Recull de normativa i recomanacions sobre Protecció de Dades i Secret Estadı́stic Àrea d’Assistència Tècnica Estadı́stica Barcelona, a novembre 2010 D’acord amb el que estableix l’article 2, apartat e) del Decret 178/2009, de 17 de novembre, d’organització i funcionament de l’Institut d’Estadı́stica de Catalunya, l’Idescat ha de vetllar per l’aplicació i la vigilància del compliment de les normes del secret estadı́stic en l’activitat estadı́stica, en els termes que estableix la Llei 23/1998, de 30 de desembre, d’estadı́stica de Catalunya. En compliment d’aquests preceptes, fa temps que l’Idescat recopila la normativa més rellevant en matèria de protecció de dades personals i, sobretot, sobre la confidencialitat estadı́stica. En els darrers anys s’ha intensificat el desplegament legislatiu al respecte tant a nivell comunitari com a Catalunya, amb l’aprofundiment de les mesures que pretenen garantir la preservació de les dades individuals i, al mateix temps, facilitar al màxim l’aprofitament d’aquest tipus d’informació per part de les administracions públiques i d’altres usuaris. L’aplicació d’aquest conjunt de normes i la seva interpretació també propicia el desenvolupament d’instruments i criteris que cal adoptar igualment. En aquest sentit, s’ha considerat oportú posar aquest tipus de documentació a disposició del sistema estadı́stic de Catalunya i als usuaris de la informació estadı́stica per tal de facilitar el seu coneixement i seguiment. Atesa la naturalesa dinàmica de la legislació, el seu recull s’actualitzarà de forma contı́nua, de manera que les successives versions en el temps es dataran convenientment. En concret, el recull de normativa i recomanacions que configuren la documentació adjunta s’estructura segons el seu nivell territorial d’aplicació: Catalunya, Espanya, Unió Europea i principis internacionals. Quan s’ha considerat convenient, només s’han reproduı̈t els textos rellevants de les referències legals més genèriques. Per úlltim, i amb l’ànim d’agilitar la seva localització i comprensió, el document inclou un breu conjunt de definicions i un ı́ndex de les principals matèries. Esperem doncs que, amb la divulgació continuada dels principals preceptes sobre la preservació del secret estadı́stic, tots els seus responsables puguin afrontar millor els reptes que se’n derivin. Institut d’Estadı́stica de Catalunya Barcelona, novembre de 2010 2 1́ Index 3 Índex 4 Índex 1 Índex 3 2 Normativa catalana 7 2.1 Llei 23/1998 d’Estadı́stica de Catalunya - extracte . . . . . . . . . . . . . . . . . . . . . . 8 2.2 Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte . . . . . . . . . . . . . . 10 2.3 Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic . . . . . . . . . . . . . . . . . . . . . 13 Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades . . . . . . . . . . . . . . . . . 22 2.4.1 Decret 48/2003 – Estatut Agència Catalana Protecció de Dades . . . . . . . . . . 34 2.4.2 Resolució 15 de des 2003 – Registre Protecció de Dades de Catalunya . . . . . . . 41 Estatut d’Autonomia de Catalunya - extracte . . . . . . . . . . . . . . . . . . . . . . . . . 43 2.4 2.5 3 Normativa estatal 45 3.1 Constitució espanyola - extracte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3.2 Llei 12/1989 de la Funció Estadı́stica Pública - extracte . . . . . . . . . . . . . . . . . . . 48 3.3 Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte . . . . . . . . . . . 51 3.4 LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal . . . . . . . . . . . . 54 3.4.1 Real Decreto 994/1999 – Mesures de seguretat fitxers de dades personals . . . . . 73 3.4.2 Reglament de desplegament de la Llei orgànica 15/1999 . . . . . . . . . . . . . . . 79 4 Normativa europea 125 4.1 Codi de bones pràctiques de les estadı́stiques europees . . . . . . . . . . . . . . . . . . . . 126 4.2 Reglament (CE) 322/97 – Estadı́stica comunitària . . . . . . . . . . . . . . . . . . . . . . 132 4.3 Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 4.3.1 Reglament (CE) 1104/2006 que modifica el Reglament (CE) 831/2002 4.3.2 Reglament (CE) 1000/2007 que modifica el Reglament (CE) 831/2002 . . . . . . . 144 4.3.3 Reglament (CE) 606/2008 que modifica el Reglament (CE) 831/2002 . . . . . . . . 146 5 . . . . . . 142 ÍNDEX ÍNDEX 4.4 4.3.4 Reglamento (UE) no 520/2010 que modifica el Reglament 831/2002 . . . . . . . . 148 4.3.5 Llista d’organismes els investigadors dels quals poden accedir a dades confidencials 151 Directiva 95/46/CE – Tractament de dades personals 4.4.1 4.5 . . . . . . . . . . . . . . . . . . . . 155 Reglament(CE) 45/2001 – Tractament de dades personals que desenvolupa la Directiva 95/46/CE . . . . . . . . . . . . . . . . . . . . . . . . 178 Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions . . . . . . . . . . . . . . . . . . . . . . 200 4.5.1 Directiva 2002/58/CE que deroga la Directiva 97/66/CE . . . . . . . . . . . . . . 209 4.6 Directiva 2006/24/CE – Conservació de dades . . . . . . . . . . . . . . . . . . . . . . . . . 225 4.7 Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació . . . . . . . . 237 4.8 Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 4.8.1 Reglament 223/2009 que deroga el Reglament 1101/2008 . . . . . . . . . . . . . . 252 5 Principis i recomanacions internacionals 5.1 267 Declaration on Professional Ethics - ISI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 5.1.1 Declaració sobre l’ètica professional 1985 . . . . . . . . . . . . . . . . . . . . . . . . 268 5.1.2 Declaration on Professional Ethics 2009 (draft) . . . . . . . . . . . . . . . . . . . . 286 5.2 Principles governing International Statistical Activities (UNSD) . . . . . . . . . . . . . . . 298 5.3 Convention Protection of Individuals Automatic Processing of Personal Data (Council of Europe) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 5.3.1 Amendments to the Convention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 5.3.2 Additional Protocol to the Convention . . . . . . . . . . . . . . . . . . . . . . . . . 309 6 Índex de definicions 311 6 2 Normativa catalana 7 Normativa catalana 2.1. Llei 23/1998 d’Estadı́stica de Catalunya - extracte 2.1 Llei 23/1998, de 30 de desembre, d’estadı́stica de Catalunya Capı́tol IV. El secret estadı́stic Article 24 1. Totes les persones, els òrgans i les institucions que intervenen en les operacions regulades per aquesta Llei tenen l’obligació de mantenir el secret estadı́stic sobre la informació estadı́stica. de dades de les quals es pugui deduir raonablement una informació individual. Article 27 Les dades que serveixin per a la identificació immediata de les persones informants han d’ésser destruı̈des quan ja no calgui conservar-les per al desenvolupament de les estadı́stiques programades. En tot cas, aquestes dades han d’ésser guardades sota clau, precinte o disposició especial. 2. El deure de guardar el secret estadı́stic s’ha Article 28 de mantenir fins i tot després que les persones No queden emparats pel secret estadı́stic els caobligades a preservar-lo hagin finalitzat llurs activitats professionals o llur vinculació amb sos següents: els òrgans que fan o tenen estadı́stiques. a) Qualsevol dada que sigui de coneixement públic i que no afecti la intimitat de les persones. Article 25 1. El secret estadı́stic empara totes les dades individualitzades de caràcter privat personal, familiar, econòmic o financer, utilitzades per a elaborar l’estadı́stica obtingudes tant directament de la persona informant com de fonts administratives, llevat de les dades que s’han fet públiques mitjançant registres públics o publicacions no declarades il.legals o contra les quals no hi ha obert cap procediment judicial. 2. En virtut de l’obligació a què fa referència l’apartat 1, les dades individuals de comunicació obligatòria no poden ésser fetes públiques ni comunicades a cap persona o entitat, ni tan sols a les administracions públiques, llevat de les institucions o les entitats que també estan vinculades per l’obligació del secret estadı́stic i exclusivament amb la finalitat d’ésser usades per a operacions estadı́stiques. 3. Els arxius informatitzats o manuals que contenen aquestes dades han d’ésser emmagatzemats de forma segura i només accessible al personal sotmès al secret estadı́stic. b) Qualsevol dada obtinguda dels registres administratius, sens perjudici de la confidencialitat i els criteris de difusió que determini la legislació especı́fica que li sigui aplicable. c) Els directoris que només contenen com a dades les simples relacions d’establiments, empreses, explotacions o organismes de qualsevol tipus, amb llurs denominacions, emplaçaments, indicadors d’activitat, grandàries i altres caracterı́stiques generals incloses habitualment en els registres o els directoris de difusió general. d) Els directoris d’edificis i d’habitatges que només contenen com a dades els identificadors, l’emplaçament, el tipus d’unitat i altres caracterı́stiques generals que s’inclouen habitualment en els registres o els directoris de distribució general. e) Les dades protegides quan la persona interessada manifesti expressament i per escrit la seva renúncia a la protecció del secret estadı́stic. Article 29 Les persones interessades tenen dret a accedir a llurs dades personals que figuren en els directoris El secret estadı́stic és vulnerat per la comuni- estadı́stics i a obtenir la rectificació dels errors que cació de dades no autoritzada i per la comunicació continguin. Article 26 8 Normativa catalana 2.1. Llei 23/1998 d’Estadı́stica de Catalunya - extracte Article 30 estadı́stic tenen l’obligació de preservar el secret esEs pot permetre als instituts d’investigació cien- tadı́stic i han de signar una declaració solemne que tı́fica i als investigadors accedir a les dades empara- són coneixedors de la normativa reguladora del sedes pel secret estadı́stic, sempre que aquestes dades cret estadı́stic i es comprometen a complir-la. no permetin una identificació directa de les persones Article 32 i que aquestes institucions o persones compleixin les Pel que fa a la informació individualitzada decondicions adequades amb l’objecte de garantir la rivada de l’activitat administrativa, el secret estaprotecció fı́sica i informàtica de les dades emparades dı́stic, respecte a la informació desagregada, té el i evitar qualsevol risc de divulgació il·lı́cita. mateix abast que el que fixen les normes adminisArticle 31 tratives per a la publicitat de l’expedient. Tots els empleats públics i el personal adscrit a Article 33 les institucions, o les entitats, o les empreses que La vulneració del deure de secret estadı́stic dóna fan activitats en el marc d’estadı́stiques d’interès lloc a responsabilitat administrativa, sens perjudici de la Generalitat i tenen accés per raó de llur càr- de les responsabilitats civils i penals que són exigirec o ocupació a informacions protegides pel secret bles davant la jurisdicció ordinària. 9 Normativa catalana 2.2. Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte 2.2 Llei 13/2010, del 21 de maig, del Pla estadı́stic de Catalunya 2011–2014 DOGC núm. 5638, p.41391 (28.05.2010) Preàmbul [. . . ] D’acord amb els preceptes de la Llei 23/1998 pel que fa a la correcció tècnica i les garanties jurı́diques, el Pla estadı́stic de Catalunya 2011–2014 estableix, d’una banda, els requisits mı́nims que han de contenir els projectes tècnics de les actuacions estadı́stiques, que han d’ésser homologats per l’Institut d’Estadı́stica de Catalunya a fi que es puguin incloure en els programes anuals d’actuació estadı́stica, i, de l’altra, estableix l’obligatorietat de regular mitjançant convenis o contractes la col.laboració dels organismes o institucions que executen d’una manera conjunta actuacions estadı́stiques. Aixı́ mateix, aquesta llei segueix reforçant les mesures perquè la cessió d’informació estadı́stica s’adeqüi a la normativa del secret estadı́stic i a la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal. [. . . ] Capı́tol II. Eixos estratègics del Pla Article 4. Eixos estratègics El Pla estadı́stic de Catalunya 2011–2014 s’estructura en un conjunt de cinc eixos estratègics, entesos com els camps temàtics en què s’identifiquen els objectius generals del Pla i les activitats estadı́stiques que s’hi associen. Els eixos estratègics del Pla són els següents: a) Població: agrupa les estadı́stiques estructurals, de fluxos i de previsions de la població catalana, amb una incidència especial en el tractament estadı́stic dels fenòmens demogràfics emergents i en els reptes de l’estadı́stica de base territorial, de la manera més àmplia i exhaustiva possible. informació en matèria de qualitat i condicions de vida de la població, de relacions laborals i de provisió de serveis educatius i sanitaris. c) Comptes i macromagnituds econòmiques: comprèn l’estadı́stica macroeconòmica, l’activitat dels sectors productius i les operacions de la demanda agregada de l’economia catalana, amb una especial referència a l’evolució conjuntural d’aquesta i als aspectes relacionats amb la nova economia, la productivitat i la competitivitat del sistema econòmic de Catalunya. d) Activitats estadı́stiques instrumentals: cobreixen essencialment les prestacions de l’òrgan estadı́stic oficial en matèria de coordinació del Sistema Estadı́stic de Catalunya; formació i assistència tècnica estadı́stica a les institucions i els òrgans que formen part del Sistema Estadı́stic de Catalunya per a l’elaboració d’estadı́stiques oficials; normalització tècnica; innovacions metodològiques, i instruments de base per a la producció i la difusió estadı́stiques, inclosos els registres i els directoris que faciliten marcs de mostres o en permeten l’explotació estadı́stica. e) Difusió estadı́stica: comprèn essencialment les prestacions de l’òrgan estadı́stic oficial en la difusió dels resultats estadı́stics del conjunt del sistema estadı́stic català, prioritzant Internet com a canal essencial de difusió i configurant el web de l’Institut d’Estadı́stica de Catalunya (Idescat) com el portal interactiu de l’estadı́stica oficial de Catalunya. Aixı́ mateix, inclou un conjunt de serveis d’informació pública, l’articulació d’un sistema homogeni d’indicadors estadı́stics, la potenciació dels productes de sı́ntesi, i també les activitats de comunicació, promoció i divulgació de l’estadı́stica oficial. [. . . ] Capı́tol III. Objectius generals del Pla b) Cohesió social, medi ambient i sostenibilitat: agrupa les estadı́stiques i els indicadors de caràcter social, potencia la producció estadı́stica sobre el [. . . ] medi ambient i la sostenibilitat i abasta la màxima Article 27. Cessió de dades estadı́stiques entre 10 Normativa catalana 2.2. Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte les institucions i els òrgans del Sistema Estadı́stic les activitats estadı́stiques que els encomanen el Pla de Catalunya estadı́stic i els programes anuals d’actuació estadı́s1. Les institucions i els òrgans del Sistema Es- tica successius. tadı́stic de Catalunya s’han de cedir mútuament la 2. Els departaments de la Generalitat, els orinformació de base que requereixin per a portar a ganismes autònoms, les entitats de dret públic i les terme les estadı́stiques d’interès de la Generalitat, empreses que en depenen han de comunicar anualsi es compleixen les condicions següents: ment a l’Institut d’Estadı́stica de Catalunya la rea) Que la cessió sigui necessària per a dur a ter- lació dels òrgans amb atribucions estadı́stiques, que me una estadı́stica d’interès de la Generalitat o bé resten subjectes al deure del secret estadı́stic en els per a l’aprofundiment o l’ampliació de resultats es- termes establerts per la Llei 23/1998 i les normes de desplegament. tadı́stics oficials. 3. La comunicació a què fa referència l’apartat b) Que hagin estat adoptades les mesures de se2 també és aplicable a les entitats locals catalanes guretat suficients per a mantenir el secret estadı́stic i a altres entitats de dret públic que tenen encomade les dades cedides, d’acord amb el que prescriu la nada la realització d’estadı́stiques oficials d’acord Llei 23/1998. amb el Pla estadı́stic de Catalunya 2011–2014 i els c) Que la informació cedida s’utilitzi exclusiva- programes anuals d’actuacions estadı́stiques que el ment per a dur a terme estadı́stiques d’interès de desenvolupen. la Generalitat que la institució o l’òrgan que rep les [. . . ] dades tingui encomanades. 2. Amb l’objectiu de complir la normativa sobre el secret estadı́stic, en els termes establerts per la Llei 23/1998 i la normativa de desplegament del Registre de Fitxers Estadı́stics, es prohibeix expressament la transferència de dades de fitxers estadı́stics a altres fitxers no estadı́stics de les institucions i els òrgans als quals se cedeix la informació, i també qualsevol acarament o encreuament entre ambdós tipus de fitxers, llevat que tinguin una finalitat exclusivament estadı́stica. Aquesta prohibició de transferència de dades no és aplicable en els casos establerts per la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal, ni en la resta de normativa vigent a Catalunya en matèria de protecció de dades personals. Capı́tol VII. Difusió de resultats estadı́stics [. . . ] Article 29. Actualitat de les dades i celeritat en la difusió La difusió dels resultats de les activitats estadı́stiques ha de respondre, garantint, en qualsevol cas, el secret estadı́stic, als principis de pertinència, d’oportunitat i puntualitat i d’accessibilitat i claredat del Codi de bones pràctiques de les estadı́stiques europees. [. . . ] [. . . ] Capı́tol IV. Activitats estadı́stiques del Pla Annex 2. Relació d’activitats estadı́stiques identificades de forma normalitzada i segons els objectius que despleguen [. . . ] [. . . ] Article 15. Activitats estadı́stiques a càrrec de Objectiu 22. Metodologia i normalització les institucions i els òrgans del Sistema Estadı́stic estadı́stiques de Catalunya Control de la revelació estadı́stica 1. Les institucions i els òrgans amb atribucions Codi: 22 03 estadı́stiques dels departaments de la Generalitat i dels organismes autònoms, les entitats de dret púObjectiu: metodologia i normalització estadı́stiblic i les empreses que en depenen porten a terme ca 11 Normativa catalana 2.2. Llei 13/2010 del Pla estadı́stic de Catalunya 2011–2014 - extracte Organismes que hi intervenen: Institut d’Esta- a tercers. dı́stica de Catalunya, universitats i centres de recerCost: baix ca i organismes especialitzats Innovacions metodològiques en l’estadı́sDescripció: perfeccionament dels mètodes i els tica oficial productes de les noves modalitats de control de la Codi: 22 05 revelació estadı́stica per a garantir l’accés segur a les dades confidencials. L’activitat també inclou el conObjectiu: metodologia i normalització estadı́stitrol permanent dels fitxers estadı́stics que gestionen ca les institucions i els òrgans del Sistema Estadı́stic de Organismes que hi intervenen: Institut d’EstaCatalunya. dı́stica de Catalunya, universitats, centres de recerCost: baix ca i organismes especialitzats Formació en mètodes i procediments esDescripció: impuls dels avenços metodològics, tadı́stics procedimentals i instrumentals que procurin la màCodi: 22 04 Objectiu: metodologia i normalit- xima qualitat i eficàcia en la producció i la difusió de resultats estadı́stics per mitjà de l’adaptació de nous zació estadı́stica desenvolupaments sobre estimació de petites àrees, Organismes que hi intervenen: Institut d’Esta- tècnica en fusió de dades, mètodes de calibratge i dı́stica de Catalunya, Departament de Governació ponderació o tractament de dades de panel, articui Administracions Públiques, Escola d’Administra- lats per mitjà de la cooperació amb la comunitat ció Pública de Catalunya, universitats i organismes cientı́fica i la participació en projectes de recerca. especialitzats L’activitat inclou l’actualització de l’inventari de lı́Descripció: programació i execució d’accions nies d’innovació a càrrec de l’Idescat o promogudes formatives o divulgatives adreçades al personal tèc- per aquest organisme. nic especialitzat al servei de l’estadı́stica oficial i als Cost: moderat usuaris d’informació estadı́stica per mitjà d’actua[. . . ] cions pròpies, col·laboracions amb entitats o suport 12 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic 2.3 DECRET 143/2010, de 19 d’octubre, del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic. DECRET 143/2010, de 19 d’octubre, del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic. Preàmbul La Llei 23/1998, de 30 de desembre, d’estadı́stica de Catalunya, desenvolupa la competència exclusiva de la Generalitat en l’àmbit de l’estadı́stica, que era reconeguda com a tal en l’anterior Estatut d’autonomia de 1979 i que ha estat novament reiterada com a competència exclusiva per l’article 135 de l’Estatut d’autonomia del 2006. Aquesta Llei estableix, amb una periodicitat quadriennal, el desenvolupament del Pla estadı́stic de Catalunya, definit com l’instrument d’ordenació i planificació de l’estadı́stica d’interès de la Generalitat de Catalunya. La Llei 2/2006, de 6 de març, del Pla estadı́stic de Catalunya 2006-2009, d’acord amb la seva disposició addicional primera, crea el Registre de Fitxers Estadı́stics adscrit a l’Institut d’Estadı́stica de Catalunya, el qual ha d’inventariar els fitxers amb finalitats exclusivament estadı́stiques, referits tant a persones fı́siques com jurı́diques, que les institucions i òrgans del Sistema Estadı́stic de Catalunya creı̈n exclusivament per elaborar estadı́stiques d’interès de la Generalitat de Catalunya. Aixı́ mateix, estableix que per decret del Govern, a proposta del conseller o consellera d’Economia i Finances, s’ha de regular el Registre de Fitxers Estadı́stics i s’ha d’establir el procediment d’inscripció dels fitxers corresponents i la informació que s’hi ha d’incorporar. Finalment, la Llei 13/2010, de 21 de maig, del Pla estadı́stic de Catalunya 2011-2014 deroga la Llei 2/2006, amb l’excepció de la disposició addicional primera, relativa a la creació del Registre de Fitxers Estadı́stics. La Llei d’estadı́stica de Catalunya regula en el capı́tol IV la figura del secret estadı́stic, al qual estan obligats totes les persones, institucions i òrgans que duen a terme estadı́stica d’interès de la Generalitat, segons la qual les dades individuals de co- municació obligatòria no poden ser fetes públiques ni comunicades a cap persona o entitat, ni tan sols a les administracions públiques, llevat de les institucions o les entitats que també estan vinculades per l’obligació del secret estadı́stic i exclusivament amb la finalitat de ser usades per a operacions estadı́stiques. Aixı́ mateix, estableix les condicions en què les dades subjectes a secret estadı́stic poden ser cedides per dur a terme estadı́stiques d’interès de la Generalitat a les institucions o òrgans legitimats per fer-ho, aixı́ com també als instituts d’investigació cientı́fica i als investigadors amb finalitats de recerca. Finalment, l’article 10 estableix com una de les funcions de l’Institut d’Estadı́stica de Catalunya (Idescat) la de vetllar per l’aplicació i la vigilància del compliment de les normes del secret estadı́stic en l’activitat estadı́stica. Aixı́ mateix, la Llei del Pla estadı́stic de Catalunya 2011-2014, en l’article 27, reforça les mesures perquè la cessió d’informació estadı́stica s’adeqüi a la normativa del secret estadı́stic i a la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal, aixı́ com també amplia els criteris per a la cessió de les dades estadı́stiques entre les institucions i els òrgans del Sistema Estadı́stic de Catalunya. El Decret del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic estableix de forma precisa l’objecte del Registre de Fitxers Estadı́stics, amb la inclusió tant dels fitxers que les institucions i òrgans del Sistema Estadı́stic de Catalunya creı̈n exclusivament per elaborar estadı́stiques d’interès de la Generalitat de Catalunya, com també dels fitxers que disposin per a aquesta finalitat. Aquesta ampliació natural de l’àmbit objectiu del Registre facilita l’adopció del principi de confidencialitat estadı́stica establert en el Codi de bones pràctiques de les estadı́stiques europees i la recomanació de la Comissió de les Comunitats Europees, relativa a la independència, la integritat i la responsabilitat de les autoritats estadı́stiques i dels estats membres i de la Comunitat [COM (2005) 13 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic 217 final, del 25 de maig del 2005]. D’aquesta manera, el Registre de Fitxers Estadı́stics es proposa conèixer, enregistrar, vetllar i controlar tota la informació individual sobre persones fı́siques o jurı́diques residents o amb activitat a Catalunya que estan sotmeses al secret estadı́stic. A la vegada, el Decret identifica l’abast dels fitxers que s’hi han d’inscriure establint les definicions corresponents, concreta el seu àmbit objectiu i subjectiu, estableix els procediments d’inscripció i la informació que cal inscriure impulsant la utilització de mitjans electrònics i telemàtics, i fixa les competències de l’Institut d’Estadı́stica de Catalunya en relació amb la seva gestió i custòdia, publicitat dels fitxers i de la cessió de dades de fitxers registrats, suports i assistència tècnica, certificació de dades registrals i coordinació amb l’Agència Catalana de Protecció de Dades. Aixı́ mateix, el Decret defineix els principals conceptes relacionats amb l’accessibilitat a dades sotmeses al secret estadı́stic, d’acord amb la legislació estadı́stica vigent a Catalunya i la normativa comunitària, molt especialment allò que estableix el Reglament (CE) 223/2009 del Parlament i del Consell, d’11 de març de 2009, relatiu a l’estadı́stica europea, i també amb el Reglament (CE) número 831/2002 de la Comissió, de 17 de maig de 2002, pel qual s’aplica el Reglament (CE) número 322/97 del Consell sobre l’estadı́stica comunitària en relació amb l’accés a dades confidencials amb finalitats cientı́fiques; regula l’accés i les cessions de microdades sotmeses a secret estadı́stic amb finalitats estadı́stiques i cientı́fiques, i estableix els procediments de sol.licitud. Finalment, el Registre de Fitxers Estadı́stics també es regula amb caràcter general per la Llei 30/1992, de 26 de novembre, de règim jurı́dic de les administracions públiques i del procediment administratiu comú i per la resta de normativa que li sigui d’aplicació. Disposicions generals Capı́tol 1 dica integrant del Sistema Estadı́stic de Catalunya, Article 1 Naturalesa i objecte 1. El Registre de Fitxers Estadı́stics creat per la Llei 2/2006, de 6 de març, del Pla estadı́stic de Catalunya 2006-2009, es constitueix com un Registre públic adscrit a l’Institut d’Estadı́stica de Catalunya (Idescat), amb la finalitat d’inventariar els fitxers amb finalitats exclusivament estadı́stiques, referits tant a persones fı́siques com jurı́diques, que les institucions i òrgans del Sistema Estadı́stic de Catalunya que estableix l’article 7 de la Llei d’estadı́stica de Catalunya creı̈n o disposin exclusivament per elaborar estadı́stiques d’interès de la Generalitat de Catalunya. 2. L’objecte d’aquest Decret és regular el Registre de Fitxers Estadı́stics tot establint el procediment d’inscripció dels fitxers corresponents i la informació que s’hi ha d’incorporar, aixı́ com també les cessions de dades sotmeses a secret estadı́stic. Article 2 Definicions Als efectes d’aquest Decret i per a identificar l’abast dels fitxers que s’hi han d’inscriure s’estableixen les definicions que segueixen: a) Fitxer estadı́stic : qualsevol conjunt organitzat de dades de caràcter personal de persones fı́siques o de dades identificatives de persones jurı́diques format a conseqüència d’una actuació estadı́stica reconeguda en els programes anuals d’actuació estadı́stica i sotmès al secret estadı́stic. b) Utilització de dades amb finalitats exclusivament estadı́stiques : és aquella utilització que permet, amb caràcter exclusiu, tractar dades per desenvolupar i elaborar anàlisis i resultats estadı́sEl Decret ha estat objecte de dictamen per part tics d’acord amb la legislació aplicable en matèria del Consell de Treball, Econòmic i Social de Catalu- d’estadı́stica d’interès de la Generalitat. nya, i d’informe de l’Agència Catalana de Protecció c) Utilització de dades amb finalitats cientı́de Dades fiques : és aquella utilització que permet tractar Per això, en ús de les facultats que tinc conferi- dades per desenvolupar i elaborar investigacions i des, a proposta del conseller d’Economia i Finances, recerques cientı́fiques d’acord amb la legislació aplivist el dictamen de la Comissió Jurı́dica Assessora, cable en matèria d’estadı́stica d’interès de la Genei prèvia deliberació del Govern, ralitat. Decreto: d) Organisme responsable : tota persona jurı́- 14 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic que ha format o creat el fitxer estadı́stic i que decideixi sobre la finalitat, el contingut i l’ús del tractament i que consta com a organisme responsable en els programes anuals d’actuació estadı́stica. e) Organisme col.laborador: tota persona jurı́- l’origen d’aquesta informació. n) Cessió de fitxer estadı́stic : qualsevol revelació de dades, parcial o total, efectuada per l’organisme responsable del fitxer estadı́stic o per l’organisme col.laborador a una altra administració púdica integrant del Sistema Estadı́stic de Catalunya, blica, aixı́ com també a un institut d’investigació que consti com a tal en les actuacions estadı́stiques cientı́fica o a un investigador. integrades en els programes anuals d’actuació esta- Article 3 dı́stica. Àmbit objectiu del Registre de Fitxers Estaf) Organisme informador : és l’organisme dı́stics designat, als efectes de la interlocució amb el Re1. Han de ser objecte d’inscripció en el Registre gistre entre els organismes responsables i/o collaboradors, en aquelles actuacions del programa de Fitxers Estadı́stics: anual d’actuació estadı́stica dutes a terme per més a) Els fitxers creats amb finalitat exclusivad’un organisme. ment estadı́stica per institucions i òrgans del Sistema Estadı́stic de Catalunya, responsables d’elaborar estadı́stiques d’interès de la Generalitat de Catalunya com a resultat d’una operació de camp pròpia, de dades d’origen estadı́stic, de dades d’origen estadı́stic basades en un acte administratiu, que es corresponguin amb una actuació estadı́stica inclosa en el programa anual d’actuacions estadı́stiques i d’acord amb la regulació del secret estadı́stic h) Dades d’una operació de camp pròpia : que fa la legislació vigent a Catalunya en matèria aquelles dades obtingudes com a resultat d’una opeestadı́stica. ració de recollida de dades especı́fica per part de Aquests fitxers han de produir una sola insl’organisme responsable amb una finalitat exclusicripció en el Registre, malgrat que hagin estat crevament estadı́stica, per dur a terme una actuació ats per més d’un organisme del Sistema Estadı́stic estadı́stica oficial sotmesa al secret estadı́stic. de Catalunya. i) Dades d’origen estadı́stic : aquelles dades b) Els fitxers creats o que disposin d’informarecollides, mitjançant una operació de camp, per ció estadı́stica provinent d’un organisme del Sistema organismes diferents dels que tenen la responsabiliEstadı́stic de l’Estat. tat de dur a terme l’operació estadı́stica. g) Òrgan estadı́stic : òrgans de les institucions i organismes legitimats per dur a terme estadı́stiques d’interès de la Generalitat que tenen atribuı̈des competències estadı́stiques i que estan subjectes al secret estadı́stic en els termes establerts per la Llei d’estadı́stica de Catalunya i resta de la normativa estadı́stica que li sigui d’aplicació. c) Els fitxers estadı́stics, rebuts o cedits, d’uj) Dades d’origen estadı́stic basades en un acte administratiu : la informació provinent d’un qües- na altra administració pública que s’hagin generat tionari, amb finalitats estadı́stiques, que es distri- en el marc d’una actuació estadı́stica d’aquesta adbueix a l’informant, per al seu emplenament, amb ministració pública. motiu d’un tràmit de caràcter administratiu. 2. Han de ser objecte d’una nova alta al Rek) Observació directa de fets i fenòmens : són gistre aquells fitxers estadı́stics ja inscrits, d’acord aquelles dades que s’obtenen com a resultat d’algun amb l’apartat 1, que hagin sofert modificacions en mesurament per mitjà d’instruments tècnics especı́- l’origen de les seves dades o bé modificacions substantives en el nombre i tipus de caracterı́stiques en fics o mitjançant la constatació visual. la informació que conté, i també quan les successil) Dades d’origen administratiu : són aquelles ves modificacions registrades puguin conduir a una dades recollides amb finalitat administrativa susconfusió del fitxer inicialment registrat. ceptibles de ser tractades estadı́sticament. 3. Han de ser objecte d’inscripció al Registre les m) Recopilació de dades : és una forma de cessions que es produeixin d’acord amb el que regusistematitzar la informació amb independència de 15 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic la la legislació catalana vigent i de conformitat amb el Reglament (CE) 223/2009 del Parlament i del Consell, d’11 de març de 2009, relatiu a l’estadı́stica europea, i, més concretament, amb el Reglament (CE) 831/2002, de la Comissió, de 17 de maig de 2002, pel qual s’aplica el Reglament (CE) número 322/97 del Consell, sobre l’estadı́stica comunitària, en relació amb l’accés a dades confidencials amb finalitats cientı́fiques, i han d’incloure els supòsits: talunya que no són ni responsables ni col.laboradors d’estadı́stiques integrades en els programes anuals d’actuació estadı́stica estan també obligats a inscriure fitxers estadı́stics que rebin d’una altra administració pública. Capı́tol 2 Competències de l’Institut d’Estadı́stica de Catalunya (Idescat) a) Les cessions de dades de fitxers estadı́stics Article 5 formats o creats per l’organisme responsable del fit- Gestió i custòdia xer, o per l’organisme col.laborador, a una altra adCorrespon a l’Idescat la gestió i custòdia del Reministració pública amb finalitats exclusivament esgistre de Fitxers Estadı́stics en exercici de les funtadı́stiques que ja han estat registrats prèviament. cions que li han estat atorgades per la Llei d’estab) Les cessions de dades de fitxers estadı́stics dı́stica de Catalunya, articles 9 i 10, i per l’article 2 inscrits al Registre realitzades per l’organisme res- del Decret 178/2009, de 17 de novembre, d’organitponsable del fitxer, o per l’organisme col.laborador, zació i funcionament de l’Institut d’Estadı́stica de a un institut d’investigació cientı́fica o a un inves- Catalunya. tigador, amb finalitats cientı́fiques, sempre que s’acrediti interès legı́tim d’acord amb el que preveu Article 6 l’article 20. Publicitat dels fitxers i de les cessions de da4. Han de ser també objecte d’inscripció en el des de fitxers registrats Registre les baixes d’un fitxer quan aquest hagi perdut les prestacions en relació amb les finalitats per a les quals va ser creat, o bé quan han sofert modificacions substantives en el nombre i tipus de caracterı́stiques en la informació que conté, i se segueixi el procediment establert en l’article 16. 5. Han de quedar fora de l’abast del Registre aquells fitxers que provinguin de dades d’origen administratiu, d’observació directa de fets i fenòmens i de recopilació de dades, aixı́ com també els fitxers estadı́stics obtinguts a partir de les dades d’un altre fitxer estadı́stic que ja ha estat inscrit prèviament. Article 4 Correspon a l’Idescat establir els mecanismes i adoptar les mesures necessàries per donar publicitat sobre els fitxers i sobre les cessions de fitxers inscrites al Registre. Article 7 Utilització de mitjans electrònics i telemàtics Les institucions, organismes i òrgans del Sistema Estadı́stic de Catalunya han d’utilitzar els mitjans electrònics, informàtics i telemàtics que siguin necessaris per a l’enregistrament dels fitxers estadı́stics i les cessions de dades de fitxers estadı́stics, aixı́ com també amb l’objectiu de facilitar i agilitar les comunicacions. Àmbit subjectiu del Registre Article 8 1. Els organismes del Sistema Estadı́stic de CaSuport i assistència tècnica talunya que intervenen en l’elaboració de l’estadı́s1. Correspon a l’Idescat atendre les consultes tica oficial estan obligats a inscriure en el Registre que li formulin els organismes del Sistema Estadı́sels ı́tems establerts a l’article 3. tic de Catalunya en relació amb l’abast dels fitxers 2. En aquelles actuacions dutes a terme per més estadı́stics i amb les cessions de dades de fitxers esd’un organisme responsable o col.laborador, les instadı́stics objecte de Registre. cripcions indicades en el punt anterior han de ser 2 Amb la finalitat d’unificar criteris entre els ordutes a terme per aquell que es designi com a orgaganismes del Sistema Estadı́stic de Catalunya, l’Inisme informador. descat ha de portar a terme les activitats següents: 3. Els organismes del Sistema Estadı́stic de Ca16 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic a) Realitzar formació i perfeccionament pro- ser definitiva. fessional dirigit als òrgans del Sistema Estadı́stic de Article 12 Catalunya sobre aspectes referents als fitxers estadı́stics i a les cessions de dades de fitxers estadı́stics. Actuació a proposta d’organismes del Sistema Estadı́stic de Catalunya b) Atendre per mitjans electrònics, informà1. El director o la directora de l’Idescat ha de tics i telemàtics, un sistema de consultes sobre l’abast dels fitxers estadı́stics i les cessions de dades resoldre la inscripció dels fitxers estadı́stics que li proposin els organismes responsables i que compleiobjecte de Registre. xin els requisits establerts per aquest Decret. c) Publicar el conjunt de consultes efectuades 2. El director o la directora de l’Idescat ha de a l’entorn dels criteris i procediments que estableix aquest Decret i informar-ne els organismes del Sis- resoldre la inscripció de les cessions de fitxers estadı́stics que li siguin tramitades pels organismes tema Estadı́stic de Catalunya. responsables del Sistema Estadı́stic de Catalunya Article 9 i que compleixin els requisits establerts per aquest Coordinació amb l’Agència Catalana de Pro- Decret. tecció de Dades 3. El director o la directora de l’Idescat ha de L’Idescat i l’Agència Catalana de Protecció de Dades han d’establir els mecanismes de coordinació necessaris per garantir el compliment del que preveu l’article 5.b) de la Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades. Article 10 Certificacions de dades registrals En virtut del que regulen els articles 2.ll) i 7.f) del Decret d’organització i funcionament de l’Idescat, el director o la directora de l’Idescat ha de certificar el contingut de les inscripcions registrals a petició motivada dels organismes del Sistema Estadı́stic de Catalunya. Capı́tol 3 Procediments d’inscripció, informació que cal inscriure i requisits dels formularis Article 11 Actuació d’ofici resoldre la inscripció de les cessions de fitxers estadı́stics que li siguin tramitades pels organismes del Sistema Estadı́stic de Catalunya que rebin fitxers estadı́stics d’una altra administració sense ser organismes responsables o col.laboradors d’actuacions estadı́stiques directament relacionades amb els continguts dels fitxers esmentats. Article 13 Emplenament de dades 1. En el supòsit que les dades trameses pels organismes responsables del Sistema Estadı́stic de Catalunya continguin alguna mancança que impedeixi la inscripció del fitxer al Registre, l’Idescat ha de sol.licitar l’esmena corresponent i concedir un termini de deu dies hàbils per complementar-lo. 2. Transcorregut el termini sense que es disposi de la documentació requerida, no s’ha de procedir a la inscripció del fitxer, la qual cosa s’ha de comunicar a l’organisme responsable. 1. L’Idescat, un cop aprovat pel Govern el pro- Article 14 grama anual d’actuació estadı́stica, ha d’instar d’oInscripció de fitxers i publicitat fici la inscripció provisional al Registre d’aquells fitL’Idescat ha de posar a disposició dels organisxers estadı́stics que es creı̈n en el marc de les actumes del Sistema Estadı́stic de Catalunya els mecaacions anuals. nismes per a l’enregistrament de fitxers estadı́stics 2. L’Idescat ha de comunicar als organismes res- i de les cessions de dades de fitxers en el Registre, ponsables la inscripció provisional dels fitxers esta- aixı́ com també per efectuar la consulta de les insdı́stics al seu càrrec, els quals podran proposar les cripcions efectuades. esmenes que creguin oportunes dins del termini de quinze dies hàbils. La no-formulació d’esmenes s’en- Article 15 tendrà com a conformitat i la inscripció passarà a Resum anual d’inscripcions 17 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic Anualment l’Idescat ha de lliurar un informe al Parlament de Catalunya, al Consell Rector del Sistema Estadı́stic de Catalunya i a l’Agència Catalana de Protecció de Dades, que ha de contenir el resum anual d’inscripcions practicades al Registre. Accés a dades i cessions de dades sotmeses a secret estadı́stic Article 16 D’acord amb el Reglament (CE) 223/2009 del Parlament i del Consell, d’11 de març de 2009, relatiu a l’estadı́stica europea i també amb el Reglament (CE) número 831/2002 de la Comissió, de 17 de maig del 2002, pel qual s’aplica el Reglament (CE) número 322/97 del Consell sobre l’estadı́stica comunitària en relació amb l’accés a dades confidencials amb finalitats cientı́fiques, i d’acord amb la legislació estadı́stica vigent a Catalunya, a continuació es defineixen els principals conceptes relacionats amb l’accessibilitat a dades sotmeses al secret estadı́stic. Procediments de baixa 1. El director o la directora de l’Idescat ha de resoldre la baixa del Registre d’aquells fitxers estadı́stics dels quals sigui titular l’Idescat. 2. Quan el titular sigui una altra institució, organisme o òrgan del Sistema Estadı́stic de Catalunya, la baixa d’un fitxer del Registre s’ha de dur a terme d’acord amb el procediment següent: Article 18 Definicions a) L’organisme responsable de l’actuació esa) Unitat estadı́stica : unitat bàsica d’observatadı́stica ha de presentar la sol.licitud de baixa a ció, és a dir, una persona fı́sica, una llar, una emprel’Idescat. sa o altres tipus d’operadors als quals fan referència b) El director o la directora de l’Idescat ha les dades. d’acordar o desestimar la baixa mitjançant una reb) Identificació directa: identificació d’una unisolució, i l’ha de comunicar a l’organisme sol.licitant tat estadı́stica pel seu nom o cognoms, denominaen el termini màxim de deu dies hàbils. ció, adreça o un número d’identificació públicament c) No es pot resoldre la baixa del fitxer esta- accessible. dı́stic fins que no hagi finalitzat la vigència de les c) Identificació indirecta : identificació d’una cessions efectuades. unitat estadı́stica per altres mitjans que els relatius Article 17 a la identificació directa Informació que cal inscriure a) Les dades bàsiques que s’han de recollir per a la sol.licitud d’inscripció o baixa de fitxers estadı́stics i per a les cessions de dades de fitxers estadı́stics són les que s’indiquen en els annexos: Annex 1. Dades per a la inscripció o baixa al Registre de Fitxers Estadı́stics d) Microdades originals : són aquells registres estadı́stics individuals que contenen informació confidencial obtinguts directament de l’execució d’actuacions estadı́stiques d’interès de la Generalitat de Catalunya o de l’Estat, o que suposin la recollida d’informació individual d’unitats estadı́stiques a les quals fan referència de manera que permeten una identificació directa d’aquestes unitats estadı́stiques. Annex 2. Dades per a la cessió del fitxer estadı́stic a institucions i òrgans del Sistema Estadı́stic e) Microdades confidencials : són aquelles mide Catalunya. crodades originals que s’han modificat a fi d’elimiAnnex 3. Dades per a la cessió del fitxer esta- nar els identificadors directes, de manera que només dı́stic a investigadors i/o organismes d’investigació permeten una identificació indirecta de les unitats estadı́stiques a les quals fa referència. Per determicientı́fica nar si una unitat estadı́stica és identificable, s’haub) Les dades bàsiques establertes en els anneran de tenir en compte tots els mitjans adients que xos 1, 2 i 3 s’han de concretar en els corresponents raonablement podria emprar un tercer per identififormularis que s’han d’establir per resolució del dicar una unitat estadı́stica rector o directora de l’Idescat. f) Microdades anònimes : són aquelles microdaCapı́tol 4 des originals que s’han modificat a fi de reduir al 18 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic mı́nim, d’acord amb les millors pràctiques actuals, regulació de l’encarregat del tractament en els terel risc d’identificació de les unitats estadı́stiques a mes en què s’estableix a la normativa de protecció les quals fan referència. de dades de caràcter personal. Article 19 Article 20 Accés a microdades originals amb finalitats Accés a microdades confidencials amb finaliestadı́stiques tats cientı́fiques 1. Les institucions i els òrgans del Sistema EstaEls instituts d’investigació cientı́fica i els investidı́stic de Catalunya han de poder accedir a micro- gadors han de poder accedir a les dades confidencidades originals contingudes en els fitxers estadı́stics als amb finalitats cientı́fiques, sempre que concorrin formats o emprats en el marc dels programes anuals els requisits següents: d’actuació estadı́stica. a) Que les dades emparades pel secret esta2. La cessió de microdades originals ha de com- dı́stic no permetin una identificació directa de les plir les condicions següents: persones fı́siques o jurı́diques. a) Que la cessió de dades es produeixi entre organismes responsables o col.laboradors del Sistema Estadı́stic de Catalunya, aixı́ com també la que es pugui produir entre aquests organismes i els investigadors o instituts d’investigació mitjançant un encàrrec de tractament de dades, ja sigui per fer una ampliació de resultats, una participació en una recerca o als efectes d’ampliar, aprofundir o analitzar resultats estadı́stics. b) Que la cessió sigui necessària per dur a terme una estadı́stica d’interès de la Generalitat o bé per a l’aprofundiment o l’ampliació de resultats estadı́stics oficials. b) Que el cessionari declari que té implantades mesures tècniques i organitzatives amb l’objecte de garantir la seguretat de les dades emparades i evitar qualsevol risc de divulgació il.lı́cita, d’acord amb el que prescriu la Llei d’estadı́stica de Catalunya i, en particular, d’acord amb el que estableix la normativa de protecció de dades de caràcter personal. c) Que els organismes responsables i collaboradors del Sistema Estadı́stic de Catalunya verifiquin que els sol.licitants compleixin les condicions següents: 1. Pertinença a òrgans inclosos en les categories establertes a l’article 3 del Reglament (CE) c) Que hagin estat adoptades les mesures de núm. 831/2002 de la Comissió, de 17 de maig de seguretat suficients per mantenir el secret estadı́stic 2002 . de les dades cedides, d’acord amb el que prescriu la 2. Que siguin organitzacions o institucions Llei d’estadı́stica de Catalunya i, en particular, d’aa les quals les administracions públiques hagin concord amb el que estableix la normativa de protecció tractat treballs especı́fics d’investigació. de dades de caràcter personal. 3. Que presentin un projecte de recerca en 3. La participació en la recerca esmentada en el qual s’indiqui la finalitat de la recerca i el conjunt l’apartat a) del punt 2 anterior ha de requerir la o les tipologies de dades a les quals es vol accedir. formalització d’un protocol on s’especifiquin les cond) Que el cedent apliqui procediments en madicions de la cessió entre l’organisme responsable o . tèria de control de la revelació estadı́stica, d’acord col laborador, com a promotor de la investigació, amb l’investigador o institut d’investigació, com a amb les millors pràctiques vigents i l’estat de la tecnologia actual, seguint les condicions mı́nimes estaexecutor. blertes per l’Idescat. 4. La comunicació de la cessió de dades entre diversos organismes col.laboradors del Sistema Es- Article 21 tadı́stic de Catalunya al Registre l’ha de dur a terme Sol.licituds d’accés a microdades confidencil’organisme informador. als amb finalitats cientı́fiques 5. Als investigadors o instituts d’investigació als 1. Per tal d’obtenir l’accés a microdades confiquals es refereix aquest article, se’ls ha d’aplicar la dencials amb finalitats cientı́fiques s’ha de seguir el 19 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic procediment següent: President de la Generalitat a) Presentar una sol.licitud, als efectes d’acreditar l’interès legı́tim i el contingut bàsic del protocol dels instituts d’investigació cientı́fica o dels investigadors que s’estableixi, davant l’organisme responsable del fitxer juntament amb una proposta d’investigació detallada. Antoni Castells Conseller d’Economia i Finances Annex 1 b) El cedent ha d’emetre un informe de viaDades per a la inscripció o baixa al Registre bilitat en el qual s’han d’avaluar els impactes sobre de Fitxers Estadı́stics la privadesa de les dades que se cedeixin de conforLes dades bàsiques que s’han de recollir per a la mitat amb les millors pràctiques. sol.licitud d’inscripció o baixa han de ser: 2. Els instituts d’investigació cientı́fica i els investigadors que portin a terme una investigació i l’organisme del Sistema Estadı́stic de Catalunya cedent han de signar un protocol on s’han d’especificar Codi del fitxer: les condicions de la cessió. Nom del fitxer: 3. El cessionari ha de trametre al cedent una declaració de destrucció de les dades una vegada complert el termini temporal establert en les condicions de cessió. Article 22 Divulgació de microdades anònimes L’organisme responsable o col.laborador d’una estadı́stica d’interès de la Generalitat ha de poder divulgar conjunts de microdades anònimes de les estadı́stiques oficials, sempre que s’adoptin les millors pràctiques vigents per a minimitzar el risc d’identificació de les unitats estadı́stiques en qüestió. Aquesta divulgació no requereix cap comunicació al Registre de Fitxers Estadı́stics. Disposicions finals Única. Vigència 1. Aquest Decret entrarà en vigor 20 dies després d’haver-se publicat al Diari Oficial de la Generalitat de Catalunya. 2. En tot cas, als efectes de registre, aquest Decret s’aplicarà als fitxers estadı́stics que es creı̈n o es disposin i a les cessions de dades de fitxers estadı́stics que es produeixin en el marc del Programa anual d’actuació estadı́stica corresponent a l’any 2011 i successius. Data de la inscripció: Estat de la inscripció: Data de la baixa: Motiu de la baixa: Responsable del fitxer: Ubicació del fitxer: Origen del fitxer: Nom del fitxer origen: Pla estadı́stic de Catalunya (PEC) Programa anual d’actuació estadı́stica (PAAE) Finalitat del fitxer: Periodicitat de renovació de les dades: Caracterı́stiques del fitxer: Univers objecte d’estudi: Àmbit territorial: Referència temporal: Procediment de recollida d’informació: Nombre de registres del fitxer: Descripció del registre: Annex 2 Dades per a la cessió del fitxer estadı́stic a institucions i òrgans del Sistema Estadı́stic de Catalunya Les dades bàsiques que es s’han de recollir per a la inscripció de les cessions han de ser: Barcelona, 19 d’octubre de 2010 José Montilla i Aguilera 20 Normativa catalana 2.3. Decret 143/2010 del Registre de Fitxers Estadı́stics i de les cessions de dades sotmeses a secret estadı́stic Codi del fitxer: mes d’investigació cientı́fica han de ser: Nom del fitxer: Organisme cedent: Unitat/persona sol.licitant: Codi del fitxer: Organisme cessionari: Nom del fitxer: Unitat/persona receptora: Organisme cedent: Data de cessió: Organisme sol.licitant: Data de comunicació de la cessió: Nom de l’organisme: Data registre de cessió: Condicions de la cessió i del tractament de les dades: Nom de l’investigador responsable: Document de la sol.licitud: Vigència temporal: Objectius de recerca: Abast de la cessió: Mesures adoptades: Document del compromı́s signat: Annex 3 Data de cessió: Dades per a la cessió del fitxer estadı́stic a inData de comunicació de la cessió: vestigadors i/o organismes d’investigació ciData de registre de cessió: entı́fica Condicions de la cessió i del tractament de les dades: Les dades bàsiques que s’han de recollir per a la Vigència temporal: inscripció de les cessions a investigadors i organisAbast de la cessió: 21 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades 2.4 LLEI 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades. (DOGC núm. 5731 - 08/10/2010 Pàg. 73808) LLEI 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades. El President de la Generalitat de Catalunya dret a accedir, rectificar, cancel·lar aquestes dades i oposar-se a llur utilització en determinats supòsits, i també del dret que la recollida i el tractament siguin realitzats en condicions que en garanteixin la seguretat. Sia notori a tots els ciutadans que el Parlament L’Agència Catalana de Protecció de Dades, aude Catalunya ha aprovat i jo, en nom del Rei i d’a- toritat independent creada per la Llei 5/2002, del 19 cord amb el que estableix l’article 65 de l’Estatut d’abril, de l’Agència Catalana de Protecció de Dad’autonomia de Catalunya, promulgo la següent des, ha vetllat per la garantia del dret a la protecció de dades en l’àmbit de les administracions públiques LLEI de Catalunya mitjançant l’assessorament, la difusió Preàmbul del dret i el compliment de les funcions de control La recollida i el tractament d’informació per establertes per l’ordenament jurı́dic. part de les entitats que formen el sector públic, neL’aprovació de l’Estatut d’autonomia del 2006 cessaris per al desplegament de les funcions que els va suposar el reconeixement exprés, per primer cop encomana l’ordenament jurı́dic, ha experimentat en en l’àmbit estatutari, del dret a la protecció de daels darrers anys un creixement considerable, derivat des i va reforçar el paper de l’autoritat de control en no solament de l’ampliació de l’activitat del sec- matèria de protecció de dades, ja que, d’una bantor públic, sinó, fonamentalment, de l’espectacular da, en va clarificar i ampliar l’àmbit d’actuació i, de creixement de les possibilitats ofertes pels mitjans l’altra, en va reforçar la independència quan en va tecnològics per al tractament de la informació. En establir la designació parlamentària. aquest context i davant dels riscos que aquest fenoJuntament amb aquestes exigències derivades de men comporta, adquireix una rellevància creixent l’Estatut d’autonomia i amb altres millores tècniel dret a la protecció de dades, no sols per a preserques necessàries, cal també incorporar a la legisvar el dret a la intimitat, sinó també, amb caràclació vigent a Catalunya altres modificacions, com ter instrumental, per a preservar els altres drets de ara la mateixa denominació de l’autoritat, per tal la persona reconeguts per la Constitució, l’Estatut d’evitar la confusió de la seva naturalesa amb el de d’autonomia i la resta de l’ordenament jurı́dic. les entitats de caràcter instrumental que sota la deEl dret a la protecció de dades és reconegut pel nominació d’agències han aparegut darrerament en Conveni 108, del 28 de gener de 1981, del Consell l’àmbit administratiu. d’Europa, per la Directiva 95/46/CE del Parlament Capı́tol I Europeu i del Consell, del 24 d’octubre de 1995, i també per l’article 18.4 de la Constitució espanyoDisposicions generals la i l’article 31 de l’Estatut d’autonomia. Regulat Article 1 en l’àmbit estatal per la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter L’Autoritat Catalana de Protecció de Dades personal, el dret a la protecció de dades comporta L’Autoritat Catalana de Protecció de Dades és no solament el poder jurı́dic d’imposar a tercers el l’organisme independent que té per objecte garandeure d’abstenir-se de qualsevol intromissió en l’estir, en l’àmbit de les competències de la Generalitat, fera ı́ntima de la persona, sinó, més enllà d’això, un els drets a la protecció de dades personals i d’accés poder de disposició sobre les dades personals que a la informació que hi està vinculada. es tradueix en el reconeixement del dret que es reArticle 2 quereixi el consentiment per a l’ús i la recollida d’aquestes dades personals, del dret a ser informat, del 22 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades Naturalesa jurı́dica que són competència de la Generalitat o dels ens locals, si es tracta de fitxers o tractaments desti1. L’Autoritat Catalana de Protecció de Dades és una institució de dret públic, amb personalitat nats a l’exercici d’aquestes funcions i el tractament jurı́dica pròpia i plena capacitat d’obrar per al com- es duu a terme a Catalunya. pliment dels seus fins, amb plena autonomia orgài) Les corporacions de dret públic que compleinica i funcional, que actua amb objectivitat i plena xen llurs funcions exclusivament en l’àmbit territoindependència de les administracions públiques en rial de Catalunya als efectes del que estableix aquesl’exercici de les seves funcions. ta llei. 2. L’Autoritat Catalana de Protecció de Dades es relaciona amb el Govern per mitjà del departament que es determini per reglament. Article 4 Competències Per al compliment de les funcions que aquesta llei li assigna i dins del seu àmbit d’actuació, corresÀmbit d’actuació ponen a l’Autoritat Catalana de Protecció de DaL’àmbit d’actuació de l’Autoritat Catalana de des les competències de registre, control, inspecció, Protecció de Dades comprèn els fitxers i els tracta- sanció i resolució, i també l’aprovació de propostes, recomanacions i instruccions. ments que duen a terme: Article 3 a) Les institucions públiques. Article 5 b) L’Administració de la Generalitat. Funcions c) Els ens locals. Les funcions de l’Autoritat Catalana de Protecció de Dades són: d) Les entitats autònomes, els consorcis i les ala) Vetllar pel compliment de la legislació vigent tres entitats de dret públic vinculades a l’Adminissobre protecció de dades de caràcter personal. tració de la Generalitat o als ens locals, o que en depenen. b) Resoldre les reclamacions de tutela formulades per les persones afectades respecte a l’exercici e) Les entitats de dret privat que compleixin, dels drets d’accés, rectificació, cancel·lació i oposicom a mı́nim, un dels tres requisits següents amb ció. relació a la Generalitat, als ens locals o als ens que en depenen: c) Promoure, en l’àmbit de les seves competències, la divulgació dels drets de les persones amb Primer. Que llur capital pertanyi majoritàrirelació a la protecció de dades i l’accés a la inforament als dits ens públics. mació, i l’avaluació de l’impacte sobre la privacitat. Segon. Que llurs ingressos pressupostaris prod) Vetllar pel compliment de les disposicions que vinguin majoritàriament dels dits ens públics. la Llei 23/1998, del 30 de desembre, d’estadı́stica de Tercer. Que en llurs òrgans directius els mem- Catalunya estableix respecte a la recollida de dades bres designats pels dits ens públics siguin majoria. estadı́stiques i al secret estadı́stic, i adoptar les mef) Les altres entitats de dret privat que pres- sures corresponents per a garantir les condicions de ten serveis públics per mitjà de qualsevol forma de seguretat dels fitxers constituı̈ts amb finalitats exgestió directa o indirecta, si es tracta de fitxers i clusivament estadı́stiques, sens perjudici de les comtractaments vinculats a la prestació d’aquests ser- petències atribuı̈des a l’Institut d’Estadı́stica de Catalunya. A aquests efectes, l’Autoritat, en l’àmbit veis. de les seves competències, pot adoptar instruccions g) Les universitats públiques i privades que in- i resolucions adreçades als òrgans administratius i tegren el sistema universitari català, i els ens que en pot sol·licitar, si escau, la col·laboració de l’Institut depenen. d’Estadı́stica de Catalunya. h) Les persones fı́siques o jurı́diques que come) Dictar, sens perjudici de les competències pleixen funcions públiques amb relació a matèries d’altres òrgans i institucions, les instruccions i les 23 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades recomanacions en matèria de protecció de dades de p) Atorgar les autoritzacions per a l’exempció caràcter personal i d’accés a la informació. del deure d’informació en la recollida de dades, per f) Requerir als responsables del fitxer o del trac- al manteniment ı́ntegre de determinades dades, i les tament i als encarregats del tractament l’adopció de altres autoritzacions que estableix la normativa viles mesures necessàries per a adequar el tractament gent en matèria de protecció de dades. de les dades personals objecte d’investigació a la leq) Col·laborar amb l’Agència Espanyola de Progislació vigent en matèria de protecció de dades de tecció de Dades i amb les altres agències autonòcaràcter personal i, si escau, ordenar el cessament miques, d’acord amb el que estableix la normativa dels tractaments i la supressió dels fitxers. reguladora de l’agència estatal. g) Proporcionar informació sobre els drets de les r) Complir totes les altres funcions que li siguin persones en matèria de tractament de dades perso- atribuı̈des d’acord amb les lleis. nals. Capı́tol II h) Atendre les peticions d’informació, les queiOrganització xes i les denúncies. Article 6 i) Decidir sobre les inscripcions de fitxers i el Òrgans de govern tractament de dades de caràcter personal en el Registre de Protecció de Dades de Catalunya, i també Els òrgans de l’Autoritat Catalana de Protecció tenir coneixement d’aquells altres fitxers en què, tot de Dades són: i estar exempts del deure d’inscripció en el Registre, a) El director o directora. la legislació vigent estableixi un deure de comunicació a l’autoritat de protecció de dades. b) El Consell Assessor de Protecció de Dades. j) Exercir la potestat d’inspecció. Article 7 k) Exercir la potestat sancionadora sobre qualEl director o directora sevol tipus de fitxer o tractament sotmès a la norma1. El director o directora de l’Autoritat Catativa de protecció de dades, en l’àmbit que estableix lana de Protecció de Dades dirigeix la institució i l’article 3. n’exerceix la representació. l) Elaborar plans d’auditoria. 2. El director o directora de l’Autoritat Catalam) Emetre informe, amb caràcter preceptiu, so- na de Protecció de Dades, amb subjecció a l’ordenabre els projectes de disposicions de caràcter general ment jurı́dic, amb plena independència i objectivide la Generalitat de creació, modificació o supres- tat i sense subjecció a cap altre mandat imperatiu ni sió de fitxers de dades de caràcter personal, i sobre instrucció, exerceix les funcions que estableix l’artiles disposicions que afectin la protecció de dades de cle 8 i les que s’estableixin per llei o per reglament. caràcter personal. 3. El director o directora de l’Autoritat Catan) Emetre informe, amb caràcter potestatiu, so- lana de Protecció de Dades és designat pel Ple del bre els projectes de disposicions de caràcter general Parlament per majoria de tres cinquenes parts, a dels ens locals de creació, modificació o supressió proposta del Consell Assessor de Protecció de Dade fitxers, i sobre les disposicions que tinguin im- des, d’entre persones amb la condició polı́tica de capacte en matèria de protecció de dades de caràcter talans, amb ple ús dels drets civils i polı́tics i amb personal que els ens locals li sotmetin. experiència en matèria de protecció de dades. Si no o) Respondre les consultes que formulin les en- obté la majoria requerida, s’ha de sotmetre a una titats del seu àmbit d’actuació sobre la protecció segona votació, en la mateixa sessió del Ple, en què de dades de caràcter personal en poder de les ad- requereix el vot favorable de la majoria absoluta ministracions públiques i col·laborar amb aquestes dels membres de la cambra. entitats en la difusió de les obligacions derivades de 4. Els candidats a director o directora de l’Autola legislació reguladora d’aquestes matèries. ritat Catalana de Protecció de Dades que proposi el 24 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades Consell Assessor de Protecció de Dades han de comparèixer davant la comissió corresponent del Parlament de Catalunya perquè els membres d’aquesta puguin demanar els aclariments i les explicacions pertinents sobre qualsevol aspecte relacionat amb llur formació acadèmica, llur trajectòria professional o els mèrits al·legats. 1. Correspon al director o directora de l’Autoritat Catalana de Protecció de Dades dictar les resolucions i les instruccions i aprovar les recomanacions i els dictàmens que requereixi l’exercici de les funcions de l’Autoritat, i en especial aprovar les instruccions a què fa referència l’article 15. 6. El director o directora de l’Autoritat Catalana de Protecció de Dades cessa per les causes següents: a) Resoldre motivadament sobre la procedència o improcedència de les inscripcions que s’hagin de practicar al Registre de Protecció de Dades de Catalunya. 2. Corresponen al director o directora de l’Au5. El director o directora de l’Autoritat Catala- toritat Catalana de Protecció de Dades, en l’àmbit na de Protecció de Dades és elegit per un perı́ode especı́fic de les competències de l’Autoritat, les funde cinc anys, renovable una sola vegada. cions següents: a) Per expiració del termini del mandat. b) Resoldre motivadament sobre la procedència o improcedència de la denegació de l’exercici c) Per separació, acordada pel Ple del Parla- dels drets d’oposició, d’accés, de rectificació o de ment per majoria de tres cinquenes parts, per in- cancel·lació. compliment greu de les seves obligacions, incompac) Requerir als responsables i als encarregats tibilitat, incapacitat sobrevinguda per a l’exercici del tractament l’adopció de les mesures necessàride les seves funcions declarada per sentència ferma es per a l’adequació del tractament de dades pero condemna ferma per delicte dolós. sonals objecte d’investigació a la legislació vigent i 7. El director o directora de l’Autoritat Cata- ordenar, si escau, el cessament dels tractaments i la lana de Protecció de Dades té la consideració d’alt cancel·lació dels fitxers. càrrec, assimilat al de secretari o secretària general. d) Adoptar les mesures, les resolucions i les El càrrec, sens perjudici del règim d’incompatibiliinstruccions necessàries per a garantir les condicitats dels alts càrrecs al servei de la Generalitat, és ons de seguretat dels fitxers constituı̈ts amb finaliincompatible amb: tats exclusivament estadı́stiques. a) L’exercici de qualsevol mandat representae) Dictar les instruccions i les recomanacions tiu. necessàries per a adequar els tractaments de dades b) L’exercici de funcions directives o executi- personals als principis de la legislació vigent en maves en partits polı́tics, sindicats o associacions em- tèria de dades personals. presarials, o estar-hi afiliat. f) Emetre informe, amb caràcter preceptiu, c) La pertinença al Consell de Garanties Es- dels avantprojectes de llei, dels projectes de dispotatutàries o al Tribunal Constitucional. sicions normatives que elabori el Govern per raó d) L’exercici de qualsevol càrrec polı́tic o fun- d’una delegació legislativa i dels projectes de reglació administrativa en organismes internacionals, la ments o disposicions de caràcter general que afectin Unió Europea, l’Estat, les comunitats autònomes o la protecció de dades de caràcter personal. les entitats locals. g) Respondre les consultes que l’Administració de la Generalitat, els ens locals i les universitats e) L’exercici de les carreres judicial, fiscal o de Catalunya li formulin sobre l’aplicació de la lemilitar. gislació de protecció de dades de caràcter personal. f) El desenvolupament de qualsevol activitat h) Resoldre sobre l’adopció de mesures per a professional, mercantil, industrial o laboral. corregir els efectes de les infraccions. Article 8 i) Proposar l’inici d’actuacions disciplinàries Funcions del director o directora b) A petició pròpia. 25 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades contra els responsables o els encarregats del tracEl Consell Assessor de Protecció de Dades tament, d’acord amb el que estableix la legislació 1. El Consell Assessor de Protecció de Dades és vigent sobre règim disciplinari de les administracil’òrgan d’assessorament i participació de l’Autoritat ons públiques. Catalana de Protecció de Dades i és constituı̈t pels j) Resoldre els expedients sancionadors que si- membres següents: guin de la seva competència i posar en coneixement a) El president o presidenta, que és nomenat de l’Agència Espanyola de Protecció de Dades les pel Consell d’entre els seus membres, un cop efectupresumptes infraccions la sanció de les quals li cor- ada la renovació ordinària dels membres designats respongui. pel Parlament. k) Ordenar el cessament del tractament, de b) Tres persones designades pel Parlament, la comunicació il·lı́cita de dades o la immobilització per una majoria de tres cinquenes parts. Si no obdels fitxers, quan s’escaigui. tenen la majoria requerida, s’han de sotmetre a una l) Proporcionar informació sobre els drets de segona votació, en la mateixa sessió del Ple, en què les persones en matèria de tractament de dades per- es requereix el vot favorable de la majoria absoluta. sonals. c) Tres persones en representació de l’Admim) Complir les funcions amb relació als plans nistració de la Generalitat, designades pel Govern. d’auditoria de l’Autoritat a què fa referència l’artid) Dues persones en representació de l’Admicle 20. nistració local de Catalunya, designades pel Consell n) Atendre les peticions que li formulin els de Governs Locals. ciutadans. e) Una persona experta en l’àmbit dels drets o) Respondre les consultes que li formulin les fonamentals, designada pel Consell Interuniversitari administracions. de Catalunya. p) Elaborar la memòria anual de les actuacif) Una persona experta en informàtica, desigons i les activitats de l’Autoritat a què fa referència nada pel Consell Interuniversitari de Catalunya. l’article 13 i comparèixer davant la comissió pertig) Una persona designada per l’Institut d’Esnent del Parlament per a informar-ne del contingut. tudis Catalans. q) Complir qualsevol altra que li sigui encoh) Una persona en representació de les orgamanada per llei o per reglament. nitzacions de consumidors i usuaris, designada pel 3. Corresponen al director o directora de l’Auto- Consell de les Persones Consumidores de Catalunya. ritat Catalana de Protecció de Dades, en els àmbits i) El director o directora de l’Institut d’Estaeconòmic, de contractació i de recursos humans de dı́stica de Catalunya. l’Autoritat, les funcions següents: j) Un funcionari o funcionària de l’Autoritat a) Adjudicar i formalitzar els contractes que Catalana de Protecció de Dades, que actua de serequereixi la gestió de l’Autoritat i vigilar-ne el com- cretari o secretària del Consell. pliment i l’execució. 2. La renovació dels membres del Consell Asb) Aprovar les despeses i ordenar els paga- sessor de Protecció de Dades es duu a terme cada ments, dins els lı́mits dels crèdits del pressupost de cinc anys d’acord amb els estatuts de l’Autoritat despeses de l’Autoritat. Catalana de Protecció de Dades. c) Elaborar l’avantprojecte de pressupost de 3. El director o directora de l’Autoritat Catalal’Autoritat i sotmetre’l a la consideració del Consell na de Protecció de Dades assisteix a les reunions del Assessor de Protecció de Dades. Consell Assessor de Protecció de Dades amb veu i d) Proposar al Consell Assessor de Protecció sense vot. de Dades la plantilla de personal de l’Autoritat. Article 10 Article 9 26 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades Funcions del Consell Assessor de Protecció de Dades tecció de Dades de Catalunya: a) Els fitxers de dades personals, de titularitat 1. Les funcions del Consell Assessor de Protec- pública o privada, inclosos dins l’àmbit d’actuació ció de Dades són: de l’Autoritat Catalana de Protecció de Dades. a) Proposar al Parlament la persona o les perb) Els codis tipus formulats per les entitats sones candidates a ocupar el lloc de director o di- incloses dins l’àmbit d’actuació de l’Autoritat Carectora de l’Autoritat. talana de Protecció de Dades. b) Emetre informe sobre els projectes d’insc) Les autoritzacions de tractaments de dades truccions de l’Autoritat que li siguin sotmesos. de caràcter personal previstes en la legislació vigent. c) Emetre informe sobre l’avantprojecte de 3. El Govern ha d’establir per reglament el propressupost anual de l’Autoritat que el director o cediment d’inscripció de la creació, la modificació directora proposi. i la supressió de fitxers en el Registre de Protecció d) Assessorar el director o directora de l’Au- de Dades de Catalunya, i també el contingut dels toritat en aquelles qüestions que li siguin sotmeses. assentaments registrals. 4. El Registre de Protecció de Dades de Catae) Elaborar un informe preceptiu previ a l’alunya és de consulta pública i gratuı̈ta. Qualsevol provació de la plantilla del personal de l’Autoritat. persona pot consultar, com a mı́nim, la informaf) Elaborar un informe vinculant sobre el ció sobre l’existència d’un determinat tractament de nombre màxim de treballadors de la plantilla de dades de caràcter personal, les finalitats i la identipersonal eventual de l’Autoritat. tat de la persona responsable del tractament. g) Elaborar estudis i propostes en matèria de 5. L’Autoritat Catalana de Protecció de Daprotecció de dades de caràcter personal i demanar des ha d’establir els acords de cooperació necessaris al director o directora l’establiment de criteris en la amb l’Agència Espanyola de Protecció de Dades per matèria. a integrar la informació registral i mantenir-la ac2. El Consell Assessor de Protecció de Dades ha tualitzada. d’ésser informat de: Capı́tol III a) L’activitat de l’Autoritat Catalana de Protecció de Dades, per part del director o directora i de manera periòdica. Relacions amb altres organismes i institucions b) La memòria anual de l’Autoritat. Article 12 Col·laboració amb altres institucions L’Autoritat Catalana de Protecció de Dades pot c) Els criteris objectius dels plans d’auditoria subscriure convenis de col·laboració amb el Sı́ndic a què fa referència l’article 20. de Greuges, els sı́ndics locals, l’Institut d’Estadı́sti3. El Consell Assessor de Protecció de Dades ca de Catalunya, les universitats i altres institucions es regeix per les normes que s’estableixin per regla- i organismes de defensa dels drets de les persones. ment i, supletòriament, per les disposicions vigents Article 13 sobre funcionament d’òrgans col·legiats de l’Administració de la Generalitat. Memòria anual Article 11 1. L’Autoritat Catalana de Protecció de Dades ha d’elaborar una memòria anual de les seves El Registre de Protecció de Dades de Catalunya activitats i de les conclusions dels treballs i dels ex1. El Registre de Protecció de Dades de Cata- pedients que ha tramitat. lunya s’integra a l’Autoritat Catalana de Protecció 2. L’Autoritat Catalana de Protecció de Dades de Dades. ha de presentar la memòria anual al Parlament i 2. Són objecte d’inscripció en el Registre de Pro- donar-ne compte en el marc de la comissió corres- 27 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades ponent, i l’ha de trametre també al Govern, al Sı́n- transcorregut aquest termini, si l’Autoritat no ha dic de Greuges i al director o directora de l’Agència notificat la resolució de la reclamació, s’entén que Espanyola de Protecció de Dades. ha estat desestimada. Article 14 3. La resolució d’estimació total o parcial de la tutela d’un dret ha d’establir el termini en què Relacions entre l’Autoritat Catalana de Protecaquest s’ha de fer efectiu. ció de Dades i el Sı́ndic de Greuges 4. Si la sol·licitud d’exercici del dret davant de la Les relacions entre l’Autoritat Catalana de Propersona responsable del fitxer és estimada, en part tecció de Dades i el Sı́ndic de Greuges són de o totalment, però el dret no s’ha fet efectiu en la forcol·laboració en l’àmbit de llurs competències resma i els terminis exigibles d’acord amb la normativa pectives. aplicable, les persones interessades poden posar-ho Capı́tol IV en coneixement de l’Autoritat Catalana de Protecció de Dades perquè es duguin a terme les actuaciExercici de competències i funcions ons sancionadores corresponents. Article 15 Article 17 Instruccions Publicitat dels informes i les resolucions 1. El director o directora de l’Autoritat Catala1. L’Autoritat Catalana de Protecció de Dades na de Protecció de Dades pot aprovar instruccions resta obligada a garantir la confidencialitat de les per a adequar els fitxers i els tractaments de daconsultes i les reclamacions de què tingui coneixedes als principis i a les garanties que estableix la ment, sens perjudici del dret d’accés a la informació legislació vigent en matèria de protecció de dades. i a la documentació administratives de les persones 2. El projecte d’instrucció s’ha de sotmetre a interessades. informació pública i a informe del Consell Assessor 2. Els dictàmens, els informes i les resolucions de Protecció de Dades. Igualment, pot ésser sotmès de l’Autoritat Catalana de Protecció de Dades s’han a informe de la Comissió Jurı́dica Assessora. de fer públics, un cop notificats a les persones in3. Les instruccions a què fa referència l’apartat teressades, amb l’anonimització prèvia de les dades 1 es publiquen en el Diari Oficial de la Generalitat de caràcter personal, sens perjudici del que estableix de Catalunya i a la seu electrònica de l’Autoritat l’apartat 1. Catalana de Protecció de Dades. 3. De manera excepcional, es pot optar per no Article 16 publicar les resolucions que no tinguin cap interès Tutela dels drets d’accés, rectificació, oposició i doctrinal o que, malgrat l’anonimització, sigui aconsellable per causes justificades evitar-ne la publicicancel·lació tat per a impedir fer recognoscibles les persones que 1. Les persones interessades a les quals es deneho sol·liciten. gui, en part o totalment, l’exercici dels drets d’acArticle 18 cés, de rectificació, de cancel·lació o d’oposició, o que puguin entendre desestimada llur sol·licitud pel Funcions de control fet de no haver estat resolta i tramesa dins el termi1. L’activitat de control de l’Autoritat Catalana ni establert, poden presentar una reclamació davant de Protecció de Dades es duu a terme mitjançant la l’Autoritat Catalana de Protecció de Dades. potestat d’inspecció, els plans d’auditoria, l’aplica2. L’Autoritat Catalana de Protecció de Dades ció del règim sancionador, els requeriments d’adeha de resoldre expressament sobre la procedència o quació a la legalitat i la potestat d’immobilització improcedència de la reclamació a què fa referència de fitxers. l’apartat 1 en el termini de sis mesos, amb l’audi2. Els fets constatats pels funcionaris al servei ència prèvia de la persona responsable del fitxer i de l’Autoritat Catalana de Protecció de Dades quan també de les persones interessades si el resultat del duen a terme llur tasca de control i inspecció, si primer tràmit d’audiència ho fa necessari. Un cop 28 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades llurs actuacions es formalitzen en un document púa) Verificar el compliment de la normativa en blic en què s’observen els requisits legals pertinents, matèria de protecció de dades de caràcter personal. tenen valor probatori, sens perjudici de les proves b) Recomanar o requerir als responsables dels en defensa dels drets o dels interessos respectius que fitxers i dels tractaments de dades de caràcter persopuguin aportar els mateixos interessats. nal que adoptin les mesures correctores adequades. Article 19 2. Correspon al director o directora de l’AutoPotestat d’inspecció ritat Catalana de Protecció de Dades: 1. L’Autoritat Catalana de Protecció de Dades pot inspeccionar els fitxers i els tractaments de dades personals als quals fa referència aquesta llei, a fi d’obtenir totes les informacions necessàries per a l’exercici de les seves funcions. Amb aquesta finalitat, l’Autoritat pot sol·licitar la presentació o la tramesa de documents i de dades o examinar-los en el lloc on estiguin dipositats, i també inspeccionar els equips fı́sics i lògics utilitzats, per a la qual cosa pot accedir als locals on estiguin instal·lats. a) Decidir el contingut de cada pla d’auditoria i concretar els aspectes i els tractaments que cal analitzar. 3. En l’exercici de les funcions d’inspecció els funcionaris poden ésser auxiliats per personal no funcionari, si aixı́ ho decideix el director o directora de l’Autoritat, per raó dels coneixements d’ordre tècnic que puguin ésser necessaris per a auditar sistemes d’informació durant les tasques d’investigació. El personal no funcionari que participa en l’activitat inspectora ho ha de fer seguint les instruccions i sota la supervisió del personal funcionari inspector, i té les mateixes obligacions que aquest, especialment pel que fa al deure de secret. cia prèvia, de la incoació d’un expedient sancionador per part de l’Autoritat Catalana de Protecció de Dades com a conseqüència de la comissió d’una possible infracció per algun aspecte coincident o directament relacionat amb el contingut del pla d’auditoria que s’està duent a terme, l’entitat ha d’ésser exclosa del pla d’auditoria i s’ha de seguir la tramitació del procediment sancionador. b) Seleccionar les entitats que han d’ésser objecte dels plans d’auditoria mitjançant criteris objectius que han d’ésser públics. 