impliqui el pagament ajornat
les quals l’entitat pugui accedir, aixı́ com la identidel preu.
tat i adreça del titular del fitxer comú perquè pugui
c) Que l’afectat pretengui contractar amb el ter- completar l’exercici del seu dret d’accés.
cer la prestació d’un servei de facturació periòdica.
3. Quan l’interessat exerceixi els seus drets de
2. Els tercers han d’informar per escrit les perso- rectificació o cancel.lació en relació amb la inclusió
nes en les quals concorrin els supòsits que preveuen de les seves dades en un fitxer que regula l’article
les lletres b) i c) precedents del seu dret a consultar 29.2 de la Llei orgànica 15/1999, de 13 de desembre,
el fitxer.
s’han de tenir en compte les regles següents:
En els supòsits de contractació telefònica dels
1a Si la sol.licitud es dirigeix al titular del fitxer
productes o serveis a què es refereix el paràgraf an- comú, aquest ha de prendre les mesures oportunes
terior, la informació es pot efectuar de forma no per traslladar la dita sol.licitud a l’entitat que ha faescrita, i al tercer li correspon la prova del compli- cilitat les dades, perquè aquesta en dicti resolució.
ment del deure d’informar.
En cas que el responsable del fitxer comú no hagi
rebut contestació per part de l’entitat en el termini
Article 43. Responsabilitat
de set dies, ha de procedir a fer-ne a la rectificació
1. El creditor o qui actuı̈ pel seu compte o in- o cancel.lació cautelar.
terès s’ha d’assegurar que hi concorren tots els re2a Si la sol.licitud es dirigeix a qui ha facilitat
quisits exigits en els articles 38 i 39 en el moment de
les
dades
al fitxer comú, ha de procedir a fer-ne a la
notificar les dades adverses al responsable del fitxer
rectificació
o cancel.lació en els seus fitxers i ho ha
comú.
de notificar al titular del fitxer comú en el termini
2. El creditor o qui actuı̈ pel seu compte o in- de deu dies, i també ha de donar resposta a l’inteterès és responsable de la inexistència o inexactitud ressat en els termes que preveu l’article 33 d’aquest
de les dades que ha facilitat perquè s’incloguin en Reglament.
el fitxer, en els termes que preveu la Llei orgànica
3a Si la sol.licitud es dirigeix a una altra entitat
15/1999, de 13 de desembre.
97
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
que participa en el sistema que no ha facilitat les
dades al fitxer comú, la dita entitat ha d’informar
l’afectat sobre aquest fet en el termini màxim de
deu dies i, a més, li ha de proporcionar la identitat i adreça del titular del fitxer comú perquè, si
s’escau, pugui exercir els seus drets davant d’ell.
teixa una activitat publicitària dels seus productes
o serveis entre els seus clients, és necessari que el
tractament s’empari en algun dels supòsits que preveu l’article 6 de la Llei orgànica 15/1999, de 13 de
desembre.
1. Els qui es dediquin a la recopilació d’adreces, repartiment de documents, publicitat, venda
a distància, prospecció comercial i altres activitats
anàlogues, aixı́ com els qui realitzin aquestes activitats amb la finalitat de comercialitzar els seus propis productes o serveis o els de tercers, només poden
utilitzar noms i adreces o altres dades de caràcter
personal quan es trobin en un dels casos: següents
a) Quan els paràmetres identificatius dels destinataris de la campanya siguin fixats per l’entitat
que contracti la campanya, aquesta és responsable
del tractament de les dades.
2. En cas que una entitat contracti amb tercers o
CAPÍTOL II. Tractaments per a activitats els encarregui la realització d’una determinada camde publicitat i prospecció comercial
panya publicitària dels seus productes o serveis, i
Article 45. Dades susceptibles de tractament els encomani el tractament de determinades dades,
s’han d’aplicar les normes següents:
i informació a l’interessat
a) Figuren en alguna de les fonts accessibles al
públic a què es refereixen la lletra j) de l’article 3
de la Llei orgànica 15/1999, de 13 de desembre, i
l’article 7 d’aquest Reglament, i l’interessat no ha
manifestat la seva negativa o oposició perquè les
seves dades siguin objecte de tractament per a les
activitats descrites en aquest apartat.
b) Quan els paràmetres siguin determinats únicament per l’entitat o entitats contractades, les entitats esmentades són les responsable del tractament.
c) Quan en la determinació dels paràmetres hi
intervinguin les dues entitats, les dues són responsables del tractament.
3. En el supòsit que preveu l’apartat anterior,
l’entitat que encarregui la realització de la campanya publicitària ha d’adoptar les mesures necessàries per assegurar-se que l’entitat contractada ha
sol.licitat les dades complint les exigències que estab) Han estat facilitades pels mateixos interes- bleixen la Llei orgànica 15/1999, de 13 de desembre,
sats o obtingudes amb el seu consentiment per a i el present Reglament.
finalitats determinades, explı́cites i legı́times rela4. Als efectes que preveu aquest article, es consicionades amb l’activitat de publicitat o prospecció deren paràmetres identificatius dels destinataris les
comercial, i s’ha informat els interessats sobre els variables utilitzades per identificar el públic objecsectors especı́fics i concrets d’activitat respecte dels tiu o destinatari d’una campanya o promoció comerquals pot rebre informació o publicitat.
cial de productes o serveis que permetin delimitar
2. Quan les dades procedeixin de fonts accessi- els seus destinataris individuals.
bles al públic i es destinin a l’activitat de publicitat Article 47. Depuració de dades personals
o prospecció comercial, s’ha d’informar l’interessat
Quan dos o més responsables per si mateixos o
en cada comunicació que se li adreci de l’origen de
les dades i de la identitat del responsable del trac- mitjançant encàrrec a tercers pretenguin constatar
tament, aixı́ com dels drets que li assisteixen, amb sense consentiment dels afectats, amb fins de promoció o comercialització dels seus productes o serindicació de davant de qui es poden exercir.
veis i mitjançant un tractament encreuat dels seus
A aquest efecte, l’interessat ha de ser informat
fitxers, els qui exerceixin la condició de clients de
conforme les seves dades s’han obtingut de fonts
l’un o l’altre o de diversos, el tractament efectuat
accessibles al públic i de l’entitat de la qual s’han
aixı́ constitueix una cessió o comunicació de dades.
obtingut.
Article 48. Fitxers d’exclusió de l’enviament
Article 46. Tractament de dades en campade comunicacions comercials
nyes publicitàries
Els responsables als quals l’afectat ha manifestat
1. Perquè una entitat pugui realitzar per si ma98
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
la seva negativa a rebre publicitat poden conservar del tı́tol III d’aquest Reglament.
les mı́nimes dades imprescindibles per identificar-lo
2. Si el dret s’exerceix davant una entitat que ha
i adoptar les mesures necessàries que evitin l’enviaencarregat a un tercer la realització d’una campament de publicitat.
nya publicitària, aquella entitat està obligada, en el
Article 49. Fitxers comuns d’exclusió de l’en- termini de deu dies, des de la recepció de la comuniviament de comunicacions comercials
cació de la sol.licitud d’exercici de drets de l’afectat,
.
1. És possible la creació de fitxers comuns, de a comunicar la sol licitud al responsable del fitxer a
caràcter general o sectorial, en què siguin objecte fi que atorgui a l’afectat el seu dret en el termini de
de tractament les dades de caràcter personal que deu dies des de la recepció de la comunicació, i n’ha
siguin necessàries per evitar l’enviament de comu- de donar compte a l’afectat.
nicacions comercials als interessats que manifestin
El que disposa el paràgraf anterior s’entén sense
la seva negativa o oposició a rebre publicitat.
perjudici del deure que imposa a l’entitat esmentaA aquest efecte, els fitxers esmentats poden con- da l’apartat anterior, en tot cas, el paràgraf segon
tenir les mı́nimes dades imprescindibles per identi- de l’article 5.5 de la Llei orgànica 15/1999, de 13 de
desembre.
ficar l’afectat.
2. Quan l’afectat manifesti davant un responsable concret la seva negativa o oposició al fet que les
seves dades siguin tractades amb fins de publicitat
o prospecció comercial, aquell ha de ser informat de
l’existència dels fitxers comuns d’exclusió generals
o sectorials, aixı́ com de la identitat del seu responsable, el seu domicili i la finalitat del tractament.
L’afectat pot sol.licitar la seva exclusió respecte
Article 51. Dret d’oposició
tractar les dades dels interessats que han manifestat la seva negativa o oposició al tractament de les
seves dades amb fins de publicitat o prospecció comercial, en compliment de les restants obligacions
que estableixen la Llei orgànica 15/1999, de 13 de
desembre, i el present Reglament.
2. A aquest efecte, s’ha de concedir a l’interessat un mitjà senzill i gratuı̈t per oposar-se al tractament. En particular, es considera complert el que
disposa aquest precepte quan els drets es puguin
exercir mitjançant la trucada a un número telefònic
gratuı̈t o la remissió d’un correu electrònic.
4. Els qui pretenguin efectuar un tractament
relacionat amb activitats de publicitat o prospecció
comercial han de consultar prèviament els fitxers
comuns que puguin afectar la seva actuació, a fi
d’evitar que siguin objecte de tractament les dades
dels afectats que han manifestat la seva oposició o
negativa a aquest tractament.
3. Quan el responsable del fitxer o tractament
disposi de serveis de qualsevol ı́ndole per a l’atenció
als seus clients o l’exercici de reclamacions relacionades amb el servei prestat o els productes que s’hi
ofereixen, s’ha de concedir a l’afectat la possibilitat d’exercir la seva oposició a través dels serveis
esmentats.
1. Els interessats tenen dret a oposar-se, prèvia
petició i sense despeses, al tractament de les dades
que els concerneixen, cas en què han de ser donats
de baixa del tractament, i s’han de cancel.lar les
informacions que sobre ells hi figurin, amb la seva
simple sol.licitud.
L’oposició a què es refereix el paràgraf anterior
d’un fitxer o tractament concret o la seva inclusió s’ha d’entendre sense perjudici del dret de l’interesen fitxers comuns d’exclosos de caràcter general o sat a revocar quan ho estimi oportú el consentiment
sectorial.
que ha atorgat, si s’escau, per al tractament de les
3. L’entitat responsable del fitxer comú pot dades.
Article 50.
cancel.lació
Drets d’accés, rectificació i
No es consideren conformes amb el que disposa la Llei orgànica 15/1999, de 13 de desembre, els
1. L’exercici dels drets d’accés, rectificació i supòsits en què el responsable del tractament estacancel.lació en relació amb els tractaments vincu- bleixi com a mitjà perquè l’interessat pugui exercir
la seva oposició l’enviament de cartes certificades
lats a activitats de publicitat i prospecció comercial
s’ha de sotmetre al que preveuen els capı́tols I a IV o enviaments semblants, la utilització de serveis de
99
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
telecomunicacions que impliqui una tarifació addi- i les entitats o organismes vinculats o que en depecional a l’afectat o qualssevol altres mitjans que im- nen, les universitats públiques, aixı́ com els òrgans
pliquin un cost excessiu per a l’interessat.
de les comunitats autònomes amb funcions anàloEn tot cas, l’exercici per part de l’afectat dels gues als òrgans constitucionals de l’Estat, cal atenirseus drets no pot suposar un ingrés addicional per se a la seva legislació especı́fica.
al responsable del tractament davant el qual s’exer4. La creació, modificació o supressió dels fitceixen.
xers dels quals siguin responsables les corporacions
4. Si el dret d’oposició s’exerceix davant una de dret públic i que estiguin relacionats amb l’eentitat que ha encomanat a un tercer la realització xercici de potestats de dret públic per aquelles s’ha
d’una campanya publicitària, aquella entitat està d’efectuar a través d’un acord dels seus òrgans de
obligada a comunicar, en el termini de deu dies des govern, en els termes que estableixin els seus resde la recepció de la comunicació de la sol.licitud d’e- pectius estatuts, i igualment han de ser objecte de
xercici de drets de l’afectat, la sol.licitud al respon- publicació en el Butlletı́ Oficial de l’Estat o diari
sable del fitxer a fi que atengui el dret de l’afectat oficial corresponent.
en el termini de deu dies des de la recepció de la Article 54. Contingut de la disposició o acord
comunicació, i n’ha de donar compte a l’afectat.
1. La disposició o acord de creació del fitxer ha
El que disposa el paràgraf anterior s’entén sense de contenir els aspectes següents:
perjudici del deure que imposa a l’entitat esmentaa) La identificació del fitxer o tractament, que
da l’apartat anterior, en tot cas, el paràgraf segon
ha d’indicar-ne la denominació, aixı́ com la descripde l’article 5.5 de la Llei orgànica 15/1999, de 13 de
ció de la finalitat i usos previstos.
desembre.
b) L’origen de les dades, amb indicació del colTÍTOL V. Obligacions prèvies al tractament
lectiu de persones sobre les quals es pretén obtenir
de les dades
dades de caràcter personal o que estiguin obligats a
CAPÍTOL I. Creació, modificació o supressió subministrar-les, el procediment de recollida de les
de fitxers de titularitat pública
dades i la seva procedència.
Article 52. Disposició o acord de creació, moc) L’estructura bàsica del fitxer, mitjançant la
dificació o supressió del fitxer
descripció detallada de les dades identificatives, i si
1. La creació, modificació o supressió dels fitxers s’escau, de les dades especialment protegides, aixı́
de titularitat pública només es pot fer per mitjà d’u- com de les restants categories de dades de caràcter
na disposició general o acord publicats en el Butlletı́ personal que hi estan incloses i el sistema de tractament utilitzat en la seva organització.
Oficial de l’Estat o diari oficial corresponent.
d) Les comunicacions de dades previstes, on s’in2. En tot cas, la disposició o acord s’ha de dictar
diquin,
si s’escau, els destinataris o categories de
i publicar amb caràcter previ a la creació, modificadestinataris.
ció o supressió del fitxer.
e) Les transferències internacionals de dades previstes a tercers paı̈sos, amb indicació, si s’escau, dels
1. Quan la disposició es refereixi als òrgans de paı̈sos de destı́ de les dades.
l’Administració General de l’Estat o a les entitats
f) Els òrgans responsables del fitxer.
o organismes vinculats o que en depenen, ha de revestir la forma d’ordre ministerial o resolució del
g) Els serveis o unitats davant els quals es puguin
titular de l’entitat o organisme corresponent.
exercir els drets d’accés, rectificació, cancel.lació i
oposició.
2. En el cas dels òrgans constitucionals de l’Estat, cal atenir-se al que estableixin les seves normes
h) El nivell bàsic, mitjà o alt de seguretat que
reguladores.
sigui exigible, d’acord amb el que estableix el tı́tol
3. En relació amb els fitxers dels quals siguin res- VIII del present Reglament.
Article 53. Forma de la disposició o acord
ponsables les comunitats autònomes, entitats locals
2. La disposició o acord de modificació del fitxer
100
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
ha d’indicar les modificacions produı̈des en qualse- al procediment que estableix la secció primera del
vol dels aspectes a què es refereix l’apartat anterior. capı́tol IV del tı́tol IX del present Reglament.
3. En les disposicions o acords que es dictin per Article 56. Tractament de dades en diferents
a la supressió dels fitxers, s’ha d’establir el destı́ que suports
s’ha de donar a les dades o, si s’escau, les previsions
1. La notificació d’un fitxer de dades de caràcter
que s’adoptin per tal de destruir-les.
personal és independent del sistema de tractament
CAPÍTOL II. Notificació i inscripció dels fit- que s’utilitza en la seva organització i del suport o
xers de titularitat pública o privada
suports utilitzats per al tractament de les dades.
Article 55. Notificació de fitxers
2. Quan les dades de caràcter personal objecte
d’un tractament estiguin emmagatzemades en diferents suports, automatitzats i no automatitzats, o
existeixi una còpia en suport no automatitzat d’un
fitxer automatitzat, només cal una sola notificació,
referida al fitxer esmentat.
1. Qualsevol fitxer de dades de caràcter personal de titularitat pública l’ha de notificar l’òrgan
competent de l’Administració responsable del fitxer
a l’Agència Espanyola de Protecció de Dades per a
la seva inscripció en el Registre General de Protecció de Dades, en el termini de trenta dies des de la Article 57. Fitxers en què hi hagi més d’un
publicació de la seva norma o acord de creació en el responsable
diari oficial corresponent.
Quan es tingui previst crear un fitxer del qual
2. Els fitxers de dades de caràcter personal de siguin responsables simultàniament diverses persotitularitat privada els ha de notificar a l’Agència Es- nes o entitats, cadascuna ha de notificar, a fi de
panyola de Protecció de Dades la persona o entitat procedir a la seva inscripció en el Registre General
privada que pretengui crear-los, amb caràcter previ de Protecció de Dades i, si s’escau, en els registres
a la seva creació. La notificació ha d’indicar la iden- de fitxers creats per les autoritats de control de les
tificació del responsable del fitxer, la identificació comunitats autònomes, la creació del fitxer corresdel fitxer, les seves finalitats i els usos previstos, el ponent.
sistema de tractament utilitzat en la seva organitza- Article 58. Notificació de la modificació o
ció, el col.lectiu de persones sobre el qual s’obtenen
supressió de fitxers
les dades, el procediment i procedència de les dades,
1. La inscripció del fitxer sempre ha d’estar acles categories de dades, el servei o unitat d’accés,
tualitzada.
Qualsevol modificació que afecti el conla indicació del nivell de mesures de seguretat bàtingut
de
la
inscripció d’un fitxer s’ha de notificar
sic, mitjà o alt exigible, i, si s’escau, la identificació
prèviament
a
l’Agència Espanyola de Protecció de
de l’encarregat del tractament on estigui ubicat el
Dades
o
a
les
autoritats de control autonòmiques
fitxer i els destinataris de cessions i transferències
competents,
a
fi
de procedir a la seva inscripció en
internacionals de dades.
el registre corresponent, conforme al que disposa
3. Quan l’obligació de notificar afecti fitxers l’article 55.
subjectes a la competència de l’autoritat de con2. Quan el responsable del fitxer decideixi
trol d’una comunitat autònoma que ha creat el seu
propi registre de fitxers, la notificació s’ha d’efectu- suprimir-lo, ho ha de notificar a l’efecte que es pro.
ar a l’autoritat autonòmica competent, que ha de cedeixi a la cancel lació de la inscripció en el registre
corresponent.
donar trasllat de la inscripció al Registre General
de Protecció de Dades.
3. Si es tracta de fitxers de titularitat pública,
El Registre General de Protecció de Dades pot
sol.licitar de les autoritats de control de les comunitats autònomes el trasllat a què refereix el paràgraf
anterior, i procedir, si no n’hi ha, a la inclusió d’ofici
del fitxer en el Registre.
4.
quan es pretengui la modificació que afecti algun
dels requisits que preveu l’article 55 o la supressió
del fitxer, s’ha d’haver adoptat, amb caràcter previ
a la notificació, la corresponent norma o acord en
els termes que preveu el capı́tol I d’aquest tı́tol.
La notificació s’ha de realitzar conforme Article 59. Models i suports per a la notifi101
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
cació
dificat.
1. L’Agència Espanyola de Protecció de Dades
ha de publicar, mitjançant la corresponent resolució del director, els models o formularis electrònics
de notificació de creació, modificació o supressió de
fitxers, que en permetin la presentació a través de
mitjans telemàtics o en suport de paper, aixı́ com,
prèvia consulta de les autoritats de protecció de dades de les comunitats autònomes, els formats per
a la comunicació telemàtica de fitxers públics per
part de les autoritats de control autonòmiques, de
conformitat amb el que estableixen els articles 55 i
58 del present Reglament.
3. La inscripció d’un fitxer en el Registre General de Protecció de Dades no eximeix el responsable
del compliment de la resta de les obligacions que
preveuen la Llei orgànica 15/1999, de 13 de desembre, i altres disposicions reglamentàries.
Article 61. Cancel.lació de la inscripció
1. Quan el responsable del tractament, en virtut del que disposa l’article 58 d’aquest Reglament,
comuniqui la supressió del fitxer, el director de l’Agència Espanyola de Protecció de Dades, amb la
tramitació prèvia del procediment establert en la
secció primera del capı́tol IV del tı́tol IX, ha de dic2. Els models o formularis electrònics de noti- tar resolució per la qual s’acordi la cancel.lació de
ficació es poden obtenir gratuı̈tament en la pàgina
la inscripció corresponent al fitxer.
web de l’Agència Espanyola de Protecció de Dades.
2. El director de l’Agència Espanyola de Pro3. El director de l’Agència Espanyola de Protec- tecció de Dades, en exercici de les seves competènció de Dades pot establir procediments simplificats cies, pot acordar d’ofici la cancel.lació de la inscripde notificació tenint en compte les circumstàncies
ció d’un fitxer quan hi concorrin circumstàncies que
que es donin en el tractament o el tipus de fitxer a
acreditin la impossibilitat de la seva existència, amb
què es refereixi la notificació.
la tramitació prèvia del procediment establert en la
Article 60. Inscripció dels fitxers
secció segona del capı́tol IV del tı́tol IX d’aquest
1. El director de l’Agència Espanyola de Pro- Reglament.
tecció de Dades, a proposta del Registre General de Article 62. Rectificació d’errors
Protecció de Dades, ha de dictar resolució per la
El Registre General de Protecció de Dades pot
qual s’acorda, si s’escau, la inscripció, una vegada
rectificar en qualsevol moment, d’ofici o a instància
tramitat el procediment que preveu el capı́tol IV del
dels interessats, els errors materials, de fet o arittı́tol IX.
mètics, que hi pugui haver en les inscripcions, de
2. La inscripció ha de contenir el codi assignat conformitat amb el que disposa l’article 105 de la
pel Registre, la identificació del responsable del fit- Llei 30/1992, de 26 de novembre.
xer, la identificació del fitxer o tractament, la desArticle 63. Inscripció d’ofici de fitxers de ticripció de la seva finalitat i usos previstos, el sistularitat pública
tema de tractament utilitzat en la seva organitza1. En casos excepcionals, amb la finalitat de gació, si s’escau, el col.lectiu de persones sobre el qual
s’obtenen les dades, el procediment i procedència rantir el dret a la protecció de dades dels afectats,
de les dades, les categories de dades, el servei o uni- i sense perjudici de l’obligació de notificació, es pot
tat d’accés, i la indicació del nivell de mesures de procedir a la inscripció d’ofici d’un determinat fitxer
seguretat exigible conforme al que disposa l’article en el Registre General de Protecció de Dades.
81.
2. A fi que el que disposa l’apartat anterior sigui
aplicable és requisit indispensable que la corresponent norma o acord regulador dels fitxers que continguin dades de caràcter personal s’hagi publicat
en el corresponent diari oficial i compleixi els requisits que estableixen la Llei orgànica 15/1999, de 13
En el cas de fitxers de titularitat pública, tamde desembre, i el present Reglament.
bé s’ha de fer constar la referència de la disposició
3. El director de l’Agència Espanyola de Protecgeneral per la qual ha estat creat, i si s’escau, moAixı́ mateix s’han d’incloure, si s’escau, la identificació de l’encarregat del tractament on estigui
ubicat el fitxer i els destinataris de cessions i transferències internacionals.
102
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
ció de Dades pot acordar, a proposta del Registre
General de Protecció de Dades, la inscripció del fitxer de titularitat pública en el Registre, i s’ha de
notificar l’acord esmentat a l’òrgan responsable del
fitxer.
Quan la inscripció es refereixi a fitxers subjectes a la competència de l’autoritat de control d’una
comunitat autònoma que ha creat el seu propi registre de fitxers, s’ha de comunicar a l’esmentada
autoritat de control autonòmica perquè procedeixi,
si s’escau, a la inscripció d’ofici.
Article 64. Col.laboració amb les autoritats
de control de les comunitats autònomes
El director de l’Agència Espanyola de Protecció
de Dades pot subscriure amb els directors de les autoritats de control de les comunitats autònomes els
convenis de col.laboració o acords que estimi pertinents, a fi de garantir la inscripció en el Registre
General de Protecció de Dades dels fitxers sotmesos a la competència de les autoritats autonòmiques
esmentades.
reixi un nivell adequat de protecció conforme amb
el que preveu el capı́tol II d’aquest tı́tol.
b) Quan la transferència es trobi en un dels supòsits que preveuen els apartats a) a j) de l’article
34 de la Llei orgànica 15/1999, de 13 de desembre.
3. En tot cas, la transferència internacional de
dades ha de ser notificada a fi de procedir a la seva inscripció en el Registre General de Protecció de
Dades, conforme al procediment establert en la secció primera del capı́tol IV del tı́tol IX del present
Reglament.
CAPÍTOL II. Transferències a estats que
proporcionin un nivell adequat de protecció
Article 67. Nivell adequat de protecció acordat per l’Agència Espanyola de Protecció de
Dades
1. No cal l’autorització del director de l’Agència
Espanyola de Protecció de Dades a una transferència internacional de dades quan les normes aplicables a l’Estat en què estigui l’importador ofereixin
l’esmentat nivell adequat de protecció segons el paTÍTOL VI. Transferències internacionals de
rer del director de l’Agència Espanyola de Protecció
dades
de Dades.
CAPÍTOL I. Disposicions generals
El caràcter adequat del nivell de protecció que
Article 65. Compliment de les disposicions ofereix el paı́s de destı́ s’ha d’avaluar atenent totes
de la Llei orgànica 15/1999, de 13 de desem- les circumstàncies que concorrin en la transferència
bre
o categoria de transferència de dades. En particuLa transferència internacional de dades no ex- lar, s’ha de prendre en consideració la naturalesa
clou en cap cas l’aplicació de les disposicions que de les dades, la finalitat i la durada del tractament
contenen la Llei orgànica 15/1999, de 13 de desem- o dels tractaments previstos, el paı́s d’origen i el
paı́s de destı́ final, les normes de dret, generals o
bre, i el present Reglament.
sectorials, vigents al paı́s tercer de què es tracti, el
Article 66. Autorització i notificació
contingut dels informes de la Comissió de la Unió
1. Perquè la transferència internacional de da- Europea, aixı́ com les normes professionals i les medes es pugui considerar conforme amb el que dis- sures de seguretat en vigor en els paı̈sos esmentats.
posen la Llei orgànica 15/1999, de 13 de desembre,
Les resolucions del director de l’Agència Espai el present Reglament, és necessària l’autorització nyola de Protecció de Dades per les quals s’acordi
del director de l’Agència Espanyola de Protecció de que un determinat paı́s proporciona un nivell adeDades, que s’ha d’atorgar en cas que l’exportador quat de protecció de dades s’han de publicar en el
aporti les garanties a què es refereix l’article 70 del Butlletı́ Oficial de l’Estat.
present Reglament.
2. El director de l’Agència Espanyola de ProtecL’autorització s’ha d’atorgar conforme al proce- ció de Dades ha d’acordar la publicació de la relació
diment que estableix la secció primera del capı́tol V de paı̈sos el nivell de protecció del quals ha estat
del tı́tol IX d’aquest Reglament.
considerat equiparable conforme al que disposa l’apartat anterior.
2. L’autorització no és necessària:
a) Quan l’Estat en què estigui l’importador ofe-
Aixı́ mateix, aquesta llista s’ha de publicar i
103
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
mantenir actualitzada a través de mitjans informà- proporcionin un nivell adequat de protecció
tics o telemàtics.
Article 70. Transferències subjectes a autoArticle 68. Nivell adequat de protecció de- rització del director de l’Agència Espanyola
clarat per la Decisió de la Comissió Europea de Protecció de Dades
No és necessària l’autorització del director de
l’Agència Espanyola de Protecció de Dades per a la
realització d’una transferència internacional de dades que tingui per importador una persona o entitat,
pública o privada, situada en el territori d’un Estat
respecte del qual la Comissió Europea ha declarat
l’existència d’un nivell adequat de protecció.
1. Quan la transferència tingui per destı́ un Estat respecte del qual la Comissió Europea no ha
declarat que existeix un nivell adequat de protecció o el director de l’Agència Espanyola de Protecció de Dades no ho considera, és necessari sol.licitar
l’autorització del director de l’Agència Espanyola de
Protecció de Dades.
Article 69. Suspensió temporal de les transferències
L’autorització de la transferència s’ha de tramitar conforme al procediment establert en la secció
primera del capı́tol V del tı́tol IX del present Re1. En els supòsits que preveuen els articles precedents, el director de l’Agència Espanyola de Pro- glament.
tecció de Dades, en ús de la potestat que li atorga
2. L’autorització pot ser atorgada en cas que el
l’article 37.1.f) de la Llei orgànica 15/1999, de 13 responsable del fitxer o tractament aporti un conde desembre, pot acordar, amb l’audiència prèvia tracte escrit, subscrit entre l’exportador i l’imporde l’exportador, la suspensió temporal de la trans- tador, en el qual constin les necessàries garanties
ferència de dades cap a un importador situat en un de respecte per la protecció de la vida privada dels
tercer Estat del qual s’ha declarat l’existència d’un afectats i els seus drets i llibertats fonamentals i es
nivell adequat de protecció, quan hi concorri alguna garanteixi l’exercici dels seus drets respectius.
de les circumstàncies següents:
A aquest efecte, es considera que estableixen les
a) Que les autoritats de protecció de dades de garanties adequades els contractes que se subscril’Estat importador o qualsevol altra de competent, guin d’acord amb el que preveuen les decisions de
en cas que no existeixin les primeres, resolguin que la Comissió Europea 2001/497/CE, de 15 de juny
l’importador ha vulnerat les normes de protecció de de 2001, 2002/16/CE, de 27 de desembre de 2001, i
dades que estableix el seu dret intern.
2004/915/CE, de 27 de desembre de 2004, o el que
b) Que hi hagi indicis racionals que s’estan vul- disposin les decisions de la Comissió que donin comnerant les normes o, si s’escau, els principis de pro- pliment al que estableix l’article 26.4 de la Directiva
tecció de dades per part de l’entitat importadora 95/46/CE.
de la transferència i que les autoritats competents
a l’Estat on estigui l’importador no han adoptat o
no han d’adoptar en el futur les mesures oportunes
per resoldre el cas en qüestió, situació de la qual
els ha advertit l’Agència Espanyola de Protecció de
Dades. En aquest cas es pot suspendre la transferència quan la seva continuació pugui generar un
risc imminent de greu perjudici als afectats.
2. La suspensió s’ha d’acordar amb la tramitació prèvia del procediment que estableix la secció
segona del capı́tol V del tı́tol IX del present Reglament. En aquests casos, la decisió del director de
l’Agència Espanyola de Protecció de Dades s’ha de
notificar a la Comissió Europea.
3. En el supòsit que preveu l’apartat anterior,
el director de l’Agència Espanyola de Protecció de
Dades pot denegar o, en ús de la potestat que li
atorga l’article 37.1.f) de la Llei orgànica 15/1999,
de 13 de desembre, suspendre temporalment, prèvia
audiència de l’exportador, la transferència, quan es
doni alguna de les circumstàncies següents:
a) Que la situació de protecció dels drets fonamentals i llibertats públiques al paı́s de destı́ o la
seva legislació impedeixin garantir el compliment ı́ntegre del contracte i l’exercici per part dels afectats
dels drets que el contracte garanteix.
b) Que l’entitat destinatària hagi incomplert
prèviament les garanties establertes en clàusules
CAPÍTOL III. Transferències a estats que no contractuals d’aquest tipus.
104
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
c) Que hi hagi indicis racionals que les garanties reixen.
ofertes pel contracte no estan sent respectades per
A aquest efecte, han de contenir regles o estànl’importador o no ho seran.
dards especı́fics que permetin harmonitzar els tracd) Que hi ha indicis racionals que els mecanis- taments de dades efectuats pels adherits, facilitar
mes d’aplicació del contracte no són efectius o no l’exercici dels drets dels afectats i afavorir el comho seran.
pliment del que disposen la Llei orgànica 15/1999,
e) Que la transferència, o la seva continuació, en de 13 de desembre, i el present Reglament.
cas que s’hagi iniciat, pugui crear una situació de
2. Els codis tipus tenen el caràcter de codis derisc de dany efectiu als afectats.
ontològics o de bona pràctica professional i són vinculants per als qui s’hi adhereixin.
La suspensió s’ha d’acordar amb la prèvia tramitació del procediment que estableix la secció segona Article 72. Iniciativa i àmbit d’aplicació
del capı́tol V del tı́tol IX del present Reglament.
1. Els codis tipus tenen caràcter voluntari.
Les resolucions del director de l’Agència Espanyola de Protecció de Dades per les quals es denegui o se suspengui una transferència internacional
de dades en virtut de les causes a què es refereix
aquest apartat s’han de notificar a la Comissió de
les Comunitats Europees quan aixı́ sigui exigible.
2. Els codis tipus de caràcter sectorial es poden
referir a la totalitat o a una part dels tractaments
portats a terme per entitats pertanyents a un mateix sector, i han de ser formulats per organitzacions representatives del sector esmentat, almenys en
el seu àmbit territorial d’aplicació, i sense perjudici
4. També es pot atorgar l’autorització per a la de la potestat de les entitats esmentades d’ajustar
transferència internacional de dades en el si de grups el codi tipus a les seves peculiaritats.
multinacionals d’empreses quan aquests grups ha3. Els codis tipus promoguts per una empresa
gin adoptat normes o regles internes en què constin
s’han de referir a la totalitat dels tractaments que
les necessàries garanties de respecte per la protecció
porta a terme la mateixa empresa.
de la vida privada i el dret fonamental a la protecció
4. Les administracions públiques i les corpode dades dels afectats i es garanteixi, aixı́ mateix, el
racions
de dret públic poden adoptar codis tipus
compliment dels principis i l’exercici dels drets que
d’acord
amb el que estableixen les normes que els
reconeix la Llei orgànica 15/1999, de 13 de desemsiguin
aplicables.
bre, i el present Reglament.
En aquest cas, perquè sigui procedent l’autorit- Article 73. Contingut
zació del director de l’Agència Espanyola de Pro1. Els codis tipus han d’estar redactats en tertecció de Dades és necessari que les normes o regles mes clars i accessibles.
siguin vinculants per a les empreses del grup i exi2. Els codis tipus han de respectar la normagibles conforme a l’ordenament jurı́dic espanyol.
tiva vigent i incloure, com a mı́nim, amb grau de
En tot cas, l’autorització del director de l’Agèn- precisió suficient:
cia Espanyola de Protecció de Dades implica l’exigia) La delimitació clara i precisa del seu àmbit
bilitat del que preveuen les normes o regles internes
d’aplicació,
les activitats a què el codi es refereix i
tant per l’Agència com pels afectats les dades dels
els
tractaments
que hi estan sotmesos.
quals hagin estat objecte de tractament.
b) Les previsions especı́fiques per a l’aplicació
TÍTOL VII. Codis tipus
dels principis de protecció de dades.
Article 71. Objecte i naturalesa
c) L’establiment d’estàndards homogenis per al
1. Els codis tipus a què es refereix l’article 32 de compliment per part dels adherits al codi de les oblila Llei orgànica 15/1999, de 13 de desembre, tenen gacions que estableix la Llei orgànica 15/1999, de
per objecte adequar el que estableixen l’esmentada 13 de desembre.
Llei orgànica i el present Reglament a les peculiad) L’establiment de procediments que facilitin
ritats dels tractaments efectuats pels qui s’hi adheals afectats l’exercici dels seus drets d’accés, rectifi105
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
cació, cancel.lació i oposició.
codis tipus
e) La determinació de les cessions i transferèn1. Els codis tipus han d’incloure procediments
cies internacionals de dades que, si s’escau, es pre- de supervisió independents per garantir el complivegin, amb indicació de les garanties que s’hagin ment de les obligacions assumides pels adherits, i
d’adoptar.
establir un règim sancionador adequat, eficaç i disf) Les accions formatives en matèria de protecció suasiu.
de dades dirigides als qui les tractin, especialment
quant a la seva relació amb els afectats.
2. El procediment que es prevegi ha de garantir:
a) Clàusules tipus per a l’obtenció del consentiment dels afectats per al tractament o cessió de les
seves dades.
c) El principi de contradicció.
a) La independència i imparcialitat de l’òrgan
g) Els mecanismes de supervisió a través dels responsable de la supervisió.
quals es garanteixi que els adherits compleixen el
b) La senzillesa, accessibilitat, celeritat i gratuı̈que estableix el codi tipus, en els termes previstos tat per a la presentació de queixes i reclamacions daa l’article 74 d’aquest Reglament.
vant l’òrgan esmentat pels eventuals incompliments
3. En particular, el codi ha de contenir:
del codi tipus.
d) Una graduació de sancions que permeti
ajustar-les a la gravetat de l’incompliment. Aquesb) Clàusules tipus per informar els afectats del tes sancions han de ser dissuasives i poden implitractament, quan les dades no s’obtinguin dels ma- car la suspensió de l’adhesió al codi o l’expulsió de
teixos afectats.
l’entitat adherida. Aixı́ mateix, pot establir-se, si
c) Models perquè els afectats exerceixin els seus s’escau, la seva publicitat.
drets d’accés, rectificació, cancel.lació i oposició.
e) La notificació a l’afectat de la decisió adoptada.
d) Models de clàusules per al compliment dels
requisits formals exigibles per a la contractació d’un
3. Aixı́ mateix, i sense perjudici del que dispoencarregat del tractament, si s’escau.
sa l’article 19 de la Llei orgànica 15/1999, de 13 de
desembre, els codis tipus poden preveure procediArticle 74. Compromisos addicionals
ments per tal de determinar mesures reparadores en
1. Els codis tipus poden incloure qualsevol altre cas que s’hagi causat un perjudici als afectats com
compromı́s addicional que els adherits assumeixin a conseqüència de l’incompliment del codi tipus.
per a un millor compliment de la legislació vigent
4. El que disposa aquest article s’aplica senen matèria de protecció de dades.
se perjudici de les competències de l’Agència Es2. A més, poden contenir qualsevol altre com- panyola de Protecció de Dades i, si s’escau, de les
promı́s que puguin establir les entitats promotores autoritats de control de les comunitats autònomes.
i, en particular, sobre:
Article 76. Relació d’adherits
a) L’adopció de mesures de seguretat addicioEl codi tipus ha d’incorporar com a annex una
nals a les que exigeixen la Llei orgànica 15/1999, de
relació
d’adherits, que s’ha de mantenir actualitza13 de desembre, i el present Reglament.
da, a disposició de l’Agència Espanyola de Protecció
b) La identificació de les categories de cessiona- de Dades.
ris o importadors de les dades.
Article 77. Dipòsit i publicitat dels codis tic) Les mesures concretes adoptades en matèria pus
de protecció dels menors o de determinats col.lectius
1. A fi que els codis tipus puguin ser consided’afectats.
rats com a tals a l’efecte del que preveuen l’article
d) L’establiment d’un segell de qualitat que 32 de la Llei orgànica 15/1999, de 13 de desembre,
identifiqui els adherits al codi.
i el present Reglament, s’han de dipositar i inscriuArticle 75. Garanties del compliment dels re en el Registre General de Protecció de Dades de
106
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
l’Agència Espanyola de Protecció de Dades o, quan
correspongui, en el registre que sigui creat per les
comunitats autònomes, que els ha de traslladar per
a la seva inclusió en el Registre General de Protecció
de Dades.
lo a la normativa general o sectorial de protecció de
dades existent en cada moment.
Aquesta avaluació ha de tenir lloc almenys cada
quatre anys, llevat que sigui necessari adaptar els
compromisos del codi a la modificació de la norma2. A aquest efecte, els codis tipus s’han de pre- tiva aplicable en un termini més curt.
sentar davant la corresponent autoritat de control, i
d) Afavorir l’accessibilitat de totes les persones,
se n’ha de tramitar la inscripció, en cas d’estar sot- amb una especial atenció a les que tinguin alguna
mesos a la decisió de l’Agència Espanyola de Pro- discapacitat o edat avançada, a tota la informació
tecció de Dades, de conformitat amb el procediment
disponible sobre el codi tipus.
que estableix el capı́tol VI del tı́tol IX d’aquest ReTÍTOL VIII. De les mesures de seguretat en
glament.
el tractament de dades de caràcter personal
3. En tot cas, l’Agència Espanyola de Protecció
de Dades ha de donar publicitat als codis tipus ins- CAPÍTOL I. Disposicions generals
crits, preferentment a través de mitjans informàtics Article 79. Abast
o telemàtics.
Els responsables dels tractaments o els fitxers i
Article 78. Obligacions posteriors a la ins- els encarregats del tractament han d’implantar les
cripció del codi tipus
mesures de seguretat d’acord amb el que disposa
Les entitats promotores o els òrgans, persones o aquest tı́tol, amb independència de quin sigui el seu
entitats que a aquest efecte es designin en el mateix sistema de tractament.
codi tipus tenen, una vegada hagi estat publicat, les Article 80. Nivells de seguretat
obligacions següents:
Les mesures de seguretat exigibles als fitxers i
a) Mantenir accessible al públic la informació tractaments es classifiquen en tres nivells: bàsic,
actualitzada sobre les entitats promotores, el con- mitjà i alt.
tingut del codi tipus, els procediments d’adhesió i
de garantia del seu compliment i la relació d’adhe- Article 81. Aplicació dels nivells de seguretat
rits a què es refereix l’article anterior.
1. Tots els fitxers o tractaments de dades de
caràcter
personal han d’adoptar les mesures de seAquesta informació s’ha de presentar de forma
guretat
qualificades
de nivell bàsic.
concisa i clara i ha d’estar permanentment accessible per mitjans electrònics.
2. S’han d’implantar, a més de les mesures de
seguretat
de nivell bàsic, les mesures de nivell mitb) Remetre a l’Agència Espanyola de Protecció
jà,
en
els
següents
fitxers o tractaments de dades de
de Dades una memòria anual sobre les activitats
caràcter
personal:
realitzades per difondre el codi tipus i promoure-hi
l’adhesió, les actuacions de verificació del complia) Els relatius a la comissió d’infraccions admiment del codi i els seus resultats, les queixes i re- nistratives o penals.
clamacions tramitades i el curs que se’ls ha donat, i
b) Aquells el funcionament dels quals es regeixi
qualsevol altre aspecte que les entitats promotores
per l’article 29 de la Llei orgànica 15/1999, de 13
considerin adequat destacar.
de desembre.
Quan es tracti de codis tipus inscrits en el rec) Aquells els responsables dels quals siguin adgistre d’una autoritat de control d’una comunitat
ministracions tributàries i es relacionin amb l’exerautònoma, la remissió s’ha de fer a l’esmentada aucici de les seves potestats tributàries.
toritat, que els de traslladar al Registre General de
d) Aquells els responsables dels quals siguin les
Protecció de Dades.
entitats financeres per a finalitats relacionades amb
c) Avaluar periòdicament l’eficàcia del codi tila prestació de serveis financers.
pus mesurant el grau de satisfacció dels afectats i,
e) Aquells els responsables dels quals siguin les
si s’escau, actualitzar-ne el contingut per adaptar107
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
entitats gestores i serveis comuns de la Seguretat Social i es relacionin amb l’exercici de les seves competències. De la mateixa manera, aquells els responsables dels quals siguin les mútues d’accidents
de treball i malalties professionals de la Seguretat
Social.
declaració de la condició de discapacitat o invalidesa de l’afectat, amb motiu del compliment de deures
públics.
7. Les mesures incloses en cadascun dels nivells
descrits anteriorment tenen la condició de mı́nims
exigibles, sense perjudici de les disposicions legals o
f) Els que continguin un conjunt de dades de reglamentàries especı́fiques vigents que puguin ser
caràcter personal que ofereixin una definició de les aplicables en cada cas o les que per pròpia iniciaticaracterı́stiques o de la personalitat dels ciutadans va adopti el responsable del fitxer.
i que permetin avaluar determinats aspectes de la
8. Als efectes de facilitar el compliment del que
seva personalitat o comportament.
disposa aquest tı́tol, quan en un sistema d’informa3. A més de les mesures de nivell bàsic i mit- ció existeixin fitxers o tractaments que, en funció
jà, les mesures de nivell alt s’han d’aplicar en els de la seva finalitat o ús concret, o de la naturalesa
següents fitxers o tractaments de dades de caràcter de les dades que continguin, requereixin l’aplicació
personal:
d’un nivell de mesures de seguretat diferent que el
a) Els que es refereixin a dades d’ideologia, afi- del sistema principal, es poden segregar d’aquest úlliació sindical, religió, creences, origen racial, salut tim, i és aplicable en cada cas el nivell de mesures de
seguretat corresponent i sempre que es puguin delio vida sexual.
mitar les dades afectades i els usuaris que hi tinguin
b) Els que continguin o es refereixin a dades ob- accés, i que això es faci constar en el document de
tingudes per a fins policials sense consentiment de seguretat.
les persones afectades.
Article 82. Encarregat del tractament
c) Els que continguin dades derivades d’actes de
1. Quan el responsable del fitxer o tractament
violència de gènere.
faciliti l’accés a les dades, als suports que les con4. Als fitxers els responsables dels quals siguin tenen o als recursos del sistema d’informació que
els operadors que prestin serveis de comunicacions les tracta, a un encarregat de tractament que presti
electròniques disponibles al públic o explotin xarxes els seus serveis en els locals del primer, s’ha de fer
públiques de comunicacions electròniques respecte a constar aquesta circumstància en el document de
les dades de tràfic i a les dades de localització, s’hi seguretat del dit responsable, i el personal de l’enhan d’aplicar, a més de les mesures de seguretat de carregat s’ha de comprometre al compliment de les
nivell bàsic i mitjà, la mesura de seguretat de nivell mesures de seguretat previstes en l’esmentat docualt que conté l’article 103 d’aquest Reglament.
ment.
5. En el cas de fitxers o tractaments de dades d’iQuan aquest accés sigui remot i s’hagi prohibit a
deologia, afiliació sindical, religió, creences, origen l’encarregat incorporar aquestes dades a sistemes o
racial, salut o vida sexual només s’han d’implantar suports diferents dels del responsable, aquest últim
les mesures de seguretat de nivell bàsic quan:
ha de fer constar aquesta circumstància en el doa) Les dades s’utilitzin amb l’única finalitat de cument de seguretat del responsable, i el personal
realitzar una transferència dinerària a les entitats de l’encarregat s’ha de comprometre al compliment
de les mesures de seguretat previstes en l’esmentat
de què els afectats siguin associats o membres.
document.
b) Es tracti de fitxers o tractaments on de for2. Si el servei el presta l’encarregat del tractama incidental o accessòria s’incloguin aquelles dades
ment
en els seus propis locals, aliens als del responsense tenir relació amb la seva finalitat1.
sable del fitxer, ha d’elaborar un document de segu6. També es poden implantar les mesures de se- retat en els termes que exigeix l’article 88 d’aquest
guretat de nivell bàsic en els fitxers o tractaments Reglament o completar el que ja hagi elaborat, si
que continguin dades relatives a la salut, referents s’escau, identificant el fitxer o tractament i el seu
exclusivament al grau de discapacitat o la simple responsable i incorporant les mesures de seguretat
108
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
a implantar en relació amb el tractament esmentat. del responsable de fitxer o tractament, o de l’encarregat del tractament, és necessari que existeixi
3. En tot cas, l’accés a les dades per part de l’encarregat del tractament està sotmès a les mesures una autorització prèvia del responsable del fitxer o
tractament, i en tot cas s’ha de garantir el nivell de
de seguretat que preveu aquest Reglament.
seguretat corresponent al tipus de fitxer tractat.
Article 83. Prestacions de serveis sense accés
2. L’autorització a què es refereix el paràgraf
a dades personals
anterior ha de constar en el document de seguretat
El responsable del fitxer o tractament ha d’a- i es pot establir per a un usuari o per a un perdoptar les mesures adequades per limitar l’accés del fil d’usuaris i se n’ha de determinar un perı́ode de
personal a dades peue les continguin o als recursos validesa.
del sistema d’informació, per a la realització de treballs que no impliquin el trtament de dades perso- Article 87. Fitxers temporals o còpies de treball de documents
nals.
1. Els fitxers temporals o còpies de documents
1 Lletra b) redactada d’acord amb la Disposició
que
s’han creat exclusivament per a la realització de
adicional quarta del Reial decret 3/2010, de 8 de
treballs
temporals o auxiliars han de complir el nigener, pel qual es egula l’Esquema Nacional de Sevell
de
seguretat
que els correspongui conforme als
guretat en l’àmbit de l’Administració Electrònica.
criteris establerts a l’article 81.
Quan es tracti de personal aliè, el contracte de
2. Qualsevol fitxer temporal o còpia de treball
prestació de serveis ha de recollir expressament la
creat
aixı́ s’ha d’esborrar o destruir una vegada deiprohibició d’accedir a les dades personals i l’obligaxi
de
ser necessari per als fins que van motivar la
ció de secret respecte a les dades que el personal
seva
creació.
hagi pogut conèixer amb motiu de la prestació del
servei.
CAPÍTOL II. Del document de seguretat
Article 84. Delegació d’autoritzacions
Article 88. El document de seguretat
Les autoritzacions que en aquest tı́tol s’atribueixen al responsable del fitxer o tractament poden ser
delegades en les persones designades a aquest efecte. En el document de seguretat hi han de constar
les persones habilitades per atorgar aquestes autoritzacions, aixı́ com aquelles en les quals recau la
delegació esmentada. En cap cas aquesta designació suposa una delegació de la responsabilitat que
correspon al responsable del fitxer.
1. El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’ı́ndole tècnica i organitzativa conformes amb
la normativa de seguretat vigent que és de compliment obligat per al personal amb accés als sistemes
d’informació.
Article 85. Accés a dades a través de xarxes
de comunicacions
2. El document de seguretat pot ser únic i ha
d’incloure tots els fitxers o tractaments, o bé individualitzat per a cada fitxer o tractament. També
es poden elaborar diferents documents de seguretat
agrupant fitxers o tractaments segons el sistema de
tractament utilitzat per a la seva organització, o bé
atenent criteris organitzatius del responsable. En
tot cas té el caràcter de document intern de l’organització.
Les mesures de seguretat exigibles als accessos
a dades de caràcter personal a través de xarxes de
comunicacions, siguin públiques o no, han de garantir un nivell de seguretat equivalent al corresponent
als accessos en mode local, conforme als criteris que
3. El document ha de contenir, com a mı́nim,
estableix l’article 80.
els aspectes següents:
Article 86. Règim de treball fora dels locals
a) Àmbit d’aplicació del document amb especidel responsable del fitxer o encarregat del ficació detallada dels recursos protegits.
tractament
b) Mesures, normes, procediments d’actuació,
1. Quan les dades personals s’emmagatzemin regles i estàndards encaminats a garantir el nivell
en dispositius portàtils o es tractin fora dels locals de seguretat exigit en aquest Reglament.
109
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
c) Funcions i obligacions del personal en relació
En aquest cas, cal atenir-se al document de seamb el tractament de les dades de caràcter personal guretat de l’encarregat a l’efecte del compliment del
incloses en els fitxers.
que disposa aquest Reglament.
d) Estructura dels fitxers amb dades de caràcter
7. El document de seguretat s’ha de mantenir
personal i descripció dels sistemes d’informació que actualitzat en tot moment i s’ha de revisar semels tracten.
pre que es produeixin canvis rellevants en el sistema
e) Procediment de notificació, gestió i resposta d’informació, en el sistema de tractament que es fa
servir, en la seva organització, en el contingut de la
davant les incidències.
informació inclosa en els fitxers o tractaments o, si
f) Els procediments de realització de còpies de s’escau, com a conseqüència dels controls periòdics
seguretat i de recuperació de les dades en els fitxers realitzats. En tot cas, s’entén que un canvi és reo tractaments automatitzats.
llevant quan pot repercutir en el compliment de les
g) Les mesures que sigui necessari adoptar per mesures de seguretat implantades.
al transport de suports i documents, aixı́ com per a
8. El contingut del document de seguretat semla destrucció dels documents i suports o, si s’escau, pre s’ha d’adequar a les disposicions vigents en mala reutilització d’aquests últims.
tèria de seguretat de les dades de caràcter personal.
4. En cas que siguin aplicables als fitxers les me- CAPÍTOL III. Mesures de seguretat aplicasures de seguretat de nivell mitjà o les mesures de bles a fitxers i tractaments automatitzats
seguretat de nivell alt, previstes en aquest tı́tol, el
Secció primera. Mesures de seguretat de nidocument de seguretat ha de contenir a més:
vell bàsic
a) La identificació del responsable o responsaArticle 89. Funcions i obligacions del persobles de seguretat.
nal
b) Els controls periòdics que s’han de realitzar
1. Les funcions i obligacions de cadascun dels
per verificar el compliment del que disposa el docuusuaris
o perfils d’usuaris amb accés a les dades
ment.
de caràcter personal i als sistemes d’informació han
5. Quan existeixi un tractament de dades per d’estar clarament definides i documentades en el docompte de tercers, el document de seguretat ha de cument de seguretat.
contenir la identificació dels fitxers o tractaments
També s’han de definir les funcions de control o
que es tractin en concepte d’encarregat amb refeautoritzacions
delegades pel responsable del fitxer
rència expressa al contracte o document que reguli
o tractament.
les condicions de l’encàrrec, aixı́ com la identificació
del responsable i del perı́ode de vigència de l’encàr2. El responsable del fitxer o tractament ha d’arec.
doptar les mesures necessàries perquè el personal
6. En els casos en què dades personals d’un fit- conegui d’una forma comprensible les normes de seguretat que afectin l’exercici de les seves funcions
xer o tractament s’incorporin i es tractin de manera
exclusiva en els sistemes de l’encarregat, el respon- aixı́ com les conseqüències en què pugui incórrer en
sable ho ha d’anotar en el seu document de segu- cas d’incompliment.
retat. Quan aquesta circumstància afecti una part
o la totalitat dels fitxers o tractaments del responsable, es pot delegar en l’encarregat l’administració
del document de seguretat, excepte pel que fa a les
dades incloses en recursos propis. Aquest fet s’ha
d’indicar de manera expressa en el contracte subscrit a l’empara de l’article 12 de la Llei orgànica
15/1999, de 13 de desembre, amb especificació dels
fitxers o tractaments afectats.
Article 90. Registre d’incidències
Hi ha d’haver un procediment de notificació i
gestió de les incidències que afectin les dades de caràcter personal i s’ha d’establir un registre en què
es faci constar el tipus d’incidència, el moment en
què s’ha produı̈t, o si s’escau, detectat, la persona
que fa la notificació, a qui se li comunica, els efectes
que se’n deriven i les mesures correctores aplicades.
Article 91. Control d’accés
110
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
1. Els usuaris han de tenir accés només als re5. La identificació dels suports que continguin
cursos que necessitin per a l’exercici de les seves dades de caràcter personal que l’organització consifuncions.
deri especialment sensibles es pot realitzar utilitzant
2. El responsable del fitxer s’ha d’encarregar que sistemes d’etiquetatge comprensibles i amb signifihi hagi una relació actualitzada d’usuaris i perfils cat que permetin als usuaris amb accés autoritzat
d’usuaris, i els accessos autoritzats per a cadascun als suports i documents esmentats identificar el seu
contingut, i que en dificultin la identificació per a
d’ells.
la resta de persones.
3. El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a Article 93. Identificació i autenticació
recursos amb drets diferents dels autoritzats.
1. El responsable del fitxer o tractament ha d’adoptar
les mesures que garanteixin la correcta iden4. Exclusivament el personal autoritzat per fertificació
i autenticació dels usuaris.
ho en el document de seguretat pot concedir, alterar o anul.lar l’accés autoritzat sobre els recursos,
2. El responsable del fitxer o tractament ha d’esde conformitat amb els criteris que estableix el res- tablir un mecanisme que permeti la identificació de
ponsable del fitxer.
forma inequı́voca i personalitzada de qualsevol usu5. En cas que existeixi personal aliè al responsa- ari que intenti accedir al sistema d’informació i la
ble del fitxer que tingui accés als recursos, ha d’es- verificació conforme està autoritzat.
tar sotmès a les mateixes condicions i obligacions
3. Quan el mecanisme d’autenticació es basi en
de seguretat que el personal propi.
l’existència de contrasenyes, hi ha d’haver un procediment d’assignació, distribució i emmagatzematge
Article 92. Gestió de suports i documents
que en garanteixi la confidencialitat i integritat.
1. Els suports i documents que continguin dades
4. El document de seguretat ha d’establir la pede caràcter personal han de permetre identificar el
riodicitat,
que en cap cas ha de ser superior a un
tipus d’informació que contenen, han de ser invenany,
amb
què
s’han de canviar les contrasenyes que,
tariats i només hi ha de poder accedir el personal
mentre
estiguin
vigents, s’han d’emmagatzemar de
autoritzat per fer-ho en el document de seguretat.
forma inintel.ligible.
S’exceptuen aquestes obligacions quan les caracterı́stiques fı́siques del suport impossibilitin el seu Article 94. Còpies de seguretat i recuperació
compliment, i n’ha de quedar constància motivada
1. S’han d’establir procediments d’actuació per
en el document de seguretat.
fer, com a mı́nim setmanalment, còpies de segure2. La sortida de suports i documents que con- tat, tret que en el perı́ode esmentat no s’hagi protinguin dades de caràcter personal, inclosos els com- duı̈t cap actualització de les dades.
presos i/o annexos a un correu electrònic, fora dels
2. Aixı́ mateix, s’han d’establir procediments
locals sota el control del responsable del fitxer o per a la recuperació de les dades que garanteixin en
tractament, l’ha d’autoritzar el responsable del fit- tot moment la reconstrucció a l’estat en què estaven
xer o ha d’estar degudament autoritzada en el do- en el moment de produir-se la pèrdua o destrucció.
cument de seguretat.
Únicament en cas que la pèrdua o destrucció
3. En el trasllat de la documentació s’han d’a- afecti fitxers o tractaments parcialment automadoptar les mesures dirigides a evitar la sostracció o titzats, i sempre que l’existència de documentació
pèrdua de la informació o l’accés indegut a aquesta permeti assolir l’objectiu a què es refereix el paràdurant el seu transport.
graf anterior, s’ha de procedir a gravar manualment
4. Sempre que s’hagi de rebutjar qualsevol do- les dades de manera que quedi constància motivada
cument o suport que contingui dades de caràcter d’aquest fet en el document de seguretat.
personal, s’ha de destruir o esborrar mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació que conté o la seva recuperació posterior.
3. El responsable del fitxer s’ha d’encarregar de
verificar cada sis mesos la correcta definició, funcionament i aplicació dels procediments de realització
111
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
de còpies de seguretat i de recuperació de les dades. dictàmens assolits i les recomanacions proposades.
4. Les proves anteriors a la implantació o modificació dels sistemes d’informació que tractin fitxers
amb dades de caràcter personal no s’han de fer amb
dades reals, llevat que s’asseguri el nivell de seguretat corresponent al tractament realitzat i s’anoti la
seva realització en el document de seguretat.
3. Els informes d’auditoria els ha d’analitzar el
responsable de seguretat competent, que n’ha d’elevar les conclusions al responsable del fitxer o tractament perquè adopti les mesures correctores adequades, i han de quedar a disposició de l’Agència
Espanyola de Protecció de Dades o, si s’escau, de
Si està previst realitzar proves amb dades reals, les autoritats de control de les comunitats autònoprèviament s’ha d’haver realitzat una còpia de se- mes.
guretat.
Article 97. Gestió de suports i documents
Secció segona. Mesures de seguretat de ni1. S’ha d’establir un sistema de registre d’entravell mitjà
da de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la
Article 95. Responsable de seguretat
data i hora, l’emissor, el nombre de documents o suEn el document de seguretat s’han d’assignar ports inclosos en l’enviament, el tipus d’informació
un o diversos responsables de seguretat encarregats que contenen, la forma d’enviament i la persona resde coordinar i controlar les mesures que hi estan ponsable de la recepció, que ha d’estar degudament
definides. Aquesta designació pot ser única per a autoritzada.
tots els fitxers o tractaments de dades de caràc2. Igualment s’ha de disposar d’un sistema de
ter personal o diferenciada segons els sistemes de
registre
de sortida de suports que permeti, directractament utilitzats, circumstància que s’ha de fer
tament
o
indirectament, conèixer el tipus de docuconstar clarament en el document de seguretat.
ment o suport, la data i hora, el destinatari, el nomEn cap cas aquesta designació suposa una exo- bre de documents o suports inclosos en l’enviament,
neració de la responsabilitat que correspon al res- el tipus d’informació que contenen, la forma d’enviponsable del fitxer o a l’encarregat del tractament ament i la persona responsable del lliurament, que
d’acord amb aquest Reglament.
ha d’estar degudament autoritzada.
Article 96. Auditoria
Article 98. Identificació i autenticació
1. A partir del nivell mitjà, els sistemes d’inEl responsable del fitxer o tractament ha d’estaformació i instal.lacions de tractament i emmagat- blir un mecanisme que limiti la possibilitat d’intenzematge de dades s’han de sotmetre, almenys cada tar reiteradament l’accés no autoritzat al sistema
dos anys, a una auditoria interna o externa que ve- d’informació.
rifiqui el compliment del present tı́tol.
Article 99. Control d’accés fı́sic
Amb caràcter extraordinari, s’ha de realitzar
Exclusivament el personal autoritzat en el docul’auditoria esmentada sempre que es facin modiment
de seguretat pot tenir accés als llocs on estificacions substancials en el sistema d’informació
.lats els equips fı́sics que donin suport als
guin
instal
que puguin repercutir en el compliment de les mesures de seguretat implantades, amb l’objecte de sistemes d’informació.
verificar-ne l’adaptació, adequació i eficàcia. Aques- Article 100. Registre d’incidències
ta auditoria inicia el còmput de dos anys assenyalat
1. En el registre que regula l’article 90 s’hi han
en el paràgraf anterior.
de consignar, a més, els procediments de recupera2. L’informe d’auditoria ha de dictaminar sobre l’adequació de les mesures i controls a la Llei
i el seu desplegament reglamentari, identificar les
seves deficiències i proposar les mesures correctores
o complementàries necessàries. També ha d’incloure les dades, fets i observacions en què es basin els
ció de les dades realitzats, i s’hi han d’indicar la
persona que va executar el procés, les dades restaurades i, si s’escau, quines dades ha estat necessari
gravar manualment en el procés de recuperació.
2. És necessària l’autorització del responsable
del fitxer per a l’execució dels procediments de re112
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
cuperació de les dades.
cessos han d’estar sota el control directe del responsable de seguretat competent sense que hagin de
Secció tercera. Mesures de seguretat de nipermetre la seva desactivació ni manipulació.
vell alt
4. El perı́ode mı́nim de conservació de les dades
Article 101. Gestió i distribució de suports
registrades és de dos anys.
1. La identificació dels suports s’ha de realit5. El responsable de seguretat s’ha d’encarregar
zar utilitzant sistemes d’etiquetatge comprensibles
de
revisar
almenys una vegada al mes la informació
i amb significat, que permetin als usuaris amb accés
de
control
registrada i ha d’elaborar un informe de
autoritzat als suports i documents esmentats identiles
revisions
realitzades i els problemes detectats.
ficar el seu contingut, i que dificultin la identificació
per a la resta de persones.
6. No és necessari el registre d’accessos definit
en
aquest
article en cas que es donin les circums2. La distribució dels suports que continguin datàncies
següents:
des de caràcter personal s’ha de fer xifrant les dades
esmentades o bé utilitzant un altre mecanisme que
a) Que el responsable del fitxer o del tractament
garanteixi que la dita informació no sigui accessible sigui una persona fı́sica.
o manipulada durant el seu transport.
b) Que el responsable del fitxer o del tractament
Aixı́ mateix, s’han de xifrar les dades que con- garanteixi que únicament ell té accés a les dades
tinguin els dispositius portàtils quan aquests dis- personals i les tracta.
positius estiguin fora de les instal.lacions que estan
La concurrència de les dues circumstàncies a què
sota el control del responsable del fitxer.
es refereix l’apartat anterior s’ha de fer constar ex3. S’ha d’evitar el tractament de dades de caràcter personal en dispositius portàtils que no permetin
el xifratge. En cas que sigui estrictament necessari,
s’ha de fer constar motivadament en el document
de seguretat i s’han d’adoptar mesures que tinguin
en compte els riscos de realitzar tractaments en entorns desprotegits.
pressament en el document de seguretat.
Article 104. Telecomunicacions
Quan conforme a l’article 81.3 s’hagin d’implantar les mesures de seguretat de nivell alt, la transmissió de dades de caràcter personal a través de
xarxes públiques o xarxes sense fil de comunicacions
electròniques s’ha de fer xifrant les dades esmentaArticle 102. Còpies de seguretat i recupera- des o bé utilitzant qualsevol altre mecanisme que
ció
garanteixi que la informació no sigui intel.ligible ni
S’ha de conservar una còpia de seguretat de les manipulada per tercers.
dades i dels procediments de recuperació d’aquestes CAPÍTOL IV. Mesures de seguretat aplicadades en un lloc diferent d’aquell en què estiguin els bles als fitxers i tractaments no automatitequips informàtics que els tracten, que ha de comzats
plir en tot cas les mesures de seguretat exigides en
aquest tı́tol, o utilitzant elements que garanteixin la Secció primera. Mesures de seguretat de niintegritat i recuperació de la informació, de forma vell bàsic
que sigui possible la seva recuperació.
Article 105. Obligacions comunes
Article 103. Registre d’accessos
1. A més del que disposa el present capı́tol, als
fitxers
no automatitzats els és aplicable el que dis1. De cada intent d’accés s’han de guardar, com
posen
els
capı́tols I i II del present tı́tol pel que fa
a mı́nim, la identificació de l’usuari, la data i hora
a:
en què es va realitzar, el fitxer a què s’ha accedit,
el tipus d’accés i si ha estat autoritzat o denegat.
a) Abast.
2. En cas que l’accés hagi estat autoritzat, és
necessari guardar la informació que permeti identificar el registre a què s’ha accedit.
3. Els mecanismes que permeten el registre d’ac-
b) Nivells de seguretat.
c) Encarregat del tractament.
d) Prestacions de serveis sense accés a dades per113
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
sonals.
e) Delegació d’autoritzacions.
f) Règim de treball fora dels locals del responsable del fitxer o encarregat del tractament.
g) Còpies de treball de documents.
Secció segona. Mesures de seguretat de nivell mitjà
Article 109. Responsable de seguretat
S’han de designar un o diversos responsables de
seguretat en els termes i amb les funcions que preveu l’article 95 d’aquest Reglament.
h) Document de seguretat.
Article 110. Auditoria
2. Aixı́ mateix se’ls ha d’aplicar el que estableix
Els fitxers inclosos en la present secció s’han de
la secció primera del capı́tol III del present tı́tol pel
sotmetre,
almenys cada dos anys, a una auditoria
que fa a:
interna o externa que verifiqui el compliment del
a) Funcions i obligacions del personal.
present tı́tol.
b) Registre d’incidències.
c) Control d’accés.
d) Gestió de suports.
Article 106. Criteris d’arxivament
L’arxivament dels suports o documents s’ha de
fer d’acord amb els criteris que preveu la seva respectiva legislació. Aquests criteris han de garantir
la correcta conservació dels documents, la localització i consulta de la informació i possibilitar l’exercici
dels drets d’oposició al tractament, accés, rectificació i cancel.lació.
Secció tercera. Mesures de seguretat de nivell alt
Article 111. Emmagatzematge de la informació
1. Els armaris, arxivadors o altres elements en
què s’emmagatzemin els fitxers no automatitzats
amb dades de caràcter personal han d’estar en àrees en què l’accés estigui protegit amb portes d’accés
dotades de sistemes d’obertura mitjançant una clau
o un altre dispositiu equivalent. Aquestes àrees s’han de mantenir tancades quan no sigui necessari
l’accés als documents inclosos en el fitxer.
En els casos en què no existeixi cap norma apli2. Si, ateses les caracterı́stiques dels locals de
cable, el responsable del fitxer ha d’establir els cri- què disposa el responsable del fitxer o tractament,
teris i procediments d’actuació que s’hagin de seguir no és possible complir el que estableix l’apartat anper a l’arxivament.
terior, el responsable ha d’adoptar mesures alternaArticle 107. Dispositius d’emmagatzematge tives que, degudament motivades, s’han d’incloure
en el document de seguretat.
Els dispositius d’emmagatzematge dels documents que continguin dades de caràcter personal Article 112. Còpia o reproducció
han de disposar de mecanismes que n’obstaculitzin
1. La generació de còpies o la reproducció dels
l’obertura. Quan les caracterı́stiques fı́siques d’a- documents únicament pot ser realitzada sota el conquells no permetin adoptar aquesta mesura, el res- trol del personal autoritzat en el document de seguponsable del fitxer o tractament ha d’adoptar mesu- retat.
res que impedeixin que hi puguin accedir persones
2. S’ha de procedir a la destrucció de les còpino autoritzades.
es o reproduccions rebutjades de manera que s’eviti
Article 108. Custòdia dels suports
l’accés a la informació que contenen o la seva recuMentre la documentació amb dades de caràcter peració posterior.
personal no estigui arxivada en els dispositius d’em- Article 113. Accés a la documentació
magatzematge que estableix l’article anterior, pel
1. L’accés a la documentació s’ha de limitar exfet d’estar en procés de revisió o tramitació, ja sigui prèviament o posteriorment al seu arxivament, clusivament al personal autoritzat.
la persona que se n’encarregui l’ha de custodiar i
2. S’han d’establir mecanismes que permetin
impedir en tot moment que hi pugui accedir una identificar els accessos realitzats en el cas de docupersona no autoritzada.
ments que puguin ser utilitzats per múltiples usua114
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
ris.
4. La publicació s’ha de fer aplicant els criteris
de dissociació de les dades de caràcter personal que
3. L’accés de persones no incloses en el paràgraf
anterior ha de quedar adequadament registrat d’a- a aquest efecte s’estableixin mitjançant resolució del
cord amb el procediment establert a aquest efecte director de l’Agència.
en el document de seguretat.
CAPÍTOL II. Procediment de tutela dels
drets d’accés, rectificació, cancel.lació i opoArticle 114. Trasllat de documentació
sició
Sempre que es procedeixi al trasllat fı́sic de la
documentació que conté un fitxer, s’han d’adoptar Article 117. Instrucció del procediment
mesures dirigides a impedir l’accés a la informació
1. El procediment s’ha d’iniciar a instància de
objecte de trasllat o la seva manipulació.
l’afectat o afectats, i ha d’expressar amb claredat el
TÍTOL IX. Procediments tramitats per l’A- contingut de la seva reclamació i dels preceptes de
la Llei orgànica 15/1999, de 13 de desembre, que es
gència Espanyola de Protecció de Dades
consideren vulnerats.
CAPÍTOL I. Disposicions generals
2. Un cop rebuda la reclamació a l’Agència EsArticle 115. Règim aplicable
panyola de Protecció de Dades, s’ha de traslladar
1. Els procediments tramitats per l’Agència Es- al responsable del fitxer, perquè, en el termini de
.
panyola de Protecció de Dades s’han de regir pel quinze dies, formuli les al legacions que estimi perque disposa el present tı́tol, i supletòriament per la tinents.
Llei 30/1992, de 26 de novembre, de règim jurı́dic
3. Un cop rebudes les al.legacions o transcorrede les administracions públiques i del procediment gut el termini que preveu l’apartat anterior, l’Agènadministratiu comú.
cia Espanyola de Protecció de Dades, amb els pre2. Especı́ficament són aplicables les normes re- vis informes, proves i altres actes d’instrucció perguladores del procediment administratiu comú al tinents, inclosa l’audiència de l’afectat i novament
règim de representació en els procediments esmen- del responsable del fitxer, ha de resoldre sobre la
reclamació formulada.
tats.
Article 118. Durada del procediment i efecArticle 116. Publicitat de les resolucions
tes de la falta de resolució expressa
1. L’Agència Espanyola de Protecció de Dades
1. El termini màxim per dictar i notificar resoha de fer públiques les seves resolucions, amb exlució
en el procediment de tutela de drets és de sis
cepció de les corresponents a la inscripció d’un fitmesos
a comptar de la data d’entrada a l’Agència
xer o tractament en el Registre General de ProtecEspanyola
de Protecció de Dades de la reclamació
ció de Dades i d’aquelles per les quals es resolgui
de
l’afectat
o afectats.
inscriure-hi els codis tipus, sempre que es refereixin
a procediments que s’han iniciat amb posterioritat
2. Si en aquest termini no s’ha dictat i notificat
a l’1 de gener de 2004, o corresponguin a l’arxiva- resolució expressa, l’afectat pot considerar estimada
ment d’actuacions inspectores incoades a partir de la seva reclamació per silenci administratiu positiu.
la data esmentada.
Article 119. Execució de la resolució
2. La publicació d’aquestes resolucions s’ha de
Si la resolució de tutela és estimatòria, s’ha de
fer preferentment mitjançant la seva inserció en el
requerir
el responsable del fitxer perquè, en el termilloc web de l’Agència Espanyola de Protecció de Dani
de
deu
dies següents a la notificació, faci efectiu
des, dins el termini d’un mes a comptar de la data
l’exercici
dels
drets objecte de la tutela, i ha de dode la seva notificació als interessats.
nar compte per escrit del compliment esmentat a
3. En la notificació de les resolucions s’ha d’in- l’Agència Espanyola de Protecció de Dades en un
formar expressament els interessats de la publicitat termini idèntic.
prevista a l’article 37.2 de la Llei orgànica 15/1999,
CAPÍTOL III. Procediments relatius a l’ede 13 de desembre.
xercici de la potestat sancionadora
115
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
Secció primera. Disposicions generals
prèvies amb l’objecte de determinar si es donen circumstàncies que justifiquin aquesta iniciació. En
Article 120. Àmbit d’aplicació
especial, aquestes actuacions s’han d’orientar a de1. Les disposicions que conté el present capı́tol terminar, amb tanta precisió com sigui possible, els
són aplicables als procediments relatius a l’exercici fets que puguin justificar la incoació del procedide l’Agència Espanyola de Protecció de Dades de ment, identificar la persona o òrgan que en pugui
la potestat sancionadora que li atribueixen la Llei ser responsable i fixar les circumstàncies rellevants
orgànica 15/1999, de 13 de desembre, de protecció que es puguin donar en el cas.
de dades de caràcter personal, la Llei 34/2002, d’11
2. Les actuacions prèvies les ha de portar a terde juliol, de serveis de la societat de la informació
me
d’ofici l’Agència Espanyola de Protecció de Dai de comerç electrònic, i la Llei 32/2003, de 3 de
des,
o bé per iniciativa pròpia o com a conseqüència
novembre, general de telecomunicacions.
de l’existència d’una denúncia o una petició raona2. No obstant això, les disposicions que preve- da d’un altre òrgan.
uen l’article 121 i la secció quarta d’aquest capı́tol
3. Quan les actuacions es portin a terme com a
només són aplicables als procediments referits a l’econseqüència
de l’existència d’una denúncia o d’uxercici de la potestat sancionadora que preveu la
na
petició
raonada
d’un altre òrgan, l’Agència EsLlei orgànica 15/1999, de 13 de desembre.
panyola de Protecció de Dades ha d’acusar recepció
Article 121. Immobilització de fitxers
de la denúncia o petició, i pot sol.licitar tota la do1. En el supòsit previst com a infracció molt cumentació que estimi oportuna per poder comprogreu en la Llei orgànica 15/1999, de 13 de desem- var els fets susceptibles de motivar la incoació del
bre, consistent en la utilització o cessió il.lı́cita de les procediment sancionador.
dades de caràcter personal en què s’impedeixi greument l’exercici dels drets dels ciutadans i el lliure
desenvolupament de la personalitat que la Constitució i les lleis garanteixen o s’hi atempti en contra
de la mateixa manera, el director de l’Agència Espanyola de Protecció de Dades pot requerir, en qualsevol moment del procediment, els responsables de
fitxers o tractaments de dades de caràcter personal, tant de titularitat pública com privada, perquè
cessin en la utilització o cessió il.lı́cita de les dades.
4. Aquestes actuacions prèvies tenen una durada màxima de dotze mesos a comptar de la data
en què la denúncia o petició raonada a què es refereix l’apartat 2 hagin tingut entrada a l’Agència
Espanyola de Protecció de Dades o, en cas que no
n’hi hagin, des que el director de l’Agència acordi
la realització de les actuacions esmentades.
El venciment del termini sense que s’hagi dictat
i notificat un acord d’inici de procediment sancionador produeix la caducitat de les actuacions prèvies.
2. El requeriment ha de ser atès en el termini
improrrogable de tres dies, durant el qual el res- Article 123. Personal competent per a la reponsable del fitxer pot formular les al.legacions que alització de les actuacions prèvies
consideri convenients amb vista a l’aixecament de
1. Les actuacions prèvies les ha de portar a terla mesura.
me el personal de l’Àrea de la Inspecció de Dades
3. Si el requeriment és desatès, el director de l’A- habilitat per a l’exercici de funcions inspectores.
gència Espanyola de Protecció de Dades pot acordar, mitjançant una resolució motivada, la immobilització dels dits fitxers o tractaments, als únics
efectes de restaurar els drets de les persones afectades.
2. En supòsits excepcionals, el director de l’Agència Espanyola de Protecció de Dades pot designar per a la realització d’actuacions especı́fiques
funcionaris de la mateixa Agència no habilitats amb
caràcter general per a l’exercici de funcions inspectores o funcionaris que no prestin les seves funcions
Secció segona. Actuacions prèviesç
a l’Agència, sempre que compleixin les condicions
Article 122. Iniciació
d’idoneı̈tat i especialització necessàries per a la re1. Amb anterioritat a la iniciació del proce- alització d’aquestes actuacions. En aquests casos,
diment sancionador, es poden realitzar actuacions l’autorització ha d’indicar expressament la identificació del funcionari i les actuacions concretes prè116
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
vies d’inspecció a realitzar.
de fer constar expressament aquesta circumstància.
En tot cas, la signatura de l’inspeccionat de l’acta
3. Els funcionaris que exerceixin la inspecció a
què es refereixen els dos apartats anteriors tenen la no suposa la seva conformitat, sinó tan sols la seva
consideració d’autoritat pública en l’exercici de les recepció.
seves comeses.
S’ha de lliurar a l’inspeccionat un dels originals
de
l’acta
d’inspecció, i l’altre s’ha d’incorporar a les
Estan obligats a guardar secret sobre les inactuacions.
formacions que coneguin en l’exercici de les funcions esmentades, fins i tot després d’haver cessat en Article 126. Resultat de les actuacions prèaquestes funcions.
vies
Article 124. Obtenció d’informació
Els inspectors poden sol.licitar totes les informacions que necessitin per al compliment de les seves comeses. Amb aquesta finalitat poden requerir l’exhibició o l’enviament dels documents i dades i examinar-los en el lloc on estiguin dipositats,
obtenir-ne una còpia, inspeccionar els equips fı́sics
i lògics, aixı́ com requerir l’execució de tractaments
i programes o procediments de gestió i suport del
fitxer o fitxers subjectes a investigació, i accedir als
llocs on estiguin instal.lats.
1. Un cop finalitzades les actuacions prèvies, s’han de sotmetre a la decisió del director de l’Agència
Espanyola de Protecció de Dades.
Si de les actuacions no deriven fets susceptibles
de motivar la imputació de cap infracció, el director
de l’Agència Espanyola de Protecció de Dades ha de
dictar resolució d’arxivament, que s’ha de notificar
a l’investigat i al denunciant, si s’escau.