3. Les entitats a què fa referència la lletra b de l’apartat 2 han de col·laborar amb la persona responsable de l’auditoria facilitant la realització de les verificacions oportunes i aportant la informació i la 2. Els funcionaris que exerceixen la funció insdocumentació necessàries. pectora a què fa referència l’apartat 1 tenen la con4. Les conclusions dels plans d’auditoria sobre sideració d’autoritat pública en el desenvolupament el grau general de compliment i les recomanacions de llur activitat i resten obligats a mantenir el secret generals pertinents s’han de difondre públicament. sobre les informacions que coneguin en l’exercici de les funcions inspectores, fins i tot després d’haver 5. Si durant el procés d’execució d’un pla d’audicessat en aquestes. toria l’entitat afectada és objecte, amb una denún- 6. Els requeriments a què es refereix la lletra b de l’apartat 1 han d’establir un termini adequat per a l’adopció de les mesures correctores necessà4. Les entitats compreses dins l’àmbit d’aplica- ries per part de les entitats afectades. Si un cop ció d’aquesta llei tenen l’obligació d’auxiliar, amb transcorregut aquest termini l’entitat afectada no caràcter preferent i urgent, l’Autoritat Catalana de ha informat l’Autoritat Catalana de Protecció de Protecció de Dades en les seves investigacions, si Dades sobre les mesures adoptades, o si aquestes són insuficients o inadequades, l’Autoritat pot iniciaquesta els ho demana. ar les actuacions inspectores oportunes per a incoar, Article 20 si escau, un procediment sancionador. Plans d’auditoria Article 21 1. Els plans d’auditoria de l’Autoritat Catalana de Protecció de Dades constitueixen un sistema de control preventiu per a: Règim sancionador 1. Els responsables dels fitxers i dels tractaments de dades personals inclosos dins l’àmbit d’ac29 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades tuació de l’Autoritat Catalana de Protecció de Dades i els encarregats dels tractaments corresponents resten subjectes al règim sancionador que estableix la legislació estatal de protecció de dades de caràcter personal. Les referències a l’Agència Espanyola de Protecció de Dades o als seus òrgans, pel que fa al règim d’infraccions, s’han d’entendre fetes a l’Autoritat Catalana de Protecció de Dades o als seus òrgans, pel que fa al seu àmbit competencial. 2. En el cas d’infraccions comeses amb relació a fitxers de titularitat pública, el director o directora de l’Autoritat Catalana de Protecció de Dades ha de dictar una resolució que declari la infracció i estableixi les mesures a adoptar per a corregir-ne els efectes. A més, pot proposar, si escau, la iniciació d’actuacions disciplinàries d’acord amb el que estableix la legislació vigent sobre el règim disciplinari del personal al servei de les administracions públiques. Aquesta resolució s’ha de notificar a la persona responsable del fitxer o del tractament, a l’encarregada del tractament, si escau, a l’òrgan del qual depenguin i a les persones afectades, si n’hi ha. l’Autoritat Catalana de Protecció de Dades, quan hi hagi motius fonamentats i legı́tims relatius a una situació personal concreta que aixı́ ho justifiqui. 4. La persona denunciant té dret que li siguin comunicades les actuacions que es derivin de la seva denúncia, sens perjudici dels drets que li puguin correspondre si també és persona interessada. Article 23 Mesures provisionals En el moment de la incoació o durant la tramitació del procediment sancionador, el director o directora de l’Autoritat Catalana de Protecció de Dades pot adoptar, de manera motivada, les mesures provisionals que consideri necessàries per a assegurar l’eficàcia de la resolució que finalment pugui recaure i per a aconseguir la protecció provisional del dret a la protecció de dades de les persones afectades. Amb caràcter previ, l’Autoritat ha de donar audiència a les entitats afectades, tret que hi concorrin circumstàncies d’urgència que puguin fer perdre la finalitat de la mesura. La resolució que adopti la mesura és susceptible dels recursos procedents. 3. En el cas d’infraccions comeses amb relació a fitxers de titularitat privada, la resolució que deArticle 24 clari la infracció ha d’imposar les sancions previstes Compliment de la resolució del procediment sanper la legislació de protecció de dades i les mesures cionador a adoptar a fi de corregir els efectes de la infracció. 1. En les infraccions declarades respecte de fit4. El director o directora de l’Autoritat Catalaxers de titularitat pública, les persones o entitats na de Protecció de Dades ha d’informar el sı́ndic o que hagin estat declarades responsables de la insı́ndica de greuges de les actuacions que faci a confracció han de comunicar a l’Autoritat Catalana de seqüència d’una sol·licitud seva i li ha de comunicar Protecció de Dades, en el termini que estableix la les resolucions sancionadores que dicti amb relació resolució, l’adopció de les mesures i les actuacions a aquestes actuacions. a què fa referència l’apartat 2 de l’article 25. Article 22 2. En les sancions imposades per infraccions coProcediment sancionador meses respecte de fitxers de titularitat privada, el 1. El Govern ha d’establir per decret el proce- compliment de la sanció s’ha de dur a terme en el diment per a la determinació de les infraccions i la termini que estableix la legislació vigent. Dins d’aquest termini, l’entitat sancionada pot sol·licitar, de imposició de sancions. manera raonada, el fraccionament del pagament. El 2. La denúncia que inicia un procediment san- director o directora de l’Autoritat Catalana de Procionador s’ha de formalitzar mitjançant un escrit tecció de Dades ha de resoldre la sol·licitud, d’acord raonat i ha d’estar degudament signada. amb el que estableix la normativa reguladora de la 3. La persona denunciant s’ha d’identificar en el recaptació dels ingressos públics. moment de fer la denúncia a què fa referència l’a3. Les persones o entitats sancionades a qui s’hapartat 2. No obstant això, pot sol·licitar de manera gi imposat alguna mesura correctora d’acord amb el raonada que la seva identitat no sigui revelada, amb que estableix l’article 25 han de comunicar a l’Autola ponderació prèvia dels interessos en conflicte per ritat Catalana de Protecció de Dades, en el termini 30 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades que estableix la resolució, les mesures adoptades. d’acord amb els crèdits consignats en els pressupostos de la Generalitat, aprova la relació de llocs de Article 25 treball dels òrgans i els serveis que la integren i que Requeriments d’adequació i potestat d’immobi- han d’ésser ocupats per personal funcionari, laboral lització o eventual, i n’informa el Parlament. 1. En els supòsits, constitutius d’infracció molt greu, d’utilització o de comunicació il·lı́cita de dades personals en què s’atempti greument contra els drets fonamentals i les llibertats públiques dels ciutadans o se n’impedeixi l’exercici, el director o directora de l’Autoritat Catalana de Protecció de Dades pot exigir als responsables dels fitxers de dades personals el cessament de la utilització o la comunicació il·lı́cita de dades personals. 2. Si el requeriment a què fa referència l’apartat 1 no és atès, el director o directora de l’Autoritat Catalana de Protecció de Dades pot, mitjançant una resolució motivada, immobilitzar els fitxers de dades personals, amb l’única finalitat de restaurar els drets de les persones afectades. En aquest supòsit, la immobilització resta sense efecte si en el termini de quinze dies l’Autoritat no acorda la incoació d’un procediment sancionador i no es ratifica la mesura. 2. Al personal al servei de l’Autoritat Catalana de Protecció de Dades se li aplica amb caràcter general la normativa que regula l’estatut del personal al servei de l’Administració de la Generalitat pel que fa al règim i la normativa d’ordenació de l’ocupació pública. 3. Els llocs de treball que comporten l’exercici de potestats públiques es reserven a personal funcionari. 4. Els llocs de treball considerats de confiança o d’assessorament especial no reservat a personal funcionari i que figuren amb aquest caràcter en la relació de llocs de treball corresponent són desenvolupats per personal eventual, el nombre màxim del qual fixa el Consell Assessor de Protecció de Dades. 5. L’Autoritat Catalana de Protecció de Dades exerceix la potestat disciplinària respecte del personal al servei de la institució. Capı́tol V 6. El personal al servei de l’Autoritat Catalana de Protecció de Dades té el deure de secret sobre les Règim jurı́dic, de personal, econòmic i de coninformacions que conegui en l’exercici de les seves tractació funcions, fins i tot després d’haver cessat d’exercirArticle 26 les. Règim jurı́dic Article 28 1. L’Autoritat Catalana de Protecció de Dades, Règim econòmic i de contractació en l’exercici de les seves funcions, actua de confor1. Per al compliment de les seves finalitats, l’Aumitat amb el que disposa aquesta llei, les dispotoritat Catalana de Protecció de Dades compta amb sicions que la despleguen i la legislació que regula els béns i els recursos econòmics següents: el règim jurı́dic de les administracions públiques i el procediment administratiu aplicable a l’Adminisa) Les assignacions anuals dels pressupostos tració de la Generalitat. de la Generalitat. 2. Les resolucions del director o directora de b) Els béns i els drets que constitueixen el seu l’Autoritat Catalana de Protecció de Dades exhau- patrimoni, i llurs productes i rendes. reixen la via administrativa i són susceptibles de c) El producte de les sancions que imposi en recurs contenciós administratiu, sens perjudici dels l’exercici de les seves competències. recursos administratius que siguin procedents. d) El producte de les taxes i els altres ingresArticle 27 sos públics que meriti per la seva activitat. Règim de personal e) Qualsevol altre recurs econòmic que legal1. L’Autoritat Catalana de Protecció de Dades, ment se li pugui atribuir. en l’exercici de la seva potestat d’autoorganització i 2. El producte de les sancions que l’Autoritat 31 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades Catalana de Protecció de Dades imposi en l’exerciMentre no entrin en vigor els estatuts de l’Autoci de les seves competències ha d’ésser ingressat en ritat Catalana de Protecció de Dades, segueix essent el Tresor de la Generalitat. aplicable, en tot allò que no s’oposi a aquesta llei, 3. L’Autoritat Catalana de Protecció de Dades l’Estatut de l’Agència Catalana de Protecció de Daha d’elaborar anualment l’avantprojecte de pressu- des, aprovat pel Decret 48/2003, del 20 de febrer. post d’ingressos i despeses i trametre’l al departaDisposició derogatòria ment amb què es relaciona perquè el Govern l’integri Es deroga la Llei 5/2002, del 19 d’abril, de l’Aen els pressupostos de la Generalitat. gència Catalana de Protecció de Dades. 4. L’Autoritat Catalana de Protecció de Dades Disposicions finals està sotmesa al control financer de la Intervenció Primera General de la Generalitat i al règim de comptabilitat pública. Estatuts de l’Autoritat 5. El règim jurı́dic de contractació de l’Autoritat En el termini de sis mesos a comptar de l’entraCatalana de Protecció de Dades és el que estableix da en vigor d’aquesta llei, el Govern ha d’aprovar la legislació sobre contractes del sector públic. els estatuts de l’Autoritat Catalana de Protecció de 6. El règim patrimonial de l’Autoritat Catalana Dades. de Protecció de Dades és el que estableix la normaSegona tiva que regula el patrimoni de l’Administració de Desplegament dels procediments la Generalitat. S’habilita el Govern per a regular els procediDisposicions transitòries ments necessaris per a l’exercici de les funcions atriPrimera buı̈des a l’Autoritat Catalana de Protecció de DaSuccessió de l’Agència Catalana de Protecció de des, sens perjudici de la competència de l’Autoritat per a concretar mitjançant instrucció els aspectes Dades en què sigui necessari. 1. L’Autoritat Catalana de Protecció de Dades Tercera se subroga en la posició jurı́dica de l’Agència Catalana de Protecció de Dades pel que fa als béns, als Creació, modificació i supressió de fitxers drets i a les obligacions de qualsevol tipus de què 1. Els consellers de la Generalitat, dins l’àml’Agència fos titular. bit de les competències respectives, resten habilitats 2. Les referències que en l’ordenament jurı́dic per a crear, modificar i suprimir, mitjançant ordre, es fan a l’Agència Catalana de Protecció de Da- els fitxers de llurs departaments o dels ens públics des s’han d’entendre fetes a l’Autoritat Catalana vinculats o que en depenguin i els fitxers dels conde Protecció de Dades. sorcis en què la representació de l’Administració de la Generalitat en els òrgans de govern sigui majoriSegona tària. Procediment sancionador 2. Les entitats de dret públic dotades d’una esMentre el Govern no aprovi el decret que regula pecial independència o autonomia resten habilitael procediment sancionador en matèria de protecció des per a exercir la competència de crear, modificar de dades, continua essent aplicable el procediment i suprimir fitxers. establert pel Decret 278/1993, del 9 de novembre, sobre procediment sancionador d’aplicació als àmPer tant, ordeno que tots els ciutadans als quals bits de competència de la Generalitat. sigui d’aplicació aquesta Llei cooperin al seu comTercera pliment i que els tribunals i les autoritats als quals Vigència de l’Estatut de l’Agència Catalana de pertoqui la facin complir. Protecció de Dades Palau de la Generalitat, 1 d’octubre de 2010 32 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades José Montilla i Aguilera President de la Generalitat de Catalunya Jordi Ausàs i Coll Conseller de Governació i Administracions Públiques (10.273.092) CORRECCIÓ D’ERRADA a la Llei 32/2010, mentada, tramès i publicat al DOGC núm. 5731, de l’1 d’octubre, de l’Autoritat Catalana de Protec- de 8.10.2010, se’n detalla la correcció oportuna: ció de Dades (DOGC núm. 5731, pàg. 73808, de A la pàgina 73813, a l’article 8, apartat 3, lletra 8.10.2010). (Pàg. 77285) d), on diu: CORRECCIÓ D’ERRADA a la Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades (DOGC núm. 5731, pàg. 73808, de 8.10.2010). Havent observat una errada al text de la Llei es- ”d) Proposar al Consell Assessor de Protecció de Dades la plantilla de personal de l’Autoritat.”, ha de dir: ”d) Aprovar la plantilla de personal de l’Autoritat.”. (10.287.060) 33 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades 2.4.1 Decret 48/2003, de 20 de febrer, pel qual s’aprova l’Estatut de l’Agència Catalana de Protecció de Dades (DOGC núm. 3835 de 4.3.2003) Mitjançant la Llei 5/2002, de 19 d’abril, s’ha cre- aquest Decret. at l’autoritat Agència Catalana de Protecció de DaDisposicions finals des amb l’objecte de vetllar pel respecte dels drets Primera fonamentals i les llibertats públiques de la ciutadania en tot allò que concerneix les operacions fetes El Consell Assessor de Protecció de Dades s’ha mitjançant processos automatitzats o manuals de de constituir en el termini d’un mes a comptar de dades personals. l’entrada en vigor d’aquest Decret. L’Agència Catalana de Protecció de Dades és Segona una institució de dret públic amb personalitat juAquest Decret entrarà en vigor l’endemà rı́dica pròpia i plena capacitat d’obrar que exerceix d’haver-se publicat al DOGC. la seva autoritat de control sobre els tractaments de dades personals duts a terme per la Generalitat Barcelona, 20 de febrer de 2003 de Catalunya, pels ens que integren l’Administració Jordi Pujol local i per les universitats en l’àmbit territorial de President de la Generalitat de Catalunya Catalunya, pels organismes i les entitats autònomes que depenen de l’Administració de la Generalitat o Josep Maria Pelegrı́ i Aixut dels ens locals i pels consorcis dels quals formen Conseller de Governació part. i Relacions Institucionals En virtut de l’habilitació continguda a la disposició final primera de l’esmentada Llei 5/2002, de 19 d’abril, s’aprova, mitjançant aquest Decret, l’Estatut de l’Agència. Annex L’Estatut consta de cinc capı́tols. El capı́tol I conté les disposicions generals en les quals s’estableix el caràcter d’autoritat independent de l’Agència Catalana de Protecció de Dades. Les competències i funcions de l’Agència es desenvolupen al capı́tol II, i el capı́tol III regula les relacions amb les persones afectades i la col.laboració amb altres entitats, d’acord amb el que disposa la Llei 5/2002, de creació de l’Agència de Protecció de Dades. El règim econòmic i patrimonial, el de personal i la determinació dels òrgans de l’Agència i les seves funcions s’estableixen als capı́tols IV i V, d’acord amb la naturalesa d’institució de dret públic que atorga a l’Agència la llei de creació esmentada. Disposicions generals D’acord amb l’informe de la Comissió Jurı́dica Assessora, a proposta del conseller de Governació i Relacions Institucionals i d’acord amb el Govern, Decreto: Article únic S’aprova l’Estatut de l’Agència Catalana de Protecció de Dades que s’adjunta com a annex a Capı́tol I Article 1 L’Agència Catalana de Protecció de Dades 1.1 L’Agència Catalana de Protecció de Dades, creada per l’article 1 de la Llei 5/2002, de 19 d’abril, és una institució de dret públic, que ajusta la seva activitat a l’ordenament jurı́dic públic. 1.2 L’Agència Catalana de Protecció de Dades es configura com una autoritat independent que actua amb objectivitat i plena independència de les administracions públiques en l’exercici de les seves funcions i es relaciona amb el Govern per mitjà del Departament de Governació i Relacions Institucionals. 1.3 L’Agència Catalana de Protecció de dades té personalitat jurı́dica pròpia i plena capacitat d’obrar per al compliment dels seus fins. Article 2 34 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades Àmbit d’actuació L’Agència Catalana de Protecció de Dades exerceix la seva autoritat de control sobre els tractaments de dades personals a què fa referència l’article 3 de la Llei 5/2002, de 19 d’abril. dades de caràcter personal compresos dins el seu àmbit d’actuació. Capı́tol III Relacions i col.laboració Article 3 Article 6 Règim jurı́dic Relacions amb les persones afectades 3.1 L’Agència Catalana de Protecció de Dades es regeix per la Llei 5/2002, de 19 d’abril, per aquest Estatut i per la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. En l’exercici de funcions públiques que té atribuı̈des, resta subjecta a la Llei 30/1992, de 26 de novembre, de règim jurı́dic de les administracions públiques i del procediment administratiu comú, i a la Llei 13/1989, de 14 de desembre, d’organització, procediment i règim jurı́dic de l’Administració de la Generalitat de Catalunya. 3.2 El funcionament dels òrgans i els serveis tècnics, jurı́dics, administratius i econòmics de l’Agència es regeixen pel que s’estableix en aquest Estatut. Capı́tol II Competències i funcions Article 4 Competències de l’Agència L’Agència Catalana de Protecció de Dades té, dins el seu àmbit d’actuació, les competències de registre, control, inspecció, sanció i resolució, aixı́ com l’adopció de propostes i instruccions. Article 5 Funcions de l’Agència 5.1 L’Agència Catalana de Protecció de Dades exerceix les funcions previstes a l’article 5 de la Llei 5/2002, de 19 d’abril. 5.2 Per a l’exercici d’aquestes funcions l’Agència Catalana de Protecció de Dades, a través del seu director o directora o de l’òrgan en qui delegui, podrà dirigir-se directament als titulars i responsables de qualsevol dels fitxers de 6.1 L’Agència Catalana de Protecció de Dades informarà les persones dels drets que la Llei els hi reconeix en relació amb el tractament de dades personals. A aquests efectes podrà realitzar campanyes de difusió. 6.2 L’Agència atendrà les peticions que li dirigeixin les persones afectades i hi donarà resposta, sens perjudici dels recursos que puguin interposar. Article 7 Col.laboració amb altres entitats 7.1 L’Agència Catalana de Protecció de Dades col.laborarà amb el Sı́ndic de Greuges i amb l’Agència de Protecció de Dades de l’Estat i la resta d’institucions i organismes de defensa dels drets de les persones. 7.2 A aquests efectes l’Agència pot subscriure convenis de col.laboració amb aquestes entitats. Article 8 Cooperació en el desenvolupament normatiu 8.1 L’Agència Catalana de Protecció de Dades col.laborarà amb els òrgans competents en el desenvolupament normatiu i l’aplicació de normes que incideixin en el seu àmbit competencial. 8.2 Als efectes previstos a l’apartat anterior, correspon a l’Agència: (a) Emetre informe, amb caràcter preceptiu, dels projectes de disposicions de caràcter general que es dictin en desenvolupament de la Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades. 35 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades (b) Dictar instruccions i recomanacions per adequar els tractaments de dades personals als principis de la legislació vigent en matèria de protecció de dades de caràcter personal. Capı́tol IV Règim de personal, econòmic i patrimonial Article 9 Règim del personal 9.1 L’Agència Catalana de Protecció de Dades aprovarà la relació de llocs de treball, la qual inclourà: a Els llocs de treball a desenvolupar pel personal funcionari, entre els quals han de figurar forçosament els que comporten l’exercici de potestats públiques. Els llocs de treball que comporten l’exercici de la funció d’assessorament en dret, representació i defensa judicial es reserven a funcionaris del cos d’advocacia de la Generalitat de Catalunya. b Els llocs de treball a desenvolupar per personal laboral, especificant -hi els factors que, segons les tasques de cada lloc de treball, determinin la impossibilitat que siguin desenvolupades per personal funcionari. 9.2 Els llocs de treball reservats a personal funcionari es proveiran d’acord amb el que estableix la legislació de la funció pública. Els llocs reservats a personal laboral es proveiran mitjançant convocatòria pública i d’acord amb els principis d’igualtat, mèrit i capacitat. Article 10 Règim econòmic 10.1 L’Agència Catalana de Protecció de Dades compta amb els recursos següents: a Les assignacions anuals que s’estableixin als pressupostos de la Generalitat. b Les subvencions i aportacions que se li concedeixin. c Les rendes i els productes dels béns i drets que integren el seu patrimoni. d Els ingressos ordinaris i extraordinaris derivats de l’exercici de les seves activitats. e Qualsevol altre que se li atribueixi. 10.2 L’Agència Catalana de Protecció de Dades ajustarà la seva comptabilitat al règim de comptabilitat pública. 10.3 El control financer de l’Agència el portarà a terme la Intervenció General de la Generalitat. Article 11 Pressupost L’Agència Catalana de Protecció de Dades elaborarà i aprovarà anualment el seu avantprojecte de pressupost, que serà tramès al Govern, per mitjà del Departament de Governació i Relacions Institucionals, perquè sigui integrada, en una secció especı́fica, en els pressupostos de la Generalitat. Article 12 Règim patrimonial i de contractació 12.1 L’Agència Catalana de Protecció de Dades té un patrimoni propi constituı̈t pels béns i drets que adquireixi o li siguin donats o cedits per qualsevol persona o entitat. El règim patrimonial és l’establert per al patrimoni de l’Administració de la Generalitat. 12.2 El règim jurı́dic de contractació de l’Agència és el que estableix la legislació vigent sobre contractes de les administracions públiques. L’òrgan de contractació serà el director o directora, el qual podrà delegar les seves facultats en el secretari general per a l’adjudicació i formalització dels contractes menors de consultoria, assistència i serveis. Capı́tol V Òrgans de l’Agència 36 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades Article 13 Òrgans L’Agència Catalana de Protecció de Dades s’estructura en els òrgans següents: b) a) El director o directora de l’Agència. b) El Consell Assessor de Protecció de Dades de Catalunya. c) Article 14 El director o directora de l’Agència 14.1 El director o directora de l’Agència Catalana de Protecció de Dades dirigeix l’Agència i n’exerceix la representació legal. Acompleix les seves funcions amb plena independència, neutralitat i objectivitat, sense subjecció a cap mandat imperatiu o instrucció. Tanmateix, ha d’escoltar les propostes que li faci el Consell Assessor i en el supòsit que no les tingui en compte ho ha de motivar. 14.2 El nomenament, el cessament, la remuneració i el règim d’incompatibilitats del director o directora es regeix pel que estableix l’article 13 de la Llei 5/2002, de 19 d’abril. 14.3 Les resolucions del director o directora de l’Agència Catalana de Protecció de Dades posen fi a la via administrativa i són susceptibles de recurs contenciós administratiu. d) e) f) 14.4 El director o directora de l’Agència, ha de comparèixer anualment davant el Parlament per informar de la seva actuació. Article 15 Funcions del director o directora 15.1 Correspon al director o directora de l’Agència dictar les resolucions o instruccions i aprovar les recomanacions i els dictàmens que requereixi l’exercici de les funcions de l’Agència i, en especial: a) Resoldre motivadament sobre la procedència o improcedència de les inscripcions que s’hagin de practicar en el Registre de protecció de dades de Catalunya g) a què es refereix l’article 15 de la Llei 5/2002, de 19 d’abril. Resoldre motivadament sobre la procedència o improcedència de la denegació de l’exercici dels drets d’oposició, d’accés, de rectificació o de cancel.lació, d’acord amb el que s’estableix a l’article 7.2 de la Llei 5/2002, de 19 d’abril. Requerir, en els termes establerts a l’article 5.1.d) de la Llei 5/2002, de 19 d’abril, als responsables i als encarregats del tractament l’adopció de les mesures necessàries per a l’adequació del tractament de dades personals objecte d’investigació a la legislació vigent i ordenar, si s’escau, el cessament dels tractaments i la cancel.lació dels fitxers. Adoptar les mesures, resolucions i instruccions a què fa referència l’article 5.1.b) de la Llei 5/2002, de 19 d’abril, per garantir les condicions de seguretat dels fitxers constituı̈ts amb finalitats exclusivament estadı́stiques. Dictar les instruccions i recomanacions necessàries per adequar els tractaments de dades personals als principis de la legislació vigent en matèria de dades personals, d’acord amb el que s’estableix a l’article 5.1.c) de la Llei 5/2002, de 19 d’abril. Emetre informe, amb caràcter preceptiu, dels avantprojectes de llei, els projectes de disposicions normatives que elabori el Govern en virtut de delegació legislativa i els projectes de reglaments o disposicions de caràcter general que afectin la protecció de dades de caràcter personal. Els informes seran sol.licitats pel Govern, per mitjà del secretari o secretària del Govern, o pels consellers o conselleres competents per raó de la matèria. Els informes han de ser emesos en el termini màxim de quinze dies hàbils a comptar de l’entrada de l’expedient. Respondre les consultes que l’Administració de la Generalitat, els ens locals i les universitats de Catalunya li formulin sobre l’aplicació de la legislació de protecció de dades de caràcter personal. Les 37 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades consultes que hagi de fer l’Administració de la Generalitat i els organismes i entitats que en depenen es cursen per mitjà del conseller o consellera competent per raó de la matèria. Les consultes que hagin de fer la resta d’institucions i organismes compresos en l’àmbit d’aplicació de la Llei 5/2002, es cursen per mitjà de l’òrgan que n’ostenti la representació. Els dictàmens han de ser emesos en el termini màxim de quinze dies hàbils a partir de l’entrada de la consulta. El director o directora podrà ampliar el termini fins a un mes si la complexitat del dictamen ho fa necessari. a) Adjudicar i formalitzar els contractes que requereixi la gestió de l’Agència i vigilar -ne el compliment i l’execució. b) Aprovar les despeses i ordenar els pagaments, dins els lı́mits dels crèdits del pressupost de despeses de l’Agència. c) Exercir el control economicofinancer de l’Agència. d) Elaborar l’avantprojecte de pressupost de l’Agència. e) Proposar al Consell Assessor, la plantilla de personal de l’Agència. Article 16 h) Resoldre sobre l’adopció de mesures per Estructura de la direcció corregir els efectes de les infraccions, d’aDel director o directora de l’Agència depenen les cord amb el que es preveu a l’article 16.2 unitats següents: de la Llei 5/2002, de 19 d’abril. i) Proposar l’inici d’actuacions disciplinàries contra els responsables o encarregats del tractament, d’acord amb el que estableix la legislació vigent sobre règim disciplinari de les administracions públiques. a) Secretaria General. b) Assessoria Jurı́dica. c) Àrea del Registre de Protecció de Dades. d) Àrea d’Inspecció. j) Resoldre els expedients sancionadors que siguin de la seva competència i posar en coneixement de l’Agència de Protecció de Dades de l’Estat les presumptes infraccions la sanció de les quals li corresles pongui. k) Ordenar el cessament del tractament, de la comunicació il.lı́cita de dades o la immobilització dels fitxers, en els supòsits previstos a l’article 18 de la Llei 5/2002, de 19 d’abril. l) Proporcionar informació sobre els drets de les persones en matèria de tractament de dades personals. m) Atendre les peticions que li formuli la ciutadania. n) Respondre les consultes que li formulin les administracions. 15.2 Correspon també al director o directora de l’Agència: Article 17 Secretaria General Correspon a la Secretaria General l’exercici de funcions següents: a) Gestionar els mitjans personals i materials adscrits a l’Agència. b) Realitzar la gestió economicoadministrativa del pressupost de l’Agència. c) Portar l’inventari de béns i drets que s’integrin en el patrimoni de l’Agència. d) Constituir i actualitzar un fons documental en matèria de protecció de dades personals. e) Elaborar la memòria anual. f) Organitzar conferències, seminaris i altres activitats sobre protecció de dades personals. g) Gestionar els sistemes d’informació mecanitzats de l’Agència. 38 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades Article 18 Assessoria Jurı́dica Correspon a l’Assessoria Jurı́dica assessorar jurı́dicament l’Agència i emetre informe dels projectes de disposicions que es dictin en desenvolupament de la llei, els projectes de llei o de disposicions de caràcter general sobre protecció de dades personals. Article 19 Àrea del Registre de protecció de dades 19.1 Correspon a l’àrea del Registre de protecció de dades l’exercici de les funcions següents: termini màxim d’un mes a comptar de la creació del fitxer. L’Agència ha de resoldre sobre la procedència o improcedència de la inscripció en el termini d’un mes comptat a partir de la data de la sol.licitud. 19.4 Les dades contingudes al Registre són públiques i poden ser consultades de forma gratuı̈ta. Article 20 Àrea d’Inspecció i Tècnica a) Instruir els expedients d’inscripció dels fitxers i dels codis a què fa referència l’article 15 de la Llei 5/2002, de 19 d’abril. 20.1 Correspon a l’àrea d’Inspecció les potestats d’inspecció que atribueix a l’Agència Catalana de Protecció de Dades l’article 8 de la Llei 5/2002. b) Rectificar d’ofici els errors materials dels assentaments. 20.2 En concret, correspon a l’àrea d’Inspecció l’exercici de les funcions següents: c) Instruir els expedients de modificació, rectificació i cancel.lació del contingut dels assentaments. a) Examinar els suports d’informació que continguin dades personals. d) Expedir certificats dels assentaments. e) Donar publicitat, anualment, dels fitxers notificats i inscrits. 19.2 En els assentaments d’inscripció figuraran les dades següents: a) El titular i la ubicació del fitxer. b) El responsable i/o encarregat del fitxer. c) La finalitat i els usos del fitxer. d) Les persones o col.lectius afectats. e) El procediment de recollida de dades. f) L’estructura bàsica del fitxer i la descripció dels tipus de dades de caràcter personal que s’hi incloguin. g) Les cessions de dades de caràcter personal. h) Els serveis o unitats davant els quals es puguin exercitar els drets d’accés, rectificació, cancel.lació i oposició. b) Examinar els equips fı́sics i lògics. c) Examinar els sistemes de transmissió i accés a les dades. d) Realitzar auditories dels sistemes informàtics. e) Sol.licitar la presentació o tramesa de documents i de dades. f) Instruir els expedients sancionadors. 20.3 El personal funcionari que exerceix la funció inspectora té la consideració d’autoritat pública en el desenvolupament de llur activitat i resten obligats a mantenir el secret sobre les informacions que coneguin en l’exercici de les funcions inspectores, fins i tot després d’haver cessat en aquestes. 20.4 Per a l’exercici de les seves funcions els funcionaris que exerceixen la potestat d’inspecció poden accedir als locals on estiguin instal.lats els equips fı́sics i lògics utilitzats o on es trobin els documents i dades de caràcter personal. 19.3 Les sol.licituds d’inscripció en el Registre, de Article 21 rectificació de dades o de cancel.lació les han de presentar els responsables dels fitxers a l’AConsell Assessor de Protecció de Dades de Cagència Catalana de Protecció de Dades en el talunya 39 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades 21.1 El Consell Assessor de Protecció de Dades de Catalunya és constituı̈t pels membres que es detallen a l’article 14.2 de la Llei 5/2002, els quals són nomenats pel conseller o consellera de Governació i Relacions Institucionals a proposta de les entitats que representen. 21.2 El president o presidenta del Consell Assessor és nomenat pel president de la Generalitat a proposta del conseller o consellera de Governació i Relacions Institucionals, entre una terna presentada pel Consell Assessor entre els seus membres. 21.3 El director o directora de l’Agència assisteix a les reunions del Consell Assessor, amb veu però sense vot. Article 22 Funcions del Consell Assessor Són funcions del Consell Assessor de Protecció de Dades de Catalunya les següents: a) Informar totes les qüestions que li sotmeti el director o directora de l’Agència. e) Realitzar estudis sobre protecció de dades personals. f) Aprovar la plantilla del personal de l’Agència. g) Aprovar la memòria anual de l’Agència. Article 23 Funcionament del Consell Assessor 23.1 En tot el que no és previst a la Llei 5/2002 i a aquests Estatuts, el Consell Assessor es regeix per les disposicions vigents sobre funcionament d’òrgans col.legiats. 23.2 Actua com a secretari del Consell un funcionari o funcionària de l’Agència Catalana de Protecció de Dades. 23.3 El Consell Assessor es reunirà mitjançant convocatòria del seu president o presidenta com a mı́nim un cop al trimestre. També es podrà reunir quan ho sol.licitin la majoria dels seus membres. c) Respondre les consultes que se li formulin. 23.4 Per a la vàlida constitució del Consell es requerirà la presència del president i del secretari o, si s’escau, de les persones que els substitueixin, i de la meitat dels seus membres. d) Establir criteris en relació amb els tractaments de dades personals. 23.5 Els membres del Consell Assessor podran percebre dietes per l’assistència a les reunions. b) Fer propostes al Director de l’Agència en relació amb l’exercici de les seves funcions. 40 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades 2.4.2 Resolució de 15 de desembre de 2003, per la qual s’aproven els suports normalitzats per formalitzar les inscripcions al Registre de Protecció de Dades de Catalunya (DOGC núm. 4046, de 12.1.2004) AGÈNCIA CATALANA DE PROTECCIÓ DE DADES RESOLUCIÓ de 15 de desembre de 2003, per la qual s’aproven els suports normalitzats per formalitzar les inscripcions al Registre de Protecció de Dades de Catalunya. La Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades, va crear el Registre de Protecció de Dades de Catalunya com a òrgan integrat a l’Agència. En el seu article 15.2.a) la Llei disposa que són objecte d’inscripció en el Registre els fitxers de dades personals inclosos en l’àmbit d’aplicació de la Llei orgànica de protecció de dades que siguin de titularitat de la Generalitat de Catalunya, dels ens que integren l’Administració local en l’àmbit territorial de Catalunya i la resta d’organismes i entitats a què es refereix l’article 3 de la Llei 5/2002, de 19 d’abril, i les dades relatives a aquests fitxers que siguin necessàries per a l’exercici dels drets d’informació, d’accés, de rectificació, de cancel.lació i d’oposició. Aixı́ mateix, mitjançant el Decret 48/2003, de 20 de febrer, pel qual s’aprova l’Estatut de l’Agència Catalana de Protecció de Dades, en els seus articles 19.2 i 3 preveu les dades que han de constar en els assentaments d’inscripció del Registre i els requisits de les sol.licituds d’inscripció dels fitxers. Tenint en compte que les administracions públiques han d’impulsar l’ús i l’aplicació de tècniques i mitjans electrònics, informàtics i telemàtics per al desenvolupament de la seva activitat i l’exercici de les seves competències; Fent ús de les competències que em corresponen a l’empara de l’article 15 del Decret 48/2003, de 20 de febrer, Resolc: 1. Aprovar el formulari de notificació de fitxers de dades de caràcter personal al Registre de Protecció de Dades de Catalunya que consta en l’annex 1 d’aquesta Resolució, als efectes de recollir les dades dels assentaments regis- trals que es determinen en l’apartat 2 de l’article 19 de l’Estatut de l’Agència Catalana de Protecció de Dades. 2. Aprovar l’imprès de sol.licitud d’inscripció de creació, modificació o supressió de fitxers de dades de caràcter personal al Registre de Protecció de Dades de Catalunya que consta en l’annex 2 d’aquesta Resolució, als efectes d’acomplir allò que s’estableix en l’apartat 3 de l’article 19 de l’Estatut de l’Agència Catalana de Protecció de Dades. 3. L’imprès de sol.licitud, el formulari de notificació i les instruccions per emplenar -los, es poden obtenir gratuı̈tament a la seu de l’Agència Catalana de Protecció de Dades (Llacuna, 166, 7a, 08018 Barcelona) o, en format digital, al portal www.apdcat.net. 4. Cada formulari de notificació de fitxers de dades de caràcter personal en suport paper, haurà d’anar acompanyat de la corresponent sollicitud d’inscripció de creació, modificació o supressió, convenientment emplenada i signada. Els formularis i les sol.licituds d’inscripció al Registre de Protecció de Dades de Catalunya en suport paper han de ser presentades a la seu de l’Agència Catalana de Protecció de Dades (Llacuna, 166, 7a, 08018 Barcelona) o a qualsevol dels registres o oficines públiques a les que es refereix l’article 38.4 de la Llei 30/1992, de 26 de novembre. 5. Aprovar el programari multiplataforma d’ajuda per a la generació de notificacions en format digital al Registre de Protecció de Dades de Catalunya, signat electrònicament per l’Agència Catalana de Protecció de Dades amb certificat de signatura de codi emès per l’Agència Catalana de Certificació, als efectes de recollir les dades dels assentaments registrals que es determinen en l’apartat 2 de l’article 19 de l’Estatut de l’Agència Catalana de Protecció de Dades. 41 Normativa catalana 2.4. Llei 32/2010 de l’Autoritat Catalana de Protecció de Dades 6. El programari d’ajuda per a la generació de notificacions, les condicions d’ús, les instruccions d’instal.lació i funcionament i el mecanisme de verificació de la signatura electrònica del mòdul executable, es poden obtenir gratuı̈tament al portal www.apdcat.net. 7. El programari genera en format digital un màxim de 50 notificacions, que es poden trametre a l’Agència Catalana de Protecció de Dades, ja sigui directament a través d’Internet o bé mitjançant la gravació prèvia en suports magnètics o òptics i la posterior tramesa d’aquests suports. Tanmateix, mentre no s’implanti el sistema de signatura electrònica de les notificacions en format digital, també caldrà presentar en suport paper, a la seu de l’Agència Catalana de Protecció de Dades (Llacuna, 166, 7a, 08018 Barcelona) o a qualsevol dels registres o oficines públiques a les que es refereix l’article 38.4 de la Llei 30/1992, de 26 de novembre, la sol.licitud d’inscripció generada automàticament pel programari, convenientment emplenada i signada. A tots els efectes, i concretament per al còmput de terminis, es considerarà efectuada la notificació dels fitxers per via informàtica o telemàtica en el moment de la presentació de la sol.licitud d’inscripció generada pel programari. En tot cas, quedarà sense efecte qualsevol tramesa per via informàtica o telemàtica si en un termini màxim de 10 dies, comptadors des de la seva recepció a l’Agència Catalana de Protecció de Dades, no es presenta emplenada i signada la corresponent sol.licitud d’inscripció generada pel programari. 8. Totes les sol.licituds d’inscripció al Registre de Protecció de Dades de Catalunya, tant si s’efectuen en suport paper com si es fan en suport digital, seran provisionals fins que siguin processades i verificades. En cas que no s’ajustin als formats establerts per aquesta Resolució o en cas que hi hagi defectes substancials que impedeixin tramitar les sol.licituds, es requerirà al responsable del fitxer o al seu representant legal a fi que, en un termini màxim de 10 dies hàbils, s’esmenin els defectes i errors detectats. Si, transcorregut aquest termini, els defectes i errors detectats no han estat corregits, se l’entendrà desistit de la seva sol.licitud. 9. Aquesta Resolució entrarà en vigor el dia següent al de la seva publicació en el Diari Oficial de la Generalitat de Catalunya. Barcelona, 15 de desembre de 2003 Josep Xavier Hernández i Moreno Director 42 Normativa catalana 2.5. Estatut d’Autonomia de Catalunya - extracte 2.5 Estatut d’Autonomia de Catalunya: articles relatius a la protecció de dades. Llei Orgànica 6/2006, de 19 de juliol, de reforma de l’Estatut d’Autonomia de Catalunya publicada pel Decret 306/2006, de 20 de juliol de 2006 (DOGC núm. 4680, de 20 de juliol de 2006) Article 31. Dret a la protecció de dades personals. Totes les persones tenen dret a la protecció de les dades personals contingudes en els fitxers que són competència de la Generalitat i tenen dret a accedir -hi, examinar -les i obtenir -ne la correcció. Una autoritat independent, designada pel Parlament, ha de vetllar perquè aquests drets siguin respectats, en els termes que estableixen les lleis. Article 156. Protecció de dades de caràcter personal. Correspon a la Generalitat la competència executiva en matèria de protecció de dades de caràcter personal que, respectant les garanties dels drets fonamentals en aquesta matèria, inclou en tot cas: a) La inscripció i el control dels fitxers o els tractaments de dades de caràcter personal creats o gestionats per les institucions públiques de Catalunya, l’Administració de la Generalitat, les administracions locals de Catalunya, les entitats autònomes i les altres entitats de dret públic o privat que depenen de les administra- cions autonòmica o locals o que presten serveis o acompleixen activitats per compte propi per mitjà de qualsevol forma de gestió directa o indirecta, i les universitats que integren el sistema universitari català. b) La inscripció i el control dels fitxers o els tractaments de dades de caràcter personal privats creats o gestionats per persones fı́siques o jurı́diques per a l’exercici de les funcions públiques amb relació a matèries que són competència de la Generalitat o dels ens locals de Catalunya, si el tractament s’efectua a Catalunya. c) La inscripció i el control dels fitxers i els tractaments de dades que creı̈n o gestionin les corporacions de dret públic que exerceixin llurs funcions exclusivament en l’àmbit territorial de Catalunya. d) La constitució d’una autoritat independent, designada pel Parlament, que vetlli per garantir el dret a la protecció de les dades personals en l’àmbit de les competències de la Generalitat. 43 Normativa catalana 2.5. Estatut d’Autonomia de Catalunya - extracte 44 3 Normativa estatal 45 Normativa estatal 3.1. Constitució espanyola - extracte 3.1 Constitució espanyola (BOE núm. 311, de 29.12.1978) [. . . ] TÍTOL I. Dels drets i dels deures fonamentals Article 18 1. Es garanteix el dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge. Article 10 2. El domicili és inviolable. No s’hi podrà entrar ni fer-hi cap escorcoll sense el consentiment del 1. La dignitat de la persona, els drets inviolatitular o sense resolució judicial, llevat del cas de bles que li són inherents, el lliure desenvolupament delicte flagrant. de la personalitat, el respecte a la llei i als drets dels altres són fonament de l’ordre polı́tic i de la 3. Es garanteix el secret de les comunicacions i, pau social. especialment, de les postals, telegràfiques i telefòni2. Les normes relatives als drets fonamentals i a ques, excepte en cas de resolució judicial. les llibertats que la Constitució reconeix s’interpre4. La llei limitarà l’ús de la informàtica per tal taran de conformitat amb la Declaració Universal de de garantir l’honor i la intimitat personal i familiar Drets Humans i els tractats i els acords internacio- dels ciutadans i el ple exercici dels seus drets. nals sobre aquestes matèries ratificats per Espanya. [. . . ] [. . . ] Article 20 apı́tol segon. Drets i llibertats 1. Es reconeixen i es protegeixen els drets: Article 14 a) A expressar i difondre lliurement els pensaEls espanyols són iguals davant la llei, sense que ments, les idees i les opinions mitjançant la paraula, pugui prevaler cap discriminació per raó de naixen- l’escriptura o qualsevol altre mitjà de reproducció. ça, raça, sexe, religió, opinió o qualsevol altra conb) A la producció i a la creació literària, artı́stidició o circumstància personal o social. ca, cientı́fica i tècnica. Secció primera. Dels drets fonamentals i de c) A la llibertat de càtedra. les llibertats públiques d) A comunicar o a rebre lliurement informació [. . . ] veraç per qualsevol mitjà de difusió. La llei reguArticle 16 larà el dret a la clàusula de consciència i al secret 1. Es garanteix la llibertat ideològica, religiosa professional en l’exercici d’aquestes llibertats. i de culte dels individus i de les comunitats sen2. L’exercici d’aquests drets no pot ser restringit se cap més limitació, quan siguin manifestats, que per mitjà de cap tipus de censura prèvia. la necessària per al manteniment de l’ordre públic 3. La llei regularà l’organització i el control parprotegit per la llei. lamentari dels mitjans de comunicació social que 2. Ningú podrà ser obligat a declarar quant a la depenguin de l’Estat o de qualsevol entitat pública seva ideologia, religió o creences. i garantirà l’accés a aquests mitjans dels grups so3. Cap confessió tindrà caràcter estatal. Els cials i polı́tics significatius, respectant el pluralisme poders públics tindran en compte les creences re- de la societat i de les diferents llengües d’Espanya. ligioses de la societat espanyola i mantindran les 4. Aquestes llibertats tenen el lı́mit en el resconsegüents relacions de cooperació amb l’Església pecte als drets reconeguts en aquest tı́tol, en els catòlica i les altres confessions. preceptes de les lleis que el desenvolupin i, especialment, en el dret a l’honor, a la intimitat, a la imatge [. . . ] pròpia i a la protecció de la joventut i de la infància. 46 Normativa estatal 3.1. Constitució espanyola - extracte 5. Només podrà acordar-se el segrest de publi3. El reconeixement, el respecte i la protecció cacions, gravacions i altres mitjans d’informació en dels principis reconeguts en el capı́tol tercer inforvirtut de resolució judicial. maran la legislació positiva, la pràctica judicial i l’actuació dels poders públics. Només podran ser [. . . ] al·legats davant la jurisdicció ordinària d’acord amb Capı́tol quart. De les garanties de les lliber- allò que disposin les lleis que els desenvolupin. tats i drets fonamentals [. . . ] Article 53 Tı́tol IV. Del Govern i de l’Administració 1. Els drets i les llibertats reconeguts en el capı́[. . . ] tol segon del present tı́tol vinculen tots els poders públics. Només per llei, que en tot cas haurà de res- Article 105 pectar el seu contingut essencial, podrà regular-se La llei regularà: l’exercici d’aquests drets i d’aquestes llibertats, que a) L’audiència dels ciutadans directament o a seran tutelades d’acord amb el que preveu l’article través de les organitzacions i associacions recone161.1.a). gudes per la llei en el procediment d’elaboració de 2. Qualsevol ciutadà podrà demanar la tutela les disposicions administratives que els afectin. de les llibertats i dels drets reconeguts en l’article b) L’accés dels ciutadans als arxius i als regis14 i en la secció 1a del capı́tol segon davant els tritres administratius, salvant el que afecti la seguretat bunals ordinaris per un procediment basat en els i la defensa de l’Estat, la indagació dels delictes i la principis de preferència i sumarietat i, en el seu cas, intimitat de les persones. a través del recurs d’emparament davant el Tribunal Constitucional. Aquest darrer recurs serà aplicable c) El procediment a través del qual han de fera l’objecció de consciència reconeguda en l’article se els actes administratius, amb garantia, quan sigui 30. procedent, de l’audiència de l’interessat. 47 Normativa estatal 3.2. Llei 12/1989 de la Funció Estadı́stica Pública - extracte 3.2 Llei 12/1989, de 9 de maig, de la Funció Estadı́stica Pública (BOE 112 de 11.05.1989) CAPÍTULO III. DEL SECRETO ESTADÍSTICO. Artı́culo 13. 1. Serán objeto de protección y quedaran amparados por el secreto estadı́stico los datos personales que obtengan los servicios estadı́sticos tanto directamente de los informantes como a través de fuentes administrativas. 2. Se entiende que son datos personales los referentes a personas fı́sicas o jurı́dicas que o bien permitan la identificación inmediata de los interesados, o bien conduzcan por su estructura, contenido o grado de desagregación a la identificación indirecta de los mismos. 3. El secreto estadı́stico obliga a los servicios estadı́sticos a no difundir en ningún caso los datos personales cualquiera que sea su origen. • Que los servicios que reciban los datos desarrollen funciones fundamentalmente estadı́sticas y hayan sido regulados como tales antes de que los datos sean cedidos. • Que el destino de los datos sea precisamente la elaboración de las estadı́sticas que dichos servicios tengan encomendadas. • Que los servicios destinatarios de la información dispongan de los medios necesarios para preservar el secreto estadı́stico. 2. La comunicación a efectos no estadı́sticos entre las Administraciones y organismos públicos de la información que obra en los Registros públicos, no estará sujeta al secreto estadı́stico, sino a la legislación especı́fica que en cada caso sea de aplicación. Artı́culo 16. Artı́culo 14. 1. El secreto estadı́stico será aplicado en las mismas condiciones establecidas en el presente capı́tulo frente a todas las Administraciones y organismos públicos, cualquiera que sea la naturaleza de éstos, salvo lo establecido en el artı́culo siguiente. 1. No quedarán amparados por el secreto estadı́stico los directorios que no contengan más datos que las simples relaciones de establecimientos, empresas, explotaciones u organismos de cualquier clase, en cuanto aludan a su denominación, emplazamiento, actividad y el intervalo de tamaño al que pertenece. 2. Queda prohibida la utilización para finalidades distintas de las estadı́sticas de los datos personales obtenidos directamente de los informantes por los servicios estadı́sticos. 2. El dato sobre el intervalo de tamaño solo podrá difundirse si la unidad informante no manifiesta expresamente su disconformidad. Artı́culo 15. 1. La comunicación a efectos estadı́sticos entre las Administraciones y organismos públicos de los datos personales protegidos por el secreto estadı́stico solo será posible si se dan los siguientes requisitos, que habrán de ser comprobados por el servicio u órgano que los tenga en custodia: 3. Los servicios estadı́sticos harán constar esta excepción a la preservación del secreto estadı́stico en los instrumentos de recogida de la información. 4. Los interesados tendrán derecho de acceso a los datos personales que figuren en los directorios estadı́sticos no amparados por el secreto y a obtener la rectificación de los errores que contengan. 48 Normativa estatal 3.2. Llei 12/1989 de la Funció Estadı́stica Pública - extracte 5. Las normas de desarrollo de la presente Ley establecerán los requisitos necesarios para el ejercicio del derecho de acceso y rectificación a que se refiere el apartado anterior de este artı́culo, ası́ como las condiciones que habrán de tenerse en cuenta en la difusión de los directorios no amparados por el secreto estadı́stico. Artı́culo 17. 1. Todo el personal estadı́stico tendrá la obligación de preservar el secreto estadı́stico. 2. A los efectos previstos en el párrafo anterior, se entiende por personal estadı́stico el dependiente de los servicios estadı́sticos a que aluden los TÍTULOs II y III de la presente Ley. 2. La información a que se refiere el apartado anterior no podrá ser públicamente consultada sin que medie consentimiento expreso de los afectados o hasta que haya transcurrido un plazo de veinticinco años desde su muerte, si su fecha es conocida o, en otro caso, de cincuenta años a partir de la fecha de su obtención. 3. Excepcionalmente, y siempre que hubieran transcurrido, al menos, veinticinco años desde que se recibió la información por los servicios estadı́sticos, podrán ser facilitados datos protegidos por el secreto estadı́stico a quienes, en el marco del procedimiento que se determine reglamentariamente acrediten un legitimo interés. 4. En el caso de los datos relativos a personas 3. Quedarán también obligados por el deber de jurı́dicas, las normas reglamentarias, atendipreservar el secreto estadı́stico cuantas perdas las peculiaridades de cada encuesta, posonas, fı́sicas o jurı́dicas, tengan conocimiendrán disponer perı́odos menores de duración to de datos amparados por aquel con ocasión del secreto, nunca inferiores a quince años. de su participación con carácter eventual en cualquiera de la fases del proceso estadı́stico en virtud de contrato, acuerdo o convenio de CAPÍTULO IV. cualquier género. 4. El deber de guardar el secreto estadı́stico se LA DIFUSIÓN Y CONSERVACIÓN DE LA mantendrá aun después de que las personas INFORMACIÓN ESTADÍSTICA. obligadas a preservarlo concluyan sus activiArtı́culo 20. dades profesionales o su vinculación a los servicios estadı́sticos. 1. Los resultados de las estadı́sticas para fines estatales se harán públicos por los servicios Artı́culo 18. responsables de la elaboración de las mismas y habrán de ser ampliamente difundidos. 1. Los datos que sirvan para la identificación inmediata de los informantes se destruirán 2. Los resultados de las estadı́sticas para fines cuando su conservación ya no sea necesaria estatales tendrán carácter oficial desde el mopara el desarrollo de las operaciones estadı́smento que se hagan públicos. ticas. 3. El personal de los servicios responsables de la 2. En todo caso, los datos aludidos en el apartaelaboración de estadı́sticas para fines estatado anterior se guardarán bajo claves, precintos les tiene obligación de guardar reserva respeco depósitos especiales. to de los resultados de las mismas, parciales o totales, provisionales o definitivos, de los que conozca por razón de su trabajo profesional, Artı́culo 19. hasta tanto se hayan hecho públicos oficialmente. 1. La obligación de guardar el secreto estadı́stico se iniciará desde el momento en que se obtenga la información por él amparada. Artı́culo 21. 49 Normativa estatal 3.2. Llei 12/1989 de la Funció Estadı́stica Pública - extracte 1. Los servicios estadı́sticos podrán facilitar a quien lo solicite: • Otras tabulaciones o elaboraciones estadı́sticas distintas de los resultados hechos públicos a los que se refiere el primer apartado del artı́culo 20, siempre que quede preservado el secreto estadı́stico. • Los datos individuales que no estén amparados por el secreto estadı́stico porque hayan llegado a ser anónimos hasta tal punto que sea imposible identificar a las unidades informantes. 2. La descripción de las caracterı́sticas metodológicas de las estadı́sticas para fines estatales se harán públicas y estarán, en todo caso, a disposición de quien las solicite. 3. Las publicaciones y cualquier otra información estadı́stica que se facilite a los interesados podrán llevar aparejadas la percepción de los precios que legalmente se determinen. Artı́culo 22. 1. Los servicios estadı́sticos deberán conservar y custodiar la información obtenida como consecuencia de su propia actividad, que seguirá sometida al secreto estadı́stico en los términos establecidos por la presente Ley aunque se hayan difundido, debidamente elaborados, los resultados estadı́sticos correspondientes. 2. La conservación de la información no implicará necesariamente la de los soportes originales de la misma, siempre que su contenido se haya trasladado a soportes informáticos o de otra naturaleza. 3. Cuando los servicios estadı́sticos aprecien que la conservación de algún tipo de documentación resulte evidentemente innecesaria, podrán acordar su destrucción una vez cumplidos los trámites que reglamentariamente se determinen. 50 Normativa estatal 3.3. Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte 3.3 REAL DECRETO 1663/2008, de 17 de octubre, por el que se aprueba el Plan estadı́stico nacional 2009-2012. ANEXO I Lı́neas estratégicas para el periodo 2009-2012 4.2. CONFIDENCIALIDAD ESTADÍSTICA Uno de los componentes de la calidad, que se destaca por su relevancia, es la confidencialidad estadı́stica. Para el periodo 2009-2012 se pretende lograr que los servicios estadı́sticos analicen los diferentes aspectos de este tema, se conciban las medidas de protección necesarias durante el diseño del trabajo aunque su aplicación se lleve a cabo durante la ejecución de cada una de las fases, se desarrollen las herramientas para su control y se realicen tareas de supervisión. Como actuaciones concretas para este periodo se proponen: • El establecimiento de una base de datos de las unidades estadı́sticas que cumplan los requisitos establecidos en la LFEP sobre protección de datos: a) que los servicios que reciban los datos desarrollen funciones fundamentalmente estadı́sticas y hayan sido regulados como tales antes de que los datos sean cedidos; b) que el destino de los datos sea precisamente la elaboración de las estadı́sticas que dichos servicios tengan encomendadas; c) que los servicios destinatarios de la información dispongan de los medios necesarios para preservar el secreto estadı́stico. blezca en la cesión de microdatos individuales: desarrollo e implantación de herramientas software de anonimización, normas de difusión, entornos seguros de trabajo dentro del INE para los investigadores, accesos remotos. • El incremento de las medidas de seguridad en los procesos de enlace de registros administrativos entre sı́ y con encuestas estadı́sticas, como el Estudio Demográfico Longitudinal, ası́ como en el almacenamiento y acceso a la información resultante, para evitar roturas de la confidencialidad. • El inicio de un proyecto de trabajo de colaboración en confidencialidad consistente en un espacio donde diversos usuarios debidamente acreditados puedan disponer y consultar información, ası́ como debatir, sobre las dudas de confidencialidad planteadas en los últimos años y su resolución oficial (respuesta de la Agencia de Protección de Datos, respuesta de la Abogacı́a del Estado, respuesta del INE, actuación común en esos casos, etc. . . ) 8. LA MODERNIZACIÓN DE LA ACTIVIDAD ESTADÍSTICA MEDIANTE EL USO DE LAS TECONOLGÍAS DE INFORMACIÓN Y COMUNICACIÓN El fuerte crecimiento experimentado por la estadı́stica pública en los últimos años es debido en gran parte a las nuevas formas de trabajo ofrecidas por las nuevas tecnologı́as que se han incorporado totalmente al quehacer diario de los servicios estadı́sticos. Estas nuevas tecnologı́as siguen ampliando sus posibilidades y campos de actuación para la función estadı́stica, por lo que se deben establecer los • La determinación de la posición del Sistema mecanismos necesarios para aprovecharlas al máxiEstadı́stico ante la demanda de más datos y mo durante el periodo de vigencia del próximo plan. menos anonimizados para tareas de investigaPor otro lado, la Ley 11/2007, de 22 de junio, de ción, aprobación de las disposiciones legales acceso electrónico de los ciudadanos a los Servicios que ello implique y desarrollo de protocolos Públicos y el Plan de Impulso de la Administración de actuación Electrónica en el Ministerio de Economı́a y Hacien• El desarrollo de las herramientas para afron- da constituyen el marco de referencia básico para tar cualquiera de los escenarios que se esta- determinar el impacto que las comunicaciones van 51 Normativa estatal 3.3. Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte a tener en los próximos años en la gestión de los servicios estadı́sticos y en su relación con los ciudadanos y otras administraciones. Las actuaciones previstas para el cuatrienio 2009-2012 son: trata de un estándar de intercambio de información contable / financiera que parte de la definición previa de una taxonomı́a, cuya elaboración es una oportunidad de homogeneizar cuestionarios de encuestas económicas. • El control y garantı́a del mantenimiento del secreto estadı́stico en la utilización de herramientas web en el proceso estadı́stico. • La difusión gratuita por Internet de los resultados de cada una de las estadı́sticas incluidas en el Plan Estadı́stico Nacional junto a su metodologı́a y calendario de difusión. • El establecimiento de estándares y herramientas para el intercambio seguro y eficiente de datos estadı́sticos. • La concepción de sistemas de trabajo de recogida de datos armonizados para la mayor parte de las encuestas, en un esquema de datos común sobre bases centrales, que, en el caso de las encuestas dirigidas a las empresas, tengan como elemento central el directorio de unidades económicas. • La extensión y consolidación del proyecto de recogida coordinada de las encuestas de estructura económica lo que supondrı́a la remisión de los cuestionarios en un único envı́o, realizando la reclamación una única persona, ajustando los plazos de cumplimentación al número de cuestionarios y evitando solicitar la información más de una vez. • La consolidación de los procedimientos de pruebas cognitivas de los cuestionarios de las encuestas dirigidas a los hogares. • La recogida y primera depuración de datos mediante cuestionarios web. • La extensión de los módulos de apoyo a los informantes para permitir a las empresas cargar información de ficheros XML derivados de los propios sistemas de gestión. • La incorporación de la georreferenciación a los registros administrativos que puedan servir de base a la generación de directorios para el diseño y la recogida de los datos de las operaciones estadı́sticas. • El análisis de la viabilidad de implantación del proyecto XBRL, que se está probando en la recogida de datos de encuestas de empresas. Se • La adhesión a la iniciativa internacional auspiciada, entre otros, por Eurostat, BCE, OCDE y FMI, para impulsar un estándar de formato para la difusión de datos y metadatos estadı́sticos SDMX (Standard data and metadata exchange). • El arbitrio, en la página web de cada departamento ministerial y en cada organismo ejecutor de estadı́sticas, de un acceso de primer nivel con denominación .estadı́stica”, desde el que se dará entrada de manera sistematizada y fácil de localizar por los usuarios a toda la información estadı́stica del organismo. • La creación de un portal de Estadı́stica Pública de España en coordinación con los distintos organismos de la Administración General del Estado, Administraciones Autonómicas y Administración Local. • La incorporación de la georreferenciación en los métodos de difusión de las explotaciones estadı́stica como forma de mejorar su comprensión y de facilitar los análisis estadı́sticos de sus resultados. Para ello se tendrá en cuenta la Directiva 2007/2/CE del Parlamento Europeo y del Consejo, de 14 de marzo de 2007, por la que se establece una infraestructura de información espacial en la Comunidad Europea (Inspire) base de un marco de interoperabilidad de capas cartográficas. • La concienciación de la organización en el problema de la seguridad de la información, incremento de las herramientas para su control y de las tareas de supervisión. La seguridad de la información comprende: el control de acceso a las bases de datos, la gestión de usuarios y permisos, las herramientas informáticas para esta tarea y la revisión de los registros de accesos para prevenir un mal uso. 52 Normativa estatal 3.3. Reial Decret 1663/2008 – Pla estadı́stic nacional 2009-2012 - extracte • El incremento de la seguridad informática que contempla tareas como la realización de backups, centros de respaldo, seguridad perimetral (protección frente ataques externos), etc. • El control de la definición de objetivos de explotación estadı́stica en los procesos administrativos nuevos o en curso de modificación. • La creación de una Comisión Calificadora de Documentos con el fin de establecer pautas para garantizar la protección del patrimonio documental del INE, en particular, mediante el control de acceso y utilización de documentos y su calificación. También determinará la eliminación de documentos y la conservación de documentos en soporte distinto al original. • La sistematización de ciertos contenidos en los impresos electrónicos para facilitar la posterior explotación estadı́stica de la información de los registros administrativos. • La gestión documental de la información escrita (cuestionarios en papel principalmente, pero también otros documentos) mediante su escaneo. • La formación de un servidor de imágenes donde los usuarios autorizados pueden acceder de forma ágil a los cuestionarios y otros documentos. • La cooperación entre administraciones para facilitar el acceso y el intercambio de información en los términos autorizados y convenidos, sustituyendo el papel por comunicaciones telemáticas con las periodicidades que se permitan. • La consolidación y potenciación del uso de la infraestructura básica para proveer este tipo de servicios (plataforma de validación de firma, registro telemático, conexión a la intranet administrativa) ya disponible en el INE. 53 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 3.4 Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (BOE núm. 298, de 14.12.1999, edició catalana en el suplement núm. 17, de 30.12.1999) TÍTOL I. Disposicions generals Article 1. Objecte responsable del fitxer ha de comunicar-ne prèviament l’existència, les caracterı́stiques generals i la finalitat a l’Agència de Protecció de Dades. Aquesta Llei orgànica té com a objecte garan3. Es regeixen per les seves disposicions espetir i protegir, pel que fa al tractament de les dades cı́fiques, i pel que preveu especialment, si s’escau, personals, les llibertats públiques i els drets fonaaquesta Llei orgànica els tractaments de dades permentals de les persones fı́siques, i especialment del sonals següents: seu honor i la seva intimitat personal i familiar. a) Els fitxers regulats per la legislació de règim Article 2. Àmbit d’aplicació electoral. 1. Aquesta Llei orgànica és aplicable a les dades b) Els que serveixin a finalitats exclusivament de caràcter personal registrades en suport fı́sic, que estadı́stiques, i estiguin emparats per la legislació les faci susceptibles de tractament, i a qualsevol moestatal o autonòmica sobre la funció estadı́stica púdalitat d’ús posterior d’aquestes dades pels sectors blica. públic i privat. c) Els que tinguin com a objecte l’emmagatzeEs regeix per aquesta Llei orgànica qualsevol matge de les dades contingudes en els informes pertractament de dades de caràcter personal: sonals de qualificació a què es refereix la legislació a) Quan el tractament s’efectuı̈ en territori es- del règim del personal de les Forces Armades. panyol, en el marc de les activitats d’un establiment d) Els derivats del Registre Civil i del Registre del responsable del tractament. central de penats i rebels. b) Quan al responsable del tractament no estae) Els procedents d’imatges i sons obtinguts mitblert en territori espanyol li sigui aplicable la legisjançant la utilització de videocàmeres per les Forces lació espanyola en aplicació de les normes de dret i els Cossos de Seguretat, d’acord amb la legislació internacional públic. sobre la matèria. c) Quan el responsable del tractament no estigui establert en el territori de la Unió Europea i utilitzi Article 3. Definicions en el tractament de dades mitjans situats en terriAls efectes d’aquesta Llei orgànica, s’entén per: tori espanyol, llevat que aquests mitjans s’utilitzin a) Dades de caràcter personal : qualsevol inúnicament amb finalitats de trànsit. formació referent a persones fı́siques identificades o 2. El règim de protecció de les dades de caràcter identificables. personal que estableix aquesta Llei orgànica no és b) Fitxer: qualsevol conjunt organitzat de dades aplicable: de caràcter personal, sigui quina sigui la forma o la a) Als fitxers mantinguts per persones fı́siques modalitat de creació, emmagatzematge, organitzaen l’exercici d’activitats exclusivament personals o ció i accés. domèstiques. c) Tractament de dades : les operacions i els b) Als fitxers sotmesos a la normativa sobre pro- procediments tècnics de caràcter automatitzat o no, tecció de matèries classificades. que permetin recollir, gravar, conservar, elaborar, . c) Als fitxers establerts per a la investigació del modificar, bloquejar i cancel lar, aixı́ com les cessions de dades que derivin de comunicacions, consulterrorisme i de formes greus de delinqüència orgates, interconnexions i transferències. nitzada. No obstant això, en aquests supòsits el 54 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal d) Responsable del fitxer o el tractament : per2. Les dades de caràcter personal objecte de sona fı́sica o jurı́dica, de naturalesa pública o pri- tractament no es poden utilitzar per a finalitats invada, o òrgan administratiu, que decideixi sobre la compatibles amb aquelles per a les quals les dades finalitat, el contingut i l’ús del tractament. hagin estat recollides. No es considera incompatie) Afectat o interessat : persona fı́sica titular de ble el tractament posterior d’aquestes dades amb les dades que siguin objecte del tractament a què es finalitats històriques, estadı́stiques o cientı́fiques. refereix l’apartat c) d’aquest article. 3. Les dades de caràcter personal han de ser exactes i posades al dia de manera que responguin f) Procediment de dissociació : qualsevol tractaamb veracitat a la situació actual de l’afectat. ment de dades personals de manera que la informació que s’obtingui no es pugui associar a una persona 4. Si les dades de caràcter personal registrades identificada o identificable. són inexactes, en tot o en part, o incompletes, han . g) Encarregat del tractament: la persona fı́sica o de ser cancel lades i substituı̈des d’ofici per les dades corresponents rectificades o completades, sens perjurı́dica, l’autoritat pública, el servei o qualsevol aljudici de les facultats que l’article 16 reconeix als tre organisme que, sol o conjuntament amb altres, afectats. tracti dades personals per compte del responsable del tractament. h) Consentiment de l’interessat : qualsevol manifestació de la voluntat, lliure, inequı́voca, especı́fica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. i) Cessió o comunicació de dades : qualsevol revelació de dades efectuada a una persona diferent de l’interessat. j) Fonts accessibles al públic : els fitxers que poden ser consultats per qualsevol persona, sense que ho impedeixi una norma limitativa o sense altra exigència que, si s’escau, l’abonament d’una contraprestació. Només es consideren fonts d’accés públic el cens promocional, els repertoris telefònics en els termes que preveu la normativa especı́fica i les llistes de persones que pertanyen a grups de professionals que continguin únicament les dades de nom, tı́tol, professió, activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup. Aixı́ mateix, tenen el caràcter de fonts d’accés públic els diaris i els butlletins oficials i els mitjans de comunicació. 5. Les dades de caràcter personal han de ser cancel.lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un perı́ode superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. S’ha de determinar per reglament el procediment pel qual, com a excepció, atesos els valors històrics, estadı́stics o cientı́fics d’acord amb la legislació especı́fica, es decideixi el manteniment ı́ntegre de determinades dades. 6. Les dades de caràcter personal han de ser emmagatzemades de manera que permetin l’exercici del dret d’accés, llevat que siguin legalment cancellades. 7. Es prohibeix la recollida de dades per mitjans fraudulents, deslleials o il.lı́cits. Article 5. Dret d’informació en la recollida de dades 1. Els interessats als quals se sol.licitin dades personals han de ser prèviament informats de maTÍTOL II. Principis de la protecció de dades nera expressa, precisa i inequı́voca: Article 4. Qualitat de les dades a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la 1. Les dades de caràcter personal només es porecollida de les dades i dels destinataris de la inforden recollir per ser tractades, aixı́ com sotmetre-les mació. a aquest tractament, quan siguin adequades, pertinents i no excessives en relació amb l’àmbit i les b) Del caràcter obligatori o facultatiu de la resfinalitats determinades, explı́cites i legı́times per a posta a les preguntes que els siguin plantejades. les quals s’han obtingut. c) De les conseqüències de l’obtenció de les dades 55 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal o de la negativa a subministrar-les. del responsable del tractament, aixı́ com dels drets d) De la possibilitat d’exercir els drets d’accés, que l’assisteixen. rectificació, cancel.lació i oposició. Article 6. Consentiment de l’afectat e) De la identitat i la direcció del responsable del tractament o, si s’escau, del seu representant. Quan el responsable del tractament no estigui establert en el territori de la Unió Europea i utilitzi en el tractament de dades mitjans situats en territori espanyol, ha de designar, llevat que aquests mitjans s’utilitzin amb finalitats de tràmit, un representant a Espanya, sens perjudici de les accions que es puguin emprendre contra el mateix responsable del tractament. 2. Quan s’utilitzin qüestionaris o altres impresos per a la recollida, han de figurar-hi, de manera clarament llegible, les advertències a què es refereix l’apartat anterior. 3. No és necessària la informació a què es refereixen les lletres b), c) i d) de l’apartat 1 si el contingut de la informació es dedueix clarament de la naturalesa de les dades personals que se sol.liciten o de les circumstàncies en què es recullen. 4. Quan les dades de caràcter personal no hagin estat recollides de l’interessat, aquest ha de ser informat de manera expressa, precisa i inequı́voca, pel responsable del fitxer o pel seu representant, dins dels tres mesos següents al moment de registrar les dades, del contingut del tractament, de la procedència de les dades i del que preveuen les lletres a), d) i e) de l’apartat 1 d’aquest article, llevat que ja n’hagi estat informat anteriorment. 1. El tractament de les dades de caràcter personal requereix el consentiment inequı́voc de l’afectat, llevat que la llei disposi una altra cosa. 2. No cal el consentiment quan les dades de caràcter personal es recullin per a l’exercici de les funcions pròpies de les administracions públiques en l’àmbit de les seves competències; quan es refereixin a les parts d’un contracte o un precontracte d’una relació de negoci, laboral o administrativa i siguin necessàries per al seu manteniment o compliment; quan el tractament de les dades tingui com a finalitat protegir un interès vital de l’interessat en els termes de l’article 7, apartat 6, d’aquest Llei, o quan les dades figurin en fonts accessibles al públic i el seu tractament sigui necessari per a la satisfacció de l’interès legı́tim perseguit pel responsable del fitxer o pel del tercer a qui es comuniquin les dades, sempre que no es vulnerin els drets i les llibertats fonamentals de l’interessat. 3. El consentiment a què es refereix aquest article pot ser revocat quan hi hagi una causa justificada per fer-ho i no se li atribueixin efectes retroactius. 4. En els casos en què no sigui necessari el consentiment de l’afectat per al tractament de les dades de caràcter personal, i sempre que una llei no disposi el contrari, aquest pot oposar-se al seu tractament quan hi hagi motius fonamentats i legı́tims 5. No és aplicable el que disposa l’apartat ante- relatius a una situació personal concreta. En aquest rior quan, de manera expressa, una llei ho prevegi, supòsit, el responsable del fitxer ha d’excloure del quan el tractament tingui finalitats històriques, es- tractament les dades relatives a l’afectat. tadı́stiques o cientı́fiques, o quan sigui impossible Article 7. Dades especialment protegides informar-ne l’interessat o exigeixi esforços despro1. D’acord amb el que estableix l’apartat 2 de porcionats, a criteri de l’Agència de Protecció de l’article 16 de la Constitució, ningú no pot ser obliDades o de l’organisme autonòmic equivalent, en gat a declarar sobre la seva ideologia, religió o creconsideració al nombre d’interessats, a l’antiguitat ences. de les dades i a les possibles mesures compensatòriQuan en relació amb aquestes dades es procees. deixi a recollir el consentiment a què es refereix l’aAixı́ mateix, tampoc no regeix el que disposa l’apartat següent, s’ha d’advertir l’interessat respecte partat anterior quan les dades procedeixin de fonts al seu dret a no donar-lo. accessibles al públic i es destinin a l’activitat de pu2. Només amb el consentiment exprés i per esblicitat o prospecció comercial; en aquest cas, en cada comunicació que s’adreci a l’interessat se l’ha crit de l’afectat poden ser objecte de tractament les d’informar de l’origen de les dades i de la identitat dades de caràcter personal que revelin la ideologia, 56 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal l’afiliació sindical, la religió i les creences. S’exceptuen els fitxers mantinguts pels partits polı́tics, els sindicats, les esglésies, les confessions o les comunitats religioses i associacions, les fundacions i altres entitats sense ànim de lucre, amb finalitat polı́tica, filosòfica, religiosa o sindical, quant a les dades relatives als seus associats o els seus membres, sens perjudici que la cessió d’aquestes dades requereix sempre el consentiment previ de l’afectat. que disposa la legislació estatal o autonòmica sobre sanitat. 6. No obstant el que disposen els apartats anteriors, poden ser objecte de tractament les dades de caràcter personal a què es refereixen els apartats 2 i 3 d’aquest article quan aquest tractament sigui necessari per a la prevenció o per al diagnòstic mèdics, la prestació d’assistència sanitària o de tractaments mèdics o la gestió de serveis sanitaris, sempre que el tractament de dades, l’efectuı̈ un professional sanitari subjecte al secret professional o una altra persona subjecta a una obligació equivalent de secret. qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de guardarles, obligacions que subsisteixen fins i tot després de finalitzar les seves relacions amb el titular del fitxer o, si s’escau, amb el seu responsable. Article 8. Dades relatives a la salut b) Quan es tracti de dades recollides de fonts accessibles al públic. Article 9. Seguretat de les dades 1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tec3. Les dades de caràcter personal que facin renologia, la naturalesa de les dades emmagatzemades ferència a l’origen racial, a la salut i a la vida sei els riscos a què estan exposats, tant si provenen de xual només poden ser recollides, tractades i cedides l’acció humana o del medi fı́sic o natural. quan, per raons d’interès general, aixı́ ho disposi 2. No s’han de registrar dades de caràcter persouna llei o l’afectat hi consenti expressament. nal en fitxers que no compleixin les condicions que 4. Queden prohibits els fitxers creats amb la es determinin per via reglamentària en relació amb finalitat exclusiva d’emmagatzemar dades de caràcla seva integritat i seguretat i a les dels centres de ter personal que revelin la ideologia, l’afiliació sintractament, locals, equips, sistemes i programes. dical, la religió, les creences, l’origen racial o ètnic, 3. S’han d’establir per reglament els requisits o la vida sexual. i les condicions que han de complir els fitxers i les 5. Les dades de caràcter personal relatives a la persones que intervinguin en el tractament de les comissió d’infraccions penals o administratives nodades a què es refereix l’article 7 d’aquesta Llei. més poden ser incloses en fitxers de les administracions públiques competents en els casos que preveuen Article 10. Deure de secret les normes reguladores respectives. El responsable del fitxer i els qui intervinguin en Article 11. Comunicació de dades 1. Les dades de caràcter personal objecte del tractament només poden ser comunicades a un tercer per al compliment de finalitats directament relaTambé poden ser objecte de tractament les da- cionades amb les funcions legı́times del cedent i del des a què es refereix el paràgraf anterior quan el cessionari amb el consentiment previ de l’interessat. tractament sigui necessari per salvaguardar l’inte2. El consentiment que exigeix l’apartat anterior rès vital de l’afectat o d’una altra persona, en cas no és necessari: que l’afectat estigui fı́sicament o jurı́dicament incapacitat per donar-ne el consentiment. a) Quan la cessió està autoritzada en una llei. Sens perjudici del que disposa l’article 11 pel que fa a la cessió, les institucions i els centres sanitaris públics i privats i els professionals corresponents poden procedir al tractament de les dades de caràcter personal relatives a la salut de les persones que hi acudeixin o hi hagin de ser tractades, d’acord amb el c) Quan el tractament respongui a la lliure i legı́tima acceptació d’una relació jurı́dica el desenvolupament, el compliment i el control de la qual impliqui necessàriament la connexió del tractament esmentat amb fitxers de tercers. En aquest cas, la 57 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal comunicació només és legı́tima quan es limiti a la finalitat que la justifiqui. permeti acreditar-ne la concertació i el contingut, i s’hi ha d’establir de manera expressa que l’encarregat del tractament només ha de tractar les dades d’acord amb les instruccions del responsable del tractament, que no les pot aplicar ni utilitzar amb una finalitat diferent de la que figuri en el contracte esmentat, ni comunicar-les a altres persones, ni tan sols per conservar-les. d) Quan la comunicació que s’hagi d’efectuar tingui com a destinatari el defensor del Poble, el ministeri fiscal o els jutges o tribunals o el Tribunal de Comptes, en l’exercici de les funcions que té atribuı̈des. Tampoc no cal el consentiment quan la comunicació tingui com a destinatari institucions autonòmiques amb funcions anàlogues al defensor El contracte també ha d’estipular les mesures del Poble o al Tribunal de Comptes. de seguretat a què es refereix l’article 9 d’aquesta e) Quan la cessió es produeixi entre administra- Llei que l’encarregat del tractament està obligat a cions públiques i tingui com a objecte el tractament implementar. posterior de les dades amb finalitats històriques, es3. Una vegada complerta la prestació contractadı́stiques o cientı́fiques. tual, les dades de caràcter personal han de ser desf) Quan la cessió de dades de caràcter personal truı̈des o tornades al responsable del tractament, i relatives a la salut sigui necessària per solucionar també qualsevol suport o document en què consti una urgència que requereixi accedir a un fitxer o alguna dada de caràcter personal objecte del tracper fer els estudis epidemiològics en els termes que tament. estableix la legislació sobre sanitat estatal o auto4. En cas que l’encarregat del tractament desnòmica. tini les dades a una altra finalitat, les comuniqui 3. És nul el consentiment per a la comunicació o les utilitzi incomplint les estipulacions del conde les dades de caràcter personal a un tercer quan tracte, també ha de ser considerat responsable del la informació que es proporcioni a l’interessat no li tractament, i ha de respondre de les infraccions en permeti conèixer la finalitat a què destinen les da- què hagi incorregut personalment. des la comunicació de les quals s’autoritza o el tipus TÍTOL III. Drets de les persones d’activitat del receptor de la comunicació. Article 13. Impugnació de valoracions 4. El consentiment per a la comunicació de les 1. Els ciutadans tenen dret a no estar sotmedades de caràcter personal també té caràcter revosos a una decisió amb efectes jurı́dics, sobre ells o cable. que els afecti de manera significativa, que es basi 5. El receptor de la comunicació de les dades de únicament en un tractament de dades destinades a caràcter personal s’obliga, pel sol fet de la comuni- avaluar determinats aspectes de la seva personalicació, a l’observança de les disposicions d’aquesta tat. Llei. 2. L’afectat pot impugnar els actes administra6. Si la comunicació s’efectua amb el procedi- tius o les decisions privades que impliquin una vament previ de dissociació, no és aplicable el que es- loració del seu comportament, que tinguin com a tableixen els apartats anteriors. únic fonament un tractament de dades de caràcter personal que ofereixi una definició de les seves caArticle 12. Accés a les dades per compte de racterı́stiques o de la seva personalitat. tercers 3. En aquest cas, l’afectat té dret a obtenir in1. No es considera comunicació de dades l’accés formació del responsable del fitxer sobre els criteris d’un tercer a les dades quan l’accés sigui necessade valoració i el programa utilitzats en el tractari per a la prestació d’un servei al responsable del ment que va servir per adoptar la decisió en què va tractament. consistir l’acte. 2. La realització de tractaments per compte de 4. La valoració sobre el comportament dels ciutercers ha d’estar regulada en un contracte que ha tadans, basada en un tractament de dades, únicade constar per escrit o en alguna altra forma que ment pot tenir valor probatori a petició de l’afectat. 58 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal Article 14. Dret de consulta al Registre General de Protecció de Dades tractament ha de notificar la rectificació o la cancellació efectuada a qui s’hagin comunicat, en cas que Qualsevol persona pot conèixer, recollint amb aquest últim mantingui el. tractament, que també aquesta finalitat la informació oportuna al Regis- ha de procedir a la cancel lació. tre General de Protecció de Dades, l’existència de 5. Les dades de caràcter personal han de ser contractaments de dades de caràcter personal, les seves servades durant els terminis que preveuen les disfinalitats i la identitat del responsable del tracta- posicions aplicables o, si s’escau, les relacions conment. El Registre general és de consulta pública i tractuals entre la persona o l’entitat responsable del gratuı̈ta. tractament i l’interessat. Article 15. Dret d’accés Article 17. Procediment d’oposició, accés, . 1. L’interessat té dret a sol.licitar i obtenir gra- rectificació o cancel lació tuı̈tament informació de les seves dades de caràcter 1. Els procediments per exercir el dret d’oposipersonal sotmeses a tractament, l’origen de les da- ció, accés, aixı́ com els de rectificació i cancel.lació des i les comunicacions efectuades o que es prevegin han de ser establerts per reglament. fer. 2. No s’ha d’exigir cap contraprestació per l’e2. La informació es pot obtenir mitjançant la xercici dels drets d’oposició, accés, rectificació o mera consulta de les dades per mitjà de la visua- cancel.lació. lització, o la indicació de les dades que són objecte Article 18. Tutela dels drets de tractament mitjançant escrit, còpia, telecòpia o 1. Les actuacions contràries al que disposa fotocòpia, certificada o no, en forma llegible i intelaquesta Llei poden ser objecte de reclamació pels ligible, sense utilitzar claus o codis que requereixin interessats davant l’Agència de Protecció de Dades, l’ús de dispositius mecànics especı́fics. en la forma que es determini per reglament. 3. El dret d’accés a què es refereix aquest article 2. L’interessat al qual es denegui, totalment o només pot ser exercit a intervals no inferiors a dotparcialment, l’exercici dels drets d’oposició, accés, ze mesos, llevat que l’interessat acrediti un interès rectificació o cancel.lació, ho pot posar en coneixelegı́tim a aquest efecte, cas en què el poden exercir ment de l’Agència de Protecció de Dades o, si s’esabans. cau, de l’organisme competent de cada comunitat Article 16. Dret de rectificació i cancel.lació autònoma, que s’ha d’assegurar de la procedència o 1. El responsable del tractament té l’obligació la improcedència de la denegació. de fer efectiu el dret de rectificació o cancel.lació de 3. El termini màxim en què s’ha de dictar la rel’interessat en el termini de deu dies. solució expressa de tutela de drets és de sis mesos. 2. Han de ser rectificades o cancel.lades, si s’es4. Contra les resolucions de l’Agència de Procau, les dades de caràcter personal el tractament de tecció de Dades es pot presentar recurs contenciós les quals no s’ajusti al que disposa aquesta Llei i, administratiu. en particular, quan aquestes dades siguin inexactes Article 19. Dret a indemnització o incompletes. 1. Els interessats que, com a conseqüència de 3. La cancel.lació dóna lloc al bloqueig de les l’incompliment del que disposa aquesta Llei pel resdades, i només s’han de conservar a disposició de ponsable o l’encarregat del tractament, pateixin les administracions públiques, els jutges i els tribudany o lesió en els seus béns o drets tenen dret a ser nals, per a l’atenció de les possibles responsabiliindemnitzats. tats nascudes del tractament, durant el termini de prescripció d’aquestes responsabilitats. Complert 2. Quan es tracti de fitxers de titularitat públiaquest termini, s’ha de procedir a la supressió. ca, la responsabilitat s’exigeix d’acord amb la legis4. Si les dades rectificades o cancel.lades han lació reguladora del règim de responsabilitat de les estat comunicades prèviament, el responsable del administracions públiques. 59 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 3. En el cas dels fitxers de titularitat privada, cies que tractin matèries diferents, excepte quan la l’acció s’ha d’exercir davant els òrgans de la juris- comunicació hagi estat prevista per les disposicions dicció ordinària. de creació del fitxer o per una disposició de rang superior que en reguli l’ús 1 , o quan la comunicaTÍTOL IV. Disposicions sectorials ció tingui com a objecte el tractament posterior de Capı́tol I. Fitxers de titularitat pública les dades amb finalitats històriques, estadı́stiques o Article 20. Creació, modificació o supressió cientı́fiques.1 1. La creació, la modificació o la supressió dels fitxers de les administracions públiques només es poden fer per mitjà d’una disposició general publicada en el Butlletı́ Oficial de l’Estat o en el diari oficial corresponent. 2. Les disposicions de creació o de modificació de fitxers han d’indicar: a) La finalitat del fitxer i els usos previstos. b) Les persones o els col.lectius sobre els quals es pretén obtenir dades de caràcter personal o que estiguin obligats a subministrar- les. c) El procediment de recollida de les dades de caràcter personal. d) L’estructura bàsica del fitxer i la descripció dels tipus de dades de caràcter personal incloses en el mateix fitxer. e) Les cessions de dades de caràcter personal i, si s’escau, les transferències de dades que es prevegin a paı̈sos tercers. f) Els òrgans de les administracions responsables del fitxer. g) Els serveis o les unitats davant els quals es puguin exercir els drets d’accés, rectificació, cancellació i oposició. h) Les mesures de seguretat amb indicació del nivell bàsic, mitjà o alt exigible. 3. En les disposicions que es dictin per a la supressió dels fitxers, se n’ha d’establir el destı́ o, si s’escau, les previsions que s’adoptin per destruir-los. Article 21. Comunicació de dades entre administracions públiques 2. En tot cas, poden ser objecte de comunicació les dades de caràcter personal que una administració pública obtingui o elabori amb destinació a una altra. 3. No obstant el que estableix l’article 11.2.b), la comunicació de dades recollides de fonts accessibles al públic no es pot efectuar a fitxers de titularitat privada, si no és amb el consentiment de l’interessat o quan una llei prevegi una altra cosa. 4. En els supòsits que preveuen els apartats 1 i 2 d’aquest article no és necessari el consentiment de l’afectat a què es refereix l’article 11 d’aquesta Llei. Article 22. Fitxers de les Forces i els Cossos de Seguretat 1. Els fitxers creats per les Forces i els Cossos de Seguretat que continguin dades de caràcter personal que, pel fet d’haver-se recollit per a finalitats administratives, han de ser objecte de registre permanent, estan subjectes al règim general d’aquesta Llei. 2. La recollida i el tractament per a finalitats policials de dades de caràcter personal per les Forces i els Cossos de Seguretat sense el consentiment de les persones afectades estan limitats a aquells supòsits i aquelles categories de dades que siguin necessaris per a la prevenció d’un perill real per a la seguretat pública o per a la repressió d’infraccions penals, i han de ser emmagatzemades en fitxers especı́fics establerts a aquest efecte, que s’han de classificar per categories en funció del grau de fiabilitat. 3. La recollida i el tractament per les Forces i els Cossos de Seguretat de les dades a què fan referència els apartats 2 i 3 de l’article 7 es poden fer exclusivament en els supòsits en què sigui absolutament necessari per a les finalitats d’una investigació concreta, sens perjudici del control de legalitat de l’actuació administrativa o de l’obligació de resoldre les pretensions formulades, si s’escau, pels interessats que corresponen als òrgans jurisdiccionals. 1. Les dades de caràcter personal recollides o elaborades per les administracions públiques per a 4. Les dades personals registrades amb finalil’exercici de les seves atribucions no han de ser co- tats policials s’han de cancel ·lar quan no siguin municades a altres administracions públiques per a necessàries per a les investigacions que n’hagin mol’exercici de competències diferents o de competèn1 L’incı́s en cursiva ha estat declarat inconstitucional per la STC 292/2000, de 30 de novembre (BOE núm. 4, de 4.1.2001) 60 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal tivat l’emmagatzematge. A aquests efectes, s’ha de considerar especialment l’edat de l’afectat i el caràcter de les dades emmagatzemades, la necessitat de mantenir les dades fins a la conclusió d’una investigació o un procediment concret, la resolució judicial ferma, especialment l’absolutòria, l’indult, la rehabilitació i la prescripció de responsabilitat. Article 23. Excepcions als drets d’accés, rectificació i cancel.lació 1. Els responsables dels fitxers que continguin les dades a què es refereixen els apartats 2, 3 i 4 de l’article anterior poden denegar l’accés, la rectificació o la cancel.lació en funció dels perills que es puguin derivar per a la defensa de l’Estat o la seguretat pública, la protecció dels drets i les llibertats de tercers o les necessitats de les investigacions que s’estiguin duent a terme. 2. Els responsables dels fitxers de la Hisenda Pública també poden denegar l’exercici dels drets a què es refereix l’apartat anterior quan això obstaculitzi les actuacions administratives tendents a assegurar el compliment de les obligacions tributàries i, en tot cas, quan l’afectat estigui sent objecte d’actuacions inspectores. 3. L’afectat al qual es denegui, totalment o parcialment, l’exercici dels drets esmentats en els apartats anteriors ho pot posar en coneixement del director de l’Agència de Protecció de Dades o de l’organisme competent de cada comunitat autònoma en el cas de fitxers mantinguts per cossos de policia propis d’aquestes comunitats, o per les administracions tributàries autonòmiques, els quals s’han d’assegurar de la procedència o improcedència de la denegació. Article 24. Altres excepcions als drets dels afectats 1. El que disposen els apartats 1 i 2 de l’article 5 no és aplicable a la recollida de dades quan el fet d’informar-ne l’afectat impedeixi o dificulti greument el compliment de les funcions de control i verificació de les administracions públiques o quan afecti la Defensa Nacional, la seguretat pública o la persecució d’infraccions penals o administratives. 2. El que disposen l’article 15 i l’apartat 1 de l’article 16 no és aplicable si, ponderats els interessos en presència, resulta que els drets que aquests preceptes concedeixen a l’afectat han de cedir per raons d’interès públic o davant interessos de tercers més dignes de protecció. Si l’òrgan administratiu responsable del fitxer invoca el que disposa aquest apartat, ha de dictar una resolució motiva- da i instruir l’afectat del dret que l’assisteix a posar la negativa en coneixement del director de l’Agència de Protecció de Dades o, si s’escau, de l’òrgan equivalent de les comunitats autònomes.2 Capı́tol II. Fitxers de titularitat privada Article 25. Creació Es poden crear fitxers de titularitat privada que continguin dades de caràcter personal quan sigui necessari per aconseguir l’activitat o l’objecte legı́tims de la persona, l’empresa o l’entitat titular i es respectin les garanties que aquesta Llei estableix per a la protecció de les persones. Article 26. Notificació i inscripció registral 1. Qualsevol persona o entitat que procedeixi a la creació de fitxers de dades de caràcter personal ho ha de notificar prèviament a l’Agència de Protecció de Dades. 2. Per la via reglamentària s’ha de procedir a la regulació detallada dels diferents aspectes que ha de contenir la notificació, entre els quals han de figurar necessàriament el responsable del fitxer, la finalitat, la ubicació, el tipus de dades de caràcter personal que conté, les mesures de seguretat, amb indicació del nivell bàsic, mitjà o alt exigible i les cessions de dades de caràcter personal que es prevegin realitzar i, si s’escau, les transferències de dades que es prevegin a paı̈sos tercers. 3. S’han de comunicar a l’Agència de Protecció de Dades els canvis que es produeixin en la finalitat del fitxer automatitzat, en el seu responsable i en l’adreça de la seva ubicació. 4. El Registre General de Protecció de Dades ha d’inscriure el fitxer si la notificació s’ajusta als requisits exigibles. En cas contrari pot demanar que es completin les dades que faltin o que s’esmenin. 5. Transcorregut un mes des de la presentació de la sol.licitud d’inscripció sense que l’Agència de Protecció de Dades hagi emès resolució sobre la sollicitud, s’entén inscrit el fitxer automatitzat amb caràcter general. Article 27. Comunicació de la cessió de dades 1. El responsable del fitxer, en el moment en què s’efectuı̈ la primera cessió de dades, ha d’informar- 2 Els incisos en cursiva han estat declarats inconstitucionals per la STC 292/2000, de 30 de novembre (BOE núm. 4, de 4.1.2001). 61 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal ne els afectats, indicanthi, també, la finalitat del Article 29. Prestació de serveis d’informació fitxer, la naturalesa de les dades que han estat ce- sobre solvència patrimonial i crèdit dides i el nom i l’adreça del cessionari. 1. Els qui es dediquin a la prestació de serveis 2. L’obligació que estableix l’apartat anterior no d’informació sobre la solvència patrimonial i el crèexisteix en el supòsit que preveuen els apartats 2, dit només poden tractar dades de caràcter personal lletres c), d), e) i 6 de l’article 11, ni quan la cessió obtingudes dels registres i les fonts accessibles al estigui imposada per llei. públic establerts a aquest efecte o procedents d’inArticle 28. Dades incloses en les fonts d’ac- formacions facilitades per l’interessat o amb el seu consentiment. cés públic 2. També es poden tractar dades de caràcter personal relatives al compliment o l’incompliment d’obligacions dineràries facilitades pel creditor o per qui actuı̈ pel seu compte o interès. En aquests casos, s’ha de notificar als interessats pel que fa als que hagin registrat dades de caràcter personal en fitxers, en el termini de trenta dies des del registre esmentat, una referència dels que hi hagin estat inclosos i se’ls ha d’informar del seu dret a recollir informació de tots ells, en els termes que estableix 2. Els interessats tenen dret que l’entitat res- aquesta Llei. ponsable del manteniment dels llistats dels col.legis 3. En els supòsits a què es refereixen els dos professionals indiqui gratuı̈tament que les seves daapartats anteriors, quan l’interessat ho sol.liciti, el des personals no es poden utilitzar per a finalitats responsable del tractament li ha de comunicar les de publicitat o prospecció comercial. Els interessats dades, i també les avaluacions i les apreciacions que tenen dret a exigir gratuı̈tament l’exclusió de la tosobre ell li hagin estat comunicades durant els últalitat de les seves dades personals que constin en el cens pro183 mocional per les entitats encarregades tims sis mesos, i el nom i l’adreça de la persona o l’entitat a qui s’hagin revelat les dades. del manteniment d’aquestes fonts. 4. Només es poden registrar i cedir les dades L’atenció a la sol.licitud d’exclusió de la inforde caràcter personal que siguin determinants per mació innecessària o d’inclusió de l’objecció a l’ús de les dades per a finalitats de publicitat o venda a enjudiciar la solvència econòmica dels interessats i distància s’ha de fer en el termini de deu dies pel que no es refereixin, quan siguin adverses, a més de que fa a les informacions que s’efectuı̈n mitjançant sis anys, sempre que responguin amb veracitat a la consulta o comunicació telemàtica i en l’edició se- situació actual dels interessats. 1. Les dades personals que figurin en el cens promocional, o les llistes de persones que pertanyin a grups de professionals a què es refereix l’article 3.j) d’aquesta Llei s’han de limitar a les que siguin estrictament necessàries per complir la finalitat a què es destina cada llistat. La inclusió de dades addicionals per les entitats responsables del manteniment d’aquestes fonts requereix el consentiment de l’interessat, que pot ser revocat en qualsevol moment. güent del llistat sigui quin sigui el suport en què s’editi. Article 30. Tractaments amb finalitats de publicitat i de prospecció comercial 3. Les fonts d’accés públic que s’editin en forma 1. Els qui es dediquin a la recopilació d’adreces, de llibre o algun altre suport fı́sic perden el caràcter repartiment de documents, publicitat, venda a disde font accessible amb la nova edició que es publi- tància, prospecció comercial i altres activitats anàqui. logues poden utilitzar els noms, les adreces o altres En cas que s’obtingui telemàticament una còpia dades de caràcter personal quan figurin en fonts acde la llista en format electrònic, aquesta perd el ca- cessibles al públic o quan hagin estat facilitats pels ràcter de font d’accés públic en el termini d’un any, mateixos interessats o s’hagin obtingut amb el seu consentiment. a comptar des del moment d’obtenir-la. 2. Quan les dades procedeixin de fonts accessi4. Les dades que figurin en les guies de serveis de bles al públic, de conformitat amb el que estableix el telecomunicacions disponibles al públic es regeixen paràgraf segon de l’article 5.5 d’aquesta Llei, en caper la seva normativa especı́fica. da comunicació que s’adreci a l’interessat s’ha d’in62 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal formar de l’origen de les dades i de la identitat del programes o equips, obligacions dels implicats en el responsable del tractament, aixı́ com dels drets que tractament i ús de la informació personal, aixı́ com l’assisteixen. les garanties, en el seu àmbit, per a l’exercici dels 3. En l’exercici del dret d’accés, els interessats drets de les persones, amb ple respecte als principis tenen dret a conèixer l’origen de les seves dades de i les disposicions d’aquesta Llei i les seves normes caràcter personal, aixı́ com de la resta d’informació de desplegament. a què es refereix l’article 15. 4. Els interessats tenen el dret d’oposar-se, amb la petició prèvia i sense despeses, al tractament de les dades que els concerneixin, cas en el qual han de ser donats de baixa del tractament i s’han de cancel.lar les informacions que sobre els interessats figurin en el tractament, amb la simple sol.licitud. Article 31. Cens promocional 1. Els qui vulguin exercir de manera permanent o esporàdica l’activitat de recopilació d’adreces, repartiment de documents, publicitat, venda a distància, prospecció comercial o altres activitats anàlogues, poden sol.licitar a l’Institut Nacional d’Estadı́stica o als òrgans equivalents de les comunitats autònomes una còpia del cens promocional, format amb les dades de nom, cognoms i domicili que consten en el cens electoral. 2. Aquests codis poden contenir o no regles operacionals detallades de cada sistema particular i estàndards tècnics d’aplicació. En el cas que aquestes regles o estàndards no s’incorporin directament al codi, les instruccions o les ordres que els estableixin han de respectar els principis que fixi el codi. 3. Els codis tipus tenen el caràcter de codis deontològics o de bona pràctica professional, i han de ser dipositats o inscrits en el Registre general de protecció de dades i, quan correspongui, en els creats a aquests efectes per les comunitats autònomes, d’acord amb l’article 41. El Registre General de Protecció de Dades pot denegar-ne la inscripció quan consideri que no s’ajusta a les dis186 posicions legals i reglamentàries sobre la matèria, i, en aquest cas, el director de l’Agència de Protecció de Dades ha de requerir els sol.licitants perquè facin les correccions oportunes. 2. L’ús de cada llista de cens promocional té un TÍTOL V. Moviment internacional de dades termini de vigència d’un any. Transcorregut aquest termini, la llista perd el seu caràcter de font d’accés Article 33. Norma general públic. 1. No es poden fer transferències temporals ni definitives de dades de caràcter personal que hagin 3. Els procediments mitjançant els quals els estat objecte de tractament o hagin estat recolli. interessats poden sol licitar no constar en el cens des per sotmetre-les al tractament esmentat amb promocional s’han de regular per reglament. Entre destinació a paı̈sos que no proporcionin un nivell aquests procediments, que han de ser gratuı̈ts per de protecció equiparable al que presta aquesta Llei, als interessats, s’ha d’incloure el document d’empallevat que, a més a més d’haver-se observat el que dronament. Trimestralment s’ha d’editar una llista actualitzada del cens promocional en què s’exclo- disposa aquesta Llei, s’obtingui l’autorització prèguin els noms i les adreces dels que aixı́ ho hagin via del director de l’Agència de Protecció de Dades, que només la pot atorgar si s’obtenen garanties adesol.licitat. quades. 4. Es pot exigir una contraprestació per facilitar 2. El caràcter adequat del nivell de protecció la llista en suport informàtic. que ofereix el paı́s de destinació, l’avalua l’Agència Article 32. Codis tipus de Protecció de Dades atenent totes les circumstàn1. Mitjançant acords sectorials, convenis ad- cies que concorrin en la transferència o la categoria ministratius o decisions d’empresa, els responsa- de transferència de dades. En particular, cal tenir bles de tractaments de titularitat pública i privada, en consideració la naturalesa de les dades, la finaaixı́ com les organitzacions en què s’agrupin, po- litat i la durada del tractament o dels tractaments den formular codis tipus que estableixin les condi- previstos, el paı́s d’origen i el paı́s de destinació ficions d’organització, règim de funcionament, proce- nal, les normes de dret, generals o sectorials, vigents diments aplicables, normes de seguretat de l’entorn, en el paı́s tercer de què es tracti, el contingut dels 63 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal informes de la Comissió de la Unió Europea, aixı́ ció un Estat membre de la Unió Europea, o un estat com les normes professionals i les mesures de segu- respecte del qual la Comissió de les Comunitats Euretat en vigor en aquests paı̈sos. ropees, en l’exercici de les seves competències, hagi declarat que garanteix un nivell de protecció adeArticle 34. Excepcions quat. El que disposa l’article anterior no és aplicable: TÍTOL VI. Agència de Protecció de Dades3 a) Quan la transferència internacional de dades de caràcter personal resulti de l’aplicació de tractats Article 35. Naturalesa i règim jurı́dic o convenis en què Espanya sigui part. 1. L’Agència de Protecció de Dades és un ens de dret públic, amb personalitat jurı́dica pròpia i pleb) Quan la transferència es faci a efectes de presna capacitat pública i privada, que actua amb plena . tar o sol licitar auxili judicial internacional. independència de les administracions públiques en c) Quan la transferència sigui necessària per a l’exercici de les seves funcions. Es regeix pel que la prevenció o per al diagnòstic mèdics, la presta- disposen aquesta Llei i un estatut propi, que ha de ció d’assistència sanitària o tractament mèdics o la ser aprovat pel Govern. gestió de serveis sanitaris. 2. En l’exercici de les seves funcions públiques, d) Quan es refereixi a transferències dineràries i en defecte del que disposin aquesta Llei i les sed’acord amb la legislació especı́fica. ves disposicions de desplegament, l’Agència de Proe) Quan l’afectat hagi donat el seu consentiment tecció de Dades ha d’actuar d’acord amb la Llei 30/1992, de 26 de novembre, de règim jurı́dic de les inequı́voc a la transferència prevista. administracions públiques i del procediment admif) Quan la transferència sigui necessària per a nistratiu comú. l’execució d’un contracte entre l’afectat i el responEn les seves adquisicions patrimonials i contracsable del fitxer o per a l’adopció de mesures precontació està subjecta al dret privat. tractuals adoptades a petició de l’afectat. 3. Els llocs de treball dels òrgans i serveis que g) Quan la transferència sigui necessària per a integrin l’Agència de Protecció de Dades han de ser la subscripció o l’execució d’un contracte subscrit o ocupats per funcionaris de les administracions púper subscriure, en interès de l’afectat, pel responsabliques i per personal contractat a aquest efecte, ble del fitxer i un tercer. segons la naturalesa de les funcions assignades a h) Quan la transferència sigui necessària o le- cada lloc de treball. Aquest personal està obligat galment exigida per salvaguardar un interès públic. a guardar secret de les dades de caràcter personal Té aquesta consideració la transferència sol.licitada que conegui en l’exercici de la seva funció. per una administració fiscal o duanera per al com4. L’Agència de Protecció de Dades ha de displiment de les seves competències. posar, per al compliment de les seves finalitats, dels i) Quan la transferència sigui necessària per al béns i mitjans econòmics següents: reconeixement, l’exercici o la defensa d’un dret en a) Les assignacions que s’estableixin anualment un procés judicial. amb càrrec als pressupostos generals de l’Estat. j) Quan la transferència s’efectuı̈, a petició d’ub) Els béns i els valors que constitueixin el seu na persona amb interès legı́tim, des d’un registre públic i aquella estigui d’acord amb la finalitat del patrimoni, aixı́ com els productes i les rendes del mateix patrimoni. registre. k) Quan la transferència tingui com a destina- c) Qualsevol altre que legalment li pugui ser atri- 3 Cal tenir en compte el contingut de l’article 79 de la Llei 62/2003, de 30 de desembre, de mesures fiscals, administratives i de l’ordre social (BOE núm. 313, de 31.12.2003, edició catalana en el suplement núm. 3, de 31.1.2004),que es reprodueix a continuació: L’Agència de Protecció de Dades passa a denominar-se Agència Espanyola de Protecció de Dades. Les referències a l’Agència de Protecció de Dades realitzades en la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, aixı́ com en les normes a què es refereix la seva disposició transitòria tercera i qualssevol altres que estiguin en vigor s’han d’entendre alitzades a l’Agència Espanyola de Protecció de Dades. 64 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal buı̈t. petències d’altres òrgans, les instruccions necessàries per adequar els tractaments als principis d’a5. L’Agència de Protecció de Dades ha d’elaborar i aprovar amb caràcter anual el corresponent questa Llei. avantprojecte de pressupost i l’ha de remetre al God) Atendre les peticions i les reclamacions forvern perquè sigui integrat, amb la independència mulades per les persones afectades. deguda, en els pressupostos generals de l’Estat. e) Proporcionar informació a les persones resArticle 36. El director pecte als seus drets en matèria de tractament de les 1. El director de l’Agència de Protecció de Da- dades de caràcter personal. des dirigeix l’Agència i n’exerceix la representació. f) Requerir als responsables i els encarregats dels És nomenat, d’entre els qui componen el Consell tractaments, amb l’audiència prèvia d’aquests, l’aConsultiu, mitjançant reial decret, per un perı́ode dopció de les mesures necessàries per a l’adequació de quatre anys. del tractament de dades a les disposicions d’aquesordenar la cessació dels tracta2. Exerceix les funcions amb plena independèn- ta Llei i, si s’escau, ments i la cancel.lació dels fitxers, quan no s’ajusti cia i objectivitat, i no està subjecte a cap instrucció a les seves disposicions. en l’exercici de les seves funcions. g) Exercir la potestat sancionadora en els termes En tot cas, el director ha d’escoltar el Consell que preveu el tı́tol VII d’aquesta Llei. Consultiu en les propostes que li faci en l’exercici de les seves funcions. h) Emetre informe, amb caràcter preceptiu, sobre els projectes de disposicions generals que des3. El director de l’Agència de Protecció de Dapleguin aquesta Llei. des només cessa abans de l’expiració del perı́ode a què es refereix l’apartat 1, a petició pròpia o per separació acordada pel Govern, amb la instrucció prèvia d’un expedient, en el qual han de ser escoltats necessàriament els altres membres del Consell Consultiu, per incompliment greu de les seves obligacions, incapacitat sobrevinguda per a l’exercici de la seva funció, incompatibilitat o condemna per delicte dolós. 4. El director de l’Agència de Protecció de Dades té la consideració d’alt càrrec i queda en la situació de serveis especials si anteriorment exercia una funció pública. En cas que sigui nomenat per al càrrec algun membre de la carrera judicial o fiscal, també passa a la situació administrativa de serveis especials. Article 37. Funcions i) Recollir dels responsables dels fitxers tota l’ajuda i la informació que consideri necessària per a l’exercici de les seves funcions. j) Vetllar per la publicitat de l’existència dels fitxers de dades amb caràcter personal; a aquest efecte, ha de publicar periòdicament una relació dels fitxers esmentats amb la informació addicional que el director de l’Agència determini. k) Redactar una memòria anual i remetre-la al Ministeri de Justı́cia. l) Exercir el control i adoptar les autoritzacions que siguin procedents en relació amb els moviments internacionals de dades, aixı́ com exercir les funcions de cooperació internacional en matèria de protecció de dades personals. m) Vetllar pel compliment de les disposicions 1. Són funcions de l’Agència de Protecció de que la Llei de la funció estadı́stica pública estaDades: bleix respecte a la recollida de dades estadı́stiques a) Vetllar pel compliment de la legislació sobre i al secret estadı́stic, aixı́ com dictar les instrucciprotecció de dades i controlar-ne l’aplicació, espe- ons necessàries, dictaminar sobre les condicions de cialment pel que fa als drets d’informació, accés, seguretat dels fitxers constituı̈ts amb finalitats exrectificació, oposició i cancel.lació de dades. clusivament estadı́stiques i exercir la potestat a la b) Emetre les autoritzacions que preveuen la Llei qual es refereix l’article 46. o les seves disposicions reglamentàries. n) Totes les altres que li siguin atribuı̈des per normes legals o reglamentàries. c) Dictar, si s’escau, i sens perjudici de les com65 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 2. Les resolucions de l’Agència Espanyola de Protecció de Da- des s’han de fer públiques, una vegada hagin estat notificades als interessats. La publicació s’ha de fer preferentment a través de mitjans informàtics o telemàtics. per les normes reglamentàries que s’estableixin a aquest efecte. Article 39. El Registre General de Protecció de Dades 1. El Registre General de Protecció de Dades és Reglamentàriament es poden establir els termes un òrgan integrat a l’Agència de Protecció de Daen què es dugui a terme la publicitat de les resoludes. cions esmentades. 2. Són objecte d’inscripció en el Registre GeneEl que estableixen els paràgrafs anteriors no és ral de Protecció de Dades: aplicable a les resolucions referents a la inscripció a) Els fitxers de què siguin titulars les adminisd’un fitxer o tractament en el Registre general de protecció de dades ni a aquelles per a les quals s’- tracions públiques. hi resolgui la inscripció dels codis tipus, que regula b) Els fitxers de titularitat privada. l’article 32 d’aquesta Llei orgànica.4 c) Les autoritzacions a què es refereix aquesta Article 38. Consell Consultiu Llei. El director de l’Agència de Protecció de Dades d) Els codis tipus a què es refereix l’article 32 està assessorat per un Consell Consultiu compost d’aquesta Llei. pels membres següents: e) Les dades relatives als fitxers que siguin necesUn diputat, proposat pel Congrés dels Diputats. sàries per a l’exercici dels drets d’informació, accés, rectificació, cancel.lació i oposició. Un senador, proposat pel Senat. 3. Per via reglamentària s’ha de regular el proceUn representant de l’Administració central, diment d’inscripció dels fitxers, tant de titularitat designat pel Govern. pública com de titularitat privada, en el Registre Un representant de l’Administració local, propoGeneral de Protecció de Dades, el contingut de la sat per la Federació Espanyola de Municipis i Pro- inscripció, la seva modificació, la cancel.lació, les revı́ncies. clamacions i els recursos contra les resolucions corUn membre de la Reial Acadèmia de la Història, responents i altres aspectes pertinents. proposat per aquesta. Article 40. Potestat d’inspecció Un expert en la matèria, proposat pel Consell 1. Les autoritats de control poden inspeccionar Superior d’Universitats. els fitxers a què fa referència aquesta Llei i recollir Un representant dels usuaris i consumidors, se- tota la informació que requereixin per al complileccionat de la manera que es prevegi per reglament. ment de les seves comeses. Un representant de cada comunitat autònoma A aquest efecte, poden sol.licitar l’exhibició o que hagi creat una agència de protecció de dades en el seu àmbit territorial, proposat d’acord amb el procediment que estableixi la comunitat autònoma respectiva. l’enviament de documents i dades, i examinar-los en el lloc en què estiguin dipositats, aixı́ com inspeccionar els equips fı́sics i lògics utilitzats per al tractament de les dades, i accedir als locals on esti. Un representant del sector de fitxers privats, per guin instal lats. a la proposta del qual s’ha de seguir el procediment 2. Els funcionaris que exerceixin la inspecció a que es reguli per reglament. què es refereix l’apartat anterior tenen la consideEl funcionament del Consell Consultiu es regeix ració d’autoritat pública en l’exercici de les seves 4 Apartat 2 afegit per l’article 82.1 de la Llei 62/2003, de 30 de desembre, de mesures fiscals, administratives i de l’ordre social (BOE núm. 313, de 31.12.2003, edició catalana en el suplement núm. 3, de 31.1.2004). En relació amb aquest article, vegeu la Instrucció 1/2004, de 22 de desembre, de l’Agència Espanyola de Protecció de Dades sobre publicació de les seves Resolucions (BOE núm. 4, de 5.1.2005). 66 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal comeses. nistració corresponent que adopti les mesures corEstan obligats a guardar secret sobre les infor- rectores que determini en el termini que es fixi exmacions que co193 neguin en l’exercici de les funci- pressament en el requeriment. ons esmentades, fins i tot després d’haver-ne cessat. 2. Si l’Administració pública corresponent no compleix el requeriment formulat, el director de l’AArticle 41. Òrgans corresponents de les cogència de Protecció de Dades pot impugnar la resomunitats autònomes lució adoptada per aquella Administració. 1. Les funcions de l’Agència de Protecció de Da5 des que regula l’article 37, excepte les esmentades TÍTOL VII. Infraccions i sancions en els apartats j), k) i l), i en els apartats f) i g) pel Article 43. Responsables que fa a les transferències internacionals de dades, 1. Els responsables dels fitxers i els encarregats aixı́ com els articles 46 i 49, en relació amb les se- dels tractaments estan subjectes al règim sancionaves competències especı́fiques han de ser exercides, dor que estableix aquesta Llei. quan afectin fitxers de dades de caràcter personal 2. Quan es tracti de fitxers dels quals siguin rescreats o gestionats per les comunitats autònomes ponsables les administracions públiques cal ateniri per l’Administració local del seu àmbit territorise, pel que fa al procediment i les sancions, al que al, pels òrgans corresponents de cada comunitat, disposa l’article 46, apartat 2. que tenen la consideració d’autoritats de control, als quals han de garantir plena independència i ob- Article 44. Tipus d’infraccions jectivitat en l’exercici de la seva comesa. 1. Les infraccions es qualifiquen de lleus, greus 2. Les comunitats autònomes poden crear i o molt greus. mantenir els seus propis registres de fitxers per a 2. Són infraccions lleus: l’exercici de les competències que se’ls reconeix sobre els fitxers. a) No atendre, per motius formals, la sol.licitud . 3. El director de l’Agència de Protecció de Da- de l’interessat de rectificació o cancel lació de les dades pot convocar regularment els òrgans correspo- des personals objecte de tractament quan legalment nents de les comunitats autònomes a efectes de coo- sigui procedent. peració institucional i coordinació de criteris o prob) No proporcionar la informació que sol.liciti cediments d’actuació. El director de l’Agència de l’Agència de Protecció de Dades en l’exercici de les Protecció de Dades i els òrgans corresponents de les competències que té atribuı̈des legalment, en relacomunitats autònomes poden sol.licitar-se mútua- ció amb aspectes no substantius de la protecció de ment la informació necessària per al compliment de dades. les seves funcions. c) No sol.licitar la inscripció del fitxer de daArticle 42. Fitxers de les comunitats autòno- des de caràcter personal en el Registre General de mes en matèria de la seva competència exclu- Protecció de Dades, quan no sigui constitutiu d’insiva fracció greu. 1. Quan el director de l’Agència de Protecció d) Recollir dades de caràcter personal dels made Dades constati que el manteniment o l’ús d’un teixos afectats sense proporcionar-los la informació determinat fitxer de les comunitats autònomes con- que assenyala l’article 5 d’aquesta Llei. travé a algun precepte d’aquesta Llei en matèria de e) Incomplir el deure de secret que estableix l’arla seva competència exclusiva pot requerir a l’Admi5 La disposició addicional vuitena, apartat tres, de la Llei 59/2003, de 19 de desembre, de signatura electrònica (BOE núm. 304, de 20.12.2003, edició catalana en el suplement núm. 1, d’1.1.2004), modifica el segon paràgraf de l’apartat 1 de l’article 43 de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic, que queda redactat de la manera següent:No obstant això, la imposició de sancions per incompliment de les resolucions dictades pels òrgans competents en funció de la matèria o entitat de què es tracti a què es refereixen els paràgrafs a) i b) de l’article 38.2 d’aquesta Llei correspon a l’òrgan que va dictar la resolució incomplerta. Igualment, correspon a l’Agència de Protecció de Dades imposar sancions per la comissió de les infraccions tipificades als articles 38.3 c), d) i i) i 38.4 d), g) i h) d’aquesta Llei. 67 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal ticle 10 d’aquesta Llei, llevat que constitueixi infrac- ves disposicions de desplegament, i no proporcionar ció greu. a l’Agència en el termini escaient tots els documents i les informacions que hagi de rebre o siguin reque3. Són infraccions greus: rits per aquell a aquests efectes. a) Crear fitxers de titularitat pública o iniciar j) L’obstrucció de l’exercici de la funció inspecla recollida de dades de caràcter personal per als tora. k) No inscriure el fitxer de dades de caràcter mateixos fitxers, sense l’autorització de disposició personal al Registre General de Protecció Dades, general, publicada en el Butlletı́ Oficial de l’Estat o quan hagi estat requerit per fer-ho pel director de el diari oficial corresponent. l’Agència de Protecció de Dades. l) Incomplir el b) Crear fitxers de titularitat privada o iniciar deure d’informació que estableixen els articles 5, 28 la recollida de dades de caràcter personal per als i 29 d’aquesta Llei, quan les dades hagin estat recomateixos fitxers amb finalitats diferents de les que llides d’una persona diferent de l’afectat. constitueixen l’objecte legı́tim de l’empresa o enti4. Són infraccions molt greus: tat. a) La recollida de dades en forma enganyosa i c) Recollir dades de caràcter personal sense obfraudulenta. tenir el consentiment exprés de les persones afectades, en els casos en què aquest sigui exigible. b) La comunicació o la cessió de les dades de caràcter personal, llevat dels casos en què estigui d) Tractar les dades de caràcter personal o permès. utilitzar-les posteriorment amb conculcació dels principis i les garanties que estableix aquesta Llei o c) Recollir i tractar les dades de caràcter persoamb incompliment dels preceptes de protecció que nal a què es refereix l’apartat 2 de l’article 7 quan no imposin les disposicions reglamentàries de desplega- hi hagi el consentiment exprés de l’afectat; recollir ment, quan no constitueixi infracció molt greu. i tractar les dades referides a l’apartat 3 de l’article e) Impedir o obstaculizar l’exercici dels drets 7 quan no ho disposi una llei o l’afectat no hi had’accés i oposició i la negativa a facilitar la infor- gi consentit expressament, o violentar la prohibició que conté l’apartat 4 de l’article 7. mació que sigui sol.licitada. d) No cessar en l’ús il.legı́tim dels tractaments f) Mantenir dades de caràcter personal inexactes o no fer les rectificacions o les cancel.lacions de de dades de caràcter personal quan sigui requerit les dades que legalment siguin procedents quan si- per fer-ho pel director de l’Agència de Protecció de guin afectats els drets de les persones que empara Dades o per les persones titulars del dret d’accés. aquesta Llei. e) La transferència temporal o definitiva de dades de caràcter personal que hagin estat objecte de g) La vulneració del deure de guardar secret sotractament o hagin estat recollides per sotmetre-les bre les dades de caràcter personal incorporades a a aquest tractament, amb destinació a paı̈sos que fitxers que continguin dades relatives a la comisno tinguin un nivell de protecció equiparable sense sió d’infraccions administratives o penals, Hisenda l’autorització del director de l’Agència de Protecció Pública, serveis financers, prestació de serveis de solvència patrimonial i crèdit, aixı́ com els altres de Dades. fitxers que continguin un conjunt de dades de caf) Tractar les dades de caràcter personal de maràcter personal suficients per obtenir una avaluació nera il.legı́tima o amb menyspreu dels principis i de la personalitat de l’individu. garanties que els siguin aplicables, quan amb això h) Mantenir els fitxers, locals, programes o s’impedeixi l’exercici dels drets fonamentals o s’aequips que continguin dades de caràcter personal tempti contra aquest exercici. sense les degudes condicions de seguretat que es deg) La vulneració del deure de guardar secret soterminin per la via reglamentària. bre les dades de caràcter personal a què fan referèni) No remetre a l’Agència de Protecció de Dades cia els apartats 2 i 3 de l’article 7, aixı́ com les que les notificacions que preveuen aquesta Llei o les se- hagin estat recollides per a finalitats policials sense el consentiment de les persones afectades. 68 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal h) No atendre o obstaculitzar de manera sis- tar una resolució per establir les mesures que escau temàtica l’exercici dels drets d’accés, rectificació, adoptar perquè cessin o es corregeixin els efectes de cancel.lació o oposició. la infracció. Aquesta resolució s’ha de notificar al i) No atendre de manera sistemàtica el deure le- responsable del fitxer, a l’òrgan del qual depengui gal de notificació de la inclusió de dades de caràcter jeràrquicament i als afectats, si n’hi ha. personal en un fitxer. 6 rticle 45. Tipus de sancions 1. Les infraccions lleus se sancionen amb una multa de 100.000 a 10.000.000 de pessetes. 2. Les infraccions greus se sancionen amb una multa de 10.000.000 a 50.000.000 de pessetes. 2. El director de l’Agència també pot proposar la iniciació d’actuacions disciplinàries, si són procedents. El procediment i les sancions que s’han d’aplicar han de ser les establertes en la legislació sobre règim disciplinari de les administracions públiques. 3. S’han de comunicar a l’Agència les resolucions que es dictin en relació amb les mesures i les 3. Les infraccions molt greus se sancionen amb actuacions a què es refereixen els apartats anteriors. una multa de 50.000.000 a 100.000.000 de pessetes. 4. El director de l’Agència ha de comunicar al 4. La quantitat de les sancions es gradua atenent la naturalesa dels drets personals afectats, el volum Defensor del Poble les actuacions que efectuı̈ i les dels tractaments efectuats, els beneficis obtinguts, resolucions que dicti a l’empara dels apartats anteel grau d’intencionalitat, la reincidència, els danys i riors. perjudicis causats a les persones interessades i a ter- Article 47. Prescripció ceres persones, i qualsevol altra circumstància que 1. Les infraccions molt greus prescriuen al cap sigui rellevant per determinar el grau d’antijuridicide tres anys, les greus al cap de dos anys i les lleus tat i de culpabilitat presents en l’actuació infractora al cap d’un any. concreta. 2. El termini de prescripció es comença a comp5. Si, pel que fa a les circumstàncies concurtar des del dia en què s’hagi comès la infracció. rents, s’aprecia una disminució qualificada de la culpabilitat de l’imputat o de l’antijuridicitat del fet, l’òrgan sancionador ha d’establir la quantitat de la sanció aplicant l’escala relativa a la classe d’infraccions que precedeixi immediatament en gravetat a aquella en què s’integra la considerada en el cas de què es tracti. 3. Interromp la prescripció la iniciació, amb coneixement de l’interessat, del procediment sancionador, i es reprèn el termini de prescripció si l’expedient sancionador està paralitzat durant més de sis mesos per causes no imputables al presumpte infractor. 6. En cap cas es pot imposar una sanció més greu que la que fixa la Llei per a la classe d’infracció en què s’integri la que es pretengui sancionar. 7. El Govern ha d’actualitzar periòdicament la quantitat de les sancions d’acord amb les variacions que experimentin els ı́ndexs de preus. 4. Les sancions imposades per faltes molt greus prescriuen al cap de tres anys, les imposades per faltes greus al cap de dos anys i les imposades per faltes lleus al cap d’un any. 5. El termini de prescripció de les sancions comença a comptar des de l’endemà del dia en què Article 46. Infraccions de les administracions adquireixi fermesa la resolució per la qual s’imposa públiques la sanció. 1. Quan les infraccions a què es refereix l’ar6. La prescripció s’interromp per la iniciació, ticle 44 siguin comeses en fitxers dels quals siguin amb coneixement de l’interessat, del procediment responsables les administracions públiques, el direc- d’execució, i torna a transcórrer el termini si el protor de l’Agència de Protecció de Dades ha de dic- cediment està paralitzat durant més de sis mesos 6 L’import en euros de les sancions establertes en aquest article és el que disposa l’annex de la Resolució del Ministeri de Justı́cia, d’11 de desembre de 2001, de conversió en euros dels valors corresponents als procediments sancionadors establerts en diverses normes i als preus privats (BOE núm. 303, de 19.12.2001). 69 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal per una causa no imputable a l’infractor. del fitxer o adaptar l’existent. Article 48. Procediment sancionador En el cas de fitxers i tractaments no automatitzats, la seva adequació a aquesta Llei orgànica i 1. Per la via reglamentària s’ha d’establir el prol’obligació que preveu el paràgraf anterior s’han de cediment que s’ha de seguir per a la determinació complir en el termini de dotze anys a comptar des de les infraccions i la imposició de les sancions a què del 24 d’octubre de 1995, sens perjudici de l’exercici fa referència aquest tı́tol. dels drets d’accés, rectificació i cancel.lació per part 2. Les resolucions de l’Agència de Protecció de dels afectats. Dades o l’òrgan corresponent de la comunitat autòDisposició addicional segona. Fitxers i Renoma exhaureixen la via administrativa. gistre de població de les administracions pú3. Els procediments sancionadors tramitats per bliques l’Agència Espanyola de Protecció de Dades, en exer1. L’Administració General de l’Estat i les adcici de les potestats que a aquesta atribueixin aquesministracions de les comunitats autònomes poden ta o altres lleis, llevat dels referits a infraccions de sol.licitar a l’Institut Nacional d’Estadı́stica, sense la Llei 32/2003, de 3 de novembre, general de telecomunicacions, tenen una durada màxima de sis el consentiment de l’interessat, una còpia actualitzada del fitxer format amb les dades del nom, els mesos.7 cognoms, el domicili, el sexe i la data de naixement Article 49. Potestat d’immobilització de fit- que consten en els padrons municipals d’habitants i xers en el cens electoral corresponents en els territoris on En els supòsits, constitutius d’infracció molt exerceixin les seves competències, per a la creació greu, d’utilització o cessió il.lı́cita de les dades de de fitxers o registres de població. caràcter personal en què s’impedeixi greument o s’a2. Els fitxers o els registres de població tenen tempti de la mateixa manera contra l’exercici dels com a finalitat la comunicació dels diferents òrdrets dels ciutadans i el lliure desenvolupament de gans de cada Administració pública amb els interesla personalitat que la Constitució i les lleis garantei- sats residents en els territoris respectius, respecte a xen, el director de l’Agència de Protecció de Dades, les relacions juridicoadministratives derivades de les a més d’exercir la potestat sancionadora, pot reque- competències respectives de les administracions púrir als responsables de fitxers de dades de caràcter bliques. personal, tant de titularitat pública com privada, la cessació en la utilització o la cessió il.lı́cita de Disposició addicional tercera. Tractament les dades. Si el requeriment és desatès, l’Agència de dels expedients de les derogades lleis de vaProtecció de Dades pot immobilitzar aquests fitxers, gabunds i malfactors i de perillositat i rehamitjançant resolució motivada, als únics efectes de bilitació social restaurar els drets de les persones afectades. Els expedients especı́ficament instruı̈ts a l’empara de les derogades lleis de vagabunds i malfactors, Disposició addicional primera. Fitxers prei de perillositat i rehabili201 tació social, que conexistents tinguin dades de qualsevol ı́ndole suscepti- bles d’aEls fitxers i els tractaments automatitzats ins- fectar la seguretat, l’honor, la intimitat o la imatge crits o no en el Registre General de Protecció de de les persones, no poden ser consultats sense que Dades s’han d’adequar a aquesta Llei orgànica dins hi hagi consentiment exprés dels afectats, o hagin el termini de tres anys, a comptar des de la seva en- transcorregut cinquanta anys des de la data d’atrada en vigor. En aquest termini, els fitxers de ti- quells. tularitat privada han de ser comunicats a l’Agència En aquest últim cas, l’Administració General de de Protecció de Dades i les administracions públil’Estat, llevat que hi hagi constància expressa de ques, responsables de fitxers de titularitat pública, la mort dels afectats, ha de posar a disposició del han d’aprovar la disposició pertinent de regulació 7 Apartat 3 afegit per l’article 82.2 de la Llei 62/2003, de 30 de desembre, de mesures fiscals, administratives i de l’ordre social (BOE núm. 313, de 31.12.2003, edició catalana en el suplement núm. 3, de 31.1.2004). 70 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal sol.licitant la documentació, i suprimir-hi les dades esmentades en el paràgraf anterior, mitjançant la utilització dels procediments tècnics pertinents en cada cas. Disposició addicional quarta. Modificació de l’article 112.4 de la Llei general tributària seves dades, de qui sigui el responsable del fitxer i de les formes d’exercici dels drets d’accés, rectificació i cancel.lació. ”En tot cas, les dades relatives a la salut només poden ser objecte de tractament amb el consentiment exprés de l’afectat.” Disposició transitòria primera. Tractaments L’apartat quart de l’article 112 de la Llei general creats per convenis internacionals tributària passa a tenir la redacció següent: ”4. La L’Agència de Protecció de Dades és l’organisme cessió d’aquelles dades de caràcter personal, objec- competent per a la protecció de les persones fı́siques te de tractament, que s’ha de fer a l’Administració pel que fa al tractament de dades de caràcter persotributària d’acord amb el que disposen l’article 111, nal respecte dels tractaments establerts en qualsevol els apartats anteriors d’aquest article o una altra conveni internacional del qual Espanya sigui part norma de rang legal, no requereix el consentiment que atribueixi aquesta competència a una autoritat de l’afectat. En aquest àmbit tampoc no és aplica- nacional de control, mentre no es creı̈ una autoritat ble el que, respecte a les administracions públiques, diferent per a aquesta comesa en desplegament del estableix l’apartat 1 de l’article 21 de la Llei orgà- conveni. nica de protecció de dades de caràcter personal.” Disposició transitòria segona. Utilització del Disposició addicional cinquena. Competènci- cens promocional es del defensor del Poble i òrgans autonòmics S’han de desplegar per reglament els procedisemblants ments de formació del cens promocional, d’oposició El que disposa aquesta Llei orgànica s’entén sens a constar-hi, de posada a disposició dels sol.licitants perjudici de les competències del defensor del Poble i de control de les llistes difoses. El reglament ha i dels òrgans anàlegs de les comunitats autònomes. d’establir els terminis per a la posada en operació Disposició addicional sisena. Modificació de del cens promocional. l’article 24.3 de la Llei d’ordenació i supervi- Disposició transitòria tercera. Subsistència sió de les assegurances privades de normes preexistents Es modifica l’article 24.3, paràgraf 2n de la Llei 30/1995, de 8 de novembre, d’ordenació i supervisió de les assegurances privades, amb la redacció següent: L.Les entitats asseguradores poden establir fitxers comuns que continguin dades de caràcter personal per a la liquidació de sinistres i la collaboració estadı́stica actuarial amb la finalitat de permetre la tarifació i la selecció de riscos i l’elaboració d’estudis de tècnica asseguradora. La cessió de dades als fitxers esmentats no requereix el consentiment previ de l’afectat, però sı́ la comunicació a aquest de la possible cessió de les seves dades personals a fitxers comuns per a les finalitats assenyalades amb indicació expressa del responsable perquè es puguin exercir els drets d’accés, rectificació i cancel.lació que preveu la llei. ”També es poden establir fitxers comuns la finalitat dels quals sigui prevenir el frau en l’assegurança sense que sigui necessari el consentiment de l’afectat. No obstant això, en aquests casos és necessària la comunicació a l’afectat, en la primera introducció de les Fins que no es portin a terme les previsions de la disposició final primera d’aquesta Llei, continuen en vigor, amb el seu propi rang, les normes reglamentàries existents i, especialment, els reials decrets 428/1993, de 26 de març; 1332/1994, de 20 de juny, i 994/1999, d’11 de juny, mentre no s’oposin a aquesta Llei. Disposició derogatòria única. Derogació normativa Queda derogada la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal. Disposició final primera. Habilitació per al desplegament reglamentari El Govern ha d’aprovar, o modificar, les disposicions reglamentàries necessàries per a l’aplicació i el desplegament d’aquesta Llei. Disposició final segona. Preceptes amb caràcter de llei ordinària Els tı́tols IV, VI excepte l’últim incı́s del paràgraf 4 de l’article 36 i VII d’aquesta Llei, la dis- 71 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal posició addicional quarta, la disposició transitòria Aquesta Llei entra en vigor en el termini d’un primera i la final primera tenen el caràcter de Llei mes, a comptar de la publicació en el Butlletı́ Oficial ordinària. de l’Estat. Disposició final tercera. Entrada en vigor 72 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 3.4.1 Reial Decret 994/1999, d’11 de juny, pel qual s’aprova el Reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal (BOE 151 de 25.6.1999) Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. CAPı́TULO I.- DISPOSICIONES GENERALES 10. identificació: Procedimiento de reconocimiento de la identidad de un usuario. 11. Autenticación 12. autenticació: Procedimiento de comprobación de la identidad de un usuario. 13. Control del acceso Artı́culo 1.- Ámbito de aplicación y fines. El presente Reglamento tiene por objeto establecer las medidas de ı́ndole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de carácter personal. 14. control d’accés: Mecanismo que en función a la identificación ya autenticada permite acceder a datos o recursos. 15. Contraseña 16. contrasenya: Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario. 17. Incidencia Artı́culo 2.- Definiciones. A efectos de este Reglamento, se entenderá por: 18. incidència: Cualquier anomalı́a que afecte o pudiera afectar a la seguridad de los datos. 1. Sistema de información 19. Soporte 2. sistema d’informació: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. 20. suport: Objeto fı́sico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. 3. Usuario 4. usuari: Sujeto o proceso autorizado para acceder a datos o recursos. 5. Recurso 6. recurs: Cualquier parte componente de un sistema de información. 7. Accesos autorizados 8. accés autoritzat: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. 9. Identificación 21. Responsable de seguridad 22. responsable de seguretat: Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. 23. Copia de respaldo 24. còpia de recolzament: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. Artı́culo 3.- Niveles de seguridad. 1. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. 73 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 2. Dichos niveles se establecen atendiendo a la Artı́culo 6.- Régimen de trabajo fuera de los lonaturaleza de la información tratada, en rela- cales de la ubicación del fichero. ción con la mayor o menor necesidad de gaLa ejecución de tratamiento de datos de carácrantizar la confidencialidad y la integridad de ter personal fuera de los locales de la ubicación del la información. fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá gaArtı́culo 4.- Aplicación de los niveles de seguri- rantizarse el nivel de seguridad correspondiente al dad. tipo de fichero tratado. 1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. Artı́culo 7.- Ficheros temporales. 1. Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento. 2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o pe2. Todo fichero temporal será borrado una vez nales, Hacienda Pública, servicios financieros que haya dejado de ser necesario para los fiy aquellos ficheros cuyo funcionamiento se rija nes que motivaron su creación. por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de niCAPı́TULO II.- MEDIDAS DE SEGURIvel básico, las calificadas como de nivel medio. DAD DE NIVEL BÁSICO Artı́culo 8.- Documento de seguridad. 3. Los ficheros que contengan datos de ideologı́a, religión, creencias, origen racial, salud o vida sexual ası́ como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto. 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artı́culos 17, 18, 19 y 20. 5. Cada uno de los niveles descritos anteriormente tienen la condición de mı́nimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias especı́ficas vigentes. Artı́culo 5.- Acceso a datos a través de redes de comunicaciones. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. 1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sis temas de información. 2. El documento deberá contener, como mı́nimo, los siguientes aspectos: a. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b. Medidas, normas, procedimientos, reglas y estándares encam inados a garantizar el nivel de seguridad exigido en este Reglamento. c. Funciones y obligaciones del personal. d. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e. Procedimiento de notificación, gestión y respuesta ante las incidencias. f. Los procedimientos de realización de copias de respaldo y de recuperación de los datos. 74 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. 4. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Artı́culo 9.- Funciones y obligaciones del personal. 1. Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el artı́culo 8.2.c) 2. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones ası́ como las consecuencias en que pudiera incurrir en caso de incumplimiento. 3. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible. Artı́culo 12.- Control de acceso. 1. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 3. La relación de usuarios a la que se refiere el artı́culo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero. Artı́culo 13.- Gestión de soportes. Artı́culo 10.- Registro de incidencias. El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. Artı́culo 11.- Identificación y autenticación. 1. El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. 2. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 1. Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. 2. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada, por el responsable del fichero. Artı́culo 14. - Copias de respaldo y recuperación.ç 1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 75 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. 3. Los informes de auditorı́a serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos. 3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos. Artı́culo 18.- Identificación y autenticación. CAPı́TULO III.- MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Artı́culo 15.- Documento de seguridad. 1. El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequı́voca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. El documento de seguridad deberá contener, 2. Se limitará la posibilidad de intentar reiteraademás de lo dispuesto en el artı́culo 8 del presente damente el acceso no autorizado al sistema de Reglamento, la identificación del responsable o resinformación. ponsables de seguridad, los controles periódicos que Artı́culo 19.- Control de acceso fı́sico. se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas Exclusivamente el personal autorizado en el doque sea necesario adoptar cuando un soporte vaya cumento de seguridad podrá tener acceso a los loa ser desechado o reutilizado. cales donde se encuentren ubicados los sistemas de información con datos de carácter personal. Artı́culo 16.- Responsable de seguridad. El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento. Artı́culo 17.- Auditorı́a. 1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditorı́a interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. 2. El informe de auditorı́a deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglam ento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. Artı́culo 20.- Gestión de soportes. 1. Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envı́o y la persona responsable de la recepción que deberá estar debidamente autorizada. 2. Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envı́o y la persona responsable de la entrega que deberá estar debidamente autorizada. 3. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario. 76 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 4. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. 3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en ningún caso, la desactivación de los mismos. Artı́culo 21.- Registro de incidencias. 5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. 1. En el registro regulado en el artı́culo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y , en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. 4. El perı́odo mı́nimo de conservación de los datos registrados será de dos años. Artı́culo 25.- Copias de respaldo y recuperación. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en 2. Será necesaria la autorización por escrito del un lugar diferente de aquél en que se encuentren los responsable del fichero para la ejecución de los equipos informáticos que los tratan cumpliendo en procedimientos de recuperación de los datos. todo caso, las medidas de seguridad exigidas en este Reglamento. Artı́culo 22.- Pruebas con datos reales. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado. Artı́culo 26.- Telecomunicaciones. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. CAPı́TULO V.- INFRACCIONES Y CAPı́TULO IV.- MEDIDAS DE SEGU- SANCIONES. RIDAD DE NIVEL ALTO Artı́culo 27.- Infracciones y sanciones. Artı́culo 23.- Distribución de soportes. 1. El incumplimiento de las medidas de s eguLa distribución de los soportes que contengan ridad descritas en el presente Reglamento sedatos de carácter personal se realizará cifrando dirá sancionado de acuerdo con lo establecido chos datos o bien utilizando cualquier otro mecaen los artı́culos 43 y 44 de la Ley Orgánica nismo que garantice que dicha información no sea 5/1992, cuando se trate de ficheros de titulainteligible ni manipulada durante su transporte. ridad privada. El procedimiento a seguir para Artı́culo 24.- Registro de accesos. la imposición de la sanción a la que se refiere el párrafo anterior será el establecido en el 1. De cada acceso se guardarán, como mı́nimo, Real Decreto 1332/1994, de 20 de junio, por la identificación del usuario, la fecha y hora el que se desarrollan determinados aspectos de en que se realizó, el fichero accedido, el tipo la Ley Orgánica 5/1992, de 29 de octubre, de de acceso y si ha sido autorizado o denegado. Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que 2. Cuando se trate de ficheros de los que sean permita identificar el regis tro accedido. responsables las Administraciones Públicas se 77 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artı́culo 45 de la Ley Orgánica 5/1992. ficheros cuando no se cumplan las medidas de seguridad previstas en el presente Reglamento. Artı́culo 28.- Responsables. Disposición transitoria única.- Plazos de implantación de las medidas. Los responsables de los ficheros, sujetos al régimen sancionador de la Ley Orgánica 5/1992, deEn el caso de sistemas de información que se enberán adoptar las medidas de ı́ndole técnica y or- cuentren en funcionamiento a la entrada en vigor ganizativas necesarias que garanticen la seguridad del presente Reglamento, las medidas de seguridad de los datos de carácter personal en los términos de nivel básico previstas en el presente Reglamento establecidos en el presente Reglamento. deberán implantarse en el plazo de seis meses desde CAPı́TULO VI.- COMPETENCIAS DEL su entrada en vigor, las de nivel medio en el plazo DIRECTOR DE LA AGENCIA DE PRO- de un año y las de nivel alto en el plazo de dos años. TECCIÓN DE DATOS Cuando los sistemas de información que se encuentren en funcionamiento no permitan tecnológiArtı́culo 29.- Competencias del Director de la camente la implantación de alguna de las medidas Agencia de Protección de Datos. de seguridad previstas en el presente Reglamento, El Director de la Agencia de Protección de Da- la adecuación de dichos sistemas y la implantación tos podrá, de conformidad con lo establecido en el de las medidas de seguridad deberán realizarse en el artı́culo 36 de la Ley Orgánica 5/1992: plazo máximo de tres años a contar desde la entrada en vigor del presente Reglamento. 1. Dictar, en su caso y sin perjuicio de las comOrden de 31-7-1998 del Ministerio de Justicia petencias de otros órganos, las instrucciones por la que se amplı́a la relación de paı́ses con proprecisas para tección de datos de carácter personal equiparable a 2. Ordenar la cesación de los tratamientos de da- la española, a efectos de transferencia internacional tos de carácter personal y la cancelación de los de datos. 78 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 3.4.2 Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (BOE núm. 17, de 19.1.2008, edició catalana en el suplement núm. 17, de 19.1.2008) (Versió actualitzada a data 29.01.2010) L’actual Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, va adaptar el nostre ordenament al que disposa la Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24 d’octubre de 1995, relativa a la protecció de les persones fı́siques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, i va derogar al seu torn la fins aleshores vigent Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de dades de caràcter personal. La nova Llei, que ha nascut amb una àmplia vocació de generalitat, preveu a l’article 1 que “té per objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones fı́siques, i especialment del seu honor i intimitat personal”. Inclou, per tant, el tractament automatitzat i el no automatitzat de les dades de caràcter personal. A fi de garantir la necessària seguretat jurı́dica en un àmbit tan sensible per als drets fonamentals com el de la protecció de dades, el legislador va declarar subsistents les normes reglamentàries existents i, en especial, els reials decrets 428/1993, de 26 de març, pel qual s’aprova l’Estatut de l’Agència de Protecció de Dades; 1332/1994, de 20 de juny, pel qual es despleguen determinats aspectes de la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal, i 994/1999, d’11 de juny, pel qual s’aprova el Reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal, alhora que va habilitar el Govern per aprovar i modificar les disposicions reglamentàries necessàries per a l’aplicació i el desplegament de la Llei orgànica 15/1999. Protecció de Dades. Aquestes requereixen un desplegament reglamentari amb la peculiaritat que les dues normes s’ordenen vers la tutela no només dels drets de les persones fı́siques, sinó també de les jurı́diques. II Aquest Reglament comparteix amb la Llei orgànica la finalitat de fer front als riscos que per als drets de la personalitat poden suposar la recopilació i el tractament de dades personals. Per això, cal destacar que aquesta norma reglamentària neix amb la vocació de no reiterar els continguts de la norma superior i de desplegar, no només els mandats que conté la Llei orgànica d’acord amb els principis que emanen de la Directiva, sinó també aquells que en aquests anys de vigència de la Llei s’ha demostrat que necessiten més desplegament normatiu. Per tant, s’aprova aquest Reglament partint de la necessitat de dotar de coherència la regulació reglamentària en tot el que es relaciona amb la transposició de la Directiva i de desplegar els aspectes innovadors de la Llei orgànica 15/1999, juntament amb aquells en què l’experiència ha aconsellat un cert de grau de precisió que aporti seguretat jurı́dica al sistema. III El Reglament abraça l’àmbit tutelat abans pels reials decrets 1332/1994, de 20 de juny, i 994/1999, d’11 de juny, tenint en compte la necessitat de fixar criteris aplicables als fitxers i tractaments de dades personals no automatitzats. D’altra banda, l’atribució de funcions a l’Agència Espanyola de Protecció de Dades que fan la Llei 34/2002, d’11 de juliol, D’altra banda, la Llei 34/2002, d’11 de juliol, de de serveis de la societat de la informació i de comerç serveis de la societat de la informació i de comerç electrònic, i la Llei 32/2003, de 3 de novembre, geelectrònic, i la Llei 32/2003, de 3 de novembre, gene- neral de telecomunicacions, obliga a desplegar tamral de telecomunicacions, atribueixen competències bé els procediments per a l’exercici de la potestat en matèria sancionadora a l’Agència Espanyola de sancionadora de l’Agència. 79 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal El Reglament s’estructura en nou tı́tols el con- nen del dret fonamental a la protecció de dades i tingut dels quals desplega els aspectes essencials en “serveixen per a la funció capital que exerceix aquest aquesta matèria. dret fonamental: garantir a la persona un poder de El tı́tol I preveu l’objecte i àmbit d’aplicació del control sobre les seves dades personals, fet que noReglament. Al llarg de la vigència de la Llei orgà- més és possible i efectiu imposant a tercers els dits nica 15/1999 s’ha advertit la conveniència de des- deures de fer”. plegar l’apartat 2 del seu article 2 per aclarir què s’entén per fitxers i tractaments relacionats amb activitats personals o domèstiques, aspecte molt rellevant atès que estan exclosos de la normativa sobre protecció de dades de caràcter personal. D’altra banda, el present Reglament no conté previsions per als tractaments de dades personals a què es refereix l’apartat 3 de l’article 2 de la Llei orgànica, atès que es regeixen per les seves disposicions especı́fiques i pel que especialment preveu, si s’escau, la mateixa Llei orgànica 15/1999. En conseqüència, es manté el règim jurı́dic propi d’aquests tractaments i fitxers. A més, en aquest tı́tol s’aporta un conjunt de definicions que ajuden a la correcta comprensió de la norma, fet que és particularment necessari en un àmbit tan tecnificat com el de la protecció de dades personals. D’altra banda, fixa el criteri que s’ha de seguir en matèria de còmput de terminis amb la finalitat d’homogeneı̈tzar aquesta qüestió evitant distincions que suposen diferències de tracte dels fitxers públics respecte dels privats. El tı́tol II es refereix als principis de la protecció de dades. Revesteix una particular importància la regulació de la manera de captació del consentiment atenent aspectes molt especı́fics com el cas dels serveis de comunicacions electròniques i, molt particularment, la captació de dades dels menors. Aixı́ mateix, s’ofereix el que no es pot definir sinó com un estatut de l’encarregat del tractament, que sens dubte ha de contribuir a clarificar tot el que es relaciona amb aquesta figura. Les previsions en aquest àmbit es completen amb el que disposa el tı́tol VIII en matèria de seguretat en què es dota d’un marc coherent l’actuació de l’encarregat. El tı́tol III s’ocupa d’una qüestió tan essencial com són els drets de les persones en aquest àmbit. Aquests drets d’accés, rectificació, cancel.lació i oposició al tractament, segons ha afirmat el Tribunal Constitucional en la seva sentència número 292/2000, constitueixen el feix de facultats que ema- A continuació, els tı́tols IV a VII permeten clarificar aspectes importants per al tràfic ordinari, com l’aplicació de criteris especı́fics a un determinat tipus de fitxers de titularitat privada que, per la seva transcendència, ho requerien –els relatius a la solvència patrimonial i crèdit i els utilitzats en activitats de publicitat i prospecció comercial–; el conjunt d’obligacions materials i formals que han de conduir els responsables a la creació i inscripció dels fitxers; els criteris i procediments per a la realització de les transferències internacionals de dades, i, finalment, la regulació d’un instrument, el codi tipus, que cada cop té un paper més rellevant com a element dinamitzador del dret fonamental a la protecció de dades. El tı́tol VIII regula un aspecte essencial per a la tutela del dret fonamental a la protecció de dades, la seguretat, que repercuteix sobre múltiples aspectes organitzatius, de gestió i fins i tot d’inversió, en totes les organitzacions que tractin dades personals. La repercussió del deure de seguretat obligava a un rigor particular, ja que en aquesta matèria hi han confluı̈t diferents elements molt rellevants. D’una banda, l’experiència dimanant de l’aplicació del Reial decret 994/1999 permetia conèixer les dificultats que havien enfrontat els responsables i identificar els punts febles i forts de la regulació. De l’altra, es reclamava l’adaptació de la regulació en diferents aspectes. En aquest sentit, el Reglament intenta ser particularment rigorós en l’atribució dels nivells de seguretat, en la fixació de les mesures que correspongui adoptar en cada cas i en la revisió d’aquestes mesures quan això sigui necessari. D’altra banda, ordena amb més precisió el contingut i les obligacions vinculades al manteniment del document de seguretat. A més, s’ha pretès regular la matèria de manera que tingui en compte les múltiples formes d’organització material i personal de la seguretat que es donen en la pràctica. Finalment, es regula un conjunt de mesures destinades als fitxers i tractaments estructurats i no automatitzats que ofereixi als responsables un marc clar d’actuació. 80 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal Finalment, en el tı́tol IX, dedicat als procediments tramitats per l’Agència Espanyola de Protecció de Dades, s’ha optat per dictar normes exclusivament de les especialitats que diferencien els diversos procediments tramitats per l’Agència de les normes generals previstes per als procediments a la Llei 30/1992, de 26 de novembre, de règim jurı́dic de les administracions públiques i del procediment administratiu comú, l’aplicació de la qual es declara supletòria al present Reglament. En virtut d’això, a proposta del ministre de Justı́cia, amb l’aprovació prèvia de la ministra d’Administracions Públiques, d’acord amb el Consell d’Estat i amb la deliberació prèvia del Consell de Ministres en la reunió del dia 21 de desembre de 2007. Social i es relacionin amb l’exercici de les seves competències. 2n Aquells els responsables dels quals siguin les mútues d’accidents de treball i malalties professionals de la Seguretat Social. 3r Aquells que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les caracterı́stiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la seva personalitat o del seu comportament, respecte de les mesures d’aquest nivell que no siguin exigibles conforme al que preveu l’article 4.4 del Reglament de mesures de seguretat dels fitxers automatitzats de dades de caràcter personal, aprovat pel Reial decret 994/1999, d’11 de juny. DISPOSO: b) En el termini d’un any des de la seva entrada en vigor s’han d’implantar les mesures de segureS’aprova el Reglament de desplegament de la tat de nivell mitjà, i en el de divuit mesos des d’aLlei orgànica 15/1999, de 13 de desembre, de pro- quella data, les de nivell alt exigibles en els fitxers tecció de dades de caràcter personal, el text del qual següents: s’inclou a continuació. 