2. En cas d’apreciar-se l’existència d’indicis susceptibles de motivar la imputació d’una infracció,
el director de l’Agència Espanyola de Protecció de
Article 125. Actuacions presencials
Dades ha de dictar acord d’inici de procediment san1. En l’exercici de les actuacions prèvies els ins- cionador o d’infracció de les administracions públipectors designats poden realitzar visites d’inspecció ques, que s’ha de tramitar conforme al que dispoen els locals o seu de l’inspeccionat, o on estiguin sen, respectivament, les seccions tercera i quarta del
ubicats els fitxers, si s’escau. A aquest efecte, el di- present capı́tol.
rector de l’Agència Espanyola de Protecció de Da- Secció tercera. Procediment sancionador
des ha d’haver autoritzar prèviament els inspectors. Article 127. Iniciació del procediment
Les inspeccions es poden realitzar en el domicili
Amb caràcter especı́fic, l’acord d’inici del procede l’inspeccionat, a la seu o local concret relacionat
diment sancionador ha de contenir:
amb aquest o en qualsevol dels seus locals, incloa) Identificació de la persona o persones presos aquells en què el tractament el porti a terme un
sumptament responsables.
encarregat.
b) Descripció succinta dels fets imputats, la seL’autorització s’ha de limitar a indicar l’habiliva
possible
qualificació i les sancions que puguin
tació de l’inspector autoritzat i la identificació de la
correspondre,
sense perjudici del que resulti de la
persona o òrgan inspeccionat.
instrucció.
2. En el supòsit que preveu l’apartat anterior,
c) Indicació que l’òrgan competent per resoldre
les inspeccions han de concloure amb l’aixecament
sobre
el procediment és el director de l’Agència Esde l’acta corresponent, en la qual ha de quedar conspanyola
de Protecció de Dades.
tància de les actuacions practicades durant la visita
o visites d’inspecció.
d) Indicació al presumpte responsable que pot
3. L’acta, que s’ha d’emetre per duplicat, l’han
de signar els inspectors actuants i l’inspeccionat,
que hi pot fer constar les al.legacions o manifestacions que consideri convenients. En cas de negativa
de l’inspeccionat a la signatura de l’acta, s’hi ha
reconèixer voluntàriament la seva responsabilitat,
cas en què s’ha de dictar resolució directament.
e) Designació d’instructor i, si s’escau, secretari, amb indicació expressa del règim de recusació de
tots dos.
117
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
f) Indicació expressa del dret del responsable a cripció del fitxer en el Registre General de Protecció
formular al.legacions, a l’audiència en el procedi- de Dades.
ment i a proposar les proves que estimi procedents.
3. La notificació s’ha d’efectuar en suport elecg) Mesures de caràcter provisional que es pu- trònic, ja sigui mitjançant comunicació electrònica
guin acordar, si s’escau, conforme al que estableix a través d’Internet per mitjà de signatura electrònila secció primera del present capı́tol.
ca o en suport informàtic, utilitzant a aquest efecte
Article 128. Termini màxim per dictar reso- el programa d’ajuda per a la generació de notificacions que l’Agència posa a disposició dels interessats
lució
de forma gratuı̈ta.
1. El termini per dictar resolució és el que deÉs igualment vàlida la notificació efectuada en
terminin les normes aplicables a cada procediment
suport
de paper quan per emplenar-la s’hagin fet
sancionador i es computa des de la data en què es
servir
els
models o formularis publicats per l’Agèndicti l’acord d’inici fins que es produeixi la notificacia.
ció de la resolució sancionadora, o s’acrediti degudament l’intent de notificació.
4. En la notificació, el responsable del fitxer ha
de
declarar
un domicili als efectes de notificacions
2. El venciment de l’esmentat termini màxim,
en
el
procediment.
sense que s’hagi dictat i notificat resolució expressa, produeix la caducitat del procediment i l’arxivament de les actuacions. Secció quarta. Procediment de declaració d’infracció de la Llei orgànica
15/1999, de 13 de desembre, per les administracions
públiques
Article 129. Disposició general
Article 131. Especialitats en la notificació de
fitxers de titularitat pública
1. Quan es tracti de la notificació de fitxers de
titularitat pública, s’ha d’acompanyar la notificació
amb una còpia de la norma o acord de creació, modificació o supressió del fitxer a què fa referència
l’article 52 del present Reglament.
El procediment pel qual es declari l’existència
d’una infracció de la Llei orgànica 15/1999, de 13
Quan el diari oficial en què s’hagi publicat l’esde desembre, comesa per les administracions públi- mentada norma o acord sigui accessible a través
ques, és el que estableix la secció tercera d’aquest d’Internet, només s’ha d’indicar en la notificació
capı́tol.
l’adreça electrònica que permeti la seva localització
CAPÍTOL IV. Procediments relacionats concreta.
amb la inscripció o cancel.lació de fitxers
2. Un cop rebuda la notificació, si no conté la informació
preceptiva o s’hi adverteixen defectes forSecció primera. Procediment d’inscripció de
mals,
el
Registre
General de Protecció de Dades ha
la creació, modificació o supressió de fitxers
de requerir el responsable del fitxer perquè compleArticle 130. Iniciació del procediment
ti o esmeni la notificació. El termini per esmenar
.
1. El procediment s’ha d’iniciar com a conse- o millorar la sol licitud és de tres mesos en cas que
qüència de la notificació de la creació, modificació es necessiti la modificació de la norma o acord de
o supressió del fitxer per part de l’interessat o, si creació del fitxer.
s’escau, de la comunicació efectuada per les autori- Article 132. Acord d’inscripció o cancel.lació
tats de control de les comunitats autònomes, a què
Si la notificació referida a la creació, modificació
es refereix el present Reglament.
o supressió del fitxer conté la informació preceptiva i
2. La notificació s’ha d’efectuar emplenant els es compleixen les restants exigències legals, el direcmodels o formularis electrònics publicats a aquest tor de l’Agència Espanyola de Protecció de Dades,
efecte per l’Agència Espanyola de Protecció de Da- a proposta del Registre General de Protecció de Dades, en virtut del que disposa l’apartat 1 de l’article des, ha d’acordar, respectivament, la inscripció del
59 d’aquest Reglament.
fitxer, amb l’assignació del corresponent codi d’insSi es tracta de la notificació de la modificació o cripció, la modificació de la inscripció del fitxer o la
.
supressió d’un fitxer, s’hi ha d’indicar el codi d’ins- cancel lació de la inscripció corresponent.
118
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
Article 133. Improcedència o denegació de
1. El procediment per a l’obtenció de l’autoritla inscripció
zació per a les transferències internacionals de dades
El director de l’Agència Espanyola de Protecció a paı̈sos tercers a què es refereixen l’article 33 de la
de Dades, a proposta del Registre General de Pro- Llei orgànica 15/1999, de 13 de desembre, i l’article
tecció de Dades, ha de dictar resolució per la qual es 70 d’aquestReglament, sempre s’ha d’iniciar a soldenega la inscripció, modificació o cancel.lació quan licitud de l’exportador que pretengui portar a terme
dels documents aportats pel responsable del fitxer la transferència.
es desprèn que la notificació no és conforme amb
2. En la seva sol.licitud, a més dels requisits
el que disposa la Llei orgànica 15/1999, de 13 de legalment exigits, l’exportador ha de consignar, en
desembre.
tot cas:
La resolució ha de ser degudament motivada,
a) La identificació del fitxer o fitxers a les dades
amb indicació expressa de les causes que impedei- dels quals es refereixi la transferència internacional,
xen la inscripció, modificació o cancel.lació.
amb indicació de la seva denominació i codi d’insArticle 134. Durada del procediment i efec- cripció del fitxer en el Registre General de Protecció
de Dades.
tes de la falta de resolució expressa
b) La transferència o transferències respecte de
1. El termini màxim per dictar i notificar resoles
quals
se sol.licita l’autorització, amb indicació de
.
lució sobre la inscripció, modificació o cancel lació
la
finalitat
que la justifica.
és d’un mes.
c) La documentació que incorpori les garanties
2. Si en el termini esmentat no s’ha dictat i
exigibles
per a l’obtenció de l’autorització, aixı́ com
notificat resolució expressa, el fitxer s’entén inscrit,
el
compliment
dels requisits legals necessaris per fer
.
modificat o cancel lat a tots els efectes.
la transferència, si s’escau.
Secció segona. Procediment de cancel.lació
Quan l’autorització es fonamenti en l’existència
d’ofici de fitxers inscrits
d’un contracte entre l’exportador i l’importador de
Article 135. Iniciació del procediment
les dades, se n’ha d’aportar una còpia, i també s’ha
.
El procediment de cancel lació d’ofici dels fitxers d’acreditar la concurrència de poder suficient en els
inscrits en el Registre General de Protecció de Da- seus atorgants.
des sempre s’ha d’iniciar d’ofici, o bé per pròpia
Si l’autorització es pretén fundar en el que disiniciativa o en virtut de denúncia, mitjançant acord posa l’apartat 4 de l’article 70, s’han d’aportar les
del director de l’Agència Espanyola de Protecció de normes o regles adoptades en relació amb el tracDades.
tament de les dades en el si del grup, aixı́ com la
documentació que acrediti el seu caràcter vinculant
Article 136. Terminació de l’expedient
i la seva eficàcia dins del grup. Igualment s’ha d’aLa resolució, prèvia audiència de l’interessat, ha portar la documentació que acrediti la possibilitat
d’acordar si és procedent o no la cancel.lació del fit- que l’afectat o l’Agència Espanyola de Protecció de
xer.
Dades puguin exigir la responsabilitat que corresSi la resolució acorda la cancel.lació del fitxer, pongui en cas de perjudici de l’afectat o vulneració
aquesta s’ha de traslladar al Registre General de de les normes de protecció de dades per part de
Protecció de Dades perquè procedeixi a la cancel- qualsevol empresa importadora.
lació.
Article 138. Instrucció del procediment
CAPÍTOL V. Procediments relacionats amb
1. Quan el director de l’Agència Espanyola de
les transferències internacionals de dades
Protecció de Dades acordi, conforme al que disposa
Secció primera. Procediment d’autorització l’article 86.1 de la Llei 30/1992, de 26 de novembre,
l’obertura d’un perı́ode d’informació pública, el terde transferències internacionals de dades
mini per a la formulació d’al.legacions és de deu dies
Article 137. Iniciació del procediment
a comptar de la publicació en el Butlletı́ Oficial de
119
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
l’Estat de l’anunci que preveu la Llei esmentada.
2. En aquests supòsits, el director ha de dictar
un
acord d’inici referit a la suspensió temporal de
2. No és possible l’accés a la informació de l’la
transferència.
L’acord ha de ser motivat i s’ha de
expedient en què es donin les circumstàncies estafundar
en
els
supòsits
que preveu aquest Reglament.
blertes a l’article 37.5 de la Llei 30/1992, de 26 de
novembre.
Article 142. Instrucció i resolució
3. Transcorregut el termini previst a l’apartat
1. L’acord s’ha de traslladar a l’exportador, a
1, en cas que s’hagin formulat al.legacions, s’han de fi que en el termini de quinze dies formuli el que
traslladar al sol.licitant de l’autorització, a fi que en convingui al seu dret.
el termini de deu dies al.legui el que estimi proce2. Rebudes les al.legacions o complert el termident.
ni assenyalat, el director ha de dictar resolució en
Article 139. Actes posteriors a la resolució
què acordi, si s’escau, la suspensió temporal de la
1. Quan el director de l’Agència Espanyola de transferència internacional de dades.
Protecció de Dades resolgui autoritzar la transfe- Article 143. Actes posteriors a la resolució
rència internacional de dades, s’ha de traslladar la
1. El director de l’Agència Espanyola de Protecresolució d’autorització al Registre General de Pro- ció de Dades ha de traslladar la resolució al Registre
tecció de Dades, a fi de procedir a inscriure-la.
General de Protecció de Dades, a fi que la mateixa
El Registre General de Protecció de Dades ha resolució es faci constar en el Registre.
d’inscriure d’ofici l’autorització de transferència inEl Registre General de Protecció de Dades ha
ternacional.
d’inscriure d’ofici la suspensió temporal de la trans2. En tot cas, s’ha de traslladar la resolució
d’autorització o denegació de l’autorització de la
transferència internacional de dades al Ministeri de
Justı́cia, a l’efecte que es notifiqui a la Comissió
Europea i als altres estats membres de la Unió Europea, d’acord amb el que preveu l’article 26.3 de
la Directiva 95/46/CE.
ferència internacional.
2. En tot cas s’ha de traslladar la resolució al
Ministeri de Justı́cia, a l’efecte que es notifiqui a la
Comissió Europea i als altres estats membres de la
Unió Europea, d’acord amb el que preveu l’article
26.3 de la Directiva 95/46/CE.
Article 144. Aixecament de la suspensió
Article 140. Durada del procediment i efec- temporal
tes de la falta de resolució expressa
1. La suspensió s’ha d’aixecar tan bon punt
1. El termini màxim per dictar i notificar resolu- cessin les causes que la van justificar, mitjançant
ció és de tres mesos a comptar de la data d’entrada una resolució del director de l’Agència Espanyola
de la sol.licitud a l’Agència Espanyola de Protecció de Protecció de Dades, que s’ha de traslladar a l’de Dades.
exportador.
2. Si en aquest termini no s’ha dictat i notifi2. El director de l’Agència Espanyola de Proteccat resolució expressa, s’ha d’entendre autoritzada ció de Dades ha de traslladar la resolució al Registre
la transferència internacional de dades.
General de Protecció de Dades, a fi que es faci consSecció segona. Procediment de suspensió tar en el Registre.
temporal de transferències internacionals de
El Registre General de Protecció de Dades ha
dades
de fer constar d’ofici l’aixecament de la suspensió
Article 141. Iniciació
temporal de la transferència internacional.
1. En els supòsits que preveuen l’article 69 i
l’apartat 3 de l’article 70, el director de l’Agència
Espanyola de Protecció de Dades pot acordar la suspensió temporal d’una transferència internacional
de dades.
3. L’acord s’ha de notificar a l’exportador i al
Ministeri de Justı́cia, a l’efecte que el notifiqui a la
Comissió Europea i als altres estats membres de la
Unió Europea, d’acord amb el que preveu l’article
26. 3 de la Directiva 95/46/CE.
120
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
CAPÍTOL VI. Procediment d’inscripció de
codis tipus
Article 145. Iniciació del procediment
1. El procediment per a la inscripció en el Registre General de Protecció de Dades dels codis tipus
s’ha d’iniciar sempre a sol.licitud de l’entitat, òrgan
o associació promotora del codi tipus.
2. La sol.licitud, que ha de complir els requisits
Registre s’han de remetre al Gabinet Jurı́dic, a fi
que aquest informi sobre el compliment dels requisits que estableix el tı́tol VII d’aquest Reglament.
Article 147. Informació pública
1. Quan el director de l’Agència Espanyola de
Protecció de Dades acordi, conforme al que disposa
l’article 86.1 de la Llei 30/1992, de 26 de novembre,
l’obertura d’un perı́ode d’informació pública, el ter.
legalment establerts, s’ha d’acompanyar dels docu- mini per a la formulació d’al legacions és de deu dies
a comptar de la publicació en el Butlletı́ Oficial de
ments següents:
l’Estat de l’anunci que preveu la Llei esmentada.
a) Acreditació de la representació que es doni en
2. No és possible l’accés a la informació de l’la persona que presenti la sol.licitud.
expedient en què es donin les circumstàncies que
b) Contingut de l’acord, conveni o decisió pel estableix l’article 37.5 de la Llei 30/1992, de 26 de
qual s’aprova, en l’àmbit corresponent, el contingut novembre.
del codi tipus presentat.
Article 148. Millora del codi tipus
c) En cas que el codi tipus procedeixi d’un acord
Si durant la tramitació del procediment és nesectorial o una decisió d’empresa, certificació refecessària
l’aportació de nous documents o la modirida a l’adopció de l’acord i legitimació de l’òrgan
ficació
del
codi tipus presentat, l’Agència Espanyoque el va adoptar.
la de Protecció de Dades pot requerir el sol.licitant
d) En el cas que indica la lletra anterior, còpia a fi que en el termini de trenta dies introdueixi les
dels estatuts de l’associació, organització sectorial modificacions que siguin necessàries, i remeti el text
o entitat en el marc de la qual ha estat aprovat el resultant a l’Agència Espanyola de Protecció de Dacodi.
des.
e) En cas de codis tipus presentats per associS’ha de declarar la suspensió del procediment
acions o organitzacions de caràcter sectorial, docu- mentre el sol.licitant no doni compliment al requementació relativa a la seva representativitat en el riment.
sector.
Article 149. Tràmit d’audiència
f) En cas de codis tipus basats en decisions d’emEn cas que durant el tràmit que preveu l’article
presa, descripció dels tractaments a què es refereix
148
s’hagin formulat al.legacions, s’han de traslladar
el codi tipus.
al sol.licitant de l’autorització, a fi que en el termini
g) Codi tipus sotmès a l’Agència Espanyola de de deu dies al.legui el que estimi procedent.
Protecció de Dades.
Article 150. Resolució
Article 146. Anàlisis dels aspectes substan1. Complerts els termes que estableixen els artius del codi tipus
ticles precedents, el director de l’Agència ha de re1. Durant els trenta dies següents a la notifica- soldre sobre la procedència o improcedència de la
ció o esmena dels defectes, el Registre General de inscripció del codi tipus en el Registre General de
Protecció de Dades pot convocar els sol.licitants a fi Protecció de Dades.
d’obtenir aclariments o precisions relatives al con2. Quan el director de l’Agència Espanyola de
tingut substantiu del codi tipus.
Protecció de Dades resolgui autoritzar la inscrip2. Transcorregut el termini assenyalat a l’apar- ció del codi tipus, la resolució s’ha de traslladar al
tat anterior, el Registre General de Protecció de Da- Registre General de Protecció de Dades, a fi de prodes ha d’elaborar un informe sobre les caracterı́sti- cedir a fer-ne la inscripció.
ques del projecte de codi tipus.
Article 151. Durada del procediment i efec3. La documentació presentada i l’informe del tes de la falta de resolució expressa
121
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
1. El termini màxim per dictar i notificar reso- Article 154. Proposta de noves mesures comlució és de sis mesos a comptar de la data d’entrada pensatòries
de la sol.licitud a l’Agència Espanyola de Protecció
1. Si l’Agència Espanyola de Protecció de Dade Dades.
des considera insuficients les mesures compensatòri2. Si en aquest termini no s’ha dictat i notifi- es proposades pel sol.licitant, pot acordar l’adopció
cat resolució expressa, el sol.licitant pot considerar de mesures complementàries o substitutives de les
estimada la seva sol.licitud.
que el sol.licitant va proposar en la seva sol.licitud.
Article 152. Publicació dels codis tipus per
2. L’acord s’ha de traslladar al sol.licitant a fi
l’Agència Espanyola de Protecció de Dades
que exposi el que convingui al seu dret en el termini
L’Agència Espanyola de Protecció de Dades ha de quinze dies.
de donar publicitat al contingut dels codis tipus ins- Article 155. Terminació del procediment
crits en el Registre General de Protecció de Dades,
Conclosos els tràmits que preveuen els articles
fent servir per a això, amb caràcter preferent, mitprecedents, el director de l’Agència ha de dictar rejans electrònics o telemàtics.
solució, per la qual concedeixi o denegui l’exempCAPÍTOL VII. Altres procediments trami- ció del deure d’informar. La resolució pot imposar
tats per l’Agència Espanyola de Protecció de l’adopció de les mesures complementàries a què es
Dades
refereix l’article anterior.
Secció primera. Procediment d’exempció del
deure d’informació a l’interessat
Article 156. Durada del procediment i efectes de la falta de resolució expressa
Article 153. Iniciació del procediment
1. El termini màxim per dictar i notificar resolució
en el procediment és de sis mesos a comptar
1. El procediment per obtenir de l’Agència Esde
la
data d’entrada de la sol.licitud del responsapanyola de Protecció de Dades l’exempció del deure
d’informar l’interessat sobre el tractament de les se- ble del fitxer a l’Agència Espanyola de Protecció de
ves dades de caràcter personal quan sigui impossible Dades.
o exigeixi esforços desproporcionats, que preveu l’a2. Si en aquest termini no s’ha dictat i notificat
partat 5 de l’article 5 de la Llei orgànica 15/1999, resolució expressa, l’afectat pot considerar estimada
de 13 de desembre, sempre s’ha d’iniciar a petició la seva sol.licitud per silenci administratiu positiu.
del responsable que pretengui obtenir l’aplicació de
Secció segona. Procediment per a l’autoritl’exempció.
zació de conservació de dades per a fins his2. En l’escrit de sol.licitud, a més dels requisits tòrics, estadı́stics o cientı́fics
que recull l’article 70 de la Llei 30/1992, de 26 de Article 157. Iniciació del procediment
novembre, el responsable ha de:
1. El procediment per obtenir de l’Agència Esa) Identificar clarament el tractament de dades panyola de Protecció de Dades la declaració de la
a què es pretén aplicar l’exempció del deure d’infor- concurrència en un determinat tractament de dades
mar.
de valors històrics, cientı́fics o estadı́stics, a l’efecte
b) Indicar expressament els motius quant a les del que preveuen la Llei orgànica 15/1999, de 13 de
causes en què fonamenta la impossibilitat o el ca- desembre, i el present Reglament, sempre s’ha d’iniràcter desproporcionat de l’esforç que implicaria el ciar a petició del responsable que pretengui obtenir
compliment del deure d’informar.
la declaració.
c) Exposar detalladament les mesures compen2. En l’escrit de sol.licitud, el responsable ha de:
satòries que proposa realitzar en cas d’exoneració
del compliment del deure d’informar.
a) Identificar clarament el tractament de dades
al qual es pretén aplicar l’excepció.
d) Aportar una clàusula informativa la difusió de
b) Indicar expressament els motius quant a les
la qual, en els termes que s’indiquin en la sol.licitud,
causes que justifiquen la declaració.
permeti compensar l’exempció del deure d’informar.
122
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
c) Exposar detalladament les mesures que el responsable del fitxer es proposa implantar per garantir el dret dels ciutadans.
3. La sol.licitud s’ha d’acompanyar de tots els
resolució expressa, l’afectat pot considerar estimada
la seva sol.licitud.
DISPOSICIÓ ADDICIONAL ÚNICA. Productes de programari
documents o proves que siguin necessaris per jusEls productes de programari destinats al tractatificar l’existència dels valors històrics, cientı́fics o
ment automatitzat de dades personals han d’inclouestadı́stics que fonamentarien la declaració de l’Are en la seva descripció tècnica el nivell de seguretat,
gència.
bàsic, mitjà o alt, que permetin atènyer d’acord amb
Article 158. Durada del procediment i efec- el que estableix el tı́tol VIII d’aquest Reglament.
tes de la falta de resolució expressa
DISPOSICIÓ FINAL ÚNICA. Aplicació su1. El termini màxim per dictar i notificar reso- pletòria En el que no estableix el capı́tol III del tı́lució en el procediment és de tres mesos a comptar tol IX són aplicables als procediments sancionadors
de la data d’entrada de la sol.licitud del responsa- tramitats per l’Agència Espanyola de Protecció de
ble del fitxer a l’Agència Espanyola de Protecció de Dades les disposicions que conté el Reglament del
Dades.
procediment per a l’exercici de la potestat sancio2. Si en aquest termini no s’ha dictat i notificat nadora, aprovat pel Reial decret 1398/1993, de 4
d’agost.
123
Normativa estatal
3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal
124
4
Normativa europea
125
Normativa europea
4.1. Codi de bones pràctiques de les estadı́stiques europees
4.1 Codi de bones pràctiques de les estadı́stiques europees
Per a les autoritats estadı́stiques dels estats
membres i de la comunitat
Adoptat pel Comitè del Programa Estadı́stic el
24 de febrer del 2005 i promulgat en la recomanació
de la Comissió del 25 de maig del 2005 relativa a
la independència, la integritat i la responsabilitat
de les autoritats estadı́stiques dels estats membres
i de la comunitat El codi de conducta es basa en
quinze principis. Les autoritats encarregades de la
governança i les autoritats estadı́stiques de la Unió
Europea es comprometen a respectar els principis
establerts en el present codi i a revisar-ne l’aplicació periòdicament utilitzant els indicadors de bones
pràctiques corresponents a cada un dels quinze principis, que s’hauran d’utilitzar com a referència.
Entorn institucional
• El director de l’autoritat estadı́stica i, quan
escaigui, els caps dels seus organismes estadı́stics tenen la responsabilitat de garantir que les
estadı́stiques europees s’elaboren i es difonen
de forma independent.
• El director de l’autoritat estadı́stica i, quan
escaigui, els caps dels seus organismes estadı́stics són els únics responsables per decidir
sobre els mètodes, les normes i els procediments estadı́stics, aixı́ com el contingut i el
calendari de les comunicacions estadı́stiques.
• Es publiquen els programes de treball estadı́stic i es descriuen els progressos assolits en
informes periòdics.
• Les comunicacions estadı́stiques es distingeixen clarament i s’emeten al marge de les declaracions polı́tiques.
Els factors institucionals i organitzatius tenen
una influència considerable en l’eficàcia i la credibilitat d’una autoritat estadı́stica que elabora i difon
• Quan escau, l’autoritat estadı́stica fa comenestadı́stiques europees. Les qüestions pertinents són
taris públics sobre qüestions estadı́stiques, en
la independència professional, el mandat de recolliels quals inclou crı́tiques i usos inadequats de
da de dades, l’adequació dels recursos, el compromı́s
les estadı́stiques oficials.
de qualitat, la confidencialitat estadı́stica, la imparcialitat i l’objectivitat.
2 MANDAT DE RECOLLIDA DE DADES
1 INDEPENDÈNCIA PROFESSIONAL
Les autoritats estadı́stiques han de tenir un
La independència professional de les autoritats mandat jurı́dic clar per recollir informació destinaestadı́stiques d’altres departaments i organismes da a l’elaboració d’estadı́stiques europees. A petició
polı́tics, reguladors o administratius, aixı́ com dels de les autoritats estadı́stiques, es podrà obligar per
operadors del sector privat, garanteix la credibilitat llei les administracions, les empreses, les llars i el
públic en general a permetre l’accés a les dades desde les estadı́stiques europees.
tinades a l’elaboració d’estadı́stiques europees o que
Indicadors
presentin les dades esmentades.
• En la legislació s’especifica la independència
de l’autoritat estadı́stica de les interferències polı́tiques i altres interferències externes a
l’hora d’elaborar i difondre estadı́stiques oficials.
• El director de l’autoritat estadı́stica té un nivell jeràrquic prou elevat per garantir un accés d’alt nivell a les autoritats polı́tiques i als
organismes públics de caràcter administratiu.
Ha de ser una persona d’una gran capacitat
professional.
Indicadors
• En la legislació s’especifica el mandat de recollir informació destinada a l’elaboració i la
difusió d’estadı́stiques oficials.
• La legislació nacional permet a l’autoritat estadı́stica la utilització d’expedients administratius als efectes estadı́stics.
• Sobre la base d’un acte jurı́dic, l’autoritat estadı́stica pot obligar a respondre enquestes estadı́stiques.
126
Normativa europea
4.1. Codi de bones pràctiques de les estadı́stiques europees
3 ADEQUACIÓ DELS RECURSOS
Els recursos a disposició de les autoritats estadı́stiques han de ser suficients per complir els requisits de les estadı́stiques europees.
• Hi ha una revisió periòdica i profunda de la
producció estadı́stica clau mitjançant experts
externs quan escaigui.
5 CONFIDENCIALITAT ESTADÍSTICA
Indicadors
S’han de garantir absolutament la privadesa dels
proveı̈dors de dades (llars, empreses, administraci• Es disposa de recursos humans, financers i in- ons i altres enquestats), la confidencialitat de la informàtics adequats tant en dimensió com en formació que proporcionen i el seu ús exclusiu als
qualitat per complir les necessitats actuals de efectes estadı́stics.
les estadı́stiques europees.
Indicadors
• L’abast, el detall i el cost de les estadı́stiques
• En la legislació es garanteix la confidencialitat
europees són proporcionats respecte a les neestadı́stica.
cessitats.
• Hi ha procediments per avaluar i justificar les
sol·licituds de noves estadı́stiques europees en
relació amb el seu cost.
• El personal de l’autoritat estadı́stica signa un
compromı́s de confidencialitat jurı́dic quan és
nomenat.
• Hi ha procediments per avaluar la necessitat
contı́nua de totes les estadı́stiques europees,
per determinar si alguna pot realitzar-se de
forma discontı́nua o reduir-se i, aixı́, poder
alliberar recursos.
• S’estableixen sancions importants per qualsevol incompliment premeditat de la confidencialitat estadı́stica.
4 COMPROMÍS DE QUALITAT
Tots els membres del SEE (Sistema estadı́stic
europeu) es comprometen a treballar i cooperar conforme als principis establerts en la Declaració sobre
la qualitat del Sistema estadı́stic europeu.
Indicadors
• Es proporcionen instruccions i orientacions sobre la protecció de la confidencialitat estadı́stica en els processos d’elaboració i difusió. Les
esmentades orientacions s’expressen per escrit
i es posen a disposició del públic.
• Hi ha disposicions fı́siques i tecnològiques per
protegir la seguretat i la integritat de les bases
de dades estadı́stiques.
• S’apliquen protocols estrictes als usuaris externs que accedeixen a microdades a l’efecte
de la investigació.
• La qualitat del producte es controla periòdicament conforme als components de qualitat
6 IMPARCIALITAT I OBJECTIVITAT
del SEE.
Les autoritats estadı́stiques han d’elaborar i di• Hi ha processos per controlar la qualitat de la
fondre estadı́stiques europees respectant la indepenrecollida, el tractament i la difusió d’estadı́sdència cientı́fica i fer-ho de forma objectiva, profestiques.
sional i transparent, de manera que es tracti tots els
• Hi ha processos per abordar consideracions de usuaris amb igualtat.
qualitat, els quals consten de compromisos en
Indicadors
aquest àmbit i orientacions per a la planificació de les enquestes actuals i futures.
• Les estadı́stiques es recopilen sobre una base
objectiva determinada per consideracions es• Les orientacions de qualitat estan documentadı́stiques.
tades i el personal té una formació adequada.
Les esmentades orientacions s’expressen per
• L’elecció de les fonts i les tècniques depèn de
escrit i es posen a disposició del públic.
consideracions estadı́stiques.
127
Normativa europea
4.1. Codi de bones pràctiques de les estadı́stiques europees
• Els errors descoberts en les estadı́stiques publicades es corregeixen i es donen a conèixer
al més aviat possible.
• La informació sobre els mètodes i els procediments utilitzats per l’autoritat estadı́stica estan a disposició del públic.
• S’anuncien prèviament la data i l’hora de comunicació de les estadı́stiques.
• El registre d’empreses i el marc de les enquestes de població s’avaluen periòdicament i, en
cas necessari, s’ajusten per garantir una alta
qualitat.
• Existeix una concordança detallada entre les
classificacions nacionals i els sistemes de sectorització i els sistemes europeus corresponents.
• Es contracten titulats en les disciplines acadèmiques pertinents.
• Tots els usuaris tenen accés al mateix temps
a les comunicacions estadı́stiques i es restringeix, es controla i es fa pública tota comunicació prèvia privilegiada a qualsevol usuari
extern. En cas que es produeixin filtracions,
s’haurien de revisar els acords de comunicació
prèvia per garantir la imparcialitat.
• El personal assisteix a cursos de formació i
conferències internacionals pertinents, i es relaciona amb col·legues especialistes en estadı́stica d’àmbit internacional per aprendre dels
millors professionals i augmentar els seus coneixements especialitzats.
• Les comunicacions i declaracions estadı́stiques
realitzades en rodes de premsa són objectives
i imparcials.
• S’estableix una cooperació amb la comunitat
cientı́fica per millorar la metodologia, s’avalua, mitjançant revisions externes, la qualitat
i l’eficàcia dels mètodes aplicats i, quan és viable, es promou l’adopció d’eines millors.
Processos estadı́stics
8 PROCEDIMENTS ESTADÍSTICS ADEQUATS
Les normes, orientacions i bones pràctiques, tant
Unes estadı́stiques de qualitat s’han de basar en
europees com internacionals, s’han de complir pleuns
procediments estadı́stics adequats, aplicats des
nament en els processos utilitzats per les autoritats
de
la
recollida de les dades fins a la validació.
estadı́stiques per organitzar, recollir, elaborar i difondre les estadı́stiques oficials. La credibilitat de
Indicadors
les estadı́stiques es veu reforçada per una reputació
de bona gestió i eficàcia. Els aspectes pertinents
• Quan les estadı́stiques europees es basen en
són una metodologia sòlida, uns procediments estadades administratives, les definicions i els condı́stics adequats, una càrrega per als enquestats que
ceptes utilitzats a efectes administratius s’han
no sigui excessiva i la relació cost-eficàcia.
d’aproximar bastant als que es requereixen a
efectes estadı́stics.
7 METODOLOGIA SÒLIDA
Unes estadı́stiques de qualitat s’han de fonamentar en una metodologia sòlida, la qual cosa exigeix eines, procediments i coneixements especialitzats adequats.
Indicadors
• El marc metodològic general de l’autoritat estadı́stica segueix normes, orientacions i bones
pràctiques tant europees com internacionals.
• Hi ha procediments per garantir que s’apliquen coherentment conceptes, definicions i
classificacions estàndard en tota l’autoritat estadı́stica.
• En el cas de les enquestes estadı́stiques, els
qüestionaris es posen a prova sistemàticament
abans de la recollida de dades.
• El disseny de les enquestes, aixı́ com la selecció i ponderació de les mostres, estan ben fonamentats i es revisen o s’actualitzen d’acord
amb les disposicions.
• El treball de camp, la introducció de les dades i la codificació es controlen i es revisen de
forma rutinària d’acord amb les disposicions.
• S’utilitzen sistemes informàtics d’edició i
d’imputació i es revisen o s’actualitzen periòdicament d’acord amb les disposicions.
128
Normativa europea
4.1. Codi de bones pràctiques de les estadı́stiques europees
• Les revisions segueixen procediments normalitzats, consolidats i transparents.
9 UNA CÀRREGA PER ALS ENQUESTATS QUE
NO SIGUI EXCESSIVA
La càrrega que suposa la notificació hauria de ser
proporcionada respecte a les necessitats dels usuaris i no ser excessiva per als enquestats. L’autoritat
estadı́stica controla la càrrega que suposa respondre
l’enquesta i fixa objectius per reduir-la progressivament.
• Les operacions administratives rutinàries (per
exemple, l’obtenció, la codificació i la validació de les dades) estan automatitzades tant
com sigui possible.
• S’està optimitzant el potencial de productivitat de la tecnologia de la informació i la comunicació als efectes de recollida, tractament
i difusió de les dades.
• S’estan realitzant esforços proactius per millorar el potencial estadı́stic dels registres administratius i evitar enquestes directes costoses.
Indicadors
Producció estadı́stica
• L’abast i el detall de les demandes d’estadı́stiLes estadı́stiques disponibles han de satisfer les
ques europees es limita al que és estrictament necessitats dels usuaris. Les estadı́stiques compleinecessari.
xen les normes de qualitat europees i responen a les
necessitats de les institucions europees, els governs,
• La càrrega que suposa la notificació es repar- els organismes d’investigació, les empreses i el púteix de la manera més àmplia possible entre blic en general. Les qüestions importants afecten
la població sobre la qual s’efectua l’enquesta la mesura en què les estadı́stiques són pertinents,
mitjançant tècniques de mostreig apropiades. precises i fiables, oportunes, coherents, comparables
entre regions i paı̈sos, i de fàcil accés per als usuaris.
• En la mesura que es pugui, es pot accedir fàcilment a la informació que se sol·licita de les 11 PERTINÈNCIA
empreses a partir dels seus comptes i, quan
Les estadı́stiques europees han de satisfer les neés possible, s’utilitzen mitjans electrònics per cessitats dels usuaris.
facilitar-ne la transmissió.
Indicadors
• S’accepten les estimacions i aproximacions
més fiables quan no es disposa immediatament
de la informació exacta.
• Quan és possible s’utilitzen fonts administratives per evitar que es dupliquin les sol·licituds
d’informació.
• Està generalitzada la posada en comú de dades entre les autoritats estadı́stiques a fi d’evitar la multiplicació de les enquestes.
10 RELACIÓ COST-EFICÀCIA
Els recursos s’han d’utilitzar eficaçment.
Indicadors
• Es controla la utilització dels recursos de l’autoritat estadı́stica a través de mesures internes
i externes independents.
• Hi ha processos per fer consultes als usuaris
i controlar la pertinència i la utilitat pràctica de les estadı́stiques existents pel que fa a
la satisfacció de les necessitats, aixı́ com per
assessorar sobre les noves necessitats i prioritats.
• Se satisfan les necessitats prioritàries i es reflecteixen en el programa de treball.
• Es realitzen periòdicament enquestes per
conèixer el grau de satisfacció dels usuaris 12
PRECISIÓ I FIABILITAT Les estadı́stiques
europees han de reflectir la realitat de forma
precisa i fidedigna. Indicadors
• S’avaluen i es validen les dades originals, els
resultats intermedis i la producció estadı́stica.
• Es mesuren i es documenten sistemàticament
els errors de mostreig i els que no són de mos129
Normativa europea
4.1. Codi de bones pràctiques de les estadı́stiques europees
treig d’acord amb el marc dels components de
qualitat del SEE.
• Es comparen i es concilien les estadı́stiques de
les diferents enquestes i fonts.
• S’elaboren de forma rutinària i s’utilitzen internament estudis i anàlisis de revisions per
modelar els processos estadı́stics.
• Es garanteix la comparabilitat transnacional
de les dades mitjançant intercanvis periòdics
entre el Sistema estadı́stic europeu i altres sistemes estadı́stics; s’efectuen estudis metodològics en estreta col·laboració entre els estats
membres i Eurostat.
13 OPORTUNITAT I PUNTUALITAT
Les estadı́stiques europees s’han de difondre
oportunament i puntualment.
15 ACCESSIBILITAT I CLAREDAT
Indicadors
Les estadı́stiques europees s’haurien de presentar de forma clara i comprensible, s’haurien de di• L’oportunitat s’adequa a les normes més esfondre de forma adequada i convenient i haurien
trictes de difusió a escala europea i internacid’estar disponibles, i també s’hauria de permetre
onal.
accedir-hi de forma imparcial, amb metadades i ori• S’estableix una hora determinada del dia per entació de suport.
a la comunicació d’estadı́stiques europees.
Indicadors
• Per establir la periodicitat de les estadı́stiques
europees es tenen en compte els requisits dels
usuaris en la mesura que es pugui.
• En cas que la comunicació no es produeixi a
l’hora establerta, es notifica per avançat, es
donen explicacions i es fixa un nou termini de
comunicació.
• Quan es consideri convenient, es poden difondre resultats preliminars d’una qualitat global
acceptable.
14 COHERÈNCIA I COMPARABILITAT
Les estadı́stiques europees haurien de ser coherents internament, al llarg del temps i comparables
entre regions i paı̈sos; hauria de ser possible combinar i fer un ús conjunt de les dades relacionades a
partir de fonts diferents.
Indicadors
• Les estadı́stiques es presenten de tal manera que faciliten una interpretació adequada i
comparacions significatives.
• Els serveis de difusió utilitzen una tecnologia
moderna d’informació i comunicació i, si escau, una còpia impresa tradicional.
• Quan sigui possible se subministren anàlisis a
mida i es fan públiques.
• Es pot permetre l’accés a les microdades als
efectes d’investigació. L’accés esmentat està
sotmès a protocols estrictes.
• Les metadades estan documentades d’acord
amb sistemes de metadades normalitzades.
• Es manté informats els usuaris sobre la metodologia dels processos estadı́stics i la qualitat
de la producció estadı́stica respecte als criteris
de qualitat del SEE.
• Les estadı́stiques són coherents internament
(per exemple, s’observen les identitats aritmè- DEFINICIONS: A L’EFECTE DEL PRESENT
DOCUMENT
tiques i comptables).
Per estadı́stiques europees s’entenen les estadı́s• Les estadı́stiques són coherents o conciliables
tiques
comunitàries, tal com es defineixen al Regladurant un perı́ode raonable.
ment (CE) núm. 322/97 del Consell, de 17 de febrer
• Les estadı́stiques es recopilen sobre la base de de 1997, sobre l’estadı́stica comunitària, elaborades
normes comunes respecte a l’abast, les defi- i definides per les autoritats nacionals d’estadı́stinicions, les unitats i les classificacions en les ca i l’autoritat estadı́stica de la Comunitat (Eurosdiferents enquestes i fonts.
tat) de conformitat amb l’article 285, apartat 2, del
130
Normativa europea
4.1. Codi de bones pràctiques de les estadı́stiques europees
Tractat. Per autoritat estadı́stica s’entén, a escala
nacional, l’Institut Nacional d’Estadı́stica (INE) i
els altres organismes estadı́stics responsables d’elaborar i difondre les estadı́stiques europees i, a escala
europea, Eurostat. Per Sistema estadı́stic europeu,
a partir d’ara SEE, s’entén l’associació formada per
Eurostat, els instituts nacionals d’estadı́stica i els
altres organismes estadı́stics responsables, a cada
estat membre, d’elaborar i difondre les estadı́stiques
europees.
131
Normativa europea
4.2. Reglament (CE) 322/97 – Estadı́stica comunitària
4.2 Reglamento (CE) no 322/97 del Consejo de 17 de febrer de 1997
sobre la estadı́stica comunitaria (DOCE L052 de 22.02.1997)
Reglamento (CE) no 322/97 del Consejo de 17
de febrero de 1997 sobre la estadı́stica comunitaria
Diario Oficial n◦ L 052 de 22/02/1997 p. 0001 - 0007
y profesionalidad en la elaboración de las estadı́sticas, respetando los mismos principios de
comportamiento y de ética profesional;
REGLAMENTO (CE) N◦ 322/97 DEL CONSEJO de 17 de febrero de 1997 sobre la estadı́stica
comunitaria EL CONSEJO DE LA UNIÓN EUROPEA,
5. Considerando que la Comisión Estadı́stica de
las Naciones Unidas para Europa aprobó el 14
de abril de 1994 una resolución sobre los principios fundamentales de la estadı́stica oficial;
Visto el Tratado constitutivo de la Comunidad
Europea y, en particular, su artı́culo 213,
Visto el proyecto de Reglamento presentado por
la Comisión (1),
Visto el dictamen del Parlamento Europeo (2),
Visto el dictamen del Comité Económico y Social (3),
Visto el dictamen del Instituto Monetario Europeo (4),
1. Considerando que la Comisión necesita recabar toda la información necesaria para la realización de las funciones que le atribuye el Tratado a fin de garantizar el correcto funcionamiento y desarrollo del mercado común;
2. Considerando que, en particular, para la formulación, aplicación, seguimiento y evaluación de las polı́ticas previstas por el Tratado,
la Comunidad debe poder fundamentar sus
decisiones en estadı́sticas comunitarias actualizadas, fidedignas, pertinentes y comparables
entre Estados miembros;
6. Considerando que, para preparar y llevar a cabo las acciones estadı́sticas comunitarias prioritarias, es necesario aplicar programas estadı́sticos en los que se tengan en cuenta los recursos disponibles tanto a nivel nacional como
comunitario;
7. Considerando que la creación del programa
estadı́stico comunitario que debe aprobar el
Consejo y los programas anuales de trabajo
que debe aprobar la Comisión precisan de una
estrecha cooperación en el marco del Comité
del programa estadı́stico, creado en virtud de
la Decisión 89/382/CEE, Euratom (5);
8. Considerando que el objetivo del presente Reglamento es crear un marco legislativo para la
elaboración de estadı́sticas comunitarias; que
conviene tomar las medidas necesarias para
planificar la producción de las estadı́sticas comunitarias que serán determinadas por acciones estadı́sticas especı́ficas;
9. Considerando que el presente Reglamento define la responsabilidad de las autoridades nacionales y de la autoridad comunitaria en la
elaboración de estadı́sticas comunitarias de
acuerdo con el principio de subsidiariedad definido en el artı́culo 3 B del Tratado;
3. Considerando que, para garantizar la viabilidad, coherencia y comparabilidad de las estadı́sticas comunitarias, conviene establecer una
mayor colaboración y coordinación entre las
autoridades que, a nivel nacional y comunitario, contribuyan a la obtención de dichos datos; que las disposiciones del presente Reglamento constituyen una etapa con vistas a la
creación de un sistema estadı́stico comunitario;
10. Considerando que, en la preparación de los
programas estadı́sticos, los comités creados
por el Consejo en los ámbitos estadı́sticos de
su competencia deben ejercer las funciones
que tienen conferidas;
4. Considerando que las autoridades mencionadas deben garantizar la máxima imparcialidad
11. Considerando que los métodos y condiciones
de la aplicación del programa estadı́stico co132
Normativa europea
4.2. Reglament (CE) 322/97 – Estadı́stica comunitària
munitario deben definirse a través de acciones
estadı́sticas especı́ficas;
por otro, las funciones del Instituto Monetario
Europeo;
12. Considerando que la difusión es parte del proceso de producción de estadı́sticas comunitarias;
18. Considerando que los bancos centrales nacionales deberı́an, como máximo el dı́a de la fecha de creación del Sistema europeo de bancos
centrales, ser independientes de las instituciones u organismos comunitarios, de los gobiernos de los Estados miembros y de cualquier
otro organismo; que, en la fase II de la Unión
económica y monetaria, los Estados miembros
deberı́an iniciar y completar el proceso de independencia de los bancos centrales nacionales;
13. Considerando que es importante proteger los
datos confidenciales que las autoridades estadı́sticas nacionales y comunitaria recojan para la elaboración de estadı́sticas comunitarias,
con el fin de obtener y conservar la confianza de quienes suministran dicha información;
considerando que la confidencialidad de los
datos estadı́sticos debe responder a un mismo
conjunto de principios en todos los Estados
miembros;
14. Considerando que, a este efecto, es preciso
crear una definición común de datos confidenciales que habrá de aplicarse con respecto a la
producción de estadı́sticas comunitarias;
19. Considerando que la Comisión ha consultado
al Comité del programa estadı́stico, al Comité de estadı́sticas monetarias, financieras y de
balanzas de pagos, creado en virtud de la Decisión 91/115/CEE (7) y al Comité consultivo
europeo de información estadı́stica en los ámbitos económicos y social, creado en virtud de
la Decisión 91/116/CEE (8),
15. Considerando que esta definición deberá teHA ADOPTADO EL PRESENTE REGLAner en cuenta que determinadas autoridades
nacionales consideran confidenciales datos ob- MENTO:
tenidos de fuentes accesibles al público, con
CAPÍTULO I Disposiciones generales
arreglo a la legislación nacional;
Artı́culo 2 A efectos del presente Reglamento, se
16. Considerando que las normas especı́ficas pa- entenderá por:
ra el tratamiento de datos en la ejecución del
programa estadı́stico comunitario no afecta- estadı́sticas comunitarias : la información cuanrán a la Directiva 95/46/CE del Parlamento
titativa, agregada y representativa, obtenida
Europeo y del Consejo, de 24 de octubre de
de la recogida y del tratamiento sistemático
1995, relativa a la protección de las personas
de datos, producida por las autoridades nafı́sicas en lo que respecta al tratamiento de dacionales y comunitarias en el marco de la aplitos personales y a la libre circulación de estos
cación del programa estadı́stico comunitario,
datos (6);
con arreglo al apartado 2 del artı́culo 3;
17. Considerando que el Tratado otorga responsa- producción de estadı́sticas : el proceso que engloba el conjunto de actividades necesarias pabilidades, en determinados ámbitos de la inra la recogida, almacenamiento, tratamiento,
formación estadı́stica, al Instituto Monetario
compilación, análisis y difusión de la informaEuropeo, responsabilidades que éste deberá
ción estadı́stica;
ejercer sin solicitar ni aceptar instrucciones de
las instituciones u organismos comunitarios, autoridades nacionales : los institutos nacionade ningún gobierno de un Estado miembro ni
les de estadı́stica y demás órganos encargados
de ningún otro organismo; que es importante
en cada Estado miembro de producir estadı́sgarantizar una coordinación apropiada entre,
ticas comunitarias;
por un lado, las tareas de las autoridades a nivel nacional y comunitario que contribuyan a autoridad comunitaria : el servicio de la Comila producción de estadı́sticas comunitarias y,
sión encargado de desempeñar las funciones
133
Normativa europea
4.2. Reglament (CE) 322/97 – Estadı́stica comunitària
que incumben a ésta en el ámbito de la producción de estadı́sticas comunitarias (Eurostat).
CAPÍTULO III
Principios
Artı́culo 10
los resultados que se persigan. Se renunciará
a la obtención de informaciones comunitarias
que dejen de tener interés para los objetivos
de la Comunidad.
Relación coste/eficacia : significa el mejor uso
de todos los recursos disponibles y la reducción al máximo del esfuerzo exigido a las unidades informantes. La carga de trabajo y el
coste necesarios para la producción de las estadı́sticas deberá ser proporcional a la importancia de los resultados y beneficios que se
persigan.
A fin de garantizar la mayor calidad posible en
los aspectos deontológicos y profesionales, las estadı́sticas comunitarias se guiarán por los principios de imparcialidad, fiabilidad, pertinencia, relación coste/eficacia, secreto estadı́stico y transparencia.
Secreto estadı́stico : significa proteger los datos
relacionados con las unidades estadı́sticas inLos principios mencionados en el párrafo primedividuales que se obtengan directamente con
ro quedan definidos de la siguiente manera:
fines estadı́sticos o indirectamente a partir de
fuentes administrativas u otras, contra toda
Imparcialidad : constituye una forma objetiva e
infracción del derecho a la intimidad. Esto imindependiente de producir estadı́sticas comuplica la prevención de la utilización de datos
nitarias, libre de toda presión de grupos polı́para fines no estadı́sticos y de su divulgación
ticos u otros grupos de interés, en especial en
ilı́cita.
cuanto a la elección de las técnicas, las definiciones y las metodologı́as más apropiadas para Transparencia : significa que las unidades inforalcanzar los objetivos definidos. Esto implica,
mantes consultadas tengan derecho a obtener
asimismo, que todas las estadı́sticas estén disinformación sobre la base jurı́dica, los fines
ponibles para todos los usuarios (instituciopara los que se solicitan los datos y las menes comunitarias, gobiernos, agentes sociales
didas de protección adoptadas. Las autoriday económicos, medios académicos y el público
des responsables de recoger datos comunitaen general) en el más breve plazo.
rios adoptarán todas las medidas pertinentes
para suministrar esta información.
Fiabilidad : aspecto de las estadı́sticas comunitarias que les permite reflejar, con las mayor fidelidad posible, la realidad que se proponen
representar. Implica la utilización de criterios
cientı́ficos en la elección de las fuentes, los métodos y los procedimientos. Toda información
sobre la cobertura de la encuesta, la metodologı́a, los procedimientos utilizados y las fuentes
servirá para dar mayor fiabilidad a los datos.
Pertinencia : significa que la producción de estadı́sticas comunitarias obedece a necesidades
claramente determinadas en función de los objetivos de la Comunidad. Estas necesidades
determinan los ámbitos, los plazos y el alcance
de las estadı́sticas, que deben permitir seguir
permanentemente los nuevos desarrollos demográficos, económicos, sociales y medioambientales. La recogida de datos se limitará a
los aspectos necesarios para la obtención de
CAPÍTULO IV
Difusión
Artı́culo 11
1. Se entiende por difusión toda actividad que
permita a los usuarios acceder a las estadı́sticas comunitarias.
2. La difusión deberá realizarse de forma que
garantice el acceso cómodo e imparcial a las
estadı́sticas comunitarias en toda la Comunidad.
3. La difusión de estadı́sticas comunitarias correrá a cargo de la autoridad comunitaria y de
las autoridades nacionales dentro de sus respectivas competencias.
134
Normativa europea
4.2. Reglament (CE) 322/97 – Estadı́stica comunitària
Artı́culo 12
nacionales y por la autoridad comunitaria para fines estadı́sticos, a no ser que las unidades informanLos resultados estadı́sticos a nivel comunitario
se difundirán con la misma periodicidad que la tes hayan dado inequı́vocamente su consentimiento
transmisión a la autoridad comunitaria de los resul- para que se utilicen para otros fines.
tados obtenidos a nivel nacional. Siempre que sea
Artı́culo 16
posible y sin menoscabo de la calidad a nivel comunitario, la difusión tendrá lugar antes de que se
1. Con el fin de reducir la carga de las unidaproduzca la siguiente transmisión de datos nacionades informantes, y con sujeción a lo dispuesto
les a la autoridad comunitaria.
en el apartado 2, las autoridades nacionales
y la autoridad comunitaria tendrán acceso a
CAPÍTULO V
las fuentes de datos administrativos, cada cual
Secreto estadı́stico
respecto de los ámbitos de actividad de sus
propias administraciones públicas, en la meArtı́culo 13
dida en que dichos datos sean necesarios para
la producción de estadı́sticas comunitarias.
1. Los datos que utilicen las autoridades nacionales y la autoridad comunitaria para la producción de las estadı́sticas comunitarias se
considerarán confidenciales cuando permitan
la identificación, directa o indirecta, de unidades estadı́sticas y, por lo tanto, la revelación
de datos individuales.
Para determinar si una unidad estadı́stica es
identificable, deberán tenerse en cuenta todos
los medios que razonablemente podrı́a utilizar
un tercero para identificar la citada unidad estadı́stica.
2. No obstante lo dispuesto en el apartado 1, los
datos obtenidos de fuentes que sean accesibles
al público y que obrando en posesión de las
autoridades nacionales sigan siendo accesibles
al público con arreglo a la legislación nacional
no se considerarán confidenciales.
Artı́culo 14
Está permitida la transmisión entre autoridades
nacionales y entre autoridades nacionales y la autoridad comunitaria de datos confidenciales que no
permitan la identificación directa, siempre que ello
sea necesario para la producción de estadı́sticas comunitarias especı́ficas. Toda transmisión de otro tipo deberá estar explı́citamente autorizada por las
autoridades nacionales responsables de la recogida
de datos.
Artı́culo 15
Los datos confidenciales obtenidos exclusivamente para la producción de las estadı́sticas comunitarias sólo podrán utilizarse por las autoridades
2. Los Estados miembros y la Comisión determinarán, en sus respectivos ámbitos de competencia, cuando proceda, las modalidades prácticas y los lı́mites y las condiciones para conseguir que el acceso sea efectivo.
3. El uso de datos confidenciales obtenidos a través de fuentes administrativas u otras fuentes
por parte de las autoridades nacionales o de
la autoridad comunitaria para la producción
de estadı́sticas comunitarias no afectará al uso
de esos datos para los fines para los que se obtuvieron inicialmente dichos datos.
Artı́culo 17
1. El acceso, con fines cientı́ficos, a los datos confidenciales obtenidos para la producción de estadı́sticas comunitarias puede ser permitido
por la autoridad nacional responsable de la
obtención de estos datos si el nivel de protección existente en el paı́s de origen de los datos
y, cuando proceda, en el paı́s en que vayan a
ser utilizados, está garantizado según las disposiciones establecidas en el artı́culo 18.
2. La autoridad comunitaria podrá permitir el
acceso para fines cientı́ficos a datos confidenciales transmitidos a dicha autoridad de conformidad con el artı́culo 14, siempre que la
autoridad nacional que haya facilitado los datos solicitados haya aprobado explı́citamente
este uso.
Artı́culo 18
135
Normativa europea
4.2. Reglament (CE) 322/97 – Estadı́stica comunitària
1. Deberán tomarse a nivel nacional y comunitario todas las medidas reglamentarias, administrativas, técnicas y organizativas necesarias
para la protección fı́sica e informática de los
datos confidenciales y para evitar cualquier
riesgo de divulgación ilı́cita o la utilización para fines no estadı́sticos cuando se difundan las
estadı́sticas comunitarias.
2. Los funcionarios y demás agentes de las autoridades nacionales o de la autoridad comunitaria que tengan acceso a los datos amparados
por la legislación comunitaria que impone la
obligación de secreto estadı́stico estarán obligados a respetar dicho secreto estadı́stico, incluso cuando hayan cesado en sus funciones.
CAPÍTULO VI
Disposiciones finales
Artı́culo 19
1. En el caso a que se refiere la letra b) del apartado 2 del artı́culo 3, la Comisión estará asistida por el Comité del programa estadı́stico.
2. El representante de la Comisión presentará al
Comité un proyecto de las medidas que deban tomarse. El Comité emitirá su dictamen
sobre dicho proyecto dentro de su plazo que
el presidente podrá determinar en función de
la urgencia de la cuestión de que se trate. El
dictamen se emitirá según la mayorı́a prevista
en el apartado 2 del artı́culo 148 del Tratado constitutivo de la Comunidad Europea para adoptar aquellas decisiones que el Consejo
deba tomar a propuesta de la Comisión. Con
motivo de la votación en el Comité, los votos
de los representantes de los Estados miembros
se ponderarán de la manera definida en el artı́culo anteriormente citado. El presidente no
tomará parte en la votación.
3.
a) La Comisión adoptará las medidas previstas cuando sean conformes al dictamen del Comité.
b) Cuando las medidas previstas no sean
conformes al dictamen del Comité, o en
caso de ausencia de dictamen, la Comisión someterá sin demora al Consejo una
propuesta relativa a las medidas que deban tomarse. El Consejo se pronunciará
por mayorı́a cualificada.
Si transcurrido un plazo de tres meses a partir del momento en que la propuesta se haya
sometido al Consejo éste no se hubiere pronunciado, la Comisión adoptará las medidas
propuestas.
Artı́culo 20
1. Para la adopción de las medidas necesarias
para la aplicación del capı́tulo V, en especial
las dirigidas a garantizar que todas las autoridades nacionales y la autoridad comunitaria
apliquen los mismos principios y normas mı́nimas para evitar la difusión de datos estadı́sticos comunitarios confidenciales y las condiciones que regulan el acceso por motivos cientı́ficos, de acuerdo con el apartado 2 del artı́culo
17, a datos confidenciales en poder de las autoridades comunitarias, asistirá a la Comisión
el Comité del secreto estadı́stico, creado en
virtud del artı́culo 7 del Reglamento (Euratom, CEE) n◦ 1588/90 del Consejo, de 11 de
junio de 1990, relativo a la transmisión a la
Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el
secreto estadı́stico (9).
2. El representante de la Comisión presentará al
Comité un proyecto de las medidas que deban tomarse. El Comité emitirá su dictamen
sobre dicho proyecto dentro de un plazo que el
presidente podrá determinar en función de la
urgencia de la cuestión de que se trate. El dictamen se emitirá según la mayorı́a prevista en
el apartado 2 del artı́culo 148 del Tratado para adoptar aquellas decisiones que el Consejo
debe tomar a propuesta de la Comisión. Con
motivo de la votación en el Comité, los votos
de los representantes de los Estados miembros
se ponderarán de la manera definida en el artı́culo anteriormente citado. El presidente no
tomará parte en la votación.
3.
a) La Comisión adoptará medidas que serán inmediatamente aplicables.
b) No obstante, cuando no sean conformes al dictamen emitido por el Comité,
136
Normativa europea
4.2. Reglament (CE) 322/97 – Estadı́stica comunitària
la Comisión comunicará inmediatamente
Las estadı́sticas producidas a partir de actos judichas medidas al Consejo.
rı́dicos comunitarios existentes se considerarán esEn tal caso, la Comisión pospondrá la aplica- tadı́sticas comunitarias, con independencia de los
ción de las medidas que haya decidido por un procedimientos de decisión por los cuales se hayan
perı́odo de tres meses a partir de la fecha de realizado.
su comunicación al Consejo.
Las estadı́sticas que produzcan o hayan de producir
las autoridades nacionales y la autoridad coEl Consejo, por mayorı́a cualificada, podrá tomunitaria
en virtud de la aplicación del programa
mar una decisión diferente dentro del plazo
marco
para
acciones prioritarias en el ámbito de la
previsto en el párrafo precedente.
información estadı́stica 1993-1997, establecido mediante la Decisión 93/464/CEE (10), se consideraArtı́culo 21
rán estadı́sticas comunitarias.
1. El presente Reglamento se aplicará sin perjuicio de la Directiva 95/46/CE.
Artı́culo 23
Artı́culo 22
G. ZALM
El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario
2. El punto 1 del artı́culo 2 del Reglamento (EuOficial de las Comunidades Europeas.
ratom, CEE) n◦ 1588/90 se sustituirá por el
El presente Reglamento será obligatorio en totexto siguiente:
dos sus elementos y directamente aplicable en cada
1. Datos estadı́sticos confidenciales: los que
Estado miembro.
se definen en el artı́culo 13 del Reglamento
◦
Hecho en Bruselas, el 17 de febrero de 1997.
(CE) n 322/97 sobre la estadı́stica comunitaria (*); (*) DO n◦ L 52 de 22. 2. 1997, p.
Por el Consejo
1..
El Presidente
(1) DO n◦ C 106 de 14. 4. 1994, p. 22.
(2) DO n◦ C 109 de 1. 5. 1995, p. 321.
(3) DO n◦ C 195 de 18. 7. 1994, p. 1.
(4) Parecer emitido el 7 de febrero de 1995.
(5) DO n◦ L 181 de 28. 6. 1989, p. 47.
(6) DO n◦ L 281 de 23. 11. 1995, p. 31.
(7) DO n◦ L 59 de 6. 3. 1991, p. 19.
(8) DO n◦ L 59 de 6. 3. 1991, p. 21.
(9) DO n◦ L 151 de 15. 6. 1990, p. 1.
(10) DO n◦ L 219 de 28. 8. 1993, p. 1.
137
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
4.3 REGLAMENTO (CE) No 831/2002 DE LA COMISIÓN DE 17
DE MAYO DE 2002 POR EL QUE SE APLICA EL REGLAMENTO (CE) N◦ 322/97 DEL CONSEJO SOBRE LA ESTADÍSTICA
COMUNITARIA EN LO RELATIVO AL ACCESO CON FINES
CIENTÍFICOS A DATOS CONFIDENCIALES (TEXTO PERTINENTE A EFECTOS DEL EEE)
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS, Visto el Tratado constitutivo de la Comunidad Europea, Visto el Reglamento (CE) n◦
322/97 del Consejo, de 17 de febrero de 1997, sobre la estadı́stica comunitaria(1) y, en particular, el
apartado 2 de su artı́culo 17 y el apartado 1 de su
artı́culo 20, Considerando lo siguiente:
de diciembre de 2000, relativo a la protección
de las personas fı́sicas en lo que respecta al
tratamiento de datos personales por las instituciones y los organismos comunitarios y a la
libre circulación de estos datos(3).
6. Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del
secreto estadı́stico.
1. Existe una creciente demanda por parte de
los investigadores y de la comunidad cientı́fiHA ADOPTADO EL PRESENTE REGLAca en general de disponer de un acceso, con
fines cientı́ficos, a datos confidenciales trans- MENTO:
mitidos a la autoridad comunitaria.
Artı́culo 1 Objetivo
2. Puede concederse el acceso con fines cientı́ficos a datos confidenciales bien autorizando
su consulta en las instalaciones de la autoridad comunitaria, o bien comunicando datos
anónimos a los investigadores en condiciones
especı́ficas (acceso controlado).
El objetivo del presente Reglamento es fijar las
condiciones en que puede concederse el acceso a datos confidenciales transmitidos a la autoridad comunitaria y las reglas de cooperación entre las autoridades comunitarias y nacionales para facilitar este
acceso, con objeto de permitir extraer conclusiones
estadı́sticas con fines cientı́ficos.
3. El presente Reglamento respeta los derechos
Artı́culo 2 Definiciones
fundamentales y observa los principios reconocidos, specialmente, en la Carta de los DeA efectos del presente Reglamento, se entenderá
rechos Fundamentales de la Unión Europea.
por:
4. El presente Reglamento garantiza, en partien el arcular, el pleno respeto del derecho a la vida autoridad comunitaria , como se define
tı́culo 2 del Reglamento (CE) n◦ 322/97, el
privada y a la protección de datos personales
servicio de la Comisión encargado de desem(artı́culos 7 y 8 de la Carta de los Derechos
peñar las funciones que incumben a ésta en el
Fundamentales de la Unión Europea).
ámbito de la producción de estadı́sticas comu5. El presente Reglamento se aplicará sin perjuinitarias (Eurostat), - .estadı́sticas comunitacio de la Directiva 95/46/CE del Parlamenrias”, como se define en el artı́culo 2 del Reglato Europeo del Consejo, de 24 de octubre de
mento (CE) n◦ 322/97, la información cuanti1995, relativa a la protección de las personas
tativa, agregada y representativa, obtenida de
fı́sicas en lo que respecta al tratamiento de dala recogida y del tratamiento sistemático de
tos personales y a la libre circulación de estos
datos, producida por las autoridades nacionadatos(2) y del Reglamento (CE) n◦ 45/2001
les y comunitarias en el marco de la aplicación
del Parlamento Europeo y del Consejo, de 18
del programa estadı́stico comunitario,
138
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
datos confidenciales aquellos datos que sólo permitan una identificación indirecta de las unidades estadı́sticas en cuestión,
acceso a datos confidenciales , bien el acceso
en las instalaciones de la autoridad comunitaria o la divulgación de microdatos anónimos,
microdatos anónimos , los registros estadı́sticos
individuales que se hayan modificado con objeto de reducir al mı́nimo, con arreglo a las
mejores prácticas actuales, el riesgo de identificación de las unidades estadı́sticas a las que
hacen referencia, - .autoridades nacionales”,
como se define en el artı́culo 2 del Reglamento (CE) n◦ 322/97, los institutos nacionales
de estadı́stica y demás órganos encargados en
cada Estado miembro de producir estadı́sticas
comunitarias.
Artı́culo 3 Admisibilidad de las solicitudes ratione personae”
1. La autoridad comunitaria podrá conceder el
acceso a datos confidenciales a aquellos investigadores que pertenezcan a organismos incluidos en cualquiera de las siguientes categorı́as:
a) universidades y otras instituciones de enseñanza superior establecidas de conformidad con el Derecho comunitario o con
el Derecho de un Estado miembro;
b) organizaciones o instituciones de investigación cientı́fica establecidas de conformidad con el Derecho comunitario o con
el Derecho de un Estado miembro;
encargo pertenecerán a las categorı́as de organismos indicadas en el apartado 1. Los organismos encargados de la investigación también podrán ser organizaciones o instituciones
a los que los servicios de la Comisión o de
las administraciones de los Estados miembros
hayan solicitado trabajos especı́ficos de investigación. Estas organizaciones o instituciones
tendrán personalidad jurı́dica.
Artı́culo 4 Requisitos generales
1. A condición de que se cumplan los requisitos
especı́ficos estipulados en los artı́culos 5 y 6,
en función del caso, la autoridad comunitaria
podrá conceder el acceso a datos confidenciales siempre que se den las siguientes condiciones:
a) deberá haberse presentado una solicitud
adecuada junto con una propuesta de investigación pormenorizada de conformidad con las normas cientı́ficas vigentes;
b) la propuesta de investigación deberá indicar, con suficientes detalles, el conjunto
de datos a los que se desea acceder, los
métodos de análisis y una indicación del
tiempo necesario;
c) el investigador, su institución o la organización que haya encargado una investigación, según proceda, y la autoridad
comunitaria habrán firmado un contrato en que se especificarán las condiciones
de acceso, las obligaciones de los investigadores, las medidas para respetar la
confidencialidad de los datos estadı́sticos
y las sanciones en caso de violación de
estas obligaciones;
c) otras agencias, organizaciones e instituciones, tras haber recibido el dictamen
del Comité del secreto estadı́stico, de
conformidad con el procedimiento establecido en el apartado 2 del artı́culo 20
del Reglamento (CE) n◦ 322/97.
d) la autoridad nacional que haya proporcionado los datos habrá sido informada
antes de concederse el acceso.
2. La autoridad comunitaria también podrá conceder el acceso a datos confidenciales a aquellos investigadores que pertenezcan a organismos encargados de efectuar trabajos de investigación con fines cientı́ficos. El organismo que
encarga los trabajos y aquel que recibe este
2. Además de las condiciones establecidas en el
apartado 1, la autoridad comunitaria podrá
conceder el acceso a datos confidenciales en
sus instalaciones, tal como se indica en el artı́culo 5, siempre que también se cumplan las
siguientes condiciones:
139
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
a) la investigación se realizará exclusivamente en las instalaciones de la autoridad comunitaria y bajo la supervisión de
un funcionario de esta autoridad designado a tal efecto;
b) los resultados de la investigación no podrán salir de las instalaciones de la autoridad comunitaria sin una comprobación
previa para asegurar que no incluyen datos confidenciales;
c) la autoridad comunitaria comprobará los
futuros resultados que vayan a publicarse o divulgarse de cualquier otra forma,
para evitar la difusión de datos confidenciales.
Artı́culo 5 Acceso a las instalaciones de la autoridad comunitaria
1. La autoridad comunitaria podrá conceder el
acceso en sus instalaciones a datos confidenciales obtenidos de las siguientes encuestas o
fuentes de datos estadı́sticos:
• panel de hogares de la Comunidad Europea,
• panel de hogares de la Comunidad Europea,
• encuesta de población activa,
• encuesta de la Comunidad sobre la innovación,
• encuesta sobre la formación profesional
permanente.
No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el
acceso a los datos de esta autoridad nacional
para un proyecto especı́fico de investigación.
2. Antes de esta divulgación, la autoridad comunitaria garantizará, en colaboración con las
autoridades nacionales, que los métodos para
lograr el anonimato aplicados a esos conjuntos
de microdatos reduzcan al mı́nimo, conforme
a las mejores prácticas vigentes, el riesgo de
identificación de las unidades estadı́sticas en
cuestión, de conformidad con el Reglamento
(CE) n◦ 322/97.
Artı́culo 7 Acuerdos bilaterales
Cada autoridad nacional y la autoridad comunitaria acordarán bilateralmente por escrito las dispo• encuesta de población activa,
siciones prácticas y las condiciones señaladas en los
• encuesta de la Comunidad sobre la inno- artı́culos 5 y 6. Los acuerdos bilaterales y cualquier
vación,
modificación que reciban se notificarán al Comité
• encuesta sobre la formación profesional del secreto estadı́stico.
permanente.
Artı́culo 8 Cuestiones de organización
No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el
acceso a los datos de esta autoridad nacional
para un proyecto especı́fico de investigación.
2. A condición de que la autoridad nacional competente conceda una aprobación explı́cita y
previa, la autoridad comunitaria podrá conceder el acceso dentro de sus instalaciones
a otros datos confidenciales distintos de los
mencionados en el apartado 1.
Artı́culo 6 Divulgación de microdatos anónimos
1. La autoridad comunitaria podrá divulgar conjuntos de microdatos anónimos obtenidos de
las siguientes encuestas o fuentes de datos estadı́sticos:
1. La autoridad comunitaria adoptará las medidas administrativas, técnicas y organizativas
necesarias para garantizar que el acceso a datos confidenciales no menoscabe la protección
fı́sica y lógica de los datos, ni permita su divulgación o utilización ilegal para fines distintos
de aquellos para los que se concedió el acceso.
2. Siempre que se solicite la posición de las autoridades nacionales, éstas y la autoridad comunitaria adoptarán medidas técnicas y organizativas para garantizar una colaboración
adecuada y eficaz, sin retrasos innecesarios y
teniendo en cuenta las necesidades del proyecto de investigación. Se hará todo lo posible
para garantizar que las autoridades nacionales, tal como disponen los artı́culos 5 o 6, se
140
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
pronuncien a más tardar seis semanas después
de haber recibido la solicitud en cuestión.
3. A condición de que funcionen los dispositivos
de protección de la confidencialidad de los datos y que se haya concedido la aprobación de
las autoridades nacionales que transmitieron
los datos a la autoridad comunitaria, también
se podrá autorizar el acceso a datos confidenciales en una zona segura de las instalaciones
de una autoridad nacional. En tal caso, las
medidas aplicadas para garantizar la protección fı́sica y lógica de los datos serán comparables a las aplicadas en las instalaciones de
la autoridad comunitaria.
Artı́culo 9 Costes
Los solicitantes sufragarán los costes relacionados con el acceso a datos confidenciales de conformidad con el presente Reglamento y, en particular,
la utilización de las infraestructuras de la Comisión.
A la hora de determinar los costes, la autoridad comunitaria garantizará que no supongan una competencia desleal con las autoridades nacionales.
Artı́culo 10 Medidas de salvaguardia
unidades estadı́sticas en cuestión.
2. La autoridad comunitaria mantendrá un registro público con toda la información pertinente.
Artı́culo 11 Informes
La Comisión presentará anualmente un informe
sobre la aplicación del presente Reglamento ante el
Comité del secreto estadı́stico. En el informe figurarán, entre otros, los nombres y direcciones de los
investigadores y sus instituciones, los datos consultados, los costes cobrados, la descripción de los proyectos de investigación y las publicaciones resultantes.
Artı́culo 12 Entrada en vigor
El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario
Oficial de las Comunidades Europeas.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada
Estado miembro.
Hecho en Bruselas, el 17 de mayo de 2002.
Por la Comisión
1. La autoridad comunitaria garantizará que los
datos consultados no contengan información
que permita la identificación directa de las
Pedro Solbes Mira
Miembro de la Comisión
(1) DO L 52 de 22.2.1997, p. 1.
(2) DO L 281 de 23.11.1995, p. 31.
(3) DO L 8 de 12.1.2001, p. 1.
141
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
4.3.1
Reglamento (CE) n o 1104/2006 de la Comisión, de 18 de julio de
2006 , por el que se modifica el Reglamento (CE) n o 831/2002 por
el que se aplica el Reglamento (CE) n o 322/97 del Consejo sobre la
estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a
datos confidenciales (Texto pertinente a efectos del EEE)
Diario Oficial n◦ L 197 de 19/07/2006 p. 0003 0004
Reglamento (CE) no 1104/2006 de la Comisión
de 18 de julio de 2006 por el que se modifica el Reglamento (CE) no 831/2002 por el que se aplica el
Reglamento (CE) no 322/97 del Consejo sobre la
estadı́stica comunitaria en lo relativo al acceso con
fines cientı́ficos a datos confidenciales (Texto pertinente a efectos del EEE)
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
El acceso a estos datos confidenciales beneficiará ampliamente al trabajo de investigación
sobre los ingresos de los particulares y sus relaciones con las caracterı́sticas del empresario.
Por consiguiente, esta encuesta debe añadirse a la enumeración del Reglamento (CE) no
831/2002.
3. Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del
secreto estadı́stico.
HA ADOPTADO EL PRESENTE REGLAVisto el Tratado constitutivo de la Comunidad MENTO:
Europea,
Artı́culo 1
Visto el Reglamento (CE) no 322/97 del ConEl Reglamento (CE) no 831/2002 queda modisejo, de 17 de febrero de 1997, sobre la estadı́stificado
como sigue:
ca comunitaria [1], y, en particular, su artı́culo 17,
apartado 2, y su artı́culo 20, apartado 1,
1. En el artı́culo 5, el apartado 1 se sustituye por
Considerando lo siguiente:
el apartado siguiente: ”1. La autoridad comunitaria podrá conceder el acceso en sus ins1. El Reglamento (CE) no 831/2002 de la Cotalaciones a datos confidenciales obtenidos de
misión [2] establece las condiciones en que se
las siguientes encuestas o fuentes de datos espuede autorizar el acceso a los datos confitadı́sticos:
denciales transmitidos a la autoridad comunitaria, con objeto de permitir la extracción de
• panel de hogares de la Comunidad Euroconclusiones estadı́sticas con fines cientı́ficos,
pea,
y enumera las distintas encuestas y fuentes de
• encuesta de población activa,
datos a que hace referencia.
• encuesta de la Comunidad sobre la inno2. Los investigadores y la comunidad cientı́fica
vación,
en general solicitan cada vez más el acceso
• encuesta sobre la formación profesional
con fines cientı́ficos, asimismo, a datos confipermanente,
denciales de la Encuesta sobre la estructura
• encuesta sobre la estructura de los salade los salarios. La Encuesta sobre la estructurios.
ra de los salarios constituye una serie de datos estructurales armonizados de toda la UE
sobre ingresos brutos, horas pagadas y dı́as
de vacaciones pagadas al año que se recopilan
cada cuatro años con arreglo al Reglamento
(CE) no 530/1999 del Consejo, de 9 de marzo de 1999, relativo a las estadı́sticas estructurales sobre ingresos y costes salariales [3].
No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el
acceso a los datos de esta autoridad nacional
para un proyecto especı́fico de investigación.”.
2. En el artı́culo 6, el apartado 1 se sustituye por
el apartado siguiente: ”1. La autoridad comu142
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
nitaria podrá divulgar conjuntos de microdatos anónimos obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos:
Artı́culo 2
El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario
• panel de hogares de la Comunidad Euro- Oficial de la Unión Europea. El presente Reglamento será obligatorio en todos sus elementos y direcpea,
tamente aplicable en cada Estado miembro.
• encuesta de población activa,
Hecho en Bruselas, el 18 de julio de 2006.
• encuesta de la Comunidad sobre la innoPor la Comisión
vación,
• encuesta sobre la formación profesional
permanente,
Joaquı́n Almunia
Miembro de la Comisión
• encuesta sobre la estructura de los sala[1] DO L 52 de 22.2.1997, p. 1. Reglamento modificado
rios.
por el Reglamento (CE) no 1882/2003 del Parlamento Europeo y del Consejo (DO L 284 de 31.10.2003, p. 1).
No obstante, a instancias de la autoridad na[2] DO L 133 de 18.5.2002, p. 7.
cional que ofrezca los datos, no se concederá el
[3] DO L 63 de 12.3.1999, p. 6. Reglamento modificado
acceso a los datos de esta autoridad nacional
por
el Reglamento (CE) no 1882/2003.
para un proyecto especı́fico de investigación.”.
143
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
4.3.2
Reglamento (CE) n◦ 1000/2007 de la Comisión, de 29 de agosto de
2007 , por el que se modifica el Reglamento (CE) n◦ 831/2002 por
el que se aplica el Reglamento (CE) n◦ 322/97 del Consejo sobre la
estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a
datos confidenciales (Texto pertinente a efectos del EEE )
Reglamento (CE) no 1000/2007 de la Comisión
de 29 de agosto de 2007 por el que se modifica el
Reglamento (CE) no 831/2002 por el que se aplica
el Reglamento (CE) no 322/97 del Consejo sobre la
estadı́stica comunitaria en lo relativo al acceso con
fines cientı́ficos a datos confidenciales
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Visto el Tratado constitutivo de la Comunidad
Europea,
Visto el Reglamento (CE) no 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadı́stica
comunitaria [1], y, en particular, su artı́culo 20,
Considerando lo siguiente:
1. El Reglamento (CE) no 831/2002 de la Comisión [2] establece las condiciones en que se
puede autorizar el acceso a los datos confidenciales transmitidos a la autoridad comunitaria, con objeto de permitir la extracción de
conclusiones estadı́sticas con fines cientı́ficos.