1r Aquells que continguin dades derivades d’actes de violència de gènere. DISPOSICIÓ TRANSITÒRIA PRIMEArticle únic. Aprovació del Reglament RA. Adaptació dels codis tipus inscrits en 2n Aquells els responsables dels quals siguin els el Registre General de Protecció de Dades operadors que prestin serveis de comunicacions elecEn el termini d’un any des de l’entrada en vigor tròniques disponibles al públic o explotin xarxes púdel present Reial decret s’han de notificar a l’Agèn- bliques de comunicacions electròniques respecte a cia Espanyola de Protecció de Dades les modifica- les dades de tràfic i a les dades de localització. cions que siguin necessàries en els codis tipus insc) En els altres supòsits, quan el present Reglacrits en el Registre general de protecció de dades ment exigeixi la implantació d’una mesura addiciper adaptar-ne el contingut al que disposa el tı́tol onal, no prevista en el Reglament de mesures de VII d’aquest Reglament. seguretat dels fitxers automatitzats de dades de caDISPOSICIÓ TRANSITÒRIA SEGO- ràcter personal, aprovat pel Reial decret 994/1999, NA. Terminis d’implantació de les mesures d’11 de juny, aquesta mesura s’ha d’implantar en el termini d’un any des de l’entrada en vigor del de seguretat present Reial decret. La implantació de les mesures de seguretat que 2a Respecte dels fitxers no automatitzats que hi preveu el present Reial decret s’ha de produir d’aha en la data d’entrada en vigor del present Reial cord amb les regles següents: decret: 1a Respecte dels fitxers automatitzats que hi ha a) Les mesures de seguretat de nivell bàsic s’en la data d’entrada en vigor del present Reial dehan d’implantar en el termini d’un any des de la cret: seva entrada en vigor. a) En el termini d’un any des de la seva entrada b) Les mesures de seguretat de nivell mitjà s’han en vigor, s’han d’implantar les mesures de seguretat d’implantar en el termini de divuit mesos des de la de nivell mitjà exigibles en els fitxers següents: seva entrada en vigor. 1r Aquells els responsables dels quals siguin les c) Les mesures de seguretat de nivell alt s’han entitats gestores i serveis comuns de la Seguretat 81 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal d’implantar en el termini de dos anys des de la seva competencial entrada en vigor. El tı́tol I, a excepció de l’apartat c) de l’article 3r Els fitxers, tant si són automatitzats com no 4; els tı́tols II, III, VII i VIII, aixı́ com els artiautomatitzats, creats amb posterioritat a la data cles 52, 53.3, 53.4, 54, 55.1, 55.3, 56, 57, 58 i 63.3 d’entrada en vigor del present Reial decret han de del Reglament es dicten a l’empara del que disposa tenir implantades, des del moment de la seva cre- l’article 149.1.1a de la Constitució, que atribueix a ació, la totalitat de les mesures de seguretat que l’Estat la competència exclusiva per a la regulació regula. de les condicions bàsiques que garanteixin la igualDISPOSICIÓ TRANSITÒRIA TERCE- tat de tots els espanyols en l’exercici dels drets i en RA. Règim transitori de les sol.licituds per el compliment dels deures constitucionals. a l’exercici dels drets de les persones DISPOSICIÓ FINAL SEGONA. Entrada en vigor A les sol.licituds per a l’exercici dels drets d’accés, oposició, rectificació i cancel.lació que han estat El present Reial decret entra en vigor al cap de efectuades abans de l’entrada en vigor del present tres mesos des de la publicació ı́ntegra en el Butlletı́ Reial decret, no els és aplicable el mateix Reial de- Oficial de l’Estat. cret, i es regeixen per la normativa anterior. REGLAMENT DE DESPLEGAMENT DISPOSICIÓ TRANSITÒRIA QUAR- DE LA LLEI ORGÀNICA 15/1999, DE 13 TA. Règim transitori dels procediments DE DESEMBRE, DE PROTECCIÓ DE DAAls procediments ja iniciats abans de l’entrada DES DE CARÀCTER PERSONAL en vigor del present Reial decret, no els és aplicable TÍTOL I. Disposicions generals el mateix Reial decret, i es regeixen per la normatiArticle 1. Objecte va anterior. 1. El present Reglament té per objecte el desDISPOSICIÓ TRANSITÒRIA CINQUE- plegament de la Llei orgànica 15/1999, de 13 de NA. Règim transitori de les actuacions prè- desembre, de protecció de dades de caràcter persovies nal. A les actuacions prèvies iniciades amb anteriori2. Aixı́ mateix, el capı́tol III del tı́tol IX d’aquest tat a l’entrada en vigor del present Reial decret, no Reglament desplega les disposicions relatives a l’eels és aplicable el mateix Reial decret, i es regeixen xercici per part de l’Agència Espanyola de Protecció per la normativa anterior. de Dades de la potestat sancionadora, en aplicació El present Reial decret s’ha d’aplicar a les actua- del que disposen la Llei orgànica 15/1999, de 13 de cions prèvies que s’iniciı̈n després de la seva entrada desembre, el tı́tol VII de la Llei 34/2002, d’11 de en vigor. juliol, de serveis de la societat de la informació i de DISPOSICIÓ DEROGATÒRIA ÚNICA. comerç electrònic, i el tı́tol VIII de la Llei 32/2003, de 3 de novembre, general de telecomunicacions. Derogació normativa Queden derogats el Reial decret 1332/1994, de Article 2. Àmbit objectiu d’aplicació 20 de juny, pel qual es despleguen determinats aspectes de la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal; el Reial decret 994/1999, d’11 de juny, pel qual s’aprova el Reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal, i totes les normes del mateix rang o inferior que contradiguin el que disposa el present Reial decret o s’hi oposin. 1. El present Reglament és aplicable a les dades de caràcter personal registrades en suport fı́sic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat. 2. Aquest Reglament no és aplicable als tractaments de dades referides a persones jurı́diques, ni als fitxers que es limitin a incorporar les dades de les persones fı́siques que hi prestin els seus serDISPOSICIÓ FINAL PRIMERA. Tı́tol veis, consistents únicament en el nom i cognoms, les 82 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal funcions o llocs exercits, aixı́ com l’adreça postal o electrònica, telèfon i número de fax professionals. aplicable als fitxers i tractaments següents: a) Als realitzats o mantinguts per persones fı́si3. Aixı́ mateix, les dades relatives a empresaris ques en l’exercici d’activitats exclusivament persoindividuals, quan hi facin referència en la seva qua- nals o domèstiques. litat de comerciants, industrials o naviliers, també Només es consideren relacionats amb activitats s’han d’entendre excloses del règim d’aplicació de la personals o domèstiques els tractaments relatius a protecció de dades de caràcter personal. les activitats que s’inscriuen en el marc de la vida 4. Aquest Reglament no és aplicable a les da- privada o familiar dels particulars. des referides a persones mortes. No obstant això, b) Als sotmesos a la normativa sobre protecció les persones vinculades al mort, per raons familide matèries classificades. ars o anàlogues, es poden dirigir als responsables c) Als establerts per a la investigació del terrodels fitxers o tractaments que continguin dades de la persona morta amb la finalitat de notificar l’òbit, risme i de formes greus de delinqüència organitzada. aportant l’acreditació suficient, i sol.licitar, quan si- No obstant això, el responsable del fitxer ha de comunicar prèviament l’existència del mateix fitxer, gui possible, la cancel.lació de les dades. les seves caracterı́stiques generals i la seva finalitat Article 3. Àmbit territorial d’aplicació a l’Agència Espanyola de Protecció de Dades. 1. Pel present Reglament s’ha de regir qualsevol Article 5. Definicions tractament de dades de caràcter personal: 1. Als efectes que preveu aquest Reglament, a) Quan el tractament s’efectuı̈ en el marc de s’entén per: les activitats d’un establiment del responsable del a) Afectat o interessat : persona fı́sica titular de tractament, sempre que l’establiment estigui ubicat les dades que siguin objecte del tractament. en el territori espanyol. Quan no sigui aplicable el que disposa el paràgraf anterior, però hi ha un b) Cancel.lació: procediment en virtut del qual encarregat del tractament ubicat a Espanya, li són el responsable cessa en l’ús de les dades. La cancelaplicables les normes que conté el tı́tol VIII del pre- lació implica el bloqueig de les dades, consistent sent Reglament. en la identificació i reserva d’aquestes dades amb la finalitat d’impedir-ne el tractament excepte per posar-les a disposició de les administracions públiques, jutges i tribunals, per a l’atenció de les possibles responsabilitats nascudes del tractament i només durant el termini de prescripció de les responsac) Quan el responsable del tractament no estigui bilitats esmentades. Transcorregut aquest termini establert en el territori de la Unió Europea i utilitzi s’ha de procedir a la supressió de les dades. en el tractament de dades mitjans situats en el terc) Cessió o comunicació de dades : tractament ritori espanyol, llevat que aquests mitjans s’utilitzin de dades que suposa la seva revelació a una persona únicament amb fins de tràfic. diferent de l’interessat. En aquest cas, el responsable del tractament ha d) Consentiment de l’interessat : qualsevol made designar un representant establert en el territori nifestació de voluntat, lliure, inequı́voca, especı́fica i espanyol. informada, mitjançant la qual l’interessat consent el 2. Als efectes previstos en els apartats anteri- tractament de dades personals que el concerneixen. ors, s’entén per establiment, amb independència de e) Dada dissociada : la que no permet la identila seva forma jurı́dica, qualsevol instal.lació estable ficació d’un afectat o interessat. que permeti l’exercici efectiu i real d’una activitat. b) Quan al responsable del tractament no establert en el territori espanyol li sigui aplicable la legislació espanyola, segons les normes de dret internacional públic. f) Dades de caràcter personal: qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, El règim de protecció de les dades de caràcter acústica o de qualsevol altre tipus que concerneix personal que estableix el present Reglament no és persones fı́siques identificades o identificables. Article 4. Fitxers o tractaments exclosos 83 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal g) Dades de caràcter personal relacionades amb la salut : les informacions que concerneixen la salut passada, present i futura, fı́sica o mental, d’un individu. En particular, es consideren dades relacionades amb la salut de les persones les referides al seu percentatge de discapacitat i a la seva informació genètica. h) Destinatari o cessionari : la persona fı́sica o jurı́dica, pública o privada o òrgan administratiu, a què es revelin les dades. responsables dels quals siguin els òrgans constitucionals o amb rellevància constitucional de l’Estat o les institucions autonòmiques amb funcions anàlogues a aquests òrgans, les administracions públiques territorials, aixı́ com les entitats o organismes que hi estan vinculats o en depenen i les corporacions de dret públic, sempre que la seva finalitat sigui l’exercici de potestats de dret públic. n) Fitxer no automatitzat : qualsevol conjunt de dades de caràcter personal organitzat de forma També poden ser-ne destinataris els ens sense no automatitzada i estructurat conforme a criteris personalitat jurı́dica que actuı̈n en el tràfic com a especı́fics relatius a persones fı́siques, que permetin accedir sense esforços desproporcionats a les seves subjectes diferenciats. dades personals, tant si aquell és centralitzat, desi) Encarregat del tractament : la persona fı́sica centralitzat o repartit de forma funcional o geogrào jurı́dica, pública o privada, o òrgan administra- fica. tiu que, sol o conjuntament amb altres, tracti dañ) Importador de dades personals : la persona des personals per compte del responsable del tracfı́sica o jurı́dica, pública o privada, o l’òrgan admitament o del responsable del fitxer, com a consenistratiu receptor de les dades en cas de transferènqüència de l’existència d’una relació jurı́dica que l’cia internacional d’aquestes dades a un tercer paı́s, hi vincula i delimita l’àmbit de la seva actuació per tant si és responsable del tractament, encarregada a la prestació d’un servei. del tractament o un tercer. També poden ser encarregats del tractament els o) Persona identificable : qualsevol persona la ens sense personalitat jurı́dica que actuı̈n en el tràfic identitat de la qual es pugui determinar, directacom a subjectes diferenciats. ment o indirectament, mitjançant qualsevol inforj) Exportador de dades personals: la persona mació referida a la seva identitat fı́sica, fisiològica, fı́sica o jurı́dica, pública o privada, o l’òrgan admi- psı́quica, econòmica, cultural o social. Una persona nistratiu situat en el territori espanyol que realitzi, fı́sica no es considera identificable si la dita identiconforme al que disposa el present Reglament, una ficació requereix terminis o activitats desproporciotransferència de dades de caràcter personal a un pa- nats. ı́s tercer. p) Procediment de dissociació : qualsevol track) Fitxer : qualsevol conjunt organitzat de da- tament de dades personals que permeti l’obtenció des de caràcter personal que permeti l’accés a les de dades dissociades. dades d’acord amb uns criteris determinats, sigui q) Responsable del fitxer o del tractament: perquina sigui la forma o modalitat de la seva creació, sona fı́sica o jurı́dica, de naturalesa pública o privaemmagatzematge, organització i accés. da, o òrgan administratiu, que sol o conjuntament l) Fitxers de titularitat privada: els fitxers els amb altres decideixi sobre la finalitat, contingut i responsables dels quals siguin les persones, empre- ús del tractament, encara que no ho realitzi mateses o entitats de dret privat, amb independència de rialment. qui tingui la titularitat del seu capital o de la proTambé poden ser responsables del fitxer o del cedència dels seus recursos econòmics, aixı́ com els tractament els ens sense personalitat jurı́dica que fitxers els responsables dels quals siguin les corpoactuı̈n en el tràfic com a subjectes diferenciats. racions de dret públic, si és que aquests fitxers no estan estrictament vinculats a l’exercici de potestats r) Tercer : la persona fı́sica o jurı́dica, pública o de dret públic que els atribueix la seva normativa privada, o l’òrgan administratiu diferent de l’afectat especı́fica. o interessat, del responsable del tractament, del resm) Fitxers de titularitat pública : els fitxers els ponsable del fitxer, de l’encarregat del tractament i de les persones autoritzades per tractar les dades 84 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal sota l’autoritat directa del responsable del tracta- tractament ocasional o com a pas intermedi durant ment o de l’encarregat del tractament. la realització d’un tractament. També poden ser tercers els ens sense personalih) Identificació : procediment de reconeixement tat jurı́dica que actuı̈n en el tràfic com a subjectes de la identitat d’un usuari. diferenciats. i) Incidència: qualsevol anomalia que afecti o s) Transferència internacional de dades: tracta- pugui afectar la seguretat de les dades. ment de dades que suposa una transmissió d’aquesj) Perfil d’usuari : accessos autoritzats a un grup tes dades fora del territori de l’Espai Econòmic Eud’usuaris. ropeu, tant si constitueix una cessió o comunicació k) Recurs: qualsevol part component d’un sistede dades, com si té per objecte la realització d’un tractament de dades per compte del responsable del ma d’informació. fitxer establert en el territori espanyol. l) Responsable de seguretat: persona o persot) Tractament de dades: qualsevol operació o procediment tècnic, ja sigui automatitzat o no, que permeti la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, modificació, cancel.lació, bloqueig o supressió, aixı́ com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències. nes a les quals el responsable del fitxer ha assignat formalment la funció de coordinar i controlar les mesures de seguretat aplicables. m) Sistema d’informació: conjunt de fitxers, tractaments, programes, suports i, si s’escau, equips utilitzats per al tractament de dades de caràcter personal. 2. En particular, en relació amb el que disposa el tı́tol VIII d’aquest Reglament, s’entén per: n) Sistema de tractament: manera en què s’organitza o utilitza un sistema d’informació. Atenent a) Accessos autoritzats : autoritzacions conce- el sistema de tractament, els sistemes d’informació dides a un usuari per a la utilització dels diversos poden ser automatitzats, no automatitzats o parcirecursos. Si s’escau, han d’incloure les autoritzaci- alment automatitzats. ons o funcions que tingui atribuı̈des un usuari per ñ) Suport: objecte fı́sic que emmagatzema o delegació del responsable del fitxer o tractament o conté dades o documents, o objecte susceptible de del responsable de seguretat. ser tractat en un sistema d’informació i sobre el qual b) Autenticació : procediment de comprovació de la identitat d’un usuari. es poden gravar i recuperar dades. o) Transmissió de documents: qualsevol trasllat, c) Contrasenya : informació confidencial, fre- comunicació, enviament, lliurament o divulgació de qüentment constituı̈da per una cadena de caràcters, la informació que conté. que pot ser usada en l’autenticació d’un usuari o en p) Usuari: subjecte o procés autoritzat per acl’accés a un recurs. cedir a dades o recursos. Tenen la consideració d’ud) Control d’accés : mecanisme que en funció suaris els processos que permeten accedir a dades o de la identificació ja autenticada permet accedir a recursos sense identificació d’un usuari fı́sic. dades o recursos. Article 6. Còmput de terminis e) Còpia de seguretat : còpia de les dades d’un En els supòsits en què aquest Reglament assefitxer automatitzat en un suport que possibiliti nyali un termini per dies, s’han de computar únicarecuperar-les. ment els hàbils. Quan el termini sigui per mesos, f) Document : qualsevol escrit, gràfic, so, imat- s’han de computar de data a data. ge o qualsevol altra classe d’informació que pot ser Article 7. Fonts accessibles al públic tractada en un sistema d’informació com una unitat 1. A efectes de l’article 3, paràgraf j), de la Llei diferenciada. orgànica 15/1999, s’entén que només tenen el caràcg) Fitxers temporals: fitxers de treball creats ter de fonts accessibles al públic: per usuaris o processos que són necessaris per a un 85 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal a) El cens promocional, regulat conforme al que 5. Les dades de caràcter personal han de ser disposa la Llei orgànica 15/1999, de 13 de desembre. exactes i han d’estar posades al dia de forma que b) Les guies de serveis de comunicacions electrò- responguin amb veracitat a la situació actual de niques, en els termes que preveu la seva normativa l’afectat. Si les dades es recullen directament de l’afectat, s’han de considerar exactes les que ell faespecı́fica. ciliti. c) Les llistes de persones pertanyents a grups Si les dades de caràcter personal sotmeses a tracde professionals que continguin únicament les dades tament resulten ser inexactes, del tot o en part, o del nom, tı́tol, professió, activitat, grau acadèmic, incompletes, s’han de cancel.lar i substituir d’ofici adreça professional i indicació de la seva pertinença al grup. L’adreça professional pot incloure les da- per les corresponents dades rectificades o compledes del domicili postal complet, número telefònic, tades en el termini de deu dies des que es tingui número de fax i adreça electrònica. En el cas dels coneixement de la inexactitud, llevat que la legiscol.legis professionals, es poden indicar com a dades lació aplicable al fitxer estableixi un procediment o de pertinença al grup les de número de col.legiat, un termini especı́fic per a això. data d’incorporació i situació d’exercici professioQuan les dades han estat comunicades prèvianal. ment, el responsable del fitxer o tractament ha de notificar al cessionari, en el termini de deu dies, la d) Els diaris i butlletins oficials. rectificació o cancel.lació efectuada, sempre que el e) Els mitjans de comunicació social. cessionari sigui conegut. 2. En tot cas, perquè els supòsits enumerats a En el termini de deu dies des de la recepció de l’apartat anterior puguin ser considerats fonts ac- la notificació, el cessionari que mantingui el tractacessibles al públic, és necessari que la seva consulta ment de les dades ha de procedir a la rectificació i la pugui fer qualsevol persona, no impedida per una cancel.lació notificada. norma limitativa, o sense més exigència que, si s’esAquesta actualització de les dades de caràccau, l’abonament d’una contraprestació. ter personal no requereix cap comunicació a l’inTÍTOL II. Principis de protecció de dades teressat, sense perjudici de l’exercici dels drets per part dels interessats reconeguts a la Llei orgànica CAPÍTOL I. Qualitat de les dades 15/1999, de 13 de desembre. Article 8. Principis relatius a la qualitat de El que disposa aquest apartat s’entén sense perles dades judici de les facultats que als afectats reconeix el 1. Les dades de caràcter personal han de ser tı́tol III d’aquest Reglament. tractades de manera lleial i lı́cita. Es prohibeix la 6. Les dades de caràcter personal s’han de recollida de dades per mitjans fraudulents, deslleials .lar quan han deixat de ser necessàries o per. cancel o il lı́cits. tinents per a la finalitat per a la qual han estat 2. Les dades de caràcter personal només poden sol.licitades o registrades. ser recollides per al compliment de finalitats deterNo obstant això, es poden conservar durant el minades, explı́cites i legı́times del responsable del temps en què es pugui exigir algun tipus de respontractament. sabilitat derivada d’una relació o obligació jurı́dica 3. Les dades de caràcter personal objecte de o de l’execució d’un contracte o de l’aplicació de metractament no es poden fer servir per a finalitats sures precontractuals sol.licitades per l’interessat. incompatibles amb aquelles per a les quals les daUna vegada complert el perı́ode a què es refereides han estat recollides. xen els paràgrafs anteriors, les dades només poden 4. Només poden ser objecte de tractament les ser conservades amb la seva dissociació prèvia, sendades que siguin adequades, pertinents i no exces- se perjudici de l’obligació de bloqueig que preveuen sives en relació amb les finalitats determinades, ex- la Llei orgànica 15/1999, de 13 de desembre, i el plı́cites i legı́times per a les quals s’han obtingut. present Reglament. 86 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 7. Les dades de caràcter personal s’han de trac- preveu l’article 1 de la Llei orgànica 15/1999, de 13 tar de manera que permetin l’exercici del dret d’ac- de desembre. cés, mentre no sigui procedent cancel.lar-les. El tractament o la cessió de les dades siguin neArticle 9. Tractament amb fins estadı́stics, cessaris perquè el responsable del tractament comhistòrics o cientı́fics pleixi un deure que li imposi una de les normes es1. No es considera incompatible, a l’efecte que mentades. preveu l’apartat 3 de l’article anterior, el tractament b) Les dades objecte de tractament o de cessió de les dades de caràcter personal amb fins històrics, figurin en fonts accessibles al públic i el responsable estadı́stics o cientı́fics. del fitxer, o el tercer a qui es comuniquin les daPer tal de determinar els fins a què es refereix des tingui un interès legı́tim per al seu tractament el paràgraf anterior, cal atenir-se a la legislació que o coneixement, sempre que no es vulnerin els drets en cada cas sigui aplicable i, en particular, al que i llibertats fonamentals de l’interessat. disposen la Llei 12/1989, de 9 de maig, reguladora de la funció estadı́stica pública; la Llei 16/1985, de 25 juny, del patrimoni històric espanyol, i la Llei 13/1986, de 14 d’abril, de foment i coordinació general de la investigació cientı́fica i tècnica, i les seves respectives disposicions de desplegament, aixı́ com la normativa autonòmica en aquestes matèries. 2. Per via d’excepció al que disposa l’apartat 6 de l’article anterior, l’Agència Espanyola de Protecció de Dades o, si s’escau, les autoritats de control de les comunitats autònomes poden acordar, prèvia sol.licitud del responsable del tractament i conforme al procediment que estableix la secció segona del capı́tol VII del tı́tol IX del present Reglament, el manteniment ı́ntegre de determinades dades, atesos els seus valors històrics, estadı́stics o cientı́fics d’acord amb les normes a què es refereix l’apartat anterior. Article 10. Supòsits que legitimen el tractament o cessió de les dades No obstant això, les administracions públiques només poden comunicar a l’empara d’aquest apartat les dades recollides de fonts accessibles al públic a responsables de fitxers de titularitat privada quan estiguin autoritzades per fer-ho per una norma amb rang de llei. 3. Les dades de caràcter personal es poden tractar sense necessitat del consentiment de l’interessat quan: a) Es recullin per a l’exercici de les funcions pròpies de les administracions públiques en l’àmbit de les competències que els atribueixi una norma amb rang de llei o una norma de dret comunitari. b) Les sol.liciti el responsable del tractament en ocasió de la subscripció d’un contracte o precontracte o de l’existència d’una relació negocial, laboral o administrativa de la qual sigui part l’afectat i siguin necessaris per al seu manteniment o compliment. c) El tractament de les dades tingui per finalitat protegir un interès vital de l’interessat en els 1. Les dades de caràcter personal només poden termes de l’apartat 6 de l’article 7 de la Llei orgàser objecte de tractament o cessió si l’interessat hi nica 15/1999, de 13 de desembre. ha prestat prèviament el seu consentiment. 4. És possible la cessió de les dades de caràcter 2. No obstant això, és possible el tractament personal sense tenir el consentiment de l’interessat o la cessió de les dades de caràcter personal sense quan: necessitat del consentiment de l’interessat quan: a) La cessió respongui a la lliure i legı́tima aca) Ho autoritzi una norma amb rang de llei o una ceptació d’una relació jurı́dica el desenvolupament, norma de dret comunitari i, en particular, quan es compliment i control de la qual comporti la comudoni un dels supòsits següents: nicació de les dades. En aquest cas la comunicació El tractament o la cessió tinguin per objecte la només és legı́tima quan es limiti a la finalitat que la satisfacció d’un interès legı́tim del responsable del justifiqui. tractament o del cessionari emparat per les normes b) La comunicació que s’ha d’efectuar tingui per esmentades, sempre que no prevalgui l’interès o els destinatari el Defensor del Poble, el ministeri fiscal drets i llibertats fonamentals dels interessats que 87 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal La sol.licitud del consentiment ha de fer referència a un tractament o sèrie de tractaments concrets, amb delimitació de la finalitat per als quals se sollicita, aixı́ com de les restants condicions que concorrin en el tractament o sèrie de tractaments. c) La cessió entre administracions públiques 2. Quan se sol.liciti el consentiment de l’afectat quan es doni un dels supòsits següents: per a la cessió de les seves dades, ha de ser informat Tingui per objecte el tractament de les dades de manera que conegui inequı́vocament la finalitat a què es destinen les dades respecte de la comunicaamb fins històrics, estadı́stics o cientı́fics. ció de les quals se sol.licita el consentiment i el tipus Les dades de caràcter personal les hagi recollit o d’activitat que porta a terme el cessionari. En cas elaborat una administració pública amb destinació contrari, el consentiment és nul. a una altra. 3. Correspon al responsable del tractament la La comunicació es realitzi per a l’exercici de prova de l’existència del consentiment de l’afectat competències idèntiques o que versin sobre les ma- per qualsevol mitjà de prova admissible en dret. teixes matèries. Article 13. Consentiment per al tractament 5. Les dades especialment protegides es poden de dades de menors d’edat tractar i cedir en els termes que preveuen els articles 1. Es pot procedir al tractament de les dades 7 i 8 de la Llei orgànica 15/1999, de 13 de desembre. dels més grans de catorze anys amb el seu consenEn particular, no és necessari el consentiment de timent, excepte en els casos en què la Llei exigeixi l’interessat per a la comunicació de dades personals per a la seva prestació l’assistència dels titulars de sobre la salut, fins i tot a través de mitjans electrò- la pàtria potestat o tutela. En el cas dels menors de nics, entre organismes, centres i serveis del Sistema catorze anys es requereix el consentiment dels pares Nacional de Salut, quan es faci per a l’atenció sa- o tutors. nitària de les persones, conforme al que disposa el 2. En cap cas es poden sol.licitar dades del mecapı́tol V de la Llei 16/2003, de 28 de maig, de conor que permetin obtenir informació sobre els altres hesió i qualitat del Sistema Nacional de Salut. membres del grup familiar, o sobre les caracterı́stiArticle 11. Verificació de dades en sol.licituds ques del mateix grup, com ara les dades relatives a formulades a les administracions públiques l’activitat professional dels progenitors, informació . Quan es formulin sol licituds per mitjans electrò- econòmica, dades sociològiques o qualssevol altres, nics en què l’interessat declari dades personals que sense el consentiment dels titulars d’aquestes dades. . constin en poder de les administracions públiques, No obstant això, es poden sol licitar les dades d’il’òrgan destinatari de la sol.licitud pot efectuar en dentitat i adreça del pare, mare o tutor amb l’única l’exercici de les seves competències les verificacions finalitat d’obtenir l’autorització que preveu l’aparnecessàries per comprovar l’autenticitat de les da- tat anterior. des. 3. Quan el tractament es refereixi a dades de menors d’edat, la informació que s’hi adreci s’ha d’CAPÍTOLII. Consentiment per al tractaexpressar en un llenguatge que els sigui fàcilment ment de les dades i deure d’informació comprensible, amb expressa indicació del que disSecció primera. Obtenció del consentiment posa aquest article. de l’afectat 4. Correspon al responsable del fitxer o tractaArticle 12. Principis generals ment articular els procediments que garanteixin que 1. El responsable del tractament ha d’obtenir s’ha comprovat de manera efectiva l’edat del menor el consentiment de l’interessat per al tractament de i l’autenticitat del consentiment prestat, si s’escau, les seves dades de caràcter personal excepte en els pels pares, tutors o representants legals. supòsits en què el consentiment no sigui exigible Article 14. Forma d’obtenir el consentiment d’acord amb el que disposen les lleis. o els jutges o tribunals o el Tribunal de Comptes o les institucions autonòmiques amb funcions anàlogues al Defensor del Poble o al Tribunal de Comptes i es realitzi en l’àmbit de les funcions que la llei els atribueixi expressament. 88 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 1. El responsable del tractament pot sol.licitar el consentiment de l’interessat a través del procediment que estableix aquest article, excepte quan la Llei li exigeixi l’obtenció del consentiment exprés per al tractament de les dades. ment o control de la relació contractual, ha de permetre a l’afectat que manifesti expressament la seva negativa al tractament o comunicació de dades. En particular, aquest deure s’entén acomplert quan es permeti a l’afectat que marqui una casella 2. El responsable es pot dirigir a l’afectat, l’ha clarament visible i que no estigui ja marcada en el d’informar en els termes previstos en els articles 5 document que se li lliuri per a la subscripció del conde la Llei orgànica 15/1999, de 13 de desembre, i tracte o s’estableixi un procediment equivalent que 12.2 d’aquest Reglament, li ha de concedir un ter- li permeti manifestar la seva negativa al tractament. mini de trenta dies perquè manifesti la seva negativa Article 16. Tractament de dades de facturaal tractament, i l’ha d’advertir que, en cas que no ció i tràfic en serveis de comunicacions eleces pronunciı̈ a aquest efecte, s’entén que consent el tròniques tractament de les seves dades de caràcter personal. La sol.licitud del consentiment per al tractament En particular, quan es tracti de responsables que o cessió de les dades de tràfic, facturació i localitprestin un servei a l’afectat que generi informació zació per part dels subjectes obligats o, si s’escau, periòdica o reiterada, o facturació periòdica, la cola revocació d’aquell, segons la legislació reguladora municació es pot portar a terme de manera conjunde les telecomunicacions s’ha de sotmetre al que esta a aquesta informació o a la facturació del servei tableix la seva normativa especı́fica i, en el que no prestat, sempre que es faci de forma clarament vi- hi sigui contrari al que estableix la present secció. sible. Article 17. Revocació del consentiment 3. En tot cas, és necessari que el responsable 1. L’afectat ha de poder revocar el seu consendel tractament pugui conèixer si la comunicació ha estat objecte de devolució, per qualsevol causa, cas timent a través d’un mitjà senzill, gratuı̈t i que no en què no pot procedir al tractament de les dades impliqui cap ingrés per al responsable del fitxer o tractament. En particular, es considera ajustat al referides a aquest interessat. present Reglament el procediment en què la dita 4. S’ha de facilitar a l’interessat un mitjà senzill negativa es pugui efectuar, entre d’altres, mitjani gratuı̈t per manifestar la seva negativa al tracçant un enviament prefranquejat al responsable del tament de les dades. En particular, es consideren tractament o la trucada a un número telefònic graajustats al present Reglament els procediments en tuı̈t o als serveis d’atenció al públic que aquest ha què la dita negativa es pugui efectuar, entre d’altres, establert. mitjançant un enviament prefranquejat al responsaNo es consideren conformes al que disposa la Llei ble del tractament, la trucada a un número telefònic orgànica 15/1999, de 13 de desembre, els supòsits en gratuı̈t o als serveis d’atenció al públic que aquest què el responsable estableix com a mitjà perquè l’inha establert. teressat pugui manifestar que es nega al tractament 5. Quan se sol.liciti el consentiment de l’inte- l’enviament de cartes certificades o enviaments semressat a través del procediment establert en aquest blants, la utilització de serveis de telecomunicacions article, no és possible tornar-lo a sol.licitar respecte que impliquin una tarifació addicional a l’afectat o dels mateixos tractaments i per a les mateixes finaqualssevol altres mitjans que impliquin un cost adlitats en el termini d’un any a comptar de la data dicional a l’interessat. de l’anterior sol.licitud. 2. El responsable ha de cessar en el tractament Article 15. Sol.licitud del consentiment en el de les dades en el termini màxim de deu dies a compmarc d’una relació contractual per a fins que tar de la recepció de la revocació del consentiment, no s’hi relacionin directament sense perjudici de la seva obligació de bloquejar les Si el responsable del tractament sol.licita el con- dades d’acord amb el que disposa l’article 16.3 de sentiment de l’afectat durant el procés de formació la Llei orgànica 15/1999, de 13 de desembre. d’un contracte per a finalitats que no tinguin una 3. Quan l’interessat ha sol.licitat del responsarelació directa amb el manteniment, desenvolupa89 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal ble del tractament la confirmació del cessament en d’un servei al responsable no es considera comuniel tractament de les seves dades, aquest ha de res- cació de dades, sempre que es compleixi el que estapondre expressament a la sol.licitud. bleixen la Llei orgànica 15/1999, de 13 de desembre, 4. Si les dades han estat cedides prèviament, el i el present capı́tol. responsable del tractament, una vegada revocat el consentiment, ho ha de comunicar als cessionaris, en el termini que preveu l’apartat 2, perquè cessin en el tractament de les dades en cas que encara el mantinguin, d’acord amb l’article 16.4 de la Llei orgànica 15/1999, de 13 de desembre. El servei prestat per l’encarregat del tractament pot tenir o no caràcter remunerat i ser temporal o indefinit. No obstant això, es considera que existeix comunicació de dades quan l’accés tingui per objecte l’establiment d’un nou vincle entre el qui accedeix Secció segona. Deure d’informació a l’inte- a les dades i l’afectat. ressat 2. Quan el responsable del tractament contracti Article 18. Acreditació del compliment del la prestació d’un servei que comporti un tractament deure d’informació de dades personals sotmès al que disposa aquest 1. El deure d’informació a què es refereix l’arti- capı́tol ha de vetllar perquè l’encarregat del traccle 5 de la Llei orgànica 15/1999, de 13 de desembre, tament compleixi les garanties per al compliment s’ha de portar a terme a través d’un mitjà que per- del que disposa aquest Reglament. meti acreditar-ne el compliment, i s’ha de conservar 3. En cas que l’encarregat del tractament desmentre persisteixi el tractament de les dades de l’a- tini les dades a una altra finalitat, les comuniqui o fectat. les utilitzi incomplint les estipulacions del contrac2. El responsable del fitxer o tractament ha te a què es refereix l’apartat 2 de l’article 12 de de conservar el suport en què consti el compliment la Llei orgànica 15/1999, de 13 de desembre, tamdel deure d’informar. Per a l’emmagatzematge dels bé es considera responsable del tractament, i ha de suports, el responsable del fitxer o tractament pot respondre de les infraccions en què ha incorregut utilitzar mitjans informàtics o telemàtics. En par- personalment. ticular pot escanejar la documentació en suport de No obstant això, l’encarregat del tractament no paper, sempre que es garanteixi que en l’esmenta- incorre en responsabilitat quan, prèvia indicació exda automatització no s’ha produı̈t cap alteració dels pressa del responsable, comunica les dades a un tersuports originals. cer designat per aquell, a qui ha encomanat la prestació d’un servei conforme al que preveu el present Article 19. Supòsits especials capı́tol. En els supòsits en què es produeixi una modificació del responsable del fitxer com a conseqüència Article 21. Possibilitat de subcontractació d’una operació de fusió, escissió, cessió global d’ac- dels serveis tius i passius, aportació o transmissió de negoci o 1. L’encarregat del tractament no pot subconbranca d’activitat empresarial, o qualsevol operació tractar amb un tercer la realització de cap tractade reestructuració societària de naturalesa anàloga, ment que li ha encomanat el responsable del tracque preveu la normativa mercantil, no s’ha de pro- tament, llevat que n’ha obtingut autorització per duir cessió de dades, sense perjudici del compliment fer-ho. En aquest cas, la contractació sempre s’ha per part del responsable del que disposa l’article 5 d’efectuar en nom i per compte del responsable del de la Llei orgànica 15/1999, de 13 de desembre. tractament. CAPÍTOL III. Encarregat del tractament 2. No obstant el que disposa l’apartat anterior, és possible fer la subcontractació sense necessitat Article 20. Relacions entre el responsable i d’autorització sempre que es compleixin els requil’encarregat del tractament sits següents: 1. L’accés a les dades per part d’un encarregat a) Que s’especifiquin en el contracte els serveis del tractament que sigui necessari per a la prestació que puguin ser objecte de subcontractació i, si això 90 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal és possible, l’empresa amb la qual s’ha de subcon- tat. tractar. 2. Aquests drets els ha d’exercir: Quan no s’identifiqui en el contracte l’empresa a) L’afectat, acreditant la seva identitat, de la amb la qual s’ha de subcontractar, és necessari que manera que preveu l’article següent. l’encarregat del tractament comuniqui al responsab) Quan l’afectat estigui en situació d’incapable les dades que la identifiquin abans de procedir citat o minoria d’edat que l’impossibiliti l’exercici a la subcontractació. personal d’aquests drets, els pot exercir el seu reb) Que el tractament de dades de caràcter perpresentant legal, cas en què és necessari que acrediti sonal per part del subcontractista s’ajusti a les insaquesta condició. truccions del responsable del fitxer. c) Els drets també es poden exercir a través d’un c) Que l’encarregat del tractament i l’empresa representant voluntari, expressament designat per subcontractista formalitzin el contracte, en els tera l’exercici del dret. En aquest cas ha de constar mes previstos a l’article anterior. clarament acreditada la identitat del representat, En aquest cas, el subcontractista és considerat mitjançant l’aportació d’una còpia del seu docuencarregat del tractament, i li és aplicable el que ment nacional d’identitat o document equivalent, preveu l’article 20.3 d’aquest Reglament. i la representació que li ha conferit. 3. Si durant la prestació del servei és necessari subcontractar-ne una part i aquesta circumstància no s’ha previst en el contracte, s’han de sotmetre al responsable del tractament els aspectes assenyalats a l’apartat anterior. Quan el responsable del fitxer sigui un òrgan de les administracions públiques o de l’Administració de Justı́cia, es pot acreditar la representació per qualsevol mitjà vàlid en dret que deixi constància fidedigna, o mitjançant una declaració en compareiArticle 22. Conservació de les dades per part xença personal de l’interessat. de l’encarregat del tractament 3. Els drets es deneguen quan la sol.licitud la 1. Una vegada complerta la prestació contractual, les dades de caràcter personal han de ser destruı̈des o retornades al responsable del tractament o a l’encarregat que aquest ha designat, com també qualsevol suport o documents en què consti alguna dada de caràcter personal objecte del tractament. formuli una persona diferent de l’afectat i no s’acrediti que la dita persona actua en representació d’aquell. Article 24. Condicions generals per a l’exercici dels drets d’accés, rectificació, cancellació i oposició No pertoca la destrucció de les dades quan hi 1. Els drets d’accés, rectificació, cancel.lació i ha una previsió legal que n’exigeixi la conservació, oposició són drets independents, de tal manera que cas en què s’ha de procedir a la devolució de les da- no es pot entendre que l’exercici de cap d’aquests des amb la garantia del responsable del fitxer de la drets és un requisit previ per a l’exercici dels altres. conservació esmentada. 2. S’ha de concedir a l’interessat un mitjà senzill 2. L’encarregat del tractament ha de conser- i gratuı̈t per a l’exercici dels drets d’accés, rectificavar les dades, degudament bloquejades, mentre no ció, cancel.lació i oposició. es puguin derivar responsabilitats de la seva relació 3. L’exercici per part de l’afectat dels seus drets amb el responsable del tractament. d’accés, rectificació, cancel.lació i oposició és gratuı̈t TÍTOL III. Drets d’accés, cancel.lació i oposició rectificació, i en cap cas pot suposar un ingrés addicional per al responsable del tractament davant el qual s’exerceixen. CAPÍTOL I. Disposicions generals No es consideren conformes amb el que disposen Article 23. Caràcter personalı́ssim la Llei orgànica 15/1999, de 13 de desembre, i el pre1. Els drets d’accés, rectificació, cancel.lació i sent Reglament, els supòsits en què el responsable oposició són personalı́ssims i els ha d’exercir l’afec- del tractament estableix com a mitjà perquè l’in91 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal teressat pugui exercir els seus drets l’enviament de d) Documents acreditatius de la petició que forcartes certificades o semblants, la utilització de ser- mula, si s’escau. veis de telecomunicacions que impliqui una tarifació 2. El responsable del tractament ha de contesaddicional a l’afectat o qualssevol altres mitjans que tar la sol.licitud que se li dirigeixi en tot cas, amb impliquin un cost excessiu per a l’interessat. independència que figurin o no dades personals de 4. Quan el responsable del fitxer o tractament l’afectat en els seus fitxers. disposi de serveis de qualsevol ı́ndole per a l’aten3. En cas que la sol.licitud no compleixi els requició al públic o l’exercici de reclamacions relaciona- sits que especifica l’apartat primer, el responsable des amb el servei prestat o els productes que s’hi del fitxer ha de sol.licitar-ne l’esmena. ofereixen, es pot concedir a l’afectat la possibilitat 4. La resposta ha de ser conforme amb els red’exercir els seus drets d’accés, rectificació, cancellació i oposició a través dels serveis esmentats. En quisits que preveu el present tı́tol per a cada cas. aquest cas, la identitat de l’interessat es considera 5. Correspon al responsable del tractament la acreditada pels mitjans establerts per a la identifi- prova del compliment del deure de resposta a què cació dels clients del responsable en la prestació dels es refereix l’apartat 2, i ha de conservar l’acreditació seus serveis o contractació dels seus productes. del compliment del deure esmentat. 5. El responsable del fitxer o tractament ha d’atendre la sol.licitud d’accés, rectificació, cancel.lació o oposició exercida per l’afectat tot i que aquest no hagi utilitzat el procediment establert especı́ficament a l’efecte per aquell, sempre que l’interessat hagi utilitzat un mitjà que permeti acreditar l’enviament i la recepció de la sol.licitud, i que la mateixa sol.licitud contingui els elements indicats en el paràgraf 1 de l’article següent. 6. El responsable del fitxer ha d’adoptar les mesures oportunes per garantir que les persones de la seva organització que tenen accés a dades de caràcter personal puguin informar del procediment que ha de seguir l’afectat per a l’exercici dels seus drets. 7. L’exercici dels drets d’accés, rectificació, cancel.lació i oposició es pot modular per raons de seguretat pública en els casos i amb l’abast que preveuen les lleis. Article 25. Procediment 8. Quan les lleis aplicables a determinats fitxers 1. Excepte en el supòsit indicat en el paràgraf 4 concrets estableixin un procediment especial per a de l’article anterior, l’exercici dels drets s’ha de por- la rectificació o cancel.lació de les dades que contetar a terme mitjançant una comunicació dirigida al nen, cal atenir-se al que aquelles lleis disposen. responsable del fitxer, que ha de contenir: Article 26. Exercici dels drets davant un ena) Nom i cognoms de l’interessat; fotocòpia del carregat del tractament document nacional d’identitat, o del passaport o un Quan els afectats exerceixin els seus drets daaltre document vàlid que l’identifiqui i, si s’escau, de vant un encarregat del tractament i sol.licitin l’ela persona que el representi, o instruments electròd’ell, l’encarregat ha de nics equivalents; aixı́ com el document o instrument xercici del seu dret davant .licitud al responsable, a fi donar trasllat de la sol electrònic acreditatiu d’aquesta representació. La utilització de signatura electrònica identificativa de que ell mateix la resolgui, llevat que en la relació l’afectat eximeix de la presentació de les fotocòpies existent amb el responsable del tractament es prevegi precisament que l’encarregat ha d’atendre, per del DNI o document equivalent. compte del responsable, les sol.licituds d’exercici per El paràgraf anterior s’entén sense perjudici de part dels afectats dels seus drets d’accés, rectificala normativa especı́fica aplicable a la comprovació ció, cancel.lació o oposició. de dades d’identitat per part de les administracions CAPÍTOL II. Dret d’accés públiques en els procediments administratius. Article 27. Dret d’accés b) Petició en què es concreta la sol.licitud. 1. El dret d’accés és el dret de l’afectat a obc) Adreça als efectes de notificacions, data i sigtenir informació sobre si les seves pròpies dades de natura del sol.licitant. caràcter personal estan sent objecte de tractament, 92 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal la finalitat del tractament que, si s’escau, s’estigui butja, aquell no ha de respondre pels possibles risrealitzant, aixı́ com la informació disponible sobre cos que per a la seguretat de la informació puguin l’origen de les dades esmentades i les comunicacions derivar de l’elecció. realitzades o previstes d’aquestes dades. De la mateixa manera, si el responsable ofereix 2. En virtut del dret d’accés, l’afectat pot ob- un procediment per fer efectiu el dret d’accés i l’atenir del responsable del tractament informació re- fectat exigeix que aquest dret es materialitzi a tralativa a dades concretes, a dades incloses en un de- vés d’un procediment que impliqui un cost desproterminat fitxer, o a totes les seves dades sotmeses a porcionat, quan el procediment ofert pel responsatractament. ble produeix el mateix efecte i garanteix la mateixa No obstant això, quan raons de complexitat es- seguretat, les despeses derivades de la seva elecció pecial ho justifiquin, el responsable del fitxer pot han d’anar a càrrec de l’afectat. sol.licitar de l’afectat que especifiqui els fitxers res- Article 29. Atorgament de l’accés pecte dels quals vulgui exercir el dret d’accés, i a 1. El responsable del fitxer ha de resoldre sobre aquest efecte li ha de facilitar una relació de tots els la sol.licitud d’accés en el termini màxim d’un mes fitxers. a comptar de la recepció de la sol.licitud. Trans3. El dret d’accés és independent del que ator- corregut el termini sense que de forma expressa es guen als afectats les lleis especials i en particular la respongui a la petició d’accés, l’interessat pot interLlei 30/1992, de 26 de novembre, de règim jurı́dic posar la reclamació que preveu l’article 18 de la Llei de les administracions públiques i del procediment orgànica 15/1999, de 13 de desembre. administratiu comú. En cas que no disposi de dades de caràcter persoArticle 28. Exercici del dret d’accés nal dels afectats, igualment els ho ha de comunicar 1. En exercir el dret d’accés, l’afectat pot optar en el mateix termini. per rebre la informació a través d’un o diversos dels 2. Si la sol.licitud és estimada i el responsable següents sistemes de consulta del fitxer: no acompanya la seva comunicació amb la informació a què es refereix l’article 27.1, l’accés s’ha de fer a) Visualització en pantalla. efectiu durant els deu dies següents a la comunicació b) Escrit, còpia o fotocòpia remesa per correu, esmentada. certificat o no. 3. La informació que es proporcioni, sigui quin c) Telecòpia. sigui el suport en què es faciliti, s’ha de donar de . d) Correu electrònic o altres sistemes de comu- manera llegible i intel ligible, sense que es facin servir claus o codis que requereixin l’ús de dispositius nicacions electròniques. mecànics especı́fics. e) Qualsevol altre sistema que sigui adequat a la La informació ha d’incloure totes les dades de configuració o implantació material del fitxer o a la base de l’afectat, les resultants de qualsevol elabonaturalesa del tractament, ofert pel responsable. ració o procés informàtic, aixı́ com la informació 2. Els sistemes de consulta del fitxer que pre- disponible sobre l’origen de les dades, els cessionaveu l’apartat anterior es poden restringir en funció ris de les dades i l’especificació dels concrets usos de la configuració o implantació material del fitxer i finalitats per als quals es van emmagatzemar les o de la naturalesa del tractament, sempre que el dades. que s’ofereixi a l’afectat sigui gratuı̈t i asseguri la Article 30. Denegació de l’accés comunicació escrita, si aquest aixı́ ho exigeix. 1. El responsable del fitxer o tractament pot de3. El responsable del fitxer, quan en faciliti l’accés, ha de complir el que estableix el tı́tol VIII d’a- negar l’accés a les dades de caràcter personal quan el dret ja s’ha exercit en els dotze mesos anteriors a quest Reglament. la sol.licitud, llevat que s’acrediti un interès legı́tim Si aquest responsable ofereix un determinat sis- a aquest efecte. tema per fer efectiu el dret d’accés i l’afectat el re93 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 2. També s’hi pot denegar l’accés en els supòsits en què ho prevegi una llei o una norma de dret comunitari aplicable directament o quan aquesta llei o norma impedeixin al responsable del tractament revelar als afectats el tractament de les dades a què es refereixi l’accés. sonal de l’afectat, igualment l’hi ha de comunicar en el mateix termini. 3. Si les dades rectificades o cancel.lades han es- xactes o incompletes. caràcter personal han de ser conservades durant els terminis que preveuen les disposicions aplicables o, si s’escau, les relacions contractuals entre la persona o l’entitat responsable del tractament i l’interessat que van justificar el tractament de les dades. tat cedides prèviament, el responsable del fitxer ha de comunicar-ne la rectificació o cancel.lació efectuada al cessionari, en un termini idèntic, perquè el 3. En tot cas, el responsable del fitxer ha d’in- cessionari, també en el termini de deu dies comptats formar l’afectat del seu dret a demanar la tutela des de la recepció de la dita comunicació, procedeide l’Agència Espanyola de Protecció de Dades o, si xi, aixı́ mateix, a rectificar o cancel.lar les dades. s’escau, de les autoritats de control de les comuniLa rectificació o cancel.lació efectuada pel cestats autònomes, conforme al que disposa l’article 18 sionari no requereix cap comunicació a l’interessat, de la Llei orgànica 15/1999, de 13 de desembre. sense perjudici de l’exercici dels drets per part dels CAPÍTOL III. Drets de rectificació i cancel- interessats que reconeix la Llei orgànica 15/1999, de lació 13 de desembre. Article 31. Drets de rectificació i cancel.lació Article 33. Denegació dels drets de rectifica. 1. El dret de rectificació és el dret de l’afectat ció i cancel lació per tal que es modifiquin les dades que siguin ine1. La cancel.lació no pertoca quan les dades de 2. L’exercici del dret de cancel.lació dóna lloc al fet que se suprimeixin les dades que siguin inadequades o excessives, sense perjudici del deure de bloqueig conforme a aquest Reglament. En els supòsits en què l’interessat invoqui l’exercici del dret de cancel.lació per revocar el consentiment prestat prèviament, cal atenir-se al que disposen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament. 2. També es poden denegar els drets de rectificació o cancel.lació en els supòsits en què ho prevegi una llei o una norma de dret comunitari aplicable directament o quan aquesta llei o norma impedeixin al responsable del tractament revelar als afectats el tractament de les dades a què es refereixi l’accés. Article 32. Exercici dels drets de rectificació 3. En tot cas, el responsable del fitxer ha d’ini cancel.lació formar l’afectat del seu dret a demanar la tutela 1. La sol.licitud de rectificació ha d’indicar a de l’Agència Espanyola de Protecció de Dades o, si quines dades es refereix i la correcció que s’ha de s’escau, de les autoritats de control de les comunifer, i ha d’anar acompanyada de la documentació tats autònomes, conforme al que disposa l’article 18 justificativa del que se sol.licita. de la Llei orgànica 15/1999, de 13 de desembre. . . En la sol licitud de cancel lació, l’interessat ha CAPÍTOL IV. Dret d’oposició d’indicar a quines dades es refereix, i ha d’aportar a aquest efecte la documentació que ho justifiqui, si Article 34. Dret d’oposició s’escau. El dret d’oposició és el dret de l’afectat per tal que no es porti a terme el tractament de les seves 2. El responsable del fitxer ha de resoldre sobre dades de caràcter personal o se cessi en aquest trac. . la sol licitud de rectificació o cancel lació en el tertament en els supòsits següents: mini màxim de deu dies a comptar de la recepció de . la sol licitud. Transcorregut el termini sense que de a) Quan no sigui necessari el seu consentiment forma expressa es respongui a la petició, l’interessat per al tractament, a conseqüència que hi hagi un pot interposar la reclamació que preveu l’article 18 motiu legı́tim i fundat, referit a la seva situació perde la Llei orgànica 15/1999, de 13 de desembre. sonal concreta, que ho justifiqui, sempre que una llei En cas que no disposi de dades de caràcter per- no disposi el contrari. 94 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal b) Quan es tracti de fitxers que tinguin per finalitat la realització d’activitats de publicitat i prospecció comercial, en els termes que preveu l’article 51 d’aquest Reglament, sigui quina sigui l’empresa responsable de la seva creació. c) Quan el tractament tingui per finalitat l’adopció d’una decisió referida a l’afectat i basada únicament en un tractament automatitzat de les seves dades de caràcter personal, en els termes que preveu l’article 36 d’aquest Reglament. a) S’ha adoptat en el marc de la subscripció o execució d’un contracte a petició de l’interessat, sempre que se li atorgui la possibilitat d’al.legar el que estimi pertinent, a fi de defensar el seu dret o interès. En tot cas, el responsable del fitxer ha d’informar prèviament l’afectat, de forma clara i precisa, que s’han d’adoptar decisions amb les caracterı́stiques que assenyala l’apartat 1 i que ha de cancel.lar les dades en cas que no s’arribi a subscriure finalment el contracte. b) L’autoritzi una norma amb rang de llei que estableixi mesures que garanteixin l’interès legı́tim 1. El dret d’oposició s’ha d’exercir mitjançant de l’interessat. una sol.licitud dirigida al responsable del tractament. Quan l’oposició es faci basant-se en la lle- TÍTOL IV. Disposicions aplicables a detertra a) de l’article anterior, en la sol.licitud s’hi han minats fitxers de titularitat privada de fer constar els motius fundats i legı́tims, relatius CAPÍTOL I. Fitxers d’informació sobre sola una situació personal concreta de l’afectat, que vència patrimonial i crèdit justifiquen l’exercici d’aquest dret. Secció primera. Disposicions generals 2. El responsable del fitxer ha de resoldre sobre Article 37. Règim aplicable la sol.licitud d’oposició en el termini màxim de deu 1. El tractament de dades de caràcter personal dies a comptar de la recepció de la sol.licitud. Transsobre solvència patrimonial i crèdit, que preveu l’acorregut el termini sense que de forma expressa es partat 1 de l’article 29 de la Llei orgànica 15/1999, respongui a la petició, l’interessat pot interposar la de 13 de desembre, s’ha de sotmetre al que estableireclamació que preveu l’article 18 de la Llei orgànica xen, amb caràcter general, la Llei orgànica esmen15/1999, de 13 de desembre. tada i el present Reglament. En cas que no disposi de dades de caràcter perso2. L’exercici dels drets d’accés, rectificació, nal dels afectats, igualment els ho ha de comunicar .lació i oposició, en el cas dels fitxers a què cancel en el mateix termini. es refereix l’apartat anterior, es regeix pel que dis3. El responsable del fitxer o tractament ha posen els capı́tols I a IV del tı́tol III del present d’excloure del tractament les dades relatives a l’aReglament, amb els criteris següents: fectat que exerceixi el seu dret d’oposició o denegar a) Quan la petició d’exercici dels drets es dirimotivadament la sol.licitud de l’interessat en el tergeixi al responsable del fitxer, aquest està obligat a mini que preveu l’apartat 2 d’aquest article. satisfer, en qualsevol cas, els drets esmentats. Article 36. Dret d’oposició a les decisions b) Si la petició es dirigeix a les persones i entibasades únicament en un tractament autotats a què es presta el servei, aquestes només han matitzat de dades de comunicar a l’afectat les dades que s’hi refereixin 1. Els interessats tenen dret a no quedar sotme- que els han estat comunicades i facilitar la identitat sos a una decisió amb efectes jurı́dics sobre ells madel responsable perquè, si s’escau, puguin exercir els teixos o que els afecti de manera significativa, que es seus drets davant d’ell. basi únicament en un tractament automatitzat de 3. De conformitat amb l’apartat 2 de l’article dades destinat a avaluar determinats aspectes de la seva personalitat, com ara el seu rendiment laboral, 29 de la Llei orgànica 15/1999, de 13 de desembre, també es poden tractar les dades de caràcter persocrèdit, fiabilitat o conducta. nal relatives al compliment o incompliment d’obli2. No obstant això, els afectats poden quedar gacions dineràries facilitades pel creditor o per qui sotmesos a una de les decisions que preveu l’apar- actuı̈ pel seu compte o interès. tat 1 quan aquesta decisió: Article 35. Exercici del dret d’oposició 95 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal Aquestes dades s’han de conservar en fitxers creats amb l’exclusiva finalitat de facilitar informació creditı́cia de l’afectat i el seu tractament es regeix pel que disposa el present Reglament i, en particular, per les previsions que conté la secció segona d’aquest capı́tol. Secció segona. Tractament de dades relatives al compliment o incompliment d’obligacions dineràries facilitades pel creditor o per qui actuı̈ pel seu compte o interès Article 39. Informació prèvia a la inclusió El creditor ha d’informar el deutor, en el moment en què se subscrigui el contracte i, en tot cas, en el moment d’efectuar el requeriment a què es refereix la lletra c) de l’apartat 1 de l’article anterior, que en cas que no es produeixi el pagament en el terme previst per fer-ho i es compleixin els requisits que preveu l’article esmentat, les dades relatives a l’impagament es poden comunicar a fitxers relatius al compliment o incompliment d’obligacions dineràries. Article 38. Requisits per a la inclusió de les dades Article 40. Notificació d’inclusió 1. Només és possible incloure en aquests fitxers 1. El responsable del fitxer comú ha de notificar dades de caràcter personal que siguin determinants als interessats respecte dels quals han registrat daper enjudiciar la solvència econòmica de l’afectat, des de caràcter personal, en el termini de trenta disempre que concorrin els requisits següents: es des del dit registre, una referència de les que han a) Existència prèvia d’un deute cert, vençut, exi- estat incloses, i també els ha d’informar de la posd’exercir els seus drets d’accés, rectificació, gible, que ha resultat impagat i respecte del qual sibilitat .lació i oposició, en els termes que estableix la cancel no s’ha interposat una reclamació judicial, arbitral o administrativa, o si es tracta de serveis financers, Llei orgànica 15/1999, de 13 de desembre. no s’ha plantejat una reclamació en els termes que 2. S’ha d’efectuar una notificació per cada deute preveu el Reglament dels comissionats per a la de- concret i determinat amb independència que aquest fensa del client de serveis financers, aprovat pel Re- deute es tingui amb el mateix creditor o amb diverial decret 303/2004, de 20 de febrer. sos. b) Que no han transcorregut sis anys des de la 3. La notificació s’ha d’efectuar a través d’un data en què es va haver de procedir al pagament mitjà fiable, auditable i independent de l’entitat nodel deute o del venciment de l’obligació o del termi- tificadora, que li permeti acreditar l’efectiva realitni concret si aquell és de venciment periòdic. zació dels enviaments. c) Requeriment previ de pagament a qui corres4. En tot cas, és necessari que el responsable del pongui el compliment de l’obligació. fitxer pugui conèixer si la notificació ha estat objecte de devolució per qualsevol causa, cas en què no 2. No es poden incloure en els fitxers d’aquesta naturalesa dades personals sobre les quals hi ha un pot procedir al tractament de les dades que es refeprincipi de prova que, de manera indiciària, contra- reixen a aquest interessat. digui algun dels requisits anteriors. No es consideren suficients perquè no es pugui procedir al tractament de les dades referides a un Aquesta circumstància també determina la cancel.lació cautelar de la dada personal desfavo- interessat les devolucions en què el destinatari ha rable en els supòsits en què ja se n’ha efectuat la refusat rebre l’enviament. inclusió en el fitxer. 5. Si la notificació d’inclusió es retorna, el responsable del fitxer comú ha de comprovar amb l’en3. El creditor o qui actuı̈ pel seu compte o interès està obligat a conservar a disposició del res- titat creditora que l’adreça utilitzada per efectuar ponsable del fitxer comú i de l’Agència Espanyo- la dita notificació es correspon amb la pactada conla de Protecció de Dades la documentació suficient tractualment amb el client als efectes de comunicaque acrediti el compliment dels requisits que esta- cions, i no ha d’efectuar el tractament de les dades bleix aquest article i del requeriment previ a què es si l’entitat esmentada no confirma l’exactitud d’aquesta dada. refereix l’article següent. Article 41. Conservació de les dades 96 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 1. Només poden ser objecte de tractament les Article 44. Exercici dels drets d’accés, rectidades que responguin amb veracitat a la situació ficació, cancel.lació i oposició del deute en cada moment concret. 1. L’exercici dels drets d’accés, rectificació, El pagament o compliment del deute determina cancel.lació i oposició es regeix pel que disposen els la cancel.lació immediata de qualsevol dada que en capı́tols I a IV del tı́tol III d’aquest Reglament, senfa referència. se perjudici del que assenyala el present article. 2. En els restants supòsits, les dades han de ser 2. Quan l’interessat exerciti el seu dret d’accancel.lades quan s’han complert sis anys comptats cés en relació amb la inclusió de les seves dades en a partir del venciment de l’obligació o del termini un fitxer que regula l’article 29.2 de la Llei orgàniconcret, si aquell és de venciment periòdic. ca 15/1999, de 13 de desembre, s’han de tenir en Article 42. Accés a la informació que conté compte les regles següents: el fitxer 1a Si la sol.licitud es dirigeix al titular del fitxer 1. Les dades que conté el fitxer comú només poden ser consultades per tercers quan necessitin enjudiciar la solvència econòmica de l’afectat. En particular, es considera que es dóna la circumstància esmentada en els supòsits següents: comú, aquest ha de comunicar a l’afectat totes les dades que s’hi refereixen que constin en el fitxer. En aquest cas, el titular del fitxer comú, a més de donar compliment al que estableix el present Reglament, ha de facilitar les avaluacions i apreciacions que sobre l’afectat s’han comunicat en els últims a) Que l’afectat mantingui amb el tercer algun tipus de relació contractual que encara no estigui sis mesos i el nom i l’adreça dels cessionaris. vençuda. 2a Si la sol.licitud es dirigeix a qualsevol altra b) Que l’afectat pretengui subscriure amb el ter- entitat que participa en el sistema, ha de comunicar a l’afectat totes les dades que s’hi refereixen a cer un contracte que impliqui el pagament ajornat les quals l’entitat pugui accedir, aixı́ com la identidel preu. tat i adreça del titular del fitxer comú perquè pugui c) Que l’afectat pretengui contractar amb el ter- completar l’exercici del seu dret d’accés. cer la prestació d’un servei de facturació periòdica. 3. Quan l’interessat exerceixi els seus drets de 2. Els tercers han d’informar per escrit les perso- rectificació o cancel.lació en relació amb la inclusió nes en les quals concorrin els supòsits que preveuen de les seves dades en un fitxer que regula l’article les lletres b) i c) precedents del seu dret a consultar 29.2 de la Llei orgànica 15/1999, de 13 de desembre, el fitxer. s’han de tenir en compte les regles següents: En els supòsits de contractació telefònica dels 1a Si la sol.licitud es dirigeix al titular del fitxer productes o serveis a què es refereix el paràgraf an- comú, aquest ha de prendre les mesures oportunes terior, la informació es pot efectuar de forma no per traslladar la dita sol.licitud a l’entitat que ha faescrita, i al tercer li correspon la prova del compli- cilitat les dades, perquè aquesta en dicti resolució. ment del deure d’informar. En cas que el responsable del fitxer comú no hagi rebut contestació per part de l’entitat en el termini Article 43. Responsabilitat de set dies, ha de procedir a fer-ne a la rectificació 1. El creditor o qui actuı̈ pel seu compte o in- o cancel.lació cautelar. terès s’ha d’assegurar que hi concorren tots els re2a Si la sol.licitud es dirigeix a qui ha facilitat quisits exigits en els articles 38 i 39 en el moment de les dades al fitxer comú, ha de procedir a fer-ne a la notificar les dades adverses al responsable del fitxer rectificació o cancel.lació en els seus fitxers i ho ha comú. de notificar al titular del fitxer comú en el termini 2. El creditor o qui actuı̈ pel seu compte o in- de deu dies, i també ha de donar resposta a l’inteterès és responsable de la inexistència o inexactitud ressat en els termes que preveu l’article 33 d’aquest de les dades que ha facilitat perquè s’incloguin en Reglament. el fitxer, en els termes que preveu la Llei orgànica 3a Si la sol.licitud es dirigeix a una altra entitat 15/1999, de 13 de desembre. 97 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal que participa en el sistema que no ha facilitat les dades al fitxer comú, la dita entitat ha d’informar l’afectat sobre aquest fet en el termini màxim de deu dies i, a més, li ha de proporcionar la identitat i adreça del titular del fitxer comú perquè, si s’escau, pugui exercir els seus drets davant d’ell. teixa una activitat publicitària dels seus productes o serveis entre els seus clients, és necessari que el tractament s’empari en algun dels supòsits que preveu l’article 6 de la Llei orgànica 15/1999, de 13 de desembre. 1. Els qui es dediquin a la recopilació d’adreces, repartiment de documents, publicitat, venda a distància, prospecció comercial i altres activitats anàlogues, aixı́ com els qui realitzin aquestes activitats amb la finalitat de comercialitzar els seus propis productes o serveis o els de tercers, només poden utilitzar noms i adreces o altres dades de caràcter personal quan es trobin en un dels casos: següents a) Quan els paràmetres identificatius dels destinataris de la campanya siguin fixats per l’entitat que contracti la campanya, aquesta és responsable del tractament de les dades. 2. En cas que una entitat contracti amb tercers o CAPÍTOL II. Tractaments per a activitats els encarregui la realització d’una determinada camde publicitat i prospecció comercial panya publicitària dels seus productes o serveis, i Article 45. Dades susceptibles de tractament els encomani el tractament de determinades dades, s’han d’aplicar les normes següents: i informació a l’interessat a) Figuren en alguna de les fonts accessibles al públic a què es refereixen la lletra j) de l’article 3 de la Llei orgànica 15/1999, de 13 de desembre, i l’article 7 d’aquest Reglament, i l’interessat no ha manifestat la seva negativa o oposició perquè les seves dades siguin objecte de tractament per a les activitats descrites en aquest apartat. b) Quan els paràmetres siguin determinats únicament per l’entitat o entitats contractades, les entitats esmentades són les responsable del tractament. c) Quan en la determinació dels paràmetres hi intervinguin les dues entitats, les dues són responsables del tractament. 3. En el supòsit que preveu l’apartat anterior, l’entitat que encarregui la realització de la campanya publicitària ha d’adoptar les mesures necessàries per assegurar-se que l’entitat contractada ha sol.licitat les dades complint les exigències que estab) Han estat facilitades pels mateixos interes- bleixen la Llei orgànica 15/1999, de 13 de desembre, sats o obtingudes amb el seu consentiment per a i el present Reglament. finalitats determinades, explı́cites i legı́times rela4. Als efectes que preveu aquest article, es consicionades amb l’activitat de publicitat o prospecció deren paràmetres identificatius dels destinataris les comercial, i s’ha informat els interessats sobre els variables utilitzades per identificar el públic objecsectors especı́fics i concrets d’activitat respecte dels tiu o destinatari d’una campanya o promoció comerquals pot rebre informació o publicitat. cial de productes o serveis que permetin delimitar 2. Quan les dades procedeixin de fonts accessi- els seus destinataris individuals. bles al públic i es destinin a l’activitat de publicitat Article 47. Depuració de dades personals o prospecció comercial, s’ha d’informar l’interessat Quan dos o més responsables per si mateixos o en cada comunicació que se li adreci de l’origen de les dades i de la identitat del responsable del trac- mitjançant encàrrec a tercers pretenguin constatar tament, aixı́ com dels drets que li assisteixen, amb sense consentiment dels afectats, amb fins de promoció o comercialització dels seus productes o serindicació de davant de qui es poden exercir. veis i mitjançant un tractament encreuat dels seus A aquest efecte, l’interessat ha de ser informat fitxers, els qui exerceixin la condició de clients de conforme les seves dades s’han obtingut de fonts l’un o l’altre o de diversos, el tractament efectuat accessibles al públic i de l’entitat de la qual s’han aixı́ constitueix una cessió o comunicació de dades. obtingut. Article 48. Fitxers d’exclusió de l’enviament Article 46. Tractament de dades en campade comunicacions comercials nyes publicitàries Els responsables als quals l’afectat ha manifestat 1. Perquè una entitat pugui realitzar per si ma98 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal la seva negativa a rebre publicitat poden conservar del tı́tol III d’aquest Reglament. les mı́nimes dades imprescindibles per identificar-lo 2. Si el dret s’exerceix davant una entitat que ha i adoptar les mesures necessàries que evitin l’enviaencarregat a un tercer la realització d’una campament de publicitat. nya publicitària, aquella entitat està obligada, en el Article 49. Fitxers comuns d’exclusió de l’en- termini de deu dies, des de la recepció de la comuniviament de comunicacions comercials cació de la sol.licitud d’exercici de drets de l’afectat, . 1. És possible la creació de fitxers comuns, de a comunicar la sol licitud al responsable del fitxer a caràcter general o sectorial, en què siguin objecte fi que atorgui a l’afectat el seu dret en el termini de de tractament les dades de caràcter personal que deu dies des de la recepció de la comunicació, i n’ha siguin necessàries per evitar l’enviament de comu- de donar compte a l’afectat. nicacions comercials als interessats que manifestin El que disposa el paràgraf anterior s’entén sense la seva negativa o oposició a rebre publicitat. perjudici del deure que imposa a l’entitat esmentaA aquest efecte, els fitxers esmentats poden con- da l’apartat anterior, en tot cas, el paràgraf segon tenir les mı́nimes dades imprescindibles per identi- de l’article 5.5 de la Llei orgànica 15/1999, de 13 de desembre. ficar l’afectat. 2. Quan l’afectat manifesti davant un responsable concret la seva negativa o oposició al fet que les seves dades siguin tractades amb fins de publicitat o prospecció comercial, aquell ha de ser informat de l’existència dels fitxers comuns d’exclusió generals o sectorials, aixı́ com de la identitat del seu responsable, el seu domicili i la finalitat del tractament. L’afectat pot sol.licitar la seva exclusió respecte Article 51. Dret d’oposició tractar les dades dels interessats que han manifestat la seva negativa o oposició al tractament de les seves dades amb fins de publicitat o prospecció comercial, en compliment de les restants obligacions que estableixen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament. 2. A aquest efecte, s’ha de concedir a l’interessat un mitjà senzill i gratuı̈t per oposar-se al tractament. En particular, es considera complert el que disposa aquest precepte quan els drets es puguin exercir mitjançant la trucada a un número telefònic gratuı̈t o la remissió d’un correu electrònic. 4. Els qui pretenguin efectuar un tractament relacionat amb activitats de publicitat o prospecció comercial han de consultar prèviament els fitxers comuns que puguin afectar la seva actuació, a fi d’evitar que siguin objecte de tractament les dades dels afectats que han manifestat la seva oposició o negativa a aquest tractament. 3. Quan el responsable del fitxer o tractament disposi de serveis de qualsevol ı́ndole per a l’atenció als seus clients o l’exercici de reclamacions relacionades amb el servei prestat o els productes que s’hi ofereixen, s’ha de concedir a l’afectat la possibilitat d’exercir la seva oposició a través dels serveis esmentats. 1. Els interessats tenen dret a oposar-se, prèvia petició i sense despeses, al tractament de les dades que els concerneixen, cas en què han de ser donats de baixa del tractament, i s’han de cancel.lar les informacions que sobre ells hi figurin, amb la seva simple sol.licitud. L’oposició a què es refereix el paràgraf anterior d’un fitxer o tractament concret o la seva inclusió s’ha d’entendre sense perjudici del dret de l’interesen fitxers comuns d’exclosos de caràcter general o sat a revocar quan ho estimi oportú el consentiment sectorial. que ha atorgat, si s’escau, per al tractament de les 3. L’entitat responsable del fitxer comú pot dades. Article 50. cancel.lació Drets d’accés, rectificació i No es consideren conformes amb el que disposa la Llei orgànica 15/1999, de 13 de desembre, els 1. L’exercici dels drets d’accés, rectificació i supòsits en què el responsable del tractament estacancel.lació en relació amb els tractaments vincu- bleixi com a mitjà perquè l’interessat pugui exercir la seva oposició l’enviament de cartes certificades lats a activitats de publicitat i prospecció comercial s’ha de sotmetre al que preveuen els capı́tols I a IV o enviaments semblants, la utilització de serveis de 99 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal telecomunicacions que impliqui una tarifació addi- i les entitats o organismes vinculats o que en depecional a l’afectat o qualssevol altres mitjans que im- nen, les universitats públiques, aixı́ com els òrgans pliquin un cost excessiu per a l’interessat. de les comunitats autònomes amb funcions anàloEn tot cas, l’exercici per part de l’afectat dels gues als òrgans constitucionals de l’Estat, cal atenirseus drets no pot suposar un ingrés addicional per se a la seva legislació especı́fica. al responsable del tractament davant el qual s’exer4. La creació, modificació o supressió dels fitceixen. xers dels quals siguin responsables les corporacions 4. Si el dret d’oposició s’exerceix davant una de dret públic i que estiguin relacionats amb l’eentitat que ha encomanat a un tercer la realització xercici de potestats de dret públic per aquelles s’ha d’una campanya publicitària, aquella entitat està d’efectuar a través d’un acord dels seus òrgans de obligada a comunicar, en el termini de deu dies des govern, en els termes que estableixin els seus resde la recepció de la comunicació de la sol.licitud d’e- pectius estatuts, i igualment han de ser objecte de xercici de drets de l’afectat, la sol.licitud al respon- publicació en el Butlletı́ Oficial de l’Estat o diari sable del fitxer a fi que atengui el dret de l’afectat oficial corresponent. en el termini de deu dies des de la recepció de la Article 54. Contingut de la disposició o acord comunicació, i n’ha de donar compte a l’afectat. 1. La disposició o acord de creació del fitxer ha El que disposa el paràgraf anterior s’entén sense de contenir els aspectes següents: perjudici del deure que imposa a l’entitat esmentaa) La identificació del fitxer o tractament, que da l’apartat anterior, en tot cas, el paràgraf segon ha d’indicar-ne la denominació, aixı́ com la descripde l’article 5.5 de la Llei orgànica 15/1999, de 13 de ció de la finalitat i usos previstos. desembre. b) L’origen de les dades, amb indicació del colTÍTOL V. Obligacions prèvies al tractament lectiu de persones sobre les quals es pretén obtenir de les dades dades de caràcter personal o que estiguin obligats a CAPÍTOL I. Creació, modificació o supressió subministrar-les, el procediment de recollida de les de fitxers de titularitat pública dades i la seva procedència. Article 52. Disposició o acord de creació, moc) L’estructura bàsica del fitxer, mitjançant la dificació o supressió del fitxer descripció detallada de les dades identificatives, i si 1. La creació, modificació o supressió dels fitxers s’escau, de les dades especialment protegides, aixı́ de titularitat pública només es pot fer per mitjà d’u- com de les restants categories de dades de caràcter na disposició general o acord publicats en el Butlletı́ personal que hi estan incloses i el sistema de tractament utilitzat en la seva organització. Oficial de l’Estat o diari oficial corresponent. d) Les comunicacions de dades previstes, on s’in2. En tot cas, la disposició o acord s’ha de dictar diquin, si s’escau, els destinataris o categories de i publicar amb caràcter previ a la creació, modificadestinataris. ció o supressió del fitxer. e) Les transferències internacionals de dades previstes a tercers paı̈sos, amb indicació, si s’escau, dels 1. Quan la disposició es refereixi als òrgans de paı̈sos de destı́ de les dades. l’Administració General de l’Estat o a les entitats f) Els òrgans responsables del fitxer. o organismes vinculats o que en depenen, ha de revestir la forma d’ordre ministerial o resolució del g) Els serveis o unitats davant els quals es puguin titular de l’entitat o organisme corresponent. exercir els drets d’accés, rectificació, cancel.lació i oposició. 2. En el cas dels òrgans constitucionals de l’Estat, cal atenir-se al que estableixin les seves normes h) El nivell bàsic, mitjà o alt de seguretat que reguladores. sigui exigible, d’acord amb el que estableix el tı́tol 3. En relació amb els fitxers dels quals siguin res- VIII del present Reglament. Article 53. Forma de la disposició o acord ponsables les comunitats autònomes, entitats locals 2. La disposició o acord de modificació del fitxer 100 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal ha d’indicar les modificacions produı̈des en qualse- al procediment que estableix la secció primera del vol dels aspectes a què es refereix l’apartat anterior. capı́tol IV del tı́tol IX del present Reglament. 3. En les disposicions o acords que es dictin per Article 56. Tractament de dades en diferents a la supressió dels fitxers, s’ha d’establir el destı́ que suports s’ha de donar a les dades o, si s’escau, les previsions 1. La notificació d’un fitxer de dades de caràcter que s’adoptin per tal de destruir-les. personal és independent del sistema de tractament CAPÍTOL II. Notificació i inscripció dels fit- que s’utilitza en la seva organització i del suport o xers de titularitat pública o privada suports utilitzats per al tractament de les dades. Article 55. Notificació de fitxers 2. Quan les dades de caràcter personal objecte d’un tractament estiguin emmagatzemades en diferents suports, automatitzats i no automatitzats, o existeixi una còpia en suport no automatitzat d’un fitxer automatitzat, només cal una sola notificació, referida al fitxer esmentat. 