Asimismo, en él se enumeran las categorı́as de
organismos a cuyos investigadores puede autorizarse dicho acceso, estableciendo una distinción entre organismos directamente admisibles y organismos que son admisibles después
de haber recibido el dictamen del Comité del
secreto estadı́stico, y se enumeran también las
distintas encuestas y fuentes de datos a las que
se aplica.
deben considerarse también organismos directamente admisibles.
3. Asimismo, los investigadores y la comunidad
cientı́fica en general solicitan cada vez más el
acceso con fines cientı́ficos a datos confidenciales de la encuesta sobre la educación de
adultos (EEA). La EEA incluye información
sobre pautas complejas de participación de los
adultos en la educación y la formación, el acceso a la información sobre las oportunidades de aprendizaje ası́ como el perfil de los
participantes y el de los no participantes (por
ejemplo, origen socioeconómico, razones para
el aprendizaje, obstáculos, actitudes y autoevaluación de las competencias lingüı́sticas e
informáticas). Por consiguiente, esta encuesta
debe añadirse a la lista que figura en el Reglamento (CE) no 831/2002.
4. Mediante el Reglamento (CE) no 1177/2003
del Parlamento Europeo y del Consejo, de 16
de junio de 2003, relativo a las estadı́sticas
comunitarias sobre la renta y las condiciones
de vida (EU-SILC) [3], se extendieron asimismo las condiciones previstas en el Reglamento
(CE) no 831/2002 al acceso con fines cientı́ficos a datos confidenciales procedentes de las
estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida (EU-SILC). Sin
embargo, las estadı́sticas EU-SILC no se mencionan en el Reglamento (CE) no 831/2002.
En aras de la claridad, deben añadirse estas
estadı́sticas a la lista que figura en el Reglamento (CE) no 831/2002.
2. En muchos casos, las investigaciones cientı́ficas las efectúan unidades o departamentos que
5. Por consiguiente, debe modificarse el Reglapertenecen a institutos nacionales de estadı́smento (CE) no 831/2002 en consecuencia.
tica y a bancos centrales nacionales de los Estados miembros, ası́ como al Banco Central
6. Las medidas previstas en el presente ReglaEuropeo (BCE). Estos organismos proporciomento se ajustan al dictamen del Comité del
nan las garantı́as pertinentes en lo que se resecreto estadı́stico.
fiere al trato confidencial y la protección de los
datos ası́ como a los fines estrictamente cientı́HA ADOPTADO EL PRESENTE REGLAficos del acceso a los datos. Por consiguiente, MENTO:
144
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
Artı́culo 1
El Reglamento (CE) no 831/2002 queda modificado como sigue:
1. En el artı́culo 3, el apartado 1 se sustituye por
el texto siguiente: ”1. La autoridad comunitaria podrá conceder el acceso a datos confidenciales a aquellos investigadores que pertenezcan a organismos incluidos en cualquiera de
las siguientes categorı́as:
a) universidades y otras instituciones de enseñanza superior establecidas de conformidad con el Derecho comunitario o con
el Derecho de un Estado miembro;
b) organizaciones o instituciones de investigación cientı́fica establecidas de conformidad con el Derecho comunitario o con
el Derecho de un Estado miembro;
c) institutos nacionales de estadı́stica de los
Estados miembros;
d) el Banco Central Europeo y los bancos centrales nacionales de los Estados
miembros;
e) otras agencias, organizaciones e instituciones, tras haber recibido el dictamen
del Comité del Secreto Estadı́stico, de
conformidad con el procedimiento establecido en el artı́culo 20, apartado 2, del
Reglamento (CE) no 322/97.”.
No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el
acceso a los datos de esta autoridad nacional
para un proyecto especı́fico de investigación.”.
3. En el artı́culo 6, el apartado 1 se sustituye por
el texto siguiente: ”1. La autoridad comunitaria podrá divulgar conjuntos de microdatos
anónimos obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos:
• panel de hogares de la Comunidad Europea,
• encuesta de población activa,
• encuesta de la Comunidad sobre la innovación,
• encuesta sobre la formación profesional
permanente,
• encuesta sobre la estructura de los salarios,
• estadı́sticas de la Unión Europea sobre
la renta y las condiciones de vida,
• encuesta sobre la educación de adultos.
No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el
acceso a los datos de esta autoridad nacional
para un proyecto especı́fico de investigación.”.
Artı́culo 2
2. En el artı́culo 5, el apartado 1 se sustituye por
El presente Reglamento entrará en vigor el vigéel texto siguiente: ”1. La autoridad comunita- simo dı́a siguiente al de su publicación en el Diario
ria podrá conceder el acceso en sus instala- Oficial de la Unión Europea.
ciones a datos confidenciales obtenidos de las
El presente Reglamento será obligatorio en tosiguientes encuestas o fuentes de datos estados sus elementos y directamente aplicable en cada
dı́sticos:
Estado miembro.
• panel de hogares de la Comunidad EuroHecho en Bruselas, el 29 de agosto de 2007.
pea,
Por la Comisión
• encuesta de población activa,
Joaquı́n Almunia
• encuesta de la Comunidad sobre la innovación,
Miembro de la Comisión
• encuesta sobre la formación profesional
[1] DO L 52 de 22.2.1997, p. 1. Reglamento modificado
permanente,
por el Reglamento (CE) no 1882/2003 del Parlamento Euro• encuesta sobre la estructura de los sala- peo y del Consejo (DO L 284 de 31.10.2003, p. 1).
rios,
[2] DO L 133 de 18.5.2002, p. 7. Reglamento modificado por el Reglamento (CE) no 1104/2006 (DO L 197 de
• estadı́sticas de la Unión Europea sobre 19.7.2006, p. 3).
la renta y las condiciones de vida,
[3] DO L 163 de 3.7.2003, p. 1.
• encuesta sobre la educación de adultos.
145
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
4.3.3
Reglamento (CE) n o 606/2008 de la Comisión, de 26 de junio de
2008 , por el que se modifica el Reglamento (CE) n o 831/2002 por
el que se aplica el Reglamento (CE) n o 322/97 del Consejo sobre la
estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a
datos confidenciales Texto pertinente a efectos del EEE
Reglamento (CE) no 606/2008 de la Comisión
3. Las medidas previstas en el presente Reglade 26 de junio de 2008 por el que se modifica el
mento se ajustan al dictamen del Comité del
Reglamento (CE) no 831/2002 por el que se aplica
secreto estadı́stico.
el Reglamento (CE) no 322/97 del Consejo sobre la
estadı́stica comunitaria en lo relativo al acceso con
HA ADOPTADO EL PRESENTE REGLAfines cientı́ficos a datos confidenciales
MENTO:
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Artı́culo 1
El Reglamento (CE) no 831/2002 queda modiVisto el Tratado constitutivo de la Comunidad ficado como sigue:
Europea,
1. En el artı́culo 5, el apartado 1 se sustituye por
Visto el Reglamento (CE) no 322/97 del Conel texto siguiente: ”1. La autoridad comunitasejo, de 17 de febrero de 1997, sobre la estadı́stiria podrá conceder el acceso en sus instalaca comunitaria [1], y, en particular, su artı́culo 17,
ciones a datos confidenciales obtenidos de las
apartado 2, y su artı́culo 20, apartado 1,
siguientes encuestas o fuentes de datos estaConsiderando lo siguiente:
dı́sticos:
1. El Reglamento (CE) no 831/2002 de la Comisión [2] establece las condiciones en que se
puede autorizar el acceso a los datos confidenciales transmitidos a la autoridad comunitaria, con objeto de permitir la extracción de
conclusiones estadı́sticas con fines cientı́ficos.
En él se enumeran las distintas encuestas y
fuentes de datos a los que se aplica.
2. Los investigadores y la comunidad cientı́fica
en general solicitan también cada vez más el
acceso con fines cientı́ficos a datos confidenciales de la encuesta sobre la estructura de
las explotaciones agrı́colas (EEA). El acceso
a los microdatos de la EEA permitirı́a a los
investigadores estudiar las relaciones entre las
diferentes caracterı́sticas de cada explotación
agrı́cola, tales como los tipos de cultivos practicados, el ganado y la mano de obra. También permitirı́a a los investigadores mejorar
los modelos y los indicadores agroambientales regionales que se basan en la actualidad
en datos agregados. Por consiguiente, esta encuesta debe añadirse a la lista que figura en
el Reglamento (CE) no 831/2002.
• panel de hogares de la Comunidad Europea,
• encuesta de población activa,
• encuesta de la Comunidad sobre la innovación,
• encuesta sobre la formación profesional
permanente,
• encuesta sobre la estructura de los salarios,
• estadı́sticas de la Unión Europea sobre
la renta y las condiciones de vida,
• encuesta sobre la educación de adultos,
• encuesta sobre la estructura de las explotaciones agrı́colas.
No obstante, a instancias de la autoridad nacional que haya facilitado los datos, no se concederá el acceso a los datos de esta autoridad
nacional para un proyecto especı́fico de investigación.”.
2. En el artı́culo 6, el apartado 1 se sustituye por
el texto siguiente: ”1. La autoridad comunitaria podrá divulgar conjuntos de microdatos
146
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
hechos anónimos obtenidos de las siguientes
encuestas o fuentes de datos estadı́sticos:
• panel de hogares de la Comunidad Europea,
No obstante, a instancias de la autoridad nacional que haya facilitado los datos, no se concederá el acceso a los datos de esta autoridad
nacional para un proyecto especı́fico de investigación.”.
• encuesta de población activa,
• encuesta de la Comunidad sobre la innovación,
•
•
•
•
•
Artı́culo 2
El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario
encuesta sobre la formación profesional
Oficial de la Unión Europea.
permanente,
El presente Reglamento será obligatorio en toencuesta sobre la estructura de los salados sus elementos y directamente aplicable en cada
rios,
Estado miembro.
estadı́sticas de la Unión Europea sobre
Hecho en Bruselas, el 26 de junio de 2008.
la renta y las condiciones de vida,
Por la Comisión
encuesta sobre la educación de adultos,
Joaquı́n Almunia
encuesta sobre la estructura de las explotaciones agrı́colas.
Miembro de la Comisión
[1] DO L 52 de 22.2.1997, p. 1. Reglamento modificado por el Reglamento (CE) no 1882/2003 del Parlamento Europeo
y del Consejo (DO L 284 de 31.10.2003, p. 1).
[2] DO L 133 de 18.5.2002, p. 7. Reglamento modificado en último lugar por el Reglamento (CE) no 1000/2007 (DO L
226 de 30.8.2007, p. 7).
147
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
4.3.4
Reglamento (UE) no 520/2010 de la Comisión de 16 de junio de 2010
por el que se modifica el Reglamento (CE) no 831/2002, relativo al
acceso con fines cientı́ficos a datos confidenciales, por lo que se refiere
a las encuestas y fuentes de datos estadı́sticos disponibles
LA COMISIÓN DE LAS COMUNIDADES EU- especı́ficos destinados a diferentes grupos de poblaROPEAS,
ción o para evaluar los planes de prevención euroVisto el Tratado de Funcionamiento de la Unión peos o nacionales.
Europea,
Visto el Reglamento (CE) no 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de
2009, relativo a la estadı́stica europea [1], y, en particular, su artı́culo 23,
Considerando lo siguiente:
(1) El Reglamento (CE) no 831/2002 de la Comisión [2] establece las condiciones en que se puede
autorizar el acceso a los datos confidenciales transmitidos a la autoridad comunitaria, con objeto de
permitir la extracción de conclusiones estadı́sticas
con fines cientı́ficos. En él se enumeran las distintas
encuestas y fuentes de datos a los que se aplica.
(2) Existe una demanda creciente por parte de
investigadores y de la comunidad cientı́fica en general para poder acceder con fines cientı́ficos a datos
confidenciales de la encuesta europea de salud mediante entrevista, las estadı́sticas comunitarias de
la sociedad de la información, la encuesta de presupuestos de los hogares y la relación estadı́stica de
los transportes de mercancı́as por carretera.
(4) En el Reglamento (CE) no 808/2004 del Parlamento Europeo y del Consejo, de 21 de abril de
2004, relativo a estadı́sticas comunitarias de la sociedad de la información [3], se establece un marco
para el suministro de datos estadı́sticos armonizados sobre la utilización de las tecnologı́as de la información y la comunicación (TIC) en los hogares
y por parte de los individuos. El acceso a conjuntos
de datos individuales aportarı́a grandes beneficios
al trabajo de investigación sobre el impacto de la
utilización de las TIC en las sociedades europeas y
en la inclusión digital. Los resultados pueden utilizarse para evaluar las polı́ticas existentes y para
definir nuevas polı́ticas pertinentes a nivel nacional
y europeo, como por ejemplo la estrategia i2010.
(5) La encuesta de presupuestos de los hogares
incluye la clasificación de los gastos en función de las
caracterı́sticas del hogar y con arreglo a la persona
de referencia y la renta del hogar. La homogeneidad
de esta fuente permite la creación de herramientas
de microsimulación a fin de someter a prueba las
hipótesis a nivel de la UE y de ayudar a los responsables de las polı́ticas a tomar decisiones con
(3) La encuesta europea de salud mediante en- conocimiento de causa.
trevista tiene como objetivo medir, de manera ar(6) En el Reglamento (CE) no 1172/98 del Conmonizada y con un grado elevado de comparabilidad
sejo,
de 25 de mayo de 1998, sobre la relación estaentre los Estados miembros de la UE, la situación
dı́stica
de los transportes de mercancı́as por carresanitaria, el estilo de vida (determinantes de la satera
[4],
se exige que los paı́ses que envı́an informes
lud) y la utilización de los servicios de atención saproporcionen
trimestralmente a Eurostat microdanitaria por parte de los ciudadanos de la UE. La
tos
sobre
los
vehı́culos
seleccionados para la mueselección de los temas incluidos en el cuestionario se
tra,
los
recorridos
realizados
por estos vehı́culos y
basa tanto en las necesidades de las polı́ticas colos
productos
transportados
entre
regiones duranmo en fines cientı́ficos. La utilización de conjuntos
te
estos
recorridos.
El
acceso
de
los
investigadores
de datos individuales permitirá que los investigadoa
estos
datos
serı́a
beneficioso
para
los
análisis de
res realicen estudios sobre poblaciones especı́ficas
la
polı́tica
de
transporte
y
para
la
modelización
del
(como por ejemplo las personas mayores) a fin de
transporte,
entre
otras
cosas
en
relación
con
la
poevaluar mejor su situación sanitaria y la manera en
que los sistemas de atención sanitaria satisfacen sus lı́tica regional de la UE, el establecimiento de un
necesidades. Los resultados de estos estudios de in- equilibrio entre los diferentes modos de transporte
vestigación podrı́an utilizarse para diseñar planes y el desarrollo de redes de transporte transeuropeas
148
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
en la UE.
• encuesta de presupuestos de los hogares,
(7) Por consiguiente, la encuesta europea de sa• relación estadı́stica de los transportes de merlud mediante entrevista, las estadı́sticas comunitacancı́as por carretera.
rias de la sociedad de la información – módulo 2:
personas, hogares y sociedad de la información, la
No obstante, a instancias de la autoridad nacioencuesta de presupuestos de los hogares y la relación nal que haya facilitado los datos, no se concederá el
estadı́stica de los transportes de mercancı́as por ca- acceso a los datos de esta autoridad nacional para
rretera deben incluirse en la enumeración que figura un proyecto especı́fico de investigación.”.
en el Reglamento (CE) no 831/2002.
2) En el artı́culo 6, el apartado 1 se sustituye
(8) Las medidas previstas en el presente Regla- por el texto siguiente:
mento se ajustan al dictamen del Comité del siste”1. La autoridad comunitaria podrá divulgar
ma estadı́stico europeo (Comité del SEE).
conjuntos de microdatos hechos anónimos obteniHA ADOPTADO EL PRESENTE REGLA- dos de las siguientes encuestas o fuentes de datos
MENTO:
estadı́sticos:
Artı́culo 1
• panel de hogares de la Comunidad Europea,
El Reglamento (CE) no 831/2002 queda modificado como sigue:
• encuesta de población activa,
1) En el artı́culo 5, el apartado 1 se sustituye
• encuesta de la Comunidad sobre la innovapor el texto siguiente:
ción,
”1. La autoridad comunitaria podrá conceder el
acceso en sus instalaciones a datos confidenciales
obtenidos de las siguientes encuestas o fuentes de
datos estadı́sticos:
• panel de hogares de la Comunidad Europea,
• encuesta de población activa,
• encuesta de la Comunidad sobre la innovación,
• encuesta sobre la formación profesional permanente,
• encuesta sobre la estructura de los salarios,
• encuesta sobre la formación profesional permanente,
• encuesta sobre la estructura de los salarios,
• estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida,
• encuesta sobre la educación de adultos,
• encuesta sobre la estructura de las explotaciones agrı́colas,
• encuesta europea de salud mediante entrevista,
• estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida,
• estadı́sticas comunitarias de la sociedad de la
información – módulo 2: personas, hogares y
sociedad de la información,
• encuesta sobre la educación de adultos,
• encuesta de presupuestos de los hogares,
• encuesta sobre la estructura de las explotaciones agrı́colas,
• relación estadı́stica de los transportes de mercancı́as por carretera.
• encuesta europea de salud mediante entrevista,
No obstante, a instancias de la autoridad nacional
que haya facilitado los datos, no se concederá el ac• estadı́sticas comunitarias de la sociedad de la ceso a los datos de esta autoridad nacional para un
información – módulo 2: personas, hogares y proyecto especı́fico de investigación.”.
sociedad de la información,
Artı́culo 2
149
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario
Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada
Estado miembro.
Hecho en Bruselas, el 16 de junio de 2010.
Por la Comisión
El Presidente
José Manuel Barroso
[1] DO L 87 de 31.3.2009, p. 164.
[2] DO L 133 de 18.5.2002, p. 7.
[3] DO L 143 de 30.4.2004, p. 49.
[4] DO L 163 de 6.6.1998, p. 1.
150
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
4.3.5
DECISIÓN DE LA COMISIÓN de 29 de abril de 2004 por la que se
establece una lista de organismos cuyos investigadores pueden acceder,
con fines cientı́ficos, a datos confidenciales
[notificada con el número C(2004) 1664]
(Texto pertinente a efectos del EEE) (2004/452/CE)
(DO L 202 de 7.6.2004, p. 1)
Modificado por:
M1
M2
M3
M4
M5
M6
M7
M8
M9
M10
M11
M12
M13
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
Decisión
2005/412/CE de la Comisión de 25 de mayo de 2005
2005/746/CE de la Comisión de 20 de octubre de 2005
2006/429/CE de la Comisión de 22 de junio de 2006
2006/699/CE de la Comisión de 17 de octubre de 2006
2007/81/CE de la Comisión de 2 de febrero de 2007
2007/229/CE de la Comisión de 11 de abril de 2007
2007/439/CE de la Comisión de 25 de junio de 2007
2007/678/CE de la Comisión de 16 de octubre de 2007
2008/52/CE de la Comisión de 20 de diciembre de 2007
2008/291/CE de la Comisión de 18 de marzo de 2008
2008/595/CE de la Comisión de 25 de junio de 2008
2008/876/CE de la Comisión de 6 de noviembre de 2008
2009/411/CE de la Comisión de 25 de mayo de 2009
n◦
L 140
L 280
L 172
L 287
L 28
L 99
L 164
L 280
L 13
L 98
L 192
L 310
L 132
Diario Oficial
página
fecha
11
3.6.2005
16
25.10.2005
17
24.6.2006
36
18.10.2006
23
3.2.2007
11
14.4.2007
30
26.6.2007
22
24.10.2007
29
16.1.2008
11
10.4.2008
60
19.7.2008
28
21.11.2008
16
29.5.2009
151
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
2004/452/CE: Decisión de la Comisión, de
29 de abril de 2004, por la que se establece
una lista de organismos cuyos investigadores
pueden acceder, con fines cientı́ficos, a datos confidenciales [notificada con el número
C(2004) 1664] Texto perteneciente a efectos
del EEE (D.O.U.E. serie L, núm. 156, de 30
de abril)
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Visto el Tratado constitutivo de la Comunidad
Europea,
Visto el Reglamento (CE) no 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadı́stica
comunitaria1, y, en particular, el apartado 1 de su
artı́culo 20,
Considerando lo siguiente:
1. El objetivo del Reglamento (CE) n◦ 831/2002
de la Comisión, de 17 de mayo de 2002, por el
que se aplica el Reglamento (CE) n◦ 322/97
del Consejo sobre la estadı́stica comunitaria
en lo relativo al acceso con fines cientı́ficos
a datos confidenciales2 es fijar las condiciones en que puede concederse el acceso a datos
confidenciales transmitidos a la autoridad comunitaria y las reglas de cooperación entre
las autoridades comunitarias y nacionales para facilitar este acceso, con objeto de permitir extraer conclusiones estadı́sticas con fines
cientı́ficos.
2. Se hace referencia concreta a cuatro fuentes
importantes: el panel de hogares de la Comunidad Europea, la encuesta de población
activa, la encuesta de la Comunidad sobre la
innovación y la encuesta sobre la formación
profesional permanente.
3. La autoridad comunitaria puede conceder el
acceso a datos confidenciales a investigadores
de universidades y otras instituciones de enseñanza superior establecidas de conformidad
con el Derecho comunitario o con el Derecho
de un Estado miembro o de organizaciones o
instituciones de investigación cientı́fica establecidas de conformidad con el Derecho comu-
nitario o con el Derecho de un Estado miembro.
4. Asimismo, con arreglo a la letra c) del apartado 1 del artı́culo 3 de dicho Reglamento, puede
concederse el acceso a investigadores de otras
agencias, organizaciones e instituciones, tras
haber recibido el dictamen del Comité de secreto estadı́stico, de conformidad con el procedimiento establecido en el apartado 2 del
artı́culo 20 del Reglamento (CE) n◦ 322/97.
5. Por consiguiente, es necesario establecer una
lista de tales organismos, tras realizar una
evaluación que tome en consideración una serie de condiciones, tales como el objetivo principal del organismo, las disposiciones de organización interna relativas a la investigación,
las garantı́as aplicadas o las disposiciones relativas a la difusión de los resultados de las
investigaciones.
6. Una consideración a favor de la concesión del
acceso es que el organismo tenga un historial
o una reputación consolidados de producir estudios de calidad y de publicar sus resultados. Una consideración secundaria es que el
organismo esté bien establecido y reconocido
como organismo con autoridad en su ámbito
particular y que eventualmente tenga patrocinadores, socios o accionistas de confianza.
7. Los estudios efectuados por el organismo deben llevarse a cabo en una unidad bien definida, sin lazos organizativos o de gestión con el
ámbito de actuación del organismo. Dicha unidad debe estar considerada como una unidad
diferenciada y autónoma, bajo la dirección de
un cuadro superior sin responsabilidad directa
sobre la polı́tica o la consecución de los objetivos del organismo.
8. Asimismo, la dirección del organismo debe
proporcionar garantı́as adecuadas en lo relativo a diversos aspectos, por ejemplo medidas
para evitar que el personal de la unidad de
investigación transmita a personas externas a
la unidad información obtenida a partir de los
datos facilitados, a excepción de los resultados
resumidos y agregados de los estudios con la
autorización del responsable de la unidad de
investigación, o medidas para garantizar que
152
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
sea considerada una falta disciplinar grave que
cualquier persona del organismo solicite a los
miembros de la unidad de investigación información relativa a registros individuales de los
datos facilitados.
9. Es necesaria una descripción de la seguridad
fı́sica de las instalaciones del organismo y de
sus sistemas informáticos, ası́ como de la custodia de los datos en los mismos, que especifique las medidas adoptadas para garantizar
el acceso autorizado y evitar el acceso no autorizado, ası́ como para proteger los sistemas
contra el acceso no autorizado de personas externas al organismo. Asimismo, debe existir
una descripción de las medidas de seguridad
para la custodia de los documentos, incluidos
los documentos en papel, que contengan información procedente de los datos facilitados.
arreglo a las normas y procedimientos establecidos en el Reglamento (CE) n◦ 831/2002 de
la Comisión.
14. Las medidas previstas en la presente Decisión
se ajustan al dictamen del Comité de secreto
estadı́stico.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artı́culo 1
En el anexo figura la lista, a la que hace referencia la letra c) del apartado 1 del artı́culo 3 del
Reglamento (CE) n◦ 831/2002 del Consejo, de organismos cuyos investigadores pueden acceder, con
fines cientı́ficos, a datos confidenciales.
Artı́culo 2
10. El acceso debe realizarse con fines cientı́ficos,
Los destinatarios de la presente Decisión serán
lo que implica que la comunidad cientı́fica de- los Estados miembros.
be tener acceso libremente y sin demora a los
resultados. La utilización de los datos para informes o fines exclusivamente internos se considerarı́a contraria al objetivo del Reglamento
(CE) n◦ 831/2002 de la Comisión. La polı́tica del organismo en materia de difusión de los
estudios realizados por su unidad de investigación debe ser abierta, lo que implica promover
su publicación en la literatura cientı́fica pertinente y que pueda accederse libremente a los
resultados de dichos estudios en el sitio web
del organismo o en otro sitio web apropiado.
11. El Banco Central Europeo (BCE) debe ser
considerado como un organismo que cumple
las condiciones mencionadas y, por tanto, debe añadirse a la lista de agencias, organizaciones e instituciones a las que hace referencia la
letra c) del apartado 3 del artı́culo 1 del Reglamento (CE) n◦ 831/2002 de la Comisión.
12. Esta lista se actualizará a medida que más
agencias, organizaciones e instituciones deban
ser consideradas organismos admisibles.
13. Es preciso seguir exigiendo que las solicitudes especı́ficas de acceso presentadas por tales organismos se tramiten posteriormente con
153
Normativa europea
4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques
a dades confidencials
ANEXO
del Centro Comun de Investigacion de la Comision
Europea
Unidad de Apoyo al Espacio Europeo de la Investi-
Organismos cuyos investigadores pueden acce- gacion (SERA) del Centro Comun de Investigacion de
la Comision Europea
der, con fines cientificos, a datos confidenciales
Banco Central Europeo
Banco Central de España
Banco Central de Italia
Cornell University (Nueva York, Estados Unidos de
America)
Department of Political Science, Baruch College,
New York City University (Nueva York, Estados Unidos de America)
Banco Central de Alemania
Unidad de Analisis del Empleo de la Direccion General de Empleo, Asuntos Sociales e Igualdad de Oportunidades de la Comision Europea
University of Tel Aviv (Israel)
Banco Mundial
Center of Health and Wellbeing (CHW), Woodrow
Wilson School of Public and International Affairs, Princeton University (Nueva Jersey, Estados Unidos de
America)
The University of Chicago, UofC (Illinois, Estados
Unidos de America)
Organizacion de Cooperacion y Desarrollo Economicos (OCDE)
Family and Labour Studies Division, Statistics Canada, Ottawa (Ontario, Canada)
Unidad de Econometria y Apoyo Estadistico a la
Lucha contra el Fraude (ESAF)
Canada Research Chair, School of Social Science,
Atkinson Faculty of Liberal and Professional Studies at
York University (Ontario, Canada)
University of Illinois at Chicago, UIC (Illinois, Estados Unidos de America)
Rady School of Management at the University of
California, San Diego (California, Estados Unidos de
America)
Direction de l’Animation de la Recherche, des Etudes et des Statistiques, DARES, Ministerio de Trabajo,
Relaciones Sociales y Solidaridad, Paris (Francia)
The Research Foundation of State University of New
York, RFSUNY, Albany (Nueva York, Estados Unidos
de America)
Elaketurvakeskus, ETK (Finlandia)
Direction de la Recherche, des Etudes, de
l’Evaluation et des Statistiques, DREES, bajo la autoridad conjunta del Ministerio de Trabajo, Relaciones Sociales y Solidaridad, el Ministerio de Sanidad, Juventud
y Deportes y el Ministerio del Presupuesto, las Cuentas
Publicas y la Reforma del Estado, Paris (Francia)
Duke University, DUKE (Carolina del Norte, Estados Unidos)
Kansanelakelaitos, KELA (Finlandia)
Hebrew University of Jerusalem, HUJI (Israel)
Federal Public Service Social Security (Belgica)
154
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
4.4 Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24
d’octubre de 1995 relativa a la protecció de les persones fı́siques
en el que respecta al tractament de dades personals i a la lliure
circulació d’aquestes dades (DOCE L 281 de 23.11.1995)
Directiva 95/46/CE del parlamento europeo y
del consejo de 24 de octubre de 1995 relativa a la
protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
EL PARLAMENTO EUROPEO Y EL, CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad
Europea, y, en particular, su artı́culo 100 A,
Vista la propuesta de la Comisión. 1
Visto el dictamen del Comité Económico y Social 2
De conformidad con el procedimiento establecido en el artı́culo 189 B del Tratado3 ,
1. Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó
modificado por el Tratado de la Unión Europea, consisten en lograr una unión cada vez
más estrecha entre los pueblos europeos, establecer relaciones más estrechas entre los Estados miembros de la Comunidad, asegurar,
mediante una acción común, el progreso económico y social, eliminando las barreras que
dividen Europa, fementar la continua mejora de las condiciones de vida de sus pueblos,
preservar y consolidar la paz y la libertad y
promover la democracia, basándose en los derechos fundamentales reconocidos en las constituciones Y leyes de los Estados miembros
y en el Convenio Europeo para la Protección
de los Derechos Humanos y de las Libertades
Fundamentales;
2. Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que
deben, cualquiera que sea la nacionalidad o
la residencia de las personas fı́sicas, respetar
las libertades y derechos fundamentales de las
personas fı́sicas y, en particular, la intimidad,
y contribuir al progreso económico y social,
al desarrollo de los intercambios, ası́ como al
bienestar de los individuos;
3. Considerando que el establecimiento Y funcionamiento del mercado interior, dentro del
cual está garantizada, con arreglo al artı́culo
7 A del Tratado, la libre circulación de mercancı́as, personas, servicios y capitales, hacen
necesaria no sólo la libre circulación de datos
personales de un Estado miembro a otro, sino
también la protección de los derechos fundamentales de las personas;
4. Considerando que se recurre cada vez más en
la Comunidad al tratamiento de datos personales en los diferentes sectores de actividad
económica y social; que el avance de las tecnologı́as de la información facilita considerablemente el tratamiento y el intercambio de
dichos datos;
5. Considerando que la integración económica y
social resultante del establecimiento y funcionamiento del mercado interior, definido en el
artı́culo 7 A del Tratado, va a implicar necesariamente un aumento notable de los flujos transfronterizos de datos personales entre
todos los agentes de la vida económica y social de los Estados miembros, ya se trate de
agentes públicos o privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros
experimentará un desarrollo; que las administraciones nacionales de los diferentes Estados
miembros, en aplicación del Derecho comunitario, están destinadas a colaborar y a intercambiar datos personales a fin de cumplir su
cometido o ejercer funciones por cuenta de las
administraciones de otros Estados miembros,
en el marco del espacio sin fronteras que constituye el mercado interior;
155
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
6. Considerando, por lo demás, que el fortalecimiento de la cooperación cientı́fica y técnica, ası́ como el establecimiento coordinado
de nuevas redes de telecomunicaciones en la
Comunidad exigen y facilitan la circulación
transfronteriza de datos personales;
7. Considerando que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros
por lo que respecta al tratamiento de datos
personales, pueden impedir la transmisión de
dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, estas diferencias pueden constituir un obstáculo para
el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia e impedir que las administraciones
cumplan los cometidos que les incumben en
virtud del Derecho comunitario; que estas diferencias en los niveles de protección se deben
a la disparidad existente entre las disposiciones legales, reglamentarias y administrativas
de los Estados miembros;
8. Considerando que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades
de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente
en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no
puede lograrse mediante la mera actuación de
los Estados miembros, teniendo en cuenta, en
particular, las grandes diferencias existentes
en la actualidad entre las legislaciones nacionales aplicables en la materia y la neces idad
de coordinar las legislaciones de los Estados
miembros para que el flujo transfronterizo de
datos personales sea regulado de forma coherente y de conformidad con el objetivo del
mercado interior definido en el artı́culo 7 A
del Tratado; que, por tanto, es necesario que
la Comunidad intervenga para aproximar las
legislaciones;
9. Considerando que, a causa de la protección
equivalente que resulta de la aproximación de
las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre cir-
culación entre ellos de datos personales por
motivos de protección de los derechos y libertades de las personas fı́sicas, y, en particular,
del derecho a la intimidad; que los Estados
miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto
de la aplicación de la presente Directiva, los
interlocutores económicos y sociales; que los
Estados miembros podrán,por lo tanto, precisar en su derecho nacional las condiciones
generales de licitud del tratamiento de datos;
que, al actuar ası́, los Estados miembros procurarán mejorar la protección que proporciona su legislación en la actualidad; que, dentro
de los lı́mites de dicho margen de maniobra y
de conformidad con el Derecho comunitario,
podrán surgir disparidades en la aplicación de
la presente Directiva, y que ello podrá tener
repercusiones en la circulación de datos tanto
en el interior de un Estado miembro como en
la Comunidad;
10. Considerando que las legislaciones nacionales
relativas al tratamiento de datos personales
tienen por objeto garantizar el respeto de los
derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artı́culo 8 del Convenio
Europeo para la Protección de los Derechos
Humanos y de las Libertades Fundamentales,
ası́ como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que
garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;
11. Considerando que los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva,
precisan y amplı́an los del Convenio de 28 de
enero de 1981 del Consejo de Europa para la
protección de las personas en lo que respecta al tratamiento automatizado de los datos
personales;
12. Considerando que los principios de la protección deben aplicarse a todos los tratamientos
de datos personales cuando las actividades del
156
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que
debe excluirse el tratamiento de datos efectuado por una persona fı́sica en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza
de un repertorio de direcciones;
13. Considerando que las actividades a que se refieren los tı́tulos V y VI del Tratado de la
Unión Europea relativos a la seguridad pública, la defensa, la seguridad del Estado y
las actividades del Estado en el ámbito penal
no están comprendidas en el ámbito de aplicación del Derecho comunitario, sin perjuicio
de las obligaciones que incumben a los Estados miembros con arreglo al apartado 2 del
artı́culo 56 y a los artı́culos 57 y 100 A del
Tratado; del] tratamiento de los datos de carácter personal que sea necesario para la salvaguardia del bienestar económico del Estado
no está comprendido en el ámbito de aplicación de la presente Directiva en los casos en
que dicho tratamiento esté relacionado con la
seguridad del Estado;
14. Considerando que, habida cuenta de la importancia que, en el marco de la sociedad de la
información, reviste el actual desarrollo de las
técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos a las personas fı́sicas constituidos por
sonido e imagen, la presente Directiva habrá
de aplicarse a los tratamientos que afectan a
dichos datos;
15. Considerando que los tratamientos que afectan a dichos datos sólo quedan amparados por
la presente Directiva cuando están automatizados o cuando los datos a que se refieren se
encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado
según criterios especı́ficos relativos a las personas, a fin de que se pueda acceder fácilmente a
los datos de carácter personal de que se trata;
16. Considerando que los tratamientos de datos
constituidos por sonido e imagen, como los de
la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de
seguridad pública, defensa, seguridad del Estado o para el ejercicio de las actividades del
Estado relacionadas con ámbitos del derecho
penal o para el ejercicio de otras actividades
que no están comprendidos en el ámbito de
aplicación del Derecho comunitario;
17. Considerando que en lo que respecta al tratamiento del sonido y de la imagen aplicados
con fines periodı́sticos o de expresión literaria
o artı́stica, en particular en el sector audiovisual, los principios de la Directiva se aplican
de forma restringida según lo dispuesto en al
artı́culo 9;
18. Considerando que, para evitar que una persona sea excluida de la protección garantizada
por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado
en la Comunidad respete la legislación de uno
de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento
de datos efectuados por cualquier persona que
actúe bajo la autoridad del responsable del
tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;
19. Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante
una instalación estable; que la forma jurı́dica
de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad
jurı́dica, no es un factor determinante al respecto; que cuando un mismo responsable esté
establecido en el territorio de varios Estados
miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable,
que cada uno de los establecimientos cumpla
las obligaciones impuestas por el Derecho nacional aplicable a estas actividades;
20. Considerando que el hecho de que el responsable del tratamiento de datos esté establecido en un paı́s tercero no debe obstaculizar la
protección de las personas contemplada en la
presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación
del Estado miembro en el que se ubiquen los
medios utilizados y deben adaptarse garantı́as
157
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva;
21. Considerando que la presente Directiva no
afecta a las normas de territorialidad aplicables en materia penal;
22. Considerando que los Estados miembros precisarán en su legislación o en la aplicación
de las disposiciones adoptadas en virtud de
la presente Directiva las condiciones generales de licitud del tratamiento de datos; que,
en particular, el artı́culo 5 en relación con los
artı́culos 7 y 8, ofrece a los Estados miembros
la posibilidad de prever, independientemente
de las normas generales, condiciones especiales de tratamiento de datos en sectores especı́ficos, ası́ como para las diversas categorı́as
de datos contempladas en el artı́culo 8;
23. Considerando que los Estados miembros están
facultades para garantizar la protección de las
personas tanto mediante una ley general relativa a la protección de las personas respecto
del tratamiento, de los datos de carácter personal como mediante leyes sectoriales, como
las relativas a los institutos estadı́sticos;
24. Considerando que las legislaciones relativas a
la protección de las personas jurı́dicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva;
25. Considerando que los principios de la protección tienen su expresión, por una parte, en las
distintas obligaciones que incumben a las personas, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos - obligaciones relativas, en particular,
a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control
v las circunstancias en las que se puede efectuar el ’tratamiento- y,por otra parte, en los
derechos otorgados a las personas cuyos datos
sean objeto de tratamiento de ser informadas
acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectifica
ción o incluso de oponerse a su tratamiento en
determinadas circunstancias;
26. Considerando que los principios de la protección deberán aplicarse a cualquier información
relativa a una persona identificada o identificable; que, para determinar si una persona es
identificable, hay que considerar el conjunto
de los medios que puedan ser razonablemente
utilizados por el responsable del tratamiento o
por cualquier otra persona, para identificar a
dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos
anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos
de conducta con arreglo al artı́culo 27 pueden
constituir un elemento útil para proporcionar
indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al
interesado;
27. Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe
depender, en efecto, de las técnicas utilizadas,
pues la contrario darı́a lugar a riesgos graves
de alusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a
las carpetas que no están estructuradas; que,
en particular, el contenido de un fichero debe
estructurarse conforme a criterios especı́ficos
relativos a las personas, que permitan acceder
fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra
c) del artı́culo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal
y los distintos criterios que regulan el acceso a
dicho conjunto de datos pueden ser definidos
por cada Estado miembro; que, las carpetas
y conjuntos de carpetas, ası́ como sus portadas, que no estén estructuradas conforme a
criterios especı́ficos no están comprendidas en
ningún caso en el ámbito de aplicación de la
presente Directiva;
28. Considerando que todo tratamiento de datos
personales debe efectuarse de forma lı́cita y
leal con respecto al interesado; que debe referirse, en particular, a datos adecuados, pertinentes y no excesivos en relación con los obje158
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
tivos perseguidos; que estos objetivos han de
ser explı́citos y legı́timos, y deben estar determinados en el momento de obtener los datos;
que los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles
con los objetivos originalmente especificados;
29. Considerando que el tratamiento ulterior de
datos personales, con fines históricos, estadı́sticos o cientı́ficos no debe por lo general considerarse incompatible con los objetivos para los
que se recogieron los datos, siempre y cuando
los Estados miembros establezcan las garantı́as adecuadas; que dichas garantı́as deberán
impedir que dichos datos sean utilizados para
tomar medidas o decisiones contra cualquier
persona;
30. Considerando que para ser lı́cito el tratamiento de datos personales debe basarse además
en el consentimiento del interesado o ser necesario con vistas a la celebración o ejecución
de un contrato que obligue al interesado, o
para la observancia de una obligación legal o
para el cumplimiento de una misión de interés público o para el ejercicio de la autoridad
pública o incluso para la realización de un interés legı́timo de una persona, siempre que no
prevalezcan los intereses o los derechos y libertades del interesado; que, en particular, para
asegurar el equilibrio de los intereses en juego,
garantizando a la vez una competencia efectiva, los Estados miembros pueden precisar las
condiciones en las que se podrán utilizar y comunicar a terceros datos de carácter personal,
en el desempeño de actividades legı́timas de
gestión ordinaria de empresas y otras entidades; que los Estados miembros pueden asimismo establecer previamente las condiciones en
que pueden efectuarse comunicaciones de datos personales a terceros con fines de prospección comercial o de prospección realizada por
una institución benéfica u otras asociaciones
o fundaciones, por ejemplo de carácter polı́tico, dentro del respeto de las disposiciones que
permiten a los interesados oponerse, sin alegar
los motivos y sin gastos, al tratamiento de los
datos que les conciernan;
31. Considerando que un tratamiento de datos
personales debe estimarse lı́cito cuando se
efectúa con el fin de proteger un interés esencial para la vida del interesado;
32. Considerando que corresponde a las legislaciones nacionales determinar si el responsable
del tratamiento que tiene conferida una misión de interés público o inherente al ejercicio
del poder público, debe ser una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación
profesional;
33. Considerando, por lo demás , que los datos
que por su naturaleza puedan atentar contra
las libertades fundamentales o la intimidad no
deben ser objeto de tratamiento alguno, salvo
en caso de que el interesado haya dado su consentimiento explı́cito; que deberán constar de
forma explı́cita las excepciones a esta prohibición para necesidades especı́ficas, en particular cuando el tratamiento de dichos datos
se realice con fines relacionados con la salud,
por parte de personas fı́sicas sometidas a una
obligación legal de secreto profesional, o para actividades legı́timas por parte de ciertas
asociaciones o fundaciones cuyo objetivo sea
hacer posible el ejercicio de libertades fundamentales;
34. Considerando que también se deberá autorizar a los Estados miembros, cuando esté justificado por razones de interés público importante, a hacer excepciones a la prohibición de
tratar categorı́as sensibles de datos en sectores
como la salud pública y la protección social,
particularmente en lo relativo a la garantı́a de
la calidad y la rentabilidad, ası́ como los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el
régimen del seguro enfermedad, la investigación cientı́fica y las estadı́sticas públicas; que
a ellos corresponde, no obstante, prever las garantı́as apropiadas y especı́ficas a los fines de
proteger los derechos fundamentales y la vida
privada de las personas;
35. Considerando, además, que el tratamiento de
datos personales por parte de las autoridades
públicas con fines, establecidos en el Derecho
constitucional o en el Derecho internacional
público, de asociaciones religiosas reconocidas
159
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
oficialmente, se realiza por motivos importantes de interés público;
36. Considerando que, si en el marco de actividades relacionadas con las elecciones, el funcionamiento del sistema democrático en algunos Estados miembros exige que los partidos
polı́ticos recaben datos sobre la ideologı́a polı́tica de los ciudadanos, podrá autorizarse el
tratamiento de estos datos por motivos importantes de interés público, siempre que se
establezcan las garantı́as adecuadas;
37. Considerando que para el tratamiento de datos personales con fines periodı́sticos o de expresión artı́stica o literaria, en particular en
el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la presente Directiva siempre que
resulten necesarias para conciliar los derechos
fundamentales de la persona con la libertad
de expresión y, en particular, la libertad de
recibir o comunicar informaciones, tal y como
se garantiza en el artı́culo 10 del Convenio
Europeo para la Protección de los Derechos
Humanos y de las Libertades Fundamentales;
que por lo tanto, para ponderar estos derechos fundamentales, corresponde a los Estados miembros prever las excepciones y las restricciones necesarias en lo relativo a las medidas generales sobré la legalidad del tratamiento de datos, las medidas sobre la transferencia
de datos a terceros paı́ses y las competencias
de las autoridades de control sin que esto deba inducir, sin embargo, a los Estados miembros a prever excepciones a las medidas que
garanticen la seguridad del tratamiento; que,
igualmente, deberı́a concederse a la autoridad
de control responsable en la materia al menos
una serie de competencias a posteriorı́ como
por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos
legales ante las autoridades judiciales;
38. Considerando que el tratamiento leal de datos supone que los interesados deben estar en
condiciones de conocer la existencia de los tratamientos y, cuando los datos se obtengan de
ellos mismos, contar con una información precisa y completa respecto a las circunstancias
de dicha obtención;
39. Considerando que determinados tratamientos
se refieren a datos que el responsable no ha recogido directam ente del interesado; que, por
otra parte, pueden comunicarse legı́timamente datos a un tercero aún cuando dicha comunicación no estuviera prevista en el momento de la recogida de los datos del propio interesado; que, en todos estos supuestos, debe
informars e al interesado en el momento del
registro de los datos o, a más tardar, al comunicarse los datos por primera vez a un tercero;
40. Considerando, no obstante, que no es necesario imponer esta obligación si el interesado ya
está informado, si el registro o la comunicación están expresamente previstos por la ley o
si resulta imposible informarle, o ello implica
esfuerzos desproporcionados, como puede ser
el caso para tratamientos con fines históricos,
estadı́sticos o cientı́ficos; que a este respecto
pueden tomarse en consideración el número
de interesados, la antigüedad de los datos, y
las posibles medidas compensatorias;
41. Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le
conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su exactitud
y de la licitud de su tratamiento; que por las
mismas razones cualquier persona debe tener
además el derecho de conocer la lógica que
subyace al tratamiento automatizado de los
datos que la conciernan, al menos en el caso de las decisiones automatizados a que se
refiere el apartado 1 del artı́culo 15; que este derecho no debe menoscabar el secreto de
los negocios ni la propiedad intelectual y en
particular el derecho de autor que proteja el
programa informática; que no obstante esto
no debe suponer que se deniegue cualquier información al interesado;
42. Considerando que, en interés del interesado
de que se trate y para proteger los derechos y
libertades de terceros, los Estados miembros
podrán limitar los derechos de acceso y de información; que podrán, por ejemplo, precisar
que el acceso a los datos de carácter médico
únicamente pueda obtenerse a través de un
profesional de la medicina;
160
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
43. Considerando que los Estados miembros podrán imponer restricciones a los derechos de
acceso e información y a determinadas obligaciones del responsable del tratamiento, en la
medida en que sean estrictamente necesarias
para, por ejemplo, salvaguardar la seguridad
del Estado, la defensa, la seguridad pública,
los intereses económicos o financieros importantes de un Estado miembro o de la Unión,
ası́ como para realizar investigaciones y entablar procedimientos penales y perseguir violaciones de normas deontológicas en las profesiones reguladas; que conviene enumerar, a
efectos de excepciones y limitaciones, las tareas de control, inspección o reglamentación
necesarias en los tres últimos sectores mencionados relativos a la seguridad pública, los
intereses económicos o financieros y la represión penal; que esta enumeración de tareas relativas a los tres sectores citados no afecta a
la legitimidad de las excepciones y restricciones establecidas por razones de seguridad del
Estado o de defensa;
44. Considerando que los Estados miembros podrán verse obligados, en virtud de las disposiciones del Derecho comunitario, a establecer
excepciones a las disposiciones de la presente
Directiva relativas al derecho de acceso, a la
información de personas y a la calidad de los
datos para garantizar algunas de las finalidades contempladas más arriba;
45. Considerando que cuando se pudiera efectuar
lı́citamente un tratamiento de datos por razones de interés público o del ejercicio de la autoridad pública, o en interés legı́timo de una
persona fı́sica, cualquier persona deberá, sin
embargo, tener derecho a oponerse a que los
datos que le conciernan sean objeto de un tratamiento, en virtud de motivos fundados y legı́timos relativos a su situación concreta; que
los Estados miembros tienen, no obstante, la
posibilidad de establecer disposiciones nacionales contrarias;
46. Considerando que la protección de los derechos y libertades de los interesados en lo que
respecta a los tratamientos de datos personales exige la adopción de medidas técnicas y de
organización apropiadas, tanto en el momen-
to de la concepción del sistema de tratamiento
como en el de la aplicación de los tratamientos
mismos, sobre todo con objeto de garantizar
la seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a los
Estados miembros velar por que los responsables del tratamiento respeten dichas medidas;
que esas medidas deberán garantizar un nivel
de seguridad adecuado teniendo en cuenta el
estado de la técnica y el coste de su aplicación
en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que
deban protegerse;
47. Considerando que cuando un mensaje con datos personales sea transmitido a través de
un servicio de telecomunicaciones o de correo
electrónico cuyo único objetivo sea transmitir
mensajes de ese tipo, será considerada normalmente responsable del tratamiento de los
datos personales presentes en el mensaje aquella persona de quien proceda el mensaje y no
la que ofrezca el servicio de transmisión; que,
no obstante, las personas que ofrezcan estos
servicios normalmente serán consideradas responsables del tratamiento de los datos personales complementarios y necesarios para el
funcionamiento del servicio;
48. Considerando que los procedimientos de notificación a la autoridad de control tienen por
objeto asegurar la publicidad de los fines de
los tratamientos y de sus principales caracterı́sticas a fin de controlarlos a la luz de las
disposiciones nacionales adoptadas en aplicación de la presente Directiva;
49. Considerando que para evitar trámites administrativos improcedentes, los Estados miembros pueden establecer exenciones o simplificaciones de la notificación para los tratamientos que no atenten contra los derechos y las libertades de los interesados, siempre y cuando
sean conformes a un acto adoptado por el Estado miembro en el que se precisen sus lı́mites;
que los Estados miembros pueden igualmente
disponer la exención o la simplificación cuando un encargado, nombrado por el responsable
del tratamiento, se cerciore de que los tratamientos efectuados no pueden atentar contra
los derechos Y libertades de los interesados;
161
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
que la persona encargada de la protección de
los datos, sea o no empleado del responsable
del tratamiento de datos, deberá ejercer sus
funciones con total independencia;
50. Considerando que podrán establecerse exenciones o simplificaciones para los tratamientos cuya única finalidad sea el mantenimiento
de registros destinados, de conformidad con el
Derecho nacional, a la información del público y que sean accesibles para la consulta del
público o de toda persona que justifique un
interés legı́timo;
51. Considerando, no obstante, que el beneficio de
la simplificación o de la exención de la obligación de notificación no dispensa al responsable
del tratamiento de ninguna de las demás obligaciones derivadas de la presente Directiva;
52. Considerando que, en este contexto, el control
a posteriorı́ por parte de las autoridades competentes debe considerarse, en general, una
medida suficiente;
53. Considerando, no obstante, que determinados
tratamientos pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los interesados, ya sea
por su naturaleza, su alcance o su finalidad,
como los de excluir a los interesados del beneficio de un derecho, de una prestación o de
un contrato, 9 por el uso particular de una
tecnologı́a nueva; que es competencia de los
Estados miembros, si ası́ lo desean, precisar
tales riesgos en sus legislaciones;
54. Considerando que, a la vista de todos los tratamientos llevados a cabo en la sociedad, el
número de los que presentan tales riesgos particulares deberı́a ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización
por parte de la autoridad de control o del encargado de la protección de datos en cooperación con aquélla; que, tras dicho control previo, la autoridad de control, en virtud de lo
que disponga su Derecho nacional, podrá emitir un dictamen o autorizar el tratamiento de
datos; que este examen previo podrá realizarse también en el curso de la elaboración de
una medida legislativa aprobada por el Parlamento nacional o de una medida basada en
dicha medida legislativa, que defina la naturaleza del tratamiento y precise las garantı́as
adecuadas;
55. Considerando que las legislaciones nacionales
deben prever un recurso judical para los casos
en los que el responsable del tratamiento de
datos no respete los derechos de los interesados; que los daños que pueden sufrir las personas a raı́z de un tratamiento ı́lı́cito han de ser
reparados por el responsable del tratamiento
de datos, el cual sólo podrá ser eximido de responsabilidad si demuestra que no le es imputable el hecho perjudicial, principalmente si
demuestra la responsabilidad del interesado o
un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto de derecho
privado como de derecho público, que no respete las disposiciones nacionales adoptadas en
aplicación de la presente Directiva;
56. Considerando que los flujos transfronterizos
de datos personales son necesarios para la
desarrollo del comercio internacional; que la
protección de las personas garantizada en la
Comunidad por la presente Directiva no se
opone a la transferencia de datos personales a terceros paı́ses que garanticen un nivel
de protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un
paı́s tercero debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la
transferencia o la categorı́a de transferencias;
57. Considerando, por otra parte, que cuando un
paı́s tercero no ofrezca un nivel de protección
adecuado debe prohibirse la transferencia al
mismo de datos personales;
58. Considerando que han de establecerse excepciones a esta prohibición en determinadas circunstancias, cuando el interesado haya dado
su consentimiento, cuando la transferencia sea
necesaria en relación con un contrato o una acción judicial, cuando ası́ lo exija la protección
de un interés público importante,por ejemplo
en casos de transferencia internacional de datos entre las administraciones fiscales o aduaneras o entre los servicios competentes en ma162
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
teria de seguridad social, o cuando la transferencia se haga desde un registro previsto en la
legislación con fines de consulta por el público o por personas con un interés legı́timo; que
en tal caso dicha transferencia no debe afectar a la totalidad de los datos o las categorı́as
de datos que contenga el mencionado registro;
que, cuando la finalidad de un registro sea la
consulta por parte de personas que tengan un
interés legı́timo, la transferencia sólo deberı́a
poder efectuarse a petición de dichas personas
o cuando éstas sean las destinatarias;
59. Considerando que pueden adaptarse medidas
particulares para paliar la insuficiencia del nivel de protección en un tercer paı́s, en caso de
que el responsable del tratamiento ofrezca garantı́as adecuadas; que, por lo demás, deben
preverse procedimientos de negociación entre
la Comunidad y los paı́ses terceros de que se
trate;
autoridad ha de contribuir a la transparencia
de los tratamientos de datos efectuados en el
Estado miembro del que dependa;
64. Considerando que las autoridades de los distintos Estados miembros habrán de prestarse
ayuda mutua en el ejercicio de sus funciones
-, de forma que se garantice el pleno respeto
de las normas de protección en toda la Unión
Europea;
65. Considerando que se debe crear, en el ámbito comunitario, un grupo de protección de las
personas en lo que respecta al tratamiento de
datos personales, el cual habrá de ejercer sus
funciones con plena independencia; que, habida cuenta de este carácter especı́fico, el grupo
deberá asesorar a la Comisión y contribuir, en
particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la
presente Directiva;
60. Considerando que, en cualquier caso, las
transferencias hacia paı́ses terceros sólo podrán efectuarse si se respetan plenamente
las disposiciones adoptadas por los Estados
miembros en aplicación de la presente Directiva, Y, en particular, de su artı́culo 8;
66. Considerando que, por lo que respecta a la
transferencia de datos hacia paı́ses terceros,
la aplicación de la presente Directiva requiere
que se atribuya a la Comisión competencias
de ejecución y que se cree un procedimiento
con arreglo a las modalidades establecidas en
la Decisión 87/373/CEE del Consejo.4
61. Considerando que los Estados miembros y la
Comisión, dentro de sus respectivas competencias, deben alentar a los sectores profesionales para que elaboren códigos de conducta
a fin de facilitar, habida cuenta del carácter
especı́fico del tratamiento de datos efectuado
en determinados sectores, la aplicación de la
presente Directiva respetando las disposiciones nacionales adoptadas para su aplicación;
67. Considerando que el 20 de diciembre de 1994
se alcanzó un acuerdo sobre un modus vivendi
entre el Parlamento Europeo, el Consejo y la
Comisión concerniente a las medidas de aplicación de los actos adoptados de conformidad
con el procedimiento establecido en el artı́culo
189 B del Tratado CE;
62. Considerando que la creación de una autoridad de control que ejerza sus funciones con
plena independencia en cada uno de los Estados miembros constituye un elemento esencial
de la protección de las personas en lo que respecta al tratamiento de datos personales;
63. Considerando que dicha autoridad debe disponer de los medios necesarios para cumplir
su función, ya se trate de poderes de investigación o de inte rvención, en particular en
casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio; que tal
68. Considerando que los principios de protección
de los derechos y libertades de las personas v,
en particular, del respeto de la intimidad en lo
que se refiere al tratamiento de los datos personales objeto de la presente Directiva podrán
completarse o precisarse, sobre todo en determinados sectores,mediante normas especı́ficas
conformes a estos principios;
69. Considerando que resulta oportuno conceder
a los Estados miembros un plazo que no podrá ser superior a tres años a partir de la entrada en vigor de las medidas nacionales de
transposición de la presente Directiva, a fin de
163
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
que puedan aplicar de manera progresiva las
la protección de las libertades y de los derenuevas disposiciones nacionales mencionadas
chos fundamentales de las personas fı́sicas, y,
a todos los tratamientos de datos va existenen particular, del derecho a la intimidad, en lo
tes; que, con el fin de facilitar una aplicación
que respecta al tratamiento de los datos perque presente una buena relación coste eficasonales.
cia, se concederá a los Estados miembros un
2. Los Estados miembros no podrán restringir ni
perı́odo suplementario que expirará a los doce
prohibir la libre circulación de datos personaaños de la fecha en que se adopte la presenles entre los Estados miembros por m otivos
te Directiva, para garantizar que los ficheros
relacionados con la protección garantizada en
manuales existentes en dicha fecha se hayan
virtud del apartado 1.
ajustado a las disposiciones de la Directiva;
que si los datos contenidos en dichos ficheros
son tratados efectivamente de forma manual
Artı́culo 2 Definiciones
en ese perı́odo transitorio ampliado deberán,
A efectos de la presente Directiva, se entenderá
sin embargo, ser ajustados a dichas disposipor:
ciones cuando se realice tal tratamiento;
70. Considerando que no es procedente que el in- datos personales : toda información sobre una
teresado tenga que dar de nuevo su consentipersona fı́sica identificada o identificable (el
miento a fin de que el responsable pueda seinteresado); se considerará identificable toda
guir efectuando, tras la entrada en vigor de
persona cuya identidad pueda determinarse,
las disposiciones nacionales adoptadas en virdirecta o indirectamente, en particular metud de la presente Directiva, el tratamiento de
diante un número de identificación o uno o
datos sensibles necesario para la ejecución de
varios elementos especı́ficos, caracterı́sticos de
contratos celebrados previo consentimiento lisu identidad fı́sica, fisiológica, psı́quica, econóbre e informado antes de la entrada en vigor
mica, cultural o social;
de las disposiciones mencionadas;
tratamiento de datos personales , (tratamien71. Considerando que la presente Directiva no se
to: cualquier operación o conjunto de opeopone a que un Estado miembro regule las acraciones, efectuadas o no mediante proceditividades de prospección comercial destinadas
mientos automatizados, y aplicadas a datos
a los consumidores que residan en su territopersonales, como la recogida, registro, organirio, en la medida en que dicha regulación no
zación, conservación, elaboración o modificaafecte a la protección de las personas en lo que
ción, extracción, consulta, utilización, comurespecta a tratamientos de datos personales;
nicación por transmisión, difusión o cualquier
otra forma que facilite el acceso a los mismos,
72. Considerando que la presente Directiva autocotejo o interconexión, ası́ como su bloqueo,
riza que se tenga en cuenta el principio de acsupresión o destrucción;
ceso público a los documentos oficiales a la
hora de aplicar los principios expuestos en la fichero de datos personales (”fichero”):
todo
presente Directiva,
conjunto estructurado de datos personales,
HAN ADOPTADO LA PRESENTE DIRECTIVA:
accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o
repartido de forma funcional o geográfica;
CAPÍTULO I - DISPOSICIONES GEresponsable del tratamiento : la persona fı́sica
NERALES
o jurı́dica, autoridad pública, servicio o cualArtı́culo 1 Objeto de la Directiva
quier otro organismo que sólo o conjuntamente con otros determine los fines y los medios
1. Los Estados miembros garantizarán, con arredel tratamiento de datos ,personales; en caso
glo a las disposiciones de la presente Directiva,
de que los fines y los medios del tratamiento
164
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios especı́ficos para su nombramiento podrán
ser fijados por el Derecho nacional o comunitario;
encargado del tratamiento : la persona fı́sica o
jurı́dica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta
del responsable del tratamiento;
tercero : la persona fı́sica o jurı́dica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de
las personas autorizadas para tratar los datos
bajo la autoridad directa del responsable del
tratamiento o del encargado del tratamiento;
destinatario : la persona fı́sica o jurı́dica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate
o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de
datos en el marco de una investigación especı́fica no serán considerados destinatarios;
consentimiento del interesado , : toda manifestación de voluntad, libre, especı́fica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernan.
Artı́culo 3 Ámbito de aplicación
1. Las disposiciones de la presente Directiva se
aplicarán al tratamiento total o parcialmente
automatizado de datos personales, ası́ como al
tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos
en un fichero.
2. Las disposiciones de la presente Directiva no
se aplicarán al tratamiento de datos personales: – efectuado en el ejercicio de actividades
no comprendidas en el ámbito de aplicación
del Derecho comunitario, como las previstas
por las disposiciones de los tı́tulos V y VI del
Tratado de la Unión Europea y, en cualquier
caso, al tratamiento de datos que tenga por
objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento
esté relacionado con la seguridad del Estado)
y las actividades del Estado en materia penal;
– efectuado por una persona fı́sica en el ejercicio de actividades exclusivamente personales
o domésticas.
Artı́culo 4 Derecho nacional aplicable
1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la
aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco
de las actividades de un establecimiento
del responsable del tratamiento en el territorio del Estado miembro. Cuando el
mismo responsable del tratamiento esté
establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
b) el responsable del tratamiento no esté
establecido en el territorio del Estado
miembro, sino en un lugar en que se aplica su legislación nacional en virtud del
Derecho internacional público;
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados
o no, situados en el territorio de dicho
Estado miembro, salvo en caso de que
dichos medios se utilicen solamente con
fines de tránsito por el territorio de la
Comunidad Europea.
2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá
designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse
contra el propio responsable del tratamiento.
165
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
CAPÍTULO II
Condiciones Generales Para La Licitud
Del Tratamiento De Datos Personales
Artı́culo 5
2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado
Sección II. Principios Relativos A La Legitimación Del TraTamiento De Datos
Los Estados miembros precisarán, dentro de los
Artı́culo 7
lı́mites de las disposiciones del presente capı́tulo,
las condiciones en que son lı́citos los tratamientos
Los Estados miembros dispondrán que el tratade datos personales.
miento de datos personales sólo pueda efectuarse si:
Sección I. Principios Relativos A La Calia) el interesado ha dado su consentimiento de
dad De Los Datos
forma inequı́voca,
Artı́culo 6
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la
1. Los Estados miembros dispondrán que los daaplicación de medidas precontractuales adoptos personales sean:
tadas a petición del interesado, o
a) tratados de manera leal y lı́cita;
b) recogidos con fines determinados, explı́citos y legı́timos, y no sean tratados posteriormente de manera incompatible con
dichos fines; no se considerará incompatible el tratamiento posterior de datos con
fines históricos, estadı́sticos o cientı́ficos,
siempre Y cuando los Estados miembros
establezcan las garantı́as oportunas;
c) adecuados, pertinentes y no excesivos
con relación a los fines para los que se
recaben y para los que se traten posteriormente;
d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines
para los que fueron recogidos o para los
que fueron tratados posteriormente, sean
suprimidos o rectificados;
c) es necesario para el cumplimiento de una obligación jurı́dica a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del
interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio
del poder público conferido al responsable del
tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legı́timo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se
comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artı́culo
1 de la presente Directiva.
Sección III Categorı́as Especiales De Tratamientos
e) conservados en una forma que permita la
Artı́culo 8 Tratamiento de categorı́as especiales
identificación de los interesados durante de datos
un perı́odo no superior al necesario para los fines para los que fueron recogidos
1. Los Estados miembros prohibirán el tratao para los que se traten ulteriormente.
miento de datos personales que revelen el oriLos Estados miembros establecerán las
gen racial o étnico, las opiniones polı́ticas, las
garantı́as apropiadas para los datos perconvicciones religiosas o filosóficas, la pertesonales archivados por un perı́odo más
nencia a sindicatos, ası́ como el tratamiento
largo del mencionado, con fines históride los datos relativos a la salud o a la sexuacos, estadı́sticos o cientı́ficos.
lidad.
166
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
2. Lo dispuesto en el apartado 1 no se aplicará
cuando:
por las autoridades nacionales competentes, o
por otra persona sujeta asimismo a una obligación equivalente de secreto.
a) el interesado haya dado su consentimiento explı́cito a dicho tratamiento, salvo en
4. Siempre que dispongan las garantı́as adecualos casos en los que la legislación del Esdas, los Estados miembros podrán, por motado miembro disponga que la prohibitivos de interés público importantes, estableción establecida en el apartado 1 no puecer otras excepciones, además de las previstas
da levantarse con el consentimiento del
en el apartado 2, bien mediante su legislación
interesado, o
nacional, bien por decisión de la autoridad de
control.
b) el tratamiento sea necesario para respetar las obligaciones y derechos especı́ficos
5. El tratamiento de datos relativos a infracciodel responsable del tratamiento en manes, condenas penales o medidas de seguridad,
teria de Derecho laboral en la medida en
sólo podrá efectuarse bajo el control de la auque esté autorizado por la legislación y
toridad pública o si hay previstas garantı́as
ésta prevea garantı́as adecuadas, o
especı́ficas en el Derecho nacional, sin perjuic) el tratamiento sea necesario para salvacio de las excepciones que podrá establecer el
guardar el interés vital del interesado o
Estado miembro basándose en disposiciones
de otra persona, en el supuesto de que el
nacionales que prevean garantı́as apropiadas
interesado esté fı́sica o jurı́dicamente iny especı́ficas. Sin embargo, sólo podrá llevarse
capacitado para dar su consentimiento,
un registro completo de condenas penales bajo
o
el control de los poderes públicos. Los Estados
d) el tratamiento sea efectuado en el curso
miembros podrán establecer que el tratamiende sus actividades legı́timas y con las deto de datos relativos a sanciones administrabidas garantı́as por una fundación, una
tivas o procesos civiles se realicen asimismo
asociación o cualquier otro organismo sin
bajo el control de los poderes públicos.
fin de lucro, cuya finalidad sea polı́ti6. Las excepciones a las disposiciones del aparca, filosófica, religiosa o sindical, siemtado 1 que establecen los apartados 4 y 5 se
pre que se refiera exclusivamente a sus
notificarán a la Comisión.
miembros o a las personas que mantengan contactos regulares con la fundación,
7. Los Estados miembros determinarán las conla asocia ción o el organismo por razón
diciones en las que un número nacional de
de su finalidad y con tal de que los datos
identificación o cualquier otro medio de idenno se comuniquen a terceros sin el contificación de carácter general podrá ser objeto
sentimiento de los interesados, 0
de tratamiento.
e) el tratamiento se refiera a datos que el
interesado haya hecho manifiestamente
Artı́culo 9 Tratamiento de datos personales y lipúblicos o sea necesario para el reconocibertad
de expresión
miento, ejercicio o defensa de un derecho
en un procedimiento judicial.ç
En lo referente al tratamiento de datos personales
con fines exclusivamente periodı́sticos o de ex3. El apartado 1 no se aplicará cuando el tratapresión
artı́stica o literaria, los Estados miembros
miento de datos resulte necesario para la preestablecerán,
respecto de las disposiciones del prevención o para el diagnóstico médicos, la pressente
capı́tulo,
del capı́tulo IV y del capı́tulo VI,
tación de asistencia sanitaria o tratamientos
exenciones
y
excepciones
sólo en la medida en que
médicos o la gestión de servicios sanitarios,
resulten
necesarias
para
conciliar
el derecho a la insiempre que dicho tratamiento de datos sea
timidad
con
las
normas
que
rigen
la libertad de exrealizado por un profesional sanitario sujeto
presión.
al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas
Sección IV. Información Del Interesado
167
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
Artı́culo 10 Información en caso de obtención de
datos recabados del propio interesado
Los Estados miembros dispondrán qu e el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los
datos que le conciernan, por lo menos la información
que se enumera a continuación, salvo si la persona
ya hubiera sido informada de ello:
a) la identidad del responsable del tratamiento
y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
• los destinatarios o las categorı́as de destinatarios de los datos,
• el carácter obligatorio o no de la respuesta y las consecuencias que tendrı́a para
la persona interesada una negativa a responder,
b) los fines del tratamiento de que van a ser
objeto los datos;
c) cualquier otra información tal como:
• las categorı́as de los datos de que se
trate,
• los destinatarios o las categorı́as de
destinatarios de los datos,
• la existencia de derechos de acceso y
rectificación de los datos que la conciernen, en la medida en que, habida
cuenta de las circunstancias especı́ficas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar
un tratamiento de datos leal respecto del interesado.
2. Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadı́sticos o de investigación histórica o
cientı́fica, cuando la información al interesado
resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un
tercero estén expresamente prescritos por ley.
En tales casos, los Estados miembros establecerán las garantı́as apropiadas.
• la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta
de las circunstancias especı́ficas en que
Sección V Derecho De Acceso Del Interese obtengan los datos, dicha información sado A Los Datos
suplementaria resulte necesaria para gaArtı́culo 12. Derecho de acceso
rantizar un tratamiento de datos leal resLos Estados miembros garantizarán a todos los
pecto del interesado.
interesados el derecho de obtener del responsable
Artı́culo 11 Información cuando los datos no han del tratamiento:
sido recabados del propio interesado
1. Cuando los datos no hayan sido recabados del
interesado, los Estados miembros dispondrán
que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense
comunicar datos a un tercero, a más tardar,
en el momento de la primera comunicación de
datos, comunicar al interesado por lo menos
la información que se enumera a continuación,
salvo si el interesado ya hubiera sido informado de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:
• la confirmación de la existencia o inexistencia del tratamiento de datos que le
conciernen, ası́ como información por lo
menos de los fines de dichos tratamientos, las categorı́as de datos a que se refieran Y los destinatarios o las categorı́as
de destinatarios a quienes se comuniquen
dichos datos;
• la comunicación, en forma inteligible, de
los datos objeto de los tratamientos, ası́
como toda la información disponible sobre el origen de los datos;
168
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
• el conocimiento de la lógica utilizada en
los tratamientos automatizados de los
datos referidos al interesado, al menos en
los casos de las decisiones automatizados
a que se refiere el apartado 1 del artı́culo
15;
b) en su caso, la rectificación, la supresión o el
bloqueo de los datos cuyo tratamiento no se
ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;
c) la notificación a los terceros a quienes se hayan
comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad
con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.
Sección VI. Excepciones Y Limitaciones
Artı́culo 13 Excepciones y limitaciones
2. Sin perjuicio de las garantı́as legales apropiadas, que excluyen, en particular, que los datos
puedan ser utilizados en relación con medidas
o decisiones relativas a personas concretas, los
Estados miembros podrán, en los casos en que
manifiestamente no exista ningún riesgo de
atentado contra la intimidad del interesado,
limitar mediante una disposición legal los derechos contemplados en el artı́culo 12 cuando los datos se vayan a tratar exclusivamente
con fines de investigación cientı́fica o se guarden en forma de archivos de carácter personal
durante un perı́odo que no supere el tiempo
necesario para la exclusiva finalidad de la elaboración de estadı́sticas.
Sección VII. Derecho De Oposición Del
Interesado
Artı́culo 14. Derecho De Oposición Del Interesado
Los Estados miembros reconocerán al interesado
1. Los Estados miembros podrán adoptar m edi- el derecho a:
das legales para limitar el alcance de las obligaciones Y los derechos previstos en el apara) oponerse, al menos en los casos contemplados
tado 1 del artı́culo 6, en el artı́culo 10, en el
en las letras e) y f) del artı́culo 7, en cualquier
apartado 1 del artı́culo 11, y en los artı́culos
momento y por razones legı́timas propias de
12 y 21 cuando tal limitación constituya una
su situación particular, a que los datos que le
medida necesaria para la salvaguardia de:
conciernan sean objeto de tratamiento, salvo
cuando la legislación nacional disponga otra
a) la seguridad del Estado;
cosa. En caso de oposición justificada, el trab) la defensa;
tamiento que efectúe el responsable no podrá
c) la seguridad pública;
referirse ya a esos datos;
d) la prevención, la investigación, la detecb) oponerse, previa petición y sin gastos, al tración y la represión de infracciones penatamiento de los datos de carácter personal que
les o de las infracciones de la deontologı́a
le conciernan respecto de los cuales el responen las profesiones reglamentadas;
sable prevea un tratamiento destinado a la
e) un interés económico y financiero improspección; o ser informado antes de que los
portante de un Estado miembro o de
datos se comuniquen por primera vez a tercela Unión Europea, incluidos los asuntos
ros o se usen en nombre de éstos a efectos de
monetarios, presupuestarios y fiscales;
prospección, y a que se le ofrezca expresamenf) tina función de control, de inspección o
te, el derecho de oponerse, sin gastos, a dicha
reglamentaria relacionada, aunque sólo
comunicación o utilización.
sea ocasionalmente, con el ejercicio de la
autoridad pública en los casos a que haLos Estados miembros adoptarán todas las mecen referencia las letras c), d) y e);
didas necesarias para garantizar que los interesados
g) la protección del interesado o de los de- conozcan la existencia del derecho a que se refiere
rechos y libertades de otras personas.
el párrafo primero de la letra b).
169
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
Artı́culo 15. Decisiones individuales automatizados
1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas a una
decisión con efectos jurı́dicos sobre ellas o que
les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados
aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta,
etc.
2. Los Estados miembros permitirán, sin perjuicio de lo dispuesto en los demás artı́culos de
la presente Directiva, que una persona pueda
verse sometida a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:
(a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan
medidas apropiadas, como la posibilidad
de defender su punto de vista, para la
salvaguardia de su interés legı́timo;
(b) esté autorizada por una ley que establezca medidas que garanticen el interés legı́timo del interesado.
Sección VIII Confidencialidad Y Seguridad Del Tratamiento
Artı́culo 16. Confidencialidad del tratamiento
Las personas que actúen bajo la autoridad del
responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales
a los que tengan acceso, cuando se lo encargue el
responsable del tratamiento o salvo en virtud de un
imperativo legal.
Artı́culo 17. Seguridad del tratamiento
1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización
adecuadas, para la protección de los datos personales contra la destrucción, accidental o ı́lı́cita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados,
en particular cuando el tratamiento incluya la
transmisión de datos dentro de una red, y contra cualquier otro tratamiento ı́lı́cito de datos
personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un
nivel de seguridad apropiado en relación con
los riesgos que presente el tratamiento y con la
naturaleza de los datos que deban protegerse.
2. Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir
un encargado del tratamiento que reúna garantı́as suficientes en relación con las medidas
de seguridad técnica y de organización de los
tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.
3. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro
acto jurı́dico que vincule al encargado del tratamiento con el responsable del tratamiento,
y que disponga, en particular:
• que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;
• que las obligaciones del apartado 1, tal
como las define la legislación del Estado miembro en el que esté establecido el
encargado, incumben también a éste.
4. A efectos de conservación de la prueba, las
partes del contrato o del acto jurı́dico relativas a la protección de datos y a los requisitos
relativos a las medidas a que hace referencia
el apartado 1 constarán por escrito o en otra
forma equivalente.
SECCIÓN IX
Notificación
Artı́culo 18. Obligación de notificación a la autoridad de control
1. Los Estados miembros dispondrán que el responsable del tratamiento o, en su caso, su representante, efectúe una notificación a la autoridad de control contemplada en el artı́culo
28, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos,
170
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
total o parcialmente automatizados, destinados a la consecución de un fin o de varios fines
conexos.
2. Los Estados miembros podrán disponer la
simplificación o la omisión de la notificación,
sólo en los siguientes casos y con las siguientes
condiciones: - cuando, para las categorı́as de
tratamientos que no puedan afectar a los derechos y libertades de los interesados habida
cuenta de los datos a que se refiere el tratamiento, los Estados miembros precisen los fines de los tratamientos, los datos o categorı́as
de datos tratados, la categorı́a o categorı́as de
los interesados, los destinatarios o categorı́as
de destinatarios a los que se comuniquen los
datos y el perı́odo de conservación de los datos
y/o
• cuando el responsable del tratamiento
designe, con arreglo al Derecho nacional
al que está sujeto, un encargado de protección de los datos personales que tenga
por cometido, en particular:
• hacer aplicar en el ámbito interno, de
manera independiente, las disposiciones
nacionales adoptadas en virtud de la presente Directiva,
• llevar un registro de los tratamientos
efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artı́culo 21,
garantizando ası́ que el tratamiento de
los datos no pueda ocasionar una merma
de los derechos y libertades de los interesados.
3. Los Estados miembros podrán disponer que
no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar
un registro que, en virtud de disposiciones legales o reglamentarias, esté destinado a facilitar información al público y estén abiertos
a la consulta por el público en general o por
toda persona que pueda demostrar un interés
legı́timo.
4. Los Estados miembros podrán eximir de la
obligación de notificación o disponer una simplificación de la misma respecto de los trata-
mientos a que se refiere la letra d) del apartado 2 del artı́culo S.
5. Los Estados miembros podrán disponer que
los tratamientos no automatizados de datos
de carácter personal o algunos de ellos sean
notificados eventualmente de una forma simplificada.
Artı́culo 19. Contenido de la notificación
1. Los Estados miembros determinarán la información que debe figurar en la notificación, que
será como mı́nimo:
a) el nombre y la dirección del responsable
del tratamiento y, en su caso, de su representante;
b) el o los objetivos del tratamiento;
c) una descripción de la categorı́a o categorı́as de interesados y de los datos o categorı́as de datos a los que se refiere el
tratamiento;
d) los destinatarios o categorı́as de destinatarios a los que se pueden comunicar los
datos;
e) las transferencias de datos previstas a
paı́ses terceros;
f) una descripción general que permita evaluar de modo preliminar si las medidas
adoptadas en aplicación del artı́culo 17
resultan adecuadas para garantizar la seguridad del tratamiento.
2. Los Estados miembros precisarán los procedimientos por los que se notificarán a la autoridad de control las modificaciones que afecten
a la información contemplada en el apartado
1.
Artı́culo 20. Controles previos
1. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos especı́ficos para los derechos y libertades de los interesados y velarán por que sean examinados
antes del comienzo del tratamiento.
171
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
2. Estas comprobaciones previas serán realizadas por la autoridad de control una vez que
haya recibido la notificación del responsable
del tratamiento o por el encargado de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.
Artı́culo 22. Recursos
Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de
control mencionada en el artı́culo 28, y antes de
acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un
3. Los Estados miembros podrán también llevar recurso judicial en caso de violación de los derechos
a cabo dicha comprobación en el marco de que le garanticen las disposiciones de Derecho nala elaboración de una norma aprobada por el cional aplicables al tratamiento de que se trate.
Parlamento o basada en la misma norma, que
Artı́culo 23. Responsabilidad
defina el carácter del tratamiento y establezca
las oportunas garantı́as.
1. Los Estados miembros dispondrán que toda
persona que sufra un perjuicio como consecuencia de un tratamiento ilı́cito o de una acArtı́culo 21. Publicidad de los tratamientos
ción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente
1. Los Estados miembros adoptarán las medidas
Directiva, tenga derecho a obtener del responnecesarias para garantizar la publicidad de los
sable del tratamiento la reparación del perjuitratamientos.
cio sufrido.
2. Los Estados miembros establecerán que la au2. El responsable del tratamiento podrá ser exitoridad de control lleve un registro de los tramido parcial o totalmente de dicha responsatamientos notificados con arreglo al artı́culo
bilidad si demuestra que no se le puede impu18.
tar el hecho que ha provocado el daño.
En el registro se harán constar, como mı́nimo, las informaciones a las que se refieren las
Artı́culo 24 Sanciones
letras a) a e) del apartado 1 del artı́culo 19.
Los Estados miembros adoptarán las medidas
El registro podrá ser consultado por cualquier adecuadas para garantizar la plena aplicación de las
persona.
disposiciones de la presente Directiva y determina3. Los Estados miembros dispondrán, en lo que rán, en particular, las sanciones que deben aplicarrespecta a los tratamientos no sometidos a no- se en caso de incumplimiento de las disposiciones
tificación, que los responsables del tratamien- adoptadas en ejecución de la presente Directiva.
to u otro órgano designado por los Estados
CAPÍTULO IV - TRANSFERENCIA DE
miembros comuniquen, en la forma adecuada, DATOS PERSONALES A PAÍSES TERCEa toda persona que lo solicite, al menos las ROS
informaciones a que se refieren las letras a) a
Artı́culo 25. Principios
e) del apartado 1 del artı́culo 19.
Los Estados miembros podrán establecer que
es ta disposición no se aplique a los tratamientos cuyo fin único sea llevar un registro, que,
en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y que esté abierto a la consulta
por el público en general o por cualquier persona que pueda demostrar un interés legı́timo.
Capı́tulo III. Recursos Judiciales, Responsabilidad Y Sanciones
1. Los Estados miembros dispondrán que la
transferencia a un paı́s tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el paı́s tercero
de que se trate garantice un nivel de protección adecuado.
172
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
2. El carácter adecuado del nivel de protección
que ofrece un paı́s tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categorı́a
de transferencias de datos; en particular, se
tomará en consideración la naturaleza de los
datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el paı́s de
origen y el paı́s de destino final, las normas de
Derecho, generales o sectoriales, vigentes en el
paı́s tercero de que se trate, ası́ como las normas profesionales y las medidas de seguridad
en vigor en dichos paı́ses.
3. Los Estados miembros y la Comisión se informarán recı́procamente de los casos en que
consideren que un tercer paı́s no garantiza un
nivel de protección adecuado con arreglo al
apartado 2.
4. Cuando la Comisión compruebe, con arreglo
al procedimiento establecido en el apartado
2 del artı́culo 31, que un tercer paı́s no garantiza un nivel de protección adecuado con
arreglo al apartado 2 del presente artı́culo, los
Estado miembros adoptarán las medidas necesarias para impedir cualquier transferencia
de datos personales al tercer paı́s de que se
trate.
5. La Comisión iniciará en el momento oportuno
las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe
este hecho en aplicación del apartado 4.
6. La Comisión podrá hacer cons tar, de conformidad con el procedimiento previsto en el
apartado 2 del artı́culo 31, que un paı́s tercero garantiza un nivel de protección adecuado
de conformidad con el apartado 2 del presente artı́culo, a la vista de su legislación interna
o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las
libertades o de los derechos fundamentales de
las personas. Los Estados miembros adoptarán las medidas necesarias para ajustarse a la
decisión de la Comisión.
Artı́culo 26. Excepciones
1. No obstante lo dispuesto en el artı́culo 25 y
salvo disposición contraria del Derecho nacional que regule los casos particulares,los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un
paı́s tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido
en el apartado 2 del artı́culo 25, siempre y
cuando:
a) el interesado haya dado su consentimiento inequı́vocamente a la transferencia
prevista, o
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado
y el responsable del tratamiento o para
la ejecución de medidas precontractuales
tomadas a petición del interesado, o
c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado,entre el responsable del tratamiento
y un tercero, o
d) La transferencia sea necesaria o legalmente exigida para la salvaguardia de un
interés público importante, o para el reconocimiento, ejercicio o defensa de un
derecho en un procedimiento judicial, o
e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado,
o
f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el
público en general o por cualquier persona que pueda demostrar un interés legı́timo, siempre que se cumplan, en cada
caso particular, las condiciones que establece la ley para la consulta.
2. Sin perjuicio de lo dispuesto en el apartado 1,
los Estados miembros podrán autorizar una
transferencia o una serie de transferencias de
datos personales a un tercer paı́s que no garantice un nivel de protección adecuado con
arreglo al apartado 2 del artı́culo 25, cuando
el responsable del tratamiento ofrezca garantı́as suficientes respecto de la protección de la
173
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
vida privada, de los derechos y libertades fundamentales de las personas, ası́ como respecto
al ejercicio de los respectivos derechos; dichas
garantı́as podrán derivarse, en particular, de
cláusulas contractuales apropiadas.
3. Los Estados miembros informarán a la Comisión y a los demás Estados miembros acerca de
las autorizaciones que concedan con arreglo al
apartado 2. En el supuesto de que otro Estado
miembro o la Comisión expresaron su oposición y la justificaran debidamente por motivos
derivados de la protección de la vida privada
y de los derechos y libertades fundamentales
de las personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento
establecido en el apartado 2 del artı́culo 31.
Los Estados miembros adoptarán las medidas
necesarias para ajustarse a la decisión de la
Comisión.
4. Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artı́culo 31, que determinadas cláusulas contractuales tipo ofrecen las garantı́as suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para
ajustarse a la decisión de la Comisión.
dicha autoridad vele, entre otras cosas, por la
conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si
lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus
representantes.
3. Los proyectos de códigos comunitarios, ası́ como las modificaciones o prórrogas de códigos
comunitarios existentes, podrán ser sometidos
a examen del grupo contemplado en el artı́culo 29. Éste se pronunciará, entre otras cosas,
sobre la conformidad de los proyectos que le
sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, el Grupo
recogerá las observaciones de los interesados
o de sus representantes. La Comisión podrá
efectuar una publicidad adecuada de los códigos que hayan recibido un dictamen favorable
del grupo.
APı́TULO VI - AUTORIDAD DE CONTROL Y GRUPO DE PROTECCIóN DE
LAS PERSONAS EN LO QUE RESPECTA
AL TRATAMIENTO DE DATOS PERSONALES
Artı́culo 28 Autoridad de control
CAPı́TULO V - CóDIGOS DE CONDUCTA
Artı́culo 27
1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas
por los Estados miembros en aplicación de la
presente Directiva.
2. Los Estados miembros establecerán que las
asociaciones profesionales, y las dem ás organizaciones representantes de otras categorı́as
de responsables de tratamientos, que hayan
elaborado proyectos de códigos nacionales o
que tengan la intención de modificar o prorrogar códigos nacionales existentes puedan
someterlos a examen de las autoridades nacionales. Los Estados miembros establecerán que
1. Los Estados miembros dispondrán que una o
más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de
la presente Directiva. Estas autoridades ejercerán las funciones que les son atribuidas con
total independencia.
2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la
protección de los derechos y libertades de las
personas en lo que se refiere al tratamiento de
datos de carácter personal.
3. La autoridad de control dispondrá, en particular, de:
• poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda
174
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
la información necesaria para el cumplimiento de su misión de control;
• poderes efectivos de intervención, como,
por ejemplo, el de formular dictámenes
antes de realizar los tratamientos, con
arreglo al artı́culo 20, y garantizar una
publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente
un tratamiento, o el de dirigir una advertencia o amonestación al responsable del
tratamiento o el de someter la cuestión
a los parlamentos u otras instituciones
polı́ticas nacionales;
artı́culo. Dicha autoridad podrá ser instada a
ejercer sus poderes por una autoridad de otro
Estado miembro. Las autoridades de control
cooperarán entre sı́ en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información
que estimen útil.
7. Los Estados miembros dispondrán que los
miembros y agentes de las autoridades de control estarán sujetos, incluso después de haber
cesado en sus funciones, al deber de secreto
profesional sobre informaciones confidenciales
a las que hayan tenido acceso.
Artı́culo 29
• capacidad procesal en caso de infraccioGrupo de protección de las personas en lo que
nes a las disposiciones nacionales adopta- respecta al tratamiento de datos personales.
das en aplicación de la presente Directiva
o de poner dichas infracciones en conoci1. Se crea un grupo de protección de las persomiento de la autoridad judicial. Las decinas en lo que respecta al tratamiento de datos
siones de la autoridad de control lesivas
personales, en lo sucesivo denominado <Grude derechos podrán ser objeto de recurso
po . Dicho Grupo tendrá carácter consultivo
jurisdiccional.
e independiente.
4. Toda autoridad de control entenderá de las
solicitudes que cualquier persona, o cualquier
asociación que la represente, le presente en
relación con la protección de sus derechos y
libertades respecto del tratamiento de datos
personales. Esa persona será informada del
curso dado a su solicitud. Toda autoridad de
control entenderá, en particular, de las solicitudes de verificación de la licitud de un
tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones
nacionales tomadas en virtud del artı́culo 13
de la presente Directiva. Dicha persona será
informada en todos los casos de que ha tenido
lugar una verificación.
5. Toda autoridad de control presentará periódicamente un informe sobre sus actividades.
Dicho informe será publicado.
6. Toda autoridad de control será competente,
sean cuales sean las disposiciones de Derecho
nacional aplicables al tratamiento de que se
trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente
2. El Grupo estará compuesto por un representante de la autoridad o de las autoridades de
control designadas por cada Estado miembro,
por un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante
de la Comisión. Cada miembro del Grupo será designado por la institución, autoridad o
autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades de control, éstas nombrarán a un representante común. Lo mismo harán las autoridades
creadas por las instituciones y organismos comunitarios.
3. El Grupo tomará sus decisiones por mayorı́a
simple de los representantes de las autoridades de control.
4. El Grupo elegirá a su presidente. El mandato del presidente tendrá una duración de dos
años. El mandato será renovable.
5. La Comisión desempeñará las funciones de secretarı́a del Grupo.
6. El Grupo aprobará su reglamento interno.
175
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
7. El Grupo examinará los asuntos incluidos en
el orden del dı́a por su presidente, bien por
iniciativa de éste, bien previa solicitud de un
representante de las autoridades de control,
bien a solicitud de la Comisión.
Artı́culo 30
1. El Grupo tendrá por cometido:
a) estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la presente Directiva con vistas a contribuir a su
aplicación homogénea;
5. La Comisión informará al Grupo del curso que
haya dado a los dictámenes y recomendaciones. A tal efecto, elaborará un informe, que
será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado.
6. El Grupo elaborará un informe anual sobre
la situación de la protección de las personas
fı́sicas en lo que respecta al tratamiento de
datos personales en la Comunidad y en los
paı́ses terceros, y lo transmitirá al Parlamento Europeo, al Consejo y a la Comisión. Dicho
informe será publicado.
CAPı́TULO VII - MEDIDAS DE EJEb) emitir un dictamen destinado a la Comi- CUCIÓN COMUNITARIAS
sión sobre el nivel de protección existente
Artı́culo 31
dentro de la Comunidad y en los paı́ses
El Comité
terceros;
c) asesorar a la Comisión sobre cualquier
proyecto de modificación de la presente
Directiva, cualquier proyecto de medidas
adicionales o especı́ficas que deban adaptarse para salvaguardar los derechos y libertades de las personas fı́sicas en lo que
respecta al tratamiento de datos personales, ası́ como sobre cualquier otro proyecto de medidas comunitarias que afecte a dichos derechos y libertades;
d) emitir un dictamen sobre los códigos de
conducta elaborados a escala comunitaria.
2. Si el Grupo comprobaré la existencia de divergencias entre la legislación y la práctica de
los Estados miembros que pudieren afectar a
la equivalencia de la protección de las personas en lo que se refiere al tratamiento de datos
personales en la Comunidad, informará de ello
a la Comisión.
3. El Grupo podrá, por iniciativa propia, formular recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta al tratamiento de datos
personales en la Comunidad.
4. Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión Y al Comité
contemplado en el artı́culo 31.
1. La Comisión estará asistida por un Comité
compuesto por representantes de los Estados
miembros y presidido por el representante de
la Comisión.
2. El representante de la Comisión presentará al
Comité un proyecto de las medidas que se hayan de adoptar. El Comité emitirá su dictamen sobre dicho proyecto en un plazo que el
presidente podrá determinar en función de la
urgencia de la cuestión de que se trate.
El dictamen se emitirá según la mayorı́a prevista en el apartado 2 del artı́culo 148 del
Tratado. Los votos de los representantes de
los Estados miembros en el seno del Comité
se ponderarán del modo establecido en el artı́culo anteriormente citado. El presidente no
tomará parte en la votación.
La Comisión adoptará las medidas que serán
de aplicación inmediata. Sin embargo, si dichas medidas no fueren conformes al dictamen del Comité, habrán de ser comunicadas
sin demora por la Comisión al Consejo. En este caso: la Comisión aplazará la aplicación de
las medidas que ha decidido por un perı́odo
de tres meses a partir de la fecha de dicha comunicación; el Consejo, actuando por mayorı́a
cualificada, podrá adoptar una decisión diferente dentro del plazo de tiempo mencionado
en el primer guión.
176
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
DISPOSICIONES FINALES
Artı́culo 32
4. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho
interno que adopten en el ámbito regulado por
la presente Directiva.
1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administratiArtı́culo 33
vas necesarias para dar cumplimiento a lo esLa Comisión presentará al Consejo y al Parlatablecido en la presente Directiva, a más tarmento
Europeo periódicamente y por primera vez
dar al final de un perı́odo de tres años a partir
en
un
plazo
de tres años a partir de la fecha mende su adopción.
cionada en el apartado 1 del artı́culo 32 un informe
Cuando los Estados miembros adopten dichas sobre la aplicación de la presente Directiva, acomdisposiciones, éstas harán referencia a la pre- pañado, en su caso, de las oportunas propuestas de
sente Directiva o irán acompañadas de dicha modificación. Dicho informe será publicado.
referencia en su publicación oficial. Los EstaLa Comisión estudiará, en particular, la aplicados miembros establecerán las modalidades de
ción
de la presente Directiva al tratamiento de datos
la mencionada referencia.
que consistan en sonidos e imágenes relativos a personas fı́sicas y presentará las propuestas pertinentes
2. Los Estados miembros velarán por que todo
que puedan res ultar necesarias en función de los
tratamiento ya iniciado en la fecha de entraavances de la tecnologı́a de la información, y a la
da en vigor de las disposiciones de Derecho
luz de los trabajos de la sociedad de la información.
nacional adoptadas en virtud de la presente
Artı́culo 34
Directiva se ajuste a dichas disposiciones dentro de un plazo de tres años a partir de dicha
Los destinatarios de la presente Directiva serán
fecha. No obstante lo dispuesto en el párrafo los Estados miembros.
primero, los Estados miembros podrán estaHecho en Luxemburgo, el 24 de octubre de 1995.
blecer que el tratamiento de datos que ya se
encuentren incluidos en ficheros manuales en
Por el Parlamento Europeo Por el Consejo
la fecha de entrada en vigor de las disposiEl Presidente El Presidente
ciones nacionales adoptadas en aplicación de
K. HANSCH L. ATIENZA SERNA
la presente Directiva, deba ajustarse a lo dispuesto en los artı́culos 6, 7 y 8 en un plazo de
DO no C 277 de 5. 11. 1990, p. 3 y DO no C 311 de 27.
doce años a partir de la adopción de la misma. 11. 1992,p. 30.
No obstante, los Estados miembros otorgarán
(2) DO no 159 de 17. 6. 1991, p. 38.
al interesado, previa solicitud y, en particu(3) Dictamen del Parlamento Europeo de 11 de marzo
lar, en el ejercicio de su derecho de acceso, el de 1992 (DO no C 94 de 13. 4. 1992, p. 198), confirmado el 2
derecho a que se rectifiquen, supriman o blo- de diciembre de 1993 (DO no C 342 de 20. 12. 1993, p. 30);
o
queen los datos incompletos, inexactos o que posición común del Consejo de 20 de febrero de 1995 (DO n
C 93 de 13. 4. 1995, p. 1) y Decisión del Parlamento Europeo
hayan sido conservados de forma incompati- de 15 de junio de 1995 (DO no C 166 de 3. 7. 1995).
ble con los fines legı́timos perseguidos por el
1 DO no C 277 de 5. 11. 1990, p. 3 y DO no C 311 de
responsable del tratamiento.
27. 11. 1992, p. 30.
3. No obstante lo dispuesto en el apartado 2, los
Estados miembros podrán disponer, con sujeción a las garantı́as adecuadas, que los datos
conservados únicamente a efectos de investigación histórica no deban ajustarse a lo dispuesto en los artı́culos 6, 7 y 8 de la presente
Directiva.
2 DO no 159 de 17. 6. 1991, p. 38.
3 Dictamen del Parlamento Europeo de 11 de marzo de
1992 (DO no C 94 de 13. 4. 1992, p. 198), confirmado el 2
de diciembre de 1993 (DO no C 342 de 20. 12. 1993, p. 30);
posición común del Consejo de 20 de febrero de 1995 (DO no
C 93 de 13. 4. 1995, p. 1) y Decisión del Parlamento Europeo
de 15 de junio de 1995 (DO no C 166 de 3. 7. 1995).
4 DO no L197 de 18.7. 1987, p. 33.
177
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
4.4.1
Reglamento 2001/45/CE, del Parlamento Europeo y del Consejo, de 18
de diciembre de 2000, relativo a la Protección de las Personas Fı́sicas en
lo que respecta al Tratamiento de Datos Personales por las Instituciones
y los Organismos comunitarios y a la libre circulación de estos datos
(DOCE L8 de 12.01.2001)
Reglamento 2001/45/CE, del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la Protección de las Personas Fı́sicas en lo que
respecta al Tratamiento de Datos Personales por las
Instituciones y los Organismos comunitarios y a la
libre circulación de estos datos. Diario Oficial de las
Comunidades Europeas 12.1.2001 L 8/2
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad
Europea ,y n particular su artı́culo 286,
Vista la propuesta de la Comisión (1),
Visto el dictamen del Comité Económico y Social (2),
De conformidad con el procedimiento previsto
en el artı́culo 251 del Tratado (3),
(1 )DO L 52 d 22.2.1997,p.1.
(2 )DO L 318 de 27.11.1998,p.8.
(3 )DO L 151 de 15.6.1990,p.1.Reglamento modificado por el Reglamento (CE) no 322/97 (DO L 52 d
22.2.1997,p.1).
Considerando lo siguiente:
1. El artı́culo 286 del Tratado requiere que se
apliquen a las instituciones y organismos comunitarios los actos comunitarios relativos a
la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de estos datos.
2. Un sistema completo de protección de datos
personales no requiere únicamente establecer
los derechos de las personas cuyos datos se tratan y las obligaciones de quienes tratan dichos
datos personales ,sino también unas sanciones
apropiadas para los infractores y un organismo supervisor independiente.
3. El apartado 2 del artı́culo 286 del Tratado requiere que se establezca un organismo super-
visor independiente, responsable de controlar
la aplicación de dichos actos comunitarios a
las instituciones y organismos comunitarios.
4. El apartado 2 del artı́culo 286 del Tratado requiere, por otro lado, la adopción ,en su caso
,de cualesquiera otras disposiciones pertinentes.
5. Es necesario un Reglamento que proporcione
a las personas unos derechos protegidos jurı́dicamente ,que especifique las obligaciones
de los responsables del tratamiento dentro de
las instituciones y los organismos comunitarios en materia de tratamiento de datos y por
el que se cree una autoridad de control independiente responsable de la vigilancia de los
tratamientos de datos personales efectuados
por las instituciones y los organismos comunitarios.
6. Se ha consultado al Grupo de protección de las
personas en lo que respecta al tratamiento de
datos personales, creado en virtud del artı́culo
29 de la Directiva 95/46/CE del Parlamento
Europeo y del Consejo ,de 24 de octubre de
1995,relativa a la protección de las personas
fı́sicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos (4).
7. Las personas susceptibles de ser protegidas
son aquéllas cuyos datos personales son tratados por las instituciones u organismos comunitarios en cualquier contexto ,por ejemplo,
porque estas personas estén empleadas por dichas instituciones u organismos.
8. Los principios de la protección de datos deben aplicarse a toda información relativa a
una persona identificada o identificable; para determinar si una persona es identificable
deben tenerse en cuenta todos los medios que
razonablemente pudiera utilizar el responsable del tratamiento o cualquier otra persona
178
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
para identificar a dicha persona .Los principios de la protección no deben aplicarse a los
datos convertidos en anónimos de forma que
la persona a quien se refieren ya no resulte
identificable.
9. La Directiva 95/46/CE exige a los Estados
miembros que garanticen la protección de los
derechos y las libertades fundamentales de
las personas fı́sicas ,en particular del derecho a la intimidad ,en lo que respecta al
tratamiento de los datos personales, con el
fin de garantizar la libre circulación de datos personales en la Comunidad.(1 )DO C
376 E d 28.12.1999,p.24. (2 )DO C 51 d
23.2.2000,p.48. (3 )Dictamen del Parlamento Europeo de 14 de noviembre de 2000 y
Decisión del Consejo de 30 de noviembre de
2000.(4 )DO L 281 de 23.11.1995,p.31.
10. La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de
1997,relativa al trata miento de los datos personales y a la protección de la intimidad en el
sector de las telecomunicaciones (1 ), precisa
y completa la Directiva 95/46/CE en lo que
respecta al tratamiento de los datos personales en el sector de las telecomunicaciones.
11. Otras medidas comunitarias ,adoptadas en
particular en materia de asistencia mutua entre las administraciones nacionales y la Comisión ,tienen también por objeto precisar y
completar la Directiva 95/46/CE en los sectores de los que se ocupan.
12. Debe garantizarse en toda la Comunidad una
aplicación coherente y homogénea de las normas de protección de los derechos y las libertades fundamentales de las personas en lo que
respecta al tratamiento de los datos personales.
13. Se trata de garantizar tanto el respeto efectivo de las normas de protección de los derechos y las libertades fundamentales de las
personas como la libre circulación de los datos personales entre los Estados miembros y
las instituciones y organismos comunitarios ,o
entre las instituciones y los organismos comunitarios ,en el ejercicio de sus competencias
respectivas.
14. Con este fin ,es preciso adoptar disposiciones
vinculantes para las instituciones y los organismos comunitarios. Tales disposiciones deben aplicarse a todo tratamiento de datos personales efectuado por las instituciones y los
organismos comunitarios en la medida en que
dicho tratamiento se lleva a cabo para el ejercicio de actividades que pertenecen total o
parcialmente al ámbito de aplicación del Derecho comunitario.
15. Cuando las instituciones y los organismos comunitarios efectúen dicho tratamiento para el
ejercicio de actividades que no pertenezcan al
ámbito de aplicación del presente Reglamento ,y n especial de las previstas en los Tı́tulos V y VI del Tratado de la Unión Europea
,la protección de los derechos y las libertades
fundamentales de las personas se garantizará respetando el artı́culo 6 del Tratado de la
Unión Europea. El acceso a los documentos
,incluidas las condiciones de acceso a los documentos que contengan datos personales ,depende de las normas adoptadas sobre la base
del artı́culo 255 del Tratado CE, cuyo ámbito
de aplicación abarca los Tı́tulos V y VI del
Tratado de la Unión Europea.
16. Estas disposiciones no se aplicarán a los organismos establecidos fuera del marco comunitario ,como tampoco el Supervisor Europeo
de Protección de Datos será competente para
supervisar el tratamiento de datos personales
que efectúen dichos organismos.
17. La eficacia de la protección de las personas
respecto al tratamiento de datos personales en
la Unión requiere la coherencia de las normas
y d los procedimientos aplicables en la materia
a las actividades correspondientes a diferentes
marcos jurı́dicos .La elaboración de principios
fundamentales relativos a la protección de datos personales en el ámbito de la cooperación
judicial en materia penal y n l d la cooperación
policial y aduanera, y la creación de una secretarı́a para las autoridades de control comunes
,establecidas en virtud del Convenio Europol,
el Convenio relativo a la utilización de la tecnologı́a de la información a efectos aduaneros
y l Convenio de Schengen, constituyen a este
respecto una primera etapa.
179
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
18. El presente Reglamento no afecta a los derechos y obligaciones de los Estados miembros con arreglo a las Directivas 95/46/CE y
97/66/CE. No pretende modificar los procedimientos y prácticas legalmente establecidos
por los Estados miembros en materia de seguridad nacional ,de defensa del orden público ,ası́ como de prevención ,detección, investigación y represión de las infracciones penales
respetando lo dispuesto en el Protocolo sobre
los privilegios y las inmunidades de las Comunidades Europeas y n l Derecho internacional.
19. Las instituciones y organismos comunitarios
se dirigen a las autoridades competentes de los
Estados miembros cuando consideran que deben intervenirse comunicaciones en sus redes
de telecomunicaciones ,de conformidad con las
disposiciones nacionales aplicables.
20. Las disposiciones aplicables a las instituciones y organismos comunitarios deben corresponder a las previstas para la armonización
de las legislaciones nacionales o la aplicación
de otras polı́ticas comunitarias ,sobre todo
en materia de asistencia mutua; no obstante ,puede ser necesario hacer precisiones y establecer disposiciones complementarias para
garantizar la protección en el caso del tratamiento de datos personales efectuado por las
instituciones y los organismos comunitarios.
21. Esta observación es aplicable tanto a los derechos de las personas cuyos datos se tratan
como a las obligaciones de las instituciones y
organismos comunitarios responsables del tratamiento ,y a los poderes de que debe disponer
la autoridad de control independiente encargada de velar por la correcta aplicación del
presente Reglamento.
22. Procede que los derechos otorgados a la persona interesada y l ejercicio de los mismos no
afecten a las obligaciones impuestas al responsable del tratamiento.
23. La autoridad de control independiente ejercerá sus misiones de control con arreglo al Tratado y respetando los derechos humanos y las
libertades fundamentales. Llevará a cabo sus
investigaciones respetando el Protocolo sobre
los privilegios y las inmunidades y l Estatuto
de los funcionarios de las Comunidades Europeas y al régimen aplicable a los otros agentes
de estas Comunidades.
24. Deberán adoptarse las medidas técnicas necesarias para permitir el acceso a los registros
de los tratamientos efectuados por los delegados de la protección de datos a través de la
autoridad de control independiente.(1 )DO L
24 d 30.1.1998,p.1.
25. Las decisiones de la autoridad de control independiente relacionadas con excepciones ,garantı́as ,autorizaciones y condiciones relativas
a los tratamientos de datos ,según se definen
en el presente Reglamento ,serán publicadas
en el informe de actividad .Con independencia de la publicación anual del informe de actividad ,la autoridad de control independiente
podrá publicar informes sobre temas especı́ficos.
26. Determinados tratamientos que puedan suponer riesgos especı́ficos para los derechos y libertades de los interesados estarán sujetos al
control previo de la autoridad de control independiente .El dictamen emitido en el marco de
dicho control previo ,incluido el dictamen resultante de no haber respuesta en el plazo previsto ,no impedirá que la autoridad de control
independiente ejerza posteriormente sus competencias respecto al tratamiento en cuestión.
27. El tratamiento de datos personales efectuado
a cargo de las instituciones y organismos comunitarios para la realización de las tareas de
interés público incluye el trata miento de datos personales necesarios para la gestión y el
funcionamiento de dichas instituciones y organismos.
28. En algunos casos ,procede establecer que el
tratamiento de datos haya de ser autorizado por disposiciones comunitarias o actos de
adaptación de disposiciones comunitarias. No
obstante ,con carácter transitorio ,cuando dichas disposiciones no existan y a la espera de
su adopción ,el Supervisor Europeo de Protección de Datos podrá autorizar el tratamiento
de dichos datos siempre y cuando se adopten
180
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
las garantı́as adecuadas. A este respecto ,tendrá en cuenta, entre otras cosas, las disposiciones adoptadas por los Estados miembros en
casos similares.
la obtención de información estadı́stica por el
Banco Central Europeo (2 ),es de aplicación
sin perjuicio de lo dispuesto en la Directiva
95/46/ CE.
29. Dichos casos se refieren al tratamiento de datos que revelen el origen racial o étnico ,las
opiniones polı́ticas, las convicciones religiosas
o filosóficas ,la afiliación sindical, ası́ como el
tratamiento de los datos relativos a la salud
o a la vida sexual necesarios para respetar las
obligaciones y los derechos del responsable del
tratamiento en materia de Derecho laboral o
por un motivo de interés público importante
.Se refieren asimismo al tratamiento de los datos relativos a infracciones, condenas penales
o medidas de seguridad ,o incluso a la autorización para someter a la persona interesada
a una decisión que surta efectos jurı́dicos en
ella o que le afecte de manera significativa y
que esté basada únicamente en un tratamiento automatizado de datos destinado a evaluar
determinados aspectos de su personalidad.
35. De conformidad con el apartado 2 d su artı́culo 1,el Reglamento (Euratom, CEE) no
1588/90 del Consejo ,de 11 de junio de
1990,relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las
informaciones amparadas por el secreto estadı́stico (3 ) no afectará a las disposiciones particulares, comunitarias o nacionales, relativas
a la salvaguardia de otros secretos que no sean
los estadı́sticos.
36. El presente Reglamento no pretende limitar
el margen de maniobra de los Estados miembros en la elaboración de su derecho nacional
en materia de protección de datos adoptado
en virtud del artı́culo 32 de la Directiva 95/
46/CE, de conformidad con el artı́culo 249 del
Tratado.
HAN ADOPTADO EL PRESENTE REGLA30. Puede ser necesario supervisar las redes inforMENTO:
máticas que funcionan bajo el control de las
CAPÍTULO I DISPOSICIONES GENEinstituciones y organismos comunitarios para
prevenir su uso no autorizado; el Supervisor RALES
Europeo de Protección de Datos debe deterArtı́culo 1. Objeto del Reglamento
minar si esto es posible y en qué condiciones.
1. Las instituciones y los organismos creados por
31. La responsabilidad que se derive del incumplilos Tratados constitutivos de las Comunidades
miento del presente Reglamento se regirá con
Europeas o n virtud de dichos Tratados, en lo
arreglo al párrafo segundo del artı́culo 288 del
sucesivo denominados ı̈nstituciones y organisTratado.
mos comunitarios ”,garantizarán, de conformidad con el presente Reglamento, la protección
32. En cada institución u organismo comunitario
de los derechos y las libertades fundamenta,uno o varios responsables de la protección de
les de las personas fı́sicas, y en particular su
datos velarán por que se aplique lo dispuesto
derecho a la intimidad, en lo que respecta al
en el presente Reglamento y asesorarán a los
tratamiento de los datos personales, y no liresponsables del tratamiento en el ejercicio de
mitarán ni prohibirán la libre circulación de
sus obligaciones.
datos personales entre ellos o entre ellos y des33. De conformidad con su artı́culo 21,el Reglatinatarios sujetos al Derecho nacional de los
mento (CE) no 322/97 del Consejo , de 17 de
Estados miembros adoptado en aplicación de
febrero de 1997,sobre la estadı́stica comunila Directiva 95/46/CE.
taria (1), es de aplicación sin perjuicio de lo
2. La autoridad de control independiente estadispuesto en la Directiva 95/46/CE.
blecida por el presente Reglamento, en lo suce34. De conformidad con el apartado 8 d su arsivo denominada ”Supervisor Europeo de Protı́culo 8,el Reglamento (CE) no 2533/98 del
tección de Datos ”,supervisará la aplicación
Consejo ,de 23 de noviembre de 1998,sobre
de las disposiciones del presente Reglamento
181
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
a todas las operaciones de tratamiento reali- encargado del tratamiento :la persona fı́sica o
zadas por las instituciones y organismos cojurı́dica, autoridad pública, servicio o cualmunitarios.
quier otro organismo que trate datos personales por cuenta del responsable del tratamiento;
Artı́culo 2. Definiciones
A efectos del presente Reglamento, se entenderá
por:
tercero :la persona fı́sica o jurı́dica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y d
datos personales toda información sobre una
las personas autorizadas para tratar los datos
persona fı́sica identificada o identificable (debajo la autoridad directa del responsable del
nominada en lo sucesivo .el interesado ”);
tratamiento o del encargado del tratamiento;
se considerará identificable toda persona cuya
identidad pueda determinarse, directa o indi- destinatario :la persona fı́sica o jurı́dica, autorirectamente, en particular mediante un númedad pública, servicio o cualquier otro organisro de identificación o uno o varios elementos
mo que reciba comunicación de datos, se trate
especı́ficos, caracterı́sticos de su identidad fı́o no d un tercero; no obstante, las autoridades
sica, fisiológica, psı́quica, económica, cultural
que puedan recibir una comunicación de datos
o social;
en el marco de una investigación especı́fica no
serán considerados destinatarios;
tratamiento de datos personales (denominado
en lo sucesivo ”tratamiento ”) cualquier ope- consentimiento del interesado :toda manifesración o conjunto de operaciones, efectuadas
tación de voluntad, libre, especı́fica y con coo no mediante procedimientos automatizanocimiento de causa, mediante la que el indos, aplicadas a datos personales, como la
teresado consienta el tratamiento de datos
recogida, registro, organización, conservación,
personales que le conciernan.
adaptación o modificación, extracción, consulArtı́culo 3. Ámbito de aplicación
ta, utilización, comunicación por transmisión,
difusión o cualquier otra forma que permita
1. Las disposiciones del presente Reglamento se
el acceso a los mismos,ası́ como la alineación
aplicarán al tratamiento de datos personales
o interconexión, y el bloqueo, supresión o despor parte de todas las instituciones y organistrucción;
mos comunitarios, en la medida en que dicho
fichero de datos personales (denominado en lo
tratamiento se lleve a cabo para el ejercicio
sucesivo ”fichero ”):todo conjunto estructurade actividades que pertenecen al ámbito de
do de datos personales accesibles con arreglo
aplicación del Derecho comunitario.
a criterios determinados, ya sea centralizado,
2. Las disposiciones del presente Reglamento se
descentralizado o repartido según un criterio
aplicarán al tratamiento total o parcialmente
funcional o geográfico;
automatizado de datos personales, ası́ como al
responsable del tratamiento :la institución, ortratamiento no automatizado de datos persoganismo, dirección general, unidad u otra ennales contenidos o destinados a ser incluidos
tidad organizativa comunitaria que por sı́ soen un fichero.
la o conjuntamente con otras determine los
fines y los medios del tratamiento de datos
CAPÍTULO II. CONDICIONES GENEpersonales; cuando los fines y los medios del RALES DE LA LICITUD DEL TRATAtratamiento estén determinados por un acto MIENTO DE DATOS PERSONALES
comunitario concreto, el responsable del traSECCIÓN 1. PRINCIPIOS RELATIVOS
tamiento o los criterios especı́ficos aplicables a
A
LA
CALIDAD DE LOS DATOS
su nombramiento podrán determinarse en tal
acto comunitario;
Artı́culo 4. Calidad de los datos
182
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
1. Los datos personales deberán ser:
a) tratados de manera leal y lı́cita;
SECCIÓN 2. CRITERIOS DE LEGITIMIDAD DEL TRATAMIENTO DE DATOS
Artı́culo 5. Licitud del tratamiento de datos
b) recogidos con fines determinados, explı́El tratamiento de datos personales sólo podrá
citos y legı́timos, y no ser tratados pos- efectuarse si:
teriormente de manera incompatible con
dichos fines; no se considerará incompatia) es necesario para el cumplimiento de una mible el tratamiento posterior de datos con
sión de interés público en virtud de los Trafines históricos, estadı́sticos o cientı́ficos,
tados constitutivos de las Comunidades Eusiempre y cuando el responsable del traropeas o d otros actos legislativos adoptados
tamiento establezca las garantı́as oportusobre la base de los mismos o s inherente al
nas, en particular para asegurar que los
ejercicio legı́timo del poder público conferido
datos no serán tratados con otros fines
a la institución o al organismo comunitario o
y que no se utilizarán en favor de media un tercero a quien se comuniquen los datos,
das o decisiones que afecten a personas
o
concretas;
b) es necesario para el cumplimiento de una oblic) adecuados, pertinentes y no excesivos
gación jurı́dica a la que esté sujeto el responcon relación a los fines para los que se
sable del tratamiento, o
recaben y para los que se traten postec) es necesario para la ejecución de un contrariormente;
to en el que el interesado sea parte o para la
d) exactos y, si fuera necesario, actualizaaplicación de medidas precontractuales adopdos; se tomarán todas las medidas razotadas a petición del interesado, o
nables para la supresión o rectificación
de los datos inexactos o incompletos en
d) el interesado ha dado su consentimiento de
relación con los fines para los que fueforma inequı́voca, o
ron recogidos o para los que son tratados
e) es necesario para proteger los intereses esenposteriormente;
ciales del interesado.
e) conservados en una forma que permita la
identificación de los interesados durante
Artı́culo 6. Cambio de fines
un perı́odo no superior al necesario para
Sin perjuicio de lo dispuesto en los artı́culos 4,5
la consecución de los fines para los que
y10:
fueron recogidos o para los que se traten
posteriormente. La institución o el orga1. Los datos personales sólo podrán tratarse con
nismo comunitario establecerá para los
fines distintos de los que motivaron su recogidatos personales que deban ser archivada cuando este cambio de fin esté permitido
dos por un perı́odo más largo del mencioexpresamente por normas internas de la instinado para fines históricos, estadı́sticos o
tución o del organismo comunitario.
cientı́ficos, que dichos datos se archiven
bien únicamente en forma anónima, o,
2. Los datos personales recogidos exclusivamencuando ello no sea posible, sólo con la
te para garantizar la seguridad o l control de
identidad codificada del interesado. En
los sistemas o las operaciones de tratamiento
cualquier caso, deberá imposibilitarse el
no se utilizarán con ningún otro fin, salvo los
uso de los datos salvo para fines históride la prevención, la investigación, la detección
cos, estadı́sticos o cientı́ficos.
y la represión de infracciones penales graves.
2. Incumbirá al responsable del tratamiento gaArtı́culo 7. Transmisión de datos personales enrantizar el cumplimiento de lo dispuesto en el tre las instituciones los organismos comunitarios en
apartado 1.
el seno de dichas instituciones y organismos
183
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
Sin perjuicio de lo dispuesto en los artı́culos 4,5,6
y10:
1. Los datos personales sólo se transmitirán a
otras instituciones y organismos comunitarios
o n l seno de dichas instituciones y organismos
si son necesarios para el ejercicio legı́timo de
las tareas que pertenecen al ámbito de competencia del destinatario.
2. Cuando los datos se transmitan a petición del
destinatario, la responsabilidad relativa a la
legitimidad de la transmisión incumbirá tanto
al responsable del tratamiento como al destinatario.
El responsable del tratamiento estará obligado a verificar la competencia del destinatario
y a efectuar una evaluación provisional de la
necesidad de la transmisión de dichos datos.
En caso de abrigar dudas sobre tal necesidad,
el responsable del tratamiento pedirá al destinatario que aporte información complementaria.
El destinatario garantizará la posibilidad de
verificar subsiguientemente la necesidad de la
transmisión de los datos.
3. El destinatario tratará los datos personales
únicamente para los fines que hayan motivado
su transmisión.
Artı́culo 8. Transmisión de datos personales a
destinatarios, distintos de las instituciones y los
organismos comunitarios, sujetos a la Directiva
95/46/CE
Sin perjuicio de lo dispuesto en los artı́culos 4,5,6
y 10,los datos personales sólo se transmitirán a destinatarios sujetos al Derecho nacional adoptado para la aplicación de la Directiva 95/46/CE, cuando:
a) el destinatario demuestre que los datos son necesarios para el cumplimiento de una misión
de interés público o son inherentes al ejercicio
del poder público, o
b) el destinatario demuestre la necesidad de que
se le transmitan los datos y no existan motivos para suponer que ello pudiera perjudicar
los intereses legı́timos del interesado.
Artı́culo 9. Transmisión de datos personales a
destinatarios distintos de las instituciones y los organismos comunitarios y n sujetos a la Directiva
95/46/CE
1. Los datos personales sólo se podrán transmitir a destinatarios distintos de las instituciones y los organismos comunitarios y no sujetos
al Derecho nacional adoptado en aplicación
de la Directiva 95/46/CE cuando se garantice
un nivel de protección suficiente en el paı́s del
destinatario o n la organización internacional
destinataria, y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del
tratamiento.
2. La suficiencia del nivel de protección ofrecido por el tercer paı́s o la organización internacional de que se trate se determinará a la
luz de todas las circunstancias que rodean la
operación de transmisión de datos o l conjunto de operaciones de transmisión de datos. Se
tendrá particularmente en cuenta la naturaleza de los datos, la finalidad y la duración de
las operaciones de tratamiento propuestas, el
tercer paı́s o la organización internacional de
destino final, los preceptos legales generales y
sectoriales vigentes en el tercer paı́s o aplicables a la organización internacional de que se
trate, ası́ como las normas profesionales y las
medidas de seguridad observadas en ese paı́s
u organización internacional.
3. Las instituciones y los organismos comunitarios informarán a la Comisión y al Supervisor
Europeo de Protección de Datos de los casos
en los que a su entender el tercer paı́s o la
organización internacional de que se trate no
garanticen un nivel de protección suficiente de
acuerdo con el apartado 2.
4. La Comisión informará a los Estados miembros de los casos contemplados en el apartado
3.
5. Las instituciones y los organismos comunitarios tomarán las medidas oportunas para
cumplir las decisiones adoptadas por la Comisión en las que se haga constar, en aplicación de los apartados 4 y 6dl artı́culo 25 de la
184
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
Directiva 95/46/CE, que un tercer paı́s o una
organización internacional garantizan o no garantizan un nivel de protección suficiente.
6. No obstante lo dispuesto en los apartados 1
y 2,la institución o l organismo comunitario
podrá efectuar una transmisión de datos personales si:
a) el interesado ha dado su consentimiento de forma inequı́voca a la transmisión
propuesta; o
protección de la vida privada y los derechos
y las libertades fundamentales de las personas, ası́ como por lo que respecta al ejercicio
de los derechos correspondientes; estas garantı́as pueden, en particular, resultar de cláusulas contractuales pertinentes.
8. Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos de las categorı́as de casos en
que hayan aplicado los apartados 6 y 7.
SECCIÓN 3. CATEGORÍAS ESPECIAb) la transmisión es necesaria para la ejecución de un contrato entre el interesado LES DE TRATAMIENTOS
y l responsable del tratamiento o para la
Artı́culo 10. Tratamiento de categorı́as especiaaplicación de medidas precontractuales a les de datos
petición del interesado; o
c) la transmisión es necesaria para la conclusión o ejecución de un contrato concluido en interés del interesado entre el
responsable del tratamiento y un tercero;
o
d) la transmisión es necesaria o requerida
legalmente por razones importantes de
interés público o para el reconocimiento, el ejercicio o la defensa de un derecho
en un procedimiento judicial; o
e) la transmisión es necesaria para proteger
los intereses esenciales del interesado; o
f) la transmisión se realiza desde un registro que, con arreglo al Derecho comunitario, tenga por objeto proporcionar información al público y que esté disponible para consulta del público en general
o d cualquier persona que pueda demostrar un interés legı́timo, en la medida en
que en ese caso particular se cumplan las
condiciones de consulta fijadas en la legislación comunitaria.
7. Sin perjuicio de lo dispuesto en el apartado
6,el Supervisor Europeo de Protección de Datos podrá autorizar una transferencia o conjunto de transferencias de datos personales a
un tercer paı́s o a una organización internacional que no garanticen un nivel de protección adecuado en el sentido de los apartados
1 y 2 cuando el responsable del tratamiento
ofrezca garantı́as suficientes con respecto a la
1. Se prohı́be el tratamiento de datos personales
que revelen el origen racial o étnico, las opiniones polı́ticas, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, ası́ como el tratamiento de los datos relativos a la
salud o a la sexualidad.
2. Lo dispuesto en el apartado 1 no se aplicará
si:
a) el interesado ha dado su consentimiento explı́cito a dicho tratamiento, salvo
cuando las normas internas de la institución o del organismo comunitario dispongan que la prohibición contemplada en
el apartado 1 no puede quedar sin efecto
por el consentimiento del interesado, o
b) el tratamiento es necesario para cumplir las obligaciones y derechos especı́ficos del responsable del tratamiento en
materia de Derecho laboral, en la medida en que esté autorizado por el Tratado
de la Unión Europea u otros instrumentos jurı́dicos adoptados sobre la base del
mismo o, si fuera necesario, en la medida en que lo haya aprobado el Supervisor
Europeo de Protección de Datos, con la
aportación de garantı́as suficientes, o
c) el tratamiento es necesario para salvaguardar los intereses esenciales del interesado o d otra persona, cuando el interesado está fı́sica o jurı́dicamente incapacitado para dar su consentimiento, o
185
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
d) el tratamiento se refiere a datos que el
interesado ha hecho manifiestamente públicos o s necesario para el reconocimiento, el ejercicio o la defensa de un derecho
en un procedimiento judicial, o
Datos, siempre que establezca garantı́as especı́ficas adecuadas.
6. El Supervisor Europeo de Protección de Datos
determinará las condiciones en las que podrá
ser objeto de tratamiento un número personal o cualquier otro medio de identificación
de aplicación general por parte de una institución o un organismo comunitario.
e) el tratamiento lo lleva a cabo, en el curso
de sus actividades legı́timas y con las garantı́as apropiadas, un organismo sin ánimo de lucro que constituya una entidad
integrada en una institución o un orgaSECCIÓN 4. INFORMACIÓN AL INnismo comunitario, no sujeto a la legisla- TERESADO
ción nacional sobre protección de datos
Artı́culo 11. Información que se debe proporcioen virtud del artı́culo 4 d la Directiva
nar cuando los datos han sido recabados del propio
95/46/CE, con fines polı́ticos, filosóficos,
interesado
religiosos o sindicales, a condición de que
el tratamiento se refiera únicamente a los
1. El responsable del tratamiento proporcionamiembros de dicho organismo o a las perrá al interesado cuyos datos se recaben por lo
sonas que mantengan contactos regulares
menos la información que se enumera a concon él en relación con sus objetivos ,y que
tinuación, salvo si la persona ya hubiera sido
los datos no se divulguen a un tercero sin
informada de ello:
el consentimiento del interesado.
a) la identidad del responsable del trata3. El apartado 1 no s aplicará cuando el tratamiento;
miento de datos resulte necesario para la preb) los fines del tratamiento de que van a ser
vención o para el diagnóstico médicos, la presobjeto los datos;
tación de asistencia sanitaria o tratamientos
c)
los destinatarios o las categorı́as de desmédicos, o la gestión de servicios sanitarios,
tinatarios
de los datos;
siempre que dicho tratamiento de datos sea
d) el carácter obligatorio o voluntario de la
realizado por un profesional sanitario sujeto
respuesta a las preguntas y las posibles
al secreto profesional o por otra persona sujeconsecuencias de la falta de respuesta;
ta asimismo a una obligación de secreto equivalente.
e) la existencia del derecho de acceso y d
rectificación de los datos que le concier4. A condición de instaurar las garantı́as adecuanen;
das, y por motivos de interés público imporf) cualquier información adicional como
tantes, podrán preverse excepciones distintas
g)
el fundamento jurı́dico del tratamiento
a las previstas en el apartado 2 en los Tratados
de que van a ser objeto los datos,
constitutivos de las Comunidades Europeas o
en otros actos legislativos adoptados en virtud
h) los plazos de conservación de los datos,
de los mismos o, si fuera necesario, por decii) el derecho a recurrir al Supervisor Eurosión del Supervisor Europeo de Protección de
peo de Protección de Datos en cualquier
Datos.
momento, que resulte necesaria, habida
5. El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad sólo podrá efectuarse si ası́ lo autorizan
los Tratados constitutivos de las Comunidades
Europeas u otros actos legislativos adoptados
en virtud de los mismos, o si fuera necesario, el Supervisor Europeo de Protección de
cuenta de las circunstancias especı́ficas
en que se obtengan los datos, para garantizar un tratamiento de datos leal respecto del interesado.
2. No obstante lo dispuesto en el apartado 1,la
provisión de información o d una parte de una
información, con excepción de la información
186
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
a que se refieren las letras a),b) y d) del apartado 1, podrá aplazarse el tiempo que sea necesario para fines estadı́sticos. La información
deberá proporcionarse tan pronto como la razón por la que se retiene deje de existir.
Artı́culo 12. Información que se debe proporcionar cuando los datos no han sido recabados del propio interesado
2. Las disposiciones del apartado 1 no s aplicarán cuando, en particular para el tratamiento
con fines estadı́sticos o d investigación histórica o cientı́fica, la información al interesado
resulte imposible o exija esfuerzos desproporcionados o cuando el registro o la comunicación de datos estén expresamente previstos en
la legislación comunitaria. En tales casos, la
institución o el organismo comunitario establecerá las garantı́as apropiadas previa consulta del Supervisor Europeo de Protección
de Datos.
1. Cuando los datos no hayan sido recabados
del propio interesado, el responsable del tratamiento deberá, en el momento del registro
SECCIÓN 5. DERECHOS DEL INde los datos personales o, en caso de que se
TERESADO
prevea su comunicación a un tercero, a más
tardar en el momento de la primera comunicaArtı́culo 13. Derecho de acceso
ción de datos, comunicar al interesado por lo
El interesado tendrá derecho a obtener del resmenos la información que se enumera a contiponsable
del tratamiento en cualquier momento y
nuación, salvo si el interesado ya hubiera sido
sin
restricciones,
dentro de un plazo de tres meses a
informado de ello con anterioridad:
partir de la recepción de la solicitud y con carácter
a) la identidad del responsable del trata- gratuito:
miento;
a) confirmación de la existencia o no d tratab) los fines del tratamiento de que van a ser
miento de datos que le conciernan;
objeto los datos;
b) información, como mı́nimo ,de los fines de dic) las categorı́as de datos de que se trate;
cho tratamiento, de las categorı́as de datos
d) los destinatarios o las categorı́as de desobjeto de tratamiento y de los destinatarios
tinatarios de los datos;
o categorı́as de destinatarios a quienes se comuniquen los datos;
e) la existencia del derecho de acceso y d
rectificación de los datos que le concierc) comunicación en forma inteligible de los danen;
tos objeto de tratamiento, ası́ como cualquier
f) cualquier información adicional como:
información disponible sobre el origen de los
datos;
g) el fundamento jurı́dico del tratamiento
de que van a ser objeto los datos,
h) los plazos de conservación de los datos,
i) el derecho a recurrir al Supervisor Europeo de Protección de Datos en cualquier
momento,
d) conocimiento de los criterios por los que se rige cualquier tratamiento automatizado de datos referido al interesado.
Artı́culo 14. Rectificación
El interesado tendrá derecho a obtener del resj) el origen de los datos, salvo cuando el responsable
del tratamiento una rectificación inmediaponsable del tratamiento no pueda reveta
de
los
datos
personales inexactos o incompletos.
lar esta información por motivos de secreto profesional, que resulte necesaria,
Artı́culo 15. Bloqueo
habida cuenta de las circunstancias especı́ficas en que se obtengan los datos,
1. El interesado tendrá derecho a hacer que el
para garantizar un tratamiento de datos
responsable del tratamiento bloquee sus daleal respecto del interesado.
tos cuando:
187
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar que los datos
son exactos, y que están completos; o
b) el responsable de los datos ya no los necesite para la realización de sus tareas
pero haya de conservarlos a efectos probatorios; o
c) el tratamiento de los datos sea ilı́cito y l
interesado se oponga a su supresión, exigiendo en su lugar el bloqueo.
particular, a que los datos que le conciernan
sean objeto de tratamiento, salvo en los casos
contemplados en las letras
b) ,c) y d) del artı́culo 5.En caso de oposición justificada, el tratamiento en cuestión no
podrá referirse ya a esos datos.
b) ser informado antes de que los datos personales se comuniquen por primera vez a terceros
o s utilicen por cuenta de terceros a efectos
de prospección, y a que se le ofrezca expresamente el derecho a oponerse, sin gastos, a
dicha comunicación o utilización.
2. En los ficheros automatizados el bloqueo se
efectuará, en principio por medios técnicos. El
hecho de que los datos personales están bloArtı́culo 19. Decisiones individuales automatizaqueados deberá indicarse en el sistema de tal das
modo que quede claro que no se pueden utiliEl interesado tiene derecho a no ser sometido a
zar.
una decisión que tenga efectos jurı́dicos sobre él o
3. Con excepción del almacenamiento, los datos que le afecte de manera significativa y que esté basapersonales bloqueados en aplicación del pre- da únicamente en un tratamiento automatizado de
sente artı́culo sólo serán objeto de tratamiento datos destinado a evaluar determinados aspectos de
a efectos probatorios, bien para la protección su personalidad, como su rendimiento laboral, fiade los derechos de un tercero, o bien con el bilidad o conducta, salvo cuando tal decisión esté
consentimiento del interesado.
expresamente autorizada en virtud de la legislación
4. El interesado que solicite y obtenga el bloqueo nacional o comunitaria o, si fuera necesario, por el
de sus datos deberá ser informado por el res- Supervisor Europeo de Protección de Datos. En amponsable del tratamiento del desbloqueo de bos casos se adoptarán, para proteger los intereses
legı́timos del interesado, medidas que le permitan
los datos antes de que éste tenga lugar.
exponer su punto de vista.
Artı́culo 16. Supresión
SECCIÓN 6. EXCEPCIONES Y LIMITACIONES
El interesado tendrá derecho a hacer que el responsable del tratamiento suprima sus datos cuanArtı́culo 20. Excepciones y limitaciones
do el tratamiento de éstos sea ilı́cito, en particular
cuando se hayan incumplido las disposiciones de las
1. Las instituciones y los organismos comunitasecciones 1,2 y 3 del capı́tulo II.
rios podrán limitar la aplicación del apartado
Artı́culo 17. Notificación a terceros
El interesado tendrá derecho a hacer que el responsable del tratamiento notifique a los terceros a
quienes se hayan comunicado los datos toda rectificación, supresión o bloqueo efectuado en virtud de
los artı́culos 13 a 16, a no ser que resulte imposible
o suponga un esfuerzo desproporcionado.
Artı́culo 18. Derecho de oposición del interesado
El interesado tendrá derecho a:
a) oponerse en cualquier momento, por razones
imperiosas y legı́timas propias de su situación
1 del artı́culo 4,del artı́culo 11,del apartado 1
del artı́culo 12,de los artı́culos 13 a 17 y del
apartado 1 del artı́culo 37 siempre y cuando
tal limitación constituya una medida necesaria para:
a) la prevención, investigación, detección y
represión de infracciones penales;
b) la salvaguardia de un interés económico o financiero importante de un Estado
miembro o d las Comunidades Europeas,
incluidos los asuntos monetarios, presupuestarios y fiscales;
188
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
c) la protección del interesado o d los dereLas personas empleadas en una institución o n
chos y libertades de otras personas;
un organismo comunitario, ası́ como las instituciod) la seguridad nacional, el orden público y nes u organismos comunitarios que a su vez actúen
como encargados del tratamiento, que tengan accela defensa de los Estados miembros;
so a datos personales, sólo podrán tratarlos cuando
e) una misión de seguimiento, inspección se lo encomiende el responsable del tratamiento, a
o regulación relacionada, incluso ocasio- no ser que estén obligadas a hacerlo con arreglo a
nalmente, con el ejercicio de los poderes la legislación nacional o comunitaria.
públicos en los casos contemplados en las
Artı́culo 22. Seguridad del tratamiento
letras a) y b).
2. Los artı́culos 13 a 16 no serán de aplicación
cuando los datos se vayan a tratar exclusivamente con fines de investigación cientı́fica o
s guarden en forma de archivos de carácter
personal durante un periodo que no supere el
tiempo necesario para la exclusiva finalidad de
elaborar estadı́sticas, siempre que manifiestamente no exista ningún riesgo de que se vulnere la intimidad del interesado y que el responsable del tratamiento brinde las garantı́as
jurı́dicas apropiadas para excluir, en particular, que los datos puedan ser utilizados para
adoptar medidas o decisiones en relación con
personas concretas.
1. Habida cuenta de los conocimientos técnicos
existentes y del coste de su aplicación, el responsable del tratamiento pondrá en práctica
las medidas de carácter técnico y organizativo
adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos que
presente el tratamiento y con la naturaleza de
los datos que deban protegerse.
3. En caso de que se aplique una limitación contemplada en el apartado 1,se informará al interesado, de conformidad con el Derecho comunitario, de las razones principales que justifican la limitación, ası́ como de su derecho a
recurrir al Supervisor Europeo de Protección
de Datos.
2. Cuando los datos personales se traten de forma automatizada, se adoptarán las medidas
adecuadas en función del riesgo, en particular
con el objetivo de:
4. En caso de que se invoque una limitación contemplada en el apartado 1 para denegar al
interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante
la investigación subsiguiente a la reclamación,
sólo le comunicará si los datos se trataron correctamente y, de no ser ası́, si se han efectuado las correcciones necesarias.
b) evitar que se puedan leer, reproducir, alterar o retirar los soportes de memoria
sin autorización;
5. Podrá aplazarse la comunicación de la información a la que se refieren los apartados 3 y 4
mientras deje sin efecto la limitación impuesta
sobre la base del apartado 1.
SECCIÓN 7. CONFIDENCIALIDAD Y
SEGURIDAD DEL TRATAMIENTO
Artı́culo 21. Confidencialidad del tratamiento
Se adoptarán tales medidas para evitar, en
particular, la comunicación o l acceso no autorizados, la destrucción accidental o ilı́cita,
o cualquier pérdida accidental o alteración,
ası́ como cualquier otra forma ilı́cita de tratamiento.
a) evitar que personas no autorizadas puedan acceder a los sistemas informáticos
que traten datos personales;
c) evitar que personas no autorizadas puedan introducir información en memoria o
comunicar, alterar o suprimir datos personales almacenados;
d) evitar que personas no autorizadas puedan utilizar los sistemas de tratamiento
de datos mediante instalaciones de transmisión de datos;
e) garantizar que los usuarios autorizados
de un sistema de tratamiento de datos
puedan acceder únicamente a aquellos
datos personales a que se refiera su derecho de acceso;
189
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
f) registrar qué datos personales se comu3. A efectos probatorios, las partes del contrato
nicaron en qué momento y a quién;
o del acto jurı́dico relativas a la protección de
datos y los requisitos relativos a las medidas
g) garantizar que posteriormente sea posimencionadas en el artı́culo 22 constarán por
ble comprobar qué datos personales se
escrito o en otra forma equivalente.
han tratado, cuándo y por quién;
h) garantizar que los datos personales traSECCIÓN 8. RESPONSABLE DE LA
tados por cuenta de terceros puedan tratarse únicamente en la forma prescrita PROTECCIÓN DE DATOS
por la institución o el organismo contraArtı́culo 24. Nombramiento y funciones del restante;
ponsable de la protección de datos
i) garantizar que durante la comunicación
de datos personales y durante el trans1. Cada institución y cada organismo comuniporte de los soportes de memoria, los datario nombrará al menos a una persona para
tos no puedan ser leı́dos, copiados o suque actúe como responsable de la protección
primidos sin autorización;
de datos encargado de:
j) diseñar la estructura organizativa dentro
de una institución o d un organismo de
a) garantizar que los responsables del tratatal modo que satisfaga las necesidades esmiento y los interesados sean informados
peciales de la protección de datos.
de sus derechos y obligaciones de conformidad con el presente Reglamento;
Artı́culo 23. Tratamiento de datos personales
b) responder a las solicitudes del Supervisor
por cuenta de los responsables del tratamiento
Europeo de Protección de Datos y, en el
marco de sus competencias, cooperar con
1. Cuando el tratamiento se efectúe por cuenta
el Supervisor Europeo de Protección de
del responsable del tratamiento, éste elegirá
Datos a petición de éste o por iniciativa
un encargado del tratamiento que reúna gapropia;
rantı́as suficientes en relación con las medidas
de seguridad de carácter técnico y organizac) garantizar de forma independiente la
tivo contempladas en el artı́culo 22, y deberá
aplicación interna de las disposiciones del
asegurar el cumplimiento de dichas medidas.
presente Reglamento;
2. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro
acto jurı́dico que vincule al encargado del tratamiento con el responsable del tratamiento y
que disponga, en particular, que:
d) llevar el registro de aquellas operaciones
de tratamiento realizadas por el responsable del tratamiento, el cual contendrá
la información a que se refiere el apartado 2 del artı́culo 25;
a) el encargado del tratamiento sólo deberá actuar siguiendo instrucciones del responsable del tratamiento;
b) las obligaciones de los artı́culos 21 y 22
incumben también al encargado del tratamiento, a menos que, en virtud del artı́culo 16 o del segundo guión del apartado 3 del artı́culo 17 de la Directiva
95/46/CE, el encargado del tratamiento ya esté sujeto a obligaciones de confidencialidad y seguridad establecidas en
la legislación nacional de uno de los Estados miembros.
e) notificar al Supervisor Europeo de Protección de Datos las operaciones de tratamiento que pudieran presentar riesgos
especı́ficos con arreglo al artı́culo 27. Dicha persona deberá velar por que el tratamiento no tenga efectos adversos sobre
los derechos y las libertades de los interesados.
2. El responsable de la protección de datos será
seleccionado en razón de sus cualidades personales y profesionales y ,en particular, de su
experiencia en la protección de datos.
190
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
3. La elección del responsable de la protección de
datos no deberá poder derivar en un conflicto
de intereses entre su función de responsable y
otras obligaciones profesionales, en particular
en relación con la aplicación de las disposiciones del presente Reglamento.
4. El responsable de la protección de datos será
nombrado por un mandato de entre dos y cinco años. Su mandato podrá ser renovado ;no
obstante, la duración total de su mandato no
podrá ser superior a diez años. El responsable de la protección de datos sólo podrá ser
destituido de su función de responsable de la
protección de datos por la institución u organismo comunitario que le haya nombrado,
previo consentimiento del Supervisor Europeo
de Protección de Datos, en caso de que deje
de cumplir las condiciones requeridas para el
ejercicio de sus funciones.
5. Tras haber nombrado al responsable de la protección de datos, la institución o l organismo
que le haya designado comunicará su nombre
al Supervisor Europeo de Protección de Datos.
6. La institución u organismo comunitario que le
haya designado asignará al responsable de la
protección de datos el personal y los recursos
necesarios para la ejecución de sus funciones.
7. El responsable de la protección de datos no
aceptará instrucciones de nadie respecto del
ejercicio de sus funciones.
de tales operaciones previstas para un objetivo único o para varios objetivos relacionados
entre sı́.
2. La notificación facilitada comprenderá:
a) el nombre y la dirección del responsable
del tratamiento y una indicación de los
servicios de una institución u organismo
encargados del tratamiento de datos personales para un fin particular;
b) el o los objetivos del tratamiento;
c) una descripción de la categorı́a o categorı́as de interesados y d los datos o categorı́as de datos a que se refiere el tratamiento;
d) el fundamento jurı́dico del tratamiento al
que van destinados los datos;
e) los destinatarios o categorı́as de destinatarios a los que se pueden comunicar los
datos;
f) una indicación general de los plazos establecidos para el bloqueo y la supresión
de las diferentes categorı́as de datos;
g) las transmisiones de datos previstas a
terceros paı́ses o a organizaciones internacionales;
h) una descripción general que permita evaluar de modo preliminar si las medidas
adoptadas en aplicación del artı́culo 22
resultan adecuadas para garantizar la seguridad del tratamiento.
3. Todo cambio que afecte a las informaciones
contempladas en el apartado 2 s notificará de
inmediato al responsable de la protección de
datos.
8. Cada institución u organismo comunitario
adoptará normas complementarias respecto al
responsable de la protección de datos, con
arreglo a lo dispuesto en el anexo. Tales norArtı́culo 26. Registro
mas se referirán, en concreto, a las tareas, obligaciones y competencias del responsable de la
Cada responsable de la protección de datos lleprotección de datos.
vará un registro de las operaciones de tratamiento
a que se refiere el artı́culo 25.
Artı́culo 25. Notificación al responsable de la
Los registros contendrán como mı́nimo la inforprotección de datos
mación mencionada en las letras a) a g) del apartado 2 del artı́culo 25. Los registros podrán ser con1. El responsable del tratamiento notificará pre- sultados por cualquier persona directamente o indiviamente al responsable de la protección de rectamente por mediación del Supervisor Europeo
datos toda operación de tratamiento o serie de Protección de Datos.
191
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
SECCIÓN 9. CONTROLES PREVIOS
LLEVADOS A CABO POR EL SUPERVISOR EUROPEO DE PROTECCIÓN DE
DATOS Y BLIGACIÓN DE COOPERAR
Artı́culo 27. Controles previos
1. Los tratamientos que puedan suponer riesgos
especı́ficos para los derechos y libertades de
los interesados en razón de su naturaleza, alcance u objetivos estarán sujetos a control
previo por parte del Supervisor Europeo de
Protección de Datos.
2. Pueden suponer tales riesgos los siguientes
tratamientos:
a) los tratamientos de datos relativos a la
salud y los tratamientos de datos relativos a sospechas, infracciones, condenas
penales o medidas de seguridad;
b) los tratamientos destinados a evaluar aspectos de la personalidad del interesado,
como su competencia, rendimiento o conducta;
c) los tratamientos que permitan interconexiones entre datos tratados para fines diferentes, que no estén previstas en virtud
de la legislación nacional o comunitaria;
d) los tratamientos destinados a excluir a
personas de un derecho, una prestación
o un contrato.
3. Los controles previos serán realizados por el
Supervisor Europeo de Protección de Datos
tras recibir una notificación del responsable de
la protección de datos quien, en caso de duda
sobre la necesidad de control previo, consultará al Supervisor Europeo de Protección de
Datos.
4. El Supervisor Europeo de Protección de Datos
emitirá su dictamen en el plazo de dos meses
a partir de la recepción de la notificación. Si
el Supervisor Europeo de Protección de Datos
solicita más información, este periodo podrá
suspenderse hasta que la reciba.Cuando por
la complejidad del expediente resultare necesario, dicho plazo podrá asimismo prolongarse otros dos meses por decisión del Supervisor
Europeo de Protección de Datos. La decisión
al respecto será notificada al responsable del
tratamiento antes de que expire el plazo inicial
de dos meses. Si transcurrido el plazo de dos
meses, en su caso prolongado, no se ha emitido dictamen, deberá entenderse que es favorable. Si el Supervisor Europeo de Protección
de Datos dictaminase que el tratamiento notificado pudiere constituir un incumplimiento
de alguna de las disposiciones del presente Reglamento, propondrá en su caso medidas para
impedir dicha violación. En caso de que el responsable del tratamiento no modifique el tratamiento de acuerdo con ellas, el Supervisor
Europeo de Protección de Datos podrá hacer
uso de los poderes que le confiere el apartado
1 del artı́culo 47.
5. El Supervisor Europeo de Protección de Datos
llevará un registro de todos los tratamientos
que se le hayan notificado en virtud del apartado 2. En el registro se hará constar la información a que se refiere el artı́culo 25.El registro podrá ser consultado por cualquier persona.
Artı́culo 28. Consulta
1. Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas relacionadas con el tratamiento
de datos personales que impliquen a una institución o un organismo comunitario aisladamente o junto con otros.
2. Al adoptar una propuesta legislativa relativa
a la protección de los derechos y libertades
de las personas en relación con el tratamiento
de datos personales, la Comisión consultará al
Supervisor Europeo de Protección de Datos.
Artı́culo 29. Obligación de información
Las instituciones y los organismos comunitarios
informarán al Supervisor Europeo de Protección de
Datos de las medidas que se adopten a raı́z de las
decisiones o autorizaciones de este último contempladas en la letra h) del artı́culo 46.
Artı́culo 30. Obligación de cooperar
A petición del Supervisor Europeo de Protección de Datos los responsables del tratamiento le
192
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
asistirán en el ejercicio de sus funciones, en particudel perjuicio sufrido, de conformidad con el
lar suministrando la información a que se refiere la
artı́culo 288 del Tratado.
letra a) del apartado 2 del artı́culo 47 y facilitándole
Artı́culo 33. Reclamaciones del personal de las
el acceso mencionado en la letra b) del apartado 2
Comunidades
de dicho artı́culo.
Toda persona empleada por una institución u
Artı́culo 31. Obligación de respuesta a las acuorganismo comunitario podrá presentar una reclasaciones
mación ante el Supervisor Europeo de Protección
Como respuesta al ejercicio por parte del Superde Datos en caso de presunta violación de las disvisor Europeo de Protección de Datos de las composiciones del presente Reglamento que rigen el trapetencias que se le atribuyen en virtud de la letra
tamiento de los datos personales, sin necesidad de
b) del apartado 1 del artı́culo 47, el responsable del
pasar por la vı́a jerárquica. Nadie habrá de sufrir
tratamiento afectado le informará de sus puntos de
perjuicio en razón de una reclamación ante el Suvista en un plazo razonable fijado por el Supervisor
pervisor Europeo de Protección de Datos presentaEuropeo de Protección de Datos. La respuesta comda por presunta violación de las disposiciones sobre
prenderá asimismo una descripción de las medidas
el tratamiento de datos personales.
adoptadas, en su caso, a raı́z de las observaciones
CAPÍTULO IV. PROTECCIÓN DE LOS
del Supervisor Europeo de Protección de Datos.
DATOS PERSONALES Y DE LA INTIMICAPÍTULO III. VÍAS DE RECURSO
DAD EN EL CONTEXTO DE LAS REDES
Artı́culo 32. Recursos
INTERNAS DE TELECOMUNICACIÓN
Artı́culo 34. Ámbito de aplicación
1. El Tribunal de Justicia de las Comunidades
Sin perjuicio de las otras disposiciones de esEuropeas será competente en todos los litigios
que se relacionen con las disposiciones del pre- te Reglamento, el presente capı́tulo es aplicable al
sente Reglamento, incluidas las demandas por tratamiento de datos personales en relación con la
utilización de las redes de telecomunicaciones o los
perjuicios.
terminales explotados bajo el control de una insti2. Sin perjuicio de los recursos judiciales existen- tución o d un organismo comunitario.
tes, todo interesado podrá presentar una reA los efectos del presente capı́tulo, se entenderá
clamación ante el Supervisor Europeo de Propor
üsuario ”toda persona fı́sica que utilice una red
tección de Datos si considera que se han viode
telecomunicación
o un terminal explotado bajo
lado sus derechos reconocidos en el artı́culo
el
control
de
una
institución
o d un organismo co286 del Tratado como consecuencia del tratamunitario.
miento de datos personales que le afecten por
parte de una institución o d un organismo coArtı́culo 35. Seguridad
munitario.
1. Las instituciones y los organismos comunitaSi en el plazo de seis meses el Supervisor Eurios adoptarán las oportunas medidas técnicas
ropeo de Protección de Datos no diera una
y organizativas para garantizar el uso seguro
respuesta, se entenderá desestimada la reclade las redes de telecomunicación y los termimación.
nales, de ser necesario en conjunción con los
3. Las decisiones del Supervisor Europeo de Proproveedores de servicios públicos de telecotección de Datos podrán recurrirse ante el Trimunicaciones o con los proveedores de redes
bunal de Justicia de las Comunidades Eurode telecomunicaciones públicas. Teniendo en
peas.
cuenta las posibilidades técnicas más recientes y el coste de su puesta en práctica, estas
4. Toda persona que haya sufrido un perjuicio
medidas garantizarán un nivel de seguridad
como consecuencia de un tratamiento ilı́cito
adecuado al riesgo presentado.
o d un acto incompatible con el presente Reglamento tendrá derecho a obtener reparación
2. En caso de un riesgo particular de violación
193
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
de la seguridad de la red y los terminales, la
institución o el organismo comunitario afectado informará a los usuarios sobre la existencia
de tal riesgo y sobre las posibles soluciones y
medios de comunicación alternativos.
Artı́culo 36. Confidencialidad de las comunicaciones
Las instituciones y los organismos comunitarios
garantizarán la confidencialidad de las comunicaciones efectuadas a través de las redes de telecomunicación y los terminales, respetando los principios
generales del Derecho comunitario.
Artı́culo 37. Datos sobre tráfico y facturación
1. Sin perjuicio de lo dispuesto en los apartados 2,3 y4, los datos sobre tráfico, relacionados con los usuarios, tratados y almacenados
para establecer comunicaciones u otro tipo de
conexiones en la red de telecomunicaciones se
destruirán o harán anónimos en cuanto termine la comunicación o conexión mencionada.
2. En caso necesario y a los efectos de la gestión presupuesto de telecomunicaciones y d la
gestión del tráfico, incluida la comprobación
del uso autorizado del sistema de telecomunicaciones, podrán tratarse los datos de tráfico
indicados en una relación aprobada por el Supervisor Europeo de Protección de Datos. Estos datos se deberán suprimir o convertir en
anónimos en los plazos más breves, y a más
tardar seis meses después de haber sido recabados, a menos que su conservación posterior resulte necesaria para el reconocimiento,
el ejercicio o la defensa de un derecho en el
marco de una acción judicial pendiente en un
tribunal.
3. El tratamiento de los datos de tráfico y facturación deberá limitarse a las personas que
se ocupen de la gestión de la facturación, del
tráfico o del presupuesto.
1. Los datos personales contenidos en las guı́as
de usuarios en forma impresa o electrónica, ası́
como el acceso a dichas guı́as, quedarán limitados a lo necesario para los fines especı́ficos
de la guı́a.
2. Las instituciones y organismos comunitarios
adoptarán las medidas necesarias para evitar
que los datos personales contenidos en estas
guı́as, independientemente de si resultan accesibles al público o no, sean utilizados para
fines de venta directa.
Artı́culo 39. Presentación y limitación de la identificación de la lı́nea llamante y conectada
1. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́nea llamante, el
usuario que origine la llamada deberá poder
suprimir en cada llamada, mediante un procedimiento sencillo y gratuito, la identificación
de la lı́nea llamante.
2. Cuando se ofrezca la posibilidad de presentar
la identificación de la lı́nea llamante, el usuario que reciba la llamada deberá tener la posibilidad, mediante un procedimiento sencillo
y gratuito, de impedir la presentación de la
identificación de la lı́nea llamante en las llamadas entrantes.
3. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́nea conectada, el
usuario que reciba la llamada deberá tener la
posibilidad, mediante un procedimiento sencillo y gratuito, de suprimir la presentación
de la identificación de la lı́nea conectada a la
parte llamante.
4. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́nea llamante o d
la lı́nea conectada, las instituciones y los organismos comunitarios informarán a los usuarios sobre dicha posibilidad y sobre las que se
establecen en los apartados 1, 2 y 3.
Artı́culo 40. Excepciones
4. Los usuarios de las redes de telecomunicaciones tendrán derecho a recibir facturas u otras
Las instituciones y los organismos comunitarios
relaciones no desglosadas de las llamadas efec- velarán por que existan procedimientos transparentuadas.
tes que determinen la forma en que pueden anular
la supresión de la presentación de la identificación
Artı́culo 38. Guı́as de usuarios
de la lı́nea llamante:
194
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
a) por un periodo de tiempo limitado, a instancia del abonado que solicite la identificación
de llamadas maliciosas o molestas;
b) por lı́nea, para los organismos que atiendan
las llamadas de urgencia, para que puedan responder a tales llamadas.
CAPÍTULO V. AUTORIDAD DE CONTROL INDEPENDIENTE: EL SUPERVISOR EUROPEO DE PROTECCIÓN DE
DATOS
Artı́culo 41. El Supervisor Europeo de Protección de Datos
1. Se instituye una autoridad de control independiente denominada ”Supervisor Europeo
de Protección de Datos ”.
2. Por lo que respecta al tratamiento de los datos
personales, el Supervisor Europeo de Protección de Datos velará por que los derechos y
libertades fundamentales de las personas fı́sicas, en particular el derecho de las mismas a
la intimidad, sean respetados por las instituciones y los organismos comunitarios.
El Supervisor Europeo de Protección de Datos garantizará y supervisará la aplicación de
las disposiciones del presente Reglamento y
d cualquier otro acto comunitario relacionado
con la protección de los derechos y libertades fundamentales de las personas fı́sicas en
lo que respecta al tratamiento de datos personales por parte de una institución u organismo
comunitario, y asesorará a las instituciones y
a los organismos comunitarios, ası́ como a los
interesados, en todas las cuestiones relacionadas con el trata miento de datos personales.
Con este fin ejercerá las funciones establecidas en el artı́culo 46 y las competencias que
le confiere el artı́culo 47.
Artı́culo 42. Nombramiento
Se nombrará a un Supervisor Adjunto de conformidad con el mismo procedimiento y por
un periodo de igual duración. Asistirá al Supervisor en todas sus funciones y l sustituirá
en caso de ausencia o impedimento.
2. El Supervisor Europeo de Protección de Datos será elegido entre personas cuya independencia esté fuera de toda duda y que posean
una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como
pertenecer o haber pertenecido a las autoridades de control mencionadas en el artı́culo 28
de la Directiva 95/46/CE.
3. El mandato del Supervisor Europeo de Protección de Datos será renovable.
4. Aparte de la renovación periódica o d sustitución por motivo de fallecimiento, el mandato
del Supervisor Europeo de Protección de Datos llegará a su fin en caso de dimisión o de
destitución de conformidad con el apartado 5.
5. El Supervisor Europeo de Protección de Datos
podrá ser destituido o desposeı́do de su derecho de pensión u otros privilegios equivalentes
por el Tribunal de Justicia a petición del Parlamento Europeo, el Consejo o la Comisión si
dejare de cumplir las condiciones necesarias
para el ejercicio de sus funciones o hubiere cometido una falta grave.
6. En los casos de renovación periódica y dimisión voluntaria, el Supervisor Europeo de Protección de Datos permanecerá en funciones
hasta su sustitución.
7. Los artı́culos 12 a 15 inclusive y 18 del Protocolo sobre los privilegios y las inmunidades
de las Comunidades Europeas serán aplicables
asimismo al Supervisor Europeo de Protección de Datos.
8. Los apartados 2 a 7 serán aplicables al Super1. El Parlamento Europeo y l Consejo nombravisor Adjunto.
rán de común acuerdo al Supervisor Europeo
de Protección de Datos por un mandato de
cinco años, sobre la base de una lista elaboArtı́culo 43 . Estatuto y condiciones generales de
rada por la Comisión como resultado de una ejercicio de las funciones de Supervisor Europeo de
convocatoria pública de candidaturas.
Protección de Datos, personal y recursos financieros
195
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
1. El Parlamento Europeo, el Consejo y la Comisión, fijarán de común acuerdo el estatuto y las condiciones generales de ejercicio de
las funciones de Supervisor Europeo de Protección de Datos y, en particular su salario,
asignaciones y demás ventajas de carácter retributivo.
2. La autoridad presupuestaria garantizará que
el Supervisor Europeo de Protección de Datos
disponga de los recursos humanos y financieros necesarios para el ejercicio de sus funciones.
3. El Supervisor Europeo de Protección de Datos
se abstendrá de cualquier acción incompatible
con sus funciones y d desempeñar, durante su
mandato, ninguna otra actividad profesional,
sea o no retribuida.4.Tras la finalización de su
mandato el Supervisor Europeo de Protección
de Datos actuará con integridad y discreción
en lo que respecta a la aceptación de nombramientos y privilegios.
Artı́culo 45. Secreto profesional
El Supervisor Europeo de Protección de Datos
y su personal estarán sujetos, incluso después de
3. El presupuesto del Supervisor Europeo de haber cesado en sus funciones, al deber de secreto
Protección de Datos figurará en una lı́nea pro- profesional sobre las informaciones confidenciales a
pia de la sección VIII del presupuesto general las que hayan tenido acceso durante el ejercicio de
de la Unión Europea.
sus funciones.