1. Qualsevol fitxer de dades de caràcter personal de titularitat pública l’ha de notificar l’òrgan competent de l’Administració responsable del fitxer a l’Agència Espanyola de Protecció de Dades per a la seva inscripció en el Registre General de Protecció de Dades, en el termini de trenta dies des de la Article 57. Fitxers en què hi hagi més d’un publicació de la seva norma o acord de creació en el responsable diari oficial corresponent. Quan es tingui previst crear un fitxer del qual 2. Els fitxers de dades de caràcter personal de siguin responsables simultàniament diverses persotitularitat privada els ha de notificar a l’Agència Es- nes o entitats, cadascuna ha de notificar, a fi de panyola de Protecció de Dades la persona o entitat procedir a la seva inscripció en el Registre General privada que pretengui crear-los, amb caràcter previ de Protecció de Dades i, si s’escau, en els registres a la seva creació. La notificació ha d’indicar la iden- de fitxers creats per les autoritats de control de les tificació del responsable del fitxer, la identificació comunitats autònomes, la creació del fitxer corresdel fitxer, les seves finalitats i els usos previstos, el ponent. sistema de tractament utilitzat en la seva organitza- Article 58. Notificació de la modificació o ció, el col.lectiu de persones sobre el qual s’obtenen supressió de fitxers les dades, el procediment i procedència de les dades, 1. La inscripció del fitxer sempre ha d’estar acles categories de dades, el servei o unitat d’accés, tualitzada. Qualsevol modificació que afecti el conla indicació del nivell de mesures de seguretat bàtingut de la inscripció d’un fitxer s’ha de notificar sic, mitjà o alt exigible, i, si s’escau, la identificació prèviament a l’Agència Espanyola de Protecció de de l’encarregat del tractament on estigui ubicat el Dades o a les autoritats de control autonòmiques fitxer i els destinataris de cessions i transferències competents, a fi de procedir a la seva inscripció en internacionals de dades. el registre corresponent, conforme al que disposa 3. Quan l’obligació de notificar afecti fitxers l’article 55. subjectes a la competència de l’autoritat de con2. Quan el responsable del fitxer decideixi trol d’una comunitat autònoma que ha creat el seu propi registre de fitxers, la notificació s’ha d’efectu- suprimir-lo, ho ha de notificar a l’efecte que es pro. ar a l’autoritat autonòmica competent, que ha de cedeixi a la cancel lació de la inscripció en el registre corresponent. donar trasllat de la inscripció al Registre General de Protecció de Dades. 3. Si es tracta de fitxers de titularitat pública, El Registre General de Protecció de Dades pot sol.licitar de les autoritats de control de les comunitats autònomes el trasllat a què refereix el paràgraf anterior, i procedir, si no n’hi ha, a la inclusió d’ofici del fitxer en el Registre. 4. quan es pretengui la modificació que afecti algun dels requisits que preveu l’article 55 o la supressió del fitxer, s’ha d’haver adoptat, amb caràcter previ a la notificació, la corresponent norma o acord en els termes que preveu el capı́tol I d’aquest tı́tol. La notificació s’ha de realitzar conforme Article 59. Models i suports per a la notifi101 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal cació dificat. 1. L’Agència Espanyola de Protecció de Dades ha de publicar, mitjançant la corresponent resolució del director, els models o formularis electrònics de notificació de creació, modificació o supressió de fitxers, que en permetin la presentació a través de mitjans telemàtics o en suport de paper, aixı́ com, prèvia consulta de les autoritats de protecció de dades de les comunitats autònomes, els formats per a la comunicació telemàtica de fitxers públics per part de les autoritats de control autonòmiques, de conformitat amb el que estableixen els articles 55 i 58 del present Reglament. 3. La inscripció d’un fitxer en el Registre General de Protecció de Dades no eximeix el responsable del compliment de la resta de les obligacions que preveuen la Llei orgànica 15/1999, de 13 de desembre, i altres disposicions reglamentàries. Article 61. Cancel.lació de la inscripció 1. Quan el responsable del tractament, en virtut del que disposa l’article 58 d’aquest Reglament, comuniqui la supressió del fitxer, el director de l’Agència Espanyola de Protecció de Dades, amb la tramitació prèvia del procediment establert en la secció primera del capı́tol IV del tı́tol IX, ha de dic2. Els models o formularis electrònics de noti- tar resolució per la qual s’acordi la cancel.lació de ficació es poden obtenir gratuı̈tament en la pàgina la inscripció corresponent al fitxer. web de l’Agència Espanyola de Protecció de Dades. 2. El director de l’Agència Espanyola de Pro3. El director de l’Agència Espanyola de Protec- tecció de Dades, en exercici de les seves competènció de Dades pot establir procediments simplificats cies, pot acordar d’ofici la cancel.lació de la inscripde notificació tenint en compte les circumstàncies ció d’un fitxer quan hi concorrin circumstàncies que que es donin en el tractament o el tipus de fitxer a acreditin la impossibilitat de la seva existència, amb què es refereixi la notificació. la tramitació prèvia del procediment establert en la Article 60. Inscripció dels fitxers secció segona del capı́tol IV del tı́tol IX d’aquest 1. El director de l’Agència Espanyola de Pro- Reglament. tecció de Dades, a proposta del Registre General de Article 62. Rectificació d’errors Protecció de Dades, ha de dictar resolució per la El Registre General de Protecció de Dades pot qual s’acorda, si s’escau, la inscripció, una vegada rectificar en qualsevol moment, d’ofici o a instància tramitat el procediment que preveu el capı́tol IV del dels interessats, els errors materials, de fet o arittı́tol IX. mètics, que hi pugui haver en les inscripcions, de 2. La inscripció ha de contenir el codi assignat conformitat amb el que disposa l’article 105 de la pel Registre, la identificació del responsable del fit- Llei 30/1992, de 26 de novembre. xer, la identificació del fitxer o tractament, la desArticle 63. Inscripció d’ofici de fitxers de ticripció de la seva finalitat i usos previstos, el sistularitat pública tema de tractament utilitzat en la seva organitza1. En casos excepcionals, amb la finalitat de gació, si s’escau, el col.lectiu de persones sobre el qual s’obtenen les dades, el procediment i procedència rantir el dret a la protecció de dades dels afectats, de les dades, les categories de dades, el servei o uni- i sense perjudici de l’obligació de notificació, es pot tat d’accés, i la indicació del nivell de mesures de procedir a la inscripció d’ofici d’un determinat fitxer seguretat exigible conforme al que disposa l’article en el Registre General de Protecció de Dades. 81. 2. A fi que el que disposa l’apartat anterior sigui aplicable és requisit indispensable que la corresponent norma o acord regulador dels fitxers que continguin dades de caràcter personal s’hagi publicat en el corresponent diari oficial i compleixi els requisits que estableixen la Llei orgànica 15/1999, de 13 En el cas de fitxers de titularitat pública, tamde desembre, i el present Reglament. bé s’ha de fer constar la referència de la disposició 3. El director de l’Agència Espanyola de Protecgeneral per la qual ha estat creat, i si s’escau, moAixı́ mateix s’han d’incloure, si s’escau, la identificació de l’encarregat del tractament on estigui ubicat el fitxer i els destinataris de cessions i transferències internacionals. 102 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal ció de Dades pot acordar, a proposta del Registre General de Protecció de Dades, la inscripció del fitxer de titularitat pública en el Registre, i s’ha de notificar l’acord esmentat a l’òrgan responsable del fitxer. Quan la inscripció es refereixi a fitxers subjectes a la competència de l’autoritat de control d’una comunitat autònoma que ha creat el seu propi registre de fitxers, s’ha de comunicar a l’esmentada autoritat de control autonòmica perquè procedeixi, si s’escau, a la inscripció d’ofici. Article 64. Col.laboració amb les autoritats de control de les comunitats autònomes El director de l’Agència Espanyola de Protecció de Dades pot subscriure amb els directors de les autoritats de control de les comunitats autònomes els convenis de col.laboració o acords que estimi pertinents, a fi de garantir la inscripció en el Registre General de Protecció de Dades dels fitxers sotmesos a la competència de les autoritats autonòmiques esmentades. reixi un nivell adequat de protecció conforme amb el que preveu el capı́tol II d’aquest tı́tol. b) Quan la transferència es trobi en un dels supòsits que preveuen els apartats a) a j) de l’article 34 de la Llei orgànica 15/1999, de 13 de desembre. 3. En tot cas, la transferència internacional de dades ha de ser notificada a fi de procedir a la seva inscripció en el Registre General de Protecció de Dades, conforme al procediment establert en la secció primera del capı́tol IV del tı́tol IX del present Reglament. CAPÍTOL II. Transferències a estats que proporcionin un nivell adequat de protecció Article 67. Nivell adequat de protecció acordat per l’Agència Espanyola de Protecció de Dades 1. No cal l’autorització del director de l’Agència Espanyola de Protecció de Dades a una transferència internacional de dades quan les normes aplicables a l’Estat en què estigui l’importador ofereixin l’esmentat nivell adequat de protecció segons el paTÍTOL VI. Transferències internacionals de rer del director de l’Agència Espanyola de Protecció dades de Dades. CAPÍTOL I. Disposicions generals El caràcter adequat del nivell de protecció que Article 65. Compliment de les disposicions ofereix el paı́s de destı́ s’ha d’avaluar atenent totes de la Llei orgànica 15/1999, de 13 de desem- les circumstàncies que concorrin en la transferència bre o categoria de transferència de dades. En particuLa transferència internacional de dades no ex- lar, s’ha de prendre en consideració la naturalesa clou en cap cas l’aplicació de les disposicions que de les dades, la finalitat i la durada del tractament contenen la Llei orgànica 15/1999, de 13 de desem- o dels tractaments previstos, el paı́s d’origen i el paı́s de destı́ final, les normes de dret, generals o bre, i el present Reglament. sectorials, vigents al paı́s tercer de què es tracti, el Article 66. Autorització i notificació contingut dels informes de la Comissió de la Unió 1. Perquè la transferència internacional de da- Europea, aixı́ com les normes professionals i les medes es pugui considerar conforme amb el que dis- sures de seguretat en vigor en els paı̈sos esmentats. posen la Llei orgànica 15/1999, de 13 de desembre, Les resolucions del director de l’Agència Espai el present Reglament, és necessària l’autorització nyola de Protecció de Dades per les quals s’acordi del director de l’Agència Espanyola de Protecció de que un determinat paı́s proporciona un nivell adeDades, que s’ha d’atorgar en cas que l’exportador quat de protecció de dades s’han de publicar en el aporti les garanties a què es refereix l’article 70 del Butlletı́ Oficial de l’Estat. present Reglament. 2. El director de l’Agència Espanyola de ProtecL’autorització s’ha d’atorgar conforme al proce- ció de Dades ha d’acordar la publicació de la relació diment que estableix la secció primera del capı́tol V de paı̈sos el nivell de protecció del quals ha estat del tı́tol IX d’aquest Reglament. considerat equiparable conforme al que disposa l’apartat anterior. 2. L’autorització no és necessària: a) Quan l’Estat en què estigui l’importador ofe- Aixı́ mateix, aquesta llista s’ha de publicar i 103 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal mantenir actualitzada a través de mitjans informà- proporcionin un nivell adequat de protecció tics o telemàtics. Article 70. Transferències subjectes a autoArticle 68. Nivell adequat de protecció de- rització del director de l’Agència Espanyola clarat per la Decisió de la Comissió Europea de Protecció de Dades No és necessària l’autorització del director de l’Agència Espanyola de Protecció de Dades per a la realització d’una transferència internacional de dades que tingui per importador una persona o entitat, pública o privada, situada en el territori d’un Estat respecte del qual la Comissió Europea ha declarat l’existència d’un nivell adequat de protecció. 1. Quan la transferència tingui per destı́ un Estat respecte del qual la Comissió Europea no ha declarat que existeix un nivell adequat de protecció o el director de l’Agència Espanyola de Protecció de Dades no ho considera, és necessari sol.licitar l’autorització del director de l’Agència Espanyola de Protecció de Dades. Article 69. Suspensió temporal de les transferències L’autorització de la transferència s’ha de tramitar conforme al procediment establert en la secció primera del capı́tol V del tı́tol IX del present Re1. En els supòsits que preveuen els articles precedents, el director de l’Agència Espanyola de Pro- glament. tecció de Dades, en ús de la potestat que li atorga 2. L’autorització pot ser atorgada en cas que el l’article 37.1.f) de la Llei orgànica 15/1999, de 13 responsable del fitxer o tractament aporti un conde desembre, pot acordar, amb l’audiència prèvia tracte escrit, subscrit entre l’exportador i l’imporde l’exportador, la suspensió temporal de la trans- tador, en el qual constin les necessàries garanties ferència de dades cap a un importador situat en un de respecte per la protecció de la vida privada dels tercer Estat del qual s’ha declarat l’existència d’un afectats i els seus drets i llibertats fonamentals i es nivell adequat de protecció, quan hi concorri alguna garanteixi l’exercici dels seus drets respectius. de les circumstàncies següents: A aquest efecte, es considera que estableixen les a) Que les autoritats de protecció de dades de garanties adequades els contractes que se subscril’Estat importador o qualsevol altra de competent, guin d’acord amb el que preveuen les decisions de en cas que no existeixin les primeres, resolguin que la Comissió Europea 2001/497/CE, de 15 de juny l’importador ha vulnerat les normes de protecció de de 2001, 2002/16/CE, de 27 de desembre de 2001, i dades que estableix el seu dret intern. 2004/915/CE, de 27 de desembre de 2004, o el que b) Que hi hagi indicis racionals que s’estan vul- disposin les decisions de la Comissió que donin comnerant les normes o, si s’escau, els principis de pro- pliment al que estableix l’article 26.4 de la Directiva tecció de dades per part de l’entitat importadora 95/46/CE. de la transferència i que les autoritats competents a l’Estat on estigui l’importador no han adoptat o no han d’adoptar en el futur les mesures oportunes per resoldre el cas en qüestió, situació de la qual els ha advertit l’Agència Espanyola de Protecció de Dades. En aquest cas es pot suspendre la transferència quan la seva continuació pugui generar un risc imminent de greu perjudici als afectats. 2. La suspensió s’ha d’acordar amb la tramitació prèvia del procediment que estableix la secció segona del capı́tol V del tı́tol IX del present Reglament. En aquests casos, la decisió del director de l’Agència Espanyola de Protecció de Dades s’ha de notificar a la Comissió Europea. 3. En el supòsit que preveu l’apartat anterior, el director de l’Agència Espanyola de Protecció de Dades pot denegar o, en ús de la potestat que li atorga l’article 37.1.f) de la Llei orgànica 15/1999, de 13 de desembre, suspendre temporalment, prèvia audiència de l’exportador, la transferència, quan es doni alguna de les circumstàncies següents: a) Que la situació de protecció dels drets fonamentals i llibertats públiques al paı́s de destı́ o la seva legislació impedeixin garantir el compliment ı́ntegre del contracte i l’exercici per part dels afectats dels drets que el contracte garanteix. b) Que l’entitat destinatària hagi incomplert prèviament les garanties establertes en clàusules CAPÍTOL III. Transferències a estats que no contractuals d’aquest tipus. 104 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal c) Que hi hagi indicis racionals que les garanties reixen. ofertes pel contracte no estan sent respectades per A aquest efecte, han de contenir regles o estànl’importador o no ho seran. dards especı́fics que permetin harmonitzar els tracd) Que hi ha indicis racionals que els mecanis- taments de dades efectuats pels adherits, facilitar mes d’aplicació del contracte no són efectius o no l’exercici dels drets dels afectats i afavorir el comho seran. pliment del que disposen la Llei orgànica 15/1999, e) Que la transferència, o la seva continuació, en de 13 de desembre, i el present Reglament. cas que s’hagi iniciat, pugui crear una situació de 2. Els codis tipus tenen el caràcter de codis derisc de dany efectiu als afectats. ontològics o de bona pràctica professional i són vinculants per als qui s’hi adhereixin. La suspensió s’ha d’acordar amb la prèvia tramitació del procediment que estableix la secció segona Article 72. Iniciativa i àmbit d’aplicació del capı́tol V del tı́tol IX del present Reglament. 1. Els codis tipus tenen caràcter voluntari. Les resolucions del director de l’Agència Espanyola de Protecció de Dades per les quals es denegui o se suspengui una transferència internacional de dades en virtut de les causes a què es refereix aquest apartat s’han de notificar a la Comissió de les Comunitats Europees quan aixı́ sigui exigible. 2. Els codis tipus de caràcter sectorial es poden referir a la totalitat o a una part dels tractaments portats a terme per entitats pertanyents a un mateix sector, i han de ser formulats per organitzacions representatives del sector esmentat, almenys en el seu àmbit territorial d’aplicació, i sense perjudici 4. També es pot atorgar l’autorització per a la de la potestat de les entitats esmentades d’ajustar transferència internacional de dades en el si de grups el codi tipus a les seves peculiaritats. multinacionals d’empreses quan aquests grups ha3. Els codis tipus promoguts per una empresa gin adoptat normes o regles internes en què constin s’han de referir a la totalitat dels tractaments que les necessàries garanties de respecte per la protecció porta a terme la mateixa empresa. de la vida privada i el dret fonamental a la protecció 4. Les administracions públiques i les corpode dades dels afectats i es garanteixi, aixı́ mateix, el racions de dret públic poden adoptar codis tipus compliment dels principis i l’exercici dels drets que d’acord amb el que estableixen les normes que els reconeix la Llei orgànica 15/1999, de 13 de desemsiguin aplicables. bre, i el present Reglament. En aquest cas, perquè sigui procedent l’autorit- Article 73. Contingut zació del director de l’Agència Espanyola de Pro1. Els codis tipus han d’estar redactats en tertecció de Dades és necessari que les normes o regles mes clars i accessibles. siguin vinculants per a les empreses del grup i exi2. Els codis tipus han de respectar la normagibles conforme a l’ordenament jurı́dic espanyol. tiva vigent i incloure, com a mı́nim, amb grau de En tot cas, l’autorització del director de l’Agèn- precisió suficient: cia Espanyola de Protecció de Dades implica l’exigia) La delimitació clara i precisa del seu àmbit bilitat del que preveuen les normes o regles internes d’aplicació, les activitats a què el codi es refereix i tant per l’Agència com pels afectats les dades dels els tractaments que hi estan sotmesos. quals hagin estat objecte de tractament. b) Les previsions especı́fiques per a l’aplicació TÍTOL VII. Codis tipus dels principis de protecció de dades. Article 71. Objecte i naturalesa c) L’establiment d’estàndards homogenis per al 1. Els codis tipus a què es refereix l’article 32 de compliment per part dels adherits al codi de les oblila Llei orgànica 15/1999, de 13 de desembre, tenen gacions que estableix la Llei orgànica 15/1999, de per objecte adequar el que estableixen l’esmentada 13 de desembre. Llei orgànica i el present Reglament a les peculiad) L’establiment de procediments que facilitin ritats dels tractaments efectuats pels qui s’hi adheals afectats l’exercici dels seus drets d’accés, rectifi105 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal cació, cancel.lació i oposició. codis tipus e) La determinació de les cessions i transferèn1. Els codis tipus han d’incloure procediments cies internacionals de dades que, si s’escau, es pre- de supervisió independents per garantir el complivegin, amb indicació de les garanties que s’hagin ment de les obligacions assumides pels adherits, i d’adoptar. establir un règim sancionador adequat, eficaç i disf) Les accions formatives en matèria de protecció suasiu. de dades dirigides als qui les tractin, especialment quant a la seva relació amb els afectats. 2. El procediment que es prevegi ha de garantir: a) Clàusules tipus per a l’obtenció del consentiment dels afectats per al tractament o cessió de les seves dades. c) El principi de contradicció. a) La independència i imparcialitat de l’òrgan g) Els mecanismes de supervisió a través dels responsable de la supervisió. quals es garanteixi que els adherits compleixen el b) La senzillesa, accessibilitat, celeritat i gratuı̈que estableix el codi tipus, en els termes previstos tat per a la presentació de queixes i reclamacions daa l’article 74 d’aquest Reglament. vant l’òrgan esmentat pels eventuals incompliments 3. En particular, el codi ha de contenir: del codi tipus. d) Una graduació de sancions que permeti ajustar-les a la gravetat de l’incompliment. Aquesb) Clàusules tipus per informar els afectats del tes sancions han de ser dissuasives i poden implitractament, quan les dades no s’obtinguin dels ma- car la suspensió de l’adhesió al codi o l’expulsió de teixos afectats. l’entitat adherida. Aixı́ mateix, pot establir-se, si c) Models perquè els afectats exerceixin els seus s’escau, la seva publicitat. drets d’accés, rectificació, cancel.lació i oposició. e) La notificació a l’afectat de la decisió adoptada. d) Models de clàusules per al compliment dels requisits formals exigibles per a la contractació d’un 3. Aixı́ mateix, i sense perjudici del que dispoencarregat del tractament, si s’escau. sa l’article 19 de la Llei orgànica 15/1999, de 13 de desembre, els codis tipus poden preveure procediArticle 74. Compromisos addicionals ments per tal de determinar mesures reparadores en 1. Els codis tipus poden incloure qualsevol altre cas que s’hagi causat un perjudici als afectats com compromı́s addicional que els adherits assumeixin a conseqüència de l’incompliment del codi tipus. per a un millor compliment de la legislació vigent 4. El que disposa aquest article s’aplica senen matèria de protecció de dades. se perjudici de les competències de l’Agència Es2. A més, poden contenir qualsevol altre com- panyola de Protecció de Dades i, si s’escau, de les promı́s que puguin establir les entitats promotores autoritats de control de les comunitats autònomes. i, en particular, sobre: Article 76. Relació d’adherits a) L’adopció de mesures de seguretat addicioEl codi tipus ha d’incorporar com a annex una nals a les que exigeixen la Llei orgànica 15/1999, de relació d’adherits, que s’ha de mantenir actualitza13 de desembre, i el present Reglament. da, a disposició de l’Agència Espanyola de Protecció b) La identificació de les categories de cessiona- de Dades. ris o importadors de les dades. Article 77. Dipòsit i publicitat dels codis tic) Les mesures concretes adoptades en matèria pus de protecció dels menors o de determinats col.lectius 1. A fi que els codis tipus puguin ser consided’afectats. rats com a tals a l’efecte del que preveuen l’article d) L’establiment d’un segell de qualitat que 32 de la Llei orgànica 15/1999, de 13 de desembre, identifiqui els adherits al codi. i el present Reglament, s’han de dipositar i inscriuArticle 75. Garanties del compliment dels re en el Registre General de Protecció de Dades de 106 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal l’Agència Espanyola de Protecció de Dades o, quan correspongui, en el registre que sigui creat per les comunitats autònomes, que els ha de traslladar per a la seva inclusió en el Registre General de Protecció de Dades. lo a la normativa general o sectorial de protecció de dades existent en cada moment. Aquesta avaluació ha de tenir lloc almenys cada quatre anys, llevat que sigui necessari adaptar els compromisos del codi a la modificació de la norma2. A aquest efecte, els codis tipus s’han de pre- tiva aplicable en un termini més curt. sentar davant la corresponent autoritat de control, i d) Afavorir l’accessibilitat de totes les persones, se n’ha de tramitar la inscripció, en cas d’estar sot- amb una especial atenció a les que tinguin alguna mesos a la decisió de l’Agència Espanyola de Pro- discapacitat o edat avançada, a tota la informació tecció de Dades, de conformitat amb el procediment disponible sobre el codi tipus. que estableix el capı́tol VI del tı́tol IX d’aquest ReTÍTOL VIII. De les mesures de seguretat en glament. el tractament de dades de caràcter personal 3. En tot cas, l’Agència Espanyola de Protecció de Dades ha de donar publicitat als codis tipus ins- CAPÍTOL I. Disposicions generals crits, preferentment a través de mitjans informàtics Article 79. Abast o telemàtics. Els responsables dels tractaments o els fitxers i Article 78. Obligacions posteriors a la ins- els encarregats del tractament han d’implantar les cripció del codi tipus mesures de seguretat d’acord amb el que disposa Les entitats promotores o els òrgans, persones o aquest tı́tol, amb independència de quin sigui el seu entitats que a aquest efecte es designin en el mateix sistema de tractament. codi tipus tenen, una vegada hagi estat publicat, les Article 80. Nivells de seguretat obligacions següents: Les mesures de seguretat exigibles als fitxers i a) Mantenir accessible al públic la informació tractaments es classifiquen en tres nivells: bàsic, actualitzada sobre les entitats promotores, el con- mitjà i alt. tingut del codi tipus, els procediments d’adhesió i de garantia del seu compliment i la relació d’adhe- Article 81. Aplicació dels nivells de seguretat rits a què es refereix l’article anterior. 1. Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de seAquesta informació s’ha de presentar de forma guretat qualificades de nivell bàsic. concisa i clara i ha d’estar permanentment accessible per mitjans electrònics. 2. S’han d’implantar, a més de les mesures de seguretat de nivell bàsic, les mesures de nivell mitb) Remetre a l’Agència Espanyola de Protecció jà, en els següents fitxers o tractaments de dades de de Dades una memòria anual sobre les activitats caràcter personal: realitzades per difondre el codi tipus i promoure-hi l’adhesió, les actuacions de verificació del complia) Els relatius a la comissió d’infraccions admiment del codi i els seus resultats, les queixes i re- nistratives o penals. clamacions tramitades i el curs que se’ls ha donat, i b) Aquells el funcionament dels quals es regeixi qualsevol altre aspecte que les entitats promotores per l’article 29 de la Llei orgànica 15/1999, de 13 considerin adequat destacar. de desembre. Quan es tracti de codis tipus inscrits en el rec) Aquells els responsables dels quals siguin adgistre d’una autoritat de control d’una comunitat ministracions tributàries i es relacionin amb l’exerautònoma, la remissió s’ha de fer a l’esmentada aucici de les seves potestats tributàries. toritat, que els de traslladar al Registre General de d) Aquells els responsables dels quals siguin les Protecció de Dades. entitats financeres per a finalitats relacionades amb c) Avaluar periòdicament l’eficàcia del codi tila prestació de serveis financers. pus mesurant el grau de satisfacció dels afectats i, e) Aquells els responsables dels quals siguin les si s’escau, actualitzar-ne el contingut per adaptar107 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal entitats gestores i serveis comuns de la Seguretat Social i es relacionin amb l’exercici de les seves competències. De la mateixa manera, aquells els responsables dels quals siguin les mútues d’accidents de treball i malalties professionals de la Seguretat Social. declaració de la condició de discapacitat o invalidesa de l’afectat, amb motiu del compliment de deures públics. 7. Les mesures incloses en cadascun dels nivells descrits anteriorment tenen la condició de mı́nims exigibles, sense perjudici de les disposicions legals o f) Els que continguin un conjunt de dades de reglamentàries especı́fiques vigents que puguin ser caràcter personal que ofereixin una definició de les aplicables en cada cas o les que per pròpia iniciaticaracterı́stiques o de la personalitat dels ciutadans va adopti el responsable del fitxer. i que permetin avaluar determinats aspectes de la 8. Als efectes de facilitar el compliment del que seva personalitat o comportament. disposa aquest tı́tol, quan en un sistema d’informa3. A més de les mesures de nivell bàsic i mit- ció existeixin fitxers o tractaments que, en funció jà, les mesures de nivell alt s’han d’aplicar en els de la seva finalitat o ús concret, o de la naturalesa següents fitxers o tractaments de dades de caràcter de les dades que continguin, requereixin l’aplicació personal: d’un nivell de mesures de seguretat diferent que el a) Els que es refereixin a dades d’ideologia, afi- del sistema principal, es poden segregar d’aquest úlliació sindical, religió, creences, origen racial, salut tim, i és aplicable en cada cas el nivell de mesures de seguretat corresponent i sempre que es puguin delio vida sexual. mitar les dades afectades i els usuaris que hi tinguin b) Els que continguin o es refereixin a dades ob- accés, i que això es faci constar en el document de tingudes per a fins policials sense consentiment de seguretat. les persones afectades. Article 82. Encarregat del tractament c) Els que continguin dades derivades d’actes de 1. Quan el responsable del fitxer o tractament violència de gènere. faciliti l’accés a les dades, als suports que les con4. Als fitxers els responsables dels quals siguin tenen o als recursos del sistema d’informació que els operadors que prestin serveis de comunicacions les tracta, a un encarregat de tractament que presti electròniques disponibles al públic o explotin xarxes els seus serveis en els locals del primer, s’ha de fer públiques de comunicacions electròniques respecte a constar aquesta circumstància en el document de les dades de tràfic i a les dades de localització, s’hi seguretat del dit responsable, i el personal de l’enhan d’aplicar, a més de les mesures de seguretat de carregat s’ha de comprometre al compliment de les nivell bàsic i mitjà, la mesura de seguretat de nivell mesures de seguretat previstes en l’esmentat docualt que conté l’article 103 d’aquest Reglament. ment. 5. En el cas de fitxers o tractaments de dades d’iQuan aquest accés sigui remot i s’hagi prohibit a deologia, afiliació sindical, religió, creences, origen l’encarregat incorporar aquestes dades a sistemes o racial, salut o vida sexual només s’han d’implantar suports diferents dels del responsable, aquest últim les mesures de seguretat de nivell bàsic quan: ha de fer constar aquesta circumstància en el doa) Les dades s’utilitzin amb l’única finalitat de cument de seguretat del responsable, i el personal realitzar una transferència dinerària a les entitats de l’encarregat s’ha de comprometre al compliment de les mesures de seguretat previstes en l’esmentat de què els afectats siguin associats o membres. document. b) Es tracti de fitxers o tractaments on de for2. Si el servei el presta l’encarregat del tractama incidental o accessòria s’incloguin aquelles dades ment en els seus propis locals, aliens als del responsense tenir relació amb la seva finalitat1. sable del fitxer, ha d’elaborar un document de segu6. També es poden implantar les mesures de se- retat en els termes que exigeix l’article 88 d’aquest guretat de nivell bàsic en els fitxers o tractaments Reglament o completar el que ja hagi elaborat, si que continguin dades relatives a la salut, referents s’escau, identificant el fitxer o tractament i el seu exclusivament al grau de discapacitat o la simple responsable i incorporant les mesures de seguretat 108 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal a implantar en relació amb el tractament esmentat. del responsable de fitxer o tractament, o de l’encarregat del tractament, és necessari que existeixi 3. En tot cas, l’accés a les dades per part de l’encarregat del tractament està sotmès a les mesures una autorització prèvia del responsable del fitxer o tractament, i en tot cas s’ha de garantir el nivell de de seguretat que preveu aquest Reglament. seguretat corresponent al tipus de fitxer tractat. Article 83. Prestacions de serveis sense accés 2. L’autorització a què es refereix el paràgraf a dades personals anterior ha de constar en el document de seguretat El responsable del fitxer o tractament ha d’a- i es pot establir per a un usuari o per a un perdoptar les mesures adequades per limitar l’accés del fil d’usuaris i se n’ha de determinar un perı́ode de personal a dades peue les continguin o als recursos validesa. del sistema d’informació, per a la realització de treballs que no impliquin el trtament de dades perso- Article 87. Fitxers temporals o còpies de treball de documents nals. 1. Els fitxers temporals o còpies de documents 1 Lletra b) redactada d’acord amb la Disposició que s’han creat exclusivament per a la realització de adicional quarta del Reial decret 3/2010, de 8 de treballs temporals o auxiliars han de complir el nigener, pel qual es egula l’Esquema Nacional de Sevell de seguretat que els correspongui conforme als guretat en l’àmbit de l’Administració Electrònica. criteris establerts a l’article 81. Quan es tracti de personal aliè, el contracte de 2. Qualsevol fitxer temporal o còpia de treball prestació de serveis ha de recollir expressament la creat aixı́ s’ha d’esborrar o destruir una vegada deiprohibició d’accedir a les dades personals i l’obligaxi de ser necessari per als fins que van motivar la ció de secret respecte a les dades que el personal seva creació. hagi pogut conèixer amb motiu de la prestació del servei. CAPÍTOL II. Del document de seguretat Article 84. Delegació d’autoritzacions Article 88. El document de seguretat Les autoritzacions que en aquest tı́tol s’atribueixen al responsable del fitxer o tractament poden ser delegades en les persones designades a aquest efecte. En el document de seguretat hi han de constar les persones habilitades per atorgar aquestes autoritzacions, aixı́ com aquelles en les quals recau la delegació esmentada. En cap cas aquesta designació suposa una delegació de la responsabilitat que correspon al responsable del fitxer. 1. El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’ı́ndole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és de compliment obligat per al personal amb accés als sistemes d’informació. Article 85. Accés a dades a través de xarxes de comunicacions 2. El document de seguretat pot ser únic i ha d’incloure tots els fitxers o tractaments, o bé individualitzat per a cada fitxer o tractament. També es poden elaborar diferents documents de seguretat agrupant fitxers o tractaments segons el sistema de tractament utilitzat per a la seva organització, o bé atenent criteris organitzatius del responsable. En tot cas té el caràcter de document intern de l’organització. Les mesures de seguretat exigibles als accessos a dades de caràcter personal a través de xarxes de comunicacions, siguin públiques o no, han de garantir un nivell de seguretat equivalent al corresponent als accessos en mode local, conforme als criteris que 3. El document ha de contenir, com a mı́nim, estableix l’article 80. els aspectes següents: Article 86. Règim de treball fora dels locals a) Àmbit d’aplicació del document amb especidel responsable del fitxer o encarregat del ficació detallada dels recursos protegits. tractament b) Mesures, normes, procediments d’actuació, 1. Quan les dades personals s’emmagatzemin regles i estàndards encaminats a garantir el nivell en dispositius portàtils o es tractin fora dels locals de seguretat exigit en aquest Reglament. 109 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal c) Funcions i obligacions del personal en relació En aquest cas, cal atenir-se al document de seamb el tractament de les dades de caràcter personal guretat de l’encarregat a l’efecte del compliment del incloses en els fitxers. que disposa aquest Reglament. d) Estructura dels fitxers amb dades de caràcter 7. El document de seguretat s’ha de mantenir personal i descripció dels sistemes d’informació que actualitzat en tot moment i s’ha de revisar semels tracten. pre que es produeixin canvis rellevants en el sistema e) Procediment de notificació, gestió i resposta d’informació, en el sistema de tractament que es fa servir, en la seva organització, en el contingut de la davant les incidències. informació inclosa en els fitxers o tractaments o, si f) Els procediments de realització de còpies de s’escau, com a conseqüència dels controls periòdics seguretat i de recuperació de les dades en els fitxers realitzats. En tot cas, s’entén que un canvi és reo tractaments automatitzats. llevant quan pot repercutir en el compliment de les g) Les mesures que sigui necessari adoptar per mesures de seguretat implantades. al transport de suports i documents, aixı́ com per a 8. El contingut del document de seguretat semla destrucció dels documents i suports o, si s’escau, pre s’ha d’adequar a les disposicions vigents en mala reutilització d’aquests últims. tèria de seguretat de les dades de caràcter personal. 4. En cas que siguin aplicables als fitxers les me- CAPÍTOL III. Mesures de seguretat aplicasures de seguretat de nivell mitjà o les mesures de bles a fitxers i tractaments automatitzats seguretat de nivell alt, previstes en aquest tı́tol, el Secció primera. Mesures de seguretat de nidocument de seguretat ha de contenir a més: vell bàsic a) La identificació del responsable o responsaArticle 89. Funcions i obligacions del persobles de seguretat. nal b) Els controls periòdics que s’han de realitzar 1. Les funcions i obligacions de cadascun dels per verificar el compliment del que disposa el docuusuaris o perfils d’usuaris amb accés a les dades ment. de caràcter personal i als sistemes d’informació han 5. Quan existeixi un tractament de dades per d’estar clarament definides i documentades en el docompte de tercers, el document de seguretat ha de cument de seguretat. contenir la identificació dels fitxers o tractaments També s’han de definir les funcions de control o que es tractin en concepte d’encarregat amb refeautoritzacions delegades pel responsable del fitxer rència expressa al contracte o document que reguli o tractament. les condicions de l’encàrrec, aixı́ com la identificació del responsable i del perı́ode de vigència de l’encàr2. El responsable del fitxer o tractament ha d’arec. doptar les mesures necessàries perquè el personal 6. En els casos en què dades personals d’un fit- conegui d’una forma comprensible les normes de seguretat que afectin l’exercici de les seves funcions xer o tractament s’incorporin i es tractin de manera exclusiva en els sistemes de l’encarregat, el respon- aixı́ com les conseqüències en què pugui incórrer en sable ho ha d’anotar en el seu document de segu- cas d’incompliment. retat. Quan aquesta circumstància afecti una part o la totalitat dels fitxers o tractaments del responsable, es pot delegar en l’encarregat l’administració del document de seguretat, excepte pel que fa a les dades incloses en recursos propis. Aquest fet s’ha d’indicar de manera expressa en el contracte subscrit a l’empara de l’article 12 de la Llei orgànica 15/1999, de 13 de desembre, amb especificació dels fitxers o tractaments afectats. Article 90. Registre d’incidències Hi ha d’haver un procediment de notificació i gestió de les incidències que afectin les dades de caràcter personal i s’ha d’establir un registre en què es faci constar el tipus d’incidència, el moment en què s’ha produı̈t, o si s’escau, detectat, la persona que fa la notificació, a qui se li comunica, els efectes que se’n deriven i les mesures correctores aplicades. Article 91. Control d’accés 110 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 1. Els usuaris han de tenir accés només als re5. La identificació dels suports que continguin cursos que necessitin per a l’exercici de les seves dades de caràcter personal que l’organització consifuncions. deri especialment sensibles es pot realitzar utilitzant 2. El responsable del fitxer s’ha d’encarregar que sistemes d’etiquetatge comprensibles i amb signifihi hagi una relació actualitzada d’usuaris i perfils cat que permetin als usuaris amb accés autoritzat d’usuaris, i els accessos autoritzats per a cadascun als suports i documents esmentats identificar el seu contingut, i que en dificultin la identificació per a d’ells. la resta de persones. 3. El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a Article 93. Identificació i autenticació recursos amb drets diferents dels autoritzats. 1. El responsable del fitxer o tractament ha d’adoptar les mesures que garanteixin la correcta iden4. Exclusivament el personal autoritzat per fertificació i autenticació dels usuaris. ho en el document de seguretat pot concedir, alterar o anul.lar l’accés autoritzat sobre els recursos, 2. El responsable del fitxer o tractament ha d’esde conformitat amb els criteris que estableix el res- tablir un mecanisme que permeti la identificació de ponsable del fitxer. forma inequı́voca i personalitzada de qualsevol usu5. En cas que existeixi personal aliè al responsa- ari que intenti accedir al sistema d’informació i la ble del fitxer que tingui accés als recursos, ha d’es- verificació conforme està autoritzat. tar sotmès a les mateixes condicions i obligacions 3. Quan el mecanisme d’autenticació es basi en de seguretat que el personal propi. l’existència de contrasenyes, hi ha d’haver un procediment d’assignació, distribució i emmagatzematge Article 92. Gestió de suports i documents que en garanteixi la confidencialitat i integritat. 1. Els suports i documents que continguin dades 4. El document de seguretat ha d’establir la pede caràcter personal han de permetre identificar el riodicitat, que en cap cas ha de ser superior a un tipus d’informació que contenen, han de ser invenany, amb què s’han de canviar les contrasenyes que, tariats i només hi ha de poder accedir el personal mentre estiguin vigents, s’han d’emmagatzemar de autoritzat per fer-ho en el document de seguretat. forma inintel.ligible. S’exceptuen aquestes obligacions quan les caracterı́stiques fı́siques del suport impossibilitin el seu Article 94. Còpies de seguretat i recuperació compliment, i n’ha de quedar constància motivada 1. S’han d’establir procediments d’actuació per en el document de seguretat. fer, com a mı́nim setmanalment, còpies de segure2. La sortida de suports i documents que con- tat, tret que en el perı́ode esmentat no s’hagi protinguin dades de caràcter personal, inclosos els com- duı̈t cap actualització de les dades. presos i/o annexos a un correu electrònic, fora dels 2. Aixı́ mateix, s’han d’establir procediments locals sota el control del responsable del fitxer o per a la recuperació de les dades que garanteixin en tractament, l’ha d’autoritzar el responsable del fit- tot moment la reconstrucció a l’estat en què estaven xer o ha d’estar degudament autoritzada en el do- en el moment de produir-se la pèrdua o destrucció. cument de seguretat. Únicament en cas que la pèrdua o destrucció 3. En el trasllat de la documentació s’han d’a- afecti fitxers o tractaments parcialment automadoptar les mesures dirigides a evitar la sostracció o titzats, i sempre que l’existència de documentació pèrdua de la informació o l’accés indegut a aquesta permeti assolir l’objectiu a què es refereix el paràdurant el seu transport. graf anterior, s’ha de procedir a gravar manualment 4. Sempre que s’hagi de rebutjar qualsevol do- les dades de manera que quedi constància motivada cument o suport que contingui dades de caràcter d’aquest fet en el document de seguretat. personal, s’ha de destruir o esborrar mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació que conté o la seva recuperació posterior. 3. El responsable del fitxer s’ha d’encarregar de verificar cada sis mesos la correcta definició, funcionament i aplicació dels procediments de realització 111 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal de còpies de seguretat i de recuperació de les dades. dictàmens assolits i les recomanacions proposades. 4. Les proves anteriors a la implantació o modificació dels sistemes d’informació que tractin fitxers amb dades de caràcter personal no s’han de fer amb dades reals, llevat que s’asseguri el nivell de seguretat corresponent al tractament realitzat i s’anoti la seva realització en el document de seguretat. 3. Els informes d’auditoria els ha d’analitzar el responsable de seguretat competent, que n’ha d’elevar les conclusions al responsable del fitxer o tractament perquè adopti les mesures correctores adequades, i han de quedar a disposició de l’Agència Espanyola de Protecció de Dades o, si s’escau, de Si està previst realitzar proves amb dades reals, les autoritats de control de les comunitats autònoprèviament s’ha d’haver realitzat una còpia de se- mes. guretat. Article 97. Gestió de suports i documents Secció segona. Mesures de seguretat de ni1. S’ha d’establir un sistema de registre d’entravell mitjà da de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la Article 95. Responsable de seguretat data i hora, l’emissor, el nombre de documents o suEn el document de seguretat s’han d’assignar ports inclosos en l’enviament, el tipus d’informació un o diversos responsables de seguretat encarregats que contenen, la forma d’enviament i la persona resde coordinar i controlar les mesures que hi estan ponsable de la recepció, que ha d’estar degudament definides. Aquesta designació pot ser única per a autoritzada. tots els fitxers o tractaments de dades de caràc2. Igualment s’ha de disposar d’un sistema de ter personal o diferenciada segons els sistemes de registre de sortida de suports que permeti, directractament utilitzats, circumstància que s’ha de fer tament o indirectament, conèixer el tipus de docuconstar clarament en el document de seguretat. ment o suport, la data i hora, el destinatari, el nomEn cap cas aquesta designació suposa una exo- bre de documents o suports inclosos en l’enviament, neració de la responsabilitat que correspon al res- el tipus d’informació que contenen, la forma d’enviponsable del fitxer o a l’encarregat del tractament ament i la persona responsable del lliurament, que d’acord amb aquest Reglament. ha d’estar degudament autoritzada. Article 96. Auditoria Article 98. Identificació i autenticació 1. A partir del nivell mitjà, els sistemes d’inEl responsable del fitxer o tractament ha d’estaformació i instal.lacions de tractament i emmagat- blir un mecanisme que limiti la possibilitat d’intenzematge de dades s’han de sotmetre, almenys cada tar reiteradament l’accés no autoritzat al sistema dos anys, a una auditoria interna o externa que ve- d’informació. rifiqui el compliment del present tı́tol. Article 99. Control d’accés fı́sic Amb caràcter extraordinari, s’ha de realitzar Exclusivament el personal autoritzat en el docul’auditoria esmentada sempre que es facin modiment de seguretat pot tenir accés als llocs on estificacions substancials en el sistema d’informació .lats els equips fı́sics que donin suport als guin instal que puguin repercutir en el compliment de les mesures de seguretat implantades, amb l’objecte de sistemes d’informació. verificar-ne l’adaptació, adequació i eficàcia. Aques- Article 100. Registre d’incidències ta auditoria inicia el còmput de dos anys assenyalat 1. En el registre que regula l’article 90 s’hi han en el paràgraf anterior. de consignar, a més, els procediments de recupera2. L’informe d’auditoria ha de dictaminar sobre l’adequació de les mesures i controls a la Llei i el seu desplegament reglamentari, identificar les seves deficiències i proposar les mesures correctores o complementàries necessàries. També ha d’incloure les dades, fets i observacions en què es basin els ció de les dades realitzats, i s’hi han d’indicar la persona que va executar el procés, les dades restaurades i, si s’escau, quines dades ha estat necessari gravar manualment en el procés de recuperació. 2. És necessària l’autorització del responsable del fitxer per a l’execució dels procediments de re112 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal cuperació de les dades. cessos han d’estar sota el control directe del responsable de seguretat competent sense que hagin de Secció tercera. Mesures de seguretat de nipermetre la seva desactivació ni manipulació. vell alt 4. El perı́ode mı́nim de conservació de les dades Article 101. Gestió i distribució de suports registrades és de dos anys. 1. La identificació dels suports s’ha de realit5. El responsable de seguretat s’ha d’encarregar zar utilitzant sistemes d’etiquetatge comprensibles de revisar almenys una vegada al mes la informació i amb significat, que permetin als usuaris amb accés de control registrada i ha d’elaborar un informe de autoritzat als suports i documents esmentats identiles revisions realitzades i els problemes detectats. ficar el seu contingut, i que dificultin la identificació per a la resta de persones. 6. No és necessari el registre d’accessos definit en aquest article en cas que es donin les circums2. La distribució dels suports que continguin datàncies següents: des de caràcter personal s’ha de fer xifrant les dades esmentades o bé utilitzant un altre mecanisme que a) Que el responsable del fitxer o del tractament garanteixi que la dita informació no sigui accessible sigui una persona fı́sica. o manipulada durant el seu transport. b) Que el responsable del fitxer o del tractament Aixı́ mateix, s’han de xifrar les dades que con- garanteixi que únicament ell té accés a les dades tinguin els dispositius portàtils quan aquests dis- personals i les tracta. positius estiguin fora de les instal.lacions que estan La concurrència de les dues circumstàncies a què sota el control del responsable del fitxer. es refereix l’apartat anterior s’ha de fer constar ex3. S’ha d’evitar el tractament de dades de caràcter personal en dispositius portàtils que no permetin el xifratge. En cas que sigui estrictament necessari, s’ha de fer constar motivadament en el document de seguretat i s’han d’adoptar mesures que tinguin en compte els riscos de realitzar tractaments en entorns desprotegits. pressament en el document de seguretat. Article 104. Telecomunicacions Quan conforme a l’article 81.3 s’hagin d’implantar les mesures de seguretat de nivell alt, la transmissió de dades de caràcter personal a través de xarxes públiques o xarxes sense fil de comunicacions electròniques s’ha de fer xifrant les dades esmentaArticle 102. Còpies de seguretat i recupera- des o bé utilitzant qualsevol altre mecanisme que ció garanteixi que la informació no sigui intel.ligible ni S’ha de conservar una còpia de seguretat de les manipulada per tercers. dades i dels procediments de recuperació d’aquestes CAPÍTOL IV. Mesures de seguretat aplicadades en un lloc diferent d’aquell en què estiguin els bles als fitxers i tractaments no automatitequips informàtics que els tracten, que ha de comzats plir en tot cas les mesures de seguretat exigides en aquest tı́tol, o utilitzant elements que garanteixin la Secció primera. Mesures de seguretat de niintegritat i recuperació de la informació, de forma vell bàsic que sigui possible la seva recuperació. Article 105. Obligacions comunes Article 103. Registre d’accessos 1. A més del que disposa el present capı́tol, als fitxers no automatitzats els és aplicable el que dis1. De cada intent d’accés s’han de guardar, com posen els capı́tols I i II del present tı́tol pel que fa a mı́nim, la identificació de l’usuari, la data i hora a: en què es va realitzar, el fitxer a què s’ha accedit, el tipus d’accés i si ha estat autoritzat o denegat. a) Abast. 2. En cas que l’accés hagi estat autoritzat, és necessari guardar la informació que permeti identificar el registre a què s’ha accedit. 3. Els mecanismes que permeten el registre d’ac- b) Nivells de seguretat. c) Encarregat del tractament. d) Prestacions de serveis sense accés a dades per113 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal sonals. e) Delegació d’autoritzacions. f) Règim de treball fora dels locals del responsable del fitxer o encarregat del tractament. g) Còpies de treball de documents. Secció segona. Mesures de seguretat de nivell mitjà Article 109. Responsable de seguretat S’han de designar un o diversos responsables de seguretat en els termes i amb les funcions que preveu l’article 95 d’aquest Reglament. h) Document de seguretat. Article 110. Auditoria 2. Aixı́ mateix se’ls ha d’aplicar el que estableix Els fitxers inclosos en la present secció s’han de la secció primera del capı́tol III del present tı́tol pel sotmetre, almenys cada dos anys, a una auditoria que fa a: interna o externa que verifiqui el compliment del a) Funcions i obligacions del personal. present tı́tol. b) Registre d’incidències. c) Control d’accés. d) Gestió de suports. Article 106. Criteris d’arxivament L’arxivament dels suports o documents s’ha de fer d’acord amb els criteris que preveu la seva respectiva legislació. Aquests criteris han de garantir la correcta conservació dels documents, la localització i consulta de la informació i possibilitar l’exercici dels drets d’oposició al tractament, accés, rectificació i cancel.lació. Secció tercera. Mesures de seguretat de nivell alt Article 111. Emmagatzematge de la informació 1. Els armaris, arxivadors o altres elements en què s’emmagatzemin els fitxers no automatitzats amb dades de caràcter personal han d’estar en àrees en què l’accés estigui protegit amb portes d’accés dotades de sistemes d’obertura mitjançant una clau o un altre dispositiu equivalent. Aquestes àrees s’han de mantenir tancades quan no sigui necessari l’accés als documents inclosos en el fitxer. En els casos en què no existeixi cap norma apli2. Si, ateses les caracterı́stiques dels locals de cable, el responsable del fitxer ha d’establir els cri- què disposa el responsable del fitxer o tractament, teris i procediments d’actuació que s’hagin de seguir no és possible complir el que estableix l’apartat anper a l’arxivament. terior, el responsable ha d’adoptar mesures alternaArticle 107. Dispositius d’emmagatzematge tives que, degudament motivades, s’han d’incloure en el document de seguretat. Els dispositius d’emmagatzematge dels documents que continguin dades de caràcter personal Article 112. Còpia o reproducció han de disposar de mecanismes que n’obstaculitzin 1. La generació de còpies o la reproducció dels l’obertura. Quan les caracterı́stiques fı́siques d’a- documents únicament pot ser realitzada sota el conquells no permetin adoptar aquesta mesura, el res- trol del personal autoritzat en el document de seguponsable del fitxer o tractament ha d’adoptar mesu- retat. res que impedeixin que hi puguin accedir persones 2. S’ha de procedir a la destrucció de les còpino autoritzades. es o reproduccions rebutjades de manera que s’eviti Article 108. Custòdia dels suports l’accés a la informació que contenen o la seva recuMentre la documentació amb dades de caràcter peració posterior. personal no estigui arxivada en els dispositius d’em- Article 113. Accés a la documentació magatzematge que estableix l’article anterior, pel 1. L’accés a la documentació s’ha de limitar exfet d’estar en procés de revisió o tramitació, ja sigui prèviament o posteriorment al seu arxivament, clusivament al personal autoritzat. la persona que se n’encarregui l’ha de custodiar i 2. S’han d’establir mecanismes que permetin impedir en tot moment que hi pugui accedir una identificar els accessos realitzats en el cas de docupersona no autoritzada. ments que puguin ser utilitzats per múltiples usua114 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal ris. 4. La publicació s’ha de fer aplicant els criteris de dissociació de les dades de caràcter personal que 3. L’accés de persones no incloses en el paràgraf anterior ha de quedar adequadament registrat d’a- a aquest efecte s’estableixin mitjançant resolució del cord amb el procediment establert a aquest efecte director de l’Agència. en el document de seguretat. CAPÍTOL II. Procediment de tutela dels drets d’accés, rectificació, cancel.lació i opoArticle 114. Trasllat de documentació sició Sempre que es procedeixi al trasllat fı́sic de la documentació que conté un fitxer, s’han d’adoptar Article 117. Instrucció del procediment mesures dirigides a impedir l’accés a la informació 1. El procediment s’ha d’iniciar a instància de objecte de trasllat o la seva manipulació. l’afectat o afectats, i ha d’expressar amb claredat el TÍTOL IX. Procediments tramitats per l’A- contingut de la seva reclamació i dels preceptes de la Llei orgànica 15/1999, de 13 de desembre, que es gència Espanyola de Protecció de Dades consideren vulnerats. CAPÍTOL I. Disposicions generals 2. Un cop rebuda la reclamació a l’Agència EsArticle 115. Règim aplicable panyola de Protecció de Dades, s’ha de traslladar 1. Els procediments tramitats per l’Agència Es- al responsable del fitxer, perquè, en el termini de . panyola de Protecció de Dades s’han de regir pel quinze dies, formuli les al legacions que estimi perque disposa el present tı́tol, i supletòriament per la tinents. Llei 30/1992, de 26 de novembre, de règim jurı́dic 3. Un cop rebudes les al.legacions o transcorrede les administracions públiques i del procediment gut el termini que preveu l’apartat anterior, l’Agènadministratiu comú. cia Espanyola de Protecció de Dades, amb els pre2. Especı́ficament són aplicables les normes re- vis informes, proves i altres actes d’instrucció perguladores del procediment administratiu comú al tinents, inclosa l’audiència de l’afectat i novament règim de representació en els procediments esmen- del responsable del fitxer, ha de resoldre sobre la reclamació formulada. tats. Article 118. Durada del procediment i efecArticle 116. Publicitat de les resolucions tes de la falta de resolució expressa 1. L’Agència Espanyola de Protecció de Dades 1. El termini màxim per dictar i notificar resoha de fer públiques les seves resolucions, amb exlució en el procediment de tutela de drets és de sis cepció de les corresponents a la inscripció d’un fitmesos a comptar de la data d’entrada a l’Agència xer o tractament en el Registre General de ProtecEspanyola de Protecció de Dades de la reclamació ció de Dades i d’aquelles per les quals es resolgui de l’afectat o afectats. inscriure-hi els codis tipus, sempre que es refereixin a procediments que s’han iniciat amb posterioritat 2. Si en aquest termini no s’ha dictat i notificat a l’1 de gener de 2004, o corresponguin a l’arxiva- resolució expressa, l’afectat pot considerar estimada ment d’actuacions inspectores incoades a partir de la seva reclamació per silenci administratiu positiu. la data esmentada. Article 119. Execució de la resolució 2. La publicació d’aquestes resolucions s’ha de Si la resolució de tutela és estimatòria, s’ha de fer preferentment mitjançant la seva inserció en el requerir el responsable del fitxer perquè, en el termilloc web de l’Agència Espanyola de Protecció de Dani de deu dies següents a la notificació, faci efectiu des, dins el termini d’un mes a comptar de la data l’exercici dels drets objecte de la tutela, i ha de dode la seva notificació als interessats. nar compte per escrit del compliment esmentat a 3. En la notificació de les resolucions s’ha d’in- l’Agència Espanyola de Protecció de Dades en un formar expressament els interessats de la publicitat termini idèntic. prevista a l’article 37.2 de la Llei orgànica 15/1999, CAPÍTOL III. Procediments relatius a l’ede 13 de desembre. xercici de la potestat sancionadora 115 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal Secció primera. Disposicions generals prèvies amb l’objecte de determinar si es donen circumstàncies que justifiquin aquesta iniciació. En Article 120. Àmbit d’aplicació especial, aquestes actuacions s’han d’orientar a de1. Les disposicions que conté el present capı́tol terminar, amb tanta precisió com sigui possible, els són aplicables als procediments relatius a l’exercici fets que puguin justificar la incoació del procedide l’Agència Espanyola de Protecció de Dades de ment, identificar la persona o òrgan que en pugui la potestat sancionadora que li atribueixen la Llei ser responsable i fixar les circumstàncies rellevants orgànica 15/1999, de 13 de desembre, de protecció que es puguin donar en el cas. de dades de caràcter personal, la Llei 34/2002, d’11 2. Les actuacions prèvies les ha de portar a terde juliol, de serveis de la societat de la informació me d’ofici l’Agència Espanyola de Protecció de Dai de comerç electrònic, i la Llei 32/2003, de 3 de des, o bé per iniciativa pròpia o com a conseqüència novembre, general de telecomunicacions. de l’existència d’una denúncia o una petició raona2. No obstant això, les disposicions que preve- da d’un altre òrgan. uen l’article 121 i la secció quarta d’aquest capı́tol 3. Quan les actuacions es portin a terme com a només són aplicables als procediments referits a l’econseqüència de l’existència d’una denúncia o d’uxercici de la potestat sancionadora que preveu la na petició raonada d’un altre òrgan, l’Agència EsLlei orgànica 15/1999, de 13 de desembre. panyola de Protecció de Dades ha d’acusar recepció Article 121. Immobilització de fitxers de la denúncia o petició, i pot sol.licitar tota la do1. En el supòsit previst com a infracció molt cumentació que estimi oportuna per poder comprogreu en la Llei orgànica 15/1999, de 13 de desem- var els fets susceptibles de motivar la incoació del bre, consistent en la utilització o cessió il.lı́cita de les procediment sancionador. dades de caràcter personal en què s’impedeixi greument l’exercici dels drets dels ciutadans i el lliure desenvolupament de la personalitat que la Constitució i les lleis garanteixen o s’hi atempti en contra de la mateixa manera, el director de l’Agència Espanyola de Protecció de Dades pot requerir, en qualsevol moment del procediment, els responsables de fitxers o tractaments de dades de caràcter personal, tant de titularitat pública com privada, perquè cessin en la utilització o cessió il.lı́cita de les dades. 4. Aquestes actuacions prèvies tenen una durada màxima de dotze mesos a comptar de la data en què la denúncia o petició raonada a què es refereix l’apartat 2 hagin tingut entrada a l’Agència Espanyola de Protecció de Dades o, en cas que no n’hi hagin, des que el director de l’Agència acordi la realització de les actuacions esmentades. El venciment del termini sense que s’hagi dictat i notificat un acord d’inici de procediment sancionador produeix la caducitat de les actuacions prèvies. 2. El requeriment ha de ser atès en el termini improrrogable de tres dies, durant el qual el res- Article 123. Personal competent per a la reponsable del fitxer pot formular les al.legacions que alització de les actuacions prèvies consideri convenients amb vista a l’aixecament de 1. Les actuacions prèvies les ha de portar a terla mesura. me el personal de l’Àrea de la Inspecció de Dades 3. Si el requeriment és desatès, el director de l’A- habilitat per a l’exercici de funcions inspectores. gència Espanyola de Protecció de Dades pot acordar, mitjançant una resolució motivada, la immobilització dels dits fitxers o tractaments, als únics efectes de restaurar els drets de les persones afectades. 2. En supòsits excepcionals, el director de l’Agència Espanyola de Protecció de Dades pot designar per a la realització d’actuacions especı́fiques funcionaris de la mateixa Agència no habilitats amb caràcter general per a l’exercici de funcions inspectores o funcionaris que no prestin les seves funcions Secció segona. Actuacions prèviesç a l’Agència, sempre que compleixin les condicions Article 122. Iniciació d’idoneı̈tat i especialització necessàries per a la re1. Amb anterioritat a la iniciació del proce- alització d’aquestes actuacions. En aquests casos, diment sancionador, es poden realitzar actuacions l’autorització ha d’indicar expressament la identificació del funcionari i les actuacions concretes prè116 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal vies d’inspecció a realitzar. de fer constar expressament aquesta circumstància. En tot cas, la signatura de l’inspeccionat de l’acta 3. Els funcionaris que exerceixin la inspecció a què es refereixen els dos apartats anteriors tenen la no suposa la seva conformitat, sinó tan sols la seva consideració d’autoritat pública en l’exercici de les recepció. seves comeses. S’ha de lliurar a l’inspeccionat un dels originals de l’acta d’inspecció, i l’altre s’ha d’incorporar a les Estan obligats a guardar secret sobre les inactuacions. formacions que coneguin en l’exercici de les funcions esmentades, fins i tot després d’haver cessat en Article 126. Resultat de les actuacions prèaquestes funcions. vies Article 124. Obtenció d’informació Els inspectors poden sol.licitar totes les informacions que necessitin per al compliment de les seves comeses. Amb aquesta finalitat poden requerir l’exhibició o l’enviament dels documents i dades i examinar-los en el lloc on estiguin dipositats, obtenir-ne una còpia, inspeccionar els equips fı́sics i lògics, aixı́ com requerir l’execució de tractaments i programes o procediments de gestió i suport del fitxer o fitxers subjectes a investigació, i accedir als llocs on estiguin instal.lats. 1. Un cop finalitzades les actuacions prèvies, s’han de sotmetre a la decisió del director de l’Agència Espanyola de Protecció de Dades. Si de les actuacions no deriven fets susceptibles de motivar la imputació de cap infracció, el director de l’Agència Espanyola de Protecció de Dades ha de dictar resolució d’arxivament, que s’ha de notificar a l’investigat i al denunciant, si s’escau. 2. En cas d’apreciar-se l’existència d’indicis susceptibles de motivar la imputació d’una infracció, el director de l’Agència Espanyola de Protecció de Article 125. Actuacions presencials Dades ha de dictar acord d’inici de procediment san1. En l’exercici de les actuacions prèvies els ins- cionador o d’infracció de les administracions públipectors designats poden realitzar visites d’inspecció ques, que s’ha de tramitar conforme al que dispoen els locals o seu de l’inspeccionat, o on estiguin sen, respectivament, les seccions tercera i quarta del ubicats els fitxers, si s’escau. A aquest efecte, el di- present capı́tol. rector de l’Agència Espanyola de Protecció de Da- Secció tercera. Procediment sancionador des ha d’haver autoritzar prèviament els inspectors. Article 127. Iniciació del procediment Les inspeccions es poden realitzar en el domicili Amb caràcter especı́fic, l’acord d’inici del procede l’inspeccionat, a la seu o local concret relacionat diment sancionador ha de contenir: amb aquest o en qualsevol dels seus locals, incloa) Identificació de la persona o persones presos aquells en què el tractament el porti a terme un sumptament responsables. encarregat. b) Descripció succinta dels fets imputats, la seL’autorització s’ha de limitar a indicar l’habiliva possible qualificació i les sancions que puguin tació de l’inspector autoritzat i la identificació de la correspondre, sense perjudici del que resulti de la persona o òrgan inspeccionat. instrucció. 2. En el supòsit que preveu l’apartat anterior, c) Indicació que l’òrgan competent per resoldre les inspeccions han de concloure amb l’aixecament sobre el procediment és el director de l’Agència Esde l’acta corresponent, en la qual ha de quedar conspanyola de Protecció de Dades. tància de les actuacions practicades durant la visita o visites d’inspecció. d) Indicació al presumpte responsable que pot 3. L’acta, que s’ha d’emetre per duplicat, l’han de signar els inspectors actuants i l’inspeccionat, que hi pot fer constar les al.legacions o manifestacions que consideri convenients. En cas de negativa de l’inspeccionat a la signatura de l’acta, s’hi ha reconèixer voluntàriament la seva responsabilitat, cas en què s’ha de dictar resolució directament. e) Designació d’instructor i, si s’escau, secretari, amb indicació expressa del règim de recusació de tots dos. 117 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal f) Indicació expressa del dret del responsable a cripció del fitxer en el Registre General de Protecció formular al.legacions, a l’audiència en el procedi- de Dades. ment i a proposar les proves que estimi procedents. 3. La notificació s’ha d’efectuar en suport elecg) Mesures de caràcter provisional que es pu- trònic, ja sigui mitjançant comunicació electrònica guin acordar, si s’escau, conforme al que estableix a través d’Internet per mitjà de signatura electrònila secció primera del present capı́tol. ca o en suport informàtic, utilitzant a aquest efecte Article 128. Termini màxim per dictar reso- el programa d’ajuda per a la generació de notificacions que l’Agència posa a disposició dels interessats lució de forma gratuı̈ta. 1. El termini per dictar resolució és el que deÉs igualment vàlida la notificació efectuada en terminin les normes aplicables a cada procediment suport de paper quan per emplenar-la s’hagin fet sancionador i es computa des de la data en què es servir els models o formularis publicats per l’Agèndicti l’acord d’inici fins que es produeixi la notificacia. ció de la resolució sancionadora, o s’acrediti degudament l’intent de notificació. 4. En la notificació, el responsable del fitxer ha de declarar un domicili als efectes de notificacions 2. El venciment de l’esmentat termini màxim, en el procediment. sense que s’hagi dictat i notificat resolució expressa, produeix la caducitat del procediment i l’arxivament de les actuacions. Secció quarta. Procediment de declaració d’infracció de la Llei orgànica 15/1999, de 13 de desembre, per les administracions públiques Article 129. Disposició general Article 131. Especialitats en la notificació de fitxers de titularitat pública 1. Quan es tracti de la notificació de fitxers de titularitat pública, s’ha d’acompanyar la notificació amb una còpia de la norma o acord de creació, modificació o supressió del fitxer a què fa referència l’article 52 del present Reglament. El procediment pel qual es declari l’existència d’una infracció de la Llei orgànica 15/1999, de 13 Quan el diari oficial en què s’hagi publicat l’esde desembre, comesa per les administracions públi- mentada norma o acord sigui accessible a través ques, és el que estableix la secció tercera d’aquest d’Internet, només s’ha d’indicar en la notificació capı́tol. l’adreça electrònica que permeti la seva localització CAPÍTOL IV. Procediments relacionats concreta. amb la inscripció o cancel.lació de fitxers 2. Un cop rebuda la notificació, si no conté la informació preceptiva o s’hi adverteixen defectes forSecció primera. Procediment d’inscripció de mals, el Registre General de Protecció de Dades ha la creació, modificació o supressió de fitxers de requerir el responsable del fitxer perquè compleArticle 130. Iniciació del procediment ti o esmeni la notificació. El termini per esmenar . 1. El procediment s’ha d’iniciar com a conse- o millorar la sol licitud és de tres mesos en cas que qüència de la notificació de la creació, modificació es necessiti la modificació de la norma o acord de o supressió del fitxer per part de l’interessat o, si creació del fitxer. s’escau, de la comunicació efectuada per les autori- Article 132. Acord d’inscripció o cancel.lació tats de control de les comunitats autònomes, a què Si la notificació referida a la creació, modificació es refereix el present Reglament. o supressió del fitxer conté la informació preceptiva i 2. La notificació s’ha d’efectuar emplenant els es compleixen les restants exigències legals, el direcmodels o formularis electrònics publicats a aquest tor de l’Agència Espanyola de Protecció de Dades, efecte per l’Agència Espanyola de Protecció de Da- a proposta del Registre General de Protecció de Dades, en virtut del que disposa l’apartat 1 de l’article des, ha d’acordar, respectivament, la inscripció del 59 d’aquest Reglament. fitxer, amb l’assignació del corresponent codi d’insSi es tracta de la notificació de la modificació o cripció, la modificació de la inscripció del fitxer o la . supressió d’un fitxer, s’hi ha d’indicar el codi d’ins- cancel lació de la inscripció corresponent. 118 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal Article 133. Improcedència o denegació de 1. El procediment per a l’obtenció de l’autoritla inscripció zació per a les transferències internacionals de dades El director de l’Agència Espanyola de Protecció a paı̈sos tercers a què es refereixen l’article 33 de la de Dades, a proposta del Registre General de Pro- Llei orgànica 15/1999, de 13 de desembre, i l’article tecció de Dades, ha de dictar resolució per la qual es 70 d’aquestReglament, sempre s’ha d’iniciar a soldenega la inscripció, modificació o cancel.lació quan licitud de l’exportador que pretengui portar a terme dels documents aportats pel responsable del fitxer la transferència. es desprèn que la notificació no és conforme amb 2. En la seva sol.licitud, a més dels requisits el que disposa la Llei orgànica 15/1999, de 13 de legalment exigits, l’exportador ha de consignar, en desembre. tot cas: La resolució ha de ser degudament motivada, a) La identificació del fitxer o fitxers a les dades amb indicació expressa de les causes que impedei- dels quals es refereixi la transferència internacional, xen la inscripció, modificació o cancel.lació. amb indicació de la seva denominació i codi d’insArticle 134. Durada del procediment i efec- cripció del fitxer en el Registre General de Protecció de Dades. tes de la falta de resolució expressa b) La transferència o transferències respecte de 1. El termini màxim per dictar i notificar resoles quals se sol.licita l’autorització, amb indicació de . lució sobre la inscripció, modificació o cancel lació la finalitat que la justifica. és d’un mes. c) La documentació que incorpori les garanties 2. Si en el termini esmentat no s’ha dictat i exigibles per a l’obtenció de l’autorització, aixı́ com notificat resolució expressa, el fitxer s’entén inscrit, el compliment dels requisits legals necessaris per fer . modificat o cancel lat a tots els efectes. la transferència, si s’escau. Secció segona. Procediment de cancel.lació Quan l’autorització es fonamenti en l’existència d’ofici de fitxers inscrits d’un contracte entre l’exportador i l’importador de Article 135. Iniciació del procediment les dades, se n’ha d’aportar una còpia, i també s’ha . El procediment de cancel lació d’ofici dels fitxers d’acreditar la concurrència de poder suficient en els inscrits en el Registre General de Protecció de Da- seus atorgants. des sempre s’ha d’iniciar d’ofici, o bé per pròpia Si l’autorització es pretén fundar en el que disiniciativa o en virtut de denúncia, mitjançant acord posa l’apartat 4 de l’article 70, s’han d’aportar les del director de l’Agència Espanyola de Protecció de normes o regles adoptades en relació amb el tracDades. tament de les dades en el si del grup, aixı́ com la documentació que acrediti el seu caràcter vinculant Article 136. Terminació de l’expedient i la seva eficàcia dins del grup. Igualment s’ha d’aLa resolució, prèvia audiència de l’interessat, ha portar la documentació que acrediti la possibilitat d’acordar si és procedent o no la cancel.lació del fit- que l’afectat o l’Agència Espanyola de Protecció de xer. Dades puguin exigir la responsabilitat que corresSi la resolució acorda la cancel.lació del fitxer, pongui en cas de perjudici de l’afectat o vulneració aquesta s’ha de traslladar al Registre General de de les normes de protecció de dades per part de Protecció de Dades perquè procedeixi a la cancel- qualsevol empresa importadora. lació. Article 138. Instrucció del procediment CAPÍTOL V. Procediments relacionats amb 1. Quan el director de l’Agència Espanyola de les transferències internacionals de dades Protecció de Dades acordi, conforme al que disposa Secció primera. Procediment d’autorització l’article 86.1 de la Llei 30/1992, de 26 de novembre, l’obertura d’un perı́ode d’informació pública, el terde transferències internacionals de dades mini per a la formulació d’al.legacions és de deu dies Article 137. Iniciació del procediment a comptar de la publicació en el Butlletı́ Oficial de 119 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal l’Estat de l’anunci que preveu la Llei esmentada. 2. En aquests supòsits, el director ha de dictar un acord d’inici referit a la suspensió temporal de 2. No és possible l’accés a la informació de l’la transferència. L’acord ha de ser motivat i s’ha de expedient en què es donin les circumstàncies estafundar en els supòsits que preveu aquest Reglament. blertes a l’article 37.5 de la Llei 30/1992, de 26 de novembre. Article 142. Instrucció i resolució 3. Transcorregut el termini previst a l’apartat 1. L’acord s’ha de traslladar a l’exportador, a 1, en cas que s’hagin formulat al.legacions, s’han de fi que en el termini de quinze dies formuli el que traslladar al sol.licitant de l’autorització, a fi que en convingui al seu dret. el termini de deu dies al.legui el que estimi proce2. Rebudes les al.legacions o complert el termident. ni assenyalat, el director ha de dictar resolució en Article 139. Actes posteriors a la resolució què acordi, si s’escau, la suspensió temporal de la 1. Quan el director de l’Agència Espanyola de transferència internacional de dades. Protecció de Dades resolgui autoritzar la transfe- Article 143. Actes posteriors a la resolució rència internacional de dades, s’ha de traslladar la 1. El director de l’Agència Espanyola de Protecresolució d’autorització al Registre General de Pro- ció de Dades ha de traslladar la resolució al Registre tecció de Dades, a fi de procedir a inscriure-la. General de Protecció de Dades, a fi que la mateixa El Registre General de Protecció de Dades ha resolució es faci constar en el Registre. d’inscriure d’ofici l’autorització de transferència inEl Registre General de Protecció de Dades ha ternacional. d’inscriure d’ofici la suspensió temporal de la trans2. En tot cas, s’ha de traslladar la resolució d’autorització o denegació de l’autorització de la transferència internacional de dades al Ministeri de Justı́cia, a l’efecte que es notifiqui a la Comissió Europea i als altres estats membres de la Unió Europea, d’acord amb el que preveu l’article 26.3 de la Directiva 95/46/CE. ferència internacional. 2. En tot cas s’ha de traslladar la resolució al Ministeri de Justı́cia, a l’efecte que es notifiqui a la Comissió Europea i als altres estats membres de la Unió Europea, d’acord amb el que preveu l’article 26.3 de la Directiva 95/46/CE. Article 144. Aixecament de la suspensió Article 140. Durada del procediment i efec- temporal tes de la falta de resolució expressa 1. La suspensió s’ha d’aixecar tan bon punt 1. El termini màxim per dictar i notificar resolu- cessin les causes que la van justificar, mitjançant ció és de tres mesos a comptar de la data d’entrada una resolució del director de l’Agència Espanyola de la sol.licitud a l’Agència Espanyola de Protecció de Protecció de Dades, que s’ha de traslladar a l’de Dades. exportador. 2. Si en aquest termini no s’ha dictat i notifi2. El director de l’Agència Espanyola de Proteccat resolució expressa, s’ha d’entendre autoritzada ció de Dades ha de traslladar la resolució al Registre la transferència internacional de dades. General de Protecció de Dades, a fi que es faci consSecció segona. Procediment de suspensió tar en el Registre. temporal de transferències internacionals de El Registre General de Protecció de Dades ha dades de fer constar d’ofici l’aixecament de la suspensió Article 141. Iniciació temporal de la transferència internacional. 1. En els supòsits que preveuen l’article 69 i l’apartat 3 de l’article 70, el director de l’Agència Espanyola de Protecció de Dades pot acordar la suspensió temporal d’una transferència internacional de dades. 3. L’acord s’ha de notificar a l’exportador i al Ministeri de Justı́cia, a l’efecte que el notifiqui a la Comissió Europea i als altres estats membres de la Unió Europea, d’acord amb el que preveu l’article 26. 3 de la Directiva 95/46/CE. 120 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal CAPÍTOL VI. Procediment d’inscripció de codis tipus Article 145. Iniciació del procediment 1. El procediment per a la inscripció en el Registre General de Protecció de Dades dels codis tipus s’ha d’iniciar sempre a sol.licitud de l’entitat, òrgan o associació promotora del codi tipus. 