4. El Supervisor Europeo de Protección de Datos
Artı́culo 46. Funciones
estará asistido por una secretarı́a. Los funcioEl Supervisor Europeo de Protección de Datos
narios y demás miembros del personal de la
deberá:
secretarı́a serán nombrados por el Supervisor
Europeo de Protección de Datos. Su superior
a) conocer investigar las reclamaciones, y comujerárquico será el Supervisor Europeo de Pronicar al interesado los resultados de sus investección de Datos y estarán sometidos exclusitigaciones en un plazo razonable;
vamente a su dirección. El número de puestos
se decidirá anualmente en el marco del proceb) efectuar investigaciones por iniciativa propia o
dimiento presupuestario.
n respuesta a reclamaciones y comunicar a los
interesados el resultado de sus investigaciones
5. Los funcionarios y otros miembros del persoen un plazo razonable;
nal de la secretarı́a del Supervisor Europeo de
Protección de Datos estarán sujetos a los reglamentos y normas aplicables a los funcionarios y otros agentes de las Comunidades Europeas.
6. En asuntos relacionados con su personal, el
Supervisor Europeo de Protección de Datos
tendrá la misma consideración que las instituciones a efectos de lo dispuesto en el artı́culo
1 del Estatuto de los funcionarios de las Comunidades Europeas.
Artı́culo 44. Independencia
1. El Supervisor Europeo de Protección de Datos
actuará con total independencia en el ejercicio
de sus funciones.
2. En el ejercicio de sus funciones el Supervisor
Europeo de Protección de Datos no solicitará
ni admitirá instrucciones de nadie.
c) supervisar y asegurar la aplicación del presente Reglamento y d cualquier otro acto comunitario relacionado con la protección de las personas fı́sicas en lo que respecta al tratamiento
de datos personales por parte de una institución u organismo comunitario, con excepción
del Tribunal de Justicia de las Comunidades
Europeas cuando actúe en el ejercicio de sus
funciones jurisdiccionales;
d) asesorar a todas las instituciones y organismos
comunitarios, tanto a iniciativa propia como
en respuesta a una consulta, sobre todos los
asuntos relacionados con el tratamiento de datos personales, especialmente antes de la elaboración por dichas instituciones y organismos de normas internas sobre la protección
de los derechos y libertades fundamentales en
relación con el tratamiento de datos personales;
196
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
e) hacer un seguimiento de los hechos nuevos de
interés, en la medida en que tengan repercusiones sobre la protección de datos personales,
en particular de la evolución de las tecnologı́as
de la información y la comunicación;
f) colaborar con las autoridades de control nacionales a que se refiere el artı́culo 28 de la
Directiva 95/46/CE de los paı́ses a los que se
aplica dicha Directiva en la medida necesaria para el ejercicio de sus deberes respectivos, en particular intercambiando toda información útil, instando a dicha autoridad u organismo a ejercer sus poderes o respondiendo
a una solicitud de dicha autoridad u organismo;
g) colaborar asimismo con los organismos de
control de la protección de datos establecidos en virtud del Tı́tulo VI del Tratado de
la Unión Europea, en particular con vistas a
mejorar la coherencia en la aplicación de las
normas y procedimientos de cuyo respeto estén respectivamente encargados.
h) participar en las actividades del ”Grupo de
trabajo sobre protección de las personas fı́sicas en lo que respecta al tratamiento de datos
personales çreado en virtud del artı́culo 29 de
la Directiva 95/46/CE;
i) determinar, motivar y hacer públicas las excepciones, garantı́as, autorizaciones y condiciones mencionadas en la letra b) del apartado
2 y n los apartados 4,5 y 6 del artı́culo 10,en
el apartado 2 del artı́culo 12,en el artı́culo 19
y n l apartado 2 del artı́culo 37;
j) mantener un registro de los tratamientos que
se le notifiquen en virtud del apartado 2 del
artı́culo 27 y hayan sido registrados conforme
al apartado 5 del artı́culo 27,ası́ como facilitar
los medios de acceso a los registros que lleven
los responsables de la protección de datos con
arreglo al artı́culo 26;
k) efectuar una comprobación previa de los tratamientos que se le notifiquen;
l) adoptar su Reglamento interno.
Artı́culo 47. Competencias
1. El Supervisor Europeo de Protección de Datos podrá:
a) asesorar a las personas interesadas en el
ejercicio de sus derechos;
b) acudir al responsable del tratamiento en
caso de presunta infracción de las disposiciones que rigen el tratamiento de los
datos personales y, en su caso, formular
propuestas encaminadas a corregir dicha
infracción y mejorar la protección de las
personas interesadas;
c) ordenar que se atiendan las solicitudes
para ejercer determinados derechos respecto de los datos, cuando se hayan denegado dichas solicitudes incumpliendo
los artı́culos 13 a 19;
d) dirigir una advertencia o amonestación
al responsable del tratamiento;
e) ordenar la rectificación, bloqueo, supresión o destrucción de todos los datos que
se hayan tratado incumpliendo las disposiciones que rigen el tratamiento de datos personales y la notificación de dichas
medidas a aquellos terceros a quienes se
hayan comunicado los datos;
f) imponer una prohibición temporal o definitiva del tratamiento;
g) someter un asunto a la institución u organismo comunitario de que se trate y, en
su caso, al Parlamento Europeo, al Consejo y a la Comisión;
h) someter un asunto al Tribunal de Justicia de las Comunidades Europeas en las
condiciones previstas en el Tratado;
i) intervenir en los asuntos presentados ante el Tribunal de Justicia de las Comunidades Europeas;
2. El Supervisor Europeo de Protección de Datos estará habilitado para:
a) obtener de cualquier responsable del tratamiento o d una institución o un organismo comunitario el acceso a todos los
datos personales y a toda la información
necesaria para efectuar sus investigaciones;
197
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
b) obtener el acceso a todos los locales en las Comunidades Europeas .
los que un responsable del tratamiento o
El presente Reglamento será obligatorio en touna institución u organismo comunitario
dos sus elementos y directamente aplicable en cada
realice sus actividades, cuando haya mo- Estado miembro.
tivo razonable para suponer que en ellos
Hecho en Bruselas, el 18 de diciembre de 2000.
se ejerce una actividad contemplada en
el presente Reglamento.
Por el Parlamento Europeo
Artı́culo 48. Informe de actividad
La Presidenta
N.FONTAINE
1. El Supervisor Europeo de Protección de Datos presentará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe
sobre sus actividades, que paralelamente hará
público.
Por el Consejo
El Presidente
D.VOYNET
ANEXO
2. El Supervisor Europeo transmitirá el informe
de actividad a las demás instituciones y organismos comunitarios, los cuales podrán presentar comentarios con vistas a un posible debate del informe en el Parlamento Europeo, en
particular en relación con la descripción de las
medidas adoptadas en respuesta a las observaciones realizadas por el Supervisor Europeo
de Protección de Datos con arreglo al artı́culo
31.
CAPÍTULO VI. DISPOSICIONES FINALES
Artı́culo 49. Sanciones
El incumplimiento, ya sea intencionado o por
negligencia, de las obligaciones a que está sujeto
en virtud del presente Reglamento un funcionario u
otro agente de las Comunidades Europeas dará lugar a la apertura de un expediente disciplinario de
conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de las Comunidades Europeas o n los regı́menes que son aplicables a los
otros agentes.
Artı́culo 50. Perı́odo transitorio
Las instituciones y organismos comunitarios
adoptarán las medidas necesarias para que los tratamientos en curso en la fecha de entrada en vigor
del presente Reglamento se conformen a éste en el
plazo de un año a partir de dicha fecha.
Artı́culo 51. Entrada en vigor
El presente Reglamento entrará en vigor a los
veinte dı́as de su publicación en el Diario Oficial de
1. El responsable de la protección de datos podrá formular recomendaciones para la mejora
práctica de la protección de datos a la institución o al organismo comunitario que le nombró y aconsejarles, ası́ como al responsable del
tratamiento interesado, sobre asuntos relativos a la puesta en práctica de las disposiciones
sobre protección de datos.
Por otra parte, por iniciativa propia o a petición de la institución o del organismo comunitario que lo nombró, del responsable del tratamiento, del comité de personal interesado
o d cualquier persona fı́sica, podrá investigar
los asuntos y los incidentes directamente relacionados con sus tareas, que lleguen a su conocimiento informar de ello a la persona que
solicitó la investigación o al responsable del
tratamiento.
2. El responsable de la protección de datos podrá
ser consultado directamente, sin pasar por la
vı́a jerárquica, por la institución o el organismo comunitario que le nombró, por el responsable del tratamiento, por el comité de personal interesado o por cualquier persona sobre
cualquier asunto relacionado con la interpretación o la aplicación del presente Reglamento.
3. Nadie deberá sufrir perjuicio alguno por informar al responsable competente de la protección de datos de que se ha cometido una
presunta infracción de lo dispuesto en el presente Reglamento.
198
Normativa europea
4.4. Directiva 95/46/CE – Tractament de dades personals
4. Los responsables del tratamiento interesados
asistirán al responsable de la protección de datos en el ejercicio de sus funciones y le proporcionarán la información que solicite. En el
ejercicio de sus funciones, el responsable de
la protección de datos tendrá acceso en todo
momento a los datos objeto de las operaciones
de tratamiento y a todos los locales, instalaciones de tratamiento de datos y soportes de
datos.
5. En la medida necesaria, se dispensará al responsable de la protección de datos de otras actividades. El responsable de la protección de
datos y sus colaboradores, que estarán sujetos
a lo dispuesto en el artı́culo 287 del Tratado,
se abstendrán de divulgar la información o los
documentos que lleguen a su poder en el ejercicio de sus funciones.
199
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
4.5 Directiva 97/66/CE del Parlamento Europeo y del Consejo de
15 de diciembre de 1997 relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las
telecomunicaciones
Diario Oficial n◦ L 024 de 30/01/1998 p. 0001 - 0008
DIRECTIVA 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de diciembre de
1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las
telecomunicaciones EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad
Europea y, en particular, su artı́culo 100 A,
Vista la propuesta de la Comisión (1),
Visto el dictamen del Comité Económico y Social (2),
De conformidad con el procedimiento establecido en el artı́culo 189 B del Tratado (3), a la vista
del texto conjunto aprobado el 6 de noviembre de
1997 por el Comité de conciliación,
1. Considerando que la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las
personas fı́sicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos (4) insta a los Estados
miembros a garantizar los derechos y libertades de las personas fı́sicas en lo que respecta
al tratamiento de los datos personales y, en
especial, su derecho a la intimidad, de forma
que los datos personales puedan circular libremente en la Comunidad;
2. Considerando que la confidencialidad de las
comunicaciones está garantizada de conformidad con los instrumentos internacionales relativos a los derechos humanos (especialmente
el Convenio europeo para la protección de los
derechos humanos y de las libertades fundamentales) y las constituciones de los Estados
miembros;
3. Considerando que en la actualidad están apareciendo en la Comunidad Europea nuevas
redes digitales públicas avanzadas de telecomunicación que crean necesidades especı́ficas
en materia de protección de datos personales
y de la intimidad de los usuarios; que el desarrollo de la sociedad de la información se caracteriza por la introducción de nuevos servicios
de telecomunicación; que el desarrollo transfronterizo de estos servicios, como el vı́deo por
pedido o la televisión interactiva, depende en
parte de la confianza de los usuarios en que
no se pondrá en peligro su intimidad;
4. Considerando que esto está ocurriendo en especial con la introducción de la red digital de
servicios integrados (RDSI) y las redes móviles digitales;
5. Considerando que, en su Resolución, de 30 de
junio de 1988, sobre el desarrollo del mercado
común de los servicios y equipos de telecomunicación en el horizonte de 1992 (5), el Consejo preconizó la adopción de medidas de protección de los datos personales con objeto de
crear un marco adecuado para el futuro desarrollo de las telecomunicaciones dentro de la
Comunidad; que el Consejo volvió a subrayar
la importancia de la protección de los datos
personales y de la intimidad en su Resolución,
de 18 de julio de 1989, sobre una mayor coordinación en la introducción de la Red Digital
de Servicios Integrados (RDSI) en la Comunidad Europea para 1992 (6);
6. Considerando que el Parlamento Europeo
subrayó la importancia de proteger los datos
personales y la intimidad en las redes de telecomunicación, especialmente en relación con
la introducción de la RDSI;
7. Considerando que, en el caso de las redes públicas de telecomunicación, deben elaborarse
200
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
disposiciones legales, reglamentarias y técnicas especı́ficas con objeto de proteger los derechos y libertades fundamentales de las personas fı́sicas y los intereses legı́timos de las
personas jurı́dicas, en particular frente a los
riesgos crecientes derivados del almacenamiento y el tratamiento informático de datos relativos a abonados y usuarios;
8. Considerando que las disposiciones legales, reglamentarias y técnicas adoptadas por los Estados miembros para proteger los datos personales, la intimidad y los intereses legı́timos
de las personas jurı́dicas, en el sector de la
telecomunicación, deben armonizarse a fin de
evitar obstáculos para el mercado interior de
las telecomunicaciones de conformidad con el
objetivo establecido en el artı́culo 7 A del Tratado; que una armonización se limitará a los
requisitos necesarios para garantizar que no
se obstaculice la promoción y el desarrollo de
nuevos servicios de telecomunicación y nuevas
redes entre Estados miembros;
9. Considerando que los Estados miembros, los
proveedores y los usuarios afectados y las
instancias comunitarias competentes deberı́an
cooperar para el establecimiento y el desarrollo de las tecnologı́as pertinentes siempre que
ello sea necesario para aplicar las garantı́as
previstas por las disposiciones de la presente
Directiva;
10. Considerando que estos nuevos servicios incluyen la televisión interactiva y el vı́deo por
pedido;
11. Considerando que en el sector de las telecomunicaciones se aplica la Directiva 95/46/CE,
para todas las cuestiones relativas a la protección de los derechos y libertades fundamentales que no están cubiertas de forma especı́fica
por las disposiciones de la presente Directiva, incluidas las obligaciones del controlador
y los derechos de las personas; que la Directiva
95/46/CE se aplica a los servicios de telecomunicaciones que no están disponibles para el
público;
12. Considerando que la presente Directiva no
aborda cuestiones en materia de protección
de los derechos y libertades fundamentales relacionadas con actividades no regidas por la
legislación comunitaria, de manera semejante
a lo que dispone el artı́culo 3 de la Directiva 95/46/CE; que corresponde a los Estados
miembros adoptar las medidas que consideren
necesarias para la protección de la defensa de
la seguridad pública, la seguridad del Estado (incluido el bienestar económico del Estado cuando las actividades tengan relación con
asuntos de seguridad del Estado) y la aplicación del Derecho penal; que la presente Directiva no afectará a la capacidad de los Estados
miembros a interceptar legalmente las telecomunicaciones para cualquiera de estos fines;
13. Considerando que los abonados de un servicio
público de telecomunicación pueden ser personas fı́sicas o jurı́dicas; que las disposiciones
de la presente Directiva están destinadas a
proteger, como complemento de la Directiva
95/46/CE, los derechos fundamentales de las
personas fı́sicas y, en particular, su derecho a
la intimidad, ası́ como los intereses legı́timos
de las personas jurı́dicas; que dichas disposiciones no podrán en caso alguno conllevar
una obligación por parte de los Estados miembros de extender la aplicación de la Directiva 95/46/CE a la protección de los intereses
legı́timos de las personas jurı́dicas; que dicha
protección está garantizada en el marco de la
legislación comunitaria y nacional aplicable;
14. Considerando que la aplicación de determinadas exigencias relativas a la presentación y a
la limitación de la identificación de la lı́nea
llamante y de la lı́nea conectada y a la presentación automática a las lı́neas de abonado conectadas a centrales analógicas no debe
ser obligatoria en aquellos casos particulares
en los que dicha aplicación resulte imposible
técnicamente, o en los que requiera un esfuerzo económico desproporcionado; que es importante que las partes interesadas sean informadas de dichos casos, y que los Estados
miembros deben notificarlos a la Comisión;
15. Considerando que los proveedores de servicios deben tomar las medidas adecuadas para
salvaguardar la seguridad de sus servicios, en
su caso en conjunción con el proveedor de la
201
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
red, e informar a los abonados de todo riesgo concreto de violación de la seguridad de
la red; que la seguridad se valora a la luz de
lo dispuesto en el artı́culo 17 de la Directiva
95/46/CE;
de crédito; considerando que los Estados miembros también podrán exigir, con el mismo
fin, que se suprima un determinado número de
cifras de los números a los que se haya llamado
y mencionados en las facturas desglosadas;
16. Considerando que deben adoptarse medidas
para evitar el acceso no autorizado a las comunicaciones a fin de proteger la confidencialidad de las mismas por medio de las redes
públicas de telecomunicaciones y de servicios
de telecomunicaciones a disposición pública;
que la legislación nacional de algunos Estados
miembros prohı́be solamente el acceso intencionado no autorizado a las comunicaciones;
19. Considerando que es necesario, por lo que respecta a la identificación del número de la lı́nea
llamante, proteger el derecho del interlocutor
que efectúa la llamada a reservarse la identificación de la lı́nea desde la que realiza dicha
llamada y el derecho del interlocutor llamado
a rechazar llamadas de lı́neas no identificadas;
que está justificado anular la eliminación de
la presentación de la identificación de la lı́nea
llamante en casos particulares; que determinados abonados, en particular las lı́neas de auxilio y otras organizaciones similares, tienen
interés en garantizar el anonimato de sus interlocutores; que es necesario, por lo que respecta a la identificación de la lı́nea conectada,
proteger el derecho y el interés legı́timos de la
persona llamada a impedir la presentación de
la identificación de la lı́nea a la que la persona
que llama está conectada realmente, en particular en el caso de los servicios de desvı́o de
llamadas; que los proveedores de los servicios
públicos de telecomunicaciones debe informar
a sus abonados de la existencia de la identificación de lı́neas llamantes y conectadas en la
red y de todos los servicios ofrecidos sobre la
base de la identificación de las lı́neas llamantes
y conectadas y sobre las opciones de confidencialidad disponibles; que esto permitirá a los
abonados llevar a cabo una elección informada
sobre las posibilidades de confidencialidad que
deseen utilizar; que las opciones de confidencialidad ofrecidas caso por caso no tienen que
estar disponibles necesariamente como servicio de la red automática, pero pueden obtenerse mediante simple solicitud al proveedor
del servicio público de telecomunicaciones;
17. Considerando que los datos relativos a los
abonados utilizados para el establecimiento de
llamadas contienen información sobre la vida privada de las personas fı́sicas y atañen a
su derecho de respeto a la correspondencia,
o afectan a los intereses legı́timos de las personas jurı́dicas; que dichos datos sólo podrán
almacenarse en la medida en que resulten necesarios para la prestación del servicio, para fines de facturación y para los pagos de
interconexión, durante un perı́odo limitado;
que cualquier tratamiento que el proveedor del
servicio público de telecomunicación pretenda
llevar a cabo para la prospección de sus propios servicios de telecomunicaciones sólo puede permitirse si el abonado ha manifestado
su acuerdo sobre la base de una información
plena y exacta facilitada por el proveedor de
servicios públicos de telecomunicaciones acerca del tipo de tratamiento que pretende llevar
a cabo;
18. Considerando que la introducción de facturas
desglosadas ha mejorado las posibilidades para que el abonado pueda verificar que las tarifas aplicadas por el proveedor del servicio son
correctas y que, al mismo tiempo, puede poner
en peligro la intimidad de los usuarios de servicios públicos de telecomunicaciones; que por
consiguiente, a fin de proteger la intimidad de
los usuarios, los Estados miembros deben fomentar el desarrollo de opciones de servicios
de telecomunicaciones, como posibilidades de
pago que permitan el acceso anónimo o estrictamente privado a través del pago con tarjetas
20. Considerando que deben ofrecerse garantı́as
a los abonados contra las molestias que puedan causar las llamadas desviadas automáticamente por otros; que en tales casos los abonados deben poder detener las llamadas desviadas hacia sus terminales mediante simple
solicitud al proveedor de servicios públicos de
telecomunicaciones;
202
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
21. Considerando que las guı́as son ampliamente divulgadas y accesibles al público; que el
derecho a la intimidad de las personas fı́sicas y el interés legı́timo de las personas jurı́dicas exigen que los abonados puedan decidir
en qué medida se publican sus datos personales en dichas guı́as; que los Estados miembros
podrán reservar esta posibilidad a los abonados que son personas fı́sicas;
22. Considerando que deben ofrecerse garantı́as a
los abonados contra la intrusión en su intimidad mediante llamadas no solicitadas y por
fax; que los Estados miembros podrán reservar estas protecciones a los abonados que son
personas fı́sicas;
23. Considerando que debe garantizarse la armonización en la introducción de caracterı́sticas
técnicas de equipos de telecomunicación para
la protección de datos, a fin de que sea compatible con la realización del mercado interior;
24. Considerando, en particular, y de forma similar a lo establecido en el artı́culo 13 de la Directiva 95/46/CE, que los Estados miembros
pueden restringir el ámbito de las obligaciones
y los derechos de los abonados en determinadas circunstancias, por ejemplo, garantizando
que el proveedor del servicio público de telecomunicaciones podrá anular la eliminación de
la presentación de la identificación de la lı́nea
llamante de conformidad con la legislación nacional a efecto de evitar o detectar delitos o
por razones de seguridad del Estado;
25. Considerando que, en los casos en que no se
respeten los derechos de los usuarios y abonados, el Derecho nacional debe prever vı́as de
recurso judiciales; que deben imponerse sanciones a aquellas personas, ya sean de derecho
público o privado, que incumplan las medidas
nacionales adoptadas en virtud de la presente
Directiva;
de las autoridades competentes de los Estados miembros, creado por el artı́culo 29 de la
Directiva 95/46/CE;
27. Considerando que, en vista de los desarrollos
tecnológicos y de la evolución que se espera
de los servicios ofrecidos, será necesario especificar técnicamente las categorı́as de datos
enumeradas en el anexo de la presente Directiva para la aplicación de su artı́culo 6, con
la asistencia del Comité formado por representantes de los Estados miembros y creado
por el artı́culo 31 de la Directiva 95/46/CE,
a fin de garantizar una aplicación coherente
de los requisitos que establece la presente Directiva, independientemente de los cambios de
la tecnologı́a; que este procedimiento se aplicará únicamente a las especificaciones necesarias para adaptar el anexo a nuevos avances
tecnológicos teniendo en cuenta los cambios
en la demanda del mercado y de los consumidores; que la Comisión deberá informar debidamente al Parlamento Europeo de su intención de aplicar este procedimiento; que en cualquier otro caso se aplicará el procedimiento
establecido en el artı́culo 100 A del Tratado;
28. Considerando que, para facilitar el cumplimiento de lo dispuesto en la presente Directiva, son necesarias determinadas disposiciones
particulares para el tratamiento de datos ya
iniciado en la fecha en que entre en vigor la
legislación nacional de aplicación de la presente Directiva,
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Artı́culo 1 Objeto y ámbito de aplicación
1. La presente Directiva establece la armonización de las disposiciones de los Estados miembros
necesarias para garantizar un nivel equivalente de
protección de las libertades y de los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos
personales en el sector de las telecomunicaciones,
26. Considerando que resulta útil en el ámbito de ası́ como la libre circulación de tales datos y de los
aplicación de la presente Directiva aprovechar equipos y servicios de telecomunicación en la Colas experiencias del Grupo de protección de las munidad.
personas en lo que respecta al tratamiento de
2. A los efectos mencionados en el apartadatos personales, formado por representantes do 1, las disposiciones de la presente Directiva es203
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
pecificarán y completarán la Directiva 95/46/CE. digitales públicas.
Además, protegerán los intereses legı́timos de los
2. Los artı́culos 8, 9 y 10 se aplicarán a las lı́neas
abonados que sean personas jurı́dicas.
de abonado conectadas a centrales digitales y, siem3. La presente Directiva no se aplicará a las acti- pre y cuando sea técnicamente posible y no exija un
vidades no comprendidas en el ámbito de aplicación esfuerzo económico desproporcionado, a las lı́neas
del Derecho comunitario, como las previstas por las de abonado conectadas a centrales analógicas.
disposiciones de los tı́tulos V y VI del Tratado de la
3. Los Estados miembros notificarán a la ComiUnión Europea y, en cualquier caso, a las activida- sión aquellos casos en los que no sea posible técnides que tengan por objeto la seguridad pública, la camente cumplir los requisitos de los artı́culos 8, 9
defensa, la seguridad del Estado (incluido el bienes- y 10, o que exijan una inversión desproporcionada
tar económico del Estado cuando dichas actividades
para ello.
estén relacionadas con la seguridad del Estado) y a
Artı́culo 4 Seguridad
las actividades del Estado en materia penal.
Artı́culo 2 Definiciones
A los efectos de la presente Directiva y
además de las definiciones recogidas en la Directiva
95/46/CE, se entenderá por:
a) “abonado”: la persona fı́sica o jurı́dica que sea
parte en un contrato con el proveedor en un servicio
público de telecomunicaciones para la prestación de
tales servicios;
1. El proveedor de un servicio público de telecomunicación deberá adoptar las medidas técnicas y
de gestión adecuadas para preservar la seguridad de
sus servicios, de ser necesario en colaboración con
el proveedor de la red pública de telecomunicación
por lo que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste de
su aplicación, dichas medidas garantizarán un nivel
de seguridad adecuado para el riesgo existente.
b) “usuario”: la persona que utiliza un servicio
2. En caso de que exista un riesgo concreto de
público de telecomunicación con fines privados o co- violación de la seguridad de la red, el proveedor de
merciales, aunque no haya contratado dicho servi- un servicio público de telecomunicación deberá incio;
formar a los abonados sobre dicho riesgo y sobre las
c) “red pública de telecomunicación”: los siste- posibles soluciones, incluidos los costes necesarios.
mas de transmisión y, cuando proceda, los equipos
de conmutación y otros recursos que permiten la
transmisión de señales entre puntos de terminación definidos por cable, por medios radioeléctricos,
por medios ópticos o por otros medios electromagnéticos que se utilizan, total o parcialmente, para
la prestación de servicios públicos de telecomunicación;
Artı́culo 5 Confidencialidad de las comunicaciones
1. Los Estados miembros garantizarán, mediante normas nacionales, la confidencialidad de las
comunicaciones realizadas a través de las redes públicas de telecomunicación y de los servicios de telecomunicación accesibles al público. En particular,
prohibirán la escucha, la grabación, el almacenamiento u otros tipos de interceptación o vigilancia
d) “servicio de telecomunicación”: un servicio de las comunicaciones por personas distintas de los
cuya prestación consiste total o parcialmente en la usuarios, sin el consentimiento de los usuarios intransmisión y el envı́o de señales a través de redes teresados, salvo cuando esté autorizada legalmente,
de telecomunicación, excepción hecha de la radiodi- de conformidad con el apartado 1 del artı́culo 14.
fusión sonora y de la televisión.
2. El apartado 1 no se aplicará a las grabacioArtı́culo 3 Servicios regulados
nes legalmente autorizadas de comunicaciones en el
1. La presente Directiva se aplicará al tratami- marco de una práctica comercial lı́cita destinada a
ento de datos personales en relación con la pres- aportar pruebas de una transacción comercial o de
tación de servicios públicos de telecomunicación en cualquier otra comunicación comercial.
las redes públicas de telecomunicación en la Comu- Artı́culo 6 Tráfico y facturación
nidad y, especialmente, a través de la red digital
1. Sin perjuicio de lo dispuesto en los apartados
de servicios integrados (RDSI) y las redes móviles
204
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
2, 3 y 4, los datos sobre tráfico relacionados con los
usuarios y abonados tratados para establecer comunicaciones y almacenados por el proveedor de una
red o servicio público de telecomunicación deberán
destruirse o hacerse anónimos en cuanto termine la
comunicación.
1. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́neas llamante, el usuario
que origine la llamada deberá poder suprimir en
cada llamada, mediante un procedimiento sencillo
y gratuito, la identificación de la lı́nea llamante. El
abonado que origine la llamada deberá tener esta
2. A los efectos de la facturación de los usuarios posibilidad por lı́nea.
y de los pagos de las interconexiones, podrán ser tra2. Cuando se ofrezca la posibilidad de presentar
tados los datos indicados en el anexo. Se autorizará la identificación de la lı́nea llamante, el abonado que
este tratamiento únicamente hasta la expiración del reciba la llamada deberá tener la posibilidad, meplazo durante el cual pueda impugnarse legalmente diante un procedimiento sencillo y gratuito siempre
la factura o exigirse el pago.
que haga un uso correcto de esta función, de impe3. El proveedor de un servicio público de tele- dir la presentación de la identificación de la lı́nea
comunicación podrá tratar los datos a que se hace llamante en las llamadas entrantes.
referencia en el apartado 2 para la promoción co3. Cuando se ofrezca la posibilidad de presentar
mercial de sus propios servicios de telecomunicación la identificación de la lı́nea llamante y ésta se presiempre y cuando el abonado haya dado su consen- sente con anterioridad a que se establezca la llamatimiento.
da, el abonado que reciba la llamada deberá tener
4. El tratamiento de los datos de tráfico y fac- la posibilidad, mediante un procedimiento sencillo,
turación deberá limitarse a las personas que actú- de rechazar las llamadas entrantes procedentes de
en bajo las órdenes del proveedor de la red o del usuarios o abonados que hayan suprimido la preservicio público de telecomunicación que se ocupe sentación de la identificación de la lı́nea que origina
de la gestión de la facturación o del tráfico, de las la llamada.
solicitudes de información de los clientes y de la
4. Cuando se ofrezca la posibilidad de presentar
detección de fraudes y promoción comercial de los la identificación de la lı́nea conectada, el abonado
propios servicios del proveedor, y deberá limitarse que reciba la llamada deberá tener la posibilidad,
a lo necesario para realizar tales actividades.
por un procedimiento sencillo y gratuito, de supri5. Los apartados 1, 2, 3 y 4 se aplicarán sin per- mir la presentación de la identificación de la lı́nea
juicio de la posibilidad de que las autoridades com- conectada a la parte llamante.
petentes sean informadas de los datos sobre factura5. Las disposiciones establecidas en el apartación o tráfico con arreglo a la legislación aplicable, do 1 se aplicarán también a las llamadas efectuadas
con vistas a resolver litigios, en particular los litigios desde la Comunidad a terceros paı́ses; las disposicirelativos a la interconexión o a la facturación.
ones establecidas en los apartados 2, 3 y 4 se aplicarán también a las llamadas entrantes procedentes
Artı́culo 7 Facturación desglosada
de terceros paı́ses.
1. Los abonados tendrán el derecho a recibir
6. Los Estados miembros velarán por que, cuanfacturas no desglosadas.
do se ofrezca la posibilidad de presentar la identifi2. Los Estados miembros aplicarán las disposi- cación de la lı́nea llamante o de la lı́nea conectada,
ciones nacionales a fin de reconciliar los derechos de los proveedores de servicios públicos de telecomunilos abonados que reciban facturas desglosadas con caciones informen al público sobre dicha posibilidad
el derecho a la intimidad de los usuarios que efec- y sobre las que se establecen en los apartados 1, 2,
túen llamadas y de los abonados que reciban llama- 3 y 4.
das, por ejemplo, garantizando que dichos usuarios
y abonados dispongan de suficientes otras modali- Artı́culo 9 Excepciones
dades de comunicación o de pago.
Los Estados miembros velarán por que existan
procedimientos
transparentes que determinen la forArtı́culo 8 Presentación y limitación de la identifima
en
que
el
proveedor
de una red pública de telecocación de la lı́nea llamante y conectada
municación y/o de un servicio de telecomunicación
205
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
accesible al público puede anular la supresión de la lista de abonados que no hayan de incluirse en la
presentación de la identificación de la lı́nea llaman- guı́a pública.
te:
3. Los derechos conferidos en virtud del apartaa) por un perı́odo de tiempo limitado, a instan- do 1 se aplicarán a los abonados que sean personas
cia del abonado que solicite la identificación de lla- fı́sicas. Los Estados miembros garantizarán asimismadas maliciosas o molestas; en tal caso, los da- mo, en el marco del Derecho comunitario y de las
tos que incluyan la identificación del abonado que legislaciones nacionales aplicables, la suficiente proorigina la llamada serán almacenados y puestos a tección de los intereses legı́timos de los abonados
disposición por el proveedor de la red pública de que no sean personas fı́sicas en lo que se refiere a su
telecomunicación o del servicio público de teleco- inclusión en guı́as públicas.
municación, de acuerdo con el Derecho nacional;
Artı́culo 12 Llamadas no solicitadas
b) por lı́nea, para las entidades reconocidas por
1. La utilización de sistemas de llamada auun Estado miembro que atiendan las llamadas de tomática sin intervención humana (aparatos de llaurgencia, incluidos los cuerpos de policı́a, los servi- mada automática) o facsı́mil (fax) con fines de venta
cios de ambulancia y los cuerpos de bomberos, para
directa sólo se podrán autorizar respecto de aquellos
que puedan responder a tales llamadas.
abonados que hayan dado su consentimiento previo.
Artı́culo 10 Desvı́o automático de llamadas
2. Los Estados miembros tomarán las medidas
Los Estados miembros velarán por que se ofrezca a todo abonado, por un procedimiento sencillo
y gratuito, la posibilidad de poner fin al desvı́o automático de llamadas a su terminal por parte de un
tercero.
adecuadas para garantizar, gratuitamente, que no
se permitan las llamadas no solicitadas con fines de
venta directa por medios que no sean los mencionados en el apartado 1 sin el consentimiento de los
abonados de que se trate o respecto de los abonados
que no deseen recibir dichas llamadas. La elección
Artı́culo 11 Guı́as
entre estas posibilidades será la que determine la
1. Los datos personales recogidos en las guı́as legislación nacional.
impresas o electrónicas accesibles al público o que
3. Los derechos conferidos en virtud de los aparpueden obtenerse a través de servicios de informatados
1 y 2 se aplicarán a los abonados que sean perción deberán limitarse a lo estrictamente necesario
sonas
fı́sicas. Los Estados miembros garantizarán
para identificar a un abonado concreto, a menos que
asimismo,
en el marco del Derecho comunitario y de
el abonado haya dado su consentimiento inequı́volas
legislaciones
nacionales aplicables, la suficiente
co para que se publiquen otros datos personales. El
protección
de
los
intereses legı́timos de los abonaabonado tendrá derecho, de forma gratuita, a que
dos
que
no
sean
personas
fı́sicas en lo que se refiere
se le excluya de una guı́a impresa o electrónica a
a llamadas no solicitadas.
petición propria, a indicar que sus datos personales
no se utilicen para fines de venta directa, a que se Artı́culo 13 Caracterı́sticas técnicas y normalización
omita parcialmente su dirección y a que no exista
1. Al aplicar las disposiciones de la presente Direferencia que revele su sexo, cuando ello sea aplirectiva, los Estados miembros velarán, con arreglo a
cable lingüı́sticamente.
los apartados 2 y 3, por que no se impongan exigen2. Sin perjuicio de lo dispuesto en el apartado cias obligatorias respecto de caracterı́sticas técnicas
1, los Estados miembros podrán permitir a los ope- especı́ficas relativas a las terminales u otros equipos
radores exigir un pago a los abonados que deseen de telecomunicaciones que puedan obstaculizar la
hacer que sus datos personales no figuren en una colocación del equipo en el mercado y la libre circuguı́a, siempre que la cantidad en cuestión no sea lación de dichos equipos en los Estados miembros y
disuasoria del ejercicio de este derecho y siempre entre estos últimos.
que, teniendo en cuenta las exigencias de calidad de
2. Cuando las disposiciones de la presente Direcla guı́a pública respecto del servicio universal, dic- tiva sólo puedan aplicarse mediante la implantación
ha cantidad se limite a los costes reales ocasionados
de caracterı́sticas técnicas especı́ficas, los Estados
al operador por la adaptación y actualización de la
206
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
miembros informarán a la Comisión de conformidad
con los procedimientos establecidos en la Directiva
83/189/CEE del Consejo, de 28 de marzo de 1983,
por la que se establece un procedimiento de información en materia de las normas y reglamentaciones
técnicas (7).
por el artı́culo 31 de la Directiva 95/46/CE, procederá a la adaptación técnica del anexo con arreglo
al procedimiento mencionado en el presente artı́culo. Dicho Comité se reunirá especı́ficamente para
tratar de las cuestiones cubiertas por la presente
Directiva.
3. Cuando proceda, la Comisión garantizará la
elaboración de normas europeas comunes para la
aplicación de las caracterı́sticas técnicas especı́ficas,
de conformidad con la legislación comunitaria en
materia de aproximación de la legislación de los Estados miembros relativa al equipo terminal de telecomunicaciones, incluido el reconocimiento mutuo
de su conformidad, y con la Decisión 87/95/CEE
del Consejo, de 22 de diciembre de 1986, relativa a
la normalización en el campo de la tecnologı́a de la
información y de las telecomunicaciones (8).
Artı́culo 15 Aplicación de la Directiva
1. Los Estados miembros pondrán en vigor las
disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar el 24 de
octubre de 1998.
No obstante lo dispuesto en el párrafo primero,
los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento al artı́culo 5 de la
presente Directiva a más tardar el 24 de octubre de
Artı́culo 14 Extensión del ámbito de aplicaci- 2000.
ón de determinadas disposiciones de la Directiva
Cuando los Estados miembros adopten dichas
95/46/CE
disposiciones, éstas harán referencia a la presente
1. Los Estados miembros podrán adoptar medi- Directiva o irán acompañadas de dicha referencia
das legales para limitar el alcance de las obligaciones en su publicación oficial. Los Estados miembros
y derechos que se establecen en los artı́culos 5 y 6 establecerán las modalidades de la mencionada rey en los apartados 1, 2, 3 y 4 del artı́culo 8, cuando
ferencia.
dichas limitaciones constituyan una medida necesa2. No obstante lo dispuesto en el apartado 3
ria para proteger la seguridad nacional, la defensa,
la seguridad pública, la prevención, la investigación, del artı́culo 6, no será necesario el consentimiento
la detección y la persecución de delitos o la utiliza- respecto al tratamiento en curso el dı́a de entrada
ción no autorizada del sistema de telecomunicación en vigor de las disposiciones nacionales adoptadas
a que se hace referencia en el apartado 1 del artı́culo con arreglo a la presente Directiva. En tales casos
se informará a los abonados sobre este tratamiento
13 de la Directiva 95/46/CE.
y, si no expresan su reprobación en un perı́odo que
2. Las disposiciones del capı́tulo III sobre re- determinará el Estado miembro, se considerará que
cursos judiciales, responsabilidad y sanciones de la han dado su consentimiento.
Directiva 95/46/CE se aplicarán a las disposicio3. El artı́culo 11 no se aplicará a las guı́as que
nes de Derecho nacional adoptadas con arreglo a la
se
hayan
publicado antes de que entren en vigor las
presente Directiva y relativas a los derechos individisposiciones
nacionales adoptadas con arreglo a la
duales derivados de la presente Directiva.
presente Directiva.
3. El Grupo de protección de las personas en
4. Los Estados miembros comunicarán a la Colo que respecta al tratamiento de datos personales
misión
el texto de las disposiciones de Derecho naestablecido con arreglo al artı́culo 29 de la Directicional
que
adopten en el ámbito regulado por la
va 95/46/CE ejercerá las funciones especificadas en
presente
Directiva.
el artı́culo 30 de la citada Directiva también por lo
que se refiere a la protección de los derechos y liber- Artı́culo 16 Destinatarios
tades fundamentales y de los intereses legı́timos en
Los destinatarios de la presente Directiva serán
el sector de las telecomunicaciones, que son objeto
los
Estados miembros. Hecho en Bruselas, el 15 de
de la presente Directiva.
diciembre de 1997.
4. La Comisión, asistida por el Comité creado
207
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
Por el Parlamento Europeo
El Presidente
J. M. GIL-ROBLES
Por el Consejo
El Presidente
J.-C. JUNCKER
(1) DO C 200 de 22.7.1994, p. 4.
(2) DO C 159 de 17.6.1991, p. 38.
(3) Dictamen del Parlamento Europeo de 11 de marzo
de 1992 (DO C 94 de 13.4.1992, p. 198), Posición común
del Consejo de 12 de septiembre de 1996 (DO C 315 de
24.10.1996, p. 30) y Decisión del Parlamento Europeo de
16 de enero de 1997 (DO C 33 de 3.2.1997, p. 78). Decisión
del Parlamento Europeo de 20 de noviembre de 1997 (DO C
371 de 8.12.1997). Decisión del Consejo de 1 de diciembre
de 1997.
(4) DO L 281 de 23.11.1995, p. 31.
(5) DO C 257 de 4.10.1988, p. 1.
(6) DO C 196 de 1.8.1989, p. 4.
(7) DO L 109 de 26.4.1983, p. 8; Directiva cuya última
modificación la constituye la Directiva 94/10/CE (DO L 100
de 19.4.1994, p. 30).
(8) DO L 36 de 7.2.1987, p. 31; Decisión cuya última
modificación la constituye el Acta de adhesión de 1994.
ANEXO
Lista de datos
A los efectos a que se hace mención en el apartado 2 del artı́culo 6, podrán procesarse los siguientes
datos que incluyan:
- el número o la identificación de la estación del
abonado,
- la dirección del abonado y el tipo de estación,
- el número total de unidades que deben facturarse durante el ejercicio contable,
- el número del abonado que recibe la llamada,
- el tipo, la hora de comienzo y la duración de
las llamadas realizadas o el volumen de datos transmitido,
- la fecha de la llamada o del servicio,
- otros datos relativos a los pagos, tales como
pago anticipado, pagos a plazos, desconexión y notificaciones de recibos pendientes.
208
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
4.5.1
Directiva 2002/58/CE, del Parlament Europeu i del Consell, de 12
de juliol de 2002 relativa al tractament de les dades personals i a la
protecció de la intimitat en el sector de les comunicacions electròniques
(DOCE L 201 31.7.2002)
DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de julio
de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector
de las comunicaciones electrónicas (Directiva sobre
la privacidad y las comunicaciones electrónicas)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad
Europea y, en particular, su artı́culo 95,
Vista la propuesta de la Comisión (1),
Visto el dictamen del Comité Económico y Social (2),
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado (3),
Considerando lo siguiente:
1. La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas fı́sicas
en lo que respecta al tratamiento de los datos
personales y a la libre circulación de estos datos (4), insta a los Estados miembros a garantizar los derechos y libertades de las personas
fı́sicas en lo que respecta al tratamiento de los
datos personales y, en especial, su derecho a la
intimidad, de forma que los datos personales
puedan circular libremente en la Comunidad.
humanos, especialmente el Convenio Europeo
para la Protección de los Derechos Humanos
y de las Libertades Fundamentales y las constituciones de los Estados miembros.
4. La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de
1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en
el sector de las telecomunicaciones (5), tradujo los principios establecidos en la Directiva 95/46/ CE en normas concretas para el
sector de las telecomunicaciones. La Directiva
97/66/CE debe ser adaptada al desarrollo de
los mercados y de las tecnologı́as de los servicios de comunicaciones electrónicas para que
el nivel de protección de los datos personales y
de la intimidad ofrecido a los usuarios de los
servicios de comunicaciones electrónicas disponibles al público sea el mismo, con independencia de las tecnologı́as utilizadas. Procede,
pues, derogar dicha Directiva y sustituirla por
la presente.
2. La presente Directiva pretende garantizar el
respeto de los derechos fundamentales y observa los principios consagrados, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea. Señaladamente,
la presente Directiva pretende garantizar el
pleno respeto de los derechos enunciados en
los artı́culos 7 y 8 de dicha Carta.
5. Actualmente se están introduciendo en las redes públicas de comunicación de la Comunidad nuevas tecnologı́as digitales avanzadas
que crean necesidades especı́ficas en materia
de protección de datos personales y de la intimidad de los usuarios. El desarrollo de la
sociedad de la información se caracteriza por
la introducción de nuevos servicios de comunicaciones electrónicas. El acceso a las redes
móviles digitales está ya disponible y resulta
asequible para un público muy amplio. Estas
redes digitales poseen gran capacidad y muchas posibilidades en materia de tratamiento
de los datos personales. El éxito del desarrollo
transfronterizo de estos servicios depende en
parte de la confianza de los usuarios en que
no se pondrá en peligro su intimidad.
3. La confidencialidad de las comunicaciones está garantizada de conformidad con los instrumentos internacionales relativos a los derechos
6. Internet está revolucionando las estructuras
tradicionales del mercado al aportar una infraestructura común mundial para la presta209
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
ción de una amplia gama de servicios de comunicaciones electrónicas. Los servicios de comunicaciones electrónicas disponibles al público
a través de Internet introducen nuevas posibilidades para los usuarios, pero también nuevos
riesgos para sus datos personales y su intimidad.
7. En el caso de las redes públicas de comunicación, deben elaborarse disposiciones legales,
reglamentarias y técnicas especı́ficas con objeto de proteger los derechos y libertades fundamentales de las personas fı́sicas y los intereses
legı́timos de las personas jurı́dicas, en particular frente a la creciente capacidad de almacenamiento y tratamiento informático de datos
relativos a abonados y usuarios.
8. Deben armonizarse las disposiciones legales,
reglamentarias y técnicas adoptadas por los
Estados miembros para proteger los datos personales, la intimidad y los intereses legı́timos
de las personas jurı́dicas en el sector de las comunicaciones electrónicas, a fin de evitar obstáculos para el mercado interior de las comunicaciones electrónicas de conformidad con el
artı́culo 14 del Tratado. La armonización debe limitarse a los requisitos necesarios para
garantizar que no se vean obstaculizados el
fomento y el desarrollo de los nuevos servicios
y redes de comunicaciones electrónicas entre
Estados miembros.
9. Los Estados miembros, los proveedores y
usuarios afectados y las instancias comunitarias competentes deben cooperar para el establecimiento y el desarrollo de las tecnologı́as
pertinentes cuando sea necesario para aplicar
las garantı́as previstas en la presente Directiva
y teniendo especialmente en cuenta el objetivo de reducir al mı́nimo el tratamiento de los
datos personales y de tratar la información de
forma anónima o mediante seudónimos cuando sea posible.
10. En el sector de las comunicaciones electrónicas es de aplicación la Directiva 95/46/CE,
en particular para todas las cuestiones relativas a la protección de los derechos y las libertades fundamentales que no están cubiertas
de forma especı́fica por las disposiciones de la
presente Directiva, incluidas las obligaciones
del responsable del tratamiento de los datos
y los derechos de las personas. La Directiva
95/46/CE se aplica a los servicios de comunicaciones electrónicas que no sean de carácter
público.
11. Al igual que la Directiva 95/46/CE, la presente Directiva no aborda la protección de los
derechos y las libertades fundamentales en relación con las actividades no regidas por el Derecho comunitario. Por lo tanto, no altera el
equilibrio actual entre el derecho de las personas a la intimidad y la posibilidad de que disponen los Estados miembros, según se indica
en el apartado 1 del artı́culo 15 de la presente Directiva, de tomar las medidas necesarias
para la protección de la seguridad pública, la
defensa, la seguridad del Estado (incluido el
bienestar económico del Estado cuando las actividades tengan relación con asuntos de seguridad del Estado) y la aplicación del Derecho
penal. En consecuencia, la presente Directiva
no afecta a la capacidad de los Estados miembros para interceptar legalmente las comunicaciones electrónicas o tomar otras medidas,
cuando sea necesario, para cualquiera de estos
fines y de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, según
la interpretación que se hace de éste en las
sentencias del Tribunal Europeo de Derechos
Humanos. Dichas medidas deberán ser necesarias en una sociedad democrática y rigurosamente proporcionales al fin que se pretende
alcanzar y deben estar sujetas, además, a salvaguardias adecuadas, de conformidad con el
Convenio Europeo para la Protección de los
Derechos Humanos y de las Libertades Fundamentales.
12. Los abonados de un servicio de comunicaciones electrónicas disponible para el público pueden ser personas fı́sicas o jurı́dicas. Al
complementar la Directiva 95/46/ CE, la presente Directiva pretende proteger los derechos
fundamentales de las personas fı́sicas y, en
particular, su derecho a la intimidad, ası́ como
los intereses legı́timos de las personas jurı́dicas. La presente Directiva no supone obligación alguna por parte de los Estados miembros
210
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
de hacer extensiva la aplicación de la Directiva 95/ 46/CE a la protección de los intereses
legı́timos de las personas jurı́dicas, que está
garantizada en el marco de la legislación comunitaria y nacional.
13. La relación contractual entre un abonado y
un proveedor de servicios puede implicar un
pago periódico o único por el servicio prestado o por prestar. Las tarjetas de prepago se
consideran asimismo un contrato.
14. Los datos de localización pueden referirse a
la latitud, la longitud y la altitud del equipo
terminal del usuario, a la dirección de la marcha, al nivel de precisión de la información de
la localización, a la identificación de la célula de red en la que está localizado el equipo
terminal en un determinado momento o a la
hora en que la información de localización ha
sido registrada.
15. Una comunicación puede incluir cualquier dato relativo a nombres, números o direcciones
facilitado por el remitente de una comunicación o el usuario de una conexión para llevar
a cabo la comunicación. Los datos de tráfico
pueden incluir cualquier conversión de dicha
información efectuada por la red a través de
la cual se transmita la comunicación a efectos
de llevar a cabo la transmisión. Los datos de
tráfico pueden referirse, entre otras cosas, al
encaminamiento, la duración, la hora o el volumen de una comunicación, al protocolo utilizado, a la localización del equipo terminal
del remitente o destinatario, a la red en que
se origina o concluye la transmisión, al principio, fin o duración de una conexión. También
pueden referirse al formato en que la red conduce la comunicación.
16. La información que forma parte de un servicio
de radiodifusión suministrado en una red pública de comunicaciones y está dirigida a una
audiencia potencialmente ilimitada no constituye una comunicación con arreglo a la presente Directiva. No obstante, en casos en que
se pueda identificar al abonado o usuario individual que recibe dicha información, por ejemplo con servicios de vı́deo a la carta, la información conducida queda incluida en el signifi-
cado del término comunicación a efectos
de la presente Directiva.
17. A efectos de la presente Directiva, el consentimiento de un usuario o abonado, independientemente de que se trate de una persona fı́sica
o jurı́dica, debe tener el mismo significado que
el consentimiento de la persona afectada por
los datos tal como se define y se especifica en
la Directiva 95/46/CE. El consentimiento podrá darse por cualquier medio apropiado que
permita la manifestación libre, inequı́voca y
fundada de la voluntad del usuario, por ejemplo mediante la selección de una casilla de un
sitio web en Internet.
18. Los servicios con valor añadido pueden consistir, por ejemplo, en recomendaciones sobre las
tarifas menos costosas, orientación vial, información sobre tráfico, previsiones meteorológicas o información turı́stica.
19. La aplicación de determinados requisitos relativos a la presentación y a restricciones en
la identificación de la lı́nea de origen y de la
lı́nea conectada y al desvı́o automático de las
llamadas a las lı́neas de abonado conectadas
a centrales analógicas no debe ser obligatoria
en aquellos casos particulares en los que dicha
aplicación resulte imposible técnicamente, o
en los que requiera un esfuerzo económico desproporcionado. Es importante que las partes
interesadas sean informadas de dichos casos, y
por consiguiente los Estados miembros deben
notificarlos a la Comisión.
20. Los proveedores de servicios deben tomar las
medidas adecuadas para salvaguardar la seguridad de sus servicios, de ser necesario en
conjunción con el suministrador de la red, e informar a los abonados de todo riesgo especial
relativo a la seguridad de la red. Tales riesgos
pueden presentarse especialmente en el caso
de los servicios de comunicaciones electrónicas
a través de una red abierta como Internet o de
una red de telefonı́a móvil analógica. Resulta
particularmente importante que los abonados
y usuarios de tales servicios sean plenamente informados por su proveedor de servicios
de los riesgos para la seguridad que escapan a
211
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
posibles soluciones adoptadas por dicho proveedor de servicios. Los proveedores de servicios que ofrecen servicios de comunicaciones
electrónicas disponibles al público a través de
Internet deben informar a usuarios y abonados de las medidas que pueden adoptar para
proteger la seguridad de sus comunicaciones,
por ejemplo utilizando determinados tipos de
soporte lógico o tecnologı́as de cifrado. La exigencia de informar a los abonados de riesgos
de seguridad particulares no exime al proveedor del servicio de la obligación de tomar a
sus expensas medidas inmediatas y adecuadas
para solucionar cualesquiera riesgos nuevos e
imprevistos de seguridad y restablecer el nivel
normal de seguridad del servicio. El suministro de información sobre riesgos de seguridad
al abonado debe ser gratuito, salvo los costes
nominales en que pueda incurrir el abonado al
recibir o recoger la información, por ejemplo
al cargar un mensaje de correo electrónico. La
seguridad se valora a la luz del artı́culo 17 de
la Directiva 95/46/CE.
21. Deben adoptarse medidas para evitar el acceso no autorizado a las comunicaciones a fin
de proteger la confidencialidad de las mismas,
incluidos tanto sus contenidos como cualquier
dato relacionado con ellas, por medio de las
redes públicas de comunicaciones y los servicios de comunicaciones electrónicas disponibles al público. La legislación nacional de algunos Estados miembros prohı́be solamente el
acceso intencionado no autorizado a las comunicaciones.
22. Al prohibirse el almacenamiento de comunicaciones, o de los datos de tráfico relativos a
éstas, por terceros distintos de los usuarios o
sin su consentimiento no se pretende prohibir
el almacenamiento automático, intermedio y
transitorio de esta información, en la medida
en que sólo tiene lugar para llevar a cabo la
transmisión en la red de comunicaciones electrónicas, y siempre que la información no se
almacene durante un perı́odo mayor que el necesario para la transmisión y para los fines de
la gestión del tráfico, y que durante el perı́odo
de almacenamiento se garantice la confidencialidad. Cuando resulte necesario para hacer
más eficaz la transmisión de toda información
públicamente asequible a otros destinatarios
del servicio a solicitud de los mismos, la presente Directiva no debe evitar que dicha información siga almacenada más tiempo, siempre
que la misma sea, en cualquier caso, asequible al público sin restricciones y que se eliminen todos los datos relativos a los abonados
o usuarios individuales que pidan tal información.
23. La confidencialidad de las comunicaciones debe garantizarse también en el curso de las
prácticas comerciales lı́citas. Cuando sea necesario y esté legalmente autorizado, las comunicaciones podrán grabarse al objeto de proporcionar la prueba de una transacción comercial.
La Directiva 95/46/CE es de aplicación a este
tipo de tratamiento. Los interlocutores en las
comunicaciones deben ser informados con anterioridad a la grabación sobre la misma, su
objeto y la duración de su almacenamiento.
La comunicación grabada debe ser eliminada
en cuanto sea posible y en cualquier caso a
más tardar al concluir el plazo durante el cual
dicha transacción puede ser impugnada jurı́dicamente.
24. Los equipos terminales de los usuarios de redes de comunicaciones electrónicas, ası́ como toda información almacenada en dichos
equipos, forman parte de la esfera privada de
los usuarios que debe ser protegida de conformidad con el Convenio Europeo para la
Protección de los Derechos Humanos y de
las Libertades Fundamentales. Los denominados programas espı́a (spyware), web
bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para
acceder a información, archivar información
oculta o rastrear las actividades del usuario,
lo que puede suponer una grave intrusión en la
intimidad de dichos usuarios. Sólo debe permitirse la utilización de tales dispositivos con
fines legı́timos y con el conocimiento de los
usuarios afectados.
25. No obstante, los dispositivos de este tipo, por
ejemplo los denominados chivatos (cookies), pueden constituir un instrumento legı́timo y de gran utilidad, por ejemplo, pa212
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
ra analizar la efectividad del diseño y de la
publicidad de un sitio web y para verificar
la identidad de usuarios partı́cipes en una
transacción en lı́nea. En los casos en que estos dispositivos, por ejemplo los denominados
chivatos (cookies), tengan un propósito
legı́timo, como el de facilitar el suministro de
servicios de la sociedad de la información, debe autorizarse su uso a condición de que se
facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que
se introduce en el equipo terminal que están
utilizando. Los usuarios deben tener la posibilidad de impedir que se almacene en su equipo
terminal un chivato (cookie) o dispositivo
semejante. Esto es particularmente importante cuando otros usuarios distintos al usuario
original tienen acceso al equipo terminal y, a
través de éste, a cualquier dato sensible de
carácter privado almacenado en dicho equipo.
La información sobre la utilización de distintos dispositivos que se vayan a instalar en el
equipo terminal del usuario en la misma conexión y el derecho a impedir la instalación de
tales dispositivos se pueden ofrecer en una sola vez durante una misma conexión y abarcar
asimismo cualquier posible utilización futura
de dichos dispositivos en conexiones posteriores. La presentación de la información y del
pedido de consentimiento o posibilidad de negativa debe ser tan asequible para el usuario
como sea posible. No obstante, se podrá supeditar el acceso a determinados contenidos de
un sitio web a la aceptación fundada de un
chivato (cookie) o dispositivo similar, en
caso de que éste tenga un propósito legı́timo.
26. Los datos relativos a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y
la transmisión de información contienen información sobre la vida privada de las personas
fı́sicas, y afectan al derecho de éstas al respeto
de su correspondencia, o se refieren a los intereses legı́timos de las personas jurı́dicas. Dichos datos sólo deben poder almacenarse en
la medida en que resulten necesarios para la
prestación del servicio, para fines de factura-
ción y para los pagos de interconexión, y durante un tiempo limitado. Cualquier otro tratamiento de dichos datos que el proveedor de
servicios de comunicaciones electrónicas disponibles al público pretenda llevar a cabo para
la comercialización de servicios de comunicaciones electrónicas o para la prestación de servicios de valor añadido sólo puede permitirse
si el abonado ha manifestado su consentimiento fundado en una información plena y exacta facilitada por el proveedor de servicios de
comunicaciones electrónicas disponibles al público acerca del tipo de tratamiento que pretende llevar a cabo y sobre el derecho del abonado a denegar o a retirar su consentimiento
a dicho tratamiento. Los datos sobre tráfico
utilizados para la comercialización de los servicios de comunicaciones o para la prestación
de servicios de valor añadido deben también
eliminarse o hacerse anónimos tras la prestación del servicio. Los proveedores de servicios
deben mantener siempre informados a los abonados de los tipos de dato que están tratando
y de la finalidad y duración del tratamiento.
27. El momento exacto en que finaliza la transmisión de una comunicación, tras el cual los datos de tráfico deberán eliminarse salvo a efectos de facturación, puede depender del tipo
de servicio de comunicaciones electrónicas que
se suministre. Por ejemplo, para una llamada
de telefonı́a vocal la transmisión finalizará en
cuanto uno de los usuarios interrumpa la conexión; para el correo electrónico la transmisión finaliza en cuanto el destinatario recoge
el mensaje, en general del servidor de su proveedor de servicios.
28. La obligación de eliminar datos de tráfico o de
hacerlos anónimos cuando ya no se necesiten
para la transmisión de una comunicación no
entra en conflicto con procedimientos existentes en Internet como la prelectura en soporte
rápido (caching), en el sistema de nombres de
dominio, de direcciones IP o el caching de una
dirección IP vinculada a una dirección fı́sica, o
la utilización de información relativa al usuario para controlar el derecho de acceso a redes
o servicios.
29. De ser necesario, el proveedor del servicio pue213
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
de tratar, en casos concretos, los datos de tráfico relacionados con los abonados y usuarios,
a fin de detectar fallos o errores técnicos en
la transmisión de las comunicaciones. El proveedor también puede tratar los datos de tráfico necesarios a efectos de facturación a fin
de detectar y frenar el fraude consistente en
la utilización sin pago de servicios de comunicaciones electrónicas.
30. Los sistemas para el suministro de redes y servicios de comunicaciones electrónicas deben
diseñarse de modo que se limite la cantidad
de datos personales al mı́nimo estrictamente
necesario. Cualesquiera actividades relacionadas con el suministro del servicio de comunicaciones electrónicas que vayan más allá de la
transmisión de una comunicación y su facturación debe basarse en datos de tráfico acumulados que no puedan referirse a abonados
o usuarios. Cuando dichas actividades no puedan basarse en datos acumulados, deben considerarse servicios con valor añadido para los
cuales se requiere el consentimiento del abonado.
31. El consentimiento que deberá obtenerse para
el tratamiento de datos personales a efectos de
proporcionar un particular servicio con valor
añadido debe ser el del abonado o el del usuario, en función de los datos que deban tratarse
y el tipo de servicio que se suministre y de que
sea posible desde el punto de vista técnico, de
procedimiento y del contrato distinguir la persona que utiliza un servicio de comunicaciones
electrónicas de la persona fı́sica o jurı́dica que
ha suscrito el mismo.
32. Si el proveedor de un servicio de comunicaciones electrónicas o de un servicio con valor
añadido subcontrata el tratamiento de datos
personales necesario para la prestación de dichos servicios a otra entidad, dicha subcontratación y el tratamiento de datos subsiguiente
deben cumplir plenamente los requisitos relativos a los responsables y a los encargados del
tratamiento de datos personales que establece la Directiva 95/46/CE. Si la prestación de
un servicio con valor añadido requiere que los
datos de tráfico o de localización sean transmitidos por un proveedor de servicios de co-
municaciones electrónicas hacia un proveedor
de servicios con valor añadido, los abonados
o usuarios a los que se refieran dichos datos
deben asimismo estar plenamente informados
sobre dicha transmisión antes de dar su consentimiento al tratamiento de los datos.
33. La introducción de facturas desglosadas ha
aumentado la posibilidad de que el abonado
pueda comprobar que las tarifas aplicadas por
el proveedor del servicio son correctas, pero,
al mismo tiempo, puede poner en peligro la
intimidad de los usuarios de servicios de comunicaciones electrónicas disponibles al público. Por consiguiente, a fin de proteger la intimidad de los usuarios, los Estados miembros
deben fomentar el desarrollo de opciones de
servicios de comunicaciones electrónicas tales
como posibilidades de pago alternativas que
permitan el acceso anónimo o estrictamente
privado a los servicios de comunicaciones electrónicas disponibles al público, por ejemplo
tarjetas de llamada y posibilidad de pago con
tarjetas de crédito. Con idéntico propósito, los
Estados miembros podrán pedir a los operadores que ofrezcan a sus abonados otro tipo
de factura detallada en la que se omita cierto
número de cifras del número llamado.
34. Es necesario, por lo que respecta a la identificación de la lı́nea de origen, proteger el derecho del interlocutor que efectúa la llamada
a reservarse la identificación de la lı́nea desde
la que realiza dicha llamada y el derecho del
interlocutor llamado a rechazar llamadas procedentes de lı́neas no identificadas. Está justificado anular la eliminación de la presentación
de la identificación de la lı́nea de origen en casos particulares. Determinados abonados, en
particular las lı́neas de ayuda y otras organizaciones similares, tienen interés en garantizar el anonimato de sus interlocutores. Es
necesario, por lo que respecta a la identificación de la lı́nea conectada, proteger el derecho
y el interés legı́timo del interlocutor llamado
a impedir la presentación de la identificación
de la lı́nea a la que está conectado realmente el interlocutor llamante, en particular en el
caso de las llamadas que han sido desviadas.
Los proveedores de servicios de comunicaciones electrónicas disponibles al público deben
214
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
informar a sus abonados de la existencia de la
identificación de lı́neas llamantes y conectadas
en la red y de todos los servicios ofrecidos a
partir de la identificación de las lı́neas llamantes y conectadas, ası́ como sobre las opciones
de confidencialidad disponibles. Esto permitirá a los abonados decidir con conocimiento
de causa las posibilidades de confidencialidad
que deseen utilizar. Las opciones de confidencialidad ofrecidas caso por caso no tienen que
estar disponibles necesariamente como servicio de la red automática, pero sı́ obtenerse mediante simple solicitud al proveedor del servicio de comunicaciones electrónicas disponibles
al público.
35. En las redes móviles digitales se tratan los datos sobre localización que proporcionan la posición geográfica del equipo terminal del usuario móvil para hacer posible la transmisión
de las comunicaciones. Tales datos constituyen datos sobre tráfico a los que es aplicable el
artı́culo 6 de la presente Directiva. Sin embargo, además, las redes móviles digitales pueden
tener la capacidad de tratar datos sobre localización más precisos de lo necesario para la
transmisión de comunicaciones y que se utilizan para la prestación de servicios de valor
añadido tales como los servicios que facilitan
información sobre tráfico y orientaciones individualizadas a los conductores. El tratamiento
de tales datos para la prestación de servicios
de valor añadido sólo debe permitirse cuando
los abonados hayan dado su consentimiento.
Incluso en los casos en que los abonados hayan dado su consentimiento, éstos deben contar con un procedimiento sencillo y gratuito
de impedir temporalmente el tratamiento de
los datos sobre localización.
36. Los Estados miembros podrán restringir el derecho a la intimidad de los usuarios y abonados por lo que se refiere a la identificación de la
lı́nea de origen en los casos en que ello sea necesario para rastrear llamadas malevolentes, y
en lo tocante a la identificación y localización
de dicha lı́nea cuando sea preciso para que los
servicios de socorro cumplan su cometido con
la máxima eficacia posible. Para ello, los Estados miembros podrán adoptar disposiciones
especı́ficas que permitan a los proveedores de
servicios de comunicaciones electrónicas ofrecer el acceso a la identificación y localización
de la lı́nea de origen sin el consentimiento previo de los usuarios o abonados de que se trate. (37) Deben ofrecerse garantı́as a los abonados contra las molestias que puedan causar
las llamadas desviadas automáticamente por
otros. Además en tales casos, los abonados deben poder detener las llamadas desviadas hacia sus terminales mediante simple solicitud
al proveedor de servicios de comunicaciones
electrónicas disponibles al público.
37. Las guı́as de abonados a los servicios de comunicaciones electrónicas alcanzan gran difusión
y tienen carácter público. El derecho a la intimidad de las personas fı́sicas y el interés legı́timo de las personas jurı́dicas exigen que los
abonados puedan decidir si se hacen públicos
sus datos personales en dichas guı́as y, caso
de hacerse públicos, cuáles de ellos. Los suministradores de guı́as públicas deben informar
a los abonados que vayan a incluirse en tales guı́as acerca de la finalidad de las mismas
y de cualquier uso particular que pueda hacerse de las versiones electrónicas de las guı́as
públicas, especialmente a través de funciones
de búsqueda incorporadas al soporte lógico,
tales como las funciones de búsqueda inversa
que permiten al usuario de la guı́a averiguar
el nombre y la dirección del abonado a partir
exclusivamente de un número de teléfono.
38. Debe imponerse a quien recoja datos para ser
incluidos en las guı́as públicas en las que figuren los datos personales de los abonados la
obligación de informar a estos últimos acerca
de los objetivos de dichas guı́as. Cuando los
datos puedan ser transmitidos a una o más
terceras partes, debe informarse al abonado
de esta posibilidad, ası́ como acerca del destinatario o de las categorı́as de posibles destinatarios. Cualquier transmisión debe estar
sujeta a la condición de que los datos no puedan utilizarse para otros fines más que aquéllos para los que se recojan. Si quien recoge
datos del usuario o cualquier tercero a quien
se hayan transmitido los datos desea utilizarlos con un fin suplementario, la renovación del
consentimiento del abonado deberá obtenerla
215
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
ya sea quien recogió inicialmente los datos o
el tercero a quien se hayan transmitido.
39. Deben ofrecerse garantı́as a los abonados contra la intrusión en su intimidad mediante comunicaciones no solicitadas con fines de venta
directa, especialmente a través de llamadores
automáticos, faxes y mensajes de correo electrónico, incluidos los de SMS. Por una parte,
el envı́o de estas formas de comunicaciones comerciales no solicitadas puede resultar relativamente sencillo y económico, y por otra, puede conllevar una molestia e incluso un coste
para el receptor. Además, en algunos casos su
volumen puede dar lugar a dificultades en las
redes de comunicaciones electrónicas y en los
equipos terminales. Se justifica, para este tipo
de comunicaciones no solicitadas con fines de
venta directa, la exigencia de obtener el consentimiento expreso previo de los receptores
antes de que puedan dirigı́rseles comunicaciones de esta ı́ndole. El mercado único requiere
un planteamiento armonizado que garantice
la existencia de normas sencillas aplicadas a
escala comunitaria, tanto para las empresas
como para los usuarios.
40. En el contexto de una relación preexistente
con el cliente, es razonable admitir el uso de
las señas electrónicas del cliente con objeto de
ofrecer productos o servicios similares, pero
exclusivamente por parte de la misma empresa que haya obtenido las señas electrónicas de
conformidad con la Directiva 95/46/CE. En el
momento de recabarse las señas electrónicas,
debe informarse al cliente de manera clara e
inequı́voca sobre su uso ulterior con fines de
venta directa, y debe dársele la posibilidad de
negarse a dicho uso. Debe seguir ofreciéndose
al cliente esta posibilidad cada vez que reciba
un mensaje ulterior de venta directa, sin cargo
alguno salvo los posibles costes de transmisión
de esta negativa.
41. El caso de otras formas de venta directa que
resultan más onerosas para el remitente y no
implican costes financieros para los abonados
y usuarios, como las llamadas personales de
telefonı́a vocal, se puede justificar el mantenimiento de un sistema que dé a los abonados
o usuarios la posibilidad de indicar que no
desean recibir llamadas de ese tipo. Sin embargo, a fin de no disminuir los niveles actuales de protección de la intimidad, debe facultarse a los Estados miembros para mantener
sus sistemas nacionales que únicamente autoricen ese tipo de llamadas cuando los abonados y usuarios hayan dado su consentimiento
previo.
42. Para facilitar la aplicación efectiva de las normas comunitarias en materia de mensajes no
solicitados con fines de venta directa, es preciso prohibir el uso de identidades falsas y de
domicilios y números de contacto falsos cuando se envı́an mensajes no solicitados con fines
de venta directa.
43. Determinados sistemas de correo electrónico
ofrecen al usuario la posibilidad de ver la identidad del remitente y el asunto del mensaje,
ası́ como borrar el mensaje, sin tener que descargar el resto del contenido ni los ficheros
anexos, reduciendo con ello los costes que podrı́an derivarse de descargar mensajes o ficheros no solicitados. Estas modalidades de funcionamiento pueden seguir siendo útiles en determinados casos, como instrumento añadido
a las obligaciones generales que se establecen
en la presente Directiva.
44. La presente Directiva no afecta a las disposiciones tomadas por los Estados miembros para proteger los intereses legı́timos de las personas jurı́dicas en lo que se refiere a las comunicaciones no solicitadas con fines de venta directa. En caso de que los Estados miembros establezcan un registro de autoexclusión
de dicho tipo de comunicaciones con destino
a las personas jurı́dicas, en su mayor parte
usuarios comerciales, serán de plena aplicación las disposiciones del artı́culo 7 de la Directiva 2000/31/CE del Parlamento Europeo
y del Consejo, de 8 de junio de 2000, relativa
a determinados aspectos jurı́dicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado
interior (Directiva sobre el comercio electrónico) (1).
45. Las funcionalidades para la prestación de servicios de comunicaciones electrónicas pueden
216
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
estar integradas en la red o en cualquier parte del equipo terminal del usuario, incluido el
soporte lógico. La protección de los datos personales y la intimidad del usuario de los servicios de comunicaciones electrónicas disponibles al público debe ser independiente de la
configuración de los distintos componentes necesarios para prestar el servicio y de la distribución de las funcionalidades necesarias entre
dichos componentes. La Directiva 95/46/CE
cubre cualquier forma de tratamiento de datos personales con independencia de la tecnologı́a utilizada. La existencia de normas especı́ficas para los servicios de comunicaciones
electrónicas, junto a las normas generales para los demás componentes necesarios para la
prestación de tales servicios, podrı́a no facilitar la protección de los datos personales y
la intimidad de modo tecnológicamente neutro. Por consiguiente, puede resultar necesario
adoptar medidas que exijan a los fabricantes
de determinados tipos de equipos utilizados
en los servicios de comunicaciones electrónicas
que fabriquen sus productos de manera que incorporen salvaguardias para garantizar la protección de los datos personales y la intimidad
del usuario y el abonado. La adopción de dichas medidas de conformidad con la Directiva 1999/5/CE del Parlamento Europeo y del
Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos terminales de telecomunicación y reconocimiento mutuo de su
conformidad (2), garantizará que la introducción de caracterı́sticas técnicas en los equipos
de comunicaciones electrónicas, incluido el soporte lógico, para fines de protección de datos
esté armonizada a fin de que sea compatible
con la realización del mercado interior.
46. En los casos en que no se respeten los derechos
de los usuarios y abonados, el Derecho nacional debe prever vı́as de recurso judiciales. Deben imponerse sanciones a aquellas personas,
ya sean de Derecho público o privado, que incumplan las medidas nacionales adoptadas en
virtud de la presente Directiva.
47. Resulta útil en el ámbito de aplicación de la
presente Directiva aprovechar las experiencias
del Grupo de protección de las personas en
lo que respecta al tratamiento de datos personales, compuesto por representantes de las
autoridades de control de los Estados miembros y creado por el artı́culo 29 de la Directiva
95/46/ CE.
48. Para facilitar el cumplimiento de lo dispuesto en la presente Directiva, son necesarias determinadas disposiciones particulares para el
tratamiento de datos ya en curso el dı́a en que
entre en vigor la legislación nacional de aplicación de la presente Directiva.
(1) DO C 365 E de 19.12.2000, p. 223.
(2) DO C 123 de 25.4.2001, p. 53.
(3) Dictamen del Parlamento Europeo de 13 de noviembre de 2001 (no
publicado aún en el Diario Oficial), Posición común del
Consejo de 28 de enero de 2002 (DO C 113 E de 14.5.2002,
p. 39) y Decisión del Parlamento Europeo de 30 de mayo
de 2002 (no publicada aún en el Diario oficial). Decisión del
Consejo de 25 de junio de 2002.
(4) DO L 281 de 23.11.1995, p. 31.
(5) DO L 24 de 30.1.1998, p. 1.
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Artı́culo 1
Ámbito de aplicación y objetivo
1. La presente Directiva armoniza las disposiciones de los Estados miembros necesarias para
garantizar un nivel equivalente de protección
de las libertades y los derechos fundamentales
y, en particular, del derecho a la intimidad,
en lo que respecta al tratamiento de los datos
personales en el sector de las comunicaciones
electrónicas, ası́ como la libre circulación de
tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.
(1) DO L 178 de 17.7.2000, p. 1. (2) DO L 91
de 7.4.1999, p. 10.
2. Las disposiciones de la presente Directiva especifican y completan la Directiva 95/46/CE
a los efectos mencionados en el apartado 1.
Además, protegen los intereses legı́timos de
los abonados que sean personas jurı́dicas.
3. La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de
217
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
aplicación del Tratado constitutivo de la Copueda relacionarse con el abonado o usuario
munidad Europea, como las reguladas por las
identificable que reciba la información;
disposiciones de los tı́tulos V y VI del Tratado
llamada : una conexión establecida por medio de
de la Unión Europea, ni, en cualquier caso, a
un servicio telefónico disponible para el públilas actividades que tengan por objeto la seco que permita la comunicación bidireccional
guridad pública, la defensa, la seguridad del
en tiempo real;
Estado (incluido el bienestar económico del
Estado cuando dichas actividades estén rela- consentimiento de un usuario o abonado: el concionadas con la seguridad del mismo) y a las
sentimiento del interesado, con arreglo a la deactividades del Estado en materia penal.
finición de la Directiva 95/46/CE;
servicio con valor añadido : todo servicio que
requiere el tratamiento de datos de tráfico o
Definiciones
datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la
Salvo disposición en contrario, serán de aplicatransmisión de una comunicación o su factución a efectos de la presente Directiva las definicioración;
nes que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE del Parlamento Europeo y del correo electrónico : todo mensaje de texto, voz,
Consejo, de 7 de marzo de 2002, relativa a un marsonido o imagen enviado a través de una red
co regulador común de las redes y los servicios de
de comunicaciones pública que pueda almacomunicaciones electrónicas (Directiva marco) (1).
cenarse en la red o en el equipo terminal del
Además, a efectos de la presente Directiva se entenreceptor hasta que éste acceda al mismo.
derá por:
Artı́culo 3
usuario : una persona fı́sica que utiliza con fines
Servicios afectados
privados o comerciales un servicio de comunicaciones electrónicas disponible para el públi1. La presente Directiva se aplicará al tratamienco, sin que necesariamente se haya abonado a
to de datos personales en relación con la presdicho servicio;
tación de servicios de comunicaciones electrónicas disponibles al público en las redes públidatos de tráfico : cualquier dato tratado a efectos
cas de comunicaciones de la Comunidad.
de la conducción de una comunicación a tra2. Los artı́culos 8, 10 y 11 se aplicarán a las lı́neas
vés de una red de comunicaciones electrónicas
de abonado conectadas a centrales digitales y,
o a efectos de la facturación de la misma;
siempre y cuando sea técnicamente posible y
datos de localización : cualquier dato tratado en
no exija un esfuerzo económico desproporciouna red de comunicaciones electrónicas que
nado, a las lı́neas de abonado conectadas a
indique la posición geográfica del equipo tercentrales analógicas.
minal de un usuario de un servicio de comu3. Los Estados miembros notificarán a la Cominicaciones electrónicas disponible para el púsión aquellos casos en los que no sea posible
blico;
técnicamente o exija un esfuerzo económico
comunicación : cualquier información intercamdesproporcionado cumplir los requisitos de los
biada o conducida entre un número finito de
artı́culos 8, 10 y 11.
interesados por medio de un servicio de coArtı́culo 4
municaciones electrónicas disponible para el
público. No se incluye en la presente definiSeguridad
ción la información conducida, como parte de
un servicio de radiodifusión al público, a tra1. El proveedor de un servicio de comunicaciones
vés de una red de comunicaciones electrónicas,
electrónicas disponible para el público debeexcepto en la medida en que la información
rá adoptar las medidas técnicas y de gestión
Artı́culo 2
218
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
adecuadas para preservar la seguridad de sus
servicios, de ser necesario en colaboración con
el proveedor de la red pública de comunicaciones por lo que respecta a la seguridad de la
red. Considerando las técnicas más avanzadas
y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado al
riesgo existente.
2. En caso de que exista un riesgo particular de
violación de la seguridad de la red, el proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá informar a los abonados sobre dicho riesgo y, cuando el riesgo quede fuera del ámbito de las medidas que deberá tomar el proveedor del servicio, sobre las posibles soluciones, con una
indicación de los posibles costes.
Artı́culo 5
Confidencialidad de las comunicaciones
1. Los Estados miembros garantizarán, a través
de la legislación nacional, la confidencialidad
de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de
las redes públicas de comunicaciones y de los
servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán
la escucha, la grabación, el almacenamiento u
otros tipos de intervención o vigilancia de las
comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén
autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artı́culo 15. El
presente apartado no impedirá el almacenamiento técnico necesario para la conducción
de una comunicación, sin perjuicio del principio de confidencialidad.
2. El apartado 1 no se aplicará a las grabaciones
legalmente autorizadas de comunicaciones y
de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica
comercial lı́cita con el fin de aportar pruebas
de una transacción comercial o de cualquier
otra comunicación comercial.
3. Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de
acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o
usuario información clara y completa, en particular sobre los fines del tratamiento de los
datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del
tratamiento de los datos le ofrezca el derecho
de negarse a dicho tratamiento. La presente
disposición no impedirá el posible almacenamiento o acceso de ı́ndole técnica al solo fin
de efectuar o facilitar la transmisión de una
comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo
estrictamente necesario a fin de proporcionar
a una empresa de información un servicio expresamente solicitado por el usuario o el abonado.
Artı́culo 6
Datos de tráfico
1. Sin perjuicio de lo dispuesto en los apartados
2, 3 y 5 del presente artı́culo y en el apartado
1 del artı́culo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una
red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible
al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos
de la transmisión de una comunicación.
2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se
autorizará este tratamiento únicamente hasta
la expiración del plazo durante el cual pueda
impugnarse legalmente la factura o exigirse el
pago.
3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia
en el apartado 1 para la promoción comercial
de servicios de comunicaciones electrónicas o
219
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
para la prestación de servicios con valor añaque dichos usuarios y abonados dispongan de
dido en la medida y durante el tiempo necesuficientes modalidades alternativas de comusarios para tales servicios o promoción comernicación o de pago que potencien la intimidad.
cial, siempre y cuando el abonado o usuario al
Artı́culo 8
que se refieran los datos haya dado su consentimiento. Los usuarios o abonados dispondrán
Presentación y restricción de la identificación de
de la posibilidad de retirar su consentimiento la lı́nea de origen y de lalı́nea conectada
para el tratamiento de los datos de tráfico en
1. Cuando se ofrezca la posibilidad de visualicualquier momento.
zar la identificación de la lı́nea de origen, el
4. El proveedor del servicio deberá informar al
proveedor del servicio deberá ofrecer al usuaabonado o al usuario de los tipos de datos
rio que efectúe la llamada la posibilidad de
de tráfico que son tratados y de la duración
impedir en cada llamada, mediante un procede este tratamiento a los efectos mencionados
dimiento sencillo y gratuito, la presentación
en el apartado 2 y, antes de obtener el conde la identificación de la lı́nea de origen. El
sentimiento, a los efectos contemplados en el
abonado que origine la llamada deberá tener
apartado 3.
esta posibilidad para cada lı́nea.
5. Sólo podrán encargarse del tratamiento de da2. Cuando se ofrezca la posibilidad de visualizar
tos de tráfico, de conformidad con los apartala identificación de la lı́nea de origen, el prodos 1, 2, 3 y 4, las personas que actúen bajo la
veedor del servicio deberá ofrecer al abonado
autoridad del proveedor de las redes públicas
que reciba la llamada la posibilidad, mediante
de comunicaciones o de servicios de comunicaun procedimiento sencillo y gratuito, siempre
ciones electrónicas disponibles al público que
que haga un uso razonable de esta función, de
se ocupen de la facturación o de la gestión
impedir la presentación de la identificación de
del tráfico, de las solicitudes de información
la lı́nea de origen en las llamadas entrantes.
de los clientes, de la detección de fraudes, de
3. Cuando se ofrezca la posibilidad de visualizar
la promoción comercial de los servicios de cola identificación de la lı́nea de origen y ésta
municaciones electrónicas o de la prestación
se presente antes de que se establezca la llade un servicio con valor añadido, y dicho tramada, el proveedor del servicio deberá ofrecer
tamiento deberá limitarse a lo necesario para
al abonado que reciba la llamada la posibilirealizar tales actividades.
dad, mediante un procedimiento sencillo, de
6. Los apartados 1, 2, 3 y 5 se aplicarán sin perrechazar las llamadas entrantes procedentes
juicio de la posibilidad de que los organismos
de usuarios o abonados que hayan impedido
competentes sean informados de los datos de
la presentación de la identificación de la lı́nea
tráfico con arreglo a la legislación aplicable,
de origen.
con vistas a resolver litigios, en particular los
4. Cuando se ofrezca la posibilidad de visualizar
relativos a la interconexión o a la facturación.
la identificación de la lı́nea conectada, el proArtı́culo 7
veedor del servicio deberá ofrecer al abonado
que reciba la llamada la posibilidad, por un
Facturación desglosada
procedimiento sencillo y gratuito, de impedir
1. Los abonados tendrán derecho a recibir factula presentación de la identificación de la lı́nea
ras no desglosadas.
conectada al usuario que efectúa la llamada.
2. Los Estados miembros aplicarán las disposiciones nacionales a fin de conciliar los derechos
de los abonados que reciban facturas desglosadas con el derecho a la intimidad de los usuarios que efectúen las llamadas y de los abonados que las reciban, por ejemplo, garantizando
5. Las disposiciones del apartado 1 se aplicarán
también a las llamadas efectuadas desde la
Comunidad a terceros paı́ses. Las disposiciones de los apartados 2, 3 y 4 se aplicarán también a las llamadas entrantes procedentes de
terceros paı́ses.
220
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
6. Los Estados miembros velarán por que, cuando se ofrezca la posibilidad de visualizar la
identificación de la lı́nea de origen o de la lı́nea conectada, los proveedores de servicios de
comunicaciones electrónicas disponibles al público informen al público sobre dicha posibilidad y sobre las que se establecen en los apartados 1 a 4.
proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público o del tercero
que preste el servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario a efectos de la prestación del servicio con
valor añadido.
Artı́culo 10
Artı́culo 9
Excepciones
Datos de localización distintos de los datos de
Los Estados miembros velarán por que existan
tráfico
procedimientos transparentes que determinen la forma en que el proveedor de una red pública de co1. En caso de que puedan tratarse datos de lo- municaciones o de un servicio de comunicaciones
calización, distintos de los datos de tráfico, electrónicas disponible al público podrá anular:
relativos a los usuarios o abonados de redes
públicas de comunicaciones o de servicios de
a) la supresión de la presentación de la identicomunicaciones electrónicas disponibles al púficación de la lı́nea de origen por un perı́odo
blico, sólo podrán tratarse estos datos si se
de tiempo limitado, a instancia de un abonahacen anónimos, o previo consentimiento de
do que solicite la identificación de llamadas
los usuarios o abonados, en la medida y por
malevolentes o molestas; en tal caso, los datos
el tiempo necesarios para la prestación de un
que incluyan la identificación del abonado que
servicio con valor añadido. El proveedor del
origina la llamada serán almacenados y faciservicio deberá informar a los usuarios o abolitados por el proveedor de la red pública de
nados, antes de obtener su consentimiento, del
comunicaciones o del servicio de comunicaciotipo de datos de localización distintos de los
nes electrónicas disponible para el público, de
datos de tráfico que serán tratados, de la fiacuerdo con el Derecho nacional;
nalidad y duración del tratamiento y de si los
b) la supresión de la presentación de la identifidatos se transmitirán a un tercero a efectos
cación de la lı́nea de origen y el rechazo temde la prestación del servicio con valor añadiporal o la ausencia de consentimiento de un
do. Se deberá ofrecer a los usuarios y abonaabonado o un usuario para el tratamiento de
dos la posibilidad de retirar en todo momento
los datos de localización, de manera selectisu consentimiento para el tratamiento de los
va por lı́nea, para las entidades reconocidas
datos de localización distintos de los datos de
por un Estado miembro para atender llamatráfico.
das de urgencia, incluidos los cuerpos de poli2. Cuando se haya obtenido el consentimiento
cı́a, los servicios de ambulancias y los cuerpos
de un usuario o abonado para el tratamiento
de bomberos, para que puedan responder a
de datos de localización distintos de los datos
tales llamadas.
de tráfico, el usuario o abonado deberá seguir
contando con la posibilidad, por un procediArtı́culo 11
miento sencillo y gratuito, de rechazar temDesvı́o automático de llamadas
poralmente el tratamiento de tales datos para
Los Estados miembros velarán por que todo abocada conexión a la red o para cada transminado tenga la posibilidad, por un procedimiento
sión de una comunicación.
sencillo y gratuito, de detener el desvı́o automático
3. Sólo podrán encargarse del tratamiento de da- de llamadas a su terminal por parte de un tercero.
tos de localización distintos de los datos de
Artı́culo 12
tráfico de conformidad con los apartados 1 y
2 personas que actúen bajo la autoridad del
Guı́as de abonados
221
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
1. Los Estados miembros velarán por que se informe gratuitamente a los abonados antes de
ser incluidos en las guı́as acerca de los fines de
las guı́as de abonados, impresas o electrónicas,
disponibles al público o accesibles a través de
servicios de información sobre las mismas, en
las que puedan incluirse sus datos personales,
ası́ como de cualquier otra posibilidad de uso
basada en funciones de búsqueda incorporadas en las versiones electrónicas de la guı́a.
2. Los Estados miembros velarán por que los
abonados tengan oportunidad de decidir si sus
datos personales figuran en una guı́a pública,
y en su caso cuáles de ellos, en la medida en
que tales datos sean pertinentes para la finalidad de la guı́a que haya estipulado su proveedor, y de comprobar, corregir o suprimir
tales datos. La no inclusión en una guı́a pública de abonados, ası́ como la comprobación,
corrección o supresión de datos personales de
una guı́a, no deberán dar lugar al cobro de
cantidad alguna.
3. Los Estados miembros podrán exigir que para cualquier finalidad de una guı́a pública distinta de la búsqueda de datos de contacto de
personas a partir de su nombre y, si resulta
necesario, de un mı́nimo de otros identificadores, se recabe el consentimiento especı́fico
de los abonados.
4. Los apartados 1 y 2 se aplicarán a los abonados que sean personas fı́sicas. Los Estados
miembros velarán asimismo, en el marco del
Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legı́timos de los abonados que no sean personas fı́sicas en lo que se
refiere a su inclusión en guı́as públicas.
Artı́culo 13
Comunicaciones no solicitadas
1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención
humana (aparatos de llamada automática),
fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan
dado su consentimiento previo.
2. No obstante lo dispuesto en el apartado 1,
cuando una persona fı́sica o jurı́dica obtenga
de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la
Directiva 95/46/CE, esa misma persona fı́sica o jurı́dica podrá utilizar dichas señas electrónicas para la venta directa de sus propios
productos o servicios de caracterı́sticas similares, a condición de que se ofrezca con absoluta
claridad a los clientes, sin cargo alguno y de
manera sencilla, la posibilidad de oponerse a
dicha utilización de las señas electrónicas en
el momento en que se recojan las mismas y, en
caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban
un mensaje ulterior.
3. Los Estados miembros tomarán las medidas
adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no
solicitadas con fines de venta directa en casos
que no sean los mencionados en los apartados
1 y 2, bien sin el consentimiento del abonado,
bien respecto de los abonados que no deseen
recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada
por la legislación nacional.
4. Se prohibirá, en cualquier caso, la práctica de
enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la
identidad del remitente por cuenta de quien se
efectúa la comunicación, o que no contengan
una dirección válida a la que el destinatario
pueda enviar una petición de que se ponga fin
a tales comunicaciones.
5. Los apartados 1 y 3 se aplicarán a los abonados que sean personas fı́sicas. Los Estados
miembros velarán asimismo, en el marco del
Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legı́timos de los abonados que no sean personas fı́sicas en lo que se
refiere a las comunicaciones no solicitadas.
Artı́culo 14
Caracterı́sticas técnicas y normalización
222
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
1. Al aplicar las disposiciones de la presente Directiva, los Estados miembros velarán, sin perjuicio de los apartados 2 y 3, por que no se impongan requisitos obligatorios respecto de caracterı́sticas técnicas especı́ficas a los equipos
terminales u otros equipos de comunicaciones
electrónicas que puedan obstaculizar la puesta en el mercado de dichos equipos y su libre
circulación en los Estados miembros y entre
estos últimos.
2. Cuando las disposiciones de la presente Directiva sólo puedan aplicarse mediante la implantación de caracterı́sticas técnicas especı́ficas en las redes de comunicaciones electrónicas, los Estados miembros informarán a la
Comisión de conformidad con el procedimiento establecido en la Directiva 98/34/ CE del
Parlamento Europeo y del Consejo, de 22 de
junio de 1998, por la que se establece un procedimiento de información en materia de las
normas y reglamentaciones técnicas y de las
reglas relativas a los servicios de la sociedad
de la información (1).
3. Cuando proceda, se podrán adoptar medidas
para garantizar que los equipos terminales estén fabricados de manera compatible con el
derecho de los usuarios de proteger y controlar el uso de sus datos personales, de conformidad con la Directiva 1999/5/CE y la Decisión
87/95/CEE del Consejo, de 22 de diciembre
de 1986, relativa a la normalización en el campo de la tecnologı́a de la información y de las
telecomunicaciones (2).
Artı́culo 15
Aplicación de determinadas disposiciones de la
Directiva 95/46/CE
1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en
los artı́culos 5 y 6, en los apartados 1 a 4 del
artı́culo 8 y en el artı́culo 9 de la presente Directiva, cuando tal limitación constituya una
medida necesaria proporcionada y apropiada
en una sociedad democrática para proteger la
seguridad nacional (es decir, la seguridad del
Estado), la defensa, la seguridad pública, o
la prevención, investigación, descubrimiento y
persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1
del artı́culo 13 de la Directiva 95/46/ CE. Para ello, los Estados miembros podrán adoptar,
entre otras, medidas legislativas en virtud de
las cuales los datos se conserven durante un
plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las
medidas contempladas en el presente apartado deberán ser conformes con los principios
generales del Derecho comunitario, incluidos
los mencionados en los apartados 1 y 2 del
artı́culo 6 del Tratado de la Unión Europea.
2. Las disposiciones del capı́tulo III sobre recursos judiciales, responsabilidad y sanciones de
la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a
la presente Directiva y a los derechos individuales derivados de la misma.
3. El Grupo de protección de las personas en lo
que respecta al tratamiento de datos personales, creado por el artı́culo 29 de la Directiva
95/46/CE, ejercerá también las funciones especificadas en el artı́culo 30 de dicha Directiva
por lo que se refiere a los asuntos objeto de la
presente Directiva, a saber, la protección de
los derechos y las libertades fundamentales y
de los intereses legı́timos en el sector de las
comunicaciones electrónicas.
Artı́culo 16
Disposiciones transitorias
1. El artı́culo 12 no se aplicará a las ediciones de
guı́as ya producidas o puestas en el mercado
en forma impresa o electrónica no conectada
antes de que entren en vigor las disposiciones
nacionales adoptadas en virtud de la presente
Directiva.
2. Cuando los datos personales de los abonados
a la telefonı́a vocal pública de tipo fijo o móvil se hayan incluido en una guı́a de abonados
pública de conformidad con las disposiciones
de la Directiva 95/46/CE y del artı́culo 11 de
la Directiva 97/66/CE antes de que las dispo223
Normativa europea
4.5. Directiva 97/66/CE sobre tractament de dades personals
i protecció de la intimitat en les telecomunicacions
siciones nacionales adoptadas en cumplimiento de la presente Directiva entren en vigor,
los datos personales de dichos abonados podrán seguir incluidos en dicha guı́a pública, en
su versión impresa o electrónica, incluidas las
versiones con funciones de búsqueda retrospectiva, a menos que los abonados indiquen
lo contrario, tras haber recibido información
completa sobre los fines y opciones con arreglo
al artı́culo 12 de la presente Directiva.
Artı́culo 17
Incorporación al Derecho nacional
consumidores, con especial atención a las disposiciones sobre comunicaciones no solicitadas y teniendo
en cuenta la situación internacional. Para ello, la
Comisión podrá recabar información de los Estados
miembros, quienes deberán facilitarla sin retrasos
indebidos. Cuando proceda, la Comisión presentará propuestas para modificar la presente Directiva
teniendo en cuenta los resultados del informe mencionado, los cambios que hayan podido tener lugar
en el sector y cualquier otra propuesta que juzgue
necesaria para mejorar la eficacia de la presente Directiva.
Artı́culo 19
Derogación
1. Los Estados miembros pondrán en vigor antes del 31 de octubre de 2003 las disposiciones
necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán inmediatamente de ello a la Comisión. Cuando
los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente
Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados
miembros establecerán las modalidades de la
mencionada referencia.
Se deroga la Directiva 97/66/CE con efecto a
partir de la fecha contemplada en el apartado 1 del
artı́culo 17. Las referencias a la Directiva derogada
se entenderán hechas a la presente Directiva.
Artı́culo 20
Entrada en vigor
La presente Directiva entrará en vigor el dı́a de
su publicación en el Diario Oficial de las Comunidades Europeas.
Artı́culo 21
2. Los Estados miembros comunicarán a la CoDestinatarios
misión el texto de las disposiciones de Derecho
interno que adopten en el ámbito regulado por
Los destinatarios de la presente Directiva serán
la presente Directiva, ası́ como cualquier mo- los Estados miembros.
dificación ulterior de las mismas.
Hecho en Bruselas, el 12 de julio de 2002.
Artı́culo 18
Por el Parlamento Europeo
Revisión
El Presidente
La Comisión presentará al Parlamento Europeo
y al Consejo, a más tardar tres años después de la
fecha contemplada en el apartado 1 del artı́culo 17,
un informe sobre la aplicación de la presente Directiva y su impacto en los operadores económicos y los
P. COX
Por el Consejo
El Presidente
T. PEDERSEN
224
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
4.6 DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y
DEL CONSEJO de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación
de servicios de comunicaciones electrónicas de acceso público o
de redes públicas de comunicaciones
DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de marzo
de 2006 sobre la conservación de datos generados o
tratados en relación con la prestación de servicios
de comunicaciones electrónicas de acceso público o
de redes públicas de comunicaciones y por la que se
modifica la Directiva 2002/58/CE
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado por el que se establece la Comunidad Europea y, en particular, su artı́culo 95,
Vista la propuesta de la Comisión,
Visto el dictamen del Comité Económico y Social Europeo (1),
De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado (2),
Considerando lo siguiente:
1. La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas fı́sicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
(3), exige que los Estados miembros protejan
los derechos y libertades de las personas fı́sicas por lo que se refiere al tratamiento de
datos personales y, en particular, su derecho
a la intimidad, para asegurar el libre flujo de
datos personales en la Comunidad.
2. La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002,
relativa al tratamiento de los datos personales
y a la protección de la intimidad en el sector
de las comunicaciones electrónicas (Directiva
sobre la privacidad y las comunicaciones electrónicas (4), traduce los principios establecidos en la Directiva 95/46/CE a normas es-
pecı́ficas para el sector de las comunicaciones
electrónicas.
3. Los artı́culos 5, 6 y 9 de la Directiva
2002/58/CE definen las normas aplicables al
tratamiento, por los proveedores de red y de
servicios, de los datos de tráfico y de localización generados por el uso de servicios de
comunicaciones electrónicas. Estos datos deben borrarse o hacerse anónimos cuando ya
no se necesiten para la transmisión, salvo los
datos necesarios para la facturación o los pagos por interconexión. Previo consentimiento,
determinados datos pueden también tratarse
con fines comerciales y la prestación de servicios de valor añadido.
4. El artı́culo 15, apartado 1, de la Directiva
2002/58/CE fija las condiciones en que los
Estados miembros pueden limitar el alcance
de los derechos y obligaciones que se establecen en el artı́culo 5, el artı́culo 6, el artı́culo
8, apartados 1 a 4, y el artı́culo 9 de dicha
Directiva. Tales restricciones deben constituir
medidas necesarias, apropiadas y proporcionadas en una sociedad democrática para fines
especı́ficos de orden público, como proteger la
seguridad nacional (es decir, la seguridad del
Estado), la defensa, la seguridad pública, o la
prevención, investigación, detección y enjuiciamiento de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas.
5. Varios Estados miembros han adoptado legislación que prevé la conservación de datos por
los prestadores de servicios para la prevención, investigación, detección y enjuiciamiento
de delitos. Estas disposiciones de las normativas nacionales varı́an considerablemente.
6. Las diferencias legales y técnicas entre dispo225
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
siciones nacionales sobre conservación de datos con fines de prevención, investigación, detección y enjuiciamiento de delitos crean obstáculos en el mercado interior de las comunicaciones electrónicas; los prestadores de servicios deben cumplir requisitos diferentes en
cuanto a los tipos de datos de tráfico y de
localización que deben conservarse, ası́ como
en cuanto a las condiciones y los perı́odos de
conservación.
7. Las conclusiones del Consejo de Justicia e Interior de 19 de diciembre de 2002 destacan
que, a causa del crecimiento significativo de
las posibilidades de las comunicaciones electrónicas, los datos relativos al uso de comunicaciones electrónicas son particularmente importantes y, por tanto, una herramienta valiosa en la prevención, investigación, detección y
enjuiciamiento de delitos, en especial contra
la delincuencia organizada.
8. La Declaración sobre la lucha contra el terrorismo, adoptada por el Consejo Europeo el 25
de marzo de 2004, encargó al Consejo que examinara medidas para establecer normas sobre
la conservación por los prestadores de servicios de datos de tráfico de las comunicaciones.
9. De conformidad con el artı́culo 8 del Convenio
Europeo para la Protección de los Derechos
Humanos y de las Libertades Fundamentales
(CEDH), toda persona tiene derecho al respeto de su vida privada y de su correspondencia. No podrá haber injerencia de la autoridad pública en el ejercicio de ese derecho salvo
cuando esa injerencia esté prevista por la ley
y constituya una medida que, en una sociedad
democrática, sea necesaria, entre otras cosas,
para la seguridad nacional o la seguridad pública, la prevención de desórdenes o delitos,
o la protección de los derechos y las libertades de terceros. Dado que la conservación de
datos se ha acreditado como una herramienta
de investigación necesaria y eficaz para aplicar la ley en diferentes Estados miembros, en
particular en asuntos de gravedad como la delincuencia organizada y el terrorismo, es necesario garantizar que los datos conservados se
pongan a disposición de las fuerzas y cuerpos
de seguridad durante un determinado perı́odo
de tiempo, con arreglo a las condiciones establecidas en la presente Directiva. Por consiguiente, la adopción de un instrumento de
conservación de datos que cumpla los requisitos del artı́culo 8 del CEDH es una medida
necesaria.
10. El 13 de julio de 2005, el Consejo reafirmó en
su declaración de condena de los atentados terroristas de Londres la necesidad de adoptar
cuanto antes medidas comunes sobre conservación de datos de telecomunicaciones.
11. Dada la importancia de los datos de tráfico y de localización para la investigación,
detección y enjuiciamiento de delitos, según
demuestran la investigación y la experiencia
práctica de varios Estados miembros, existe
la necesidad de asegurar a escala europea que
los datos generados o tratados, en el marco de
la prestación de servicios de comunicaciones,
por proveedores de servicios de comunicaciones electrónicas de acceso público o de una
red pública de comunicaciones se conservan
durante un determinado perı́odo de tiempo,
con arreglo a las condiciones establecidas en
la presente Directiva.
12. El artı́culo 15, apartado 1, de la Directiva
2002/58/CE sigue aplicándose a los datos, incluidos los datos relativos a las llamadas telefónicas infructuosas, cuya conservación no se
prescribe especı́ficamente en la presente Directiva y que, por consiguiente, quedan fuera
del ámbito de aplicación de la misma, ası́ como a la conservación a efectos, incluidos judiciales, diferentes de los contemplados en la
presente Directiva.
13. La presente Directiva sólo se refiere a los datos generados o tratados como consecuencia
de una comunicación o de un servicio de comunicación y no a los datos que constituyen el
contenido de la información comunicada. Los
datos deben conservarse de tal manera que se
evite que se conserven más de una vez. Los
datos generados o tratados, cuando se presten servicios de comunicaciones electrónicas,
se refieren a los datos accesibles. En particular, en lo referente a la conservación de datos
relativos a los correos electrónicos y la telefonı́a por Internet, la obligación de conservar
226
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
datos sólo puede aplicarse con respecto a los
datos de los servicios propios de los proveedores o de los proveedores de redes.
14. Las tecnologı́as relativas a las comunicaciones electrónicas están cambiando rápidamente y los legı́timos requisitos de las autoridades
competentes pueden evolucionar. Para obtener asesoramiento y fomentar el intercambio
de experiencias de las mejores prácticas sobre
estos asuntos, la Comisión tiene intención de
crear un grupo integrado por autoridades policiales de los Estados miembros, asociaciones
del sector de las comunicaciones electrónicas,
representantes del Parlamento Europeo y autoridades de protección de datos, incluido el
Supervisor Europeo de Protección de Datos.
15. La Directiva 95/46/CE y la Directiva
2002/58/CE son plenamente aplicables a los
datos conservados de conformidad con la presente Directiva; el artı́culo 30, apartado 1, letra c), de la Directiva 95/46/CE exige la consulta al Grupo de trabajo sobre la protección
de las personas fı́sicas en lo que respecta al
tratamiento de datos personales, establecido
de conformidad con el artı́culo 29 de dicha Directiva.
16. Las obligaciones impuestas a los proveedores
de servicios en relación con las medidas para
garantizar la calidad de los datos, derivadas
del artı́culo 6 de la Directiva 95/46/CE, y sus
obligaciones relativas a la garantı́a de la confidencialidad y seguridad del tratamiento de
datos, derivadas de los artı́culos 16 y 17 de
dicha Directiva, son plenamente aplicables a
los datos conservados a efectos de la presente
Directiva.
17. Es esencial que los Estados miembros adopten medidas legislativas para asegurar que los
datos conservados de conformidad con la presente Directiva solamente se faciliten a las autoridades nacionales competentes de conformidad con la legislación nacional, respetando
plenamente los derechos fundamentales de las
personas afectadas.
18. En este contexto, el artı́culo 24 de la Directiva
95/46/CE impone a los Estados miembros la
obligación de establecer sanciones por el incumplimiento de las disposiciones adoptadas
en virtud de dicha Directiva. El artı́culo 15,
apartado 2, de la Directiva 2002/58/CE impone la misma obligación respecto de las disposiciones nacionales adoptadas en virtud de
la Directiva 2002/58/CE. La Decisión marco
2005/222/JAI del Consejo, de 24 de febrero de
2005, relativa a los ataques contra los sistemas
de información (1), establece que el acceso intencionado e ilı́cito a un sistema de información, incluido a los datos conservados dentro
del mismo, debe ser sancionable como delito.
19. El derecho de toda persona que sufra un perjuicio como consecuencia de un tratamiento
ilı́cito o de una acción incompatible con las
disposiciones nacionales adoptadas en aplicación de la Directiva 95/46/CE, a obtener la
reparación del perjuicio sufrido, de conformidad con el artı́culo 23 de dicha Directiva, se
aplica también al tratamiento ilı́cito de cualquier tipo de datos personales con arreglo a la
presente Directiva.
20. El Convenio del Consejo de Europa de 2001
sobre la delincuencia cibernética y el Convenio
del Consejo de Europa de 1981 sobre la protección de las personas con respecto al tratamiento automatizado de los datos de carácter
personal abarcan igualmente los datos conservados en el sentido de la presente Directiva.
21. Dado que los objetivos de la presente Directiva, a saber, armonizar las obligaciones de los
proveedores de conservar determinados datos
y asegurar que éstos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la
normativa nacional de cada Estado miembro,
como el terrorismo y la delincuencia organizada, no pueden ser alcanzados de manera suficiente por los Estados miembros y, debido a
la dimensión y los efectos de la presente Directiva, pueden lograrse mejor a nivel comunitario, la Comunidad puede adoptar medidas,
de acuerdo con el principio de subsidiariedad
consagrado en el artı́culo 5 del Tratado. De
conformidad con el principio de proporcionalidad enunciado en dicho artı́culo, la presente
227
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
Directiva no excede de lo necesario para alcanzar dichos objetivos.
22. La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos, en particular, por la Carta de los Derechos Fundamentales de la Unión Europea.
En especial, la presente Directiva, junto con
la Directiva 2002/58/CE, intenta garantizar
el pleno cumplimiento de los derechos fundamentales de los ciudadanos al respeto de la
vida privada y de las comunicaciones y a la
protección de los datos de carácter personal,
consagrados en los artı́culos 7 y 8 de la Carta.
previstas por las disposiciones del tı́tulo VI del
Tratado de la Unión Europea. Dichas leyes o
acciones deben respetar plenamente los derechos fundamentales que se derivan de tradiciones constitucionales comunes de los Estados
miembros y están garantizados por el CEDH.
Con arreglo al artı́culo 8 del CEDH, según la
interpretación del Tribunal Europeo de Derechos Humanos, la injerencia de las autoridades
públicas en el derecho a la vida privada debe
respetar los requisitos de necesidad y proporcionalidad y debe, por consiguiente, servir a
propósitos especı́ficos, explı́citos y legı́timos y
ejercerse de una manera adecuada, pertinente
y no excesiva en relación con el objeto de la
injerencia.
23. Dado que la obligación de los proveedores de
servicios de comunicación electrónica debe ser
proporcionada, la Directiva exige que se conHAN ADOPTADO LA PRESENTE DIserven exclusivamente los datos generados o
RECTIVA:
tratados en el proceso del suministro de serviArtı́culo 1
cios de comunicación. Siempre que dichos datos no hayan sido generados o tratados por diObjeto y ámbito
chos proveedores, no es obligatorio conservarlos. La presente Directiva no tiene por objeto
1. La presente Directiva se propone armonizar
la armonización de la tecnologı́a de conservalas disposiciones de los Estados miembros reción de datos, cuya elección es una cuestión
lativas a las obligaciones de los proveedores
que debe resolverse a nivel nacional.
de servicios de comunicaciones electrónicas de
acceso público o de una red pública de comu24. Con arreglo al punto 34 del Acuerdo interinicaciones en relación con la conservación de
nstitucional Legislar mejor (1), se alienta
determinados datos generados o tratados por
a los Estados miembros a establecer, en su
los mismos, para garantizar que los datos espropio interés y en el de la Comunidad, sus
tén disponibles con fines de investigación, depropios cuadros, que muestren, en la medida
tección y enjuiciamiento de delitos graves, tal
de lo posible, la concordancia entre la presencomo se definen en la legislación nacional de
te Directiva y las medidas de transposición, y
cada Estado miembro.
a hacerlos públicos.
25. La presente Directiva se entiende sin perjuicio
de la facultad de los Estados miembros para
adoptar medidas legislativas relativas al derecho de acceso y de utilización de los datos por
parte de las autoridades nacionales tal como
determinen los mismos. Las cuestiones relativas al acceso por parte de las autoridades
nacionales a datos conservados con arreglo a
la presente Directiva para las actividades contempladas en el artı́culo 3, apartado 2, primer
guión, de la Directiva 95/46/CE, quedan fuera
del ámbito de aplicación del Derecho comunitario. Sin embargo, pueden estar sometidas a
la legislación nacional o a una acción como las
2. La presente Directiva se aplicará a los datos de
tráfico y de localización sobre personas fı́sicas
y jurı́dicas y a los datos relacionados necesarios para identificar al abonado o al usuario
registrado. No se aplicará al contenido de las
comunicaciones electrónicas, lo que incluye la
información consultada utilizando una red de
comunicaciones electrónicas.
Artı́culo 2
Definiciones
1. A efectos de la presente Directiva, se aplicarán
las definiciones de la Directiva 95/46/CE, de
228
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002,
relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (2), y de la Directiva
2002/58/CE.
2. A efectos de la presente Directiva, se entenderá por:
datos : los datos de tráfico y de localización
y los datos relacionados necesarios para
identificar al abonado o usuario;
usuario : toda persona fı́sica o jurı́dica que
utilice un servicio de comunicaciones
electrónicas de acceso público, con fines
privados o comerciales, sin haberse necesariamente abonado a dicho servicio;
servicio telefónico : las llamadas (incluida
la transmisión de voz, buzones vocales,
conferencias y datos), los servicios suplementarios (incluido el reenvı́o o transferencia de llamadas) y los servicios de
mensajerı́a y servicios multimedia (incluidos los servicios de mensajes cortos,
servicios multimedia avanzados y servicios multimedia);
los datos especificados en el artı́culo 5 de la
presente Directiva se conservan de conformidad con lo dispuesto en ella en la medida en
que son generados o tratados por proveedores
de servicios de comunicaciones electrónicas de
acceso público o de una red pública de comunicaciones que estén bajo su jurisdicción en
el marco de la prestación de los servicios de
comunicaciones de que se trate.
2. La obligación de conservar datos mencionada
en el apartado 1 incluirá la conservación de
los datos especificados en el artı́culo 5 en relación con las llamadas telefónicas infructuosas
en las que los datos los generan o tratan, y
conservan (en lo que a los datos telefónicos
se refiere) o registran (en lo que a los datos
de Internet se refiere), proveedores de servicios de comunicaciones electrónicas de acceso
público o de una red pública de comunicaciones que estén bajo la jurisdicción del Estado
miembro de que se trate en el marco de la
prestación de los servicios de comunicaciones
en cuestión. La conservación de datos en relación con las llamadas no conectadas no será
obligatoria con arreglo a la presente Directiva.
Artı́culo 4
identificador de usuario : un identificador
Acceso a los datos
único asignado a las personas con motivo
de su abono a un servicio de acceso a InLos Estados miembros adoptarán medidas para
ternet o a un servicio de comunicaciones garantizar que los datos conservados de conformipor Internet, o de su registro en uno de dad con la presente Directiva solamente se propordichos servicios;
cionen a las autoridades nacionales competentes, en
identificador de celda : la identidad de la casos especı́ficos y de conformidad con la legislacelda desde la que se origina o termina ción nacional. Cada Estado miembro definirá en su
legislación nacional el procedimiento que deba seuna llamada de teléfono móvil;
llamada telefónica infructuosa : una co- guirse y las condiciones que deban cumplirse para
municación en el transcurso de la cual se tener acceso a los datos conservados de conformidad
ha realizado con éxito una llamada tele- con los requisitos de necesidad y proporcionalidad,
fónica pero sin contestación o en la que de conformidad con las disposiciones pertinentes del
ha habido una intervención por parte del Derecho de la Unión o del Derecho internacional público, y en particular el CEDH en la interpretación
gestor de la red.
del Tribunal Europeo de Derechos Humanos.
Artı́culo 3
Artı́culo 5
Obligación de conservar datos
Categorı́as de datos que deben conservarse
1. Como excepción a los artı́culos 5, 6 y 9 de
la Directiva 2002/58/CE, los Estados miembros adoptarán medidas para garantizar que
1. Los Estados miembros garantizarán que las siguientes categorı́as de datos se conserven de
conformidad con la presente Directiva:
229
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
a) datos necesarios para rastrear e identificar el origen de una comunicación:
• con respecto a la telefonı́a de red fija
y a la telefonı́a móvil:
i) el número de teléfono de llamada,
ii) el nombre y la dirección del abonado o usuario registrado;
• con respecto al acceso a Internet, correo electrónico por Internet y telefonı́a por Internet:
i) la identificación de usuario asignada,
ii) la identificación de usuario y el
número de teléfono asignados a
toda comunicación que acceda a
la red pública de telefonı́a,
iii) el nombre y la dirección del abonado o del usuario registrado al
que se le ha asignado en el momento de la comunicación una
dirección de Protocolo Internet
(IP), una identificación de usuario o un número de teléfono;
b) datos necesarios para identificar el destino de una comunicación:
• con respecto a la telefonı́a de red fija
y a la telefonı́a móvil:
i) el número o números marcados
(el número o números de teléfono de destino) y, en aquellos
casos en que intervengan otros
servicios, como el desvı́o o la
transferencia de llamadas, el número o números hacia los que se
transfieren las llamadas,
ii) los nombres y las direcciones de
los abonados o usuarios registrados;
• con respecto al correo electrónico
por Internet y a la telefonı́a por Internet:
i) la identificación de usuario o el
número de teléfono del destinatario o de los destinatarios de
una llamada telefónica por Internet,
ii) los nombres y direcciones de los
abonados o usuarios registrados
y la identificación de usuario del
destinatario de la comunicación;
c) datos necesarios para identificar la fecha,
hora y duración de una comunicación:
• con respecto a la telefonı́a de red fija y a la telefonı́a móvil: la fecha y
hora del comienzo y fin de la comunicación,
• con respecto al acceso a Internet, correo electrónico por Internet y telefonı́a por Internet:
i) la fecha y hora de la conexión y
desconexión del servicio de acceso a Internet, basadas en un determinado huso horario, ası́ como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor
de acceso a Internet a una comunicación, ası́ como la identificación de usuario del abonado o
del usuario registrado,
ii) la fecha y hora de la conexión y
desconexión del servicio de correo electrónico por Internet o
del servicio de telefonı́a por Internet, basadas en un determinado huso horario;
d) datos necesarios para identificar el tipo
de comunicación:
• con respecto a la telefonı́a de red fija y a la telefonı́a móvil: el servicio
telefónico utilizado,
• con respecto al correo electrónico
por Internet y a la telefonı́a por Internet: el servicio de Internet utilizado;
e) datos necesarios para identificar el equipo de comunicación de los usuarios o lo
que se considera ser el equipo de comunicación:
• con respecto a la telefonı́a de red fija: los números de teléfono de origen
y destino,
• con respecto a la telefonı́a móvil:
230
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
i) los números de teléfono de origen y destino,
ii) la identidad internacional del
abonado móvil (IMSI) de la parte que efectúa la llamada,
iii) la identidad internacional del
equipo móvil (IMEI) de la parte
que efectúa la llamada,
iv) la IMSI de la parte que recibe la
llamada,
v) la IMEI de la parte que recibe la
llamada,
vi) en el caso de los servicios anónimos de pago por adelantado,
fecha y hora de la primera activación del servicio y la etiqueta
de localización (el identificador
de celda) desde la que se haya
activado el servicio;
• con respecto al acceso a Internet, correo electrónico por Internet y telefonı́a por Internet:
i) el número de teléfono de origen
en caso de acceso mediante marcado de números,
ii) la lı́nea digital de abonado
(DSL) u otro punto terminal
identificador del autor de la comunicación;
f) datos necesarios para identificar la localización del equipo de comunicación móvil:
Los Estados miembros garantizarán que las categorı́as de datos mencionadas en el artı́culo 5 se
conserven por un perı́odo de tiempo que no sea inferior a seis meses ni superior a dos años a partir de
la fecha de la comunicación.
Artı́culo 7
Protección y seguridad de los datos
Sin perjuicio de lo dispuesto en las disposiciones adoptadas de conformidad con las Directivas
95/46/CE y 2002/58/CE, los Estados miembros velarán por que los proveedores de servicios de comunicaciones electrónicas de acceso público o de una
red pública de comunicaciones cumplan, en lo que
respecta a los datos conservados de conformidad con
la presente Directiva, como mı́nimo los siguientes
principios de seguridad de los datos:
a) los datos conservados serán de la misma calidad y estarán sometidos a las mismas normas
de seguridad y protección que los datos existentes en la red;
b) los datos estarán sujetos a las medidas técnicas y organizativas adecuadas para protegerlos de la destrucción accidental o ilı́cita, pérdida accidental o alteración, ası́ como almacenamiento, tratamiento, acceso o divulgación
no autorizados o ilı́citos;
c) los datos estarán sujetos a medidas técnicas
y organizativas apropiadas para velar por que
sólo puedan acceder a ellos las personas especialmente autorizadas, y
• la etiqueta de localización (identifid) los datos, excepto los que hayan sido accesicador de celda) al comienzo de la cobles y se hayan conservado, se destruirán al
municación,
término del perı́odo de conservación.
• los datos que permiten fijar la locaArtı́culo 8
lización geográfica de la celda, mediante referencia a la etiqueta de loRequisitos de almacenamiento para los datos
calización, durante el perı́odo en el conservados
que se conservan los datos de las coLos Estados miembros garantizarán que los damunicaciones.
tos especificados en el artı́culo 5 se conservan de
2. De conformidad con la presente Directiva, no conformidad con la presente Directiva de manera
podrá conservarse ningún dato que revele el que los datos conservados y cualquier otra informacontenido de la comunicación.
ción necesaria con ellos relacionada puedan transmitirse sin demora cuando las autoridades compeArtı́culo 6
tentes ası́ lo soliciten.
Perı́odos de conservación
Artı́culo 9
231
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
Autoridades de control
1. Cada Estado miembro nombrará una o más
autoridades públicas responsables de controlar la aplicación en su territorio de las disposiciones adoptadas por los Estados miembros
de conformidad con el artı́culo 7 en relación
con la seguridad de los datos conservados. Dichas autoridades podrán ser las mencionadas
en el artı́culo 28 de la Directiva 95/46/CE.
2. Las autoridades mencionadas en el apartado 1
actuarán con plena independencia en el ejercicio del control a que se refiere el apartado
1.
Artı́culo 10
Estadı́sticas
1. Los Estados miembros velarán por que se faciliten anualmente a la Comisión las estadı́sticas sobre la conservación de datos generados o
tratados en el marco de la prestación de servicios de comunicaciones electrónicas de acceso
público o de una red pública de comunicaciones. Tales estadı́sticas incluirán:
• los casos en que se haya facilitado información a las autoridades competentes
de conformidad con el Derecho nacional
aplicable,
• el tiempo transcurrido entre la fecha en
que se conservaron los datos y la fecha
en que la autoridad competente solicitó
su transmisión,
Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados
en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes
públicas de comunicaciones (*), para los fines recogidos en el artı́culo 1, apartado 1, de dicha Directiva.
(*) DO L 105 de 13.4.2006, p. 54.
Artı́culo 12
Medidas futuras
1. Todo Estado miembro que deba hacer frente a circunstancias especiales que justifiquen
una ampliación limitada del perı́odo máximo
de conservación recogido en el artı́culo 6 podrá adoptar las medidas que se impongan. El
Estado miembro en cuestión informará inmediatamente a la Comisión y a los demás Estados miembros sobre las medidas adoptadas
de conformidad con el presente artı́culo e indicará las razones que le llevan a adoptarlas.
2. En un plazo de seis meses tras la notificación mencionada en el apartado 1, la Comisión aprobará o rechazará las medidas nacionales en cuestión después de haber examinado
si constituyen una discriminación arbitraria o
una restricción encubierta al comercio entre
los Estados miembros o constituyen un obstáculo para el funcionamiento del mercado interior. En caso de que la Comisión no adopte
ninguna decisión en dicho plazo se considerará
que las medidas nacionales han sido aprobadas.
2. . Tales estadı́sticas no contendrán datos personales.
3. Cuando, en virtud del apartado 2, las medidas
nacionales adoptadas por un Estado miembro
se aparten de las disposiciones de la presente
Directiva, la Comisión examinará la oportunidad de proponer la modificación de la presente
Directiva.
Artı́culo 11
Artı́culo 13
Modificación de la Directiva 2002/58/CE
Recursos judiciales, responsabilidad y sanciones
• los casos en que no pudieron satisfacerse
las solicitudes de datos.
En el artı́culo 15 de la Directiva 2002/58/CE se
inserta el apartado siguiente:
1 bis. El apartado 1 no se aplicará a los datos
que deben conservarse especı́ficamente de conformidad con la Directiva 2006/24/CE del Parlamento
1. Cada Estado miembro adoptará las medidas
que se impongan para velar por que se apliquen plenamente, en lo que se refiere al tratamiento de datos en el marco de la presente Directiva, las medidas nacionales de aplicación
232
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
del capı́tulo III de la Directiva 95/46/CE relativas al establecimiento de recursos judiciales,
responsabilidad y sanciones.
2. Cada Estado miembro adoptará, en particular, las medidas que se impongan para velar por que cualquier acceso intencionado o la
transferencia de datos conservados de conformidad con la presente Directiva que no estén
permitidos por la legislación nacional adoptada de conformidad con la presente Directiva
se castiguen con sanciones, incluidas sanciones
administrativas o penales, que sean eficaces,
proporcionadas y disuasorias.
Artı́culo 14
Evaluación
Cuando los Estados miembros adopten dichas
disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha
referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de
la mencionada referencia.
2. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho
interno que adopten en el ámbito regulado por
la presente Directiva.
3. Cada Estado miembro podrá aplazar hasta el
15 de marzo de 2009 la aplicación de la presente Directiva en lo que se refiere a la conservación de los datos de comunicaciones en
relación con el acceso a Internet, la telefonı́a
por Internet y el correo electrónico por Internet. Los Estados miembros que se propongan
recurrir al presente apartado lo notificarán al
Consejo y a la Comisión, mediante una declaración, en el momento de la adopción de la
presente Directiva. Tal declaración se publicará en el Diario Oficial de la Unión Europea.
1. A más tardar el 15 de septiembre de 2010, la
Comisión presentará al Parlamento Europeo
y al Consejo una evaluación de la aplicación
de la presente Directiva y su impacto en operadores económicos y consumidores, teniendo
en cuenta los avances en la tecnologı́a de las
comunicaciones electrónicas y las estadı́sticas
Artı́culo 16
proporcionadas a la Comisión de conformidad
Entrada en vigor
con el artı́culo 10 a fin de determinar si es necesario modificar las disposiciones de la preLa presente Directiva entrará en vigor a los veinsente Directiva, en particular por lo que se te dı́as de su publicación en el Diario Oficial de la
refiere a la lista de datos del artı́culo 5 y a los Unión Europea.
perı́odos de conservación establecidos en el arArtı́culo 17
tı́culo 6. Los resultados de esta evaluación se
harán públicos.
Destinatarios
Los destinatarios de la presente Directiva son los
2. Con este fin, la Comisión examinará todas las
observaciones que le comuniquen los Estados Estados miembros.
miembros o el Grupo de trabajo de protección
Hecho en Estrasburgo, el 15 de marzo de 2006.
de las personas en lo que respecta al trataPor el Parlamento Europeo
miento de datos personales creado por el artı́culo 29 de la Directiva 95/46/CE.
El Presidente
Artı́culo 15
Transposición
J. BORRELL FONTELLES
Por el Consejo
El Presidente
1. Los Estados miembros pondrán en vigor las
disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a
más tardar el 15 de septiembre de 2007. Informarán de ello inmediatamente a la Comisión.
H. WINKLER
Declaración de los Paı́ses Bajos
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
233
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
Por lo que se refiere a la Directiva del Parlamento Europeo y del Consejo sobre la conservación de
datos tratados en relación con la prestación de servicios públicos de comunicación electrónica y por la
que se modifica la Directiva 2002/58/CE, los Paı́ses
Bajos harán uso de la opción de aplazar la aplicación de la Directiva a la conservación de datos de
comunicación en relación con el acceso a Internet,
la telefonı́a por Internet y el correo electrónico por
Internet, durante un perı́odo no superior a 18 meses a partir de la fecha de entrada en vigor de la
Directiva.
Declaración de Austria
El Reino Unido declara, de acuerdo con el artı́culo 15, apartado 3, de la Directiva sobre la conservación de datos tratados o generados en relación con
la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva
2002/58/CE, que aplazará la aplicación de esa Directiva a la conservación de datos de comunicación
en relación con el acceso a Internet, la telefonı́a por
Internet y el correo electrónico por Internet.
Declaración de Chipre
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
La República de Chipre declara que aplazará la
aplicación de la Directiva, respecto a la conservación de datos de comunicación en relación con el
Austria declara que aplazará la aplicación de la
acceso a Internet, la telefonı́a por Internet y el copresente Directiva a la conservación de datos de correo electrónico por Internet, hasta la fecha fijada
municación en relación con el acceso a Internet, la
en el artı́culo 15, apartado 3.
telefonı́a por Internet y el correo electrónico por Internet durante un perı́odo no superior a 18 meses
Declaración de Grecia
a partir de la fecha especificada en el artı́culo 15,
apartado 1.
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
Declaración de Estonia
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
Grecia declara que, de conformidad con el artı́culo 15, apartado 3, aplazará la aplicación de la
presente Directiva, respecto a la conservación de
datos de comunicación en relación con el acceso a
Internet, la telefonı́a por Internet y el correo electrónico por Internet, hasta 18 meses después de la
expiración del perı́odo fijado en el artı́culo 15, apartado 1.
De acuerdo con el artı́culo 15, apartado 3, de
la Directiva del Parlamento Europeo y del Consejo
sobre la conservación de datos tratados o generados
en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes
públicas de comunicaciones y por la que se modifiDeclaración de Luxemburgo
ca la Directiva 2002/58/CE, Estonia declara su inen virtud del artı́culo 15, apartado 3, de la
tención de hacer uso de ese párrafo y de aplazar la
Directiva 2006/24/CE
aplicación de la Directiva a la conservación de datos
de comunicación en relación con el acceso a InterConforme a lo dispuesto en el apartado 15, aparnet, la telefonı́a por Internet y el correo electrónico
tado
3, de la Directiva del Parlamento Europeo y del
por Internet hasta 36 meses después de la fecha de
Consejo
sobre la conservación de datos tratados o
adopción de la Directiva.
generados en relación con la prestación de servicios
de comunicaciones electrónicas de acceso público o
´Declaración del Reino Unido
de redes públicas de comunicaciones y por la que
en virtud del artı́culo 15, apartado 3, de la
se modifica la Directiva 2002/58/CE, el Gobierno
Directiva 2006/24/CE
del Gran Ducado de Luxemburgo declara que tiene
234
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
la intención de acogerse al artı́culo 15, apartado 3,
de la Directiva en cuestión, a fin de poder aplazar
su aplicación en lo que respecta a la conservación
de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo
electrónico por Internet.
Declaración de Eslovenia
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
Eslovenia se une al grupo de Estados miembros
que han hecho una declaración en virtud del artı́culo
15, apartado 3, de la Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos
tratados o generados en relación con la prestación
de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones,
relativa al aplazamiento de 18 meses de la Directiva a la conservación de datos de comunicación en
relación con Internet, la telefonı́a por Internet y el
correo electrónico por Internet.
eclaración de Suecia
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
Suecia, en virtud del artı́culo 15, apartado 3,
desea tener la opción de aplazar la aplicación de
la presente Directiva a la conservación de datos de
comunicación en relación con el acceso a Internet,
la telefonı́a por Internet y el correo electrónico por
Internet.
en relación con el acceso a Internet, la telefonı́a por
Internet y el correo electrónico por Internet durante
el perı́odo mencionado en el artı́culo 15, apartado
3.
Declaración de Letonia
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
De acuerdo con el artı́culo 15, apartado 3, de la
Directiva 2006/24/CE, de 15 de marzo de 2006, sobre la conservación de datos tratados o generados
en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes
públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, Letonia declara que
aplazará la aplicación de la Directiva a la conservación de datos de comunicación en relación con el
acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet hasta el 15 de marzo
de 2009.
Declaración de la República Checa
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
En virtud del artı́culo 15, apartado 3, la República Checa declara que aplazará la aplicación de
la presente Directiva a la conservación de datos de
comunicación en relación con el acceso a Internet,
la telefonı́a por Internet y el correo electrónico por
Internet hasta 36 meses después de la fecha de su
adopción.
Declaración de Bélgica
Declaración de Lituania
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
En virtud del artı́culo 15, apartado 3, del proyecto de Directiva del Parlamento Europeo y del
Consejo sobre la conservación de datos tratados o
generados en relación con la prestación de servicios
de comunicaciones electrónicas de acceso público o
de redes públicas de comunicaciones y por la que se
modifica la Directiva 2002/58/CE (en lo sucesivo,
la Directiva), la República de Lituania declara
que, una vez adoptada la Directiva, aplazará su aplicación a la conservación de datos de comunicación
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
Bélgica declara que, acogiéndose a la posibilidad
prevista en el artı́culo 15, apartado 3, y durante un
perı́odo de 36 meses tras la adopción de la presente
Directiva, aplazará su aplicación respecto a la conservación de datos de comunicación en relación con
el acceso a Internet, la telefonı́a por Internet y el
correo electrónico por Internet.
Declaración de Polonia
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
235
Normativa europea
4.6. Directiva 2006/24/CE – Conservació de dades
Polonia declara que, en virtud de la posibilidad
prevista en el artı́culo 15, apartado 3, de la Directiva del Parlamento Europeo y del Consejo sobre
la conservación de datos tratados en relación con
la prestación de servicios públicos de comunicación
electrónica y por la que se modifica la Directiva
2002/58/CE, la aplicación de la Directiva en lo relativo a la conservación de datos de comunicaciones en relación con el acceso a Internet, la telefonı́a
por Internet y el correo electrónico por Internet se
aplazará hasta 18 meses después de la fecha a que
se refiere el artı́culo 15, apartado 1.
prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva
2002/58/CE, que aplazará la aplicación de esa Directiva a la conservación de datos de comunicación
en relación con el acceso a Internet, la telefonı́a por
Internet y el correo electrónico por Internet.
Declaración de Alemania
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
Declaración de Finlandia
Alemania se reserva el derecho a posponer la
aplicación de la presente Directiva a la conservación de datos de comunicación en relación con el
acceso a Internet, la telefonı́a por Internet y el coFinlandia declara, de acuerdo con el artı́culo 15, rreo electrónico por Internet, por un perı́odo de 18
apartado 3, de la Directiva sobre la conservación meses a partir de la fecha especificada en el artı́culo
de datos tratados o generados en relación con la 15, apartado 1.
en virtud del artı́culo 15, apartado 3, de la
Directiva 2006/24/CE
236
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
4.7 Reglamento (CE) n o 1367/2006 del Parlamento Europeo y del
Consejo, de 6 de septiembre de 2006 , relativo a la aplicación, a
las instituciones y a los organismos comunitarios, de las disposiciones del Convenio de Aarhus sobre el acceso a la información,
la participación del público en la toma de decisiones y el acceso
a la justicia en materia de medio ambiente
Diario Oficial n◦ L 264 de 25/09/2006 p. 0013 0019
Reglamento (CE) no 1367/2006 del Parlamento Europeo y del Consejo de 6 de septiembre de
2006 relativo a la aplicación, a las instituciones y
a los organismos comunitarios, de las disposiciones
del Convenio de Aarhus sobre el acceso a la información, la participación del público en la toma de
decisiones y el acceso a la justicia en materia de
medio ambiente
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad
Europea y, en particular, su artı́culo 175, apartado
1,
Vista la propuesta de la Comisión,
Visto el dictamen del Comité Económico y Social Europeo [1],
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado, a la vista del
texto conjunto aprobado el 22 de junio de 2006 por
el Comité de Conciliación [2],
Considerando lo siguiente:
1. La legislación comunitaria en materia de
medio ambiente tiene como objetivos, entre
otros, contribuir a la conservación, la protección y la mejora de la calidad del medio ambiente y a la protección de la salud de las personas, promoviendo ası́ el desarrollo sostenible.
2. El sexto programa de acción comunitario en
materia de medio ambiente [3] hace hincapié
en la importancia de proporcionar una infor-
mación adecuada sobre el medio ambiente y
de abrir posibilidades reales de participación
pública en el proceso de toma de decisiones
medioambientales, incrementando con ello la
responsabilidad y la transparencia en la toma
de decisiones, y contribuyendo a la concienciación y el apoyo públicos a las decisiones
adoptadas. Al igual que sus antecesores [4],
el programa también fomenta una aplicación
más efectiva de la legislación comunitaria sobre la protección del medio ambiente, a través
del cumplimiento de la normativa de la Comunidad y de la actuación contra las violaciones
de la legislación medioambiental comunitaria.
3. El 25 de junio de 1998 la Comunidad firmó
el Convenio de la Comisión Económica para
Europa de las Naciones Unidas (CEPE) sobre
el acceso a la información, la participación del
público en la toma de decisiones y el acceso a
la justicia en materia de medio ambiente (en lo
sucesivo, .el Convenio de Aarhus”). La Comunidad aprobó el Convenio de Aarhus el 17 de
febrero de 2005 [5]. Las disposiciones del Derecho comunitario deben ser compatibles con
dicho Convenio.
4. La Comunidad ya ha adoptado un conjunto
de medidas legislativas que está en evolución y
que contribuye a lograr los objetivos del Convenio de Aarhus. Es preciso disponer que los
requisitos del Convenio se apliquen a las instituciones y los organismos comunitarios.
5. Es oportuno abordar los tres pilares del Convenio de Aarhus, a saber, el acceso a la información, la participación pública en la toma de
decisiones y el acceso a la justicia en materia
de medio ambiente, en un mismo texto legislativo, y establecer disposiciones comunes en
237
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
cuanto a objetivos y definiciones. Ello contribuirá a la racionalización de la legislación y al
incremento de la transparencia de las medidas
de aplicación que se adopten a nivel comunitario.
6. Como principio general, los derechos garantizados por los tres pilares del Convenio de
Aarhus lo son sin discriminación por razón de
ciudadanı́a, nacionalidad o domicilio.
7. El concepto de autoridad pública se define en
el Convenio de Aarhus de manera muy amplia, siendo el concepto básico que en todos
los ámbitos donde se ejercen funciones públicas deben establecerse derechos para los individuos y sus organizaciones. Por consiguiente, es preciso que las instituciones y los organismos comunitarios contemplados por el presente Reglamento sean objeto de una definición igualmente amplia y funcional. En cumplimiento de lo dispuesto en el Convenio de
Aarhus, pueden excluirse del ámbito de aplicación del Convenio las instituciones y los organismos comunitarios cuando actúen en ejercicio de poderes judiciales o legislativos. Sin
embargo, por motivos de coherencia con el Reglamento (CE) no 1049/2001 del Parlamento
Europeo y del Consejo, de 30 de mayo de 2001,
relativo al acceso del público a los documentos
del Parlamento Europeo, del Consejo y de la
Comisión [6], las disposiciones sobre el acceso
a la información medioambiental deben aplicarse a las instituciones y organismos comunitarios cuando actúen en ejercicio de poderes
legislativos.
8. La definición de información medioambiental
en el presente Reglamento abarca toda la información, disponible en cualquier forma, que
se refiera al estado del medio ambiente. Esta
definición, similar a la adoptada en virtud de
la Directiva 2003/4/CE del Parlamento Europeo y del Consejo, de 28 de enero de 2003,
relativa al acceso del público a la información medioambiental y por la que se deroga
la Directiva 90/313/CEE del Consejo [7], presenta un contenido igual a la adoptada en el
Convenio de Aarhus. La definición de ”documento”que figura en el Reglamento (CE) no
1049/2001 abarca la información medioam-
biental tal y como se define en el presente Reglamento.
9. Es conveniente que el presente Reglamento
incluya una definición de ”planes y programas”que tenga en cuenta las disposiciones del
Convenio de Aarhus y responda a un enfoque paralelo al adoptado en relación con las
obligaciones de los Estados miembros en virtud de la legislación comunitaria vigente. Los
”planes y programas relacionados con el medio ambiente”deben definirse en función de su
contribución a la consecución de los objetivos
y prioridades de la polı́tica comunitaria de medio ambiente o a su posible importante efecto
en relación con tales objetivos y prioridades.
Durante un perı́odo de diez años a partir del
22 de julio de 2002, el sexto programa de acción comunitario en materia de medio ambiente fija los objetivos de la polı́tica comunitaria
de medio ambiente y determina las acciones
previstas para alcanzarlos. Al final de dicho
perı́odo, debe adoptarse un nuevo programa
de acción en materia de medio ambiente.
10. Habida cuenta de que el Derecho medioambiental se halla en constante evolución, la definición correspondiente debe hacer referencia
a los objetivos de la polı́tica comunitaria de
medio ambiente, tal como se establecen en el
Tratado.
11. Los actos administrativos de alcance individual han de poder ser objeto de una posible revisión interna cuando sean vinculantes
y surtan un efecto externo. De forma similar,
han de estar cubiertas las omisiones en los casos en que exista la obligación de adoptar un
acto administrativo en virtud del Derecho medioambiental. Dado que pueden excluirse los
actos de las instituciones u organismos comunitarios que actúen en ejercicio de poderes judiciales o legislativos, también habrán de excluirse otros procedimientos de investigación
en los que las instituciones y los organismos
comunitarios actúen en calidad de instancia
de revisión administrativa en aplicación de lo
dispuesto en el Tratado.
12. El Convenio de Aarhus aboga por el acceso
del público a la información medioambiental,
238
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
ya sea en el marco de una solicitud o como
resultado de su difusión activa por parte de
las autoridades a las que se refiere el Convenio. El Reglamento (CE) no 1049/2001, en el
que se establece una serie de normas que se
ajustan en gran medida a lo dispuesto en el
Convenio de Aarhus, se aplica al Parlamento
Europeo, al Consejo y a la Comisión, ası́ como
a las agencias u organismos creados en virtud
de un acto jurı́dico comunitario. Es necesario que la aplicación del Reglamento (CE) no
1049/2001 se haga extensiva a todas las instituciones y los organismos comunitarios.
13. Procede adoptar en el presente Reglamento
aquellas disposiciones del Convenio de Aarhus que no quedaron recogidas, total o parcialmente, en el Reglamento (CE) no 1049/2001,
en particular las relativas a la recogida y difusión de información medioambiental.
14. Para que el derecho de acceso del público a la
información medioambiental sea efectivo, es
fundamental que la información sea de calidad. Por consiguiente, es preciso adoptar normas que obliguen a las instituciones y los organismos comunitarios a garantizar dicha calidad.
15. Las excepciones contempladas en el Reglamento (CE) no 1049/2001 deben aplicarse subordinadas a cualquier otra disposición especı́fica en el presente Reglamento relativa a
las solicitudes de información medioambiental. Los motivos de denegación en lo que se refiere al acceso a la información medioambiental deben interpretarse de forma restrictiva,
teniendo en cuenta el interés público atendido
por la divulgación y si la información solicitada se refiere a emisiones en el medio ambiente. El término ı̈ntereses comerciales.abarca los
acuerdos confidenciales celebrados por instituciones u organismos que actúen en su capacidad bancaria.
16. En virtud de la Decisión no 2119/98/CE del
Parlamento Europeo y del Consejo, de 24 de
septiembre de 1998, por la que se crea una
red de vigilancia epidemiológica y de control
de las enfermedades transmisibles en la Comunidad [8], se ha creado una red a escala comunitaria para potenciar la cooperación y la
coordinación entre los Estados miembros, con
la asistencia de la Comisión, a fin de mejorar
la prevención y el control en la Comunidad
de una serie de enfermedades transmisibles.
La Decisión no 1786/2002/CE del Parlamento
Europeo y del Consejo [9] adopta un programa de acción comunitario en el ámbito de la
salud pública que complementa a las polı́ticas
nacionales. La mejora de la información y los
conocimientos a fin de fomentar la salud pública y el aumento de la capacidad de reaccionar rápida y coordinadamente ante los riesgos
sanitarios, que son dos elementos de este programa, son objetivos que también se ajustan
por completo a los requisitos del Convenio de
Aarhus. Por lo tanto, el presente Reglamento
debe aplicarse sin perjuicio de lo dispuesto en
la Decisión no 2119/98/CE y la Decisión no
1786/2002/CE.
17. El Convenio de Aarhus exige la adopción de
disposiciones que permitan la participación
del público en la elaboración de los planes y
programas relativos al medio ambiente. Dichas disposiciones deben exigir el establecimiento de plazos razonables para informar al
público sobre el proceso de toma de decisiones
relativas al medio ambiente de que se trate.
Para que sea efectiva, la participación pública
debe producirse al inicio del procedimiento, es
decir, cuando todas las opciones son aún posibles. Al adoptar disposiciones sobre la participación pública, las instituciones y los organismos comunitarios deben designar al público susceptible de participar. El Convenio
de Aarhus requiere asimismo que, en la medida adecuada, las Partes se esfuercen por dar
oportunidades para la participación del público en la preparación de las polı́ticas relativas
al medio ambiente.
18. El artı́culo 9, apartado 3, del Convenio de
Aarhus establece el acceso a procedimientos
judiciales o a otros procedimientos de revisión para impugnar las acciones u omisiones
de particulares o de autoridades públicas que
vulneren las disposiciones del Derecho medioambiental. Las disposiciones en materia de
acceso a la justicia deben ser compatibles con
lo dispuesto en el Tratado. En este contexto,
239
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
procede que el presente Reglamento se aplique exclusivamente a las acciones y omisiones
de las autoridades públicas.
19. Para garantizar medidas reparadoras adecuadas y efectivas, incluidas las que pueda acordar el Tribunal de Justicia de las Comunidades Europeas con arreglo a las disposiciones
pertinentes del Tratado, procede que a la institución u organismo comunitario responsable
de la acción impugnada o que, en caso de supuesta omisión administrativa, no actuó, se le
ofrezca la posibilidad de reconsiderar su decisión o, en caso de omisión, de actuar.
20. Las organizaciones no gubernamentales que
trabajan en favor de la protección del medio ambiente y que cumplen determinados criterios, en particular para garantizar que son
organizaciones independientes y responsables
que han demostrado que su principal objetivo es el fomento de la protección del medio
ambiente, deben poder solicitar la revisión interna a escala comunitaria de los actos u omisiones en virtud del Derecho medioambiental
de una institución u organismo comunitario,
para su reconsideración por la institución u
organismo en cuestión.
21. En los casos en los que los procedimientos previos de revisión interna no prosperen, la organización no gubernamental de que se trate
podrá interponer recurso ante el Tribunal de
Justicia con arreglo a las disposiciones pertinentes del Tratado.
22. El presente Reglamento respeta los derechos
fundamentales y observa los principios reconocidos por el artı́culo 6 del Tratado de la Unión
Europea y reflejados en la Carta de los Derechos Fundamentales de la Unión Europea, en
particular en su artı́culo 37.
HAN ADOPTADO EL PRESENTE REGLAMENTO:
TÍTULO I DISPOSICIONES GENERALES
1. El presente Reglamento tiene el objetivo de
contribuir a la aplicación de las obligaciones
derivadas del Convenio de la Comisión Económica para Europa de las Naciones Unidas
(CEPE) sobre el acceso a la información, la
participación del público en la toma de decisiones y el acceso a la justicia en materia de
medio ambiente (en lo sucesivo, .el Convenio
de Aarhus”), mediante el establecimiento de
normas para aplicar las disposiciones de dicho Convenio a las instituciones y organismos
comunitarios, en particular por los siguientes
medios:
a) garantizar el derecho de acceso del público a la información medioambiental recibida o producida por las instituciones u
organismos comunitarios que obre en poder de estos y establecer las condiciones
básicas y las modalidades prácticas de su
ejercicio;
b) velar por que la información medioambiental se difunda y se ponga a disposición del público paulatinamente con objeto de lograr su difusión y puesta a disposición del público lo más amplia y sistemática posible. Para ese fin deberá fomentarse, en particular, el uso de la tecnologı́a de la telecomunicación informática y/o electrónica, siempre que pueda
disponerse de la misma;
c) prever la participación pública en los planes y programas relativos al medio ambiente;
d) otorgar el acceso a la justicia en materia
de medio ambiente a nivel comunitario,
con arreglo a las condiciones establecidas
en el presente Reglamento.
2. Al aplicar las disposiciones del presente Reglamento, las instituciones y organismos comunitarios se esforzarán por asistir y orientar
al público con respecto al acceso a la información, la participación en la toma de decisiones
y el acceso a la justicia en materia de medio
ambiente.
Artı́culo 1
Artı́culo 2
Objetivo
Definiciones
240
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
1. A efectos del presente Reglamento se entenderá por:
solicitante : toda persona fı́sica o jurı́dica
que solicite información medioambiental;
público : una o varias personas fı́sicas o jurı́dicas y las asociaciones, organizaciones
o grupos constituidos por esas personas;
instituciones u organismos comunitarios
: las instituciones, organismos, oficinas o
agencias públicos creados por o en virtud del Tratado, salvo cuando actúen
en ejercicio de poderes judiciales o legislativos. No obstante, las disposiciones
en virtud del tı́tulo II se aplicarán a las
instituciones u organismos comunitarios
cuando actúen en ejercicio de sus poderes legislativos;
información medioambiental : toda información en forma escrita, visual, sonora, electrónica o en cualquier otra forma
material y que se refiera a:
i) la situación de elementos del medio
ambiente, como el aire y la atmósfera, el agua, el suelo, la tierra, el
paisaje y espacios naturales, incluidos los humedales y las zonas marinas y costeras, la diversidad biológica y sus componentes, incluidos
los organismos modificados genéticamente, y la interacción entre estos
elementos,
ii) factores como las sustancias, la energı́a, el ruido, las radiaciones o residuos, incluidos los residuos radiactivos, las emisiones, los vertidos y
otras liberaciones en el medio ambiente, que afecten o puedan afectar
a los elementos del medio ambiente
citados en el inciso i),
iii) medidas (incluidas las medidas administrativas), como polı́ticas, normas, planes, programas, acuerdos en
materia de medio ambiente y actividades que afecten o puedan afectar
a los elementos y factores citados en
los incisos i) y ii), ası́ como las actividades o las medidas destinadas a
proteger estos elementos,
iv) informes sobre la ejecución de la legislación medioambiental,
v) análisis de la relación coste-beneficio
y otros análisis y supuestos de carácter económico utilizados en el marco
de las medidas y actividades citadas
en el inciso iii),
vi) el estado de la salud y seguridad de
las personas, incluida, en su caso, la
contaminación de la cadena alimentaria, condiciones de vida humana,
emplazamientos culturales y construcciones, cuando se vean o puedan
verse afectados por el estado de los
elementos del medio ambiente citados en el inciso i) o, a través de estos elementos, por cualquiera de los
extremos citados en los incisos ii) y
iii);
planes y programas relativos al medio ambiente
: los planes y programas:
i) cuya elaboración y, si procede, adopción corresponda a una institución u
organismo comunitario,
ii) que sean exigidos en virtud de disposiciones legales, reglamentarias o
administrativas, y
iii) que contribuyan a la consecución de
los objetivos de la polı́tica comunitaria de medio ambiente o puedan tener un efecto significativo para el logro de dichos objetivos, según lo establecido en el sexto programa de acción comunitario en materia de medio ambiente, o en cualquier programa general posterior de acción medioambiental.
Los programas generales de acción medioambiental también se considerarán
como planes y programas relativos al medio ambiente.
La presente definición no englobará los
planes y programas financieros o presupuestarios, a saber, los que establezcan
el modo en que han de financiarse determinados proyectos o actividades o los
relativos a los presupuestos anuales propuestos, ni los programas de trabajo internos de las instituciones u organismos
241
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
comunitarios, ni los planes y programas
El Reglamento (CE) no 1049/2001 se aplicará
de emergencia cuya única finalidad sea la a cualquier solicitud de acceso a información meprotección civil;
dioambiental que obre en poder de las instituciones
Derecho medioambiental : la legislación y organismos comunitarios, sin discriminación por
comunitaria que, independientemente de razón de nacionalidad, ciudadanı́a o domicilio, y, en
su fundamento jurı́dico, contribuya a el caso de las personas jurı́dicas, sin discriminación
perseguir los objetivos de la polı́tica co- por razón del lugar en que estas tengan su sede ofimunitaria en materia de medio ambien- cial o un centro efectivo de actividades.
te tal como se establecen en el Tratado:
la conservación, la protección y la mejora de la calidad del medio ambiente, la
protección de la salud de las personas,
la utilización prudente y racional de los
recursos naturales y el fomento de medidas a escala internacional destinadas a
hacer frente a los problemas regionales o
mundiales del medio ambiente;
A efectos del presente Reglamento, el término
ı̈nstitución”del Reglamento (CE) no 1049/2001 se
entenderá como ı̈nstitución u organismo comunitario”.
acto administrativo : cualquier medida de
alcance individual conforme al Derecho
medioambiental, adoptada por una institución u organismo comunitario y que
surta efecto jurı́dicamente vinculante y
externo;
1. Las instituciones y organismos comunitarios
organizarán la información medioambiental
relevante para sus funciones que obre en su
poder, con vistas a su difusión activa y sistemática al público, particularmente por medio de la tecnologı́a de telecomunicación informática y/o electrónica de conformidad con
lo dispuesto en el artı́culo 11, apartados 1 y
2, y en el artı́culo 12 del Reglamento (CE) no
1049/2001. Dichas instituciones y organismos
harán que la información medioambiental esté
disponible paulatinamente en bases de datos
electrónicas de fácil acceso al público a través de redes públicas de telecomunicaciones.
Para ese fin, almacenarán la información medioambiental que posean en bases de datos a
las que dotarán de dispositivos de búsqueda
y otros tipos de programas informáticos concebidos para ayudar al público a localizar la
información que requiera.
omisión administrativa : la no adopción,
por una institución u organismo comunitario, de un acto administrativo definido
en la letra g).
2. Los actos y omisiones administrativos no englobarán las medidas adoptadas, o las omisiones, por una institución u organismo comunitario que actúe en calidad de instancia de
revisión administrativa, en virtud de las siguientes disposiciones del Tratado:
a) artı́culos 81, 82, 86 y 87 (normas sobre
competencia);
b) artı́culos 226 y 228 (procedimiento por
incumplimiento);
c) artı́culo 195 (reclamaciones ante el Defensor del Pueblo);
d) artı́culo 280 (procedimiento de la Oficina
Europea de Lucha contra el Fraude).
TÍTULO II ACCESO A LA INFORMACIÓN MEDIOAMBIENTAL
Artı́culo 3
Aplicación del Reglamento (CE) no 1049/2001
Artı́culo 4
Recogida y difusión de información medioambiental
No será preciso que la información facilitada
mediante las telecomunicaciones informáticas
o por otros medios electrónicos incluya la información recogida con anterioridad a la entrada en vigor del presente Reglamento, a menos que esta ya exista en forma electrónica.
Las instituciones y organismos comunitarios
indicarán, en la medida de lo posible, dónde está localizada la información recogida con
anterioridad a la entrada en vigor del presente
Reglamento y que no existe en forma electrónica.
242
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
Las instituciones y organismos comunitarios
realizarán todos los esfuerzos razonables para
conservar la información medioambiental que
obre en su poder en formas o formatos de fácil reproducción y acceso mediante las telecomunicaciones informáticas o por otros medios
electrónicos.
2. La información medioambiental que se haya
de facilitar y difundir será actualizada si procede. Además de los documentos enumerados
en el artı́culo 12, apartados 2 y 3, y en el artı́culo 13, apartados 1 y 2, del Reglamento
(CE) no 1049/2001, en las bases de datos o
los registros también figurarán:
a) los textos de tratados, convenios o acuerdos internacionales y de la legislación comunitaria sobre el medio ambiente o relacionados con él, y de las polı́ticas, programas y planes relacionados con el medio ambiente;
b) los informes sobre los avances registrados
en materia de aplicación de los puntos
contemplados en la letra a), cuando las
instituciones u organismos comunitarios
los hayan elaborado o dispongan de ellos
en formato electrónico;
3. Cuando resulte adecuado, las instituciones y
organismos comunitarios podrán satisfacer los
requisitos de los apartados 1 y 2 mediante el
establecimiento de enlaces con los sitios Internet en los que sea posible hallar la información.
4. La Comisión velará por que se publique y difunda, a intervalos periódicos que no superarán los cuatro años, un informe sobre la situación del medio ambiente, en el que se incluirán datos sobre la calidad del medio ambiente y las presiones que este sufra.
Artı́culo 5
Calidad de la información medioambiental
1. Las instituciones y organismos comunitarios
harán cuanto esté en su poder por garantizar que cualquier información que recopilen
directamente, o recopilen otros en su nombre,
esté actualizada y sea precisa y susceptible de
comparación.
c) las medidas adoptadas en los procedimientos por incumplimiento del Derecho
comunitario a partir de la emisión del
dictamen motivado en virtud del artı́culo
226, párrafo primero, del Tratado;
2. Las instituciones y organismos comunitarios
informarán al solicitante, previa petición, sobre el lugar en el que puede hallar la información, siempre y cuando esta esté disponible, relativa a los procedimientos de medición
(incluidos los métodos de análisis, muestreo y
pretratamiento de muestras) utilizados en la
obtención de la información. Alternativamente, lo remitirán al procedimiento normalizado
que se haya utilizado.
d) los informes sobre la situación del medio
ambiente indicados en el apartado 4;
Artı́culo 6
Aplicación de excepciones respecto de las solicie) los datos o resúmenes de los datos deritudes
de acceso a información medioambiental
vados del seguimiento de las actividades
que afecten o puedan afectar al medio
1. Por lo que respecta al artı́culo 4, apartado
ambiente;
2, guiones primero y tercero, del Reglamenf) las autorizaciones con un efecto significato (CE) no 1049/2001, con excepción de las
tivo sobre el medio ambiente y los acuerinvestigaciones, en particular aquellas relatidos medioambientales, o una referencia
vas a posibles incumplimientos del Derecho
al lugar donde se puede solicitar esa incomunitario, se considerará que la divulgación
formación o acceder a ella;
reviste un interés público superior cuando la
g) los estudios sobre el impacto medioaminformación solicitada se refiera a emisiones
biental y las evaluaciones de riesgo relaal medio ambiente. Por lo que respecta a las
tivas a los elementos medioambientales,
demás excepciones contempladas en el artı́cuo una referencia al lugar donde se puede
lo 4 del Reglamento (CE) no 1049/2001, los
solicitar esa información o acceder a ella.
motivos de denegación serán interpretados de
243
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
manera restrictiva, teniendo en cuenta el in- las obligaciones especı́ficas establecidas por la legisterés público que reviste la divulgación y si la lación comunitaria, en particular en la Decisión no
información solicitada se refiere a emisiones al 2119/98/CE y la Decisión no 1786/2002/CE.
medio ambiente.
TÍTULO III PARTICIPACIÓN PÚBLICA
EN RELACIÓN CON PLANES Y PRO2. Además de las excepciones contempladas en el
GRAMAS
RELATIVOS AL MEDIO AMartı́culo 4 del Reglamento (CE) no 1049/2001,
BIENTE
las instituciones y organismos comunitarios
podrán denegar el acceso a información meArtı́culo 9
dioambiental cuando la divulgación de la información pudiera afectar negativamente a la
1. Las instituciones y organismos comunitarios
protección del medio ambiente a que se refiere
proporcionarán al público, mediante las adedicha información, como los lugares de reprocuadas disposiciones prácticas o de otra ı́nducción de especies raras.
dole, oportunidades tempranas y efectivas de
participar durante la preparación, modificaArtı́culo 7
ción o revisión de los planes o programas relaSolicitudes de acceso a información medioamtivos al medio ambiente cuando todas las opbiental que no obre en poder de una institución u
ciones son aún posibles. En particular, cuanorganismo comunitario
do la Comisión prepare una propuesta de un
plan o programa de esta ı́ndole que transmita
En los casos en que una institución u organismo
a otras instituciones u organismos comunitacomunitario reciba una solicitud de acceso a una
rios para que decidan al respecto, dispondrá la
información medioambiental que no obre en su poparticipación pública en esa fase preparatoria.
der, deberá informar cuanto antes al solicitante, y
a más tardar en un plazo de 15 dı́as hábiles, sobre
la institución u organismo comunitario o la autoridad pública conforme a lo dispuesto en la Directiva
2003/4/CE a quien puede dirigirse, según su conocimiento, para solicitar la información de que se trate,
o bien transmitir la solicitud a la institución u organismo comunitario o la autoridad pública pertinente
e informar de ello al solicitante.
Artı́culo 8
Cooperación
En caso de amenaza inminente para la salud humana, la vida o el medio ambiente provocada por
actividades humanas o por causas naturales, las instituciones y organismos comunitarios colaborarán
con las autoridades públicas conforme a lo dispuesto
en la Directiva 2003/4/CE, previa petición de estas,
y les ayudarán a difundir inmediatamente al público que pueda resultar afectado toda la información
medioambiental que le permita la adopción de medidas para prevenir o limitar los daños provocados
por la amenaza, en la medida en que dicha información obre en poder de las instituciones y organismos
comunitarios y/o de las autoridades públicas mencionadas o la posean otros en su nombre.