2. La sol.licitud, que ha de complir els requisits Registre s’han de remetre al Gabinet Jurı́dic, a fi que aquest informi sobre el compliment dels requisits que estableix el tı́tol VII d’aquest Reglament. Article 147. Informació pública 1. Quan el director de l’Agència Espanyola de Protecció de Dades acordi, conforme al que disposa l’article 86.1 de la Llei 30/1992, de 26 de novembre, l’obertura d’un perı́ode d’informació pública, el ter. legalment establerts, s’ha d’acompanyar dels docu- mini per a la formulació d’al legacions és de deu dies a comptar de la publicació en el Butlletı́ Oficial de ments següents: l’Estat de l’anunci que preveu la Llei esmentada. a) Acreditació de la representació que es doni en 2. No és possible l’accés a la informació de l’la persona que presenti la sol.licitud. expedient en què es donin les circumstàncies que b) Contingut de l’acord, conveni o decisió pel estableix l’article 37.5 de la Llei 30/1992, de 26 de qual s’aprova, en l’àmbit corresponent, el contingut novembre. del codi tipus presentat. Article 148. Millora del codi tipus c) En cas que el codi tipus procedeixi d’un acord Si durant la tramitació del procediment és nesectorial o una decisió d’empresa, certificació refecessària l’aportació de nous documents o la modirida a l’adopció de l’acord i legitimació de l’òrgan ficació del codi tipus presentat, l’Agència Espanyoque el va adoptar. la de Protecció de Dades pot requerir el sol.licitant d) En el cas que indica la lletra anterior, còpia a fi que en el termini de trenta dies introdueixi les dels estatuts de l’associació, organització sectorial modificacions que siguin necessàries, i remeti el text o entitat en el marc de la qual ha estat aprovat el resultant a l’Agència Espanyola de Protecció de Dacodi. des. e) En cas de codis tipus presentats per associS’ha de declarar la suspensió del procediment acions o organitzacions de caràcter sectorial, docu- mentre el sol.licitant no doni compliment al requementació relativa a la seva representativitat en el riment. sector. Article 149. Tràmit d’audiència f) En cas de codis tipus basats en decisions d’emEn cas que durant el tràmit que preveu l’article presa, descripció dels tractaments a què es refereix 148 s’hagin formulat al.legacions, s’han de traslladar el codi tipus. al sol.licitant de l’autorització, a fi que en el termini g) Codi tipus sotmès a l’Agència Espanyola de de deu dies al.legui el que estimi procedent. Protecció de Dades. Article 150. Resolució Article 146. Anàlisis dels aspectes substan1. Complerts els termes que estableixen els artius del codi tipus ticles precedents, el director de l’Agència ha de re1. Durant els trenta dies següents a la notifica- soldre sobre la procedència o improcedència de la ció o esmena dels defectes, el Registre General de inscripció del codi tipus en el Registre General de Protecció de Dades pot convocar els sol.licitants a fi Protecció de Dades. d’obtenir aclariments o precisions relatives al con2. Quan el director de l’Agència Espanyola de tingut substantiu del codi tipus. Protecció de Dades resolgui autoritzar la inscrip2. Transcorregut el termini assenyalat a l’apar- ció del codi tipus, la resolució s’ha de traslladar al tat anterior, el Registre General de Protecció de Da- Registre General de Protecció de Dades, a fi de prodes ha d’elaborar un informe sobre les caracterı́sti- cedir a fer-ne la inscripció. ques del projecte de codi tipus. Article 151. Durada del procediment i efec3. La documentació presentada i l’informe del tes de la falta de resolució expressa 121 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 1. El termini màxim per dictar i notificar reso- Article 154. Proposta de noves mesures comlució és de sis mesos a comptar de la data d’entrada pensatòries de la sol.licitud a l’Agència Espanyola de Protecció 1. Si l’Agència Espanyola de Protecció de Dade Dades. des considera insuficients les mesures compensatòri2. Si en aquest termini no s’ha dictat i notifi- es proposades pel sol.licitant, pot acordar l’adopció cat resolució expressa, el sol.licitant pot considerar de mesures complementàries o substitutives de les estimada la seva sol.licitud. que el sol.licitant va proposar en la seva sol.licitud. Article 152. Publicació dels codis tipus per 2. L’acord s’ha de traslladar al sol.licitant a fi l’Agència Espanyola de Protecció de Dades que exposi el que convingui al seu dret en el termini L’Agència Espanyola de Protecció de Dades ha de quinze dies. de donar publicitat al contingut dels codis tipus ins- Article 155. Terminació del procediment crits en el Registre General de Protecció de Dades, Conclosos els tràmits que preveuen els articles fent servir per a això, amb caràcter preferent, mitprecedents, el director de l’Agència ha de dictar rejans electrònics o telemàtics. solució, per la qual concedeixi o denegui l’exempCAPÍTOL VII. Altres procediments trami- ció del deure d’informar. La resolució pot imposar tats per l’Agència Espanyola de Protecció de l’adopció de les mesures complementàries a què es Dades refereix l’article anterior. Secció primera. Procediment d’exempció del deure d’informació a l’interessat Article 156. Durada del procediment i efectes de la falta de resolució expressa Article 153. Iniciació del procediment 1. El termini màxim per dictar i notificar resolució en el procediment és de sis mesos a comptar 1. El procediment per obtenir de l’Agència Esde la data d’entrada de la sol.licitud del responsapanyola de Protecció de Dades l’exempció del deure d’informar l’interessat sobre el tractament de les se- ble del fitxer a l’Agència Espanyola de Protecció de ves dades de caràcter personal quan sigui impossible Dades. o exigeixi esforços desproporcionats, que preveu l’a2. Si en aquest termini no s’ha dictat i notificat partat 5 de l’article 5 de la Llei orgànica 15/1999, resolució expressa, l’afectat pot considerar estimada de 13 de desembre, sempre s’ha d’iniciar a petició la seva sol.licitud per silenci administratiu positiu. del responsable que pretengui obtenir l’aplicació de Secció segona. Procediment per a l’autoritl’exempció. zació de conservació de dades per a fins his2. En l’escrit de sol.licitud, a més dels requisits tòrics, estadı́stics o cientı́fics que recull l’article 70 de la Llei 30/1992, de 26 de Article 157. Iniciació del procediment novembre, el responsable ha de: 1. El procediment per obtenir de l’Agència Esa) Identificar clarament el tractament de dades panyola de Protecció de Dades la declaració de la a què es pretén aplicar l’exempció del deure d’infor- concurrència en un determinat tractament de dades mar. de valors històrics, cientı́fics o estadı́stics, a l’efecte b) Indicar expressament els motius quant a les del que preveuen la Llei orgànica 15/1999, de 13 de causes en què fonamenta la impossibilitat o el ca- desembre, i el present Reglament, sempre s’ha d’iniràcter desproporcionat de l’esforç que implicaria el ciar a petició del responsable que pretengui obtenir compliment del deure d’informar. la declaració. c) Exposar detalladament les mesures compen2. En l’escrit de sol.licitud, el responsable ha de: satòries que proposa realitzar en cas d’exoneració del compliment del deure d’informar. a) Identificar clarament el tractament de dades al qual es pretén aplicar l’excepció. d) Aportar una clàusula informativa la difusió de b) Indicar expressament els motius quant a les la qual, en els termes que s’indiquin en la sol.licitud, causes que justifiquen la declaració. permeti compensar l’exempció del deure d’informar. 122 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal c) Exposar detalladament les mesures que el responsable del fitxer es proposa implantar per garantir el dret dels ciutadans. 3. La sol.licitud s’ha d’acompanyar de tots els resolució expressa, l’afectat pot considerar estimada la seva sol.licitud. DISPOSICIÓ ADDICIONAL ÚNICA. Productes de programari documents o proves que siguin necessaris per jusEls productes de programari destinats al tractatificar l’existència dels valors històrics, cientı́fics o ment automatitzat de dades personals han d’inclouestadı́stics que fonamentarien la declaració de l’Are en la seva descripció tècnica el nivell de seguretat, gència. bàsic, mitjà o alt, que permetin atènyer d’acord amb Article 158. Durada del procediment i efec- el que estableix el tı́tol VIII d’aquest Reglament. tes de la falta de resolució expressa DISPOSICIÓ FINAL ÚNICA. Aplicació su1. El termini màxim per dictar i notificar reso- pletòria En el que no estableix el capı́tol III del tı́lució en el procediment és de tres mesos a comptar tol IX són aplicables als procediments sancionadors de la data d’entrada de la sol.licitud del responsa- tramitats per l’Agència Espanyola de Protecció de ble del fitxer a l’Agència Espanyola de Protecció de Dades les disposicions que conté el Reglament del Dades. procediment per a l’exercici de la potestat sancio2. Si en aquest termini no s’ha dictat i notificat nadora, aprovat pel Reial decret 1398/1993, de 4 d’agost. 123 Normativa estatal 3.4. LLei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal 124 4 Normativa europea 125 Normativa europea 4.1. Codi de bones pràctiques de les estadı́stiques europees 4.1 Codi de bones pràctiques de les estadı́stiques europees Per a les autoritats estadı́stiques dels estats membres i de la comunitat Adoptat pel Comitè del Programa Estadı́stic el 24 de febrer del 2005 i promulgat en la recomanació de la Comissió del 25 de maig del 2005 relativa a la independència, la integritat i la responsabilitat de les autoritats estadı́stiques dels estats membres i de la comunitat El codi de conducta es basa en quinze principis. Les autoritats encarregades de la governança i les autoritats estadı́stiques de la Unió Europea es comprometen a respectar els principis establerts en el present codi i a revisar-ne l’aplicació periòdicament utilitzant els indicadors de bones pràctiques corresponents a cada un dels quinze principis, que s’hauran d’utilitzar com a referència. Entorn institucional • El director de l’autoritat estadı́stica i, quan escaigui, els caps dels seus organismes estadı́stics tenen la responsabilitat de garantir que les estadı́stiques europees s’elaboren i es difonen de forma independent. • El director de l’autoritat estadı́stica i, quan escaigui, els caps dels seus organismes estadı́stics són els únics responsables per decidir sobre els mètodes, les normes i els procediments estadı́stics, aixı́ com el contingut i el calendari de les comunicacions estadı́stiques. • Es publiquen els programes de treball estadı́stic i es descriuen els progressos assolits en informes periòdics. • Les comunicacions estadı́stiques es distingeixen clarament i s’emeten al marge de les declaracions polı́tiques. Els factors institucionals i organitzatius tenen una influència considerable en l’eficàcia i la credibilitat d’una autoritat estadı́stica que elabora i difon • Quan escau, l’autoritat estadı́stica fa comenestadı́stiques europees. Les qüestions pertinents són taris públics sobre qüestions estadı́stiques, en la independència professional, el mandat de recolliels quals inclou crı́tiques i usos inadequats de da de dades, l’adequació dels recursos, el compromı́s les estadı́stiques oficials. de qualitat, la confidencialitat estadı́stica, la imparcialitat i l’objectivitat. 2 MANDAT DE RECOLLIDA DE DADES 1 INDEPENDÈNCIA PROFESSIONAL Les autoritats estadı́stiques han de tenir un La independència professional de les autoritats mandat jurı́dic clar per recollir informació destinaestadı́stiques d’altres departaments i organismes da a l’elaboració d’estadı́stiques europees. A petició polı́tics, reguladors o administratius, aixı́ com dels de les autoritats estadı́stiques, es podrà obligar per operadors del sector privat, garanteix la credibilitat llei les administracions, les empreses, les llars i el públic en general a permetre l’accés a les dades desde les estadı́stiques europees. tinades a l’elaboració d’estadı́stiques europees o que Indicadors presentin les dades esmentades. • En la legislació s’especifica la independència de l’autoritat estadı́stica de les interferències polı́tiques i altres interferències externes a l’hora d’elaborar i difondre estadı́stiques oficials. • El director de l’autoritat estadı́stica té un nivell jeràrquic prou elevat per garantir un accés d’alt nivell a les autoritats polı́tiques i als organismes públics de caràcter administratiu. Ha de ser una persona d’una gran capacitat professional. Indicadors • En la legislació s’especifica el mandat de recollir informació destinada a l’elaboració i la difusió d’estadı́stiques oficials. • La legislació nacional permet a l’autoritat estadı́stica la utilització d’expedients administratius als efectes estadı́stics. • Sobre la base d’un acte jurı́dic, l’autoritat estadı́stica pot obligar a respondre enquestes estadı́stiques. 126 Normativa europea 4.1. Codi de bones pràctiques de les estadı́stiques europees 3 ADEQUACIÓ DELS RECURSOS Els recursos a disposició de les autoritats estadı́stiques han de ser suficients per complir els requisits de les estadı́stiques europees. • Hi ha una revisió periòdica i profunda de la producció estadı́stica clau mitjançant experts externs quan escaigui. 5 CONFIDENCIALITAT ESTADÍSTICA Indicadors S’han de garantir absolutament la privadesa dels proveı̈dors de dades (llars, empreses, administraci• Es disposa de recursos humans, financers i in- ons i altres enquestats), la confidencialitat de la informàtics adequats tant en dimensió com en formació que proporcionen i el seu ús exclusiu als qualitat per complir les necessitats actuals de efectes estadı́stics. les estadı́stiques europees. Indicadors • L’abast, el detall i el cost de les estadı́stiques • En la legislació es garanteix la confidencialitat europees són proporcionats respecte a les neestadı́stica. cessitats. • Hi ha procediments per avaluar i justificar les sol·licituds de noves estadı́stiques europees en relació amb el seu cost. • El personal de l’autoritat estadı́stica signa un compromı́s de confidencialitat jurı́dic quan és nomenat. • Hi ha procediments per avaluar la necessitat contı́nua de totes les estadı́stiques europees, per determinar si alguna pot realitzar-se de forma discontı́nua o reduir-se i, aixı́, poder alliberar recursos. • S’estableixen sancions importants per qualsevol incompliment premeditat de la confidencialitat estadı́stica. 4 COMPROMÍS DE QUALITAT Tots els membres del SEE (Sistema estadı́stic europeu) es comprometen a treballar i cooperar conforme als principis establerts en la Declaració sobre la qualitat del Sistema estadı́stic europeu. Indicadors • Es proporcionen instruccions i orientacions sobre la protecció de la confidencialitat estadı́stica en els processos d’elaboració i difusió. Les esmentades orientacions s’expressen per escrit i es posen a disposició del públic. • Hi ha disposicions fı́siques i tecnològiques per protegir la seguretat i la integritat de les bases de dades estadı́stiques. • S’apliquen protocols estrictes als usuaris externs que accedeixen a microdades a l’efecte de la investigació. • La qualitat del producte es controla periòdicament conforme als components de qualitat 6 IMPARCIALITAT I OBJECTIVITAT del SEE. Les autoritats estadı́stiques han d’elaborar i di• Hi ha processos per controlar la qualitat de la fondre estadı́stiques europees respectant la indepenrecollida, el tractament i la difusió d’estadı́sdència cientı́fica i fer-ho de forma objectiva, profestiques. sional i transparent, de manera que es tracti tots els • Hi ha processos per abordar consideracions de usuaris amb igualtat. qualitat, els quals consten de compromisos en Indicadors aquest àmbit i orientacions per a la planificació de les enquestes actuals i futures. • Les estadı́stiques es recopilen sobre una base objectiva determinada per consideracions es• Les orientacions de qualitat estan documentadı́stiques. tades i el personal té una formació adequada. Les esmentades orientacions s’expressen per • L’elecció de les fonts i les tècniques depèn de escrit i es posen a disposició del públic. consideracions estadı́stiques. 127 Normativa europea 4.1. Codi de bones pràctiques de les estadı́stiques europees • Els errors descoberts en les estadı́stiques publicades es corregeixen i es donen a conèixer al més aviat possible. • La informació sobre els mètodes i els procediments utilitzats per l’autoritat estadı́stica estan a disposició del públic. • S’anuncien prèviament la data i l’hora de comunicació de les estadı́stiques. • El registre d’empreses i el marc de les enquestes de població s’avaluen periòdicament i, en cas necessari, s’ajusten per garantir una alta qualitat. • Existeix una concordança detallada entre les classificacions nacionals i els sistemes de sectorització i els sistemes europeus corresponents. • Es contracten titulats en les disciplines acadèmiques pertinents. • Tots els usuaris tenen accés al mateix temps a les comunicacions estadı́stiques i es restringeix, es controla i es fa pública tota comunicació prèvia privilegiada a qualsevol usuari extern. En cas que es produeixin filtracions, s’haurien de revisar els acords de comunicació prèvia per garantir la imparcialitat. • El personal assisteix a cursos de formació i conferències internacionals pertinents, i es relaciona amb col·legues especialistes en estadı́stica d’àmbit internacional per aprendre dels millors professionals i augmentar els seus coneixements especialitzats. • Les comunicacions i declaracions estadı́stiques realitzades en rodes de premsa són objectives i imparcials. • S’estableix una cooperació amb la comunitat cientı́fica per millorar la metodologia, s’avalua, mitjançant revisions externes, la qualitat i l’eficàcia dels mètodes aplicats i, quan és viable, es promou l’adopció d’eines millors. Processos estadı́stics 8 PROCEDIMENTS ESTADÍSTICS ADEQUATS Les normes, orientacions i bones pràctiques, tant Unes estadı́stiques de qualitat s’han de basar en europees com internacionals, s’han de complir pleuns procediments estadı́stics adequats, aplicats des nament en els processos utilitzats per les autoritats de la recollida de les dades fins a la validació. estadı́stiques per organitzar, recollir, elaborar i difondre les estadı́stiques oficials. La credibilitat de Indicadors les estadı́stiques es veu reforçada per una reputació de bona gestió i eficàcia. Els aspectes pertinents • Quan les estadı́stiques europees es basen en són una metodologia sòlida, uns procediments estadades administratives, les definicions i els condı́stics adequats, una càrrega per als enquestats que ceptes utilitzats a efectes administratius s’han no sigui excessiva i la relació cost-eficàcia. d’aproximar bastant als que es requereixen a efectes estadı́stics. 7 METODOLOGIA SÒLIDA Unes estadı́stiques de qualitat s’han de fonamentar en una metodologia sòlida, la qual cosa exigeix eines, procediments i coneixements especialitzats adequats. Indicadors • El marc metodològic general de l’autoritat estadı́stica segueix normes, orientacions i bones pràctiques tant europees com internacionals. • Hi ha procediments per garantir que s’apliquen coherentment conceptes, definicions i classificacions estàndard en tota l’autoritat estadı́stica. • En el cas de les enquestes estadı́stiques, els qüestionaris es posen a prova sistemàticament abans de la recollida de dades. • El disseny de les enquestes, aixı́ com la selecció i ponderació de les mostres, estan ben fonamentats i es revisen o s’actualitzen d’acord amb les disposicions. • El treball de camp, la introducció de les dades i la codificació es controlen i es revisen de forma rutinària d’acord amb les disposicions. • S’utilitzen sistemes informàtics d’edició i d’imputació i es revisen o s’actualitzen periòdicament d’acord amb les disposicions. 128 Normativa europea 4.1. Codi de bones pràctiques de les estadı́stiques europees • Les revisions segueixen procediments normalitzats, consolidats i transparents. 9 UNA CÀRREGA PER ALS ENQUESTATS QUE NO SIGUI EXCESSIVA La càrrega que suposa la notificació hauria de ser proporcionada respecte a les necessitats dels usuaris i no ser excessiva per als enquestats. L’autoritat estadı́stica controla la càrrega que suposa respondre l’enquesta i fixa objectius per reduir-la progressivament. • Les operacions administratives rutinàries (per exemple, l’obtenció, la codificació i la validació de les dades) estan automatitzades tant com sigui possible. • S’està optimitzant el potencial de productivitat de la tecnologia de la informació i la comunicació als efectes de recollida, tractament i difusió de les dades. • S’estan realitzant esforços proactius per millorar el potencial estadı́stic dels registres administratius i evitar enquestes directes costoses. Indicadors Producció estadı́stica • L’abast i el detall de les demandes d’estadı́stiLes estadı́stiques disponibles han de satisfer les ques europees es limita al que és estrictament necessitats dels usuaris. Les estadı́stiques compleinecessari. xen les normes de qualitat europees i responen a les necessitats de les institucions europees, els governs, • La càrrega que suposa la notificació es repar- els organismes d’investigació, les empreses i el púteix de la manera més àmplia possible entre blic en general. Les qüestions importants afecten la població sobre la qual s’efectua l’enquesta la mesura en què les estadı́stiques són pertinents, mitjançant tècniques de mostreig apropiades. precises i fiables, oportunes, coherents, comparables entre regions i paı̈sos, i de fàcil accés per als usuaris. • En la mesura que es pugui, es pot accedir fàcilment a la informació que se sol·licita de les 11 PERTINÈNCIA empreses a partir dels seus comptes i, quan Les estadı́stiques europees han de satisfer les neés possible, s’utilitzen mitjans electrònics per cessitats dels usuaris. facilitar-ne la transmissió. Indicadors • S’accepten les estimacions i aproximacions més fiables quan no es disposa immediatament de la informació exacta. • Quan és possible s’utilitzen fonts administratives per evitar que es dupliquin les sol·licituds d’informació. • Està generalitzada la posada en comú de dades entre les autoritats estadı́stiques a fi d’evitar la multiplicació de les enquestes. 10 RELACIÓ COST-EFICÀCIA Els recursos s’han d’utilitzar eficaçment. Indicadors • Es controla la utilització dels recursos de l’autoritat estadı́stica a través de mesures internes i externes independents. • Hi ha processos per fer consultes als usuaris i controlar la pertinència i la utilitat pràctica de les estadı́stiques existents pel que fa a la satisfacció de les necessitats, aixı́ com per assessorar sobre les noves necessitats i prioritats. • Se satisfan les necessitats prioritàries i es reflecteixen en el programa de treball. • Es realitzen periòdicament enquestes per conèixer el grau de satisfacció dels usuaris 12 PRECISIÓ I FIABILITAT Les estadı́stiques europees han de reflectir la realitat de forma precisa i fidedigna. Indicadors • S’avaluen i es validen les dades originals, els resultats intermedis i la producció estadı́stica. • Es mesuren i es documenten sistemàticament els errors de mostreig i els que no són de mos129 Normativa europea 4.1. Codi de bones pràctiques de les estadı́stiques europees treig d’acord amb el marc dels components de qualitat del SEE. • Es comparen i es concilien les estadı́stiques de les diferents enquestes i fonts. • S’elaboren de forma rutinària i s’utilitzen internament estudis i anàlisis de revisions per modelar els processos estadı́stics. • Es garanteix la comparabilitat transnacional de les dades mitjançant intercanvis periòdics entre el Sistema estadı́stic europeu i altres sistemes estadı́stics; s’efectuen estudis metodològics en estreta col·laboració entre els estats membres i Eurostat. 13 OPORTUNITAT I PUNTUALITAT Les estadı́stiques europees s’han de difondre oportunament i puntualment. 15 ACCESSIBILITAT I CLAREDAT Indicadors Les estadı́stiques europees s’haurien de presentar de forma clara i comprensible, s’haurien de di• L’oportunitat s’adequa a les normes més esfondre de forma adequada i convenient i haurien trictes de difusió a escala europea i internacid’estar disponibles, i també s’hauria de permetre onal. accedir-hi de forma imparcial, amb metadades i ori• S’estableix una hora determinada del dia per entació de suport. a la comunicació d’estadı́stiques europees. Indicadors • Per establir la periodicitat de les estadı́stiques europees es tenen en compte els requisits dels usuaris en la mesura que es pugui. • En cas que la comunicació no es produeixi a l’hora establerta, es notifica per avançat, es donen explicacions i es fixa un nou termini de comunicació. • Quan es consideri convenient, es poden difondre resultats preliminars d’una qualitat global acceptable. 14 COHERÈNCIA I COMPARABILITAT Les estadı́stiques europees haurien de ser coherents internament, al llarg del temps i comparables entre regions i paı̈sos; hauria de ser possible combinar i fer un ús conjunt de les dades relacionades a partir de fonts diferents. Indicadors • Les estadı́stiques es presenten de tal manera que faciliten una interpretació adequada i comparacions significatives. • Els serveis de difusió utilitzen una tecnologia moderna d’informació i comunicació i, si escau, una còpia impresa tradicional. • Quan sigui possible se subministren anàlisis a mida i es fan públiques. • Es pot permetre l’accés a les microdades als efectes d’investigació. L’accés esmentat està sotmès a protocols estrictes. • Les metadades estan documentades d’acord amb sistemes de metadades normalitzades. • Es manté informats els usuaris sobre la metodologia dels processos estadı́stics i la qualitat de la producció estadı́stica respecte als criteris de qualitat del SEE. • Les estadı́stiques són coherents internament (per exemple, s’observen les identitats aritmè- DEFINICIONS: A L’EFECTE DEL PRESENT DOCUMENT tiques i comptables). Per estadı́stiques europees s’entenen les estadı́s• Les estadı́stiques són coherents o conciliables tiques comunitàries, tal com es defineixen al Regladurant un perı́ode raonable. ment (CE) núm. 322/97 del Consell, de 17 de febrer • Les estadı́stiques es recopilen sobre la base de de 1997, sobre l’estadı́stica comunitària, elaborades normes comunes respecte a l’abast, les defi- i definides per les autoritats nacionals d’estadı́stinicions, les unitats i les classificacions en les ca i l’autoritat estadı́stica de la Comunitat (Eurosdiferents enquestes i fonts. tat) de conformitat amb l’article 285, apartat 2, del 130 Normativa europea 4.1. Codi de bones pràctiques de les estadı́stiques europees Tractat. Per autoritat estadı́stica s’entén, a escala nacional, l’Institut Nacional d’Estadı́stica (INE) i els altres organismes estadı́stics responsables d’elaborar i difondre les estadı́stiques europees i, a escala europea, Eurostat. Per Sistema estadı́stic europeu, a partir d’ara SEE, s’entén l’associació formada per Eurostat, els instituts nacionals d’estadı́stica i els altres organismes estadı́stics responsables, a cada estat membre, d’elaborar i difondre les estadı́stiques europees. 131 Normativa europea 4.2. Reglament (CE) 322/97 – Estadı́stica comunitària 4.2 Reglamento (CE) no 322/97 del Consejo de 17 de febrer de 1997 sobre la estadı́stica comunitaria (DOCE L052 de 22.02.1997) Reglamento (CE) no 322/97 del Consejo de 17 de febrero de 1997 sobre la estadı́stica comunitaria Diario Oficial n◦ L 052 de 22/02/1997 p. 0001 - 0007 y profesionalidad en la elaboración de las estadı́sticas, respetando los mismos principios de comportamiento y de ética profesional; REGLAMENTO (CE) N◦ 322/97 DEL CONSEJO de 17 de febrero de 1997 sobre la estadı́stica comunitaria EL CONSEJO DE LA UNIÓN EUROPEA, 5. Considerando que la Comisión Estadı́stica de las Naciones Unidas para Europa aprobó el 14 de abril de 1994 una resolución sobre los principios fundamentales de la estadı́stica oficial; Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artı́culo 213, Visto el proyecto de Reglamento presentado por la Comisión (1), Visto el dictamen del Parlamento Europeo (2), Visto el dictamen del Comité Económico y Social (3), Visto el dictamen del Instituto Monetario Europeo (4), 1. Considerando que la Comisión necesita recabar toda la información necesaria para la realización de las funciones que le atribuye el Tratado a fin de garantizar el correcto funcionamiento y desarrollo del mercado común; 2. Considerando que, en particular, para la formulación, aplicación, seguimiento y evaluación de las polı́ticas previstas por el Tratado, la Comunidad debe poder fundamentar sus decisiones en estadı́sticas comunitarias actualizadas, fidedignas, pertinentes y comparables entre Estados miembros; 6. Considerando que, para preparar y llevar a cabo las acciones estadı́sticas comunitarias prioritarias, es necesario aplicar programas estadı́sticos en los que se tengan en cuenta los recursos disponibles tanto a nivel nacional como comunitario; 7. Considerando que la creación del programa estadı́stico comunitario que debe aprobar el Consejo y los programas anuales de trabajo que debe aprobar la Comisión precisan de una estrecha cooperación en el marco del Comité del programa estadı́stico, creado en virtud de la Decisión 89/382/CEE, Euratom (5); 8. Considerando que el objetivo del presente Reglamento es crear un marco legislativo para la elaboración de estadı́sticas comunitarias; que conviene tomar las medidas necesarias para planificar la producción de las estadı́sticas comunitarias que serán determinadas por acciones estadı́sticas especı́ficas; 9. Considerando que el presente Reglamento define la responsabilidad de las autoridades nacionales y de la autoridad comunitaria en la elaboración de estadı́sticas comunitarias de acuerdo con el principio de subsidiariedad definido en el artı́culo 3 B del Tratado; 3. Considerando que, para garantizar la viabilidad, coherencia y comparabilidad de las estadı́sticas comunitarias, conviene establecer una mayor colaboración y coordinación entre las autoridades que, a nivel nacional y comunitario, contribuyan a la obtención de dichos datos; que las disposiciones del presente Reglamento constituyen una etapa con vistas a la creación de un sistema estadı́stico comunitario; 10. Considerando que, en la preparación de los programas estadı́sticos, los comités creados por el Consejo en los ámbitos estadı́sticos de su competencia deben ejercer las funciones que tienen conferidas; 4. Considerando que las autoridades mencionadas deben garantizar la máxima imparcialidad 11. Considerando que los métodos y condiciones de la aplicación del programa estadı́stico co132 Normativa europea 4.2. Reglament (CE) 322/97 – Estadı́stica comunitària munitario deben definirse a través de acciones estadı́sticas especı́ficas; por otro, las funciones del Instituto Monetario Europeo; 12. Considerando que la difusión es parte del proceso de producción de estadı́sticas comunitarias; 18. Considerando que los bancos centrales nacionales deberı́an, como máximo el dı́a de la fecha de creación del Sistema europeo de bancos centrales, ser independientes de las instituciones u organismos comunitarios, de los gobiernos de los Estados miembros y de cualquier otro organismo; que, en la fase II de la Unión económica y monetaria, los Estados miembros deberı́an iniciar y completar el proceso de independencia de los bancos centrales nacionales; 13. Considerando que es importante proteger los datos confidenciales que las autoridades estadı́sticas nacionales y comunitaria recojan para la elaboración de estadı́sticas comunitarias, con el fin de obtener y conservar la confianza de quienes suministran dicha información; considerando que la confidencialidad de los datos estadı́sticos debe responder a un mismo conjunto de principios en todos los Estados miembros; 14. Considerando que, a este efecto, es preciso crear una definición común de datos confidenciales que habrá de aplicarse con respecto a la producción de estadı́sticas comunitarias; 19. Considerando que la Comisión ha consultado al Comité del programa estadı́stico, al Comité de estadı́sticas monetarias, financieras y de balanzas de pagos, creado en virtud de la Decisión 91/115/CEE (7) y al Comité consultivo europeo de información estadı́stica en los ámbitos económicos y social, creado en virtud de la Decisión 91/116/CEE (8), 15. Considerando que esta definición deberá teHA ADOPTADO EL PRESENTE REGLAner en cuenta que determinadas autoridades nacionales consideran confidenciales datos ob- MENTO: tenidos de fuentes accesibles al público, con CAPÍTULO I Disposiciones generales arreglo a la legislación nacional; Artı́culo 2 A efectos del presente Reglamento, se 16. Considerando que las normas especı́ficas pa- entenderá por: ra el tratamiento de datos en la ejecución del programa estadı́stico comunitario no afecta- estadı́sticas comunitarias : la información cuanrán a la Directiva 95/46/CE del Parlamento titativa, agregada y representativa, obtenida Europeo y del Consejo, de 24 de octubre de de la recogida y del tratamiento sistemático 1995, relativa a la protección de las personas de datos, producida por las autoridades nafı́sicas en lo que respecta al tratamiento de dacionales y comunitarias en el marco de la aplitos personales y a la libre circulación de estos cación del programa estadı́stico comunitario, datos (6); con arreglo al apartado 2 del artı́culo 3; 17. Considerando que el Tratado otorga responsa- producción de estadı́sticas : el proceso que engloba el conjunto de actividades necesarias pabilidades, en determinados ámbitos de la inra la recogida, almacenamiento, tratamiento, formación estadı́stica, al Instituto Monetario compilación, análisis y difusión de la informaEuropeo, responsabilidades que éste deberá ción estadı́stica; ejercer sin solicitar ni aceptar instrucciones de las instituciones u organismos comunitarios, autoridades nacionales : los institutos nacionade ningún gobierno de un Estado miembro ni les de estadı́stica y demás órganos encargados de ningún otro organismo; que es importante en cada Estado miembro de producir estadı́sgarantizar una coordinación apropiada entre, ticas comunitarias; por un lado, las tareas de las autoridades a nivel nacional y comunitario que contribuyan a autoridad comunitaria : el servicio de la Comila producción de estadı́sticas comunitarias y, sión encargado de desempeñar las funciones 133 Normativa europea 4.2. Reglament (CE) 322/97 – Estadı́stica comunitària que incumben a ésta en el ámbito de la producción de estadı́sticas comunitarias (Eurostat). CAPÍTULO III Principios Artı́culo 10 los resultados que se persigan. Se renunciará a la obtención de informaciones comunitarias que dejen de tener interés para los objetivos de la Comunidad. Relación coste/eficacia : significa el mejor uso de todos los recursos disponibles y la reducción al máximo del esfuerzo exigido a las unidades informantes. La carga de trabajo y el coste necesarios para la producción de las estadı́sticas deberá ser proporcional a la importancia de los resultados y beneficios que se persigan. A fin de garantizar la mayor calidad posible en los aspectos deontológicos y profesionales, las estadı́sticas comunitarias se guiarán por los principios de imparcialidad, fiabilidad, pertinencia, relación coste/eficacia, secreto estadı́stico y transparencia. Secreto estadı́stico : significa proteger los datos relacionados con las unidades estadı́sticas inLos principios mencionados en el párrafo primedividuales que se obtengan directamente con ro quedan definidos de la siguiente manera: fines estadı́sticos o indirectamente a partir de fuentes administrativas u otras, contra toda Imparcialidad : constituye una forma objetiva e infracción del derecho a la intimidad. Esto imindependiente de producir estadı́sticas comuplica la prevención de la utilización de datos nitarias, libre de toda presión de grupos polı́para fines no estadı́sticos y de su divulgación ticos u otros grupos de interés, en especial en ilı́cita. cuanto a la elección de las técnicas, las definiciones y las metodologı́as más apropiadas para Transparencia : significa que las unidades inforalcanzar los objetivos definidos. Esto implica, mantes consultadas tengan derecho a obtener asimismo, que todas las estadı́sticas estén disinformación sobre la base jurı́dica, los fines ponibles para todos los usuarios (instituciopara los que se solicitan los datos y las menes comunitarias, gobiernos, agentes sociales didas de protección adoptadas. Las autoriday económicos, medios académicos y el público des responsables de recoger datos comunitaen general) en el más breve plazo. rios adoptarán todas las medidas pertinentes para suministrar esta información. Fiabilidad : aspecto de las estadı́sticas comunitarias que les permite reflejar, con las mayor fidelidad posible, la realidad que se proponen representar. Implica la utilización de criterios cientı́ficos en la elección de las fuentes, los métodos y los procedimientos. Toda información sobre la cobertura de la encuesta, la metodologı́a, los procedimientos utilizados y las fuentes servirá para dar mayor fiabilidad a los datos. Pertinencia : significa que la producción de estadı́sticas comunitarias obedece a necesidades claramente determinadas en función de los objetivos de la Comunidad. Estas necesidades determinan los ámbitos, los plazos y el alcance de las estadı́sticas, que deben permitir seguir permanentemente los nuevos desarrollos demográficos, económicos, sociales y medioambientales. La recogida de datos se limitará a los aspectos necesarios para la obtención de CAPÍTULO IV Difusión Artı́culo 11 1. Se entiende por difusión toda actividad que permita a los usuarios acceder a las estadı́sticas comunitarias. 2. La difusión deberá realizarse de forma que garantice el acceso cómodo e imparcial a las estadı́sticas comunitarias en toda la Comunidad. 3. La difusión de estadı́sticas comunitarias correrá a cargo de la autoridad comunitaria y de las autoridades nacionales dentro de sus respectivas competencias. 134 Normativa europea 4.2. Reglament (CE) 322/97 – Estadı́stica comunitària Artı́culo 12 nacionales y por la autoridad comunitaria para fines estadı́sticos, a no ser que las unidades informanLos resultados estadı́sticos a nivel comunitario se difundirán con la misma periodicidad que la tes hayan dado inequı́vocamente su consentimiento transmisión a la autoridad comunitaria de los resul- para que se utilicen para otros fines. tados obtenidos a nivel nacional. Siempre que sea Artı́culo 16 posible y sin menoscabo de la calidad a nivel comunitario, la difusión tendrá lugar antes de que se 1. Con el fin de reducir la carga de las unidaproduzca la siguiente transmisión de datos nacionades informantes, y con sujeción a lo dispuesto les a la autoridad comunitaria. en el apartado 2, las autoridades nacionales y la autoridad comunitaria tendrán acceso a CAPÍTULO V las fuentes de datos administrativos, cada cual Secreto estadı́stico respecto de los ámbitos de actividad de sus propias administraciones públicas, en la meArtı́culo 13 dida en que dichos datos sean necesarios para la producción de estadı́sticas comunitarias. 1. Los datos que utilicen las autoridades nacionales y la autoridad comunitaria para la producción de las estadı́sticas comunitarias se considerarán confidenciales cuando permitan la identificación, directa o indirecta, de unidades estadı́sticas y, por lo tanto, la revelación de datos individuales. Para determinar si una unidad estadı́stica es identificable, deberán tenerse en cuenta todos los medios que razonablemente podrı́a utilizar un tercero para identificar la citada unidad estadı́stica. 2. No obstante lo dispuesto en el apartado 1, los datos obtenidos de fuentes que sean accesibles al público y que obrando en posesión de las autoridades nacionales sigan siendo accesibles al público con arreglo a la legislación nacional no se considerarán confidenciales. Artı́culo 14 Está permitida la transmisión entre autoridades nacionales y entre autoridades nacionales y la autoridad comunitaria de datos confidenciales que no permitan la identificación directa, siempre que ello sea necesario para la producción de estadı́sticas comunitarias especı́ficas. Toda transmisión de otro tipo deberá estar explı́citamente autorizada por las autoridades nacionales responsables de la recogida de datos. Artı́culo 15 Los datos confidenciales obtenidos exclusivamente para la producción de las estadı́sticas comunitarias sólo podrán utilizarse por las autoridades 2. Los Estados miembros y la Comisión determinarán, en sus respectivos ámbitos de competencia, cuando proceda, las modalidades prácticas y los lı́mites y las condiciones para conseguir que el acceso sea efectivo. 3. El uso de datos confidenciales obtenidos a través de fuentes administrativas u otras fuentes por parte de las autoridades nacionales o de la autoridad comunitaria para la producción de estadı́sticas comunitarias no afectará al uso de esos datos para los fines para los que se obtuvieron inicialmente dichos datos. Artı́culo 17 1. El acceso, con fines cientı́ficos, a los datos confidenciales obtenidos para la producción de estadı́sticas comunitarias puede ser permitido por la autoridad nacional responsable de la obtención de estos datos si el nivel de protección existente en el paı́s de origen de los datos y, cuando proceda, en el paı́s en que vayan a ser utilizados, está garantizado según las disposiciones establecidas en el artı́culo 18. 2. La autoridad comunitaria podrá permitir el acceso para fines cientı́ficos a datos confidenciales transmitidos a dicha autoridad de conformidad con el artı́culo 14, siempre que la autoridad nacional que haya facilitado los datos solicitados haya aprobado explı́citamente este uso. Artı́culo 18 135 Normativa europea 4.2. Reglament (CE) 322/97 – Estadı́stica comunitària 1. Deberán tomarse a nivel nacional y comunitario todas las medidas reglamentarias, administrativas, técnicas y organizativas necesarias para la protección fı́sica e informática de los datos confidenciales y para evitar cualquier riesgo de divulgación ilı́cita o la utilización para fines no estadı́sticos cuando se difundan las estadı́sticas comunitarias. 2. Los funcionarios y demás agentes de las autoridades nacionales o de la autoridad comunitaria que tengan acceso a los datos amparados por la legislación comunitaria que impone la obligación de secreto estadı́stico estarán obligados a respetar dicho secreto estadı́stico, incluso cuando hayan cesado en sus funciones. CAPÍTULO VI Disposiciones finales Artı́culo 19 1. En el caso a que se refiere la letra b) del apartado 2 del artı́culo 3, la Comisión estará asistida por el Comité del programa estadı́stico. 2. El representante de la Comisión presentará al Comité un proyecto de las medidas que deban tomarse. El Comité emitirá su dictamen sobre dicho proyecto dentro de su plazo que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate. El dictamen se emitirá según la mayorı́a prevista en el apartado 2 del artı́culo 148 del Tratado constitutivo de la Comunidad Europea para adoptar aquellas decisiones que el Consejo deba tomar a propuesta de la Comisión. Con motivo de la votación en el Comité, los votos de los representantes de los Estados miembros se ponderarán de la manera definida en el artı́culo anteriormente citado. El presidente no tomará parte en la votación. 3. a) La Comisión adoptará las medidas previstas cuando sean conformes al dictamen del Comité. b) Cuando las medidas previstas no sean conformes al dictamen del Comité, o en caso de ausencia de dictamen, la Comisión someterá sin demora al Consejo una propuesta relativa a las medidas que deban tomarse. El Consejo se pronunciará por mayorı́a cualificada. Si transcurrido un plazo de tres meses a partir del momento en que la propuesta se haya sometido al Consejo éste no se hubiere pronunciado, la Comisión adoptará las medidas propuestas. Artı́culo 20 1. Para la adopción de las medidas necesarias para la aplicación del capı́tulo V, en especial las dirigidas a garantizar que todas las autoridades nacionales y la autoridad comunitaria apliquen los mismos principios y normas mı́nimas para evitar la difusión de datos estadı́sticos comunitarios confidenciales y las condiciones que regulan el acceso por motivos cientı́ficos, de acuerdo con el apartado 2 del artı́culo 17, a datos confidenciales en poder de las autoridades comunitarias, asistirá a la Comisión el Comité del secreto estadı́stico, creado en virtud del artı́culo 7 del Reglamento (Euratom, CEE) n◦ 1588/90 del Consejo, de 11 de junio de 1990, relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico (9). 2. El representante de la Comisión presentará al Comité un proyecto de las medidas que deban tomarse. El Comité emitirá su dictamen sobre dicho proyecto dentro de un plazo que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate. El dictamen se emitirá según la mayorı́a prevista en el apartado 2 del artı́culo 148 del Tratado para adoptar aquellas decisiones que el Consejo debe tomar a propuesta de la Comisión. Con motivo de la votación en el Comité, los votos de los representantes de los Estados miembros se ponderarán de la manera definida en el artı́culo anteriormente citado. El presidente no tomará parte en la votación. 3. a) La Comisión adoptará medidas que serán inmediatamente aplicables. b) No obstante, cuando no sean conformes al dictamen emitido por el Comité, 136 Normativa europea 4.2. Reglament (CE) 322/97 – Estadı́stica comunitària la Comisión comunicará inmediatamente Las estadı́sticas producidas a partir de actos judichas medidas al Consejo. rı́dicos comunitarios existentes se considerarán esEn tal caso, la Comisión pospondrá la aplica- tadı́sticas comunitarias, con independencia de los ción de las medidas que haya decidido por un procedimientos de decisión por los cuales se hayan perı́odo de tres meses a partir de la fecha de realizado. su comunicación al Consejo. Las estadı́sticas que produzcan o hayan de producir las autoridades nacionales y la autoridad coEl Consejo, por mayorı́a cualificada, podrá tomunitaria en virtud de la aplicación del programa mar una decisión diferente dentro del plazo marco para acciones prioritarias en el ámbito de la previsto en el párrafo precedente. información estadı́stica 1993-1997, establecido mediante la Decisión 93/464/CEE (10), se consideraArtı́culo 21 rán estadı́sticas comunitarias. 1. El presente Reglamento se aplicará sin perjuicio de la Directiva 95/46/CE. Artı́culo 23 Artı́culo 22 G. ZALM El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario 2. El punto 1 del artı́culo 2 del Reglamento (EuOficial de las Comunidades Europeas. ratom, CEE) n◦ 1588/90 se sustituirá por el El presente Reglamento será obligatorio en totexto siguiente: dos sus elementos y directamente aplicable en cada 1. Datos estadı́sticos confidenciales: los que Estado miembro. se definen en el artı́culo 13 del Reglamento ◦ Hecho en Bruselas, el 17 de febrero de 1997. (CE) n 322/97 sobre la estadı́stica comunitaria (*); (*) DO n◦ L 52 de 22. 2. 1997, p. Por el Consejo 1.. El Presidente (1) DO n◦ C 106 de 14. 4. 1994, p. 22. (2) DO n◦ C 109 de 1. 5. 1995, p. 321. (3) DO n◦ C 195 de 18. 7. 1994, p. 1. (4) Parecer emitido el 7 de febrero de 1995. (5) DO n◦ L 181 de 28. 6. 1989, p. 47. (6) DO n◦ L 281 de 23. 11. 1995, p. 31. (7) DO n◦ L 59 de 6. 3. 1991, p. 19. (8) DO n◦ L 59 de 6. 3. 1991, p. 21. (9) DO n◦ L 151 de 15. 6. 1990, p. 1. (10) DO n◦ L 219 de 28. 8. 1993, p. 1. 137 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials 4.3 REGLAMENTO (CE) No 831/2002 DE LA COMISIÓN DE 17 DE MAYO DE 2002 POR EL QUE SE APLICA EL REGLAMENTO (CE) N◦ 322/97 DEL CONSEJO SOBRE LA ESTADÍSTICA COMUNITARIA EN LO RELATIVO AL ACCESO CON FINES CIENTÍFICOS A DATOS CONFIDENCIALES (TEXTO PERTINENTE A EFECTOS DEL EEE) LA COMISIÓN DE LAS COMUNIDADES EUROPEAS, Visto el Tratado constitutivo de la Comunidad Europea, Visto el Reglamento (CE) n◦ 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadı́stica comunitaria(1) y, en particular, el apartado 2 de su artı́culo 17 y el apartado 1 de su artı́culo 20, Considerando lo siguiente: de diciembre de 2000, relativo a la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos(3). 6. Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del secreto estadı́stico. 1. Existe una creciente demanda por parte de los investigadores y de la comunidad cientı́fiHA ADOPTADO EL PRESENTE REGLAca en general de disponer de un acceso, con fines cientı́ficos, a datos confidenciales trans- MENTO: mitidos a la autoridad comunitaria. Artı́culo 1 Objetivo 2. Puede concederse el acceso con fines cientı́ficos a datos confidenciales bien autorizando su consulta en las instalaciones de la autoridad comunitaria, o bien comunicando datos anónimos a los investigadores en condiciones especı́ficas (acceso controlado). El objetivo del presente Reglamento es fijar las condiciones en que puede concederse el acceso a datos confidenciales transmitidos a la autoridad comunitaria y las reglas de cooperación entre las autoridades comunitarias y nacionales para facilitar este acceso, con objeto de permitir extraer conclusiones estadı́sticas con fines cientı́ficos. 3. El presente Reglamento respeta los derechos Artı́culo 2 Definiciones fundamentales y observa los principios reconocidos, specialmente, en la Carta de los DeA efectos del presente Reglamento, se entenderá rechos Fundamentales de la Unión Europea. por: 4. El presente Reglamento garantiza, en partien el arcular, el pleno respeto del derecho a la vida autoridad comunitaria , como se define tı́culo 2 del Reglamento (CE) n◦ 322/97, el privada y a la protección de datos personales servicio de la Comisión encargado de desem(artı́culos 7 y 8 de la Carta de los Derechos peñar las funciones que incumben a ésta en el Fundamentales de la Unión Europea). ámbito de la producción de estadı́sticas comu5. El presente Reglamento se aplicará sin perjuinitarias (Eurostat), - .estadı́sticas comunitacio de la Directiva 95/46/CE del Parlamenrias”, como se define en el artı́culo 2 del Reglato Europeo del Consejo, de 24 de octubre de mento (CE) n◦ 322/97, la información cuanti1995, relativa a la protección de las personas tativa, agregada y representativa, obtenida de fı́sicas en lo que respecta al tratamiento de dala recogida y del tratamiento sistemático de tos personales y a la libre circulación de estos datos, producida por las autoridades nacionadatos(2) y del Reglamento (CE) n◦ 45/2001 les y comunitarias en el marco de la aplicación del Parlamento Europeo y del Consejo, de 18 del programa estadı́stico comunitario, 138 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials datos confidenciales aquellos datos que sólo permitan una identificación indirecta de las unidades estadı́sticas en cuestión, acceso a datos confidenciales , bien el acceso en las instalaciones de la autoridad comunitaria o la divulgación de microdatos anónimos, microdatos anónimos , los registros estadı́sticos individuales que se hayan modificado con objeto de reducir al mı́nimo, con arreglo a las mejores prácticas actuales, el riesgo de identificación de las unidades estadı́sticas a las que hacen referencia, - .autoridades nacionales”, como se define en el artı́culo 2 del Reglamento (CE) n◦ 322/97, los institutos nacionales de estadı́stica y demás órganos encargados en cada Estado miembro de producir estadı́sticas comunitarias. Artı́culo 3 Admisibilidad de las solicitudes ratione personae” 1. La autoridad comunitaria podrá conceder el acceso a datos confidenciales a aquellos investigadores que pertenezcan a organismos incluidos en cualquiera de las siguientes categorı́as: a) universidades y otras instituciones de enseñanza superior establecidas de conformidad con el Derecho comunitario o con el Derecho de un Estado miembro; b) organizaciones o instituciones de investigación cientı́fica establecidas de conformidad con el Derecho comunitario o con el Derecho de un Estado miembro; encargo pertenecerán a las categorı́as de organismos indicadas en el apartado 1. Los organismos encargados de la investigación también podrán ser organizaciones o instituciones a los que los servicios de la Comisión o de las administraciones de los Estados miembros hayan solicitado trabajos especı́ficos de investigación. Estas organizaciones o instituciones tendrán personalidad jurı́dica. Artı́culo 4 Requisitos generales 1. A condición de que se cumplan los requisitos especı́ficos estipulados en los artı́culos 5 y 6, en función del caso, la autoridad comunitaria podrá conceder el acceso a datos confidenciales siempre que se den las siguientes condiciones: a) deberá haberse presentado una solicitud adecuada junto con una propuesta de investigación pormenorizada de conformidad con las normas cientı́ficas vigentes; b) la propuesta de investigación deberá indicar, con suficientes detalles, el conjunto de datos a los que se desea acceder, los métodos de análisis y una indicación del tiempo necesario; c) el investigador, su institución o la organización que haya encargado una investigación, según proceda, y la autoridad comunitaria habrán firmado un contrato en que se especificarán las condiciones de acceso, las obligaciones de los investigadores, las medidas para respetar la confidencialidad de los datos estadı́sticos y las sanciones en caso de violación de estas obligaciones; c) otras agencias, organizaciones e instituciones, tras haber recibido el dictamen del Comité del secreto estadı́stico, de conformidad con el procedimiento establecido en el apartado 2 del artı́culo 20 del Reglamento (CE) n◦ 322/97. d) la autoridad nacional que haya proporcionado los datos habrá sido informada antes de concederse el acceso. 2. La autoridad comunitaria también podrá conceder el acceso a datos confidenciales a aquellos investigadores que pertenezcan a organismos encargados de efectuar trabajos de investigación con fines cientı́ficos. El organismo que encarga los trabajos y aquel que recibe este 2. Además de las condiciones establecidas en el apartado 1, la autoridad comunitaria podrá conceder el acceso a datos confidenciales en sus instalaciones, tal como se indica en el artı́culo 5, siempre que también se cumplan las siguientes condiciones: 139 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials a) la investigación se realizará exclusivamente en las instalaciones de la autoridad comunitaria y bajo la supervisión de un funcionario de esta autoridad designado a tal efecto; b) los resultados de la investigación no podrán salir de las instalaciones de la autoridad comunitaria sin una comprobación previa para asegurar que no incluyen datos confidenciales; c) la autoridad comunitaria comprobará los futuros resultados que vayan a publicarse o divulgarse de cualquier otra forma, para evitar la difusión de datos confidenciales. Artı́culo 5 Acceso a las instalaciones de la autoridad comunitaria 1. La autoridad comunitaria podrá conceder el acceso en sus instalaciones a datos confidenciales obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos: • panel de hogares de la Comunidad Europea, • panel de hogares de la Comunidad Europea, • encuesta de población activa, • encuesta de la Comunidad sobre la innovación, • encuesta sobre la formación profesional permanente. No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el acceso a los datos de esta autoridad nacional para un proyecto especı́fico de investigación. 2. Antes de esta divulgación, la autoridad comunitaria garantizará, en colaboración con las autoridades nacionales, que los métodos para lograr el anonimato aplicados a esos conjuntos de microdatos reduzcan al mı́nimo, conforme a las mejores prácticas vigentes, el riesgo de identificación de las unidades estadı́sticas en cuestión, de conformidad con el Reglamento (CE) n◦ 322/97. Artı́culo 7 Acuerdos bilaterales Cada autoridad nacional y la autoridad comunitaria acordarán bilateralmente por escrito las dispo• encuesta de población activa, siciones prácticas y las condiciones señaladas en los • encuesta de la Comunidad sobre la inno- artı́culos 5 y 6. Los acuerdos bilaterales y cualquier vación, modificación que reciban se notificarán al Comité • encuesta sobre la formación profesional del secreto estadı́stico. permanente. Artı́culo 8 Cuestiones de organización No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el acceso a los datos de esta autoridad nacional para un proyecto especı́fico de investigación. 2. A condición de que la autoridad nacional competente conceda una aprobación explı́cita y previa, la autoridad comunitaria podrá conceder el acceso dentro de sus instalaciones a otros datos confidenciales distintos de los mencionados en el apartado 1. Artı́culo 6 Divulgación de microdatos anónimos 1. La autoridad comunitaria podrá divulgar conjuntos de microdatos anónimos obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos: 1. La autoridad comunitaria adoptará las medidas administrativas, técnicas y organizativas necesarias para garantizar que el acceso a datos confidenciales no menoscabe la protección fı́sica y lógica de los datos, ni permita su divulgación o utilización ilegal para fines distintos de aquellos para los que se concedió el acceso. 2. Siempre que se solicite la posición de las autoridades nacionales, éstas y la autoridad comunitaria adoptarán medidas técnicas y organizativas para garantizar una colaboración adecuada y eficaz, sin retrasos innecesarios y teniendo en cuenta las necesidades del proyecto de investigación. Se hará todo lo posible para garantizar que las autoridades nacionales, tal como disponen los artı́culos 5 o 6, se 140 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials pronuncien a más tardar seis semanas después de haber recibido la solicitud en cuestión. 3. A condición de que funcionen los dispositivos de protección de la confidencialidad de los datos y que se haya concedido la aprobación de las autoridades nacionales que transmitieron los datos a la autoridad comunitaria, también se podrá autorizar el acceso a datos confidenciales en una zona segura de las instalaciones de una autoridad nacional. En tal caso, las medidas aplicadas para garantizar la protección fı́sica y lógica de los datos serán comparables a las aplicadas en las instalaciones de la autoridad comunitaria. Artı́culo 9 Costes Los solicitantes sufragarán los costes relacionados con el acceso a datos confidenciales de conformidad con el presente Reglamento y, en particular, la utilización de las infraestructuras de la Comisión. A la hora de determinar los costes, la autoridad comunitaria garantizará que no supongan una competencia desleal con las autoridades nacionales. Artı́culo 10 Medidas de salvaguardia unidades estadı́sticas en cuestión. 2. La autoridad comunitaria mantendrá un registro público con toda la información pertinente. Artı́culo 11 Informes La Comisión presentará anualmente un informe sobre la aplicación del presente Reglamento ante el Comité del secreto estadı́stico. En el informe figurarán, entre otros, los nombres y direcciones de los investigadores y sus instituciones, los datos consultados, los costes cobrados, la descripción de los proyectos de investigación y las publicaciones resultantes. Artı́culo 12 Entrada en vigor El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario Oficial de las Comunidades Europeas. El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro. Hecho en Bruselas, el 17 de mayo de 2002. Por la Comisión 1. La autoridad comunitaria garantizará que los datos consultados no contengan información que permita la identificación directa de las Pedro Solbes Mira Miembro de la Comisión (1) DO L 52 de 22.2.1997, p. 1. (2) DO L 281 de 23.11.1995, p. 31. (3) DO L 8 de 12.1.2001, p. 1. 141 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials 4.3.1 Reglamento (CE) n o 1104/2006 de la Comisión, de 18 de julio de 2006 , por el que se modifica el Reglamento (CE) n o 831/2002 por el que se aplica el Reglamento (CE) n o 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales (Texto pertinente a efectos del EEE) Diario Oficial n◦ L 197 de 19/07/2006 p. 0003 0004 Reglamento (CE) no 1104/2006 de la Comisión de 18 de julio de 2006 por el que se modifica el Reglamento (CE) no 831/2002 por el que se aplica el Reglamento (CE) no 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales (Texto pertinente a efectos del EEE) LA COMISIÓN DE LAS COMUNIDADES EUROPEAS, El acceso a estos datos confidenciales beneficiará ampliamente al trabajo de investigación sobre los ingresos de los particulares y sus relaciones con las caracterı́sticas del empresario. Por consiguiente, esta encuesta debe añadirse a la enumeración del Reglamento (CE) no 831/2002. 3. Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del secreto estadı́stico. HA ADOPTADO EL PRESENTE REGLAVisto el Tratado constitutivo de la Comunidad MENTO: Europea, Artı́culo 1 Visto el Reglamento (CE) no 322/97 del ConEl Reglamento (CE) no 831/2002 queda modisejo, de 17 de febrero de 1997, sobre la estadı́stificado como sigue: ca comunitaria [1], y, en particular, su artı́culo 17, apartado 2, y su artı́culo 20, apartado 1, 1. En el artı́culo 5, el apartado 1 se sustituye por Considerando lo siguiente: el apartado siguiente: ”1. La autoridad comunitaria podrá conceder el acceso en sus ins1. El Reglamento (CE) no 831/2002 de la Cotalaciones a datos confidenciales obtenidos de misión [2] establece las condiciones en que se las siguientes encuestas o fuentes de datos espuede autorizar el acceso a los datos confitadı́sticos: denciales transmitidos a la autoridad comunitaria, con objeto de permitir la extracción de • panel de hogares de la Comunidad Euroconclusiones estadı́sticas con fines cientı́ficos, pea, y enumera las distintas encuestas y fuentes de • encuesta de población activa, datos a que hace referencia. • encuesta de la Comunidad sobre la inno2. Los investigadores y la comunidad cientı́fica vación, en general solicitan cada vez más el acceso • encuesta sobre la formación profesional con fines cientı́ficos, asimismo, a datos confipermanente, denciales de la Encuesta sobre la estructura • encuesta sobre la estructura de los salade los salarios. La Encuesta sobre la estructurios. ra de los salarios constituye una serie de datos estructurales armonizados de toda la UE sobre ingresos brutos, horas pagadas y dı́as de vacaciones pagadas al año que se recopilan cada cuatro años con arreglo al Reglamento (CE) no 530/1999 del Consejo, de 9 de marzo de 1999, relativo a las estadı́sticas estructurales sobre ingresos y costes salariales [3]. No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el acceso a los datos de esta autoridad nacional para un proyecto especı́fico de investigación.”. 2. En el artı́culo 6, el apartado 1 se sustituye por el apartado siguiente: ”1. La autoridad comu142 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials nitaria podrá divulgar conjuntos de microdatos anónimos obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos: Artı́culo 2 El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario • panel de hogares de la Comunidad Euro- Oficial de la Unión Europea. El presente Reglamento será obligatorio en todos sus elementos y direcpea, tamente aplicable en cada Estado miembro. • encuesta de población activa, Hecho en Bruselas, el 18 de julio de 2006. • encuesta de la Comunidad sobre la innoPor la Comisión vación, • encuesta sobre la formación profesional permanente, Joaquı́n Almunia Miembro de la Comisión • encuesta sobre la estructura de los sala[1] DO L 52 de 22.2.1997, p. 1. Reglamento modificado rios. por el Reglamento (CE) no 1882/2003 del Parlamento Europeo y del Consejo (DO L 284 de 31.10.2003, p. 1). No obstante, a instancias de la autoridad na[2] DO L 133 de 18.5.2002, p. 7. cional que ofrezca los datos, no se concederá el [3] DO L 63 de 12.3.1999, p. 6. Reglamento modificado acceso a los datos de esta autoridad nacional por el Reglamento (CE) no 1882/2003. para un proyecto especı́fico de investigación.”. 143 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials 4.3.2 Reglamento (CE) n◦ 1000/2007 de la Comisión, de 29 de agosto de 2007 , por el que se modifica el Reglamento (CE) n◦ 831/2002 por el que se aplica el Reglamento (CE) n◦ 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales (Texto pertinente a efectos del EEE ) Reglamento (CE) no 1000/2007 de la Comisión de 29 de agosto de 2007 por el que se modifica el Reglamento (CE) no 831/2002 por el que se aplica el Reglamento (CE) no 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales LA COMISIÓN DE LAS COMUNIDADES EUROPEAS, Visto el Tratado constitutivo de la Comunidad Europea, Visto el Reglamento (CE) no 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadı́stica comunitaria [1], y, en particular, su artı́culo 20, Considerando lo siguiente: 1. El Reglamento (CE) no 831/2002 de la Comisión [2] establece las condiciones en que se puede autorizar el acceso a los datos confidenciales transmitidos a la autoridad comunitaria, con objeto de permitir la extracción de conclusiones estadı́sticas con fines cientı́ficos. Asimismo, en él se enumeran las categorı́as de organismos a cuyos investigadores puede autorizarse dicho acceso, estableciendo una distinción entre organismos directamente admisibles y organismos que son admisibles después de haber recibido el dictamen del Comité del secreto estadı́stico, y se enumeran también las distintas encuestas y fuentes de datos a las que se aplica. deben considerarse también organismos directamente admisibles. 3. Asimismo, los investigadores y la comunidad cientı́fica en general solicitan cada vez más el acceso con fines cientı́ficos a datos confidenciales de la encuesta sobre la educación de adultos (EEA). La EEA incluye información sobre pautas complejas de participación de los adultos en la educación y la formación, el acceso a la información sobre las oportunidades de aprendizaje ası́ como el perfil de los participantes y el de los no participantes (por ejemplo, origen socioeconómico, razones para el aprendizaje, obstáculos, actitudes y autoevaluación de las competencias lingüı́sticas e informáticas). Por consiguiente, esta encuesta debe añadirse a la lista que figura en el Reglamento (CE) no 831/2002. 4. Mediante el Reglamento (CE) no 1177/2003 del Parlamento Europeo y del Consejo, de 16 de junio de 2003, relativo a las estadı́sticas comunitarias sobre la renta y las condiciones de vida (EU-SILC) [3], se extendieron asimismo las condiciones previstas en el Reglamento (CE) no 831/2002 al acceso con fines cientı́ficos a datos confidenciales procedentes de las estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida (EU-SILC). Sin embargo, las estadı́sticas EU-SILC no se mencionan en el Reglamento (CE) no 831/2002. En aras de la claridad, deben añadirse estas estadı́sticas a la lista que figura en el Reglamento (CE) no 831/2002. 2. En muchos casos, las investigaciones cientı́ficas las efectúan unidades o departamentos que 5. Por consiguiente, debe modificarse el Reglapertenecen a institutos nacionales de estadı́smento (CE) no 831/2002 en consecuencia. tica y a bancos centrales nacionales de los Estados miembros, ası́ como al Banco Central 6. Las medidas previstas en el presente ReglaEuropeo (BCE). Estos organismos proporciomento se ajustan al dictamen del Comité del nan las garantı́as pertinentes en lo que se resecreto estadı́stico. fiere al trato confidencial y la protección de los datos ası́ como a los fines estrictamente cientı́HA ADOPTADO EL PRESENTE REGLAficos del acceso a los datos. Por consiguiente, MENTO: 144 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials Artı́culo 1 El Reglamento (CE) no 831/2002 queda modificado como sigue: 1. En el artı́culo 3, el apartado 1 se sustituye por el texto siguiente: ”1. La autoridad comunitaria podrá conceder el acceso a datos confidenciales a aquellos investigadores que pertenezcan a organismos incluidos en cualquiera de las siguientes categorı́as: a) universidades y otras instituciones de enseñanza superior establecidas de conformidad con el Derecho comunitario o con el Derecho de un Estado miembro; b) organizaciones o instituciones de investigación cientı́fica establecidas de conformidad con el Derecho comunitario o con el Derecho de un Estado miembro; c) institutos nacionales de estadı́stica de los Estados miembros; d) el Banco Central Europeo y los bancos centrales nacionales de los Estados miembros; e) otras agencias, organizaciones e instituciones, tras haber recibido el dictamen del Comité del Secreto Estadı́stico, de conformidad con el procedimiento establecido en el artı́culo 20, apartado 2, del Reglamento (CE) no 322/97.”. No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el acceso a los datos de esta autoridad nacional para un proyecto especı́fico de investigación.”. 3. En el artı́culo 6, el apartado 1 se sustituye por el texto siguiente: ”1. La autoridad comunitaria podrá divulgar conjuntos de microdatos anónimos obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos: • panel de hogares de la Comunidad Europea, • encuesta de población activa, • encuesta de la Comunidad sobre la innovación, • encuesta sobre la formación profesional permanente, • encuesta sobre la estructura de los salarios, • estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida, • encuesta sobre la educación de adultos. No obstante, a instancias de la autoridad nacional que ofrezca los datos, no se concederá el acceso a los datos de esta autoridad nacional para un proyecto especı́fico de investigación.”. Artı́culo 2 2. En el artı́culo 5, el apartado 1 se sustituye por El presente Reglamento entrará en vigor el vigéel texto siguiente: ”1. La autoridad comunita- simo dı́a siguiente al de su publicación en el Diario ria podrá conceder el acceso en sus instala- Oficial de la Unión Europea. ciones a datos confidenciales obtenidos de las El presente Reglamento será obligatorio en tosiguientes encuestas o fuentes de datos estados sus elementos y directamente aplicable en cada dı́sticos: Estado miembro. • panel de hogares de la Comunidad EuroHecho en Bruselas, el 29 de agosto de 2007. pea, Por la Comisión • encuesta de población activa, Joaquı́n Almunia • encuesta de la Comunidad sobre la innovación, Miembro de la Comisión • encuesta sobre la formación profesional [1] DO L 52 de 22.2.1997, p. 1. Reglamento modificado permanente, por el Reglamento (CE) no 1882/2003 del Parlamento Euro• encuesta sobre la estructura de los sala- peo y del Consejo (DO L 284 de 31.10.2003, p. 1). rios, [2] DO L 133 de 18.5.2002, p. 7. Reglamento modificado por el Reglamento (CE) no 1104/2006 (DO L 197 de • estadı́sticas de la Unión Europea sobre 19.7.2006, p. 3). la renta y las condiciones de vida, [3] DO L 163 de 3.7.2003, p. 1. • encuesta sobre la educación de adultos. 145 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials 4.3.3 Reglamento (CE) n o 606/2008 de la Comisión, de 26 de junio de 2008 , por el que se modifica el Reglamento (CE) n o 831/2002 por el que se aplica el Reglamento (CE) n o 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales Texto pertinente a efectos del EEE Reglamento (CE) no 606/2008 de la Comisión 3. Las medidas previstas en el presente Reglade 26 de junio de 2008 por el que se modifica el mento se ajustan al dictamen del Comité del Reglamento (CE) no 831/2002 por el que se aplica secreto estadı́stico. el Reglamento (CE) no 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con HA ADOPTADO EL PRESENTE REGLAfines cientı́ficos a datos confidenciales MENTO: LA COMISIÓN DE LAS COMUNIDADES EUROPEAS, Artı́culo 1 El Reglamento (CE) no 831/2002 queda modiVisto el Tratado constitutivo de la Comunidad ficado como sigue: Europea, 1. En el artı́culo 5, el apartado 1 se sustituye por Visto el Reglamento (CE) no 322/97 del Conel texto siguiente: ”1. La autoridad comunitasejo, de 17 de febrero de 1997, sobre la estadı́stiria podrá conceder el acceso en sus instalaca comunitaria [1], y, en particular, su artı́culo 17, ciones a datos confidenciales obtenidos de las apartado 2, y su artı́culo 20, apartado 1, siguientes encuestas o fuentes de datos estaConsiderando lo siguiente: dı́sticos: 1. El Reglamento (CE) no 831/2002 de la Comisión [2] establece las condiciones en que se puede autorizar el acceso a los datos confidenciales transmitidos a la autoridad comunitaria, con objeto de permitir la extracción de conclusiones estadı́sticas con fines cientı́ficos. En él se enumeran las distintas encuestas y fuentes de datos a los que se aplica. 2. Los investigadores y la comunidad cientı́fica en general solicitan también cada vez más el acceso con fines cientı́ficos a datos confidenciales de la encuesta sobre la estructura de las explotaciones agrı́colas (EEA). El acceso a los microdatos de la EEA permitirı́a a los investigadores estudiar las relaciones entre las diferentes caracterı́sticas de cada explotación agrı́cola, tales como los tipos de cultivos practicados, el ganado y la mano de obra. También permitirı́a a los investigadores mejorar los modelos y los indicadores agroambientales regionales que se basan en la actualidad en datos agregados. Por consiguiente, esta encuesta debe añadirse a la lista que figura en el Reglamento (CE) no 831/2002. • panel de hogares de la Comunidad Europea, • encuesta de población activa, • encuesta de la Comunidad sobre la innovación, • encuesta sobre la formación profesional permanente, • encuesta sobre la estructura de los salarios, • estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida, • encuesta sobre la educación de adultos, • encuesta sobre la estructura de las explotaciones agrı́colas. No obstante, a instancias de la autoridad nacional que haya facilitado los datos, no se concederá el acceso a los datos de esta autoridad nacional para un proyecto especı́fico de investigación.”. 2. En el artı́culo 6, el apartado 1 se sustituye por el texto siguiente: ”1. La autoridad comunitaria podrá divulgar conjuntos de microdatos 146 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials hechos anónimos obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos: • panel de hogares de la Comunidad Europea, No obstante, a instancias de la autoridad nacional que haya facilitado los datos, no se concederá el acceso a los datos de esta autoridad nacional para un proyecto especı́fico de investigación.”. • encuesta de población activa, • encuesta de la Comunidad sobre la innovación, • • • • • Artı́culo 2 El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario encuesta sobre la formación profesional Oficial de la Unión Europea. permanente, El presente Reglamento será obligatorio en toencuesta sobre la estructura de los salados sus elementos y directamente aplicable en cada rios, Estado miembro. estadı́sticas de la Unión Europea sobre Hecho en Bruselas, el 26 de junio de 2008. la renta y las condiciones de vida, Por la Comisión encuesta sobre la educación de adultos, Joaquı́n Almunia encuesta sobre la estructura de las explotaciones agrı́colas. Miembro de la Comisión [1] DO L 52 de 22.2.1997, p. 1. Reglamento modificado por el Reglamento (CE) no 1882/2003 del Parlamento Europeo y del Consejo (DO L 284 de 31.10.2003, p. 1). [2] DO L 133 de 18.5.2002, p. 7. Reglamento modificado en último lugar por el Reglamento (CE) no 1000/2007 (DO L 226 de 30.8.2007, p. 7). 147 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials 4.3.4 Reglamento (UE) no 520/2010 de la Comisión de 16 de junio de 2010 por el que se modifica el Reglamento (CE) no 831/2002, relativo al acceso con fines cientı́ficos a datos confidenciales, por lo que se refiere a las encuestas y fuentes de datos estadı́sticos disponibles LA COMISIÓN DE LAS COMUNIDADES EU- especı́ficos destinados a diferentes grupos de poblaROPEAS, ción o para evaluar los planes de prevención euroVisto el Tratado de Funcionamiento de la Unión peos o nacionales. Europea, Visto el Reglamento (CE) no 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadı́stica europea [1], y, en particular, su artı́culo 23, Considerando lo siguiente: (1) El Reglamento (CE) no 831/2002 de la Comisión [2] establece las condiciones en que se puede autorizar el acceso a los datos confidenciales transmitidos a la autoridad comunitaria, con objeto de permitir la extracción de conclusiones estadı́sticas con fines cientı́ficos. En él se enumeran las distintas encuestas y fuentes de datos a los que se aplica. (2) Existe una demanda creciente por parte de investigadores y de la comunidad cientı́fica en general para poder acceder con fines cientı́ficos a datos confidenciales de la encuesta europea de salud mediante entrevista, las estadı́sticas comunitarias de la sociedad de la información, la encuesta de presupuestos de los hogares y la relación estadı́stica de los transportes de mercancı́as por carretera. (4) En el Reglamento (CE) no 808/2004 del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativo a estadı́sticas comunitarias de la sociedad de la información [3], se establece un marco para el suministro de datos estadı́sticos armonizados sobre la utilización de las tecnologı́as de la información y la comunicación (TIC) en los hogares y por parte de los individuos. El acceso a conjuntos de datos individuales aportarı́a grandes beneficios al trabajo de investigación sobre el impacto de la utilización de las TIC en las sociedades europeas y en la inclusión digital. Los resultados pueden utilizarse para evaluar las polı́ticas existentes y para definir nuevas polı́ticas pertinentes a nivel nacional y europeo, como por ejemplo la estrategia i2010. (5) La encuesta de presupuestos de los hogares incluye la clasificación de los gastos en función de las caracterı́sticas del hogar y con arreglo a la persona de referencia y la renta del hogar. La homogeneidad de esta fuente permite la creación de herramientas de microsimulación a fin de someter a prueba las hipótesis a nivel de la UE y de ayudar a los responsables de las polı́ticas a tomar decisiones con (3) La encuesta europea de salud mediante en- conocimiento de causa. trevista tiene como objetivo medir, de manera ar(6) En el Reglamento (CE) no 1172/98 del Conmonizada y con un grado elevado de comparabilidad sejo, de 25 de mayo de 1998, sobre la relación estaentre los Estados miembros de la UE, la situación dı́stica de los transportes de mercancı́as por carresanitaria, el estilo de vida (determinantes de la satera [4], se exige que los paı́ses que envı́an informes lud) y la utilización de los servicios de atención saproporcionen trimestralmente a Eurostat microdanitaria por parte de los ciudadanos de la UE. La tos sobre los vehı́culos seleccionados para la mueselección de los temas incluidos en el cuestionario se tra, los recorridos realizados por estos vehı́culos y basa tanto en las necesidades de las polı́ticas colos productos transportados entre regiones duranmo en fines cientı́ficos. La utilización de conjuntos te estos recorridos. El acceso de los investigadores de datos individuales permitirá que los investigadoa estos datos serı́a beneficioso para los análisis de res realicen estudios sobre poblaciones especı́ficas la polı́tica de transporte y para la modelización del (como por ejemplo las personas mayores) a fin de transporte, entre otras cosas en relación con la poevaluar mejor su situación sanitaria y la manera en que los sistemas de atención sanitaria satisfacen sus lı́tica regional de la UE, el establecimiento de un necesidades. Los resultados de estos estudios de in- equilibrio entre los diferentes modos de transporte vestigación podrı́an utilizarse para diseñar planes y el desarrollo de redes de transporte transeuropeas 148 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials en la UE. • encuesta de presupuestos de los hogares, (7) Por consiguiente, la encuesta europea de sa• relación estadı́stica de los transportes de merlud mediante entrevista, las estadı́sticas comunitacancı́as por carretera. rias de la sociedad de la información – módulo 2: personas, hogares y sociedad de la información, la No obstante, a instancias de la autoridad nacioencuesta de presupuestos de los hogares y la relación nal que haya facilitado los datos, no se concederá el estadı́stica de los transportes de mercancı́as por ca- acceso a los datos de esta autoridad nacional para rretera deben incluirse en la enumeración que figura un proyecto especı́fico de investigación.”. en el Reglamento (CE) no 831/2002. 2) En el artı́culo 6, el apartado 1 se sustituye (8) Las medidas previstas en el presente Regla- por el texto siguiente: mento se ajustan al dictamen del Comité del siste”1. La autoridad comunitaria podrá divulgar ma estadı́stico europeo (Comité del SEE). conjuntos de microdatos hechos anónimos obteniHA ADOPTADO EL PRESENTE REGLA- dos de las siguientes encuestas o fuentes de datos MENTO: estadı́sticos: Artı́culo 1 • panel de hogares de la Comunidad Europea, El Reglamento (CE) no 831/2002 queda modificado como sigue: • encuesta de población activa, 1) En el artı́culo 5, el apartado 1 se sustituye • encuesta de la Comunidad sobre la innovapor el texto siguiente: ción, ”1. La autoridad comunitaria podrá conceder el acceso en sus instalaciones a datos confidenciales obtenidos de las siguientes encuestas o fuentes de datos estadı́sticos: • panel de hogares de la Comunidad Europea, • encuesta de población activa, • encuesta de la Comunidad sobre la innovación, • encuesta sobre la formación profesional permanente, • encuesta sobre la estructura de los salarios, • encuesta sobre la formación profesional permanente, • encuesta sobre la estructura de los salarios, • estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida, • encuesta sobre la educación de adultos, • encuesta sobre la estructura de las explotaciones agrı́colas, • encuesta europea de salud mediante entrevista, • estadı́sticas de la Unión Europea sobre la renta y las condiciones de vida, • estadı́sticas comunitarias de la sociedad de la información – módulo 2: personas, hogares y sociedad de la información, • encuesta sobre la educación de adultos, • encuesta de presupuestos de los hogares, • encuesta sobre la estructura de las explotaciones agrı́colas, • relación estadı́stica de los transportes de mercancı́as por carretera. • encuesta europea de salud mediante entrevista, No obstante, a instancias de la autoridad nacional que haya facilitado los datos, no se concederá el ac• estadı́sticas comunitarias de la sociedad de la ceso a los datos de esta autoridad nacional para un información – módulo 2: personas, hogares y proyecto especı́fico de investigación.”. sociedad de la información, Artı́culo 2 149 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials El presente Reglamento entrará en vigor el vigésimo dı́a siguiente al de su publicación en el Diario Oficial de la Unión Europea. El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro. Hecho en Bruselas, el 16 de junio de 2010. Por la Comisión El Presidente José Manuel Barroso [1] DO L 87 de 31.3.2009, p. 164. [2] DO L 133 de 18.5.2002, p. 7. [3] DO L 143 de 30.4.2004, p. 49. [4] DO L 163 de 6.6.1998, p. 1. 