El párrafo primero se aplicará sin perjuicio de
2. Las instituciones y organismos comunitarios
determinarán el público que se ve o puede verse afectado por un plan o programa del tipo
mencionado en el apartado 1, o que tenga un
interés en el mismo, atendiendo a los objetivos
del presente Reglamento.
3. Las instituciones y organismos comunitarios
velarán por que se informe al público a que se
refiere el apartado 2, ya sea mediante anuncios
públicos o por otros medios apropiados, como
los medios electrónicos cuando se disponga de
ellos, acerca de:
a) el proyecto de la propuesta, si se dispone
del mismo;
b) la información medioambiental o la evaluación relevante para el programa en
elaboración, si se dispone de la misma,
y
c) las modalidades prácticas de participación, incluyendo:
i) la entidad administrativa de la que
puede obtenerse la información relevante,
244
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
ii) la entidad administrativa a la que
pueden transmitirse observaciones,
opiniones o preguntas, y
iii) los plazos razonables que concedan
suficiente tiempo para que el público sea informado y para que este se
prepare y participe efectivamente en
el proceso de toma de decisiones en
materia de medio ambiente.
4. Se fijará un plazo mı́nimo de ocho semanas
para la recepción de observaciones. Siempre
que se organicen reuniones o consultas, se informará de estas con una antelación mı́nima
de cuatro semanas. Los plazos podrán reducirse en caso de urgencia o cuando el público
haya tenido ya la posibilidad de formular observaciones sobre el plan o programa de que
se trate.
5. Al adoptar su decisión sobre un plan o programa relacionado con el medio ambiente, las instituciones y organismos comunitarios tomarán
debidamente en cuenta el resultado del proceso de participación del público. Las instituciones y organismos comunitarios deberán informar al público sobre dicho plan o programa,
incluido su texto, y sobre las razones y consideraciones en las que se ha basado la decisión, incluida la información sobre el proceso
de participación del público.
TÍTULO IV REVISIÓN INTERNA Y
ACCESO A LA JUSTICIA
Artı́culo 10
Solicitud de revisión interna de actos administrativos
1. Cualquier organización no gubernamental que
cumpla los criterios enunciados en el artı́culo
11 podrá efectuar una solicitud de revisión interna ante la institución u organismo comunitario que haya adoptado un acto administrativo con arreglo al Derecho medioambiental o,
en caso de supuesta omisión administrativa,
que hubiera debido adoptar dicho acto. La petición se hará por escrito en un plazo máximo
de seis semanas a partir de la adopción, notificación o publicación del acto administrativo,
tomándose como referencia la más tardı́a de
estas tres fechas, o, en caso de supuesta omisión, de seis semanas a partir de la fecha en
que se haya requerido la adopción del acto administrativo. En la solicitud se expondrán los
motivos de la revisión.
2. La institución u organismo comunitario a que
se refiere el apartado 1 deberá examinar la
solicitud, a menos que carezca claramente de
fundamento. Expondrá sus motivos en una
respuesta escrita lo antes posible, y a más tardar en un plazo de doce semanas a partir de
la recepción de la solicitud.
3. En los casos en que la institución u organismo
comunitario no sea capaz, pese a la debida diligencia, de pronunciarse de conformidad con
el apartado 2, deberá informar a la organización no gubernamental que haya efectuado la
solicitud, lo antes posible, y a más tardar dentro del plazo mencionado en dicho apartado,
de los motivos de no haberse pronunciado y
del tiempo que necesitará para hacerlo.
En cualquier caso, la institución u organismo
comunitario se pronunciará en las dieciocho
semanas a partir de la recepción de la solicitud.
Artı́culo 11
Criterios de legitimación a nivel comunitario
1. Una organización no gubernamental estará legitimada para efectuar una solicitud de revisión interna con arreglo a lo dispuesto en el
artı́culo 10 siempre y cuando:
a) sea una persona jurı́dica independiente
y sin ánimo de lucro con arreglo a legislación o práctica nacional de un Estado
miembro;
b) tenga por objetivo primordial declarado
promover la protección del medio ambiente en el contexto del Derecho medioambiental;
c) haya existido durante más de dos años y
esté trabajando activamente en el objetivo mencionado en la letra b);
d) el asunto a que se refiera la solicitud de
revisión interna entre en el ámbito de su
objetivo y de sus actividades.
245
Normativa europea
4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació
2. La Comisión adoptará las disposiciones que
El presente Reglamento será obligatorio en tosean necesarias para velar por que los criterios dos sus elementos y directamente aplicable en cada
del apartado 1 se apliquen de modo transpa- Estado miembro.
rente y coherente.
Hecho en Estrasburgo, el 6 de septiembre de
2006.
Artı́culo 12
Recurso ante el Tribunal de Justicia
1. La organización no gubernamental que haya
efectuado una solicitud de revisión interna en
virtud del artı́culo 10 podrá interponer recurso ante el Tribunal de Justicia de conformidad
con las disposiciones pertinentes del Tratado.
2. Cuando la institución u organismo comunitario no actúe de conformidad con lo dispuesto
en el artı́culo 10, apartados 2 o 3, la organización no gubernamental podrá interponer
recurso ante el Tribunal de Justicia de conformidad con las disposiciones pertinentes del
Tratado.
TÍTULO V DISPOSICIONES FINALES
Artı́culo 13
Medidas de aplicación
Por el Parlamento Europeo
El Presidente
J. Borrell Fontelles
Por el Consejo
La Presidenta
P. Lehtomäki
[1] DO C 117 de 30.4.2004, p. 52.
[2] Dictamen del Parlamento Europeo de 31 de marzo de
2004 (DO C 103 E de 29.4.2004, p. 612), Posición Común del
Consejo de 18 de julio de 2005 (DO C 264 E de 25.10.2005,
p. 18) y Posición del Parlamento Europeo de 18 de enero
de 2006 (no publicada aún en el Diario Oficial). Resolución
legislativa del Parlamento Europeo de 4 de julio de 2006 (no
publicada aún en el Diario Oficial) y Decisión del Consejo de
18 de julio de 2006.
[3] Decisión no 1600/2002/CE del Parlamento Europeo y
del Consejo, de 22 de julio de 2002, por la que se establece el
sexto programa de acción comunitario en materia de medio
ambiente (DO L 242 de 10.9.2002, p. 1).
En caso necesario, las instituciones y organis[4] Cuarto programa de acción comunitario en materia de
mos comunitarios adaptarán sus reglamentos inter- medio ambiente (DO C 328 de 7.12.1987, p. 1). Quinto pronos a las disposiciones del presente Reglamento. Ta- grama de acción comunitario en materia de medio ambiente
les adaptaciones surtirán efecto a partir del 28 de (DO C 138 de 17.5.1993, p. 1).
[5] Decisión 2005/370/CE del Consejo (DO L 124 de
junio de 2007.
17.5.2005, p. 1).
Artı́culo 14
Entrada en vigor
[6] DO L 145 de 31.5.2001, p. 43.
[7] DO L 41 de 14.2.2003, p. 26.
El presente Reglamento entrará en vigor el ter[8] DO L 268 de 3.10.1998, p. 1. Decisión modificada en
cer dı́a siguiente al de su publicación en el Diario último lugar por el Reglamento (CE) no 1882/2003 (DO L
284 de 31.10.2003, p. 1).
Oficial de la Unión Europea.
[9] DO L 271 de 9.10.2002, p. 1. Decisión modificada por
El presente Reglamento será aplicable a partir
la Decisión no 786/2004/CE (DO L 138 de 30.4.2004, p. 7).
del 28 de junio de 2007.
246
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
4.8 Reglamento (CE, Euratom) no 1101/2008 del Parlamento Europeo y del Consejo, de 22 de octubre de 2008 , relativo a la
transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico
(Versión codificada) Texto pertinente a efectos del EEE
Diario Oficial n◦ L 304 de 14/11/2008 p. 0070 0074
Reglamento (CE, Euratom) no 1101/2008 del
Parlamento Europeo y del Consejo de 22 de octubre de 2008 relativo a la transmisión a la Oficina
Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico
(Versión codificada)
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad
Europea y, en particular, su artı́culo 285,
Visto el Tratado constitutivo de la Comunidad
Europea de la Energı́a Atómica y, en particular, su
artı́culo 187,
Vista la propuesta de la Comisión,
De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado [1],
Considerando lo siguiente:
1. El Reglamento (Euratom, CEE) no 1588/90
del Consejo, de 11 de junio de 1990, relativo
a la transmisión a la Oficina Estadı́stica de
las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico [2],
ha sido modificado en diversas ocasiones y de
forma sustancial [3]. Conviene, en aras de una
mayor racionalidad y claridad, proceder a la
codificación de dicho Reglamento.
2. La Comisión debe disponer de informaciones
completas y fiables para cumplir los cometidos
que le atribuyen los Tratados. En aras de una
gestión eficaz, serı́a conveniente que la Oficina Estadı́stica de las Comunidades Europeas,
en lo sucesivo denominada .Eurostat”, dispon-
ga de toda la información estadı́stica nacional que le sea necesaria para la elaboración
de estadı́sticas a nivel comunitario y para la
realización de los análisis apropiados.
3. El artı́culo 10 del Tratado CE y el artı́culo
192 del Tratado Euratom imponen a los Estados miembros la obligación de facilitar a la
Comisión el cumplimiento de su misión. Esta obligación implica también la comunicación
de cualquier información necesaria a tal efecto. Además, la falta de datos estadı́sticos confidenciales constituye para Eurostat una pérdida importante de información a nivel comunitario y dificulta la elaboración de estadı́sticas y la realización de análisis sobre la Comunidad.
4. Los Estados miembros no tienen motivos para seguir invocando disposiciones relativas al
secreto estadı́stico, pues está establecido que
Eurostat ofrece las mismas garantı́as de confidencialidad de los datos que los institutos nacionales de estadı́stica. Dichas garantı́as aparecen ya, en cierta medida, en los Tratados
comunitarios, en particular, en el artı́culo 287
del Tratado CE y en el artı́culo 194, apartado
1, del Tratado Euratom, ası́ como en el artı́culo 17 del Reglamento (CEE, Euratom, CECA)
no 259/68 del Consejo, de 29 de febrero de
1968, por el que se establece el Estatuto de
los funcionarios de las Comunidades Europeas
y el régimen aplicable a los otros agentes de
estas Comunidades y por el que se establecen
medidas especı́ficas aplicables temporalmente
a los funcionarios de la Comisión [4], y pueden reforzarse mediante medidas apropiadas,
adoptadas en aplicación del presente Reglamento.
5. Toda violación del secreto estadı́stico protegido por el presente Reglamento debe ser objeto
247
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
de una represión eficaz, sea quien fuere el autor.
6. Cualquier incumplimiento de las obligaciones
a las que están sometidos los funcionarios y
los demás agentes de Eurostat, cometido voluntariamente o por negligencia, da lugar a la
aplicación de sanciones disciplinarias, ası́ como a la aplicación, en su caso, de sanciones
penales por violación del secreto profesional
con arreglo a las disposiciones combinadas de
los artı́culos 12 y 18 del Protocolo sobre los
privilegios y las inmunidades de las Comunidades Europeas.
1. El presente Reglamento tiene por objeto:
a) autorizar a las autoridades nacionales
para transmitir a la Oficina Estadı́stica
de las Comunidades Europeas, en lo sucesivo denominada .Eurostat”, datos estadı́sticos confidenciales;
b) garantizar que la Comisión adopte todas
las medidas necesarias para mantener la
confidencialidad de los datos transmitidos.
2. El presente Reglamento se aplicará únicamente al secreto estadı́stico. No afectará a las disposiciones particulares, comunitarias o nacionales, relativas a la salvaguardia de otros secretos que no sean los estadı́sticos.
7. El presente Reglamento se refiere exclusivamente a la comunicación a Eurostat de datos estadı́sticos que estén amparados por el
secreto estadı́stico en el ámbito de competencia de los institutos nacionales de estadı́stica,
Artı́culo 2
y no afecta a las disposiciones especı́ficas del
A efectos del presente Reglamento, se entenderá
Derecho nacional y comunitario relativas a la
por:
transmisión a la Comisión de cualquier otro
tipo de informaciones.
datos estadı́sticos confidenciales : los que se
8. El presente Reglamento se adopta sin perjuidefinen en el artı́culo 13 del Reglamento (CE)
cio de lo dispuesto en el artı́culo 296, apartado
no 322/97 del Consejo, de 17 de febrero de
1, letra a), del Tratado CE, en virtud del cual
1997, sobre la estadı́stica comunitaria [6];
ningún Estado miembro está obligado a facilitar información cuya divulgación considere instancias nacionales : los institutos nacionales
contraria a los intereses esenciales de su segude estadı́stica y demás instituciones nacionaridad.
les encargadas de la recogida y explotación de
datos estadı́sticos para las Comunidades;
9. La aplicación de la disposiciones del presente
Reglamento y, en particular, de las tendentes información sobre la vida privada de
las
a garantizar la protección de los datos estadı́spersonas fı́sicas : la información sobre la
ticos confidenciales transmitidos a Eurostat,
vida personal y familiar de las personas fı́sihace necesario disponer de recursos humanos,
cas, definida por las legislaciones o prácticas
técnicos y financieros.
nacionales de los diferentes Estados miembros;
10. Procede aprobar las medidas necesarias para la ejecución del presente Reglamento con
utilización con fines estadı́sticos : la utilizaarreglo a la Decisión 1999/468/CE del Conción exclusiva para la preparación de cuasejo, de 28 de junio de 1999, por la que se
dros estadı́sticos o la elaboración de análisis
establecen los procedimientos para el ejercicio
estadı́stico-económicos; no podrán utilizarse
de las competencias de ejecución atribuidas a
con fines administrativos, judiciales, fiscales o
la Comisión [5].
de control contra las unidades encuestadas;
HAN ADOPTADO EL PRESENTE REGLA- unidad estadı́stica : la unidad elemental que suMENTO:
ministra la información estadı́stica transmitiArtı́culo 1
da a Eurostat;
248
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
identificación directa : la identificación de una
unidad estadı́stica a partir de su nombre o dirección, o de un número de identificación oficialmente atribuido y hecho público;
identificación indirecta : la posibilidad de deducir la identidad de una unidad estadı́stica por
otro medio que no sean los elementos mencionados en la letra f);
funcionarios de Eurostat : los funcionarios de
las Comunidades, a efectos del artı́culo 1 del
Estatuto de los funcionarios de las Comunidades Europeas, destinados a Eurostat;
otros agentes de Eurostat : los agentes de las
Comunidades, a efectos de los artı́culos 2 a
5 del régimen aplicable a los otros agentes de
las Comunidades Europeas, destinados a Eurostat;
difusión : el suministro de datos en cualquier forma: publicaciones, acceso a las bases de datos,
microfichas, comunicación telefónica, etc.
Artı́culo 3
1. Las instancias nacionales estarán autorizadas
para transmitir datos estadı́sticos confidenciales a Eurostat.
Artı́culo 4
1. La Comisión adoptará todas las medidas
reglamentarias, administrativas, técnicas y
de organización necesarias para garantizar
la confidencialidad de los datos estadı́sticos
transmitidos a Eurostat por las autoridades
competentes de los Estados miembros, de conformidad con el artı́culo 3.
2. La Comisión establecerá las modalidades de
transmisión de los datos estadı́sticos confidenciales a Eurostat y los principios aplicables a
la protección de dichos datos, con arreglo al
procedimiento contemplado en el artı́culo 7,
apartado 2.
Artı́culo 5
1. La Comisión encargará al director general de
Eurostat que garantice la protección de los datos transmitidos a Eurostat por las autoridades nacionales de los Estados miembros. La
Comisión establecerá las modalidades de organización interna de Eurostat con el fin de
garantizar dicha protección, previa consulta
al Comité previsto en el artı́culo 7, apartado
1.
2. Las disposiciones nacionales relativas al secreto estadı́stico no podrán ser invocadas contra
la transmisión de datos estadı́sticos confidenciales a Eurostat cuando un acto de Derecho
comunitario que regule una estadı́stica comunitaria prevea la transmisión de dichos datos.
2. Los datos estadı́sticos confidenciales transmitidos a Eurostat solo serán accesibles a los funcionarios de Eurostat y únicamente podrán
utilizarse por parte de estos con fines exclusivamente estadı́sticos.
3. La transmisión de datos estadı́sticos confidenciales a Eurostat, con arreglo al apartado 2, se
efectuará de forma tal que resulte imposible la
identificación directa de las unidades estadı́sticas. Ello no impedirá que existan normas de
mayor alcance en materia de transmisión, de
conformidad con la legislación de los Estados
miembros.
3. No obstante, la Comisión podrá permitir el
acceso a los datos estadı́sticos confidenciales
a otros agentes de Eurostat, ası́ como a otras
personas fı́sicas contratadas para trabajar en
los locales de Eurostat, en casos excepcionales y con fines exclusivamente estadı́sticos. La
Comisión adoptará las normas por las que se
rija dicho acceso, con arreglo al procedimiento
contemplado en el artı́culo 7, apartado 2.
4. Las autoridades nacionales no estarán obligadas a transmitir a Eurostat las informaciones
relativas a la vida privada de las personas fı́sicas, cuando las informaciones transmitidas
pudieren permitir la identificación directa o
indirecta de tales personas.
4. Los datos estadı́sticos confidenciales en poder
de Eurostat solo podrán difundirse si van englobados con otros datos de tal manera que no
pueda haber ninguna identificación, ni directa
ni indirecta, de las unidades estadı́sticas.
249
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
5. Queda prohibido a los funcionarios y demás
agentes de Eurostat, ası́ como a las demás personas fı́sicas contratadas para trabajar en los
locales de Eurostat, la utilización o la difusión
de estos datos para fines distintos de los previstos en el presente Reglamento, conservando
su validez esta prohibición incluso después de
su traslado, cese en sus funciones o jubilación.
El Comité examinará las cuestiones propuestas
por su presidente, bien a iniciativa de este, bien a
petición del representante de un Estado miembro,
relativas a la aplicación del presente Reglamento.
Artı́culo 9 Queda derogado el Reglamento (Euratom, CEE) no 1588/90, modificado por los Reglamentos contemplados en el anexo I.
Las referencias al Reglamento derogado se entenderán
hechas al presente Reglamento y se leerán
6. Las medidas de protección contempladas en
con
arreglo
a la tabla de correspondencias que figura
los apartados 1 a 5 se aplicarán a:
en el anexo II.
a) todos los datos estadı́sticos confidenciaArtı́culo 10
les cuya transmisión a Eurostat esté preEl presente Reglamento entrará en vigor a los
vista en un acto de Derecho comunitario
que regule una estadı́stica comunitaria; veinte dı́as de su publicación en el Diario Oficial de
la Unión Europea.
b) todos los datos estadı́sticos confidenciaEl presente Reglamento será obligatorio en toles transmitidos voluntariamente a Eudos sus elementos y directamente aplicable en cada
rostat por los Estados miembros.
Estado miembro.
Artı́culo 6
Hecho en Estrasburgo, el 22 de octubre de 2008.
Los Estados miembros adoptarán, antes del 1 de
Por el Parlamento Europeo
enero de 1992, las medidas apropiadas para repriEl Presidente
mir cualquier infracción de la obligación de guardar
secreto respecto de los datos estadı́sticos confidenH.-G. Pöttering
ciales transmitidos de conformidad con el artı́culo
Por el Consejo
3. Dichas medidas abarcarán al menos las violacioEl Presidente
nes cometidas en el territorio del Estado miembro
de que se trate por los funcionarios y demás agentes
J.-P. Jouyet
de Eurostat y por las demás personas fı́sicas contra[1] Dictamen del Parlamento Europeo de 14 de diciembre
tadas para trabajar en los locales de Eurostat.
de 2006 (DO C 317 E de 23.12.2006, p. 600), y Decisión del
Los Estados miembros comunicarán con la ma- Consejo de 25 de septiembre de 2008.
[2] DO L 151 de 15.6.1990, p. 1.
yor brevedad a la Comisión las medidas adoptadas.
La Comisión informará de ello a los demás Estados
[3] Véase el anexo I.
miembros.
[4] DO L 56 de 4.3.1968, p. 1.
Artı́culo 7
1. La Comisión estará asistida por un Comité del
secreto estadı́stico, denominado en lo sucesivo
.el Comité”.
[5] DO L 184 de 17.7.1999, p. 23.
[6] DO L 52 de 22.2.1997, p. 1.
ANEXO I
Reglamento derogado, con sus modificaciones sucesivas
Reglamento (Euratom, CEE) no 1588/90 del Consejo
2. Cuando se haga referencia al presente aparta- (DO L 151 de 15.6.1990, p. 1) | |
do, serán de aplicación los artı́culos 4 y 7 de
Reglamento (CE) no 322/97 del Consejo (DO L 52 de
la Decisión 1999/468/CE, sin perjuicio de lo
22.2.1997, p. 1) | Únicamente el artı́culo 21, apartado 2 |
dispuesto en su artı́culo 8. El plazo contemplaReglamento (CE) no 1882/2003 del Parlamento Europeo
do en el artı́culo 4, apartado 3, de la Decisión
y del Consejo (DO L 284 de 31.10.2003, p. 1) | Únicamente
1999/468/CE queda fijado en tres meses.
el punto 4 del anexo II |
Artı́culo 8
250
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
ANEXO II
Artı́culo 4, apartado 1 | Artı́culo 4, apartado 1 |
TABLA DE CORRESPONDENCIAS
Artı́culo 4, apartado 2 | Artı́culo 5, apartado 6 |
Reglamento (Euratom, CEE) no 1588/90 | Presente Reglamento |
Artı́culo 4, apartado 3 | Artı́culo 4, apartado 2 |
Artı́culo 1, apartado 1, primer y segundo guión | Artı́culo
1, apartado 1, letras a) y b) |
Artı́culo 5, apartados 1 a 5 | Artı́culo 5, apartados 1 a 5
|
Artı́culo 6 | Artı́culo 6 |
Artı́culo 1, apartado 2 | Artı́culo 1, apartado 2 |
Artı́culo 2, puntos 1 a 10 | Artı́culo 2, letras a) a j) |
Artı́culo 7, apartados 1 y 2 | Artı́culo 7, apartados 1 y 2
|
Artı́culo 3, apartado 1 | Artı́culo 3, apartado 1 |
Artı́culo 7, apartado 3 | – |
Artı́culo 3, apartado 2 | Artı́culo 3, apartado 2 |
Artı́culo 8 | Artı́culo 8 | – | Artı́culo 9 |
Artı́culo 3, apartado 3, párrafo primero | – |
Artı́culo 9 | Artı́culo 10 |
Artı́culo 3, apartado 3, párrafo segundo | Artı́culo 3,
apartado 3 |
– | Anexo I |
– | Anexo II |
Artı́culo 3, apartado 4 | Artı́culo 3, apartado 4 |
251
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
4.8.1
Reglamento (CE) no 223/2009 del Parlamento Europeo y del Consejo,
de 11 de marzo de 2009 , relativo a la estadı́stica europea y por el que
se deroga el Reglamento (CE, Euratom) n o 1101/2008 relativo a la
transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las
informaciones amparadas por el secreto estadı́stico, el Reglamento (CE)
n o 322/97 del Consejo sobre la estadı́stica comunitaria y la Decisión
89/382/CEE, Euratom del Consejo por la que se crea un Comité del
programa estadı́stico de las Comunidades Europeas Texto pertinente a
efectos del EEE y de Suiza
Diario Oficial n◦ L 087 de 31/03/2009 p. 0164 0173
desarrollo, elaboración y difusión de las estadı́sticas europeas.
Reglamento (CE) no 223/2009 del Parlamento
Europeo y del Consejo de 11 de marzo de 2009 relativo a la estadı́stica europea y por el que se deroga el
Reglamento (CE, Euratom) no 1101/2008 relativo a
la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas
por el secreto estadı́stico, el Reglamento (CE) no
322/97 del Consejo sobre la estadı́stica comunitaria
y la Decisión 89/382/CEE, Euratom del Consejo
por la que se crea un Comité del programa estadı́stico de las Comunidades Europeas
2. A tal efecto, la cooperación y coordinación de
dichas autoridades debe desarrollarse de modo
más sistemático y organizarse con pleno respeto a los poderes nacionales y comunitarios
y a los acuerdos institucionales, y debe tenerse en cuenta la necesidad de revisar el marco
jurı́dico básico existente para adaptarlo a la
realidad actual y responder mejor a los retos
futuros y garantizar una mejor armonización
de las estadı́sticas europeas.
(Texto pertinente a efectos del EEE y de Suiza)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad
Europea y, en particular, su artı́culo 285, apartado
1,
Vista la propuesta de la Comisión,
Visto el dictamen del Banco Central Europeo
[1],
Visto el dictamen del Supervisor Europeo de
Protección de Datos [2],
De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado [3],
Considerando lo siguiente:
1. Para garantizar la coherencia y comparabilidad de las estadı́sticas europeas elaboradas
con arreglo a los principios establecidos en el
artı́culo 285, apartado 2, del Tratado, es necesario reforzar la cooperación y la coordinación entre las autoridades que colaboran en el
3. Es necesario, pues, consolidar las actividades
del Sistema Estadı́stico Europeo (SEE) y mejorar su gobernanza, sobre todo con miras a
dejar claro el papel respectivo de los institutos
nacionales de estadı́stica y otras autoridades
nacionales, y de la autoridad estadı́stica comunitaria.
4. Dada la especificidad de los institutos nacionales de estadı́stica y las demás autoridades responsables en cada Estado miembro
de desarrollar, elaborar y difundir estadı́sticas europeas, deben poder recibir subvenciones sin tener que lanzar una convocatoria de
propuestas con arreglo al artı́culo 168, apartado 1, letra d), del Reglamento (CE, Euratom)
no 2342/2002 de la Comisión, de 23 de diciembre de 2002, sobre normas de desarrollo del
Reglamento (CE, Euratom) no 1605/2002 del
Consejo por el que se aprueba el Reglamento
financiero aplicable al presupuesto general de
las Comunidades Europeas [4].
5. Habida cuenta del reparto de la carga financiera entre los presupuestos de la Unión Europea y de los Estados miembros respecto de
252
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
la aplicación del programa estadı́stico, la Comunidad, de conformidad con el Reglamento
(CE, Euratom) no 1605/2002 del Consejo, de
25 de junio de 2002, por el que se aprueba
el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas
[5], debe aportar asimismo una contribución
financiera a los institutos nacionales de estadı́stica y otras autoridades nacionales para
cubrir totalmente los costes incrementales en
que puedan incurrir dichos institutos nacionales de estadı́stica y otras autoridades nacionales al ejecutar las medidas estadı́sticas directas temporales determinadas por la Comisión.
6. Deben asociarse estrechamente a la cooperación y coordinación reforzadas las autoridades estadı́sticas de los Estados miembros de
la Asociación Europea de Libre Comercio que
son Partes en el Acuerdo sobre el Espacio Económico Europeo [6] y de Suiza, como prevén,
respectivamente, el Acuerdo sobre el Espacio
Económico Europeo, y en particular su artı́culo 76 y el Protocolo 30 a dicho Acuerdo, y
el Acuerdo entre la Comunidad Europea y la
Confederación Suiza sobre cooperación en el
ámbito de la estadı́stica [7], y, en particular,
su artı́culo 2.
7. Además, es importante garantizar una estrecha colaboración y la coordinación apropiada
entre el SEE y el Sistema Europeo de Bancos
Centrales (SEBC), sobre todo para fomentar
el intercambio de datos confidenciales entre
ambos sistemas con fines estadı́sticos, habida
cuenta del artı́culo 285 del Tratado y el artı́culo 5 del Protocolo (no 18) sobre los Estatutos
del Sistema Europeo de Bancos Centrales y
del Banco Central Europeo, adjunto al Tratado.
8. Tanto el SEE como el SEBC, por tanto, deben desarrollar, elaborar y difundir estadı́sticas europeas, pero con arreglo a marcos jurı́dicos independientes que reflejan sus respectivas
estructuras de gobernanza. El presente Reglamento debe aplicarse, pues, sin perjuicio del
Reglamento (CE) no 2533/98 del Consejo, de
23 de noviembre de 1998, sobre la obtención
de información estadı́stica por el Banco Central Europeo [8].
9. En consecuencia, aunque los miembros del
SEBC no participen en la elaboración de estadı́sticas europeas con arreglo al presente Reglamento, tras un acuerdo entre un banco central nacional y la autoridad estadı́stica comunitaria, en sus respectivas esferas de competencia y sin perjuicio de los acuerdos nacionales entre los bancos centrales nacionales y
los institutos nacionales de estadı́stica u otras
autoridades nacionales, los institutos nacionales de estadı́stica, las otras autoridades nacionales y la autoridad estadı́stica comunitaria
pueden, no obstante, utilizar, directa o indirectamente, los datos presentados por el banco central nacional para elaborar estadı́sticas
europeas. De igual modo, los miembros del
SEBC pueden utilizar, en sus respectivas esferas de competencia, directa o indirectamente,
los datos del SEE, siempre que se justifique la
necesidad de dicho uso.
10. En las relaciones entre el SEE y el SEBC
desempeña un papel importante el Comité de estadı́sticas monetarias, financieras y
de balanza de pagos, creado por la Decisión
2006/856/CE del Consejo [9], sobre todo gracias a la ayuda facilitada por la Comisión para desarrollar y aplicar programas de trabajo
relativos a las estadı́sticas monetarias, financieras y de balanza de pagos.
11. Las recomendaciones y mejores prácticas internacionales deben tenerse en cuenta en el
desarrollo, elaboración y difusión de las estadı́sticas europeas.
12. Es importante garantizar una estrecha cooperación y la coordinación apropiada entre el
SEE y otros elementos del sistema estadı́stico
internacional con el fin de fomentar el uso de
conceptos, clasificaciones y métodos internacionales, en particular con vistas a garantizar
más coherencia y mejor comparabilidad entre
las estadı́sticas a escala mundial.
13. A fin de armonizar los conceptos y las metodologı́as en las estadı́sticas, debe desarrollarse una cooperación interdisciplinaria adecuada con las instituciones académicas.
14. También debe revisarse el funcionamiento del
SEE, pues se requieren métodos más flexibles
253
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
para desarrollar, elaborar y difundir estadı́sticas europeas y fijar prioridades claras para
reducir la carga de respuesta en los encuestados y en los miembros del SEE y mejorar la
disponibilidad y actualidad de estas estadı́sticas. A tal efecto debe crearse un planteamiento europeo de las estadı́sticas.
15. Aunque las estadı́sticas europeas se basan generalmente en datos nacionales elaborados y
difundidos por las autoridades estadı́sticas nacionales de los Estados miembros, también
pueden elaborarse a partir de contribuciones
nacionales no publicadas, de subconjuntos de
contribuciones nacionales, de encuestas estadı́sticas europeas concebidas a tal efecto o mediante conceptos o métodos armonizados.
16. En casos especı́ficos y debidamente justificados debe poderse aplicar un planteamiento europeo de las estadı́sticas, consistente en una
estrategia pragmática para facilitar la compilación de los agregados estadı́sticos europeos,
que representen a la Unión Europea o a la
zona del euro como un todo, que sean más
importantes para las polı́ticas comunitarias.
17. Las estructuras, las herramientas y los procesos conjuntos también pueden crearse o desarrollarse más a través de redes de cooperación
que agrupen a institutos nacionales de estadı́stica u otras autoridades nacionales y a la
autoridad estadı́stica comunitaria y faciliten
la especialización de ciertos Estados miembros en actividades estadı́sticas concretas en
beneficio del conjunto del SEE. Estas redes de
cooperación entre socios del SEE deben aspirar a evitar la duplicación del trabajo, lo que
aumentará la eficiencia y reducirá la carga de
respuesta para los operadores económicos.
18. A tal efecto debe prestarse particular atención
al examen coherente de los datos recabados en
diferentes encuestas. Deben crearse grupos de
trabajo interdisciplinarios a tal efecto.
19. El mejor entorno reglamentario para las estadı́sticas europeas debe responder sobre todo
a la necesidad de reducir al mı́nimo la carga
de respuesta para los encuestados y contribuir
al objetivo más general de reducción de las
cargas administrativas a escala europea, con
arreglo a las conclusiones de la Presidencia del
Consejo Europeo de los dı́as 8 y 9 de marzo
de 2007. No obstante, también hay que destacar el importante papel desempeñado por los
institutos nacionales de estadı́stica y las otras
autoridades nacionales en la reducción de las
cargas para las empresas europeas a escala nacional.
20. Para aumentar la confianza en las estadı́sticas
europeas, las autoridades estadı́sticas nacionales en cada Estado miembro, al igual que la
autoridad estadı́stica comunitaria en el seno
de la Comisión, deben disfrutar de independencia profesional y garantizar su imparcialidad y la alta calidad en la elaboración de
estadı́sticas europeas, con arreglo a los principios establecidos en el artı́culo 285, apartado
2, del Tratado, ası́ como a los principios elaborados ulteriormente en el Código de buenas
prácticas de las estadı́sticas europeas, aprobado por la Comisión en su Recomendación de
25 de mayo de 2005 relativa a la independencia, la integridad y la responsabilidad de las
autoridades estadı́sticas de los Estados miembros y de la Comunidad (que incorpora el Código de buenas prácticas de las estadı́sticas
europeas). Deben tenerse asimismo en cuenta
los principios fundamentales de la estadı́stica
oficial, adoptados por la Comisión Económica
para Europa de las Naciones Unidas el 15 de
abril de 1992 y por la División Estadı́stica de
las Naciones Unidas el 14 de abril de 1994.
21. El presente Reglamento garantiza el respeto
de la vida privada y familiar y la protección
de datos personales, con arreglo a los artı́culos
7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea [10].
22. El presente Reglamento asegura asimismo la
protección de las personas en lo que respecta
al tratamiento de datos personales y especifica, en lo que se refiere a las estadı́sticas europeas, las normas establecidas en la Directiva
95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos [11], y en el
Reglamento (CE) no 45/2001 del Parlamen254
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
to Europeo y del Consejo, de 18 de diciembre
de 2000, relativo a la protección de las personas fı́sicas en lo que respecta al tratamiento de
datos personales por las instituciones y los organismos comunitarios y a la libre circulación
de estos datos [12].
23. La información confidencial recogida por las
autoridades estadı́sticas nacionales y de la Comunidad para elaborar estadı́sticas europeas
debe estar protegida para conseguir y mantener la confianza de los responsables de facilitar tal información. La confidencialidad de los
datos debe satisfacer los mismos principios en
todos los Estados miembros.
24. A tal efecto, es preciso establecer principios y
orientaciones comunes que garanticen la confidencialidad de los datos utilizados para elaborar estadı́sticas europeas y el acceso a esos datos confidenciales, habida cuenta del progreso
técnico y de las necesidades de los usuarios en
una sociedad democrática.
25. Disponer de datos confidenciales para las necesidades del SEE es de gran importancia para aumentar al máximo los beneficios de los
datos con el fin de incrementar la calidad de
las estadı́sticas europeas y asegurar una respuesta flexible a las necesidades estadı́sticas
de la Comunidad que han ido surgiendo recientemente.
26. Los investigadores deben poder disfrutar de
un amplio acceso a los datos confidenciales
utilizados para el desarrollo, elaboración y difusión de las estadı́sticas europeas, con el fin
de analizarlos en pro del progreso cientı́fico europeo. También debe mejorarse el acceso con
fines cientı́ficos a los datos confidenciales, sin
menoscabo del alto nivel de protección que tales datos requieren.
27. Debe prohibirse terminantemente la utilización de datos confidenciales con fines que no
sean exclusivamente estadı́sticos, como por
ejemplo a efectos administrativos, jurı́dicos,
fiscales o de control de las unidades estadı́sticas.
28. El presente Reglamento debe aplicarse sin
perjuicio de la Directiva 2003/4/CE del Parlamento Europeo y del Consejo, de 28 de enero
de 2003, relativa al acceso del público a la información medioambiental [13], y del Reglamento (CE) no 1367/2006 del Parlamento Europeo y del Consejo, de 6 de septiembre de
2006, relativo a la aplicación, a las instituciones y organismos comunitarios, de las disposiciones del convenio de Århus sobre el acceso a
la información, la participación del público en
la toma de decisiones y al acceso a la justicia
en materia de medio ambiente [14].
29. Dado que el objetivo del presente Reglamento, a saber, la creación de un marco jurı́dico
para desarrollar, elaborar y difundir las estadı́sticas europeas, no puede ser logrado de manera suficiente por los Estados miembros y,
por consiguiente, puede lograrse mejor a nivel comunitario, la Comunidad puede adoptar medidas de acuerdo con el principio de
subsidiariedad consagrado en el artı́culo 5 del
Tratado. De conformidad con el principio de
proporcionalidad enunciado en dicho artı́culo,
el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo, y es sin
perjuicio por tanto de las modalidades, normas y condiciones nacionales especı́ficas a las
estadı́sticas nacionales.
30. Procede aprobar las medidas necesarias para la ejecución del presente Reglamento con
arreglo a la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se
establecen los procedimientos para el ejercicio
de las competencias de ejecución atribuidas a
la Comisión [15].
31. Conviene, en particular, conferir competencias a la Comisión para que adopte medidas
sobre los criterios de calidad de las estadı́sticas europeas y establezca las modalidades,
normas y condiciones de acceso con fines cientı́ficos a los datos confidenciales a escala comunitaria. Dado que estas medidas son de
alcance general y están destinadas a modificar elementos no esenciales del presente Reglamento completándolo con nuevos elementos no esenciales, deben adoptarse con arreglo
al procedimiento de reglamentación con control previsto en el artı́culo 5 bis de la Decisión
1999/468/CE.
255
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
32. Las medidas previstas en el presente Reglamento sustituyen a las del Reglamento (CE,
Euratom) no 1101/2008 del Parlamento Europeo y del Consejo [16], las del Reglamento
(CE) no 322/97 del Consejo [17], y las de la
Decisión 89/382/CEE, Euratom del Consejo
[18]. Estos actos deben derogarse en consecuencia. Deben seguir aplicándose las normas
de aplicación establecidas en el Reglamento
(CE) no 831/2002 de la Comisión, de 17 de
mayo de 2002, por el que se aplica el Reglamento (CE) no 322/97 del Consejo sobre la
estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales
[19], y la Decisión 2004/452/CE de la Comisión, de 29 de abril de 2004, por la que se
establece una lista de organismos cuyos investigadores pueden acceder con fines cientı́ficos
a datos confidenciales [20].
33. Se ha consultado al Comité del programa estadı́stico.
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I DISPOSICIONES GENERALES
Artı́culo 1
Objeto y ámbito de aplicación
El presente Reglamento establece un marco jurı́dico para desarrollar, elaborar y difundir estadı́sticas europeas.
Con arreglo al principio de subsidiariedad y de
conformidad con la independencia, integridad y responsabilidad de las autoridades nacionales y de la
Comunidad, las estadı́sticas europeas son estadı́sticas pertinentes necesarias para llevar a cabo las
actividades de la Comunidad. En el programa estadı́stico europeo se determinarán las estadı́sticas
europeas. Se desarrollarán, elaborarán y difundirán
con arreglo a los principios estadı́sticos indicados en
el artı́culo 285, apartado 2, del Tratado y se seguirán desarrollando en el Código de buenas prácticas
de las estadı́sticas europeas, con arreglo al artı́culo 11. Se aplicarán de conformidad con el presente
Reglamento.
Artı́culo 2
Principios estadı́sticos
1. El desarrollo, elaboración y difusión de estadı́sticas europeas se regirán por los principios
estadı́sticos siguientes:
independencia profesional : las estadı́sticas deben desarrollarse, elaborarse y difundirse de modo independiente, sobre
todo en lo que respecta a la selección
de técnicas, definiciones, metodologı́as y
fuentes que deban utilizarse, y al calendario y el contenido de cualquier forma
de difusión, libre de toda presión de los
grupos polı́ticos o de interés o de las autoridades comunitarias o nacionales, sin
perjuicio de los requisitos institucionales, como las disposiciones comunitarias
o nacionales de ı́ndole institucional o presupuestaria o la definición de las necesidades estadı́sticas;
imparcialidad : las estadı́sticas deben desarrollarse, elaborarse y difundirse de modo neutral, y deben dar igual trato a todos los usuarios;
objetividad : las estadı́sticas deben desarrollarse, elaborarse y difundirse de modo
sistemático, fiable e imparcial; ello implica recurrir a normas profesionales y
éticas, y que las polı́ticas y las prácticas seguidas sean transparentes para los
usuarios y encuestados;
fiabilidad : las estadı́sticas deben representar lo más fiel, exacta y coherentemente
posible la realidad a la que se dirigen, lo
que implica recurrir a criterios cientı́ficos
en la elección de las fuentes, los métodos
y los procedimientos;
secreto estadı́stico : protección de los datos confidenciales relativos a unidades estadı́sticas individuales que se obtienen
directamente con fines estadı́sticos o indirectamente de fuentes administrativas
u otras, lo que implica prohibir la utilización con fines no estadı́sticos de los datos
obtenidos y su revelación ilegal;
rentabilidad : los costes de elaborar estadı́sticas deben ser proporcionales a la importancia de los resultados y beneficios
256
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
buscados, los recursos deben ser bien uti- dato confidencial : dato que permite identificar,
lizados y hay que reducir la carga de resdirecta o indirectamente, a las unidades espuesta; en la medida de lo posible, la intadı́sticas y divulgar, por tanto, información
formación buscada deberá poder extraersobre particulares; para determinar si una unise fácilmente de documentos o fuentes
dad estadı́stica es identificable, deberán tenerdisponibles.
se en cuenta todos los medios pertinentes que
razonablemente podrı́a utilizar un tercero paLos principios estadı́sticos establecidos en el
ra identificar a la unidad estadı́stica;
presente apartado se elaborarán ulteriormente en el Código de buenas prácticas de confor- utilización con fines estadı́sticos : utilización
exclusiva para desarrollar y elaborar resultamidad con el artı́culo 11.
dos y análisis estadı́sticos;
2. El desarrollo, elaboración y difusión de las esidentificación directa : identificación de una unitadı́sticas europeas deberán tener en cuenta
dad estadı́stica por su nombre o apellidos, su
las recomendaciones y mejores prácticas indomicilio o un número de identificación públiternacionales.
camente accesible;
Artı́culo 3
Definiciones
identificación indirecta : identificación de una
unidad estadı́stica por otros medios que los
de la identificación directa;
A efectos del presente Reglamento, se entenderá
por:
funcionarios de la Comisión (Eurostat) :
funcionarios de las Comunidades, en el sentido
del artı́culo 1 del Estatuto de los funcionarios
estadı́sticas : la información cuantitativa y cualide las Comunidades Europeas, que trabajan
tativa, agregada y representativa que caracteen la autoridad estadı́stica comunitaria;
riza un fenómeno colectivo en una población
dada;
personal de otro tipo de la Comisión (Eurostat)
: agentes de las Comunidades, en el sentido
desarrollo : actividades que aspiran a crear, conde los artı́culos 2 a 5 del Régimen aplicable
solidar y mejorar los métodos, las normas y
a otros agentes de las Comunidades Eurolos procedimientos estadı́sticos utilizados papeas, que trabajan en la autoridad estadı́stica
ra elaborar y difundir estadı́sticas, ası́ como a
comunitaria.
diseñar nuevas estadı́sticas e indicadores;
CAPÍTULO II
elaboración : todas las actividades relacionadas
GOBERNANZA ESTADÍSTICA
con la recogida, el almacenamiento, el tratamiento y el análisis que se requieren para la
Artı́culo 4
compilación de estadı́sticas;
Sistema Estadı́stico Europeo
difusión : actividad de poner las estadı́sticas y su
El Sistema Estadı́stico Europeo (SEE) es la asoanálisis a disposición de los usuarios;
ciación entre la autoridad estadı́stica comunitaria,
que es la Comisión (Eurostat), los institutos naciorecogida de datos : encuestas y otros métodos de nales de estadı́stica (INE) y otras autoridades naconseguir la información de diversas fuentes, cionales responsables en cada Estado miembro de
incluidas las fuentes administrativas;
desarrollar, elaborar y difundir las estadı́sticas europeas.
unidad estadı́stica : unidad básica de observaArtı́culo 5
ción, a saber, una persona fı́sica, un hogar,
una empresa u otro tipo de operador al que se
Institutos nacionales de estadı́stica y otras aurefieren los datos;
toridades nacionales
257
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
1. Cada Estado miembro designará a una autoridad estadı́stica nacional como organismo que
asumirá la responsabilidad de coordinar a escala nacional todas las actividades de desarrollo, elaboración y difusión de estadı́sticas
europeas (los INE), y que actuará como interlocutor ante la Comisión (Eurostat) sobre las
cuestiones estadı́sticas. Los Estados miembros
tomarán las medidas necesarias para asegurar
la aplicación de esta disposición.
2. La Comisión (Eurostat) mantendrá y publicará en su sitio web una lista de los INE y
de las otras autoridades nacionales responsables de desarrollar, elaborar y difundir las estadı́sticas europeas designados por los Estados miembros.
3. Los INE y las otras autoridades nacionales incluidos en la lista mencionada en el apartado
2 del presente artı́culo podrán recibir subvenciones sin necesidad de ninguna convocatoria
de propuestas, de conformidad con el artı́culo 168, apartado 1, letra d), del Reglamento
(CE, Euratom) no 2342/2002.
Artı́culo 6
La Comisión (Eurostat)
1. La Comisión designa a la autoridad estadı́stica comunitaria para desarrollar, elaborar y
difundir las estadı́sticas europeas, denominada, a los efectos del presente Reglamento, ”la
Comisión (Eurostat)”.
2. A escala comunitaria, la Comisión (Eurostat)
garantizará la elaboración de estadı́sticas europeas con arreglo a las normas establecidas y
a los principios estadı́sticos. A este respecto,
tendrá la responsabilidad exclusiva de decidir
sobre los procesos, métodos normas y procedimientos estadı́sticos, y sobre el contenido y
el calendario de las publicaciones estadı́sticas.
3. Sin perjuicio del artı́culo 5 del Protocolo sobre
los Estatutos del Sistema Europeo de Bancos
Centrales (SEBC) y del Banco Central Europeo, la Comisión (Eurostat) coordinará las
actividades estadı́sticas de las instituciones y
organismos comunitarios, sobre todo para asegurar la coherencia y calidad de los datos y
reducir la carga de respuesta. A tal efecto,
la Comisión (Eurostat) podrá solicitar a cualquier institución u organismo comunitario que
le consulte y coopere con ella para desarrollar
métodos y sistemas con fines estadı́sticos en lo
que afecte a su competencia respectiva. Toda
institución u organismo que proponga la elaboración de estadı́sticas consultará a la Comisión (Eurostat) y tendrá en cuenta cualquier
recomendación que esta le haga a tal efecto.
Artı́culo 7
Comité del Sistema Estadı́stico Europeo
1. Se establece el Comité del Sistema Estadı́stico Europeo (.el Comité del SEE”). Ofrecerá
orientación profesional para el desarrollo, elaboración y difusión de estadı́sticas europeas
con arreglo a los principios estadı́sticos establecidos en el artı́culo 2, apartado 1.
2. El Comité del SEE estará formado por los representantes de los INE que sean expertos nacionales en el ámbito de la estadı́stica. Estará
presidido por la Comisión (Eurostat).
3. El Comité del SEE aprobará su reglamento
interno, que reflejará sus cometidos.
4. La Comisión consultará al Comité del SEE en
relación con:
a) las medidas que se propone adoptar para
desarrollar, elaborar y difundir estadı́sticas europeas, su justificación con arreglo
a la rentabilidad, los medios y calendarios para lograrlas y la carga de respuesta
de los encuestados;
b) las tendencias y prioridades propuestas
en el programa estadı́stico europeo;
c) iniciativas para llevar a la práctica la
reasignación de prioridades y la reducción de la carga de respuesta;
d) cuestiones referentes al secreto estadı́stico;
e) el desarrollo ulterior del Código de buenas prácticas, y
f) cualquier otra cuestión, sobre todo de
metodologı́a, surgida al crear o aplicar
258
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
programas estadı́sticos que plantee su
presidencia, bien por propia iniciativa o
a petición de un Estado miembro.
Artı́culo 8
Cooperación con otros organismos
Se consultará al Comité Consultivo Estadı́stico
Europeo y al Comité consultivo de la gobernanza
estadı́stica europea, con arreglo a los lı́mites de su
competencia respectiva.
Artı́culo 9
Cooperación con el SEBC
Para reducir al mı́nimo la carga de respuesta y
garantizar la coherencia necesaria para elaborar estadı́sticas europeas, el SEE y el SEBC cooperarán
estrechamente y se ajustarán a los principios estadı́sticos establecidos en el artı́culo 2, apartado 1.
Artı́culo 10
Cooperación internacional
Sin perjuicio de la posición y la función de cada
Estado miembro, la Comisión (Eurostat) coordinará la posición del SEE, preparada por el Comité del
SEE, ante cuestiones de especial importancia para
las estadı́sticas europeas a escala internacional, ası́
como los acuerdos especı́ficos para su representación
ante los organismos estadı́sticos internacionales.
Artı́culo 11
Código de buenas prácticas de las estadı́sticas
europeas
1. El Código de buenas prácticas tendrá por finalidad garantizar la confianza de la población
en las estadı́sticas europeas mediante la determinación de la forma en que deben desarrollarse, elaborarse y difundirse las estadı́sticas
europeas con arreglo a los principios estadı́sticos establecidos en el artı́culo 2, apartado 1,
y a las mejores prácticas internacionales.
2. El Código de buenas prácticas será revisado
y actualizado por el Comité del SEE cuando
lo considere necesario. La Comisión publicará
las enmiendas al mismo.
Artı́culo 12
Calidad estadı́stica
1. Para garantizar la calidad de los resultados,
las estadı́sticas europeas se desarrollarán, elaborarán y difundirán con arreglo a normas
uniformes y métodos armonizados. A este respecto, se aplicarán los criterios de calidad siguientes:
pertinencia : grado en que las estadı́sticas
responden las necesidades actuales y potenciales de los usuarios;
precisión : concordancia de las estimaciones
con los valores auténticos desconocidos;
actualidad : plazo transcurrido entre la disponibilidad de la información y el hecho
o fenómeno descrito;
puntualidad : plazo transcurrido entre la fecha de publicación de los datos y la fecha
objetivo (fecha en la que los datos debı́an
haber sido presentados);
accesibilidad y claridad : condiciones y
modalidades en las que los usuarios pueden obtener, utilizar e interpretar los datos;
comparabilidad : medida del impacto de las
diferencias en los conceptos estadı́sticos
aplicados y en los instrumentos y procedimientos de medida cuando se comparan estadı́sticas entre zonas geográficas,
ámbitos sectoriales o a lo largo del tiempo;
coherencia : adecuación de los datos para
ser combinados con fiabilidad en diferentes formas y para diversos usos.
2. Para aplicar los criterios de calidad establecidos en el apartado 1 del presente artı́culo a
los datos cubiertos por la legislación sectorial
en ámbitos estadı́sticos especı́ficos, la Comisión definirá las modalidades, la estructura y
la periodicidad de los informes de calidad previstos en la legislación sectorial, siguiendo el
procedimiento de reglamentación indicado en
el artı́culo 27, apartado 2.
La legislación sectorial podrá establecer requisitos especı́ficos de calidad, como valores objetivo y normas mı́nimas para la elaboración de
estadı́sticas. La Comisión podrá adoptar medidas si la legislación sectorial no las estable259
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
ce. Estas medidas, destinadas a modificar elementos no esenciales del presente Reglamento completándolo, se adoptarán con arreglo al
procedimiento de reglamentación con control
contemplado en el artı́culo 27, apartado 3.
SEE, presentará un informe intermedio de
evaluación y un informe final de evaluación
y los someterá al Parlamento Europeo y al
Consejo.
Artı́culo 14
3. Los Estados miembros transmitirán a la Comisión (Eurostat) informes sobre la calidad de
los datos transmitidos. La Comisión (Eurostat) evaluará la calidad de datos transmitidos
y preparará y publicará informes sobre la calidad de las estadı́sticas europeas.
CAPÍTULO III
ELABORACIÓN DE ESTADÍSTICAS
EUROPEAS
Artı́culo 13
Programa estadı́stico europeo
1. El programa estadı́stico europeo proporcionará el marco para desarrollar, elaborar y difundir estadı́sticas europeas, los ámbitos principales y los objetivos de las medidas previstas
durante un perı́odo no superior a cinco años.
Será establecido por el Parlamento Europeo y
por el Consejo. Se evaluará su impacto y la
rentabilidad con la participación de expertos
independientes.
2. El programa estadı́stico europeo establecerá
las prioridades con respecto a las necesidades
de información para la realización de las actividades de la Comunidad. Estas necesidades
se examinarán a la luz de los recursos requeridos a escala comunitaria y nacional para elaborar las estadı́sticas necesarias, ası́ como de
la carga de respuesta y costes asociados, de
los encuestados.
3. La Comisión adoptará iniciativas que permitan establecer prioridades y reducir la carga
de respuesta para el programa estadı́stico europeo, en su totalidad o en parte.
4. La Comisión presentará al Comité del SEE,
para su examen previo, el proyecto de programa estadı́stico europeo.
5. Para cada programa estadı́stico europeo, la
Comisión, tras consultar con el Comité del
Ejecución del programa estadı́stico europeo
1. El programa estadı́stico europeo se ejecutará mediante medidas estadı́sticas particulares
decididas:
a) por el Parlamento Europeo y el Consejo;
b) por la Comisión, en casos especı́ficos y
debidamente justificados, en particular
para atender a necesidades imprevistas,
de conformidad con las disposiciones del
apartado 2, o
c) de común acuerdo por los INE u otras
autoridades nacionales y la Comisión
(Eurostat), en sus respectivas esferas de
competencia. Tales acuerdos deberán hacerse por escrito.
2. La Comisión podrá decidir una medida estadı́stica directa temporal con arreglo al procedimiento de reglamentación contemplado en
el artı́culo 27, apartado 2, siempre que:
a) la medida no contemple una recogida de
datos que cubra más de los tres años de
referencia;
b) los datos estén ya a disposición de los
INE y otras autoridades nacionales competentes, o estas tengan acceso a ellos,
o puedan obtenerse directamente recurriendo a muestras apropiadas para observar la población estadı́stica a escala
europea con la adecuada coordinación
con los INE y otras autoridades nacionales, y
c) la Comunidad deberá, de conformidad
con el Reglamento (CE, Euratom) no
1605/2002, hacer una aportación financiera a los INE y a las otras autoridades
nacionales para cubrir los costes incrementales en que hayan incurrido.
3. Para llevar a cabo una medida que deba adoptarse con arreglo al apartado 1, letra a) o b),
la Comisión proporcionará información sobre:
260
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
a) los motivos que justifican la medida, en
particular desde el punto de vista de los
objetivos de la polı́tica comunitaria de
que se trate;
b) los objetivos de la medida y los resultados esperados;
c) un análisis de rentabilidad, incluida una
evaluación de la carga de respuesta en
los encuestados y de los costes de producción, y
d) el modo en que ha de llevarse a cabo la
medida, incluyendo su duración y el papel de la Comisión y los Estados miembros.
Artı́culo 15
Redes de colaboración
Las medidas estadı́sticas particulares desarrollarán, cuando sea posible, sinergias en el SEE a través
de redes de colaboración que difundan la experiencia y los resultados o estimulen la especialización
en tareas especı́ficas. Para ello se desarrollará una
estructura financiera adecuada.
El resultado de estas medidas, como estructuras,
herramientas, procesos y métodos conjuntos, estará
disponible en todo el SEE. El Comité del SEE examinará las iniciativas para la creación de redes de
colaboración, ası́ como los resultados.
a) el desarrollo de estadı́sticas europeas utilizando:
i) contribuciones nacionales no publicadas o contribuciones nacionales de
un subconjunto de Estados miembros,
ii) sistemas de encuesta diseñados especı́ficamente,
iii) información parcial mediante técnicas de modelización;
b) la difusión de agregados estadı́sticos a escala europea mediante la aplicación de
técnicas especı́ficas de control de la revelación de estadı́sticas sin que se ello sea
óbice a las disposiciones nacionales sobre
difusión.
3. Las medidas que ejecuten el planteamiento europeo de las estadı́sticas se llevarán a cabo con
la plena participación de los Estados miembros. Dichas medidas se establecerán en las
medidas estadı́sticas particulares previstas en
el artı́culo 14, apartado 1.
4. En caso necesario, se establecerá una polı́tica coordinada de publicación y revisión en
cooperación con los Estados miembros.
Artı́culo 17
Programa de trabajo anual
Cada año, antes de finalizar el mes de mayo,
la Comisión presentará al Comité del SEE su programa de trabajo del año siguiente. La Comisión
Planteamiento europeo de las estadı́sticas
tendrá muy en cuenta las observaciones del Comi1. En casos especı́ficos y debidamente justifica- té del SEE. Este programa de trabajo se basará en
dos y en el marco del programa estadı́stico el programa estadı́stico europeo y se precisarán, en
europeo, el planteamiento europeo de las es- particular:
tadı́sticas se dirige a:
a) las medidas que la Comisión considera prioritarias, teniendo en cuenta las necesidades de
a) aumentar al máximo la disponibilidad de
la polı́tica comunitaria y las limitaciones fiagregados estadı́sticos a escala europea y
nancieras nacionales y comunitarias, ası́ como
mejorar la actualidad de las estadı́sticas
la carga de respuesta;
europeas;
Artı́culo 16
b) reducir la carga de los encuestados, los
INE y las otras autoridades nacionales
en virtud de un análisis de rentabilidad.
b) las iniciativas relativas a la reasignación de
prioridades y la reducción de la carga de respuesta, y
2. Los casos en los que es pertinente el planteamiento europeo de las estadı́sticas comprenden:
c) los procedimientos e instrumentos jurı́dicos
que la Comisión prevea para la ejecución del
programa.
261
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
CAPÍTULO IV
DIFUSIÓN DE ESTADÍSTICAS EUROPEAS
Artı́culo 18
Medidas de difusión
1. La difusión de estadı́sticas europeas se llevará
a cabo cumpliendo por completo los principios estadı́sticos a que se refiere el artı́culo 2,
apartado 1, sobre todo en lo que se refiere a
guardar el secreto estadı́stico y a garantizar la
igualdad de acceso con arreglo al principio de
imparcialidad.
2. La difusión de las estadı́sticas europeas correrá a cargo de la Comisión (Eurostat), los INE
y las otras autoridades nacionales, en sus respectivas esferas de competencia.
3. Los Estados miembros y la Comisión proporcionarán, en sus respectivas esferas de competencia, el apoyo necesario que garantice la
igualdad de acceso de todos los usuarios a las
estadı́sticas europeas.
Artı́culo 19
Ficheros de uso público
Los datos sobre unidades estadı́sticas individuales podrán difundirse en forma de fichero de uso público consistente en registros anónimos elaborados
de manera que no se identifique a la unidad estadı́stica, ni de forma directa ni indirecta, teniendo en
cuenta todos los medios pertinentes que un tercero
pueda utilizar razonablemente.
Si los datos se han transmitido a la Comisión
(Eurostat), se requerirá la aprobación explı́cita del
INE u otra autoridad nacional que proporcionó los
datos.
CAPÍTULO V
SECRETO ESTADÍSTICO
Artı́culo 20
Protección de datos confidenciales
1. Las normas y medidas siguientes se aplicarán
para garantizar que los datos confidenciales se
utilicen exclusivamente con fines estadı́sticos,
y para evitar su revelación ilegal.
2. Los datos confidenciales obtenidos exclusivamente para la producción de estadı́sticas europeas podrán ser utilizados por los INE y otras
autoridades nacionales y por la Comisión (Eurostat) exclusivamente con fines estadı́sticos, a
menos que las unidades estadı́sticas hayan dado inequı́vocamente su consentimiento a que
se utilicen para otras finalidades.
3. En los siguientes casos excepcionales, los INE
y otras autoridades nacionales y la Comisión
(Eurostat) podrán difundir los resultados estadı́sticos que puedan permitir identificar una
unidad estadı́stica:
a) cuando mediante un acto del Parlamento
Europeo y del Consejo, adoptado de conformidad con el artı́culo 251 del Tratado,
se hayan determinado condiciones y modalidades especı́ficas y los resultados estadı́sticos se hayan alterado de manera
que su difusión no perjudique el secreto estadı́stico, siempre que ası́ lo exija la
unidad estadı́stica, o
b) cuando la unidad estadı́stica haya dado
inequı́vocamente su consentimiento a la
divulgación de los datos.
4. En sus respectivas esferas de competencia, los
INE y otras autoridades nacionales y la Comisión (Eurostat) adoptarán todas las medidas reglamentarias, administrativas, técnicas
y de organización necesarias para garantizar
la protección fı́sica y lógica de los datos confidenciales (control de la revelación de estadı́sticas).
Los INE y otras autoridades nacionales y la
Comisión (Eurostat) adoptarán todas las medidas necesarias para garantizar la armonización de principios y directrices por lo que se
refiere a la protección fı́sica y lógica de los datos confidenciales. La Comisión adoptará estas medidas con arreglo al procedimiento de
reglamentación contemplado en el artı́culo 27,
apartado 2.
5. Los funcionarios y demás personal de los INE
y otras autoridades nacionales que tengan acceso a datos confidenciales estarán obligados
a respetar dicha confidencialidad, incluso después de haber cesado en sus funciones.
262
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
Artı́culo 21
Transmisión de datos confidenciales
1. La transmisión de datos confidenciales de una
autoridad del SEE, como se establece en el artı́culo 4, recogidos por otra autoridad del SEE
podrá llevarse a cabo siempre que sea necesaria para el desarrollo, elaboración y difusión
con eficiencia de las estadı́sticas europeas o
para aumentar la calidad de las mismas.
2. La transmisión de datos confidenciales entre
una autoridad del SEE que haya recogido los
datos y un miembro del SEBC podrá llevarse
a cabo siempre que sea necesaria para el desarrollo, elaboración y difusión con eficiencia de
las estadı́sticas europeas o para aumentar su
calidad, en las respectivas esferas de competencia del SEE y el SEBC, y cuando se haya
justificado esta necesidad.
1. Los datos confidenciales serán accesibles exclusivamente, salvo en las excepciones establecidas en el apartado 2, a los funcionarios
de la Comisión (Eurostat) en el ámbito de sus
actividades laborales especı́ficas.
2. La Comisión (Eurostat) podrá, en casos excepcionales, permitir el acceso a los datos confidenciales al resto de sus agentes y a las demás personas fı́sicas que dispongan de un contrato de trabajo con la Comisión (Eurostat)
en el ámbito de sus actividades laborales especı́ficas.
3. Las personas que tengan acceso a los datos confidenciales los utilizarán exclusivamente para fines estadı́sticos. Estarán sujetas a esta obligación incluso después de haber cesado
en sus funciones.
Artı́culo 23
3. Cualquier transmisión siguiente a la primera
Acceso a datos confidenciales con fines cientı́fideberá estar explı́citamente autorizada por las cos
autoridades responsables de la recogida de los
La Comisión (Eurostat) o los INE u otras audatos.
toridades nacionales, en sus respectivas esferas de
4. Para impedir la transmisión de datos confi- competencia, podrán conceder el acceso a datos condenciales, de conformidad con los apartados 1 fidenciales que solo permitan la identificación indiy 2, no podrán invocarse las normas naciona- recta de unidades estadı́sticas a investigadores que
les sobre el secreto estadı́stico si un acto del lleven a cabo análisis estadı́sticos con fines cientı́fiParlamento Europeo y del Consejo adoptado cos. Si los datos han sido transmitidos a la Comide conformidad con el procedimiento del ar- sión (Eurostat), se requerirá la aprobación del INE
tı́culo 251 del Tratado prevé la transmisión de u otra autoridad nacional que proporcionó los datales datos.
tos.
5. Los datos confidenciales transmitidos de conformidad con el presente artı́culo se utilizarán
exclusivamente para fines estadı́sticos y solamente tendrá acceso a ellos el personal dedicado a actividades estadı́sticas dentro de su
ámbito laboral especı́fico.
6. Las disposiciones referentes al secreto estadı́stico previstas en el presente Reglamento
se aplicarán a todos los datos confidenciales
transmitidos dentro del SEE y entre el SEE y
el SEBC.
Artı́culo 22
Protección de datos confidenciales en la Comisión (Eurostat)
La Comisión establecerá las modalidades, normas y condiciones de acceso a escala comunitaria.
Estas medidas, destinadas a modificar elementos no
esenciales del presente Reglamento completándolo,
se adoptarán con arreglo al procedimiento de reglamentación con control contemplado en el artı́culo
27, apartado 3.
Artı́culo 24
Acceso a registros administrativos
Para reducir la carga de respuesta en los encuestados, los INE y otras autoridades nacionales y la
Comisión (Eurostat) tendrán acceso a fuentes administrativas de datos, pertenecientes a sus respectivos
sistemas de administración pública, siempre que estos datos sean necesarios para desarrollar, elaborar
263
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
y difundir estadı́sticas europeas.
Los Estados miembros y la Comisión determinarán, en sus respectivas esferas de competencia,
cuando proceda, las modalidades prácticas y las
condiciones para conseguir que el acceso sea efectivo.
Artı́culo 25
Datos de fuentes públicas
Los datos obtenidos de fuentes puestas legalmente a disposición del público y que sigan siendo accesibles al público con arreglo a la legislación
nacional no se considerarán confidenciales a efectos
de la difusión de estadı́sticas elaboradas a partir de
ellos.
mento derogado se entenderán hechas al presente Reglamento. Las referencias al Comité
sobre el secreto estadı́stico, creado por el Reglamento derogado, se entenderán hechas al
Comité del SEE, establecido en el artı́culo 7
del presente Reglamento.
2. Queda derogado el Reglamento (CE) no
322/97. Las referencias al Reglamento derogado se entenderán hechas al presente Reglamento.
3. Queda derogada la Decisión 89/382/CEE, Euratom. Las referencias al Comité del programa
estadı́stico se entenderán hechas al Comité del
SEE, establecido en el artı́culo 7 del presente
Reglamento.
Artı́culo 26
Violación del secreto estadı́stico
Artı́culo 29
Entrada en vigor
Los Estados miembros y la Comisión tomarán
las medidas apropiadas para prevenir y sancionar
El presente Reglamento entrará en vigor al dı́a
toda violación del secreto estadı́stico.
siguiente de su publicación en el Diario Oficial de la
Unión Europea.
CAPÍTULO VI
DISPOSICIONES FINALES
Artı́culo 27
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada
Estado miembro.
Procedimiento de Comité
Hecho en Estrasburgo, el 11 de marzo de 2009.
1. La Comisión estará asistida por el Comité del
SEE.
Por el Parlamento Europeo
2. En los casos en que se haga referencia al presente apartado, serán de aplicación los artı́culos 5 y 7 de la Decisión 1999/468/CE, observando lo dispuesto en su artı́culo 8.
H.-G. Pöttering
El plazo contemplado en el artı́culo 5, apartado 6, de la Decisión 1999/468/CE queda fijado
en tres meses.
El Presidente
Por el Consejo
El Presidente
A. Vondra
[1] DO C 291 de 5.12.2007, p. 1.
[2] DO C 308 de 3.12.2008, p. 1.
3. En los casos en que se haga referencia al pre[3] Dictamen del Parlamento Europeo de 19 de noviemsente apartado, serán de aplicación el artı́culo bre de 2008 (no publicado aún en el Diario Oficial) y Decisión
5 bis, apartados 1 a 4, y el artı́culo 7 de la De- del Consejo de 19 de febrero de 2009.
[4] DO L 357 de 31.12.2002, p. 1.
cisión 1999/468/CE, observando lo dispuesto
en su artı́culo 8.
[5] DO L 248 de 16.9.2002, p. 1.
Artı́culo 28
[6] DO L 1 de 3.1.1994, p. 3.
[7] DO L 90 de 28.3.2006, p. 2.
Derogación
1. Queda derogado el Reglamento (CE, Euratom) no 1101/2008. Las referencias al Regla-
[8] DO L 318 de 27.11.1998, p. 8.
[9] DO L 332 de 30.11.2006, p. 21.
[10] DO C 364 de 18.12.2000, p. 1.
264
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
[11] DO L 281 de 23.11.1995, p. 31.
[17] DO L 52 de 22.2.1997, p. 1.
[12] DO L 8 de 12.1.2001, p. 1.
[18] DO L 181 de 28.6.1989, p. 47.
[13] DO L 41 de 14.2.2003, p. 26.
[19] DO L 133 de 18.5.2002, p. 7.
[14] DO L 264 de 25.9.2006, p. 13.
[15] DO L 184 de 17.7.1999, p. 23.
[20] DO L 156 de 30.4.2004, p. 1; versión corregida en el
DO 202 de 7.6.2004, p. 1.
[16] DO L 304 de 14.11.2008, p. 70.
265
Normativa europea
4.8. Reglament 1101/2008 – Transmissió d’informació amparada per
el secret estadı́stic
266
5
Principis i recomanacions internacionals
267
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
5.1 DECLARATION ON PROFESSIONAL ETHICS - ISI
5.1.1
DECLARACIÓ SOBRE L’ÈTICA PROFESSIONAL
1
ANTECEDENTS
Considerant que l’objectiu de la Declaració sobre l’Ètica Professional dels estadı́stics és donar suport a l’experiència i als valors professionals, com a
La implicació de l’Institut Internacional mitjà d’oferir una guia més que no pas reglamentad’Estadı́stica (I.I.E.), (International Statistical Ins- ció;
titute, ISI), en l’establiment d’una declaració d’ètica
professional, s’ha perllongat durant set anys. El CoAdopta aquesta Declaració i afirma aixı́ el commitè de l’Institut, en resposta a les sol.licituds dels
promı́s dels seus membres envers aquests temes i la
seus membres i a la proposta del Comitè de Diseva ferma intenció de promoure entre tots els estareccions de Futur de l’Institut, establı́ un comitè
dı́stics del món el coneixement i l’interès per l’ètica
per al codi d’ètica dels estadı́stics el 1979, durant
professional;
la 42a Sessió de l’I.I.E. a Manila. El comitè va
treballar per preparar una reunió general per a la
Decideix enviar la Declaració a tots els memsegüent sessió de Buenos Aires, el 1981, durant la
bres
de l’Institut i a les seves seccions, i divulgar-la
qual s’acordà, per consens, dissenyar un codi: el “cosempre
que sigui convenient entre els professionals
di”havia d’estar preparat perquè l’Institut l’aprovés
de
l’estadı́stica;
durant la celebració del centenari al 1985.
Oficialment agraeix al comitè responsable del
El comitè estava format per Roger Jowell
desenvolupament
de la Declaració, el seu treball
(Chairman), W. Edwards Deming, Arno Donda,
continuat,
eficient
i exitós durant els darrers cinc
Helmut V. Muhsam and Edmund Rapaport, i subanys.”
seqüentment co-adoptat per Edmundo BerumenTorres, Gilbert Motsemme i Ren, Padieu.
D’acord amb l’esperit i les paraules de la resolució,
l’Institut Internacional d’Estadı́stica té el priLa Declaració que n’ha sortit és el resultat d’un
vilegi
de presentar al lector la Declaració d’Ètica
procés intensiu d’esborranys i revisions, de consulProfessional
de l’I.I.E., amb l’esperança i el conventes a tots els membres de l’I.I.E. i a totes les seves
ciment
que
aquest
document ajudarà els col.legues
seccions, de reunions obertes i de consultes escrites
dutes a terme entre el desembre de 1981 i l’agost de tot el món a assolir els seus objectius professiode 1985. L’esborrany de la Declaració provocà molt nals i assumir-ne les responsabilitats.
d’interès i unes discussions tan autèntiques que van
durar fins a la setmana abans de la seva presentació a l’Assemblea General de l’Institut per a la seva
adopció.
DECLARACIÓ DE L’I.I.E. SOBRE
L’ÈTICA PROFESSIONAL
Després de les oportunes consideracions i deliberacions l’Assemblea General va adoptar la resolució
següent, el 21 d’agost de 1985:
PREÀMBUL
“L’Assemblea General de l’Institut Internacional
d’Estadı́stica,
1 Traducció
Els estadı́stics treballen en contextos econòmics,
publicada a la revista “Qüestió” vol 17,3 p. 373 – 403
268
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
culturals, jurı́dics i polı́tics molt diversos segons els
quals varien l’entorn de la investigació estadı́stica i
el seu propi interès. Treballen igualment en branques diferents de la seva disciplina, on cadascuna
té les seves pròpies tècniques, els seus propis mètodes i un enfocament ètic propi. Un gran nombre
d’ells operen en camps com ara l’economia, la psicologia, la sociologia o la medicina, on els professionals tenen, per la seva banda, convencions ètiques
que poden influir sobre la conducta dels estadı́stics
en aquests camps. Fins i tot en un mateix entorn i
en una mateixa branca de l’estadı́stica, els professionals poden dur a terme el seu treball segons preceptes morals diferents. Cap codi no sabria aixı́ imposar
un conjunt estricte de regles a les quals els estadı́stics de tot arreu estarien obligats a conformar-se.
El document present doncs no ho pretén pas.
les qüestions especı́fiques evocades, la Declaració no
és, sense cap mena de dubte, exhaustiva. Ha estat
concebuda amb la idea que periòdicament s’hauria
de posar al dia i ser sancionada. Per últim i en quart
lloc, ni els principis ni els comentaris no pretenen
reiterar les regles o normes generals escrites o no escrites, com ara el respecte a la llei o a la necessària
prohibició. La Declaració es limita tant com és possible a les qüestions especı́fiques de la investigació
estadı́stica.
El text està dividit en quatre parts. A l’interior
de cadascuna, l’enunciat de principis o conjunt de
principis està seguit d’un curt comentari sobre les
dificultats i els conflictes inherents a la seva posada
en pràctica. Els diversos principis estan lligats entre
si i, en conseqüència, han de ser considerats en conjunt: l’ordre de presentació no ha de ser interpretat
La finalitat d’aquesta Declaració és la de perme- com un ordre de prioritat.
tre a l’estadı́stic de fonamentar els seus judicis ètics
i les seves decisions personals sobre valors i expeAl final de cada part figura una curta bibliograriències compartides, més que no pas sobre regles fia comentada per a aquells que desitgen aprofundir
dictades per la professió. La Declaració busca en en la reflexió sobre aquestes qüestions o consultar
conseqüència extreure uns principis d’investigació textos detallats2 .
estadı́stica que siguin àmpliament reconeguts i identificar els obstacles per posar-los en pràctica. S’ha
Bibliografia general
establert tenint present que, a vegades, l’aplicació
d’un principi en contradirà un altre, que els esSjoberg (1967), encara que una mica antic, ofetadı́stics —com altres grups professionals— tenen
obligacions concurrents que no poden ser complides reix una bona visió històrica. Freud (1969) segueix
ensems. Implı́citament o explı́citament, a vegades, la lı́nia dels models biomèdics, però conté una exs’haurà d’escollir entre aquests principis. La present posició vigorosa de Margaret Mead sobre les difeDeclaració no pretén evitar aquestes eleccions, ni rències, en el pla ètic, entre la recerca biomèdica
privilegiar un principi respecte a un altre. En com- i en ciències socials. Diener i Crandall (1978) és
ptes d’això, ofereix un marc en el qual l’estadı́stic una discussió general, particularment útil pel que fa
conscient hauria de poder treballar amb comodi- a les experiències de camp. Reynolds (1982) (que
tat en l’essencial. Quan l’estadı́stic es plantegui de és una versió abreujada i posada al dia de Reyseparar-se d’aquest marc, hauria de ser més un acte nolds (1979)), és un text clar, essencialment escrit
per als estudiants americans. Bulmer (1979) conreflexiu que efecte de la ignorància.
té reedicions i articles nous sobre les enquestes i
Aquesta Declaració es proposa, doncs, en primer l’execució dels censos a Gran Bretanya i Amèrica.
lloc, descriure i informar més que no pas imposar o Barnes (1980) és un assaig d’anàlisi sociològica soprescriure. En segon lloc, intenta poder-se aplicar bre les raons per les quals van aparèixer els proal màxim en els diversos àmbits de la metodolo- blemes ètics i conté una bibliografia completa fins
gia i de la pràctica estadı́stica. És per això que es a 1978. Bower i Gasparis (1978) ofereix una bimanté en termes bastant generals. En tercer lloc, bliografia dels treballs publicats entre 1965 i 1976,
encara que aquests principis estiguin enunciats de amb comentaris particularment complets. Bulmer
manera que es puguin aplicar més àmpliament que (1982) conté una bona bibliografia sobre els estu2 N.T.:
per manca de temps, la bibliografia aquı́ citada s’ha hagut de limitar a les produccions en llengua anglesa.
269
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
dis de simulació i altres matèries relacionades. Jowell (1983) defensa un codi educatiu més que no pas
normatiu o jurı́dic i dóna una bibliografia d’un interès particular per als estadı́stics en molts punts.
Burgess (1984) es concentra sobre la recerca etnogràfica duta a terme pels sociòlegs britànics. Barnes (1984) sosté que, en la investigació social, són
inevitables els compromisos ètics. Altres temptatives
han tingut lloc per establir codis d’ètica estadı́stica:
un primer assaig fou el fruit del treball d’un comitè
creat el 1969 per l’I.I.E. per estudiar els problemes
d’ètica professional (Deming 1972); tracta essencialment sobre les relacions entre l’estadı́stic liberal
i el seu client. Una altra temptativa (ASA 1980)
fou l’objecte d’una discussió entre setze autors, sota el tı́tol “Ethical Guidelines for Statistical Practice: Historical Perspective”Ponència del Comitè ad
hoc de l’ASA sobre l’ètica professional i Discussió
(1983). Més recentment, els estadı́stics públics francesos han establert un codi deontològic (AIS, 1984).
Aixı́ mateix, el Servei Nacional Britànic d’Estadı́stica ha establert el seu propi codi de pràctica (GSS,
1984).
que la societat té de conèixer les caracterı́stiques
col.lectives i el dret de la persona a protegir la seva
intimitat, entren, a vegades, en conflicte.
Tota informació, sistemàticament reunida o no,
es troba subjecta a poder ser mal utilitzada. I cap
informació està exempta de poder portar perjudicis
a un interès o a un altre. Hi ha persones que poden
veure’s afectades pel fet de participar en enquestes estadı́stiques (vegeu §4.4.) o un grup pot sentirse perjudicat a conseqüència de certs resultats. Un
barri concret pot, per exemple, adquirir una mala
reputació si una enquesta estadı́stica constata que
presenta una taxa molt elevada de criminalitat. Pot
també succeir que disposicions socials o polı́tiques
fundades sobre estadı́stiques facin mal a un conjunt
de persones amb interessos comuns. Una vigilància
policial més estricta del barri on s’ha constatat una
criminalitat elevada pot tenir com a contrapartida
una vigilància menor en els barris on la criminalitat
és baixa: una mesura com aquesta pot ser globalment beneficiosa per a la societat però perjudica
certs barris. Els estadı́stics però no poden impedir
accions que es basen en els resultats estadı́stics. De
fet, prevenir-se contra la utilització d’aquests resultats equivaldria a denegar la finalitat mateixa d’una
1.OBLIGACIONS ENVERS LA SOCIETAT gran part de la investigació estadı́stica.