150 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials 4.3.5 DECISIÓN DE LA COMISIÓN de 29 de abril de 2004 por la que se establece una lista de organismos cuyos investigadores pueden acceder, con fines cientı́ficos, a datos confidenciales [notificada con el número C(2004) 1664] (Texto pertinente a efectos del EEE) (2004/452/CE) (DO L 202 de 7.6.2004, p. 1) Modificado por: M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 Decisión Decisión Decisión Decisión Decisión Decisión Decisión Decisión Decisión Decisión Decisión Decisión Decisión 2005/412/CE de la Comisión de 25 de mayo de 2005 2005/746/CE de la Comisión de 20 de octubre de 2005 2006/429/CE de la Comisión de 22 de junio de 2006 2006/699/CE de la Comisión de 17 de octubre de 2006 2007/81/CE de la Comisión de 2 de febrero de 2007 2007/229/CE de la Comisión de 11 de abril de 2007 2007/439/CE de la Comisión de 25 de junio de 2007 2007/678/CE de la Comisión de 16 de octubre de 2007 2008/52/CE de la Comisión de 20 de diciembre de 2007 2008/291/CE de la Comisión de 18 de marzo de 2008 2008/595/CE de la Comisión de 25 de junio de 2008 2008/876/CE de la Comisión de 6 de noviembre de 2008 2009/411/CE de la Comisión de 25 de mayo de 2009 n◦ L 140 L 280 L 172 L 287 L 28 L 99 L 164 L 280 L 13 L 98 L 192 L 310 L 132 Diario Oficial página fecha 11 3.6.2005 16 25.10.2005 17 24.6.2006 36 18.10.2006 23 3.2.2007 11 14.4.2007 30 26.6.2007 22 24.10.2007 29 16.1.2008 11 10.4.2008 60 19.7.2008 28 21.11.2008 16 29.5.2009 151 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials 2004/452/CE: Decisión de la Comisión, de 29 de abril de 2004, por la que se establece una lista de organismos cuyos investigadores pueden acceder, con fines cientı́ficos, a datos confidenciales [notificada con el número C(2004) 1664] Texto perteneciente a efectos del EEE (D.O.U.E. serie L, núm. 156, de 30 de abril) LA COMISIÓN DE LAS COMUNIDADES EUROPEAS, Visto el Tratado constitutivo de la Comunidad Europea, Visto el Reglamento (CE) no 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadı́stica comunitaria1, y, en particular, el apartado 1 de su artı́culo 20, Considerando lo siguiente: 1. El objetivo del Reglamento (CE) n◦ 831/2002 de la Comisión, de 17 de mayo de 2002, por el que se aplica el Reglamento (CE) n◦ 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales2 es fijar las condiciones en que puede concederse el acceso a datos confidenciales transmitidos a la autoridad comunitaria y las reglas de cooperación entre las autoridades comunitarias y nacionales para facilitar este acceso, con objeto de permitir extraer conclusiones estadı́sticas con fines cientı́ficos. 2. Se hace referencia concreta a cuatro fuentes importantes: el panel de hogares de la Comunidad Europea, la encuesta de población activa, la encuesta de la Comunidad sobre la innovación y la encuesta sobre la formación profesional permanente. 3. La autoridad comunitaria puede conceder el acceso a datos confidenciales a investigadores de universidades y otras instituciones de enseñanza superior establecidas de conformidad con el Derecho comunitario o con el Derecho de un Estado miembro o de organizaciones o instituciones de investigación cientı́fica establecidas de conformidad con el Derecho comu- nitario o con el Derecho de un Estado miembro. 4. Asimismo, con arreglo a la letra c) del apartado 1 del artı́culo 3 de dicho Reglamento, puede concederse el acceso a investigadores de otras agencias, organizaciones e instituciones, tras haber recibido el dictamen del Comité de secreto estadı́stico, de conformidad con el procedimiento establecido en el apartado 2 del artı́culo 20 del Reglamento (CE) n◦ 322/97. 5. Por consiguiente, es necesario establecer una lista de tales organismos, tras realizar una evaluación que tome en consideración una serie de condiciones, tales como el objetivo principal del organismo, las disposiciones de organización interna relativas a la investigación, las garantı́as aplicadas o las disposiciones relativas a la difusión de los resultados de las investigaciones. 6. Una consideración a favor de la concesión del acceso es que el organismo tenga un historial o una reputación consolidados de producir estudios de calidad y de publicar sus resultados. Una consideración secundaria es que el organismo esté bien establecido y reconocido como organismo con autoridad en su ámbito particular y que eventualmente tenga patrocinadores, socios o accionistas de confianza. 7. Los estudios efectuados por el organismo deben llevarse a cabo en una unidad bien definida, sin lazos organizativos o de gestión con el ámbito de actuación del organismo. Dicha unidad debe estar considerada como una unidad diferenciada y autónoma, bajo la dirección de un cuadro superior sin responsabilidad directa sobre la polı́tica o la consecución de los objetivos del organismo. 8. Asimismo, la dirección del organismo debe proporcionar garantı́as adecuadas en lo relativo a diversos aspectos, por ejemplo medidas para evitar que el personal de la unidad de investigación transmita a personas externas a la unidad información obtenida a partir de los datos facilitados, a excepción de los resultados resumidos y agregados de los estudios con la autorización del responsable de la unidad de investigación, o medidas para garantizar que 152 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials sea considerada una falta disciplinar grave que cualquier persona del organismo solicite a los miembros de la unidad de investigación información relativa a registros individuales de los datos facilitados. 9. Es necesaria una descripción de la seguridad fı́sica de las instalaciones del organismo y de sus sistemas informáticos, ası́ como de la custodia de los datos en los mismos, que especifique las medidas adoptadas para garantizar el acceso autorizado y evitar el acceso no autorizado, ası́ como para proteger los sistemas contra el acceso no autorizado de personas externas al organismo. Asimismo, debe existir una descripción de las medidas de seguridad para la custodia de los documentos, incluidos los documentos en papel, que contengan información procedente de los datos facilitados. arreglo a las normas y procedimientos establecidos en el Reglamento (CE) n◦ 831/2002 de la Comisión. 14. Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité de secreto estadı́stico. HA ADOPTADO LA PRESENTE DECISIÓN: Artı́culo 1 En el anexo figura la lista, a la que hace referencia la letra c) del apartado 1 del artı́culo 3 del Reglamento (CE) n◦ 831/2002 del Consejo, de organismos cuyos investigadores pueden acceder, con fines cientı́ficos, a datos confidenciales. Artı́culo 2 10. El acceso debe realizarse con fines cientı́ficos, Los destinatarios de la presente Decisión serán lo que implica que la comunidad cientı́fica de- los Estados miembros. be tener acceso libremente y sin demora a los resultados. La utilización de los datos para informes o fines exclusivamente internos se considerarı́a contraria al objetivo del Reglamento (CE) n◦ 831/2002 de la Comisión. La polı́tica del organismo en materia de difusión de los estudios realizados por su unidad de investigación debe ser abierta, lo que implica promover su publicación en la literatura cientı́fica pertinente y que pueda accederse libremente a los resultados de dichos estudios en el sitio web del organismo o en otro sitio web apropiado. 11. El Banco Central Europeo (BCE) debe ser considerado como un organismo que cumple las condiciones mencionadas y, por tanto, debe añadirse a la lista de agencias, organizaciones e instituciones a las que hace referencia la letra c) del apartado 3 del artı́culo 1 del Reglamento (CE) n◦ 831/2002 de la Comisión. 12. Esta lista se actualizará a medida que más agencias, organizaciones e instituciones deban ser consideradas organismos admisibles. 13. Es preciso seguir exigiendo que las solicitudes especı́ficas de acceso presentadas por tales organismos se tramiten posteriormente con 153 Normativa europea 4.3. Reglament (CE) 831/2002 – Accés amb finalitats cientı́fiques a dades confidencials ANEXO del Centro Comun de Investigacion de la Comision Europea Unidad de Apoyo al Espacio Europeo de la Investi- Organismos cuyos investigadores pueden acce- gacion (SERA) del Centro Comun de Investigacion de la Comision Europea der, con fines cientificos, a datos confidenciales Banco Central Europeo Banco Central de España Banco Central de Italia Cornell University (Nueva York, Estados Unidos de America) Department of Political Science, Baruch College, New York City University (Nueva York, Estados Unidos de America) Banco Central de Alemania Unidad de Analisis del Empleo de la Direccion General de Empleo, Asuntos Sociales e Igualdad de Oportunidades de la Comision Europea University of Tel Aviv (Israel) Banco Mundial Center of Health and Wellbeing (CHW), Woodrow Wilson School of Public and International Affairs, Princeton University (Nueva Jersey, Estados Unidos de America) The University of Chicago, UofC (Illinois, Estados Unidos de America) Organizacion de Cooperacion y Desarrollo Economicos (OCDE) Family and Labour Studies Division, Statistics Canada, Ottawa (Ontario, Canada) Unidad de Econometria y Apoyo Estadistico a la Lucha contra el Fraude (ESAF) Canada Research Chair, School of Social Science, Atkinson Faculty of Liberal and Professional Studies at York University (Ontario, Canada) University of Illinois at Chicago, UIC (Illinois, Estados Unidos de America) Rady School of Management at the University of California, San Diego (California, Estados Unidos de America) Direction de l’Animation de la Recherche, des Etudes et des Statistiques, DARES, Ministerio de Trabajo, Relaciones Sociales y Solidaridad, Paris (Francia) The Research Foundation of State University of New York, RFSUNY, Albany (Nueva York, Estados Unidos de America) Elaketurvakeskus, ETK (Finlandia) Direction de la Recherche, des Etudes, de l’Evaluation et des Statistiques, DREES, bajo la autoridad conjunta del Ministerio de Trabajo, Relaciones Sociales y Solidaridad, el Ministerio de Sanidad, Juventud y Deportes y el Ministerio del Presupuesto, las Cuentas Publicas y la Reforma del Estado, Paris (Francia) Duke University, DUKE (Carolina del Norte, Estados Unidos) Kansanelakelaitos, KELA (Finlandia) Hebrew University of Jerusalem, HUJI (Israel) Federal Public Service Social Security (Belgica) 154 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 4.4 Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24 d’octubre de 1995 relativa a la protecció de les persones fı́siques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades (DOCE L 281 de 23.11.1995) Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. EL PARLAMENTO EUROPEO Y EL, CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea, y, en particular, su artı́culo 100 A, Vista la propuesta de la Comisión. 1 Visto el dictamen del Comité Económico y Social 2 De conformidad con el procedimiento establecido en el artı́culo 189 B del Tratado3 , 1. Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en lograr una unión cada vez más estrecha entre los pueblos europeos, establecer relaciones más estrechas entre los Estados miembros de la Comunidad, asegurar, mediante una acción común, el progreso económico y social, eliminando las barreras que dividen Europa, fementar la continua mejora de las condiciones de vida de sus pueblos, preservar y consolidar la paz y la libertad y promover la democracia, basándose en los derechos fundamentales reconocidos en las constituciones Y leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales; 2. Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas fı́sicas, respetar las libertades y derechos fundamentales de las personas fı́sicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, ası́ como al bienestar de los individuos; 3. Considerando que el establecimiento Y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artı́culo 7 A del Tratado, la libre circulación de mercancı́as, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas; 4. Considerando que se recurre cada vez más en la Comunidad al tratamiento de datos personales en los diferentes sectores de actividad económica y social; que el avance de las tecnologı́as de la información facilita considerablemente el tratamiento y el intercambio de dichos datos; 5. Considerando que la integración económica y social resultante del establecimiento y funcionamiento del mercado interior, definido en el artı́culo 7 A del Tratado, va a implicar necesariamente un aumento notable de los flujos transfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros, ya se trate de agentes públicos o privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo; que las administraciones nacionales de los diferentes Estados miembros, en aplicación del Derecho comunitario, están destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido o ejercer funciones por cuenta de las administraciones de otros Estados miembros, en el marco del espacio sin fronteras que constituye el mercado interior; 155 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 6. Considerando, por lo demás, que el fortalecimiento de la cooperación cientı́fica y técnica, ası́ como el establecimiento coordinado de nuevas redes de telecomunicaciones en la Comunidad exigen y facilitan la circulación transfronteriza de datos personales; 7. Considerando que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia e impedir que las administraciones cumplan los cometidos que les incumben en virtud del Derecho comunitario; que estas diferencias en los niveles de protección se deben a la disparidad existente entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros; 8. Considerando que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la neces idad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el artı́culo 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones; 9. Considerando que, a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre cir- culación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas fı́sicas, y, en particular, del derecho a la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de la aplicación de la presente Directiva, los interlocutores económicos y sociales; que los Estados miembros podrán,por lo tanto, precisar en su derecho nacional las condiciones generales de licitud del tratamiento de datos; que, al actuar ası́, los Estados miembros procurarán mejorar la protección que proporciona su legislación en la actualidad; que, dentro de los lı́mites de dicho margen de maniobra y de conformidad con el Derecho comunitario, podrán surgir disparidades en la aplicación de la presente Directiva, y que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad; 10. Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artı́culo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, ası́ como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad; 11. Considerando que los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplı́an los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales; 12. Considerando que los principios de la protección deben aplicarse a todos los tratamientos de datos personales cuando las actividades del 156 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que debe excluirse el tratamiento de datos efectuado por una persona fı́sica en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones; 13. Considerando que las actividades a que se refieren los tı́tulos V y VI del Tratado de la Unión Europea relativos a la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en el ámbito penal no están comprendidas en el ámbito de aplicación del Derecho comunitario, sin perjuicio de las obligaciones que incumben a los Estados miembros con arreglo al apartado 2 del artı́culo 56 y a los artı́culos 57 y 100 A del Tratado; del] tratamiento de los datos de carácter personal que sea necesario para la salvaguardia del bienestar económico del Estado no está comprendido en el ámbito de aplicación de la presente Directiva en los casos en que dicho tratamiento esté relacionado con la seguridad del Estado; 14. Considerando que, habida cuenta de la importancia que, en el marco de la sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos a las personas fı́sicas constituidos por sonido e imagen, la presente Directiva habrá de aplicarse a los tratamientos que afectan a dichos datos; 15. Considerando que los tratamientos que afectan a dichos datos sólo quedan amparados por la presente Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado según criterios especı́ficos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata; 16. Considerando que los tratamientos de datos constituidos por sonido e imagen, como los de la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de seguridad pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el ejercicio de otras actividades que no están comprendidos en el ámbito de aplicación del Derecho comunitario; 17. Considerando que en lo que respecta al tratamiento del sonido y de la imagen aplicados con fines periodı́sticos o de expresión literaria o artı́stica, en particular en el sector audiovisual, los principios de la Directiva se aplican de forma restringida según lo dispuesto en al artı́culo 9; 18. Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado; 19. Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurı́dica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurı́dica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades; 20. Considerando que el hecho de que el responsable del tratamiento de datos esté establecido en un paı́s tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adaptarse garantı́as 157 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva; 21. Considerando que la presente Directiva no afecta a las normas de territorialidad aplicables en materia penal; 22. Considerando que los Estados miembros precisarán en su legislación o en la aplicación de las disposiciones adoptadas en virtud de la presente Directiva las condiciones generales de licitud del tratamiento de datos; que, en particular, el artı́culo 5 en relación con los artı́culos 7 y 8, ofrece a los Estados miembros la posibilidad de prever, independientemente de las normas generales, condiciones especiales de tratamiento de datos en sectores especı́ficos, ası́ como para las diversas categorı́as de datos contempladas en el artı́culo 8; 23. Considerando que los Estados miembros están facultades para garantizar la protección de las personas tanto mediante una ley general relativa a la protección de las personas respecto del tratamiento, de los datos de carácter personal como mediante leyes sectoriales, como las relativas a los institutos estadı́sticos; 24. Considerando que las legislaciones relativas a la protección de las personas jurı́dicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva; 25. Considerando que los principios de la protección tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos - obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control v las circunstancias en las que se puede efectuar el ’tratamiento- y,por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectifica ción o incluso de oponerse a su tratamiento en determinadas circunstancias; 26. Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al artı́culo 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado; 27. Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario darı́a lugar a riesgos graves de alusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios especı́ficos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artı́culo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, ası́ como sus portadas, que no estén estructuradas conforme a criterios especı́ficos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva; 28. Considerando que todo tratamiento de datos personales debe efectuarse de forma lı́cita y leal con respecto al interesado; que debe referirse, en particular, a datos adecuados, pertinentes y no excesivos en relación con los obje158 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals tivos perseguidos; que estos objetivos han de ser explı́citos y legı́timos, y deben estar determinados en el momento de obtener los datos; que los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados; 29. Considerando que el tratamiento ulterior de datos personales, con fines históricos, estadı́sticos o cientı́ficos no debe por lo general considerarse incompatible con los objetivos para los que se recogieron los datos, siempre y cuando los Estados miembros establezcan las garantı́as adecuadas; que dichas garantı́as deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona; 30. Considerando que para ser lı́cito el tratamiento de datos personales debe basarse además en el consentimiento del interesado o ser necesario con vistas a la celebración o ejecución de un contrato que obligue al interesado, o para la observancia de una obligación legal o para el cumplimiento de una misión de interés público o para el ejercicio de la autoridad pública o incluso para la realización de un interés legı́timo de una persona, siempre que no prevalezcan los intereses o los derechos y libertades del interesado; que, en particular, para asegurar el equilibrio de los intereses en juego, garantizando a la vez una competencia efectiva, los Estados miembros pueden precisar las condiciones en las que se podrán utilizar y comunicar a terceros datos de carácter personal, en el desempeño de actividades legı́timas de gestión ordinaria de empresas y otras entidades; que los Estados miembros pueden asimismo establecer previamente las condiciones en que pueden efectuarse comunicaciones de datos personales a terceros con fines de prospección comercial o de prospección realizada por una institución benéfica u otras asociaciones o fundaciones, por ejemplo de carácter polı́tico, dentro del respeto de las disposiciones que permiten a los interesados oponerse, sin alegar los motivos y sin gastos, al tratamiento de los datos que les conciernan; 31. Considerando que un tratamiento de datos personales debe estimarse lı́cito cuando se efectúa con el fin de proteger un interés esencial para la vida del interesado; 32. Considerando que corresponde a las legislaciones nacionales determinar si el responsable del tratamiento que tiene conferida una misión de interés público o inherente al ejercicio del poder público, debe ser una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional; 33. Considerando, por lo demás , que los datos que por su naturaleza puedan atentar contra las libertades fundamentales o la intimidad no deben ser objeto de tratamiento alguno, salvo en caso de que el interesado haya dado su consentimiento explı́cito; que deberán constar de forma explı́cita las excepciones a esta prohibición para necesidades especı́ficas, en particular cuando el tratamiento de dichos datos se realice con fines relacionados con la salud, por parte de personas fı́sicas sometidas a una obligación legal de secreto profesional, o para actividades legı́timas por parte de ciertas asociaciones o fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales; 34. Considerando que también se deberá autorizar a los Estados miembros, cuando esté justificado por razones de interés público importante, a hacer excepciones a la prohibición de tratar categorı́as sensibles de datos en sectores como la salud pública y la protección social, particularmente en lo relativo a la garantı́a de la calidad y la rentabilidad, ası́ como los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro enfermedad, la investigación cientı́fica y las estadı́sticas públicas; que a ellos corresponde, no obstante, prever las garantı́as apropiadas y especı́ficas a los fines de proteger los derechos fundamentales y la vida privada de las personas; 35. Considerando, además, que el tratamiento de datos personales por parte de las autoridades públicas con fines, establecidos en el Derecho constitucional o en el Derecho internacional público, de asociaciones religiosas reconocidas 159 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals oficialmente, se realiza por motivos importantes de interés público; 36. Considerando que, si en el marco de actividades relacionadas con las elecciones, el funcionamiento del sistema democrático en algunos Estados miembros exige que los partidos polı́ticos recaben datos sobre la ideologı́a polı́tica de los ciudadanos, podrá autorizarse el tratamiento de estos datos por motivos importantes de interés público, siempre que se establezcan las garantı́as adecuadas; 37. Considerando que para el tratamiento de datos personales con fines periodı́sticos o de expresión artı́stica o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la presente Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o comunicar informaciones, tal y como se garantiza en el artı́culo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentales, corresponde a los Estados miembros prever las excepciones y las restricciones necesarias en lo relativo a las medidas generales sobré la legalidad del tratamiento de datos, las medidas sobre la transferencia de datos a terceros paı́ses y las competencias de las autoridades de control sin que esto deba inducir, sin embargo, a los Estados miembros a prever excepciones a las medidas que garanticen la seguridad del tratamiento; que, igualmente, deberı́a concederse a la autoridad de control responsable en la materia al menos una serie de competencias a posteriorı́ como por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos legales ante las autoridades judiciales; 38. Considerando que el tratamiento leal de datos supone que los interesados deben estar en condiciones de conocer la existencia de los tratamientos y, cuando los datos se obtengan de ellos mismos, contar con una información precisa y completa respecto a las circunstancias de dicha obtención; 39. Considerando que determinados tratamientos se refieren a datos que el responsable no ha recogido directam ente del interesado; que, por otra parte, pueden comunicarse legı́timamente datos a un tercero aún cuando dicha comunicación no estuviera prevista en el momento de la recogida de los datos del propio interesado; que, en todos estos supuestos, debe informars e al interesado en el momento del registro de los datos o, a más tardar, al comunicarse los datos por primera vez a un tercero; 40. Considerando, no obstante, que no es necesario imponer esta obligación si el interesado ya está informado, si el registro o la comunicación están expresamente previstos por la ley o si resulta imposible informarle, o ello implica esfuerzos desproporcionados, como puede ser el caso para tratamientos con fines históricos, estadı́sticos o cientı́ficos; que a este respecto pueden tomarse en consideración el número de interesados, la antigüedad de los datos, y las posibles medidas compensatorias; 41. Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su exactitud y de la licitud de su tratamiento; que por las mismas razones cualquier persona debe tener además el derecho de conocer la lógica que subyace al tratamiento automatizado de los datos que la conciernan, al menos en el caso de las decisiones automatizados a que se refiere el apartado 1 del artı́culo 15; que este derecho no debe menoscabar el secreto de los negocios ni la propiedad intelectual y en particular el derecho de autor que proteja el programa informática; que no obstante esto no debe suponer que se deniegue cualquier información al interesado; 42. Considerando que, en interés del interesado de que se trate y para proteger los derechos y libertades de terceros, los Estados miembros podrán limitar los derechos de acceso y de información; que podrán, por ejemplo, precisar que el acceso a los datos de carácter médico únicamente pueda obtenerse a través de un profesional de la medicina; 160 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 43. Considerando que los Estados miembros podrán imponer restricciones a los derechos de acceso e información y a determinadas obligaciones del responsable del tratamiento, en la medida en que sean estrictamente necesarias para, por ejemplo, salvaguardar la seguridad del Estado, la defensa, la seguridad pública, los intereses económicos o financieros importantes de un Estado miembro o de la Unión, ası́ como para realizar investigaciones y entablar procedimientos penales y perseguir violaciones de normas deontológicas en las profesiones reguladas; que conviene enumerar, a efectos de excepciones y limitaciones, las tareas de control, inspección o reglamentación necesarias en los tres últimos sectores mencionados relativos a la seguridad pública, los intereses económicos o financieros y la represión penal; que esta enumeración de tareas relativas a los tres sectores citados no afecta a la legitimidad de las excepciones y restricciones establecidas por razones de seguridad del Estado o de defensa; 44. Considerando que los Estados miembros podrán verse obligados, en virtud de las disposiciones del Derecho comunitario, a establecer excepciones a las disposiciones de la presente Directiva relativas al derecho de acceso, a la información de personas y a la calidad de los datos para garantizar algunas de las finalidades contempladas más arriba; 45. Considerando que cuando se pudiera efectuar lı́citamente un tratamiento de datos por razones de interés público o del ejercicio de la autoridad pública, o en interés legı́timo de una persona fı́sica, cualquier persona deberá, sin embargo, tener derecho a oponerse a que los datos que le conciernan sean objeto de un tratamiento, en virtud de motivos fundados y legı́timos relativos a su situación concreta; que los Estados miembros tienen, no obstante, la posibilidad de establecer disposiciones nacionales contrarias; 46. Considerando que la protección de los derechos y libertades de los interesados en lo que respecta a los tratamientos de datos personales exige la adopción de medidas técnicas y de organización apropiadas, tanto en el momen- to de la concepción del sistema de tratamiento como en el de la aplicación de los tratamientos mismos, sobre todo con objeto de garantizar la seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a los Estados miembros velar por que los responsables del tratamiento respeten dichas medidas; que esas medidas deberán garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste de su aplicación en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse; 47. Considerando que cuando un mensaje con datos personales sea transmitido a través de un servicio de telecomunicaciones o de correo electrónico cuyo único objetivo sea transmitir mensajes de ese tipo, será considerada normalmente responsable del tratamiento de los datos personales presentes en el mensaje aquella persona de quien proceda el mensaje y no la que ofrezca el servicio de transmisión; que, no obstante, las personas que ofrezcan estos servicios normalmente serán consideradas responsables del tratamiento de los datos personales complementarios y necesarios para el funcionamiento del servicio; 48. Considerando que los procedimientos de notificación a la autoridad de control tienen por objeto asegurar la publicidad de los fines de los tratamientos y de sus principales caracterı́sticas a fin de controlarlos a la luz de las disposiciones nacionales adoptadas en aplicación de la presente Directiva; 49. Considerando que para evitar trámites administrativos improcedentes, los Estados miembros pueden establecer exenciones o simplificaciones de la notificación para los tratamientos que no atenten contra los derechos y las libertades de los interesados, siempre y cuando sean conformes a un acto adoptado por el Estado miembro en el que se precisen sus lı́mites; que los Estados miembros pueden igualmente disponer la exención o la simplificación cuando un encargado, nombrado por el responsable del tratamiento, se cerciore de que los tratamientos efectuados no pueden atentar contra los derechos Y libertades de los interesados; 161 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals que la persona encargada de la protección de los datos, sea o no empleado del responsable del tratamiento de datos, deberá ejercer sus funciones con total independencia; 50. Considerando que podrán establecerse exenciones o simplificaciones para los tratamientos cuya única finalidad sea el mantenimiento de registros destinados, de conformidad con el Derecho nacional, a la información del público y que sean accesibles para la consulta del público o de toda persona que justifique un interés legı́timo; 51. Considerando, no obstante, que el beneficio de la simplificación o de la exención de la obligación de notificación no dispensa al responsable del tratamiento de ninguna de las demás obligaciones derivadas de la presente Directiva; 52. Considerando que, en este contexto, el control a posteriorı́ por parte de las autoridades competentes debe considerarse, en general, una medida suficiente; 53. Considerando, no obstante, que determinados tratamientos pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los interesados, ya sea por su naturaleza, su alcance o su finalidad, como los de excluir a los interesados del beneficio de un derecho, de una prestación o de un contrato, 9 por el uso particular de una tecnologı́a nueva; que es competencia de los Estados miembros, si ası́ lo desean, precisar tales riesgos en sus legislaciones; 54. Considerando que, a la vista de todos los tratamientos llevados a cabo en la sociedad, el número de los que presentan tales riesgos particulares deberı́a ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control o del encargado de la protección de datos en cooperación con aquélla; que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga su Derecho nacional, podrá emitir un dictamen o autorizar el tratamiento de datos; que este examen previo podrá realizarse también en el curso de la elaboración de una medida legislativa aprobada por el Parlamento nacional o de una medida basada en dicha medida legislativa, que defina la naturaleza del tratamiento y precise las garantı́as adecuadas; 55. Considerando que las legislaciones nacionales deben prever un recurso judical para los casos en los que el responsable del tratamiento de datos no respete los derechos de los interesados; que los daños que pueden sufrir las personas a raı́z de un tratamiento ı́lı́cito han de ser reparados por el responsable del tratamiento de datos, el cual sólo podrá ser eximido de responsabilidad si demuestra que no le es imputable el hecho perjudicial, principalmente si demuestra la responsabilidad del interesado o un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva; 56. Considerando que los flujos transfronterizos de datos personales son necesarios para la desarrollo del comercio internacional; que la protección de las personas garantizada en la Comunidad por la presente Directiva no se opone a la transferencia de datos personales a terceros paı́ses que garanticen un nivel de protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un paı́s tercero debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la categorı́a de transferencias; 57. Considerando, por otra parte, que cuando un paı́s tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales; 58. Considerando que han de establecerse excepciones a esta prohibición en determinadas circunstancias, cuando el interesado haya dado su consentimiento, cuando la transferencia sea necesaria en relación con un contrato o una acción judicial, cuando ası́ lo exija la protección de un interés público importante,por ejemplo en casos de transferencia internacional de datos entre las administraciones fiscales o aduaneras o entre los servicios competentes en ma162 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals teria de seguridad social, o cuando la transferencia se haga desde un registro previsto en la legislación con fines de consulta por el público o por personas con un interés legı́timo; que en tal caso dicha transferencia no debe afectar a la totalidad de los datos o las categorı́as de datos que contenga el mencionado registro; que, cuando la finalidad de un registro sea la consulta por parte de personas que tengan un interés legı́timo, la transferencia sólo deberı́a poder efectuarse a petición de dichas personas o cuando éstas sean las destinatarias; 59. Considerando que pueden adaptarse medidas particulares para paliar la insuficiencia del nivel de protección en un tercer paı́s, en caso de que el responsable del tratamiento ofrezca garantı́as adecuadas; que, por lo demás, deben preverse procedimientos de negociación entre la Comunidad y los paı́ses terceros de que se trate; autoridad ha de contribuir a la transparencia de los tratamientos de datos efectuados en el Estado miembro del que dependa; 64. Considerando que las autoridades de los distintos Estados miembros habrán de prestarse ayuda mutua en el ejercicio de sus funciones -, de forma que se garantice el pleno respeto de las normas de protección en toda la Unión Europea; 65. Considerando que se debe crear, en el ámbito comunitario, un grupo de protección de las personas en lo que respecta al tratamiento de datos personales, el cual habrá de ejercer sus funciones con plena independencia; que, habida cuenta de este carácter especı́fico, el grupo deberá asesorar a la Comisión y contribuir, en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva; 60. Considerando que, en cualquier caso, las transferencias hacia paı́ses terceros sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas por los Estados miembros en aplicación de la presente Directiva, Y, en particular, de su artı́culo 8; 66. Considerando que, por lo que respecta a la transferencia de datos hacia paı́ses terceros, la aplicación de la presente Directiva requiere que se atribuya a la Comisión competencias de ejecución y que se cree un procedimiento con arreglo a las modalidades establecidas en la Decisión 87/373/CEE del Consejo.4 61. Considerando que los Estados miembros y la Comisión, dentro de sus respectivas competencias, deben alentar a los sectores profesionales para que elaboren códigos de conducta a fin de facilitar, habida cuenta del carácter especı́fico del tratamiento de datos efectuado en determinados sectores, la aplicación de la presente Directiva respetando las disposiciones nacionales adoptadas para su aplicación; 67. Considerando que el 20 de diciembre de 1994 se alcanzó un acuerdo sobre un modus vivendi entre el Parlamento Europeo, el Consejo y la Comisión concerniente a las medidas de aplicación de los actos adoptados de conformidad con el procedimiento establecido en el artı́culo 189 B del Tratado CE; 62. Considerando que la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales; 63. Considerando que dicha autoridad debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de inte rvención, en particular en casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio; que tal 68. Considerando que los principios de protección de los derechos y libertades de las personas v, en particular, del respeto de la intimidad en lo que se refiere al tratamiento de los datos personales objeto de la presente Directiva podrán completarse o precisarse, sobre todo en determinados sectores,mediante normas especı́ficas conformes a estos principios; 69. Considerando que resulta oportuno conceder a los Estados miembros un plazo que no podrá ser superior a tres años a partir de la entrada en vigor de las medidas nacionales de transposición de la presente Directiva, a fin de 163 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals que puedan aplicar de manera progresiva las la protección de las libertades y de los derenuevas disposiciones nacionales mencionadas chos fundamentales de las personas fı́sicas, y, a todos los tratamientos de datos va existenen particular, del derecho a la intimidad, en lo tes; que, con el fin de facilitar una aplicación que respecta al tratamiento de los datos perque presente una buena relación coste eficasonales. cia, se concederá a los Estados miembros un 2. Los Estados miembros no podrán restringir ni perı́odo suplementario que expirará a los doce prohibir la libre circulación de datos personaaños de la fecha en que se adopte la presenles entre los Estados miembros por m otivos te Directiva, para garantizar que los ficheros relacionados con la protección garantizada en manuales existentes en dicha fecha se hayan virtud del apartado 1. ajustado a las disposiciones de la Directiva; que si los datos contenidos en dichos ficheros son tratados efectivamente de forma manual Artı́culo 2 Definiciones en ese perı́odo transitorio ampliado deberán, A efectos de la presente Directiva, se entenderá sin embargo, ser ajustados a dichas disposipor: ciones cuando se realice tal tratamiento; 70. Considerando que no es procedente que el in- datos personales : toda información sobre una teresado tenga que dar de nuevo su consentipersona fı́sica identificada o identificable (el miento a fin de que el responsable pueda seinteresado); se considerará identificable toda guir efectuando, tras la entrada en vigor de persona cuya identidad pueda determinarse, las disposiciones nacionales adoptadas en virdirecta o indirectamente, en particular metud de la presente Directiva, el tratamiento de diante un número de identificación o uno o datos sensibles necesario para la ejecución de varios elementos especı́ficos, caracterı́sticos de contratos celebrados previo consentimiento lisu identidad fı́sica, fisiológica, psı́quica, econóbre e informado antes de la entrada en vigor mica, cultural o social; de las disposiciones mencionadas; tratamiento de datos personales , (tratamien71. Considerando que la presente Directiva no se to: cualquier operación o conjunto de opeopone a que un Estado miembro regule las acraciones, efectuadas o no mediante proceditividades de prospección comercial destinadas mientos automatizados, y aplicadas a datos a los consumidores que residan en su territopersonales, como la recogida, registro, organirio, en la medida en que dicha regulación no zación, conservación, elaboración o modificaafecte a la protección de las personas en lo que ción, extracción, consulta, utilización, comurespecta a tratamientos de datos personales; nicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, 72. Considerando que la presente Directiva autocotejo o interconexión, ası́ como su bloqueo, riza que se tenga en cuenta el principio de acsupresión o destrucción; ceso público a los documentos oficiales a la hora de aplicar los principios expuestos en la fichero de datos personales (”fichero”): todo presente Directiva, conjunto estructurado de datos personales, HAN ADOPTADO LA PRESENTE DIRECTIVA: accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica; CAPÍTULO I - DISPOSICIONES GEresponsable del tratamiento : la persona fı́sica NERALES o jurı́dica, autoridad pública, servicio o cualArtı́culo 1 Objeto de la Directiva quier otro organismo que sólo o conjuntamente con otros determine los fines y los medios 1. Los Estados miembros garantizarán, con arredel tratamiento de datos ,personales; en caso glo a las disposiciones de la presente Directiva, de que los fines y los medios del tratamiento 164 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios especı́ficos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario; encargado del tratamiento : la persona fı́sica o jurı́dica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento; tercero : la persona fı́sica o jurı́dica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento; destinatario : la persona fı́sica o jurı́dica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación especı́fica no serán considerados destinatarios; consentimiento del interesado , : toda manifestación de voluntad, libre, especı́fica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan. Artı́culo 3 Ámbito de aplicación 1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, ası́ como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales: – efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los tı́tulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal; – efectuado por una persona fı́sica en el ejercicio de actividades exclusivamente personales o domésticas. Artı́culo 4 Derecho nacional aplicable 1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando: a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable; b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público; c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea. 2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 165 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals CAPÍTULO II Condiciones Generales Para La Licitud Del Tratamiento De Datos Personales Artı́culo 5 2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado Sección II. Principios Relativos A La Legitimación Del TraTamiento De Datos Los Estados miembros precisarán, dentro de los Artı́culo 7 lı́mites de las disposiciones del presente capı́tulo, las condiciones en que son lı́citos los tratamientos Los Estados miembros dispondrán que el tratade datos personales. miento de datos personales sólo pueda efectuarse si: Sección I. Principios Relativos A La Calia) el interesado ha dado su consentimiento de dad De Los Datos forma inequı́voca, Artı́culo 6 b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la 1. Los Estados miembros dispondrán que los daaplicación de medidas precontractuales adoptos personales sean: tadas a petición del interesado, o a) tratados de manera leal y lı́cita; b) recogidos con fines determinados, explı́citos y legı́timos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadı́sticos o cientı́ficos, siempre Y cuando los Estados miembros establezcan las garantı́as oportunas; c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente; d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados; c) es necesario para el cumplimiento de una obligación jurı́dica a la que esté sujeto el responsable del tratamiento, o d) es necesario para proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legı́timo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artı́culo 1 de la presente Directiva. Sección III Categorı́as Especiales De Tratamientos e) conservados en una forma que permita la Artı́culo 8 Tratamiento de categorı́as especiales identificación de los interesados durante de datos un perı́odo no superior al necesario para los fines para los que fueron recogidos 1. Los Estados miembros prohibirán el tratao para los que se traten ulteriormente. miento de datos personales que revelen el oriLos Estados miembros establecerán las gen racial o étnico, las opiniones polı́ticas, las garantı́as apropiadas para los datos perconvicciones religiosas o filosóficas, la pertesonales archivados por un perı́odo más nencia a sindicatos, ası́ como el tratamiento largo del mencionado, con fines históride los datos relativos a la salud o a la sexuacos, estadı́sticos o cientı́ficos. lidad. 166 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 2. Lo dispuesto en el apartado 1 no se aplicará cuando: por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto. a) el interesado haya dado su consentimiento explı́cito a dicho tratamiento, salvo en 4. Siempre que dispongan las garantı́as adecualos casos en los que la legislación del Esdas, los Estados miembros podrán, por motado miembro disponga que la prohibitivos de interés público importantes, estableción establecida en el apartado 1 no puecer otras excepciones, además de las previstas da levantarse con el consentimiento del en el apartado 2, bien mediante su legislación interesado, o nacional, bien por decisión de la autoridad de control. b) el tratamiento sea necesario para respetar las obligaciones y derechos especı́ficos 5. El tratamiento de datos relativos a infracciodel responsable del tratamiento en manes, condenas penales o medidas de seguridad, teria de Derecho laboral en la medida en sólo podrá efectuarse bajo el control de la auque esté autorizado por la legislación y toridad pública o si hay previstas garantı́as ésta prevea garantı́as adecuadas, o especı́ficas en el Derecho nacional, sin perjuic) el tratamiento sea necesario para salvacio de las excepciones que podrá establecer el guardar el interés vital del interesado o Estado miembro basándose en disposiciones de otra persona, en el supuesto de que el nacionales que prevean garantı́as apropiadas interesado esté fı́sica o jurı́dicamente iny especı́ficas. Sin embargo, sólo podrá llevarse capacitado para dar su consentimiento, un registro completo de condenas penales bajo o el control de los poderes públicos. Los Estados d) el tratamiento sea efectuado en el curso miembros podrán establecer que el tratamiende sus actividades legı́timas y con las deto de datos relativos a sanciones administrabidas garantı́as por una fundación, una tivas o procesos civiles se realicen asimismo asociación o cualquier otro organismo sin bajo el control de los poderes públicos. fin de lucro, cuya finalidad sea polı́ti6. Las excepciones a las disposiciones del aparca, filosófica, religiosa o sindical, siemtado 1 que establecen los apartados 4 y 5 se pre que se refiera exclusivamente a sus notificarán a la Comisión. miembros o a las personas que mantengan contactos regulares con la fundación, 7. Los Estados miembros determinarán las conla asocia ción o el organismo por razón diciones en las que un número nacional de de su finalidad y con tal de que los datos identificación o cualquier otro medio de idenno se comuniquen a terceros sin el contificación de carácter general podrá ser objeto sentimiento de los interesados, 0 de tratamiento. e) el tratamiento se refiera a datos que el interesado haya hecho manifiestamente Artı́culo 9 Tratamiento de datos personales y lipúblicos o sea necesario para el reconocibertad de expresión miento, ejercicio o defensa de un derecho en un procedimiento judicial.ç En lo referente al tratamiento de datos personales con fines exclusivamente periodı́sticos o de ex3. El apartado 1 no se aplicará cuando el tratapresión artı́stica o literaria, los Estados miembros miento de datos resulte necesario para la preestablecerán, respecto de las disposiciones del prevención o para el diagnóstico médicos, la pressente capı́tulo, del capı́tulo IV y del capı́tulo VI, tación de asistencia sanitaria o tratamientos exenciones y excepciones sólo en la medida en que médicos o la gestión de servicios sanitarios, resulten necesarias para conciliar el derecho a la insiempre que dicho tratamiento de datos sea timidad con las normas que rigen la libertad de exrealizado por un profesional sanitario sujeto presión. al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas Sección IV. Información Del Interesado 167 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals Artı́culo 10 Información en caso de obtención de datos recabados del propio interesado Los Estados miembros dispondrán qu e el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello: a) la identidad del responsable del tratamiento y, en su caso, de su representante; b) los fines del tratamiento de que van a ser objeto los datos; c) cualquier otra información tal como: • los destinatarios o las categorı́as de destinatarios de los datos, • el carácter obligatorio o no de la respuesta y las consecuencias que tendrı́a para la persona interesada una negativa a responder, b) los fines del tratamiento de que van a ser objeto los datos; c) cualquier otra información tal como: • las categorı́as de los datos de que se trate, • los destinatarios o las categorı́as de destinatarios de los datos, • la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta de las circunstancias especı́ficas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado. 2. Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadı́sticos o de investigación histórica o cientı́fica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantı́as apropiadas. • la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta de las circunstancias especı́ficas en que Sección V Derecho De Acceso Del Interese obtengan los datos, dicha información sado A Los Datos suplementaria resulte necesaria para gaArtı́culo 12. Derecho de acceso rantizar un tratamiento de datos leal resLos Estados miembros garantizarán a todos los pecto del interesado. interesados el derecho de obtener del responsable Artı́culo 11 Información cuando los datos no han del tratamiento: sido recabados del propio interesado 1. Cuando los datos no hayan sido recabados del interesado, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello: a) la identidad del responsable del tratamiento y, en su caso, de su representante; a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos: • la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, ası́ como información por lo menos de los fines de dichos tratamientos, las categorı́as de datos a que se refieran Y los destinatarios o las categorı́as de destinatarios a quienes se comuniquen dichos datos; • la comunicación, en forma inteligible, de los datos objeto de los tratamientos, ası́ como toda la información disponible sobre el origen de los datos; 168 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals • el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizados a que se refiere el apartado 1 del artı́culo 15; b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos; c) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado. Sección VI. Excepciones Y Limitaciones Artı́culo 13 Excepciones y limitaciones 2. Sin perjuicio de las garantı́as legales apropiadas, que excluyen, en particular, que los datos puedan ser utilizados en relación con medidas o decisiones relativas a personas concretas, los Estados miembros podrán, en los casos en que manifiestamente no exista ningún riesgo de atentado contra la intimidad del interesado, limitar mediante una disposición legal los derechos contemplados en el artı́culo 12 cuando los datos se vayan a tratar exclusivamente con fines de investigación cientı́fica o se guarden en forma de archivos de carácter personal durante un perı́odo que no supere el tiempo necesario para la exclusiva finalidad de la elaboración de estadı́sticas. Sección VII. Derecho De Oposición Del Interesado Artı́culo 14. Derecho De Oposición Del Interesado Los Estados miembros reconocerán al interesado 1. Los Estados miembros podrán adoptar m edi- el derecho a: das legales para limitar el alcance de las obligaciones Y los derechos previstos en el apara) oponerse, al menos en los casos contemplados tado 1 del artı́culo 6, en el artı́culo 10, en el en las letras e) y f) del artı́culo 7, en cualquier apartado 1 del artı́culo 11, y en los artı́culos momento y por razones legı́timas propias de 12 y 21 cuando tal limitación constituya una su situación particular, a que los datos que le medida necesaria para la salvaguardia de: conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra a) la seguridad del Estado; cosa. En caso de oposición justificada, el trab) la defensa; tamiento que efectúe el responsable no podrá c) la seguridad pública; referirse ya a esos datos; d) la prevención, la investigación, la detecb) oponerse, previa petición y sin gastos, al tración y la represión de infracciones penatamiento de los datos de carácter personal que les o de las infracciones de la deontologı́a le conciernan respecto de los cuales el responen las profesiones reglamentadas; sable prevea un tratamiento destinado a la e) un interés económico y financiero improspección; o ser informado antes de que los portante de un Estado miembro o de datos se comuniquen por primera vez a tercela Unión Europea, incluidos los asuntos ros o se usen en nombre de éstos a efectos de monetarios, presupuestarios y fiscales; prospección, y a que se le ofrezca expresamenf) tina función de control, de inspección o te, el derecho de oponerse, sin gastos, a dicha reglamentaria relacionada, aunque sólo comunicación o utilización. sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que haLos Estados miembros adoptarán todas las mecen referencia las letras c), d) y e); didas necesarias para garantizar que los interesados g) la protección del interesado o de los de- conozcan la existencia del derecho a que se refiere rechos y libertades de otras personas. el párrafo primero de la letra b). 169 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals Artı́culo 15. Decisiones individuales automatizados 1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas a una decisión con efectos jurı́dicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc. 2. Los Estados miembros permitirán, sin perjuicio de lo dispuesto en los demás artı́culos de la presente Directiva, que una persona pueda verse sometida a una de las decisiones contempladas en el apartado 1 cuando dicha decisión: (a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para la salvaguardia de su interés legı́timo; (b) esté autorizada por una ley que establezca medidas que garanticen el interés legı́timo del interesado. Sección VIII Confidencialidad Y Seguridad Del Tratamiento Artı́culo 16. Confidencialidad del tratamiento Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal. Artı́culo 17. Seguridad del tratamiento 1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ı́lı́cita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ı́lı́cito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse. 2. Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantı́as suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas. 3. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurı́dico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular: • que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento; • que las obligaciones del apartado 1, tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste. 4. A efectos de conservación de la prueba, las partes del contrato o del acto jurı́dico relativas a la protección de datos y a los requisitos relativos a las medidas a que hace referencia el apartado 1 constarán por escrito o en otra forma equivalente. SECCIÓN IX Notificación Artı́culo 18. Obligación de notificación a la autoridad de control 1. Los Estados miembros dispondrán que el responsable del tratamiento o, en su caso, su representante, efectúe una notificación a la autoridad de control contemplada en el artı́culo 28, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos, 170 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals total o parcialmente automatizados, destinados a la consecución de un fin o de varios fines conexos. 2. Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones: - cuando, para las categorı́as de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere el tratamiento, los Estados miembros precisen los fines de los tratamientos, los datos o categorı́as de datos tratados, la categorı́a o categorı́as de los interesados, los destinatarios o categorı́as de destinatarios a los que se comuniquen los datos y el perı́odo de conservación de los datos y/o • cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que tenga por cometido, en particular: • hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva, • llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artı́culo 21, garantizando ası́ que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados. 3. Los Estados miembros podrán disponer que no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar un registro que, en virtud de disposiciones legales o reglamentarias, esté destinado a facilitar información al público y estén abiertos a la consulta por el público en general o por toda persona que pueda demostrar un interés legı́timo. 4. Los Estados miembros podrán eximir de la obligación de notificación o disponer una simplificación de la misma respecto de los trata- mientos a que se refiere la letra d) del apartado 2 del artı́culo S. 5. Los Estados miembros podrán disponer que los tratamientos no automatizados de datos de carácter personal o algunos de ellos sean notificados eventualmente de una forma simplificada. Artı́culo 19. Contenido de la notificación 1. Los Estados miembros determinarán la información que debe figurar en la notificación, que será como mı́nimo: a) el nombre y la dirección del responsable del tratamiento y, en su caso, de su representante; b) el o los objetivos del tratamiento; c) una descripción de la categorı́a o categorı́as de interesados y de los datos o categorı́as de datos a los que se refiere el tratamiento; d) los destinatarios o categorı́as de destinatarios a los que se pueden comunicar los datos; e) las transferencias de datos previstas a paı́ses terceros; f) una descripción general que permita evaluar de modo preliminar si las medidas adoptadas en aplicación del artı́culo 17 resultan adecuadas para garantizar la seguridad del tratamiento. 2. Los Estados miembros precisarán los procedimientos por los que se notificarán a la autoridad de control las modificaciones que afecten a la información contemplada en el apartado 1. Artı́culo 20. Controles previos 1. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos especı́ficos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento. 171 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 2. Estas comprobaciones previas serán realizadas por la autoridad de control una vez que haya recibido la notificación del responsable del tratamiento o por el encargado de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control. Artı́culo 22. Recursos Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artı́culo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un 3. Los Estados miembros podrán también llevar recurso judicial en caso de violación de los derechos a cabo dicha comprobación en el marco de que le garanticen las disposiciones de Derecho nala elaboración de una norma aprobada por el cional aplicables al tratamiento de que se trate. Parlamento o basada en la misma norma, que Artı́culo 23. Responsabilidad defina el carácter del tratamiento y establezca las oportunas garantı́as. 1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilı́cito o de una acArtı́culo 21. Publicidad de los tratamientos ción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente 1. Los Estados miembros adoptarán las medidas Directiva, tenga derecho a obtener del responnecesarias para garantizar la publicidad de los sable del tratamiento la reparación del perjuitratamientos. cio sufrido. 2. Los Estados miembros establecerán que la au2. El responsable del tratamiento podrá ser exitoridad de control lleve un registro de los tramido parcial o totalmente de dicha responsatamientos notificados con arreglo al artı́culo bilidad si demuestra que no se le puede impu18. tar el hecho que ha provocado el daño. En el registro se harán constar, como mı́nimo, las informaciones a las que se refieren las Artı́culo 24 Sanciones letras a) a e) del apartado 1 del artı́culo 19. Los Estados miembros adoptarán las medidas El registro podrá ser consultado por cualquier adecuadas para garantizar la plena aplicación de las persona. disposiciones de la presente Directiva y determina3. Los Estados miembros dispondrán, en lo que rán, en particular, las sanciones que deben aplicarrespecta a los tratamientos no sometidos a no- se en caso de incumplimiento de las disposiciones tificación, que los responsables del tratamien- adoptadas en ejecución de la presente Directiva. to u otro órgano designado por los Estados CAPÍTULO IV - TRANSFERENCIA DE miembros comuniquen, en la forma adecuada, DATOS PERSONALES A PAÍSES TERCEa toda persona que lo solicite, al menos las ROS informaciones a que se refieren las letras a) a Artı́culo 25. Principios e) del apartado 1 del artı́culo 19. Los Estados miembros podrán establecer que es ta disposición no se aplique a los tratamientos cuyo fin único sea llevar un registro, que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legı́timo. Capı́tulo III. Recursos Judiciales, Responsabilidad Y Sanciones 1. Los Estados miembros dispondrán que la transferencia a un paı́s tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el paı́s tercero de que se trate garantice un nivel de protección adecuado. 172 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 2. El carácter adecuado del nivel de protección que ofrece un paı́s tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categorı́a de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el paı́s de origen y el paı́s de destino final, las normas de Derecho, generales o sectoriales, vigentes en el paı́s tercero de que se trate, ası́ como las normas profesionales y las medidas de seguridad en vigor en dichos paı́ses. 3. Los Estados miembros y la Comisión se informarán recı́procamente de los casos en que consideren que un tercer paı́s no garantiza un nivel de protección adecuado con arreglo al apartado 2. 4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artı́culo 31, que un tercer paı́s no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artı́culo, los Estado miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer paı́s de que se trate. 5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4. 6. La Comisión podrá hacer cons tar, de conformidad con el procedimiento previsto en el apartado 2 del artı́culo 31, que un paı́s tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artı́culo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas. Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión. Artı́culo 26. Excepciones 1. No obstante lo dispuesto en el artı́culo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares,los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un paı́s tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artı́culo 25, siempre y cuando: a) el interesado haya dado su consentimiento inequı́vocamente a la transferencia prevista, o b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado,entre el responsable del tratamiento y un tercero, o d) La transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legı́timo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta. 2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer paı́s que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artı́culo 25, cuando el responsable del tratamiento ofrezca garantı́as suficientes respecto de la protección de la 173 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals vida privada, de los derechos y libertades fundamentales de las personas, ası́ como respecto al ejercicio de los respectivos derechos; dichas garantı́as podrán derivarse, en particular, de cláusulas contractuales apropiadas. 3. Los Estados miembros informarán a la Comisión y a los demás Estados miembros acerca de las autorizaciones que concedan con arreglo al apartado 2. En el supuesto de que otro Estado miembro o la Comisión expresaron su oposición y la justificaran debidamente por motivos derivados de la protección de la vida privada y de los derechos y libertades fundamentales de las personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento establecido en el apartado 2 del artı́culo 31. Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión. 4. Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artı́culo 31, que determinadas cláusulas contractuales tipo ofrecen las garantı́as suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión. dicha autoridad vele, entre otras cosas, por la conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus representantes. 3. Los proyectos de códigos comunitarios, ası́ como las modificaciones o prórrogas de códigos comunitarios existentes, podrán ser sometidos a examen del grupo contemplado en el artı́culo 29. Éste se pronunciará, entre otras cosas, sobre la conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, el Grupo recogerá las observaciones de los interesados o de sus representantes. La Comisión podrá efectuar una publicidad adecuada de los códigos que hayan recibido un dictamen favorable del grupo. APı́TULO VI - AUTORIDAD DE CONTROL Y GRUPO DE PROTECCIóN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Artı́culo 28 Autoridad de control CAPı́TULO V - CóDIGOS DE CONDUCTA Artı́culo 27 1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva. 2. Los Estados miembros establecerán que las asociaciones profesionales, y las dem ás organizaciones representantes de otras categorı́as de responsables de tratamientos, que hayan elaborado proyectos de códigos nacionales o que tengan la intención de modificar o prorrogar códigos nacionales existentes puedan someterlos a examen de las autoridades nacionales. Los Estados miembros establecerán que 1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva. Estas autoridades ejercerán las funciones que les son atribuidas con total independencia. 2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal. 3. La autoridad de control dispondrá, en particular, de: • poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda 174 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals la información necesaria para el cumplimiento de su misión de control; • poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artı́culo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones polı́ticas nacionales; artı́culo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro. Las autoridades de control cooperarán entre sı́ en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil. 7. Los Estados miembros dispondrán que los miembros y agentes de las autoridades de control estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre informaciones confidenciales a las que hayan tenido acceso. Artı́culo 29 • capacidad procesal en caso de infraccioGrupo de protección de las personas en lo que nes a las disposiciones nacionales adopta- respecta al tratamiento de datos personales. das en aplicación de la presente Directiva o de poner dichas infracciones en conoci1. Se crea un grupo de protección de las persomiento de la autoridad judicial. Las decinas en lo que respecta al tratamiento de datos siones de la autoridad de control lesivas personales, en lo sucesivo denominado <Grude derechos podrán ser objeto de recurso po . Dicho Grupo tendrá carácter consultivo jurisdiccional. e independiente. 4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud. Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artı́culo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido lugar una verificación. 5. Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado. 6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente 2. El Grupo estará compuesto por un representante de la autoridad o de las autoridades de control designadas por cada Estado miembro, por un representante de la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión. Cada miembro del Grupo será designado por la institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya designado varias autoridades de control, éstas nombrarán a un representante común. Lo mismo harán las autoridades creadas por las instituciones y organismos comunitarios. 3. El Grupo tomará sus decisiones por mayorı́a simple de los representantes de las autoridades de control. 4. El Grupo elegirá a su presidente. El mandato del presidente tendrá una duración de dos años. El mandato será renovable. 5. La Comisión desempeñará las funciones de secretarı́a del Grupo. 6. El Grupo aprobará su reglamento interno. 175 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 7. El Grupo examinará los asuntos incluidos en el orden del dı́a por su presidente, bien por iniciativa de éste, bien previa solicitud de un representante de las autoridades de control, bien a solicitud de la Comisión. Artı́culo 30 1. El Grupo tendrá por cometido: a) estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea; 5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones. A tal efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado. 6. El Grupo elaborará un informe anual sobre la situación de la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los paı́ses terceros, y lo transmitirá al Parlamento Europeo, al Consejo y a la Comisión. Dicho informe será publicado. CAPı́TULO VII - MEDIDAS DE EJEb) emitir un dictamen destinado a la Comi- CUCIÓN COMUNITARIAS sión sobre el nivel de protección existente Artı́culo 31 dentro de la Comunidad y en los paı́ses El Comité terceros; c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de medidas adicionales o especı́ficas que deban adaptarse para salvaguardar los derechos y libertades de las personas fı́sicas en lo que respecta al tratamiento de datos personales, ası́ como sobre cualquier otro proyecto de medidas comunitarias que afecte a dichos derechos y libertades; d) emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria. 2. Si el Grupo comprobaré la existencia de divergencias entre la legislación y la práctica de los Estados miembros que pudieren afectar a la equivalencia de la protección de las personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión. 3. El Grupo podrá, por iniciativa propia, formular recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad. 4. Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión Y al Comité contemplado en el artı́culo 31. 1. La Comisión estará asistida por un Comité compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión. 2. El representante de la Comisión presentará al Comité un proyecto de las medidas que se hayan de adoptar. El Comité emitirá su dictamen sobre dicho proyecto en un plazo que el presidente podrá determinar en función de la urgencia de la cuestión de que se trate. El dictamen se emitirá según la mayorı́a prevista en el apartado 2 del artı́culo 148 del Tratado. Los votos de los representantes de los Estados miembros en el seno del Comité se ponderarán del modo establecido en el artı́culo anteriormente citado. El presidente no tomará parte en la votación. La Comisión adoptará las medidas que serán de aplicación inmediata. Sin embargo, si dichas medidas no fueren conformes al dictamen del Comité, habrán de ser comunicadas sin demora por la Comisión al Consejo. En este caso: la Comisión aplazará la aplicación de las medidas que ha decidido por un perı́odo de tres meses a partir de la fecha de dicha comunicación; el Consejo, actuando por mayorı́a cualificada, podrá adoptar una decisión diferente dentro del plazo de tiempo mencionado en el primer guión. 176 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals DISPOSICIONES FINALES Artı́culo 32 4. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva. 1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administratiArtı́culo 33 vas necesarias para dar cumplimiento a lo esLa Comisión presentará al Consejo y al Parlatablecido en la presente Directiva, a más tarmento Europeo periódicamente y por primera vez dar al final de un perı́odo de tres años a partir en un plazo de tres años a partir de la fecha mende su adopción. cionada en el apartado 1 del artı́culo 32 un informe Cuando los Estados miembros adopten dichas sobre la aplicación de la presente Directiva, acomdisposiciones, éstas harán referencia a la pre- pañado, en su caso, de las oportunas propuestas de sente Directiva o irán acompañadas de dicha modificación. Dicho informe será publicado. referencia en su publicación oficial. Los EstaLa Comisión estudiará, en particular, la aplicados miembros establecerán las modalidades de ción de la presente Directiva al tratamiento de datos la mencionada referencia. que consistan en sonidos e imágenes relativos a personas fı́sicas y presentará las propuestas pertinentes 2. Los Estados miembros velarán por que todo que puedan res ultar necesarias en función de los tratamiento ya iniciado en la fecha de entraavances de la tecnologı́a de la información, y a la da en vigor de las disposiciones de Derecho luz de los trabajos de la sociedad de la información. nacional adoptadas en virtud de la presente Artı́culo 34 Directiva se ajuste a dichas disposiciones dentro de un plazo de tres años a partir de dicha Los destinatarios de la presente Directiva serán fecha. No obstante lo dispuesto en el párrafo los Estados miembros. primero, los Estados miembros podrán estaHecho en Luxemburgo, el 24 de octubre de 1995. blecer que el tratamiento de datos que ya se encuentren incluidos en ficheros manuales en Por el Parlamento Europeo Por el Consejo la fecha de entrada en vigor de las disposiEl Presidente El Presidente ciones nacionales adoptadas en aplicación de K. HANSCH L. ATIENZA SERNA la presente Directiva, deba ajustarse a lo dispuesto en los artı́culos 6, 7 y 8 en un plazo de DO no C 277 de 5. 11. 1990, p. 3 y DO no C 311 de 27. doce años a partir de la adopción de la misma. 11. 1992,p. 30. No obstante, los Estados miembros otorgarán (2) DO no 159 de 17. 6. 1991, p. 38. al interesado, previa solicitud y, en particu(3) Dictamen del Parlamento Europeo de 11 de marzo lar, en el ejercicio de su derecho de acceso, el de 1992 (DO no C 94 de 13. 4. 1992, p. 198), confirmado el 2 derecho a que se rectifiquen, supriman o blo- de diciembre de 1993 (DO no C 342 de 20. 12. 1993, p. 30); o queen los datos incompletos, inexactos o que posición común del Consejo de 20 de febrero de 1995 (DO n C 93 de 13. 4. 1995, p. 1) y Decisión del Parlamento Europeo hayan sido conservados de forma incompati- de 15 de junio de 1995 (DO no C 166 de 3. 7. 1995). ble con los fines legı́timos perseguidos por el 1 DO no C 277 de 5. 11. 1990, p. 3 y DO no C 311 de responsable del tratamiento. 27. 11. 1992, p. 30. 3. No obstante lo dispuesto en el apartado 2, los Estados miembros podrán disponer, con sujeción a las garantı́as adecuadas, que los datos conservados únicamente a efectos de investigación histórica no deban ajustarse a lo dispuesto en los artı́culos 6, 7 y 8 de la presente Directiva. 2 DO no 159 de 17. 6. 1991, p. 38. 3 Dictamen del Parlamento Europeo de 11 de marzo de 1992 (DO no C 94 de 13. 4. 1992, p. 198), confirmado el 2 de diciembre de 1993 (DO no C 342 de 20. 12. 1993, p. 30); posición común del Consejo de 20 de febrero de 1995 (DO no C 93 de 13. 4. 1995, p. 1) y Decisión del Parlamento Europeo de 15 de junio de 1995 (DO no C 166 de 3. 7. 1995). 4 DO no L197 de 18.7. 1987, p. 33. 177 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 4.4.1 Reglamento 2001/45/CE, del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la Protección de las Personas Fı́sicas en lo que respecta al Tratamiento de Datos Personales por las Instituciones y los Organismos comunitarios y a la libre circulación de estos datos (DOCE L8 de 12.01.2001) Reglamento 2001/45/CE, del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la Protección de las Personas Fı́sicas en lo que respecta al Tratamiento de Datos Personales por las Instituciones y los Organismos comunitarios y a la libre circulación de estos datos. Diario Oficial de las Comunidades Europeas 12.1.2001 L 8/2 EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea ,y n particular su artı́culo 286, Vista la propuesta de la Comisión (1), Visto el dictamen del Comité Económico y Social (2), De conformidad con el procedimiento previsto en el artı́culo 251 del Tratado (3), (1 )DO L 52 d 22.2.1997,p.1. (2 )DO L 318 de 27.11.1998,p.8. (3 )DO L 151 de 15.6.1990,p.1.Reglamento modificado por el Reglamento (CE) no 322/97 (DO L 52 d 22.2.1997,p.1). Considerando lo siguiente: 1. El artı́culo 286 del Tratado requiere que se apliquen a las instituciones y organismos comunitarios los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de estos datos. 2. Un sistema completo de protección de datos personales no requiere únicamente establecer los derechos de las personas cuyos datos se tratan y las obligaciones de quienes tratan dichos datos personales ,sino también unas sanciones apropiadas para los infractores y un organismo supervisor independiente. 3. El apartado 2 del artı́culo 286 del Tratado requiere que se establezca un organismo super- visor independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos comunitarios. 4. El apartado 2 del artı́culo 286 del Tratado requiere, por otro lado, la adopción ,en su caso ,de cualesquiera otras disposiciones pertinentes. 5. Es necesario un Reglamento que proporcione a las personas unos derechos protegidos jurı́dicamente ,que especifique las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos comunitarios en materia de tratamiento de datos y por el que se cree una autoridad de control independiente responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos comunitarios. 6. Se ha consultado al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artı́culo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo ,de 24 de octubre de 1995,relativa a la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (4). 7. Las personas susceptibles de ser protegidas son aquéllas cuyos datos personales son tratados por las instituciones u organismos comunitarios en cualquier contexto ,por ejemplo, porque estas personas estén empleadas por dichas instituciones u organismos. 8. Los principios de la protección de datos deben aplicarse a toda información relativa a una persona identificada o identificable; para determinar si una persona es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otra persona 178 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals para identificar a dicha persona .Los principios de la protección no deben aplicarse a los datos convertidos en anónimos de forma que la persona a quien se refieren ya no resulte identificable. 9. La Directiva 95/46/CE exige a los Estados miembros que garanticen la protección de los derechos y las libertades fundamentales de las personas fı́sicas ,en particular del derecho a la intimidad ,en lo que respecta al tratamiento de los datos personales, con el fin de garantizar la libre circulación de datos personales en la Comunidad.(1 )DO C 376 E d 28.12.1999,p.24. (2 )DO C 51 d 23.2.2000,p.48. (3 )Dictamen del Parlamento Europeo de 14 de noviembre de 2000 y Decisión del Consejo de 30 de noviembre de 2000.(4 )DO L 281 de 23.11.1995,p.31. 10. La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997,relativa al trata miento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (1 ), precisa y completa la Directiva 95/46/CE en lo que respecta al tratamiento de los datos personales en el sector de las telecomunicaciones. 11. Otras medidas comunitarias ,adoptadas en particular en materia de asistencia mutua entre las administraciones nacionales y la Comisión ,tienen también por objeto precisar y completar la Directiva 95/46/CE en los sectores de los que se ocupan. 12. Debe garantizarse en toda la Comunidad una aplicación coherente y homogénea de las normas de protección de los derechos y las libertades fundamentales de las personas en lo que respecta al tratamiento de los datos personales. 