1.1.Prendre en consideració els interessos
contradictoris
La investigació estadı́stica descansa sobre
la convicció que un més gran accés a la informació correctament fonamentada beneficia la
societat. El fet que la informació estadı́stica
pugui ser interpretada o utilitzada abusivament, o que tingui un impacte diferent sobre
diferents grups, no és en si un argument decisiu contra la seva recopilació o la seva difusió.
Tanmateix, l’estadı́stic ha d’estar atent a les
possibles conseqüències que la recollida i la
difusió de diversos tipus d’informació poden
comportar i ha de prevenir-ne les interpretacions i utilitzacions errònies.
1.2.Eixamplar l’abast de l’estadı́stica
Els estadı́stics han d’utilitzar les facultats
que se’ls ofereixen per eixamplar la investigació estadı́stica i difondre les seves conclusions
per al profit de la més àmplia comunitat possible.
Els estadı́stics elaboren i utilitzen conceptes i
tècniques per reunir, analitzar o interpretar la informació. Encara que no estiguin sempre en disposició
de controlar l’abast del seu treball o la manera en
què les dades i els resultats són a la fi utilitzats i difosos, poden sovint exercir una influència en aquest
sentit. A més, estan en disposició de desenvolupar
una utilització més eficaç dels recursos recorrent,
No existeix cap procediment general, ni cap reper exemple, a les tècniques de mostreig o mobilitgla per avaluar els avantatges probables o els riscos
zant per a altres usos dades existents (vegeu §4.3.c).
de diversos tipus d’investigació estadı́stica. Malgrat
això, l’estadı́stic ha d’estar atent a les eventuals conEls estadı́stics universitaris tenen, probableseqüències dels seus treballs (vegeu §4.4.). El dret
270
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
ment, una més gran autonomia per determinar el
camp del seu treball i la difusió dels seus resultats.
Malgrat això, són en general tributaris de les decisions que prenen aquells que financien els seus projectes d’una banda i de l’altra dels editors pel que
fa a l’orientació i la publicació de les seves investigacions.
Els estadı́stics del sector públic i aquells que treballlen en el comerç i la indústria tendeixen a disposar encara de menys autonomia en allò que es
refereix al que fan i a la manera d’utilitzar els seus
resultats. Pot haver-hi en joc regles de confidencialitat; pressions per impedir o retardar la publicació
dels seus resultats (o d’alguna part d’ells); es poden
crear o interrompre sèries estadı́stiques per motius
que poc tenen a veure amb consideracions tècniques.
En casos com aquests, pot passar que la decisió final, sobre una investigació, pertanyi a l’empresari o
al client (vegeu §2.3.).
abstenció.
La ciència no pot ser totalment objectiva i l’estadı́stica no és una excepció. La tria dels temes a
considerar pot reflectir una idea preconcebuda a favor de certs valors culturals o personals. A més,
l’estatut professional de l’estadı́stic, l’origen dels
fons i gran quantitat d’altres factors, poden imposar
certes prioritats, obligacions i prohibicions. Malgrat
tot, l’estadı́stic no està mai deslligat del deure de
cercar l’objectivitat i d’estar atent a tots els obstacles coneguts que la impedeixen. Els estadı́stics tenen en concret l’obligació professional d’oposar-se a
maneres de recollida, d’anàlisi, d’interpretació o de
publicació de la informació que puguin (de manera
explı́cita o implı́cita) informar malament o induir a
error en comptes de contribuir a l’avenç del coneixement.
Bibliografia: obligacions envers la societat
En nombrosos paı̈sos, l’experiència suggereix
que els estadı́stics tenen més possibilitats d’evitar
les restriccions imposades al seu treball quan són
capaços d’estipular amb anterioritat els punts sobre els quals exerciran un control. Els estadı́stics de
l’Estat poden, per exemple, obtenir un acord per
anunciar les dates de publicació de diverses sèries
estadı́stiques i crear l’obligació de publicar-les en les
dates previstes, siguin quins siguin els condicionants
polı́tics que puguin intervenir. De la mateixa manera, els estadı́stics que treballen sota un contracte
comercial poden estipular que el control d’almenys
algunes conclusions (o de detalls de la metodologia) els pertany. Les més grans dificultats semblen
produir-se quan aquestes qüestions es deixen en suspens fins a la sortida dels resultats.
1.3.Buscar l’objectivitat
Tot i treballar dins del sistema de valors
de les societats on viuen, els estadı́stics han
d’intentar de preservar la seva integritat professional, sense pors ni favors. En particular,
no s’han de comprometre, ni avenir-se a la
tria de mètodes destinats a produir resultats
enganyosos, o a una presentació fal.laç dels
resultats estadı́stics, ja sigui per acció o per
Moltes obres i simposis sobre l’ètica professional
inclouen discussions sobre el context general en el
qual es desenvolupa la investigació social, però, en
la majoria dels casos, aquestes discussions estan escampades per tot el text. Beauchamp et al. (1982),
conté en la seva part 2, una discussió general explı́cita sobre com i quan la pràctica de la investigació social pot o no ser justificada. Les obligacions
legals o formalitzades socialment que s’imposen a
l’investigador social són analitzades per al cas dels
Estats Units, per Beauchamp et al. (1982), part 5.
Pool (1979 i 1980) defensa que no es pugui imposar cap control formal. Douglas (1979) fa el mateix,
amb més energia. Wax i Cassel (1981) examinen les
relacions entre la llei i altres obligacions formals i
els valors propis de l’investigador. Frankel (1976)
s’interessa més especialment per l’estadı́stica.
1.1. Prendre en consideració els interessos
contradictoris
Baas (1974) comenta aquests conflictes dins del
context britànic, malgrat que potser ja no siguin
d’actualitat. Baumring (1972) contraposa l’interès
dels investigadors al dels individus sobre els quals es
fa la investigació i s’inclina per aquests últims. Ackeroyd (1984) tracta, a la secció 6.3, dels conflictes
d’interessos en la investigació etnogràfica. Muhsam
271
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
(1985) examina el conflicte entre dret a la intimitat 2.2.Avaluar amb imparcialitat les diverses
i dret a la informació.
vies
Els estadı́stics han d’examinar els diversos
La utilitat de la informació estadı́stica és ra- mètodes i procediments a la seva disposició
rament qüestionada i la majoria de la literatura per a la investigació prevista i han d’oferir al
corresponent s’interessa per les vies i els mitjans seu sponsor o empresari una apreciació imque permeten d’engrandir aquesta utilitat. A la ses- parcial dels mèrits i desavantatges respectius
sió del centenari de l’I.I.E., s’ha dedicat un debat de les diverses opcions.
al tema, posant particularment l’accent en els paı̈sos en vies de desenvolupament (vegeu: Chakravarty 2.3.Compromisos segons els resultats
(1985); Nyitrai (1985); Williams (1985)).
Els estadı́stics no han d’acceptar cap clàusula l’aplicació de la qual depengui del resultat obtingut en la investigació estadı́stica
1.2. Eixamplar l’abast de l’estadı́stica
programada.
Diener i Crandall (1978) examinen aquest punt,
al capı́tol 13, referint-se a la recerca psicològica.
Crispo (1975), a partir del cas del Canadà, presenta
una discussió de la comptabilitat pública. Johnson
(1982) tracta dels problemes que sorgeixen en la publicació dels resultats de recerca. Jahoda (1981) fa
una viva demostració de les consideracions ètiques
i socials que limiten el curs de la investigació i de
la publicació dels resultats.
1.3. Buscar l’objectivitat
Stocking i Dunwoody (1982) subratllen algunes
de les pressions exercides pels mitjans de comunicació de massa en contra de la preservació de les regles de l’objectivitat. En termes més generals, Klaw
(1970) indica que aquestes regles no estan mai a
resguard dels atacs.
2.LES OBLIGACIONS ENVERS
SPONSORS I ELS EMPRESARIS
ELS
2.1.Explicitar les obligacions i els papers
Els estadı́stics han d’establir clarament
amb anterioritat les obligacions respectives
del seu empresari o d’aquell qui financia
l’enquesta i les seves pròpies; per exemple,
han de donar a conèixer a l’empresari o a
l’sponsor les parts apropiades d’un codi professional al qual s’adhereixen. L’informe dels
resultats ha de precisar-ne el paper allà on
es comprovi que és necessari.
2.4.Mantenir la confidencialitat sobre la informació privada
Els estadı́stics reben freqüentment del
seu empresari o sponsor informacions de les
quals aquest pot exigir legı́timament que es
mantinguin confidencials. Els mètodes i procediments estadı́stics utilitzats per produir
els resultats publicats no haurien d’estar supeditats a la confidencialitat.
Una idea essencial que es desprèn de cadascun
dels principis esmentats és que l’sponsor o empresari i l’estadı́stic tenen un interès comú des del moment que la finalitat de l’enquesta estadı́stica és fer
progressar el coneixement (vegeu §1.3.). Encara que
aquest coneixement pugui en alguns casos ser buscat en l’interès exclusiu de l’sponsor o empresari, els
objectius es podran complir millor si l’enquesta és
duta a terme dins del respecte de les normes professionals més exigents. Les relacions entre l’sponsor o
empresari i l’estadı́stic han de ser en conseqüència
de manera que la investigació estadı́stica pugui ser
conduı̈da de la forma més objectiva possible (vegeu
§1.3.) amb vista a oferir informacions o explicacions
més que no pas a defensar una tesi.
L’estadı́stic independent o el consultant està en
teoria en millor posició que l’estadı́stic assalariat per
exigir el respecte de certs principis professionals. En
el seu cas, les relacions amb un client són cada vegada objecte d’un contracte particular, on els papers
i les obligacions de cadascú poden ser especificades
amb antelació (vegeu Deming 1972). El contracte
de l’assalariat, en canvi, no és especı́fic per a un
estudi i comporta generalment l’obligació expressa
272
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
o implı́cita d’acceptar les instruccions donades per
l’empresari. L’estadı́stic assalariat en el sector públic pot veure la seva llibertat de moviments encara més restringida per regles estatutàries que concerneixen especialment les enquestes obligatòries o
l’obligació de reserva (vegeu §4.4.).
Malgrat tot, en realitat altres consideracions
atenuen la distinció entre l’estadı́stic independent
i l’estadı́stic assalariat. La llibertat que té l’estadı́stic independent d’imposar certes condicions està
freqüentment reduı̈da per coaccions d’ordre financer
i per la inseguretat del seu estatut de consultant.
Aquests problemes afecten menys l’estadı́stic assalariat, la posició del qual és, en general, més segura i menys aı̈llada. L’empleat (en concret l’estadı́stic-funcionari) sovint forma part d’una comunitat
d’estadı́stics la posició de la qual és prou forta per
establir convencions i procediments que tradueixen
convenientment els seus ideals professionals (vegeu
§1.2.).
Les relacions entre els sponsors o empresaris comporten responsabilitats mútues. El client o
l’empresari està en el seu dret d’esperar dels estadı́stics que dominin bé la seva disciplina, que siguin sincers en els lı́mits del seu art i de les seves dades (vegeu §3.1.), que estiguin atents a les
possiblitats d’aproximacions més econòmiques per a
l’estudi considerat i que respectin el caràcter confidencial de certes informacions. Els estadı́stics tenen
fonaments per esperar del client o de l’empresari
que respecti el seu àmbit exclusiu de competència
tècnica i professional i la integritat de les dades i
dels resultats. Aquestes obligacions estiguin o no
consignades dins dels contractes o d’altres escrits,
són necessàries per aconseguir unes relacions mútues beneficioses.
postes. Per poder complir aquest compromı́s, l’estadı́stic corre el perill d’haver de transigir en altres
principis, com el del ple consentiment (vegeu §4.2.).
Per damunt de tot, els estadı́stics s’han
d’esforçar perquè els seus sponsors o empresaris
prenguin en consideració les obligacions que no solament tenen envers ells sinó també envers els que
han contestat o altres individus, els seus col.legues
o col.laboradors i la societat en general. Per exemple, un deure de l’estadı́stic, com a membre d’un
col.lectiu professional, és de ser explı́cit quant als
mètodes adoptats a fi que la comunitat estadı́stica
pugui garantir-ne l’aplicació i també treure’n profit.
Aixı́, en la mesura del possible, els elements metodològics de les investigacions haurien d’escapar-se
de les obligacions de confidencialitat, de manera que
entrin dins del patrimoni intel.lectual comú a la professió (vegeu §3.2.).
Bibliografia: obligacions envers els sponsors
i empresaris
2.1. Explicitar les obligacions i els papers
Appell (1978), secció 8, presenta exemples extrets de la investigació etnogràfica. Deming (1965 i
1972) defineix el paper de l’estadı́stic consultant i
del seu client.
2.2. Avaluar amb imparcialitat les diverses vies
Nombrosos articles de revista i capı́tols d’obres
aborden aquest punt en termes generals. Schuler
(1982) tracta, al capı́tol 3, de les dificultats trobades
en la recerca psicològica. Webb et al. (1966) és la referència clàssica per als procediments d’investigació
alternatius.
Un conflicte d’obligacions pot produir-se, per
exemple, quan l’sponsor d’una enquesta desitja as2.3. Compromisos segons els resultats
segurar-se amb anterioritat (normalment per contracte) que s’aconseguiran certs objectius, com ara
un resultat concret o un nivell de respostes mı́nim
Barnett (1983) examina aquest punt, a partir de
en un sondeig realitzat en una mostra de voluntaris. la seva experiència personal.
Subscrivint un contracte semblant l’estadı́stic prejutjaria el resultat de l’enquesta convertint-se im2.4. Mantenir la confidencialitat sobre la
plı́citament en fiador, en nom dels enquestats, de la
informació privada
propensió a contestar o del que seran les seves res273
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
SCPR Working Party (1974), una mica caduc, és un debat general sobre l’esfera privada
dins del context britànic. Simmel (1908: 337-402)
i (1952:305-376) és una anàlisi sociològica clàssica de les coaccions que pesen sobre la circulació de
la informació. Shils (1967) estén l’obra de Simmel
a circumstàncies més recents; Tefft (1980) estudia
casos més exòtics de percepcions de la vida privada
i de la confidencialitat. Flaherty (1979) considera
els problemes que presenta la monopolització de les
informacions per part de l’Estat, mentre que Bulmer (1979) s’interessa d’una manera general per les
dades recollides dins dels censos i de les grans enquestes. Carroll i Kneer (1976) considera, des del
punt de vista de la ciència polı́tica als Estats Units,
la pressió oficial exercida perquè els investigadors
revelin les seves fonts d’informació. Appell (1979)
exposa, a la secció 3, tota una gamma de dilemes
que fan sorgir tota mena de pressions oficials. Bok
(1982) estableix les regles de protecció i de revelació.
3.OBLIGACIONS
LEGUES
ENVERS
ELS
COL-
3.1.Preservar la confiança en l’estadı́stica
Els estadı́stics tenen necessitat de la confiança del públic. En els seus treballs, han
d’intentar de promoure i de preservar aquesta confiança, sense exagerar l’exactitud ni el
poder explicatiu dels seus resultats.
clarament els seus propis principis ètics i tenir en compte els dels seus col.laboradors.
Cadascun d’aquests principis descansa sobre la
idea que els estadı́stics deuen el seu estatus i l’accés
privilegiat a les dades no solament a la seva posició
personal sinó també al fet de ser membres d’un collectiu professional. En reconèixer-se membres d’una
comunitat estadı́stica més àmplia, els estadı́stics
contreuen diverses obligacions envers aquesta comunitat i poden esperar-ne una certa consideració.
La reputació de l’estadı́stica dependrà certament menys del que proclamin les corporacions
d’estadı́stics quant a les seves normes ètiques, que
del comportament individual efectiu dels estadı́stics. Quan determinen els mètodes i procediments
utilitzats pels seus treballs, aixı́ com el contingut
d’aquests i la manera de rendir-ne comptes, els estadı́stics han, en conseqüència, d’esforçar-se a deixar
el camp de les recerques en un estat que permeti
als estadı́stics de tenir-hi accés en el futur (vegeu
§4.1.).
Les investigacions estadı́stiques demanen freqüentment una col.laboració entre col.legues amb diversos nivells de responsabilitat i de diverses disciplines. S’ha de tenir en compte la reputació i
l’experiència de tots els participants. L’estadı́stic
també ha de procurar que les enquestes estadı́stiques es duguin a terme dins d’un marc ètic que tingui l’aprovació de tots els seus col.laboradors, marc
que potser inclourà principis o convencions d’altres
disciplines, i on el paper de cada participant estigui suficientment definit. Per exemple, la declaració
d’Helsinki (1975) de l’Associació Mundial de Medicina proporciona una excel.lent guia a l’estadı́stic
que opera en el camp mèdic.
3.2.Descriure i verificar els mètodes i resultats
Tot respectant els lı́mits de la confidencialitat, els estadı́stics han de donar als seus
col.legues les informacions apropiades perquè
els seus mètodes, procediments, tècniques i
resultats puguin ser jutjats. Aquests judicis
Un principi de tot treball cientı́fic és que aquest
s’han de dirigir als mètodes mateixos, i no a ha de permetre un examen minuciós, una avaluales persones que els han escollit o utilitzat.
ció i una eventual validació per part d’altres investigadors. S’ha de prestar una atenció particular a
aquest principi quan l’anàlisi es basa en paquets in3.3.Fer conèixer els principis ètics
Per dur a terme certes investigacions, els formàtics: és convenient en aquest cas de facilitar
estadı́stics han de col.laborar amb especia- el màxim de precisions. Tot avantatge que es penlistes d’altres disciplines i amb els enques- sa trobar en el fet de no divulgar el detall de les
tadors, el personal administratiu, els estu- tècniques i dels resultats, per exemple, per raons de
diants, etc. En aquests casos han d’exposar competència, s’ha de sospesar amb el perjudi que
274
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
això pot causar al progrés del coneixement estadı́stic.
Una de les obligacions més importants de l’estadı́stic, però també de les més difı́cils de complir,
consisteix a alertar els usuaris potencials de la fiabilitat i els lı́mits de validesa dels seus resultats. Gairebé sempre s’és presoner entre el perill d’exagerar
i el de minimitzar la validesa i la possibilitat de generalitzar els resultats. No es pot dictar cap regla,
si no és un consell de prudència. La confiança en
els resultats estadı́stics depèn de forma crucial de
la seva presentació lleial. La temptació per als estadı́stics de camuflar els seus errors (vegeu Ryten
1981) o de presentar els resultats invitant-los a conclusions abusives, pot no solament recaure sobre els
estadı́stics implicats sinó també afectar la reputació
de l’estadı́stica en general (vegeu §1.2.).
Bibliografia: obligacions envers els col .legues
3.1. Preservar la confiança en l’estadı́stica
Reynolds (1975: 598–604) examina els conflictes entre, d’una banda, l’obligació de preservar
l’objectivitat i la imparcialitat de la ciència i, de
l’altra, els valors que s’invoquen en qualitat de ciutadans quan es tracta de canviar el món.
Appel (1978) tracta de la manera d’alertar els
etnògrafs sobre els aspectes ètics.
4. OBLIGACIONS ENVERS ELS INDIVIDUS3
4.1.Evitar les intrusions injustificades
Els estadı́stics han de ser conscients del
potencial d’intrusió que comporten alguns
dels seus treballs. Cap prerrogativa concreta els autoritza a estudiar tots els fenòmens.
Ni el progrés del coneixement ni la recerca d’informació justifiquen per ells mateixos
que es transgredeixin altres valors socials o
culturals.
Algunes formes d’enquestes estadı́stiques semblen més intrusives que altres. Per exemple, les mostres poden ser escollides d’esquena a les persones
que hi pertanyen o sense el seu consentiment; es pot
buscar entrar en contacte amb els individus sense
previ avı́s; se’ls poden fer preguntes que els afectin o
els ofenguin; es poden observar persones d’amagat;
es poden obtenir informacions mitjançant tercers.
En definitiva, pot succeir que les persones siguin
molestades o perjudicades per enquestes i això de
diverses maneres, moltes de les quals són difı́cils
d’evitar (vegeu §1.3.).
Anunciar els lı́mits dels resultats estadı́stics aixeca problemes que són llargament explorats per
Una manera d’evitar la molèstia causada als inGonzales et al. (1975). Ryten (1981) exposa una dividus potencials és utilitzar més sovint les dades
tesi més controvertida respecte als errors.
ja disponibles abans de llançar-se en una nova enquesta. Per exemple, amb un més gran ús estadı́stic dels documents administratius, o confrontant els
3.2. Descriure i verificar els mètodes i resultats
documents ja existents, és possible produir una informació sobre la societat que, altrament, hauria de
Diener i Crandall (1978) examinen, al capı́tol 9, ser recollida de nou. Encara que alguns individus
la necessitat d’honestedat i de pertinença. Powekk puguin posar objeccions al fet que les dades siguin
(1983) subratlla els conflictes que sorgeixen quan utilitzades en un sentit diferent de l’anunciat, no
un universitari mereix la censura dels seus col .legues haurien de veure’s greument afectats per una utilitper una conducta professional reprovable.
zació d’aquest tipus, mentre la seva identitat quedi
degudament protegida i que l’ús sigui estadı́stic i no
administratiu.
3.3. Fer conèixer els principis ètics
3 Aquesta secció de la Declaració es dedica als temes humans, fent referència als individus, parelles i entitats col.lectives.
Pel que fa a les regles sobre l’experimentació animal, per exemple, vegeu l’Acadèmia Suı̈ssa de les Ciències (1983).
275
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
Tal com diu Cassel (1982), les persones, sense
haver estat perjudicades per un estudi, poden estimar que se les ha ofès: poden sentir-se tractades com
objectes de mesura, sense miraments envers la seva
personalitat o la seva intimitat. En un bon nombre
de les controvèrsies derivades de treballs estadı́stics,
el litigi venia més per la intrusió en el terreny personal i privat dels individus, o pel fet de veure’s aclaparats per la sol.licitud de “massa”dades, que pel fet
d’haver patit o no un perjudici. En exposar els individus a sentir-se ofesos, potser per la manera utilitzada per escollir-los o fent-los prendre consciència
d’aspectes d’ells mateixos que no volien o fins i tot
refusaven de conèixer, els estadı́stics s’arrisquen a
ser criticats. I la resistència a les enquestes estadı́stiques, en general, es pot veure incrementada (vegeu
§3.1, 4.3 c, 4.5 i 4.6).
4.2.Obtenir el ple consentiment4
Les enquestes estadı́stiques que comporten la participació activa d’individus humans han de ser,
sempre que sigui factible, fetes amb ple consentiment, és a dir, donat lliurement i amb
coneixement de causa. Fins i tot quan la participació dels individus és legalment obligatòria, la seva acceptació ha de reposar sobre una informació al més completa possible. Quan la participació és voluntària, no
s’ha de fer creure als individus que aquesta
és obligatòria; han de ser informats del seu
dret a refusar, en tot moment i per la raó
que sigui, i de retirar les informacions que
acaben de subministrar. Cap informació susceptible d’afectar la voluntat de participació
de l’individu no pot ser deliberadament silenciada.
Aquest principi del ple consentiment (o amb ple
coneixement de causa) és forçadament difús, ja que
la seva interpretació descansa sobre una apreciació impossible de formalitzar en grau d’informació
i de la naturalesa del consentiment necessaris en
una pràctica convenient. La quantitat d’informació
perquè l’individu sigui informat de forma adequada sobre la finalitat i la naturalesa de l’enquesta
varia a la força d’una enquesta a l’altra. No es poden establir regles universals. D’un costat no es pot
inundar els individus potencials de detalls incomprensibles i no desitjats sobre els orı́gens i el contingut de l’enquesta estadı́stica. A l’altre extrem, no
convé amagar els fets essencials o induir els individus a error sobre aquestes qüestions (vegeu §4.3 d i
4.4.). Una informació convenient és manifestament
intermèdia, però la seva amplitud entre els dos extrems dependrà de les circumstàncies. La claredat
i la intel.ligibilitat de la informació subministrada
interessen tant com la quantitat.
és útil d’establir l’inventari dels elements
d’informació susceptibles de ser determinants per a
l’acceptació a participar de l’individu. Els elements
següents són els que es podrien tenir en compte:
a. finalitat de l’estudi, conseqüències derivades,
etc.,
b. identitat del o dels sponsors,
c. utilització prevista dels resultats, forma de
publicació, etc.,
d. identitat de l’enquestador o de l’investigador
i organisme responsable,
e. procediment pel qual l’individu ha estat escollit (pla de mostres, etc.),
f. paper de l’individu a l’estudi,
g. perjudi o molèsties possibles a l’individu,
h. grau d’anonimat i caràcter confidencial,
i. disposicions previstes per l’emmagatzemament
de dades, grau de seguretat, etc.,
j. caracterı́stiques de l’estudi (durada per al participant, etc.)
k. participació voluntària o obligatòria
• si és obligatòria, conseqüències possibles, d’un
refús,
• si és voluntària, possibilitat de retirar el consentiment (i fins a quin moment),
4 El concepte aquı́ exposat ha estat desenvolupat a partir de la designació anglesa de “informed consent”. S’ha plantejat
la qüestió de trobar un equivalent català. Tant “consentiment informatçom “consentiment aclarit”no han semblat adients.
La locució més apropiada podria ser: “consentiment amb ple coneixement de causa”. Com que carregava l’expressió, el
terme “ple coneixement”ha estat adoptat, amb la consideració que el consentiment no pot ser perfecte (ple) si està viciat
pel desconeixement de certs elements, que coneguts, comportarien un refús. Al contrari, és efectiu si aquests elements són
coneguts.
276
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
l. si fets essencials han estat dissimulats (i si se- clar que aquesta no és més que una condició prèvia
ran revelats i quan).
a tota enquesta estadı́stica.
Escollint en aquesta llista, l’estadı́stic ha prestar
atenció no solament als elements que ell considera
essencials, sinó també a aquells que se sospita que
l’individu té possiblitats de considerar com a tals:
cada part pot molt bé tenir un punt de vista diferent. Complementant aquesta informació, l’estadı́stic pot remetre els individus eventuals a una nota
que precisi els seus drets (vegeu Jowell 1981), especialment el seu dret a ser informats, deixant-los
la possibilitat de sol.licitar informacions suplementàries.
Malgrat això cada vegada més, l’acceptació de
l’estadı́stica per part del gran públic descansa no
solament sobre consideracions tècniques, sinó també sobre la voluntat dels estadı́stics de respectar els
individus i de tractar-los amb consideració (vegeu
§4.1). Els estadı́stics han de procurar de suscitar en
els individus una bona apreciació dels objectius de
la investigació, encara que la seva participació sigui
legalment obligatòria.
4.3.Modificacions al ple consentiment
En alguns casos raons tècniques o pràcDe la mateixa manera que és variable el perfil tiques impedeixen l’obtenció prèvia del ple
de la informació apropiada, també variarà el que consentiment dels individus. Els interessos
constitueix un consentiment suficient. La partici- d’aquests han de quedar protegits per altres
pació d’un individu en un estudi pot ser acorda- vies. Aixı́:
da a contracor més que no pas ser una participació
entusiasta. En alguns casos, l’estadı́stic pot trobar
a) Respecte dels drets en els estudis de
convenient d’encoratjar en l’enquestat el sentit del camp
deure a fi de minimitzar el biaix d’autoselecció. La
En certs estudis de camp, on els comporfrontera entre la persuasió tàctica i la coerció és mol- taments s’anoten sense que l’individu ho sàtes vegades prou subtil i probablement més fàcil de piga, els estadı́stics han de parar esment a no
marcar a la pràctica que no pas de definir formal- violar el que s’anomena “l’espai privat”d’un
ment. De tota manera, tot el que es pot dir del grau individu o d’un grup. Això varia d’una culde consentiment convenient és que no pot ser assi- tura a una altra.
milat ni a la coerció implı́cita ni a la participació de
ple grat.
b) Passada per un tercer
En el cas on es recorri a un tercer per
En alguns casos, un intermediari controla l’accés
respondre
a preguntes en el lloc de l’individu,
als individus, de manera que els estadı́stics no popotser
perquè
es massa difı́cil o costós
den, sense la seva autorització, contactar-los did’entrar-hi
en
contacte
o perquè, per exemrectament per obtenir-ne la seva participació. Tot
ple,
està
massa
malalt
o és massa jove per
respectant els interessos legı́tims d’aquest, els espoder
participar
per
ell
mateix a l’enquesta,
tadı́stics haurien d’aplicar el principi del ple cons’haurà
de
vetllar
a
no
violar el seu “essentiment i esforçar-se per obtenir-lo directament
pai
privat
ı̈
a
no
enterbolir
les relacions endels individus després d’haver obtingut el permı́s
tre
l’individu
i
la
persona
que respon per
per abordar-los. En aquests casos, els estadı́stics no
ell.
Quan
existeixen
o
apareixen
indicis que
s’han de descarregar de la responsablitat de protefan
pensar
que
l’individu
s’oposaria
que fosgir els interessos dels individus sobre l’intermediari.
sin
desvelades
certes
informacions,
aquestes
També han de vetllar per no enterbolir per inadvertència les relacions entre l’individu i l’esmentat dades no s’han d’anar a buscar a prop d’una
tercera persona.
intermediari.
Per essència, el principi de ple consentiment expressa la convicció que una cooperació sincera i impregnada de respecte mutu és indispensable. Queda
c) Utilització secundària de les dades
Quan s’acorda a l’estadı́stic l’accés a da-
277
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
des administratives o mèdiques, per exemple, o a qualsevol altre material d’estudi,
amb vista a una nova investigació, el permı́s
d’utilitzar aquests dades acordat pel posseı̈dor no exonera l’estadı́stic del deure de prendre en consideració les possibles reaccions, la
sensibilitat i els interessos de les persones implicades, inclòs el dret a l’anonimat.
d) Desorientació dels individus
En els estudis on el que es tracta
d’observar exclou de desvelar per endavant
als individus informacions essencials, els estadı́stics han de sospesar les possibles conseqüències de tot engany entrevist. Dissimular
una informació essencial, o equivocar els individus, constitueix una mentida, per acció o
omissió, temporal o definitiva, que comporta
una legı́tima condemna si no es pot justificar.
Un problema greu es planteja als estadı́stics
quan les exigències metodològiques entren en contradicció amb les d’un consentiment donat amb coneixement de causa. Existeixen nombrosos casos on
donar als individus informacions generals com la finalitat de l’estudi o la persona o l’organisme que
l’encarrega, o el fet mateix de saber que han estat
escollits com a individus (com en els casos d’estudis
de camp) provocaria amb tota probabilitat un canvi
o una reacció que desdibuixaria o alteraria la mesura. Aquestes dificultats poden conduir als estadı́stics a allunyar la idea d’un ple consentiment informat clarament i, o bé a adoptar tècniques de mesura
indirecta, o bé a enganyar deliberadament els individus per assegurar-se l’exactitud de les mesures.
Els principis més amunt esmentats imposen, en
aquests casos, precaucions extremes, i s’aconsella als
estadı́stics de respectar els desitjos presumibles dels
individus. Aixı́, en els estudis de camp o en aquells
on intervé una tercera persona, el principi conductor ha de ser que simples indicis de reticència per
part d’un individu no informat o no consentidor han
de ser considerats com un refús a la participació.
De la mateixa manera, quan s’utilitzen enregistraments per segona vegada, els estadı́stics han de tenir
en compte l’obligació ja contreta amb els individus.
Qualsevol altra actitud, en ocasions com aquesta,
denotaria probablement una manca de respecte envers els interessos de l’individu i podria comprometre les relacions entre l’individu i l’estadı́stic.
Les enquestes estadı́stiques en les quals els individus són enganyats deliberadament per acció o
per omissió són rares i molt difı́cils de sostenir. Hi
ha avantatges metodològics clars per enganyar els
individus en certs estudis psicològics per exemple,
on revelar la finalitat tendiria a falsejar les respostes. Però, tal com Diener i Crandall (1978) ho fan
palès, “la ciència està fonamentada sobre el valor
de la veritat”; aixı́ el fet que els savis enganyin els
individus tendeix a destruir el seu crèdit i la seva
reputació (vegeu §3.1 ). Si enganyar els individus
fos una pràctica àmpliament estesa en les enquestes
estadı́stiques, aquests efectivament aprendrien a no
“tenir confiança en aquells que, en virtut d’un contracte social, són considerats dignes de fe i en qui
tenen necessitat de tenir-hi confiança”(Baumrind,
1972).
Tanmateix, seria tan poc realista de proscriure
l’engany en l’enquesta estadı́stica com de proscriure’l de la vida social. L’engany menor és utilitzat
sota formes ben diverses en el contacte humà (tacte, afalac, etc.) i els estadı́stics no seran pas menys
culpables que altres en aquestes pràctiques. Resta de tota manera dins del deure dels estadı́stics
i dels seus col.laboradors de no promoure mètodes
d’enquesta susceptibles de violar els valors i les sensibilitats humanes. Comportar-se aixı́, siguin quin
siguin els avantatges metodològics, posaria en perill la reputació de l’estadı́stica i la confiança mútua entre els estadı́stics i la societat, la qual és una
condició sine qua non de la major part del treball
estadı́stic (vegeu §3.1 ).
Per totes aquestes raons, si el ple consentiment
no pot ser obtingut per endavant, s’hauria de buscar a obtenir-lo a posteriori quan sigui possible, una
vegada l’avantatge metodològic —d’observació indirecta, d’engany, o de dissimulació d’informació— ha
estat assolit.
4.4.Protegir els interessos dels individus
Ni el consentiment dels individus ni l’obligació legal de respondre exoneren l’estadı́stic
278
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
de protegir tant com sigui possible els individus dels efectes potser perjudicials de la
seva participació. L’estadı́stic ha d’esforçarse a molestar el mı́nim els individus mateixos
i les seves relacions amb l’entorn.
individuals. Les dades són recollides per respondre a preguntes del tipus “quants?.o “quina proporció?”, i no del tipus “qui?”. La identitat dels individus que responen i els que no
ho fan, i les informacions recollides gràcies
a ells, han de quedar en conseqüència confidencials,
hagi estat o no la confidencialitat
El dany causat als individus pot provenir de
promesa
de
forma explı́cita.
l’estrès involuntari resultant de la seva participació, d’una pèrdua de confiança en ells mateixos,
d’atacs d’ordre psicològic o d’altres efectes secundaris. Hi ha diversos factors que han de ser con- 4.6.Impedir que les identitats siguin revelasiderats per avaluar la relació risc-avantatge d’una des
Els estadı́stics han de prendre totes les
enquesta particular: la probabilitat i la gravetat del
mesures
convenients per impedir que els remal potencial causat, el nombre de persones amesultats
siguin
publicats o difosos sota una fornaçades, la utilitat donada per descomptat dels rema
que
permeti
que la identitat d’algun insultats, són factors en general inqualificables (vegeu
dividu
sigui
revelada
o deduı̈da.
Levine, 1975).
Quan la probabilitat i la importància del perjudici eventual són grans, els estadı́stics es troben
davant d’un problema més seriós. Pot succeir, per
exemple, que un estadı́stic treballi en un experiment
mèdic en el qual els individus són exposats a riscos
que presenten una certa gravetat. Si es poden trobar
voluntaris ben informats dels riscos i si l’estadı́stic
està convençut de la importància de l’experiment,
tanmateix s’hi ha d’oposar per causa d’aquests riscos? En circumstàncies com aquesta, el millor és
probablement de demanar consell a altres col.legues
o altres persones, en concret a persones que no siguin part interessada en l’estudi o experiment.
Els interessos dels individus poden ser igualment
perjudicats pel fet de formar part d’un grup o d’una
categoria social (vegeu §1.1 ). Els estadı́stics poden
doncs dir poques vegades que una enquesta està
desprovista de conseqüències potencialment nefastes per als individus. Poden afirmar que, en qualitat d’individu, serà protegit per l’anomimat, però
en qualitat de membre d’un grup, o fins i tot de
membre de la la mateixa societat, cap individu està protegit dels efectes de possibles decisions que es
prenguin fonamentades en resultats estadı́stics.
No hi pot haver una protecció absoluta contra
la violació de la confidencialitat, és a dir contra la
divulgació de dades identificades o identificables, infringint una obligació ı́mplicita o explı́cita contractada envers la font. Existeixen nombrosos mètodes
per reduir el risc d’aquestes violacions, el més comú
i probablement el més segur és l’anonimat. El seu
avantage com a mitjà de salvaguarda és que tendeix a prevenir la transgressió involuntària del caràcter confidencial. Mentre les dades es transmeten
d’incògnit, és més difı́cil de lligar-les a individus o
a organismes.
És doncs molt desitjale que les dades estadı́stiques identificables rebin una protecció per llei, de
tal manera que l’accés de tercers a aquestes dades
sigui legalment impossible sense el permı́s de l’estadı́stic responsable o el dels individus. Fins i tot
sense aquesta protecció legal, és responsabilitat de
l’estadı́stic assegurar que la identitat dels individus
estigui protegida.
L’anonimat per ell mateix no és, de tota manera, una garantia de confidencialitat. Freqüentment,
una configuració de caracterı́stiques particulars pot,
com per exemple una empremta digital, identificar
el posseı̈dor d’una manera força segura. Els estadı́stics han de procurar per tots els mitjans al seu
abast de desbaratar les possiblitats que altres tindrien de deduir identitats a partir de resultats publicats. Poden decidir de reagrupar les dades per tal
4.5.Assegurar la confidencialitat
L’estadı́stica no s’ocupa de les identitats de dissimular les identitats (vegeu Boruch i Cecil,
279
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
1979) o emprar tota mena de procediments a la seva
disposició, que serveixen per impedir la detecció de
les identitats sense deteriorar seriosament els resultats agregats (vegeu Flaherty, 1979). És inevitable
que les possibilitats d’anàlisi en pateixin una mica,
però això ha de ser sospesat amb el perjudici que
podrien patir, en absència d’aquestes disposicions,
les fonts de les dades (vegeu Finney, 1984).
les presons. Bulmer (1982) desenvolupa una defensa en contra de la dissimulació en l’enquesta social.
O’Connor i Barnes (1983) presenten breument la
defensa d’alguns casos d’enquesta dissimulada. Singer (1978) i Jowell (1979) presenten materials empı́rics sobre l’efecte diferencial del fet de buscar el
ple consentiment dels enquestats.
La pertinena del principi del ple consentiment
L’expansió dels recursos informàtics sovint està en les enquestes estadı́stiques és sostingut per Daconsiderada com una amenaça envers els individus i lenius (1983) i discutit per Hansen (1983).
els organismes, ja que facilita nous mitjans per posar de relleu identitats i d’interconnectar els regis4.3. Modificacions al ple consentiment
tres. D’altra banda, l’estadı́stic hauria d’aprofitar la
potència considerable dels ordinadors per disfressar
Douglas (1979) recusa l’obligació formal
les identitats i promoure la seguretat de les dades.
d’obtenir el consentiment. Geller (1982) fa proposicions per evitar d’haver d’enganyar els individus.
Bibliografia : obligacions envers els individus
Form (1973) tracta llargament sobre les relacions
entre savis i intermediaris que controlen l’accés als
4.1. Evitar les intrusions injustificades
individus.
Boruch i Cecil (1979 i 1982) descriuen tècniques
estadı́stiques i de mostreig per protegir la informació privada. Hartley (1983) destaca les amenaces
a la vida privada que comporten diversos processos de mostreig. Michael (1984) és el relat fet per
un periodista sobre les amenaces de tot tipus en la
vida privada a Gran Bretanya. Mirvis i Seashore
(1982) ofereix una discussió general de les investigacions en organismes on les qüestions relatives al
grau convenient d’intrusió i d’intervenció són particularment urgents. Reeves i Harper (1981) és un
document sobre l’organització de la investigació en
els mitjans industrials britànics.
Bryant i Hansen (1976) evoquen la necessitat
d’una certa intromissió en la vida privada de les
persones que responen, quan es vol recollir una informació que només es pot obtenir mitjançant la interrogació individual.
4.2. Obtenir el ple consentiment
4.4. Protegir els interessos dels individus
Baurind (1972) defensa que s’ha d’acordar
una prioritat als interessos dels individus. Klockars (1979) examina com prendre en consideració
aquests interessos quan apareixen com antisocials o
il .legals. Freidson (1978) defensa la destrucció sistemàtica de tots els identificadors de dades individuals. Okely (1984) considera, a Gran Bretanya, les
conseqüències d’una publicació de resultats sobre un
grup social identificable. Loo (1982) estudia el cas
d’una investigació la finalitat de la qual és millorar el benestar d’una col .lectivitat desfavorida. El
Consell del Canadà (1977) discuteix els problemes
particulars que es plantegen en el moment de fer
estudis sobre poblacions recluses i sobre els infants.
Warwick (1983) examina els aspectes ètics particulars que es poden trobar en certs paı̈sos en vies de
desenvolupament.
Wax (1979 i 1982) sostenen que demanar el
4.5. i 4.6. Confidencialitat i desvelament
ple consentiment, en les enquestes etnogràfiques, és d’identitats
inadequat, mentre que Capron (1982) manté que
s’ha de sol .licitar. O’Connor (1976) examina els
Boruch i Cecil (1979 i 1982) aporten solucions
problemes d’interpretació del consentiment, o de la tècniques. Hartley (1982) examina el lligam entre
manca de consentiment en un entorn jeràrquic com mostreig i confidencialitat.
280
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
Els apectes legals i tècnics de la protecció de les
(1984). “Ethical and political compromises in sodades estadı́stiques sobre els individus són presen- cial research”. Wisconsin sociologists, 21, 100–111.
tats per Dalenius (1979) i Durbin (1979) en el marc
de les lleis i pràctiques en els seus paı̈sos respectius:
BARNETT, Steven, (1983). “’Never mind
Suècia i Regne Unit.
the quality . . . will it give us the answers we
want?’”Social Research Association News Novembre, 1–2.
REFERÈNCIES
BAUMRIND, Diana, (1972). “Reactions to the
ADER, Gerard, (1977). Confidentiality and bu- May 1972 draft report of the ad hoc committee on
siness statistics in the European Communities. Eu- ethical standards in psychological research”. Amerostat; Paris.
rican psychological, 27, 1083–1086.
AGAR, Michael H, (1980). The professional
BEAUCHAMP, Tom L., FADEN, Ruth, WAstranger: an informal introduction to ethnography. LLACE, R. Jay & WALTERS, LeRoy, (1982). EdiNew York; Academic Press.
tors. Ethical issues in social science research. Baltimore; John Hopkins university press.
AIS — ASSOCIATION DES ADMINISTRATEURS DE L’INSEE, (1984). Code de déontologie
BOK, Sissela, (1982). Secrets: on the ethics of
statistique. Paris; AIS.
concealment and revelation. New York; Pantheon
books.
AKEROYD, Anne V., (1984). “Ethics in relation
to informants, the profession and governments”. In
BORUCH, Robert Francis, & CECIL, Joe
ELLEN, Roy F., ed., Ethnographic research: a gui- Shelby, (1979). Assuring the confidentiality of social
de to general conduct. London; Academic Press. Re- research data. Philadelphia, University of Pennsylsearch methods in social anthropology, 1, 133–154. vania press.
ASA — AMERICAN STATISTICAL ASSO(1982). “Statistical strategies for preserving priCIATION, (1980). “Interim Code of Conduct — Ge- vacy in direct inquiry”. In Sieber 1982b, 207–232.
neral Guidelines”. Amstat. News., 69, 20–21.
(1983). Solutions to ethical and legal problems in
(1983). “Ethical Guidelines for statistical practi- social research. New York; Academic Press.
ce: historical perspective. Report of the ASA ad hoc
committee on professional ethics; and Discussion”.
BOWER, Robert Turrell, & DE GASPARIS,
The American Statistician, 37 (1), 1–19.
Priscilla, (1978). Ethics in social research: protecting the interests of human subjects. New York;
APPELL, George Nathan, (1978). Ethical di- Praeger.
lemmas in anthropological inquiry: a case book.
Waltham, Mass.; Crossroads Press.
BRYANT, E.C. and HANSEN, M.H. (1976. “Invasion of privacy and surveys, a growing dilemma”.
BAAS — BRITISH ASSOCIATION FOR THE In: H.W. Sinaiko and L.A. Broadling, eds. PerspecADVANCEMENT OF SCIENCE, (1974). “Does re- tives on attitude assessment; surveys and their alsearch threaten privacy or does privacy threaten re- ternatives. Champaign; Illinois Free Press.
search?”Report of a study group. London; BAAS.
Publication 74/1.
BULMER, Martin, (1979). Editor Censuses,
surveys and privacy, London. Macmillan.
BARNES, John Arundel, (1980). Who should
know what? Social science, privacy and ethics.
(1982). Editor Social research ethics: an examiCambridge; Cambridge University Press.
281
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
nation of the merits of covert participant observa(1982). “Code of professional conduct: a persotion. London; Macmillan.
nal view”. International statistical review, 40, 214–
219.
BURGESS, Robert G. (1984). In the field: an
introduction to field research. London; Allen & UnDIENER, Edward, & CRANDALL, Rick,
win. Contemporary social research 8.
(1978). Ethics in social and behavioural research.
Chicago; University of Chicago press.
CANADA COUNCIL, (1977). Consultative
group on ethics. Ethics: report of the consultative
DOUGLAS, Jack Daniel, (1979). “Living mogroup on ethics. Ottawa; Canada Council.
rality versus bureaucratic fiat”. In Klockars &
O’Connor 1979, 13–33.
CAPRON, Alexander Morgan, (1982). “Is consent always necessary in social science research?Ïn
DURBIN, J., (1979). “Statistics and the Report
Beauchamp et al., 1982, 215–231.
of the Data Protection Committee”. Journal of Royal Statistical Society, A., 142 (3), 299–316.
CARROLL, James D., & KNEER, Charles R,
(1976). “The APSA confidentiality in social science
FINNEY, D. J., (1984). Comment in Proceeresearch project: a final report”. PS., 9, 416–419.
dings of the 44th Session of the ISI Volume L Book
3: 553.
CASSELL, Joan. (1982a). “Does risk-benefit
analysis apply to moral evaluation of social
FLAHERTY, David H., (1979). Privacy and goresearch?Ïn Beauchamp et al., 1982, 144–162. vernment data banks: an international perspective.
(1982b). “Harms, benefits, wrongs, and rights in London; Mansell.
fieldwork”. In Sieber 1982a, 7–31.
FLAHERTY, David H., HANIS, Edward H., &
CHAKRAVARTY, S. (1985). Use of statistics MITCHELL, S. Paula, (1979). Privacy and access
for planning in the economic and related sectors to government data for research: an international
with emphasis on macro-level planning — review of bibliography. London; Mansell.
Indian experience. Paper presented at 45th Session
of ISI, Amsterdam.
FORM, William Humbert, (1973). “Field problems in comparative research: the politics of disCRISPO, John Herbert Gillespie, (1975). The trust”. In Armer, Michael, & Grimshaw, Allan Day,
public right to know: accountability in the secretive eds., Comparative social research: methodology prosociety. Toronto; McGraw-Hill Ryerson.
blems and strategies, 83–117. New York; Wiley.
DALENIUS, T. (1979). “Data protection legislaFRANKEL, L., (1976). “Statistics and Peoples
tion in Sweden: a statisticians’ perspective”. Journal — the Statisticians’s Responsabilities”. Journal of
of the Royal Statistical Society A, 142 (3), 285–298. American Statistical Association, 70 (353), 9–16.
(1983). “Informed consent or RSVP”. In: W. G.
FREIDSON, Eliot, (1978). “Comment on StepMadow, H. Nisselsen and I. Olkin, eds. Incomplete henson, M., et al., articles on ethics”. American sodata in sample surveys, Vol. 3: 85–106. New York; ciologist, 13, 159–160.
Academic Press.
FREUND, Paul E., (1969). Editor. “Ethical asDEMING, W. Edwards, (1965). “Principles of pects of experimentation with human subjects”.
professional statistical practice. The Annals of Mat- Daedalus, 98 (2) xiv, 219–597.
hematical Statistics”. Vol. 36, (4), 1883–1900.
GELLER, Daniel M., (1982). “Alternatives to
282
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
deception: why, what, and how?”. In Sieber 1982b, W., (1979). Editors. Deviance and decency: the et39–55.
hics of research with human subjects. Beverly Hills;
Sage. Sage annual review of studies in deviance 3.
GONZALES, M. E., OGUS, J. L., SHAPIRO,
G., & TEPPING. B. J., (1975). “Standards for disLEVINE, Robert J., (1978). “The role of assesscussion and presentation of errors in surveys and ment of risk-benefit criteria in the determination
census Data”. Journal of American Statistical As- of the appropriateness of research involving human
sociation, 70 (351) II, 5–23.
subjects”. In United States. National commission
for the protection of human subjects of biomedical
GSS — GOVERNMENT STATISTICAL SER- and behavioural research. Appendix. The Belmont
VICE, (1984). Code of practice on the handling report: ethical principles and guidelines for the proof data obtained from statistical inquiries. London; tection of human subjects of research. Washington,
D.C.; U.S. government printing office. DHEW puHMSO.
blication (OS) 78-0013.
HANSEN, M. H., (1983). “Discussion of DALE1979). “Clarifyng the concepts of research etNIUS, T. (1983)”. In: W. G. Madow, H. Nisselson
and I. Olkin eds. Incomplete Data in Sample Sur- hics”. Hastings Centre report, 9 (3), 21–26.
veys, Vol. 3: 125–127. New York; Academic Press.
LOO, Chalsa M., (1982). “Vulnerable populaHARTLEY, Shirley Foster, (1982). “Sampling tions: case studies in crowding research”. In Sieber
strategies and the threat to privacy”. In Sieber 1982b, 105–126.
1982b, 186–189.
MICHAEL, James, (1982). “Privacy”. In Wallington,
Peter, ed., Civil liberties 1984. London;
JAHODA, Marie, (1981). “To publish or not to
Martin
Robertson:
131–150.
publish?”. Journal of social issues, 37, 208–220.
MIRVIS, Philip H., & SEASHORE, Stanley E.,
JOHNSON, Carole Gaar, (1982). “Risks in the
(1982). “Creating ethical relationships in organisapublication of fieldwork”. In Sieber 1982a, 71–91.
tional research”. In Sieber 1982b, 79–104.
JOWELL, Roger, (1979). “Informed consent in
MUHSAM, Helmut, (1985). On two human
survey research. Bulletin of the International Statistical Institute”, (Proceedings of the 42nd session) rights involved in the ISI Declaration on Professional Ethics. Contributed paper, Proceedings of the
66, 273–276.
45th Session.
(1981). “A professional code for statisticians?
NYITRAI, V., (1985). The socio-economic staSome ethical and technical conflicts. Bulletin of the
tistical
information system as a useful means for
International Statistical Institute”(Proceedings of
planning.
Paper presented at 45th Session of ISI,
the 43rd session) 49 (1), 165–209.
Amsterdam.
KLAW, Spencer, (1970). “The Faustian barO’CONNOR, Michael Edward, (1976). “Prison
gain”. In Brown, Martin, ed., The social responsiresearch: a methodological commentary on being a
bility of the scientist. New York Free Press: 3–15.
known observer”. Australian and New Zealand jourKLOCKARS, Carl B., (1979). “Dirty hands and nal of criminology, 9, 227–234.
deviant subjects”. In Klockars & O’Connor 1979,
261–282.
O’CONNOR, Michael Edward, & BARNES,
John Arundel, (1983). “Bulmer on pseudopatient
KLOCKARS, Carl B., & O’CONNOR, Finbarr studies: a critique”. Sociological review n.s., 31,
283
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
753–758.
London; Social and Community Planning Research.
OKELY, Judith, (1984). “Fieldwork in the hoSHILLS, Edward, (1967). “Privacy and power”.
me counties”. Royal Anthropological Institute News, In Pool, Ithiel de Sola, ed., Contemporary poli61, 4–6.
tical science: toward empirical theory. New York;
McGraw-Hill: 228–276.
POOL, Ithiel de Sola, (1979). “Protecting human subjects of research: an analysis on proposed
SIEBER, Joan E., (1982a). Editor. The ethics
amendments to HEW policy”. PS, 12, 452–455.
of social research: fieldwork, regulation, and publication. New York; Springer.
(1980). “Response by Pool”. PS, 13, 203–204.
(1982b). Editor. The ethics of social research:
POWELL, John P., (1983). “Professional ethics surveys and experiments. New York; Springer.
in academia”. Vestes, 27 (2), 29–32.
SIMMEL, Georg, (1908). Soziologie. UntersuREEVES, Tom Kynaston, & HARPER, Donald chungen uber die Formen der Vergesellschaftung.
George, (1981). Surveys at work: a practitioner’s Leipzig; Duncker & Humblot.
guide. London; McGraw-Hill.
(1952). The sociology of Georg Simmel. Editor
Wolfe,
Kurt Heinrich. Glencoe; Illinois Free Press.
REYNOLDS, Paul Davidson, (1975). “Value dilemmas in the professional conduct of social science”. International social science journal, 27, 563–
SINGER, Eleanor, (1978). “Informed consent:
611.
consequences for response rate and response quality for social surveys”. American sociological re(1979). Ethical dilemmas and social science re- view, 43, 144–162.
search: an analysis of moral issues confronting inSJOBERG, Gideon, (1967). Editor. Ethics, polivestigators in research using human participants.
tics, and social research. Cambridge, Mass.; SchenSan Francisco; Jossey -Bass.
kaman.
(1982). Ethics and social science research. Englewood Cliffs, N. J.; Prentice-Hall.
RYNKIEWICH, Michael Allen, & SPRADLEY,
James Phillip, (1976). Editors. Ethics and anthropology: dilemmas in fieldwork. New York; Wiley.
STOCKING, S. Holly, & DUNWOODY, Sharon
L., (1982). “Social science in the mass media: images
and evidence”. In Sieber 1982a, 151–169.
SWISS ACADEMY OF SCIENCE. Ethical Guidelines for Animal Experimentation.
RYTEN, Jacob, (1983). “Some general consideTEFFT, Stanton K., (1980). Editor. Secrecy: a
rations as a result of an Ecuadorian case study”. Bu- cross-cultural perspective. New York; Human scienlletin of the International Statistical Institute (Pro- ces press.
ceedings of the 43rd session), 49 (2), 639–665.
WARWICK, Donald P., (1983). “The politics
SCHULER, Heinz, (1982). Ethical problems in and ethics of field research”. In Bulmer, Martin, &
psychological research. New York; Academic press. Warwick, Donald P., eds. Social research in developing countries: surveys and censuses in the Third
SCPR — SOCIAL AND COMMUNITY PLAN- world. Chichester; Wiley: 315–330.
NING RESEARCH Working Party, (1974). Survey
research and privacy: report of a working party.
WAX, Murray L., (1980). “Paradoxes of ‘con284
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
sent’ to the practice of fieldwork”. Social problems,
WILLIAMS, K. (1985). Use of statistical infor27, 272–283.
mation for assessing social conditions and monitoring and evaluation of development programmes —
(1982). “Research reciprocity rather than infor- experience of African countries. Paper presented at
med consent in fieldwork”. In Sieber 1982a, 33–48. 45th Session of ISI, Amsterdam.
WORLD MEDICAL ASSOCIATION DECLAWAX, Murray L., & CASSEll, Joan, (1981).
RATION
OF HELSINKI, (1964). Revised 1975. Re“From regulation to reflection: ethics in social reprinted
in
Duncan, H.S., Dunstan, G.R. and Welsearch”. American sociologist, 16, 224–229.
bourn, R.B. (eds.) (1981 Dictionary of Medical EtWEBB, Eugene John, and others, (1966). Unob- hics. Revised and enlarged version, Darton, Longtrusive measures: nonreactive research in the social ham and Todd, London).
sciences. Chicago; Rand McNally.
285
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
5.1.2
ISI Declaration on Professional Ethics 2009 (draft)
Adopted: August 2009
Background note
interest in professional ethics among statisticians worldwide;
The involvement of the International Statistical Institute in establishing a declaration on professional ethics has extended over the past quarter century. The Bureau of the Institute, in response to representations by members and a proposal
by the Institute’s Committee on Future Directions,
initially established a Committee on a Code of Ethics for Statisticians in 1979, during the 42nd ISI
Session in Manila.
• determines to send the Declaration to all
members of the ISI and its Sections and to
disseminate it, as appropriate, within the statistical profession;
That Committee 5 worked to prepare a plenary
meeting at the Buenos Aires Session in 1981, during
which a consensus in favour of drawing up a code
developed: the ’code’ was prepared for acceptance
by the Institute during its Centenary Celebration in
1985. The Declaration which emerged was the result
of an extensive process of drafting and redrafting,
of consultation with the entire ISI membership and
with the ISI’s Sections, and of open meetings and
written consultations which occurred between December 1981 and August 1985. The drafting of the
Declaration provoked much interest and genuine debate which continued into the week before it was
placed before the General Assembly of the Institute
for adoption.
In accordance with the spirit and letter of the
resolution, in August 1985, the International Statistical Institute presented its members with the ISI
Declaration on Professional Ethics.
• commends the Committee responsible for developing the Declaration forits thorough, efficient and successful work during the last five
years.
With the passage of time, the Institute found itself visiting the question of the need for an updating
of the Declaration. For example, in July 2002, prior
to the ISI international meetings in Berlin, a Conference on Professional Ethics was assembled to explore the issue and, in September of that year, produced a proposed, revised set of ethics, which does
not seem to have gone any further. Nonetheless, the
topic continued to be the focus of conversation in
subsequent meetings of the Ethics Committee.
In July 2006, the Executive Committee specifically invited its standing Professional Ethics Committee 6 to revisit the ISI Declaration and, ”should
the occasion arise, (propose) updates to the ISI Declaration”. Specifically, in regard to the ISI Declaration, the Committee was asked to propose, if meri• recognising that the aim of the Declaration on ted, updates to the earlier Declaration and to cataProfessional Ethics for Statisticians is to do- logue new documents to illuminate the ethical praccument shared professional values and expe- tices of statisticians.
rience as a means of providing guidance rather
This the Committee has now done. After much
than regulation,
discussion, an extensive exchange of ideas by pho• adopts the Declaration as an affirmation of ne, and email, writing and rewriting, a revised dothe membership’s concern with these matters cument was prepared for a meeting held in Paris, in
and of its resolve to promote knowledge and March 2007, hosted by INSEE. This was followed by
After due consideration and deliberation the General Assembly adopted the following resolution on
21 August 1985: ’The General Assembly of the International Statistical Institute,
5 The
Committee was chaired by Roger Jowell. Original members were W. Edwards Deming, Arno Donda, Helmut V.
Muhsam and Edmund Rapaport, who subsequently were joined by Edmundo Berumen-Torres, Gilbert Motsemme and Rene
Padieu.
6 The current Committee is composed of David Morganstein (Chair), Margo Anderson, Edmundo Berumen, Steven Fienberg, Fred Ho, Roger Jowell, Olav Ljones, Bill Seltzer, and Jan-Robert Suesser. The Committee receives important support
from an Ethics Advisory Group consisting of Jean-Louis Bodin, Oliver J.M. Chinganya, Howard Gabriels, Denise Lievesley,
Dan Levine, Renee Padieu, Hrachya Petrosyan, and Norbert Victor . . .
286
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
an open meeting at the ISI international meetings
in Lisbon, in August 2007, at which the results of all
these efforts were presented to the participants for
their comments and reactions. That meeting led to
agreement on many points, but a number of suggestions for further examination were suggested. This
led to the addition of a Section on Core Values and
further refinement in the content and format. This
document is the result of these recent efforts.
ces between principles will sometimes have to be
made. The declaration does not attempt to resolve
these choices or to allocate greater priority to one
of its principles than to another. Instead it offers
a framework within which the conscientious statistician should, for the most part, be able to work
comfortably. Where departures from the framework
of principles are contemplated, they should be the
result of deliberation rather than of ignorance.
In accordance with the spirit and letter of the
original resolution, the International Statistical Institute is privileged to present to the reader this revised and updated Declaration on Professional Ethics, with the continued hope and belief that the
new document will assist colleagues throughout the
world in the pursuit of their professional goals and
responsibilities.
The declaration’s first intention, thus, is to be
informative and descriptive rather than authoritarian or prescriptive. Second, it is designed to be applicable as far as possible to the wide and changing areas of statistical methodology and application. For this reason, its provisions are drawn quite
broadly. Third, although the principles are framed
so as to have wider application to decisions than
to the issues it specifically mentions, the declaration is by no means exhaustive. It is designed in
the knowledge that it will require periodic updating and amendment, reflecting on the one hand
developments in the generation of information and
technical tools utilized by statisticians and, on the
other hand, in the uses (and , consequently, misuses) of statistical outputs. Fourth, the values, principles, and the commentaries which follow acknowledge with the general written or unwritten rules or
norms, such as compliance with the law or the need
for probity. However, the declaration restricts itself
insofar as possible to matters of specific concern to
statistical inquiry.
Preamble
Statisticians work within a variety of economic,
cultural, legal and political settings, each of which
influences the emphasis and focus of statistical inquiry. They also work within one of several different branches of their discipline, each involving
its own techniques and procedures and, possibly,
its own ethical approach. Many statisticians work
in fields such as economics, psychology, sociology,
medicine, whose practitioners have ethical conventions that may influence the conduct of statisticians
in their fields. Even within the same setting and
branch of statistics, individuals may face various situations and constraints in which ethical questions
Although not explicitly stated, the Principles
arise Thus, no declaration could successfully impose
inherently
reflect the obligations and responsibilia rigid set of rules to which statisticians everywhere
ties
of–as
well
as the resulting conflicts faced by –
should be expected to adhere, and this document
statisticians
to
forces and pressures outside of their
does not attempt to do so.
own performance, namely to and from:
The aim of this declaration is to enable the statistician’s individual ethical judgments and deci• Society,
sions to be informed by shared values and experience, rather than by rigid rules imposed by the
• Employers, Clients, and Funders,
profession. The declaration therefore seeks to document widely held principles of statistical inquiry
• Colleagues,
and to identify the factors that obstruct their implementation. It is framed in the recognition that,
• Subjects
on occasions, the operation of one principle will impede the operation of another, that statisticians In carrying out his/her responsibilities, each stain common with other occupational groups - have tistician must be sensitive to the need to ensure that
competing obligations not all of which can be fulfi- his/her actions are, first, consistent with the best inlled simultaneously. Thus, implicit or explicit choi- terests of each group and, second, do not favor any
287
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
group at the expense of any other, or conflict with
any of the Principles.
The Principles are followed by short commentaries on the conflicts and difficulties inherent in
their application. A link is provided for each ethical
principle for those who wish to pursue the issues..
Similarly, a limited annotated bibliography is provided after the commentaries for those who wish to
pursue the issues or consult more detailed texts.
CORE VALUES
Our core values are respect, professionalism, honesty and integrity.
1. Respect
We have an obligation to protect fundamental
human rights, especially those of others about
whom or from whom we collect data.
We should not suppress or improperly detract
from the work of others.
We should avoid causing needless injury or
harm to others.
We should act in ways that promote the welfare of other people.
We respect the privacy of others and promises
of confidentiality given to them.
2. Professionalism
a. Responsibility
b. Competence and Expert Knowledge
c. Informed judgment
We are responsible to our employers.
We work to understand our users’ needs.
We are continuously learning both about our
own field as well as those to which we apply
our methods.
We develop new methods as appropriate.
We discuss difficult issues objectively and contribute to their resolution.
3. Honesty and Integrity
a. Independence
b. Objectivity
c. Transparency
Our approaches and work products reflect the
qualities of openness and clear purpose.
We are accountable for our actions.
We have respect for intellectual property.
We represent data and analyses honestly and
openly.
We strive to collect and analyze data of the
highest quality possible.
As scientists, we expect to pursue new ideas
and criticize old ones.
We work towards the logical coherence and
empirical adequacy of our data and conclusions.
We value ”pre-established apersonal criteria.of
assessment.
I. ETHICAL PRINCIPLES
1. Conflicting Interests
The likely consequences of collecting and disseminating various types of data should be considered and explored, and efforts made to guard against
predictable misinterpretation or misuse.
We use our statistical knowledge, data, and
Findings should be communicated for the beneanalyses to serve society and human wellfit of the widest possible community, yet attempt to
being, i.e., fulfill the public interest.
ensure no harm to any population group. . .
We are responsible for the fitness of data and
2. Pursuing Objectivity
of methods for the purpose at hand.
Statisticians should uphold their professional inWe should obey the law and work to change
tegrity without fear or favor, only selecting and
laws we believe impede good statistical pracusing methods designed to produce the most accutice.
rate results, and presenting all the findings openly,
We need to assure that we do not have con- completely, and in a transparent manner regardless
flicts of interest in our work.
of the outcomes. Statisticians should be particularly
288
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
sensitive to the need to present findings when they ques, and findings to be assessed independently.
challenge a preferred outcome.
10. Communicating Ethical Principles
3. Clarifying Obligations and Roles
In collaborating with colleagues and others in
The respective obligations of employer, client, the same or other disciplines, it is necessary and imor funder and statistician in regard to the roles and portant to ensure that the ethical principles of all
responsibility of each should be spelled out and fully participants are clear, understood, respected, and
understood in advance. In providing advice or gui- reflected in the undertaking.
dance, statisticians should take care to stay within 11. Bearing Responsibility for the Integrity of the
their area of competence, and seek advice, as apDiscipline
propriate, from others with the relevant expertise.
Statisticians are subject to the general moral ru4. Assessing Alternatives Impartially
les of scientific and scholarly conduct: they should
Available methods and procedures for addres- not deceive or knowingly misrepresent or attempt
sing a proposed inquiry should be considered and to prevent reporting of misconduct or obstruct the
an impartial assessment provided to the employer, scientific/scholarly research of others
client, or funder of the respective merits and limita- 12. Avoiding Undue Intrusion
tions of alternatives, along with the proposed metThe intrusive potential of some forms of statishod.
tical inquiry requires that they be undertaken only
5. Avoiding Preempted Outcomes
with great care, full justification of need, and notiAny attempt to establish a predetermined out- fication of those involved.
come from a proposed statistical inquiry should be
13. Ensuring Informed Consent
rejected, as should contractual conditions continStatistical inquiries involving the active particigent upon such a requirement.
pation of human subjects should be based, as far as
6. Guarding Privileged Information
practicable, on their freely given, informed consent,
Privileged information is to be kept confidential. including their entitlement to understand the manThis prohibition is not to be extended to statisti- datory/voluntary status of their participation and
cal methods and procedures utilized to conduct the the ability to refuse for whatever reason. Participainquiry or produce published data.
tion should be as informed as possible, and information that might affect the willingness to participate
7. Exhibiting Professional Competence
should not be withheld.
Statisticians shall seek to upgrade their professional knowledge and skills, and shall maintain awa- 14. Protecting the Interests of Subjects.
reness of technological developments, procedures,
Statisticians are obligated to protect subjects,
and standards which are relevant to their field, and individually and collectively, insofar as possible,
shall encourage others to do the same.
against potentially harmful effects of participating,
both to the subjects themselves and to their rela8. Maintaining Confidence in Statistics
tionships with their environment. This responsibiIn order to promote and preserve the confidence lity is not absolved either by consent or the legal
of the public, statisticians should ensure that they requirement to participate.
accurately and correctly describe their results, including the explanatory power of their data. It is in- 15. Maintaining Confidentiality of Records
cumbent upon statisticians to alert potential users
The identities and records of all subjects or resof the results to the limits of their reliability and pondents, cooperating or not, should be kept conapplicability.
fidential, whether or not confidentiality has been
9. Exposing and Reviewing Methods and Findings explicitly pledged.
Adequate information should be provided to the 16.Inhibiting Disclosure of Identity
public to permit the methods, procedures, techniAppropriate measures should be utilized to pre289
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
vent data from being published or otherwise released in a form that would allow a subject or respondent’s identity to be disclosed or inferred.
290
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
I. COMMMENTARY
In reflecting on or in reacting to an Ethical Principle, the statistician must be cognizant of the fact
that, in many cases, actions taken will reflect more
than a single principle. For one example, the statistician must be sensitive to the possible consequences of the work product, given the knowledge that
society’s entitlement to know about its collective
characteristics sometimes conflicts with the individual’s entitlement to protect his or her privacy (or
that of a group or community). Many such examples could be cited to illustrate the complexity and
interrelationships of what, at first, may appear to
be simple ethical issues.
1. Conflicting interests
by a statistical inquiry which finds that it contains
a very high incidence of crime. A group interest may
also be harmed by social or political action based
on statistical findings. For instance, heavier policing
of a district in which crime is found to be high may
be introduced at the expense of lighter policing of a
district in which crime is found to be high may be
introduced at the expense of lighter policing in low
crime districts. Such a move may be of aggregate
benefit to society but to the detriment of some districts. Statisticians are not, however, in a position
to prevent action based on statistical data. Indeed,
to guard against the use of their findings would be
to disparage the very purpose of much statistical
inquiry. However, statisticians should act to the extent possible to inform the public if findings are
misused or mislead.
The likely consequences of collecting and disseminating various types of data should be conside- 2. Pursuing objectivity
red and explored, and efforts made to guard against
Statisticians should uphold their professional inpredictable misinterpretation or misuse. Findings
tegrity
without fear or favor, only selecting and
should be communicated for the benefit of the wiusing methods designed to produce the most accudest possible community.
rate results, consistent with accepted international
Statistical inquiry is predicated on the belief practices presenting the findings openly, complethat greater access to well-grounded information is tely, and”in a transparent manner. While statistibeneficial to society. The fact that statistical infor- cians operate within the value systems of their sociemation can be misconstrued or misused, or that its ties, they should not engage or collude in selecting
impact can be different on different groups, is not methods designed to produce misleading results, or
in itself a convincing argument against its collec- in misrepresenting statistical finds by commission
tion and dissemination. Nonetheless, the statistician or omission.
should consider the likely consequences of collecting
The pursuit of objectivity is a goal of science,
and disseminating various types of data and should
though
in practice it may be difficult to achieve at
guard against predictable misinterpretations or miall
times.
Statistics is no exception. The selection
suse.
of topics for attention may reflect a systematic bias
No generic formula or guidelines exist for asses- in favour of certain cultural or personal values, In
sing the likely benefit or risk of various types of addition, the employment base of the statistician,
statistical inquiry. Nonetheless, the statistician has the source of funding, and a range of other facto be sensitive to the possible consequences of his tors may impose certain priorities, obligations, and
or her work, in the knowledge that society’s entitle- prohibitions. Even so, the statistician is never free
ment to know about its collective characteristics so- of a responsibility to pursue objectivity and to be
metimes conflicts with the individual’s entitlement open about known barriers to its achievement. In
to protect his or her privacy.
particular, statisticians are bound by a professional
All information, whether systematically collec- obligations to resist approaches to data collection,
ted or not, is subject to misuse. And no informa- processing, analysis, interpretation, and publication
tion is devoid of possible harm to one interest or that are likely (explicitly or implicitly) to misinform
another. Individuals may be harmed by their par- or to mislead, rather than to advance knowledge.
ticipation in statistical inquiries, or group interests 3. Clarifying obligations and roles
may be damaged by certain findings. A particular
The respective obligations of employer, client, or
district may, for instance, be negatively stereotyped
291
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
funder, and statistician in regard to the roles and
responsibility of each should be spelled out and fully
understood in advance. In providing advice or guidance, statisticians should take care to stay within
their area of competence, and seek advice, as appropriate, from others with the relevant expertise.
Statisticians should clarify in advance the respective obligations of employer, client, or funder
and statistician; they should, for example, refer the
employer or funder to the relevant parts of a professional code to which they adhere. Reports of the
findings should (where appropriate) specify their role.
4. Assessing alternatives impartially
Available methods and procedures for addressing a proposed inquiry should be considered and an
impartial assessment provided the employer, client,
or funder of the respective merits and limitations
of alternatives, along with the proposed method.
Statisticians should consider the available methods
and procedures for addressing a proposed inquiry
and should provide the funder or employer with an
impartial assessment of the respective merits and
demerits of alternatives.
Statisticians develop and use concepts and techniques for the collection, analysis or interpretation
of data. Although they are not always in a position to determine the scope of their work or the
way in which their data are used and disseminated,
they are frequently able to influence these matters.
In addition, they are in a position to devise more efficient uses of resources through, for example,
developing sampling techniques or introducing new
uses for existing data.
Academic statisticians may enjoy the greatest
degree of autonomy over the scope of their work and
the dissemination of their results. Even so, they are
generally dependent on the decisions of funders, on
the one hand, and journal editors, on the other, for
the direction and publication of their inquiries.
Statisticians employed in the public sector and
those employed in commerce and industry tend to
have even less autonomy over that they do or how
their data are utilised. Rules of secrecy may apply;
pressure may be exerted to withhold or delay the
publication of findings (or of certain findings); statistical series may be introduced or discontinued for
reasons that have little to do with technical considerations. In these cases the final authority for decisions about an inquiry may rest with the employer
or client.
Statisticians are most likely to avoid restrictions
being placed on their work when they are able to stipulate in advance the issues over which they should
maintain control. Government statisticians may, for
example, gain agreement to announce dates of publication for various statistical series, thus creating
an obligation to publish the data on the due dates regardless of intervening political factors. Similarly, statisticians in commercial contracts may specify that control over at least some of the findings
(or details of methods) will rest in their hands rather than with their clients. The greatest problems
seem to occur when such issues remain unresolved
until the data emerge.
5. Avoiding Preempted Outcomes
Any attempt from employer, client, or any source to establish a predetermined outcome from a
proposed statistical inquiry should be rejected, as
should contractual conditions contingent upon such
a requirement.
Statisticians should not accept contractual conditions that are contingent upon a particular outcome from a proposed statistical inquiry.
6. Guarding Privileged Information
Statisticians are frequently furnished with information by the employer, client, or funder who may
legitimately require it to be kept confidential. Statistical methods and procedures that have been utilised to produce published data should not, however, be kept confidential.
The independent statistician or consultant appears to enjoy greater latitude than the employeestatistician to insist on the application of certain
professional principles. In the case of the independent statistician, each relationship with a funder
may be subject to a specific contract in which roles
and obligations may be specified in advance, suggesting some greater latitude. In the employee’s case, by contrast, his or her contract is not projectspecific and generally comprises an explicit or implicit obligation to accept instructions from the employer. The employee-statistician in the public sector
may be restricted further by statutory regulations
292
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
covering such matters as compulsory surveys and reflected in the undertaking.
official secrecy.
Each of these principles stems from the notion
7. Exhibiting Professional Competence
that statisticians derive their status and certain priStatisticians shall seek to upgrade their profes- vileges of access to data not only by virtue of their
sional knowledge and skill and shall maintain aware- personal standing but also by virtue of their profesness of technological developments, procedures, and sional citizenship. In acknowledging membership of
standards which are relevant to their field, and shall a wider statistical community, statisticians owe vaencourage their colleagues to do likewise. They also rious obligations to that community and can expect
shall offer to do work or provide services which are consideration from it.
within their professional competence, and shall not
claim competence not possessed, and any professional opinion given shall be objective and reliable.
They shall not commit to produce results when, in
their judgment, conditions to succeed are not met.
The reputation of statistics will inevitably depend less on what professional bodies of statisticians assert about their ethical norms than on the
actual conduct of individual statisticians. In considering the methods, procedures, content and reporAbove all, statisticians should attempt to ensu- ting of their inquiries, statisticians should therefore
re that employers, clients, and funders appreciate try to ensure that they leave a research field in a
the obligations that statisticians have, not only to state which permits further access by statisticians
them, but also to society at large, to subjects, to in the future.
professional colleagues and to collaborators.
Statistical inquiries are frequently collaborative
efforts
among colleagues of different levels of senio8. Maintaining Confidence in Statistics
rity and from different disciplines. The reputations
In order to promote and preserve the confidence and careers of all contributors need to be taken inof the public, statisticians should ensure that they to account. The statistician should also attempt to
accurately and correctly describe their results, in- ensure that statistical inquiries are conducted witcluding the explanatory power of their data. It is in- hin an agreed ethical framework, perhaps incorpocumbent upon statisticians to alert potential users rating principles or conventions from other discipliof the results to the limits of their reliability and nes, and that each contributor’s role is sufficiently
applicability.
defined. The World Medical Association’s DeclaraStatisticians depend upon the confidence of the tion of Helsinki (1975), for instance, gives guidance
public. They should in their work attempt to pro- to statisticians in the field of medicine. A princimote and preserve such confidence without exagge- ple of all scientific work is that it should be open
rating the accuracy or explanatory power of their to scrutiny, assessment and possible validation by
fellow scientists. Particular attention should be gidata.
ven to this principle when using computer software
9. Exposing and Reviewing Methods and Findings packages for analysis by providing as much detail
Within the limits of confidentiality require- as possible. Any perceived advantage of withholding
ments, statisticians should provide adequate infor- details of techniques or findings, say for competitive
mation to colleagues to permit their methods, pro- reasons, needs to be weighed against the potential
cedures, techniques and findings to be assessed in- disservice of such an action to the advancement of
dependently. Such assessments should be directed statistical knowledge.
at the methods themselves rather than at the indiOne of the most important but difficult responviduals who selected or used them.
sibilities of the statistician is that of alerting poten10. Communicating Ethical Principles
In collaborating with colleagues and others in
the same or other disciplines, it is necessary and important to ensure that the ethical principles of all
participants are clear, understood, respected, and
tial users of their data to the limits of their reliability and applicability. The twin dangers of either
overstating or understating the validity or generalisability of data are nearly always present. No general guidelines can be drawn except for a counsel of
caution. Confidence in statistical findings depends
293
Principis i recomanacions internacionals
5.1. Declaration on Professional Ethics - ISI
critically on their faithful representation. Attempts
by statisticians to cover up errors (see Ryten, 1981),
or to invite over- interpretation, may not only rebound on the statisticians concerned, but also on
the reputation of statistical institutions, as well as
on statistics in general.
have objections to the data’s being used for a different purpose from that intended, they should not
be adversely affected by such uses, provided that
their identities are protected and that the purpose
is statistical, not administrative.
As Cassell (1982) argues, people can feel wron11. Bearing Responsibility for the Integrity of the ged without being harmed by research: they may
Discipline
feel they have been treated as objects of measureStatisticians, in the exercise of their science and ment without respect for their individual values and
scholarship, are subject to the general moral rules of sense of privacy. In many of the statistical inquiries
scientific and scholarly conduct: they should not de- that have caused controversy, the issue has had moceive or knowingly misrepresent (i.e., fabricate, fal- re to do with intrusion into subjects’ private and
sify, or plagiarize), or attempt to prevent reporting personal domains, or with overburdening subjects
of misconduct or obstruct the scientific/scholarly re- by collecting ’too much’ information, rather than
with whether or not subjects have been harmed. By
search of others.
exposing subjects to a sense of being wronged, perFurther, they should publicly acknowledge assis- haps by the method of selection or by causing them
tance received in research and preparation of their to acquire self-knowledge that they did not seek or
work, give appropriate credit for co-authorship or want, statisticians are vulnerable to criticism. Recontribution, encourage publication by colleagues or sistance to statistical inquiries in general may also
students, and compensate justly those who assist or increase.
participate in professional activities.
13. Ensuring Informed Consent
12. Avo