13. Se trata de garantizar tanto el respeto efectivo de las normas de protección de los derechos y las libertades fundamentales de las personas como la libre circulación de los datos personales entre los Estados miembros y las instituciones y organismos comunitarios ,o entre las instituciones y los organismos comunitarios ,en el ejercicio de sus competencias respectivas. 14. Con este fin ,es preciso adoptar disposiciones vinculantes para las instituciones y los organismos comunitarios. Tales disposiciones deben aplicarse a todo tratamiento de datos personales efectuado por las instituciones y los organismos comunitarios en la medida en que dicho tratamiento se lleva a cabo para el ejercicio de actividades que pertenecen total o parcialmente al ámbito de aplicación del Derecho comunitario. 15. Cuando las instituciones y los organismos comunitarios efectúen dicho tratamiento para el ejercicio de actividades que no pertenezcan al ámbito de aplicación del presente Reglamento ,y n especial de las previstas en los Tı́tulos V y VI del Tratado de la Unión Europea ,la protección de los derechos y las libertades fundamentales de las personas se garantizará respetando el artı́culo 6 del Tratado de la Unión Europea. El acceso a los documentos ,incluidas las condiciones de acceso a los documentos que contengan datos personales ,depende de las normas adoptadas sobre la base del artı́culo 255 del Tratado CE, cuyo ámbito de aplicación abarca los Tı́tulos V y VI del Tratado de la Unión Europea. 16. Estas disposiciones no se aplicarán a los organismos establecidos fuera del marco comunitario ,como tampoco el Supervisor Europeo de Protección de Datos será competente para supervisar el tratamiento de datos personales que efectúen dichos organismos. 17. La eficacia de la protección de las personas respecto al tratamiento de datos personales en la Unión requiere la coherencia de las normas y d los procedimientos aplicables en la materia a las actividades correspondientes a diferentes marcos jurı́dicos .La elaboración de principios fundamentales relativos a la protección de datos personales en el ámbito de la cooperación judicial en materia penal y n l d la cooperación policial y aduanera, y la creación de una secretarı́a para las autoridades de control comunes ,establecidas en virtud del Convenio Europol, el Convenio relativo a la utilización de la tecnologı́a de la información a efectos aduaneros y l Convenio de Schengen, constituyen a este respecto una primera etapa. 179 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 18. El presente Reglamento no afecta a los derechos y obligaciones de los Estados miembros con arreglo a las Directivas 95/46/CE y 97/66/CE. No pretende modificar los procedimientos y prácticas legalmente establecidos por los Estados miembros en materia de seguridad nacional ,de defensa del orden público ,ası́ como de prevención ,detección, investigación y represión de las infracciones penales respetando lo dispuesto en el Protocolo sobre los privilegios y las inmunidades de las Comunidades Europeas y n l Derecho internacional. 19. Las instituciones y organismos comunitarios se dirigen a las autoridades competentes de los Estados miembros cuando consideran que deben intervenirse comunicaciones en sus redes de telecomunicaciones ,de conformidad con las disposiciones nacionales aplicables. 20. Las disposiciones aplicables a las instituciones y organismos comunitarios deben corresponder a las previstas para la armonización de las legislaciones nacionales o la aplicación de otras polı́ticas comunitarias ,sobre todo en materia de asistencia mutua; no obstante ,puede ser necesario hacer precisiones y establecer disposiciones complementarias para garantizar la protección en el caso del tratamiento de datos personales efectuado por las instituciones y los organismos comunitarios. 21. Esta observación es aplicable tanto a los derechos de las personas cuyos datos se tratan como a las obligaciones de las instituciones y organismos comunitarios responsables del tratamiento ,y a los poderes de que debe disponer la autoridad de control independiente encargada de velar por la correcta aplicación del presente Reglamento. 22. Procede que los derechos otorgados a la persona interesada y l ejercicio de los mismos no afecten a las obligaciones impuestas al responsable del tratamiento. 23. La autoridad de control independiente ejercerá sus misiones de control con arreglo al Tratado y respetando los derechos humanos y las libertades fundamentales. Llevará a cabo sus investigaciones respetando el Protocolo sobre los privilegios y las inmunidades y l Estatuto de los funcionarios de las Comunidades Europeas y al régimen aplicable a los otros agentes de estas Comunidades. 24. Deberán adoptarse las medidas técnicas necesarias para permitir el acceso a los registros de los tratamientos efectuados por los delegados de la protección de datos a través de la autoridad de control independiente.(1 )DO L 24 d 30.1.1998,p.1. 25. Las decisiones de la autoridad de control independiente relacionadas con excepciones ,garantı́as ,autorizaciones y condiciones relativas a los tratamientos de datos ,según se definen en el presente Reglamento ,serán publicadas en el informe de actividad .Con independencia de la publicación anual del informe de actividad ,la autoridad de control independiente podrá publicar informes sobre temas especı́ficos. 26. Determinados tratamientos que puedan suponer riesgos especı́ficos para los derechos y libertades de los interesados estarán sujetos al control previo de la autoridad de control independiente .El dictamen emitido en el marco de dicho control previo ,incluido el dictamen resultante de no haber respuesta en el plazo previsto ,no impedirá que la autoridad de control independiente ejerza posteriormente sus competencias respecto al tratamiento en cuestión. 27. El tratamiento de datos personales efectuado a cargo de las instituciones y organismos comunitarios para la realización de las tareas de interés público incluye el trata miento de datos personales necesarios para la gestión y el funcionamiento de dichas instituciones y organismos. 28. En algunos casos ,procede establecer que el tratamiento de datos haya de ser autorizado por disposiciones comunitarias o actos de adaptación de disposiciones comunitarias. No obstante ,con carácter transitorio ,cuando dichas disposiciones no existan y a la espera de su adopción ,el Supervisor Europeo de Protección de Datos podrá autorizar el tratamiento de dichos datos siempre y cuando se adopten 180 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals las garantı́as adecuadas. A este respecto ,tendrá en cuenta, entre otras cosas, las disposiciones adoptadas por los Estados miembros en casos similares. la obtención de información estadı́stica por el Banco Central Europeo (2 ),es de aplicación sin perjuicio de lo dispuesto en la Directiva 95/46/ CE. 29. Dichos casos se refieren al tratamiento de datos que revelen el origen racial o étnico ,las opiniones polı́ticas, las convicciones religiosas o filosóficas ,la afiliación sindical, ası́ como el tratamiento de los datos relativos a la salud o a la vida sexual necesarios para respetar las obligaciones y los derechos del responsable del tratamiento en materia de Derecho laboral o por un motivo de interés público importante .Se refieren asimismo al tratamiento de los datos relativos a infracciones, condenas penales o medidas de seguridad ,o incluso a la autorización para someter a la persona interesada a una decisión que surta efectos jurı́dicos en ella o que le afecte de manera significativa y que esté basada únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad. 35. De conformidad con el apartado 2 d su artı́culo 1,el Reglamento (Euratom, CEE) no 1588/90 del Consejo ,de 11 de junio de 1990,relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico (3 ) no afectará a las disposiciones particulares, comunitarias o nacionales, relativas a la salvaguardia de otros secretos que no sean los estadı́sticos. 36. El presente Reglamento no pretende limitar el margen de maniobra de los Estados miembros en la elaboración de su derecho nacional en materia de protección de datos adoptado en virtud del artı́culo 32 de la Directiva 95/ 46/CE, de conformidad con el artı́culo 249 del Tratado. HAN ADOPTADO EL PRESENTE REGLA30. Puede ser necesario supervisar las redes inforMENTO: máticas que funcionan bajo el control de las CAPÍTULO I DISPOSICIONES GENEinstituciones y organismos comunitarios para prevenir su uso no autorizado; el Supervisor RALES Europeo de Protección de Datos debe deterArtı́culo 1. Objeto del Reglamento minar si esto es posible y en qué condiciones. 1. Las instituciones y los organismos creados por 31. La responsabilidad que se derive del incumplilos Tratados constitutivos de las Comunidades miento del presente Reglamento se regirá con Europeas o n virtud de dichos Tratados, en lo arreglo al párrafo segundo del artı́culo 288 del sucesivo denominados ı̈nstituciones y organisTratado. mos comunitarios ”,garantizarán, de conformidad con el presente Reglamento, la protección 32. En cada institución u organismo comunitario de los derechos y las libertades fundamenta,uno o varios responsables de la protección de les de las personas fı́sicas, y en particular su datos velarán por que se aplique lo dispuesto derecho a la intimidad, en lo que respecta al en el presente Reglamento y asesorarán a los tratamiento de los datos personales, y no liresponsables del tratamiento en el ejercicio de mitarán ni prohibirán la libre circulación de sus obligaciones. datos personales entre ellos o entre ellos y des33. De conformidad con su artı́culo 21,el Reglatinatarios sujetos al Derecho nacional de los mento (CE) no 322/97 del Consejo , de 17 de Estados miembros adoptado en aplicación de febrero de 1997,sobre la estadı́stica comunila Directiva 95/46/CE. taria (1), es de aplicación sin perjuicio de lo 2. La autoridad de control independiente estadispuesto en la Directiva 95/46/CE. blecida por el presente Reglamento, en lo suce34. De conformidad con el apartado 8 d su arsivo denominada ”Supervisor Europeo de Protı́culo 8,el Reglamento (CE) no 2533/98 del tección de Datos ”,supervisará la aplicación Consejo ,de 23 de noviembre de 1998,sobre de las disposiciones del presente Reglamento 181 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals a todas las operaciones de tratamiento reali- encargado del tratamiento :la persona fı́sica o zadas por las instituciones y organismos cojurı́dica, autoridad pública, servicio o cualmunitarios. quier otro organismo que trate datos personales por cuenta del responsable del tratamiento; Artı́culo 2. Definiciones A efectos del presente Reglamento, se entenderá por: tercero :la persona fı́sica o jurı́dica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y d datos personales toda información sobre una las personas autorizadas para tratar los datos persona fı́sica identificada o identificable (debajo la autoridad directa del responsable del nominada en lo sucesivo .el interesado ”); tratamiento o del encargado del tratamiento; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indi- destinatario :la persona fı́sica o jurı́dica, autorirectamente, en particular mediante un númedad pública, servicio o cualquier otro organisro de identificación o uno o varios elementos mo que reciba comunicación de datos, se trate especı́ficos, caracterı́sticos de su identidad fı́o no d un tercero; no obstante, las autoridades sica, fisiológica, psı́quica, económica, cultural que puedan recibir una comunicación de datos o social; en el marco de una investigación especı́fica no serán considerados destinatarios; tratamiento de datos personales (denominado en lo sucesivo ”tratamiento ”) cualquier ope- consentimiento del interesado :toda manifesración o conjunto de operaciones, efectuadas tación de voluntad, libre, especı́fica y con coo no mediante procedimientos automatizanocimiento de causa, mediante la que el indos, aplicadas a datos personales, como la teresado consienta el tratamiento de datos recogida, registro, organización, conservación, personales que le conciernan. adaptación o modificación, extracción, consulArtı́culo 3. Ámbito de aplicación ta, utilización, comunicación por transmisión, difusión o cualquier otra forma que permita 1. Las disposiciones del presente Reglamento se el acceso a los mismos,ası́ como la alineación aplicarán al tratamiento de datos personales o interconexión, y el bloqueo, supresión o despor parte de todas las instituciones y organistrucción; mos comunitarios, en la medida en que dicho fichero de datos personales (denominado en lo tratamiento se lleve a cabo para el ejercicio sucesivo ”fichero ”):todo conjunto estructurade actividades que pertenecen al ámbito de do de datos personales accesibles con arreglo aplicación del Derecho comunitario. a criterios determinados, ya sea centralizado, 2. Las disposiciones del presente Reglamento se descentralizado o repartido según un criterio aplicarán al tratamiento total o parcialmente funcional o geográfico; automatizado de datos personales, ası́ como al responsable del tratamiento :la institución, ortratamiento no automatizado de datos persoganismo, dirección general, unidad u otra ennales contenidos o destinados a ser incluidos tidad organizativa comunitaria que por sı́ soen un fichero. la o conjuntamente con otras determine los fines y los medios del tratamiento de datos CAPÍTULO II. CONDICIONES GENEpersonales; cuando los fines y los medios del RALES DE LA LICITUD DEL TRATAtratamiento estén determinados por un acto MIENTO DE DATOS PERSONALES comunitario concreto, el responsable del traSECCIÓN 1. PRINCIPIOS RELATIVOS tamiento o los criterios especı́ficos aplicables a A LA CALIDAD DE LOS DATOS su nombramiento podrán determinarse en tal acto comunitario; Artı́culo 4. Calidad de los datos 182 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 1. Los datos personales deberán ser: a) tratados de manera leal y lı́cita; SECCIÓN 2. CRITERIOS DE LEGITIMIDAD DEL TRATAMIENTO DE DATOS Artı́culo 5. Licitud del tratamiento de datos b) recogidos con fines determinados, explı́El tratamiento de datos personales sólo podrá citos y legı́timos, y no ser tratados pos- efectuarse si: teriormente de manera incompatible con dichos fines; no se considerará incompatia) es necesario para el cumplimiento de una mible el tratamiento posterior de datos con sión de interés público en virtud de los Trafines históricos, estadı́sticos o cientı́ficos, tados constitutivos de las Comunidades Eusiempre y cuando el responsable del traropeas o d otros actos legislativos adoptados tamiento establezca las garantı́as oportusobre la base de los mismos o s inherente al nas, en particular para asegurar que los ejercicio legı́timo del poder público conferido datos no serán tratados con otros fines a la institución o al organismo comunitario o y que no se utilizarán en favor de media un tercero a quien se comuniquen los datos, das o decisiones que afecten a personas o concretas; b) es necesario para el cumplimiento de una oblic) adecuados, pertinentes y no excesivos gación jurı́dica a la que esté sujeto el responcon relación a los fines para los que se sable del tratamiento, o recaben y para los que se traten postec) es necesario para la ejecución de un contrariormente; to en el que el interesado sea parte o para la d) exactos y, si fuera necesario, actualizaaplicación de medidas precontractuales adopdos; se tomarán todas las medidas razotadas a petición del interesado, o nables para la supresión o rectificación de los datos inexactos o incompletos en d) el interesado ha dado su consentimiento de relación con los fines para los que fueforma inequı́voca, o ron recogidos o para los que son tratados e) es necesario para proteger los intereses esenposteriormente; ciales del interesado. e) conservados en una forma que permita la identificación de los interesados durante Artı́culo 6. Cambio de fines un perı́odo no superior al necesario para Sin perjuicio de lo dispuesto en los artı́culos 4,5 la consecución de los fines para los que y10: fueron recogidos o para los que se traten posteriormente. La institución o el orga1. Los datos personales sólo podrán tratarse con nismo comunitario establecerá para los fines distintos de los que motivaron su recogidatos personales que deban ser archivada cuando este cambio de fin esté permitido dos por un perı́odo más largo del mencioexpresamente por normas internas de la instinado para fines históricos, estadı́sticos o tución o del organismo comunitario. cientı́ficos, que dichos datos se archiven bien únicamente en forma anónima, o, 2. Los datos personales recogidos exclusivamencuando ello no sea posible, sólo con la te para garantizar la seguridad o l control de identidad codificada del interesado. En los sistemas o las operaciones de tratamiento cualquier caso, deberá imposibilitarse el no se utilizarán con ningún otro fin, salvo los uso de los datos salvo para fines históride la prevención, la investigación, la detección cos, estadı́sticos o cientı́ficos. y la represión de infracciones penales graves. 2. Incumbirá al responsable del tratamiento gaArtı́culo 7. Transmisión de datos personales enrantizar el cumplimiento de lo dispuesto en el tre las instituciones los organismos comunitarios en apartado 1. el seno de dichas instituciones y organismos 183 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals Sin perjuicio de lo dispuesto en los artı́culos 4,5,6 y10: 1. Los datos personales sólo se transmitirán a otras instituciones y organismos comunitarios o n l seno de dichas instituciones y organismos si son necesarios para el ejercicio legı́timo de las tareas que pertenecen al ámbito de competencia del destinatario. 2. Cuando los datos se transmitan a petición del destinatario, la responsabilidad relativa a la legitimidad de la transmisión incumbirá tanto al responsable del tratamiento como al destinatario. El responsable del tratamiento estará obligado a verificar la competencia del destinatario y a efectuar una evaluación provisional de la necesidad de la transmisión de dichos datos. En caso de abrigar dudas sobre tal necesidad, el responsable del tratamiento pedirá al destinatario que aporte información complementaria. El destinatario garantizará la posibilidad de verificar subsiguientemente la necesidad de la transmisión de los datos. 3. El destinatario tratará los datos personales únicamente para los fines que hayan motivado su transmisión. Artı́culo 8. Transmisión de datos personales a destinatarios, distintos de las instituciones y los organismos comunitarios, sujetos a la Directiva 95/46/CE Sin perjuicio de lo dispuesto en los artı́culos 4,5,6 y 10,los datos personales sólo se transmitirán a destinatarios sujetos al Derecho nacional adoptado para la aplicación de la Directiva 95/46/CE, cuando: a) el destinatario demuestre que los datos son necesarios para el cumplimiento de una misión de interés público o son inherentes al ejercicio del poder público, o b) el destinatario demuestre la necesidad de que se le transmitan los datos y no existan motivos para suponer que ello pudiera perjudicar los intereses legı́timos del interesado. Artı́culo 9. Transmisión de datos personales a destinatarios distintos de las instituciones y los organismos comunitarios y n sujetos a la Directiva 95/46/CE 1. Los datos personales sólo se podrán transmitir a destinatarios distintos de las instituciones y los organismos comunitarios y no sujetos al Derecho nacional adoptado en aplicación de la Directiva 95/46/CE cuando se garantice un nivel de protección suficiente en el paı́s del destinatario o n la organización internacional destinataria, y los datos se transmitan exclusivamente para permitir el ejercicio de las tareas que son competencia del responsable del tratamiento. 2. La suficiencia del nivel de protección ofrecido por el tercer paı́s o la organización internacional de que se trate se determinará a la luz de todas las circunstancias que rodean la operación de transmisión de datos o l conjunto de operaciones de transmisión de datos. Se tendrá particularmente en cuenta la naturaleza de los datos, la finalidad y la duración de las operaciones de tratamiento propuestas, el tercer paı́s o la organización internacional de destino final, los preceptos legales generales y sectoriales vigentes en el tercer paı́s o aplicables a la organización internacional de que se trate, ası́ como las normas profesionales y las medidas de seguridad observadas en ese paı́s u organización internacional. 3. Las instituciones y los organismos comunitarios informarán a la Comisión y al Supervisor Europeo de Protección de Datos de los casos en los que a su entender el tercer paı́s o la organización internacional de que se trate no garanticen un nivel de protección suficiente de acuerdo con el apartado 2. 4. La Comisión informará a los Estados miembros de los casos contemplados en el apartado 3. 5. Las instituciones y los organismos comunitarios tomarán las medidas oportunas para cumplir las decisiones adoptadas por la Comisión en las que se haga constar, en aplicación de los apartados 4 y 6dl artı́culo 25 de la 184 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals Directiva 95/46/CE, que un tercer paı́s o una organización internacional garantizan o no garantizan un nivel de protección suficiente. 6. No obstante lo dispuesto en los apartados 1 y 2,la institución o l organismo comunitario podrá efectuar una transmisión de datos personales si: a) el interesado ha dado su consentimiento de forma inequı́voca a la transmisión propuesta; o protección de la vida privada y los derechos y las libertades fundamentales de las personas, ası́ como por lo que respecta al ejercicio de los derechos correspondientes; estas garantı́as pueden, en particular, resultar de cláusulas contractuales pertinentes. 8. Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos de las categorı́as de casos en que hayan aplicado los apartados 6 y 7. SECCIÓN 3. CATEGORÍAS ESPECIAb) la transmisión es necesaria para la ejecución de un contrato entre el interesado LES DE TRATAMIENTOS y l responsable del tratamiento o para la Artı́culo 10. Tratamiento de categorı́as especiaaplicación de medidas precontractuales a les de datos petición del interesado; o c) la transmisión es necesaria para la conclusión o ejecución de un contrato concluido en interés del interesado entre el responsable del tratamiento y un tercero; o d) la transmisión es necesaria o requerida legalmente por razones importantes de interés público o para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial; o e) la transmisión es necesaria para proteger los intereses esenciales del interesado; o f) la transmisión se realiza desde un registro que, con arreglo al Derecho comunitario, tenga por objeto proporcionar información al público y que esté disponible para consulta del público en general o d cualquier persona que pueda demostrar un interés legı́timo, en la medida en que en ese caso particular se cumplan las condiciones de consulta fijadas en la legislación comunitaria. 7. Sin perjuicio de lo dispuesto en el apartado 6,el Supervisor Europeo de Protección de Datos podrá autorizar una transferencia o conjunto de transferencias de datos personales a un tercer paı́s o a una organización internacional que no garanticen un nivel de protección adecuado en el sentido de los apartados 1 y 2 cuando el responsable del tratamiento ofrezca garantı́as suficientes con respecto a la 1. Se prohı́be el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones polı́ticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, ası́ como el tratamiento de los datos relativos a la salud o a la sexualidad. 2. Lo dispuesto en el apartado 1 no se aplicará si: a) el interesado ha dado su consentimiento explı́cito a dicho tratamiento, salvo cuando las normas internas de la institución o del organismo comunitario dispongan que la prohibición contemplada en el apartado 1 no puede quedar sin efecto por el consentimiento del interesado, o b) el tratamiento es necesario para cumplir las obligaciones y derechos especı́ficos del responsable del tratamiento en materia de Derecho laboral, en la medida en que esté autorizado por el Tratado de la Unión Europea u otros instrumentos jurı́dicos adoptados sobre la base del mismo o, si fuera necesario, en la medida en que lo haya aprobado el Supervisor Europeo de Protección de Datos, con la aportación de garantı́as suficientes, o c) el tratamiento es necesario para salvaguardar los intereses esenciales del interesado o d otra persona, cuando el interesado está fı́sica o jurı́dicamente incapacitado para dar su consentimiento, o 185 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals d) el tratamiento se refiere a datos que el interesado ha hecho manifiestamente públicos o s necesario para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial, o Datos, siempre que establezca garantı́as especı́ficas adecuadas. 6. El Supervisor Europeo de Protección de Datos determinará las condiciones en las que podrá ser objeto de tratamiento un número personal o cualquier otro medio de identificación de aplicación general por parte de una institución o un organismo comunitario. e) el tratamiento lo lleva a cabo, en el curso de sus actividades legı́timas y con las garantı́as apropiadas, un organismo sin ánimo de lucro que constituya una entidad integrada en una institución o un orgaSECCIÓN 4. INFORMACIÓN AL INnismo comunitario, no sujeto a la legisla- TERESADO ción nacional sobre protección de datos Artı́culo 11. Información que se debe proporcioen virtud del artı́culo 4 d la Directiva nar cuando los datos han sido recabados del propio 95/46/CE, con fines polı́ticos, filosóficos, interesado religiosos o sindicales, a condición de que el tratamiento se refiera únicamente a los 1. El responsable del tratamiento proporcionamiembros de dicho organismo o a las perrá al interesado cuyos datos se recaben por lo sonas que mantengan contactos regulares menos la información que se enumera a concon él en relación con sus objetivos ,y que tinuación, salvo si la persona ya hubiera sido los datos no se divulguen a un tercero sin informada de ello: el consentimiento del interesado. a) la identidad del responsable del trata3. El apartado 1 no s aplicará cuando el tratamiento; miento de datos resulte necesario para la preb) los fines del tratamiento de que van a ser vención o para el diagnóstico médicos, la presobjeto los datos; tación de asistencia sanitaria o tratamientos c) los destinatarios o las categorı́as de desmédicos, o la gestión de servicios sanitarios, tinatarios de los datos; siempre que dicho tratamiento de datos sea d) el carácter obligatorio o voluntario de la realizado por un profesional sanitario sujeto respuesta a las preguntas y las posibles al secreto profesional o por otra persona sujeconsecuencias de la falta de respuesta; ta asimismo a una obligación de secreto equivalente. e) la existencia del derecho de acceso y d rectificación de los datos que le concier4. A condición de instaurar las garantı́as adecuanen; das, y por motivos de interés público imporf) cualquier información adicional como tantes, podrán preverse excepciones distintas g) el fundamento jurı́dico del tratamiento a las previstas en el apartado 2 en los Tratados de que van a ser objeto los datos, constitutivos de las Comunidades Europeas o en otros actos legislativos adoptados en virtud h) los plazos de conservación de los datos, de los mismos o, si fuera necesario, por decii) el derecho a recurrir al Supervisor Eurosión del Supervisor Europeo de Protección de peo de Protección de Datos en cualquier Datos. momento, que resulte necesaria, habida 5. El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad sólo podrá efectuarse si ası́ lo autorizan los Tratados constitutivos de las Comunidades Europeas u otros actos legislativos adoptados en virtud de los mismos, o si fuera necesario, el Supervisor Europeo de Protección de cuenta de las circunstancias especı́ficas en que se obtengan los datos, para garantizar un tratamiento de datos leal respecto del interesado. 2. No obstante lo dispuesto en el apartado 1,la provisión de información o d una parte de una información, con excepción de la información 186 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals a que se refieren las letras a),b) y d) del apartado 1, podrá aplazarse el tiempo que sea necesario para fines estadı́sticos. La información deberá proporcionarse tan pronto como la razón por la que se retiene deje de existir. Artı́culo 12. Información que se debe proporcionar cuando los datos no han sido recabados del propio interesado 2. Las disposiciones del apartado 1 no s aplicarán cuando, en particular para el tratamiento con fines estadı́sticos o d investigación histórica o cientı́fica, la información al interesado resulte imposible o exija esfuerzos desproporcionados o cuando el registro o la comunicación de datos estén expresamente previstos en la legislación comunitaria. En tales casos, la institución o el organismo comunitario establecerá las garantı́as apropiadas previa consulta del Supervisor Europeo de Protección de Datos. 1. Cuando los datos no hayan sido recabados del propio interesado, el responsable del tratamiento deberá, en el momento del registro SECCIÓN 5. DERECHOS DEL INde los datos personales o, en caso de que se TERESADO prevea su comunicación a un tercero, a más tardar en el momento de la primera comunicaArtı́culo 13. Derecho de acceso ción de datos, comunicar al interesado por lo El interesado tendrá derecho a obtener del resmenos la información que se enumera a contiponsable del tratamiento en cualquier momento y nuación, salvo si el interesado ya hubiera sido sin restricciones, dentro de un plazo de tres meses a informado de ello con anterioridad: partir de la recepción de la solicitud y con carácter a) la identidad del responsable del trata- gratuito: miento; a) confirmación de la existencia o no d tratab) los fines del tratamiento de que van a ser miento de datos que le conciernan; objeto los datos; b) información, como mı́nimo ,de los fines de dic) las categorı́as de datos de que se trate; cho tratamiento, de las categorı́as de datos d) los destinatarios o las categorı́as de desobjeto de tratamiento y de los destinatarios tinatarios de los datos; o categorı́as de destinatarios a quienes se comuniquen los datos; e) la existencia del derecho de acceso y d rectificación de los datos que le concierc) comunicación en forma inteligible de los danen; tos objeto de tratamiento, ası́ como cualquier f) cualquier información adicional como: información disponible sobre el origen de los datos; g) el fundamento jurı́dico del tratamiento de que van a ser objeto los datos, h) los plazos de conservación de los datos, i) el derecho a recurrir al Supervisor Europeo de Protección de Datos en cualquier momento, d) conocimiento de los criterios por los que se rige cualquier tratamiento automatizado de datos referido al interesado. Artı́culo 14. Rectificación El interesado tendrá derecho a obtener del resj) el origen de los datos, salvo cuando el responsable del tratamiento una rectificación inmediaponsable del tratamiento no pueda reveta de los datos personales inexactos o incompletos. lar esta información por motivos de secreto profesional, que resulte necesaria, Artı́culo 15. Bloqueo habida cuenta de las circunstancias especı́ficas en que se obtengan los datos, 1. El interesado tendrá derecho a hacer que el para garantizar un tratamiento de datos responsable del tratamiento bloquee sus daleal respecto del interesado. tos cuando: 187 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar que los datos son exactos, y que están completos; o b) el responsable de los datos ya no los necesite para la realización de sus tareas pero haya de conservarlos a efectos probatorios; o c) el tratamiento de los datos sea ilı́cito y l interesado se oponga a su supresión, exigiendo en su lugar el bloqueo. particular, a que los datos que le conciernan sean objeto de tratamiento, salvo en los casos contemplados en las letras b) ,c) y d) del artı́culo 5.En caso de oposición justificada, el tratamiento en cuestión no podrá referirse ya a esos datos. b) ser informado antes de que los datos personales se comuniquen por primera vez a terceros o s utilicen por cuenta de terceros a efectos de prospección, y a que se le ofrezca expresamente el derecho a oponerse, sin gastos, a dicha comunicación o utilización. 2. En los ficheros automatizados el bloqueo se efectuará, en principio por medios técnicos. El hecho de que los datos personales están bloArtı́culo 19. Decisiones individuales automatizaqueados deberá indicarse en el sistema de tal das modo que quede claro que no se pueden utiliEl interesado tiene derecho a no ser sometido a zar. una decisión que tenga efectos jurı́dicos sobre él o 3. Con excepción del almacenamiento, los datos que le afecte de manera significativa y que esté basapersonales bloqueados en aplicación del pre- da únicamente en un tratamiento automatizado de sente artı́culo sólo serán objeto de tratamiento datos destinado a evaluar determinados aspectos de a efectos probatorios, bien para la protección su personalidad, como su rendimiento laboral, fiade los derechos de un tercero, o bien con el bilidad o conducta, salvo cuando tal decisión esté consentimiento del interesado. expresamente autorizada en virtud de la legislación 4. El interesado que solicite y obtenga el bloqueo nacional o comunitaria o, si fuera necesario, por el de sus datos deberá ser informado por el res- Supervisor Europeo de Protección de Datos. En amponsable del tratamiento del desbloqueo de bos casos se adoptarán, para proteger los intereses legı́timos del interesado, medidas que le permitan los datos antes de que éste tenga lugar. exponer su punto de vista. Artı́culo 16. Supresión SECCIÓN 6. EXCEPCIONES Y LIMITACIONES El interesado tendrá derecho a hacer que el responsable del tratamiento suprima sus datos cuanArtı́culo 20. Excepciones y limitaciones do el tratamiento de éstos sea ilı́cito, en particular cuando se hayan incumplido las disposiciones de las 1. Las instituciones y los organismos comunitasecciones 1,2 y 3 del capı́tulo II. rios podrán limitar la aplicación del apartado Artı́culo 17. Notificación a terceros El interesado tendrá derecho a hacer que el responsable del tratamiento notifique a los terceros a quienes se hayan comunicado los datos toda rectificación, supresión o bloqueo efectuado en virtud de los artı́culos 13 a 16, a no ser que resulte imposible o suponga un esfuerzo desproporcionado. Artı́culo 18. Derecho de oposición del interesado El interesado tendrá derecho a: a) oponerse en cualquier momento, por razones imperiosas y legı́timas propias de su situación 1 del artı́culo 4,del artı́culo 11,del apartado 1 del artı́culo 12,de los artı́culos 13 a 17 y del apartado 1 del artı́culo 37 siempre y cuando tal limitación constituya una medida necesaria para: a) la prevención, investigación, detección y represión de infracciones penales; b) la salvaguardia de un interés económico o financiero importante de un Estado miembro o d las Comunidades Europeas, incluidos los asuntos monetarios, presupuestarios y fiscales; 188 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals c) la protección del interesado o d los dereLas personas empleadas en una institución o n chos y libertades de otras personas; un organismo comunitario, ası́ como las instituciod) la seguridad nacional, el orden público y nes u organismos comunitarios que a su vez actúen como encargados del tratamiento, que tengan accela defensa de los Estados miembros; so a datos personales, sólo podrán tratarlos cuando e) una misión de seguimiento, inspección se lo encomiende el responsable del tratamiento, a o regulación relacionada, incluso ocasio- no ser que estén obligadas a hacerlo con arreglo a nalmente, con el ejercicio de los poderes la legislación nacional o comunitaria. públicos en los casos contemplados en las Artı́culo 22. Seguridad del tratamiento letras a) y b). 2. Los artı́culos 13 a 16 no serán de aplicación cuando los datos se vayan a tratar exclusivamente con fines de investigación cientı́fica o s guarden en forma de archivos de carácter personal durante un periodo que no supere el tiempo necesario para la exclusiva finalidad de elaborar estadı́sticas, siempre que manifiestamente no exista ningún riesgo de que se vulnere la intimidad del interesado y que el responsable del tratamiento brinde las garantı́as jurı́dicas apropiadas para excluir, en particular, que los datos puedan ser utilizados para adoptar medidas o decisiones en relación con personas concretas. 1. Habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, el responsable del tratamiento pondrá en práctica las medidas de carácter técnico y organizativo adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse. 3. En caso de que se aplique una limitación contemplada en el apartado 1,se informará al interesado, de conformidad con el Derecho comunitario, de las razones principales que justifican la limitación, ası́ como de su derecho a recurrir al Supervisor Europeo de Protección de Datos. 2. Cuando los datos personales se traten de forma automatizada, se adoptarán las medidas adecuadas en función del riesgo, en particular con el objetivo de: 4. En caso de que se invoque una limitación contemplada en el apartado 1 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación subsiguiente a la reclamación, sólo le comunicará si los datos se trataron correctamente y, de no ser ası́, si se han efectuado las correcciones necesarias. b) evitar que se puedan leer, reproducir, alterar o retirar los soportes de memoria sin autorización; 5. Podrá aplazarse la comunicación de la información a la que se refieren los apartados 3 y 4 mientras deje sin efecto la limitación impuesta sobre la base del apartado 1. SECCIÓN 7. CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO Artı́culo 21. Confidencialidad del tratamiento Se adoptarán tales medidas para evitar, en particular, la comunicación o l acceso no autorizados, la destrucción accidental o ilı́cita, o cualquier pérdida accidental o alteración, ası́ como cualquier otra forma ilı́cita de tratamiento. a) evitar que personas no autorizadas puedan acceder a los sistemas informáticos que traten datos personales; c) evitar que personas no autorizadas puedan introducir información en memoria o comunicar, alterar o suprimir datos personales almacenados; d) evitar que personas no autorizadas puedan utilizar los sistemas de tratamiento de datos mediante instalaciones de transmisión de datos; e) garantizar que los usuarios autorizados de un sistema de tratamiento de datos puedan acceder únicamente a aquellos datos personales a que se refiera su derecho de acceso; 189 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals f) registrar qué datos personales se comu3. A efectos probatorios, las partes del contrato nicaron en qué momento y a quién; o del acto jurı́dico relativas a la protección de datos y los requisitos relativos a las medidas g) garantizar que posteriormente sea posimencionadas en el artı́culo 22 constarán por ble comprobar qué datos personales se escrito o en otra forma equivalente. han tratado, cuándo y por quién; h) garantizar que los datos personales traSECCIÓN 8. RESPONSABLE DE LA tados por cuenta de terceros puedan tratarse únicamente en la forma prescrita PROTECCIÓN DE DATOS por la institución o el organismo contraArtı́culo 24. Nombramiento y funciones del restante; ponsable de la protección de datos i) garantizar que durante la comunicación de datos personales y durante el trans1. Cada institución y cada organismo comuniporte de los soportes de memoria, los datario nombrará al menos a una persona para tos no puedan ser leı́dos, copiados o suque actúe como responsable de la protección primidos sin autorización; de datos encargado de: j) diseñar la estructura organizativa dentro de una institución o d un organismo de a) garantizar que los responsables del tratatal modo que satisfaga las necesidades esmiento y los interesados sean informados peciales de la protección de datos. de sus derechos y obligaciones de conformidad con el presente Reglamento; Artı́culo 23. Tratamiento de datos personales b) responder a las solicitudes del Supervisor por cuenta de los responsables del tratamiento Europeo de Protección de Datos y, en el marco de sus competencias, cooperar con 1. Cuando el tratamiento se efectúe por cuenta el Supervisor Europeo de Protección de del responsable del tratamiento, éste elegirá Datos a petición de éste o por iniciativa un encargado del tratamiento que reúna gapropia; rantı́as suficientes en relación con las medidas de seguridad de carácter técnico y organizac) garantizar de forma independiente la tivo contempladas en el artı́culo 22, y deberá aplicación interna de las disposiciones del asegurar el cumplimiento de dichas medidas. presente Reglamento; 2. La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurı́dico que vincule al encargado del tratamiento con el responsable del tratamiento y que disponga, en particular, que: d) llevar el registro de aquellas operaciones de tratamiento realizadas por el responsable del tratamiento, el cual contendrá la información a que se refiere el apartado 2 del artı́culo 25; a) el encargado del tratamiento sólo deberá actuar siguiendo instrucciones del responsable del tratamiento; b) las obligaciones de los artı́culos 21 y 22 incumben también al encargado del tratamiento, a menos que, en virtud del artı́culo 16 o del segundo guión del apartado 3 del artı́culo 17 de la Directiva 95/46/CE, el encargado del tratamiento ya esté sujeto a obligaciones de confidencialidad y seguridad establecidas en la legislación nacional de uno de los Estados miembros. e) notificar al Supervisor Europeo de Protección de Datos las operaciones de tratamiento que pudieran presentar riesgos especı́ficos con arreglo al artı́culo 27. Dicha persona deberá velar por que el tratamiento no tenga efectos adversos sobre los derechos y las libertades de los interesados. 2. El responsable de la protección de datos será seleccionado en razón de sus cualidades personales y profesionales y ,en particular, de su experiencia en la protección de datos. 190 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 3. La elección del responsable de la protección de datos no deberá poder derivar en un conflicto de intereses entre su función de responsable y otras obligaciones profesionales, en particular en relación con la aplicación de las disposiciones del presente Reglamento. 4. El responsable de la protección de datos será nombrado por un mandato de entre dos y cinco años. Su mandato podrá ser renovado ;no obstante, la duración total de su mandato no podrá ser superior a diez años. El responsable de la protección de datos sólo podrá ser destituido de su función de responsable de la protección de datos por la institución u organismo comunitario que le haya nombrado, previo consentimiento del Supervisor Europeo de Protección de Datos, en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones. 5. Tras haber nombrado al responsable de la protección de datos, la institución o l organismo que le haya designado comunicará su nombre al Supervisor Europeo de Protección de Datos. 6. La institución u organismo comunitario que le haya designado asignará al responsable de la protección de datos el personal y los recursos necesarios para la ejecución de sus funciones. 7. El responsable de la protección de datos no aceptará instrucciones de nadie respecto del ejercicio de sus funciones. de tales operaciones previstas para un objetivo único o para varios objetivos relacionados entre sı́. 2. La notificación facilitada comprenderá: a) el nombre y la dirección del responsable del tratamiento y una indicación de los servicios de una institución u organismo encargados del tratamiento de datos personales para un fin particular; b) el o los objetivos del tratamiento; c) una descripción de la categorı́a o categorı́as de interesados y d los datos o categorı́as de datos a que se refiere el tratamiento; d) el fundamento jurı́dico del tratamiento al que van destinados los datos; e) los destinatarios o categorı́as de destinatarios a los que se pueden comunicar los datos; f) una indicación general de los plazos establecidos para el bloqueo y la supresión de las diferentes categorı́as de datos; g) las transmisiones de datos previstas a terceros paı́ses o a organizaciones internacionales; h) una descripción general que permita evaluar de modo preliminar si las medidas adoptadas en aplicación del artı́culo 22 resultan adecuadas para garantizar la seguridad del tratamiento. 3. Todo cambio que afecte a las informaciones contempladas en el apartado 2 s notificará de inmediato al responsable de la protección de datos. 8. Cada institución u organismo comunitario adoptará normas complementarias respecto al responsable de la protección de datos, con arreglo a lo dispuesto en el anexo. Tales norArtı́culo 26. Registro mas se referirán, en concreto, a las tareas, obligaciones y competencias del responsable de la Cada responsable de la protección de datos lleprotección de datos. vará un registro de las operaciones de tratamiento a que se refiere el artı́culo 25. Artı́culo 25. Notificación al responsable de la Los registros contendrán como mı́nimo la inforprotección de datos mación mencionada en las letras a) a g) del apartado 2 del artı́culo 25. Los registros podrán ser con1. El responsable del tratamiento notificará pre- sultados por cualquier persona directamente o indiviamente al responsable de la protección de rectamente por mediación del Supervisor Europeo datos toda operación de tratamiento o serie de Protección de Datos. 191 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals SECCIÓN 9. CONTROLES PREVIOS LLEVADOS A CABO POR EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS Y BLIGACIÓN DE COOPERAR Artı́culo 27. Controles previos 1. Los tratamientos que puedan suponer riesgos especı́ficos para los derechos y libertades de los interesados en razón de su naturaleza, alcance u objetivos estarán sujetos a control previo por parte del Supervisor Europeo de Protección de Datos. 2. Pueden suponer tales riesgos los siguientes tratamientos: a) los tratamientos de datos relativos a la salud y los tratamientos de datos relativos a sospechas, infracciones, condenas penales o medidas de seguridad; b) los tratamientos destinados a evaluar aspectos de la personalidad del interesado, como su competencia, rendimiento o conducta; c) los tratamientos que permitan interconexiones entre datos tratados para fines diferentes, que no estén previstas en virtud de la legislación nacional o comunitaria; d) los tratamientos destinados a excluir a personas de un derecho, una prestación o un contrato. 3. Los controles previos serán realizados por el Supervisor Europeo de Protección de Datos tras recibir una notificación del responsable de la protección de datos quien, en caso de duda sobre la necesidad de control previo, consultará al Supervisor Europeo de Protección de Datos. 4. El Supervisor Europeo de Protección de Datos emitirá su dictamen en el plazo de dos meses a partir de la recepción de la notificación. Si el Supervisor Europeo de Protección de Datos solicita más información, este periodo podrá suspenderse hasta que la reciba.Cuando por la complejidad del expediente resultare necesario, dicho plazo podrá asimismo prolongarse otros dos meses por decisión del Supervisor Europeo de Protección de Datos. La decisión al respecto será notificada al responsable del tratamiento antes de que expire el plazo inicial de dos meses. Si transcurrido el plazo de dos meses, en su caso prolongado, no se ha emitido dictamen, deberá entenderse que es favorable. Si el Supervisor Europeo de Protección de Datos dictaminase que el tratamiento notificado pudiere constituir un incumplimiento de alguna de las disposiciones del presente Reglamento, propondrá en su caso medidas para impedir dicha violación. En caso de que el responsable del tratamiento no modifique el tratamiento de acuerdo con ellas, el Supervisor Europeo de Protección de Datos podrá hacer uso de los poderes que le confiere el apartado 1 del artı́culo 47. 5. El Supervisor Europeo de Protección de Datos llevará un registro de todos los tratamientos que se le hayan notificado en virtud del apartado 2. En el registro se hará constar la información a que se refiere el artı́culo 25.El registro podrá ser consultado por cualquier persona. Artı́culo 28. Consulta 1. Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas relacionadas con el tratamiento de datos personales que impliquen a una institución o un organismo comunitario aisladamente o junto con otros. 2. Al adoptar una propuesta legislativa relativa a la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión consultará al Supervisor Europeo de Protección de Datos. Artı́culo 29. Obligación de información Las instituciones y los organismos comunitarios informarán al Supervisor Europeo de Protección de Datos de las medidas que se adopten a raı́z de las decisiones o autorizaciones de este último contempladas en la letra h) del artı́culo 46. Artı́culo 30. Obligación de cooperar A petición del Supervisor Europeo de Protección de Datos los responsables del tratamiento le 192 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals asistirán en el ejercicio de sus funciones, en particudel perjuicio sufrido, de conformidad con el lar suministrando la información a que se refiere la artı́culo 288 del Tratado. letra a) del apartado 2 del artı́culo 47 y facilitándole Artı́culo 33. Reclamaciones del personal de las el acceso mencionado en la letra b) del apartado 2 Comunidades de dicho artı́culo. Toda persona empleada por una institución u Artı́culo 31. Obligación de respuesta a las acuorganismo comunitario podrá presentar una reclasaciones mación ante el Supervisor Europeo de Protección Como respuesta al ejercicio por parte del Superde Datos en caso de presunta violación de las disvisor Europeo de Protección de Datos de las composiciones del presente Reglamento que rigen el trapetencias que se le atribuyen en virtud de la letra tamiento de los datos personales, sin necesidad de b) del apartado 1 del artı́culo 47, el responsable del pasar por la vı́a jerárquica. Nadie habrá de sufrir tratamiento afectado le informará de sus puntos de perjuicio en razón de una reclamación ante el Suvista en un plazo razonable fijado por el Supervisor pervisor Europeo de Protección de Datos presentaEuropeo de Protección de Datos. La respuesta comda por presunta violación de las disposiciones sobre prenderá asimismo una descripción de las medidas el tratamiento de datos personales. adoptadas, en su caso, a raı́z de las observaciones CAPÍTULO IV. PROTECCIÓN DE LOS del Supervisor Europeo de Protección de Datos. DATOS PERSONALES Y DE LA INTIMICAPÍTULO III. VÍAS DE RECURSO DAD EN EL CONTEXTO DE LAS REDES Artı́culo 32. Recursos INTERNAS DE TELECOMUNICACIÓN Artı́culo 34. Ámbito de aplicación 1. El Tribunal de Justicia de las Comunidades Sin perjuicio de las otras disposiciones de esEuropeas será competente en todos los litigios que se relacionen con las disposiciones del pre- te Reglamento, el presente capı́tulo es aplicable al sente Reglamento, incluidas las demandas por tratamiento de datos personales en relación con la utilización de las redes de telecomunicaciones o los perjuicios. terminales explotados bajo el control de una insti2. Sin perjuicio de los recursos judiciales existen- tución o d un organismo comunitario. tes, todo interesado podrá presentar una reA los efectos del presente capı́tulo, se entenderá clamación ante el Supervisor Europeo de Propor üsuario ”toda persona fı́sica que utilice una red tección de Datos si considera que se han viode telecomunicación o un terminal explotado bajo lado sus derechos reconocidos en el artı́culo el control de una institución o d un organismo co286 del Tratado como consecuencia del tratamunitario. miento de datos personales que le afecten por parte de una institución o d un organismo coArtı́culo 35. Seguridad munitario. 1. Las instituciones y los organismos comunitaSi en el plazo de seis meses el Supervisor Eurios adoptarán las oportunas medidas técnicas ropeo de Protección de Datos no diera una y organizativas para garantizar el uso seguro respuesta, se entenderá desestimada la reclade las redes de telecomunicación y los termimación. nales, de ser necesario en conjunción con los 3. Las decisiones del Supervisor Europeo de Proproveedores de servicios públicos de telecotección de Datos podrán recurrirse ante el Trimunicaciones o con los proveedores de redes bunal de Justicia de las Comunidades Eurode telecomunicaciones públicas. Teniendo en peas. cuenta las posibilidades técnicas más recientes y el coste de su puesta en práctica, estas 4. Toda persona que haya sufrido un perjuicio medidas garantizarán un nivel de seguridad como consecuencia de un tratamiento ilı́cito adecuado al riesgo presentado. o d un acto incompatible con el presente Reglamento tendrá derecho a obtener reparación 2. En caso de un riesgo particular de violación 193 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals de la seguridad de la red y los terminales, la institución o el organismo comunitario afectado informará a los usuarios sobre la existencia de tal riesgo y sobre las posibles soluciones y medios de comunicación alternativos. Artı́culo 36. Confidencialidad de las comunicaciones Las instituciones y los organismos comunitarios garantizarán la confidencialidad de las comunicaciones efectuadas a través de las redes de telecomunicación y los terminales, respetando los principios generales del Derecho comunitario. Artı́culo 37. Datos sobre tráfico y facturación 1. Sin perjuicio de lo dispuesto en los apartados 2,3 y4, los datos sobre tráfico, relacionados con los usuarios, tratados y almacenados para establecer comunicaciones u otro tipo de conexiones en la red de telecomunicaciones se destruirán o harán anónimos en cuanto termine la comunicación o conexión mencionada. 2. En caso necesario y a los efectos de la gestión presupuesto de telecomunicaciones y d la gestión del tráfico, incluida la comprobación del uso autorizado del sistema de telecomunicaciones, podrán tratarse los datos de tráfico indicados en una relación aprobada por el Supervisor Europeo de Protección de Datos. Estos datos se deberán suprimir o convertir en anónimos en los plazos más breves, y a más tardar seis meses después de haber sido recabados, a menos que su conservación posterior resulte necesaria para el reconocimiento, el ejercicio o la defensa de un derecho en el marco de una acción judicial pendiente en un tribunal. 3. El tratamiento de los datos de tráfico y facturación deberá limitarse a las personas que se ocupen de la gestión de la facturación, del tráfico o del presupuesto. 1. Los datos personales contenidos en las guı́as de usuarios en forma impresa o electrónica, ası́ como el acceso a dichas guı́as, quedarán limitados a lo necesario para los fines especı́ficos de la guı́a. 2. Las instituciones y organismos comunitarios adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guı́as, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa. Artı́culo 39. Presentación y limitación de la identificación de la lı́nea llamante y conectada 1. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́nea llamante, el usuario que origine la llamada deberá poder suprimir en cada llamada, mediante un procedimiento sencillo y gratuito, la identificación de la lı́nea llamante. 2. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́nea llamante, el usuario que reciba la llamada deberá tener la posibilidad, mediante un procedimiento sencillo y gratuito, de impedir la presentación de la identificación de la lı́nea llamante en las llamadas entrantes. 3. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́nea conectada, el usuario que reciba la llamada deberá tener la posibilidad, mediante un procedimiento sencillo y gratuito, de suprimir la presentación de la identificación de la lı́nea conectada a la parte llamante. 4. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́nea llamante o d la lı́nea conectada, las instituciones y los organismos comunitarios informarán a los usuarios sobre dicha posibilidad y sobre las que se establecen en los apartados 1, 2 y 3. Artı́culo 40. Excepciones 4. Los usuarios de las redes de telecomunicaciones tendrán derecho a recibir facturas u otras Las instituciones y los organismos comunitarios relaciones no desglosadas de las llamadas efec- velarán por que existan procedimientos transparentuadas. tes que determinen la forma en que pueden anular la supresión de la presentación de la identificación Artı́culo 38. Guı́as de usuarios de la lı́nea llamante: 194 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals a) por un periodo de tiempo limitado, a instancia del abonado que solicite la identificación de llamadas maliciosas o molestas; b) por lı́nea, para los organismos que atiendan las llamadas de urgencia, para que puedan responder a tales llamadas. CAPÍTULO V. AUTORIDAD DE CONTROL INDEPENDIENTE: EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS Artı́culo 41. El Supervisor Europeo de Protección de Datos 1. Se instituye una autoridad de control independiente denominada ”Supervisor Europeo de Protección de Datos ”. 2. Por lo que respecta al tratamiento de los datos personales, el Supervisor Europeo de Protección de Datos velará por que los derechos y libertades fundamentales de las personas fı́sicas, en particular el derecho de las mismas a la intimidad, sean respetados por las instituciones y los organismos comunitarios. El Supervisor Europeo de Protección de Datos garantizará y supervisará la aplicación de las disposiciones del presente Reglamento y d cualquier otro acto comunitario relacionado con la protección de los derechos y libertades fundamentales de las personas fı́sicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo comunitario, y asesorará a las instituciones y a los organismos comunitarios, ası́ como a los interesados, en todas las cuestiones relacionadas con el trata miento de datos personales. Con este fin ejercerá las funciones establecidas en el artı́culo 46 y las competencias que le confiere el artı́culo 47. Artı́culo 42. Nombramiento Se nombrará a un Supervisor Adjunto de conformidad con el mismo procedimiento y por un periodo de igual duración. Asistirá al Supervisor en todas sus funciones y l sustituirá en caso de ausencia o impedimento. 2. El Supervisor Europeo de Protección de Datos será elegido entre personas cuya independencia esté fuera de toda duda y que posean una experiencia y competencia notorias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a las autoridades de control mencionadas en el artı́culo 28 de la Directiva 95/46/CE. 3. El mandato del Supervisor Europeo de Protección de Datos será renovable. 4. Aparte de la renovación periódica o d sustitución por motivo de fallecimiento, el mandato del Supervisor Europeo de Protección de Datos llegará a su fin en caso de dimisión o de destitución de conformidad con el apartado 5. 5. El Supervisor Europeo de Protección de Datos podrá ser destituido o desposeı́do de su derecho de pensión u otros privilegios equivalentes por el Tribunal de Justicia a petición del Parlamento Europeo, el Consejo o la Comisión si dejare de cumplir las condiciones necesarias para el ejercicio de sus funciones o hubiere cometido una falta grave. 6. En los casos de renovación periódica y dimisión voluntaria, el Supervisor Europeo de Protección de Datos permanecerá en funciones hasta su sustitución. 7. Los artı́culos 12 a 15 inclusive y 18 del Protocolo sobre los privilegios y las inmunidades de las Comunidades Europeas serán aplicables asimismo al Supervisor Europeo de Protección de Datos. 8. Los apartados 2 a 7 serán aplicables al Super1. El Parlamento Europeo y l Consejo nombravisor Adjunto. rán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaboArtı́culo 43 . Estatuto y condiciones generales de rada por la Comisión como resultado de una ejercicio de las funciones de Supervisor Europeo de convocatoria pública de candidaturas. Protección de Datos, personal y recursos financieros 195 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 1. El Parlamento Europeo, el Consejo y la Comisión, fijarán de común acuerdo el estatuto y las condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos y, en particular su salario, asignaciones y demás ventajas de carácter retributivo. 2. La autoridad presupuestaria garantizará que el Supervisor Europeo de Protección de Datos disponga de los recursos humanos y financieros necesarios para el ejercicio de sus funciones. 3. El Supervisor Europeo de Protección de Datos se abstendrá de cualquier acción incompatible con sus funciones y d desempeñar, durante su mandato, ninguna otra actividad profesional, sea o no retribuida.4.Tras la finalización de su mandato el Supervisor Europeo de Protección de Datos actuará con integridad y discreción en lo que respecta a la aceptación de nombramientos y privilegios. Artı́culo 45. Secreto profesional El Supervisor Europeo de Protección de Datos y su personal estarán sujetos, incluso después de 3. El presupuesto del Supervisor Europeo de haber cesado en sus funciones, al deber de secreto Protección de Datos figurará en una lı́nea pro- profesional sobre las informaciones confidenciales a pia de la sección VIII del presupuesto general las que hayan tenido acceso durante el ejercicio de de la Unión Europea. sus funciones. 4. El Supervisor Europeo de Protección de Datos Artı́culo 46. Funciones estará asistido por una secretarı́a. Los funcioEl Supervisor Europeo de Protección de Datos narios y demás miembros del personal de la deberá: secretarı́a serán nombrados por el Supervisor Europeo de Protección de Datos. Su superior a) conocer investigar las reclamaciones, y comujerárquico será el Supervisor Europeo de Pronicar al interesado los resultados de sus investección de Datos y estarán sometidos exclusitigaciones en un plazo razonable; vamente a su dirección. El número de puestos se decidirá anualmente en el marco del proceb) efectuar investigaciones por iniciativa propia o dimiento presupuestario. n respuesta a reclamaciones y comunicar a los interesados el resultado de sus investigaciones 5. Los funcionarios y otros miembros del persoen un plazo razonable; nal de la secretarı́a del Supervisor Europeo de Protección de Datos estarán sujetos a los reglamentos y normas aplicables a los funcionarios y otros agentes de las Comunidades Europeas. 6. En asuntos relacionados con su personal, el Supervisor Europeo de Protección de Datos tendrá la misma consideración que las instituciones a efectos de lo dispuesto en el artı́culo 1 del Estatuto de los funcionarios de las Comunidades Europeas. Artı́culo 44. Independencia 1. El Supervisor Europeo de Protección de Datos actuará con total independencia en el ejercicio de sus funciones. 2. En el ejercicio de sus funciones el Supervisor Europeo de Protección de Datos no solicitará ni admitirá instrucciones de nadie. c) supervisar y asegurar la aplicación del presente Reglamento y d cualquier otro acto comunitario relacionado con la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo comunitario, con excepción del Tribunal de Justicia de las Comunidades Europeas cuando actúe en el ejercicio de sus funciones jurisdiccionales; d) asesorar a todas las instituciones y organismos comunitarios, tanto a iniciativa propia como en respuesta a una consulta, sobre todos los asuntos relacionados con el tratamiento de datos personales, especialmente antes de la elaboración por dichas instituciones y organismos de normas internas sobre la protección de los derechos y libertades fundamentales en relación con el tratamiento de datos personales; 196 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals e) hacer un seguimiento de los hechos nuevos de interés, en la medida en que tengan repercusiones sobre la protección de datos personales, en particular de la evolución de las tecnologı́as de la información y la comunicación; f) colaborar con las autoridades de control nacionales a que se refiere el artı́culo 28 de la Directiva 95/46/CE de los paı́ses a los que se aplica dicha Directiva en la medida necesaria para el ejercicio de sus deberes respectivos, en particular intercambiando toda información útil, instando a dicha autoridad u organismo a ejercer sus poderes o respondiendo a una solicitud de dicha autoridad u organismo; g) colaborar asimismo con los organismos de control de la protección de datos establecidos en virtud del Tı́tulo VI del Tratado de la Unión Europea, en particular con vistas a mejorar la coherencia en la aplicación de las normas y procedimientos de cuyo respeto estén respectivamente encargados. h) participar en las actividades del ”Grupo de trabajo sobre protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales çreado en virtud del artı́culo 29 de la Directiva 95/46/CE; i) determinar, motivar y hacer públicas las excepciones, garantı́as, autorizaciones y condiciones mencionadas en la letra b) del apartado 2 y n los apartados 4,5 y 6 del artı́culo 10,en el apartado 2 del artı́culo 12,en el artı́culo 19 y n l apartado 2 del artı́culo 37; j) mantener un registro de los tratamientos que se le notifiquen en virtud del apartado 2 del artı́culo 27 y hayan sido registrados conforme al apartado 5 del artı́culo 27,ası́ como facilitar los medios de acceso a los registros que lleven los responsables de la protección de datos con arreglo al artı́culo 26; k) efectuar una comprobación previa de los tratamientos que se le notifiquen; l) adoptar su Reglamento interno. Artı́culo 47. Competencias 1. El Supervisor Europeo de Protección de Datos podrá: a) asesorar a las personas interesadas en el ejercicio de sus derechos; b) acudir al responsable del tratamiento en caso de presunta infracción de las disposiciones que rigen el tratamiento de los datos personales y, en su caso, formular propuestas encaminadas a corregir dicha infracción y mejorar la protección de las personas interesadas; c) ordenar que se atiendan las solicitudes para ejercer determinados derechos respecto de los datos, cuando se hayan denegado dichas solicitudes incumpliendo los artı́culos 13 a 19; d) dirigir una advertencia o amonestación al responsable del tratamiento; e) ordenar la rectificación, bloqueo, supresión o destrucción de todos los datos que se hayan tratado incumpliendo las disposiciones que rigen el tratamiento de datos personales y la notificación de dichas medidas a aquellos terceros a quienes se hayan comunicado los datos; f) imponer una prohibición temporal o definitiva del tratamiento; g) someter un asunto a la institución u organismo comunitario de que se trate y, en su caso, al Parlamento Europeo, al Consejo y a la Comisión; h) someter un asunto al Tribunal de Justicia de las Comunidades Europeas en las condiciones previstas en el Tratado; i) intervenir en los asuntos presentados ante el Tribunal de Justicia de las Comunidades Europeas; 2. El Supervisor Europeo de Protección de Datos estará habilitado para: a) obtener de cualquier responsable del tratamiento o d una institución o un organismo comunitario el acceso a todos los datos personales y a toda la información necesaria para efectuar sus investigaciones; 197 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals b) obtener el acceso a todos los locales en las Comunidades Europeas . los que un responsable del tratamiento o El presente Reglamento será obligatorio en touna institución u organismo comunitario dos sus elementos y directamente aplicable en cada realice sus actividades, cuando haya mo- Estado miembro. tivo razonable para suponer que en ellos Hecho en Bruselas, el 18 de diciembre de 2000. se ejerce una actividad contemplada en el presente Reglamento. Por el Parlamento Europeo Artı́culo 48. Informe de actividad La Presidenta N.FONTAINE 1. El Supervisor Europeo de Protección de Datos presentará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre sus actividades, que paralelamente hará público. Por el Consejo El Presidente D.VOYNET ANEXO 2. El Supervisor Europeo transmitirá el informe de actividad a las demás instituciones y organismos comunitarios, los cuales podrán presentar comentarios con vistas a un posible debate del informe en el Parlamento Europeo, en particular en relación con la descripción de las medidas adoptadas en respuesta a las observaciones realizadas por el Supervisor Europeo de Protección de Datos con arreglo al artı́culo 31. CAPÍTULO VI. DISPOSICIONES FINALES Artı́culo 49. Sanciones El incumplimiento, ya sea intencionado o por negligencia, de las obligaciones a que está sujeto en virtud del presente Reglamento un funcionario u otro agente de las Comunidades Europeas dará lugar a la apertura de un expediente disciplinario de conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de las Comunidades Europeas o n los regı́menes que son aplicables a los otros agentes. Artı́culo 50. Perı́odo transitorio Las instituciones y organismos comunitarios adoptarán las medidas necesarias para que los tratamientos en curso en la fecha de entrada en vigor del presente Reglamento se conformen a éste en el plazo de un año a partir de dicha fecha. Artı́culo 51. Entrada en vigor El presente Reglamento entrará en vigor a los veinte dı́as de su publicación en el Diario Oficial de 1. El responsable de la protección de datos podrá formular recomendaciones para la mejora práctica de la protección de datos a la institución o al organismo comunitario que le nombró y aconsejarles, ası́ como al responsable del tratamiento interesado, sobre asuntos relativos a la puesta en práctica de las disposiciones sobre protección de datos. Por otra parte, por iniciativa propia o a petición de la institución o del organismo comunitario que lo nombró, del responsable del tratamiento, del comité de personal interesado o d cualquier persona fı́sica, podrá investigar los asuntos y los incidentes directamente relacionados con sus tareas, que lleguen a su conocimiento informar de ello a la persona que solicitó la investigación o al responsable del tratamiento. 2. El responsable de la protección de datos podrá ser consultado directamente, sin pasar por la vı́a jerárquica, por la institución o el organismo comunitario que le nombró, por el responsable del tratamiento, por el comité de personal interesado o por cualquier persona sobre cualquier asunto relacionado con la interpretación o la aplicación del presente Reglamento. 3. Nadie deberá sufrir perjuicio alguno por informar al responsable competente de la protección de datos de que se ha cometido una presunta infracción de lo dispuesto en el presente Reglamento. 198 Normativa europea 4.4. Directiva 95/46/CE – Tractament de dades personals 4. Los responsables del tratamiento interesados asistirán al responsable de la protección de datos en el ejercicio de sus funciones y le proporcionarán la información que solicite. En el ejercicio de sus funciones, el responsable de la protección de datos tendrá acceso en todo momento a los datos objeto de las operaciones de tratamiento y a todos los locales, instalaciones de tratamiento de datos y soportes de datos. 5. En la medida necesaria, se dispensará al responsable de la protección de datos de otras actividades. El responsable de la protección de datos y sus colaboradores, que estarán sujetos a lo dispuesto en el artı́culo 287 del Tratado, se abstendrán de divulgar la información o los documentos que lleguen a su poder en el ejercicio de sus funciones. 199 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions 4.5 Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones Diario Oficial n◦ L 024 de 30/01/1998 p. 0001 - 0008 DIRECTIVA 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artı́culo 100 A, Vista la propuesta de la Comisión (1), Visto el dictamen del Comité Económico y Social (2), De conformidad con el procedimiento establecido en el artı́culo 189 B del Tratado (3), a la vista del texto conjunto aprobado el 6 de noviembre de 1997 por el Comité de conciliación, 1. Considerando que la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fı́sicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos (4) insta a los Estados miembros a garantizar los derechos y libertades de las personas fı́sicas en lo que respecta al tratamiento de los datos personales y, en especial, su derecho a la intimidad, de forma que los datos personales puedan circular libremente en la Comunidad; 2. Considerando que la confidencialidad de las comunicaciones está garantizada de conformidad con los instrumentos internacionales relativos a los derechos humanos (especialmente el Convenio europeo para la protección de los derechos humanos y de las libertades fundamentales) y las constituciones de los Estados miembros; 3. Considerando que en la actualidad están apareciendo en la Comunidad Europea nuevas redes digitales públicas avanzadas de telecomunicación que crean necesidades especı́ficas en materia de protección de datos personales y de la intimidad de los usuarios; que el desarrollo de la sociedad de la información se caracteriza por la introducción de nuevos servicios de telecomunicación; que el desarrollo transfronterizo de estos servicios, como el vı́deo por pedido o la televisión interactiva, depende en parte de la confianza de los usuarios en que no se pondrá en peligro su intimidad; 4. Considerando que esto está ocurriendo en especial con la introducción de la red digital de servicios integrados (RDSI) y las redes móviles digitales; 5. Considerando que, en su Resolución, de 30 de junio de 1988, sobre el desarrollo del mercado común de los servicios y equipos de telecomunicación en el horizonte de 1992 (5), el Consejo preconizó la adopción de medidas de protección de los datos personales con objeto de crear un marco adecuado para el futuro desarrollo de las telecomunicaciones dentro de la Comunidad; que el Consejo volvió a subrayar la importancia de la protección de los datos personales y de la intimidad en su Resolución, de 18 de julio de 1989, sobre una mayor coordinación en la introducción de la Red Digital de Servicios Integrados (RDSI) en la Comunidad Europea para 1992 (6); 6. Considerando que el Parlamento Europeo subrayó la importancia de proteger los datos personales y la intimidad en las redes de telecomunicación, especialmente en relación con la introducción de la RDSI; 7. Considerando que, en el caso de las redes públicas de telecomunicación, deben elaborarse 200 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions disposiciones legales, reglamentarias y técnicas especı́ficas con objeto de proteger los derechos y libertades fundamentales de las personas fı́sicas y los intereses legı́timos de las personas jurı́dicas, en particular frente a los riesgos crecientes derivados del almacenamiento y el tratamiento informático de datos relativos a abonados y usuarios; 8. Considerando que las disposiciones legales, reglamentarias y técnicas adoptadas por los Estados miembros para proteger los datos personales, la intimidad y los intereses legı́timos de las personas jurı́dicas, en el sector de la telecomunicación, deben armonizarse a fin de evitar obstáculos para el mercado interior de las telecomunicaciones de conformidad con el objetivo establecido en el artı́culo 7 A del Tratado; que una armonización se limitará a los requisitos necesarios para garantizar que no se obstaculice la promoción y el desarrollo de nuevos servicios de telecomunicación y nuevas redes entre Estados miembros; 9. Considerando que los Estados miembros, los proveedores y los usuarios afectados y las instancias comunitarias competentes deberı́an cooperar para el establecimiento y el desarrollo de las tecnologı́as pertinentes siempre que ello sea necesario para aplicar las garantı́as previstas por las disposiciones de la presente Directiva; 10. Considerando que estos nuevos servicios incluyen la televisión interactiva y el vı́deo por pedido; 11. Considerando que en el sector de las telecomunicaciones se aplica la Directiva 95/46/CE, para todas las cuestiones relativas a la protección de los derechos y libertades fundamentales que no están cubiertas de forma especı́fica por las disposiciones de la presente Directiva, incluidas las obligaciones del controlador y los derechos de las personas; que la Directiva 95/46/CE se aplica a los servicios de telecomunicaciones que no están disponibles para el público; 12. Considerando que la presente Directiva no aborda cuestiones en materia de protección de los derechos y libertades fundamentales relacionadas con actividades no regidas por la legislación comunitaria, de manera semejante a lo que dispone el artı́culo 3 de la Directiva 95/46/CE; que corresponde a los Estados miembros adoptar las medidas que consideren necesarias para la protección de la defensa de la seguridad pública, la seguridad del Estado (incluido el bienestar económico del Estado cuando las actividades tengan relación con asuntos de seguridad del Estado) y la aplicación del Derecho penal; que la presente Directiva no afectará a la capacidad de los Estados miembros a interceptar legalmente las telecomunicaciones para cualquiera de estos fines; 13. Considerando que los abonados de un servicio público de telecomunicación pueden ser personas fı́sicas o jurı́dicas; que las disposiciones de la presente Directiva están destinadas a proteger, como complemento de la Directiva 95/46/CE, los derechos fundamentales de las personas fı́sicas y, en particular, su derecho a la intimidad, ası́ como los intereses legı́timos de las personas jurı́dicas; que dichas disposiciones no podrán en caso alguno conllevar una obligación por parte de los Estados miembros de extender la aplicación de la Directiva 95/46/CE a la protección de los intereses legı́timos de las personas jurı́dicas; que dicha protección está garantizada en el marco de la legislación comunitaria y nacional aplicable; 14. Considerando que la aplicación de determinadas exigencias relativas a la presentación y a la limitación de la identificación de la lı́nea llamante y de la lı́nea conectada y a la presentación automática a las lı́neas de abonado conectadas a centrales analógicas no debe ser obligatoria en aquellos casos particulares en los que dicha aplicación resulte imposible técnicamente, o en los que requiera un esfuerzo económico desproporcionado; que es importante que las partes interesadas sean informadas de dichos casos, y que los Estados miembros deben notificarlos a la Comisión; 15. Considerando que los proveedores de servicios deben tomar las medidas adecuadas para salvaguardar la seguridad de sus servicios, en su caso en conjunción con el proveedor de la 201 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions red, e informar a los abonados de todo riesgo concreto de violación de la seguridad de la red; que la seguridad se valora a la luz de lo dispuesto en el artı́culo 17 de la Directiva 95/46/CE; de crédito; considerando que los Estados miembros también podrán exigir, con el mismo fin, que se suprima un determinado número de cifras de los números a los que se haya llamado y mencionados en las facturas desglosadas; 16. Considerando que deben adoptarse medidas para evitar el acceso no autorizado a las comunicaciones a fin de proteger la confidencialidad de las mismas por medio de las redes públicas de telecomunicaciones y de servicios de telecomunicaciones a disposición pública; que la legislación nacional de algunos Estados miembros prohı́be solamente el acceso intencionado no autorizado a las comunicaciones; 19. Considerando que es necesario, por lo que respecta a la identificación del número de la lı́nea llamante, proteger el derecho del interlocutor que efectúa la llamada a reservarse la identificación de la lı́nea desde la que realiza dicha llamada y el derecho del interlocutor llamado a rechazar llamadas de lı́neas no identificadas; que está justificado anular la eliminación de la presentación de la identificación de la lı́nea llamante en casos particulares; que determinados abonados, en particular las lı́neas de auxilio y otras organizaciones similares, tienen interés en garantizar el anonimato de sus interlocutores; que es necesario, por lo que respecta a la identificación de la lı́nea conectada, proteger el derecho y el interés legı́timos de la persona llamada a impedir la presentación de la identificación de la lı́nea a la que la persona que llama está conectada realmente, en particular en el caso de los servicios de desvı́o de llamadas; que los proveedores de los servicios públicos de telecomunicaciones debe informar a sus abonados de la existencia de la identificación de lı́neas llamantes y conectadas en la red y de todos los servicios ofrecidos sobre la base de la identificación de las lı́neas llamantes y conectadas y sobre las opciones de confidencialidad disponibles; que esto permitirá a los abonados llevar a cabo una elección informada sobre las posibilidades de confidencialidad que deseen utilizar; que las opciones de confidencialidad ofrecidas caso por caso no tienen que estar disponibles necesariamente como servicio de la red automática, pero pueden obtenerse mediante simple solicitud al proveedor del servicio público de telecomunicaciones; 17. Considerando que los datos relativos a los abonados utilizados para el establecimiento de llamadas contienen información sobre la vida privada de las personas fı́sicas y atañen a su derecho de respeto a la correspondencia, o afectan a los intereses legı́timos de las personas jurı́dicas; que dichos datos sólo podrán almacenarse en la medida en que resulten necesarios para la prestación del servicio, para fines de facturación y para los pagos de interconexión, durante un perı́odo limitado; que cualquier tratamiento que el proveedor del servicio público de telecomunicación pretenda llevar a cabo para la prospección de sus propios servicios de telecomunicaciones sólo puede permitirse si el abonado ha manifestado su acuerdo sobre la base de una información plena y exacta facilitada por el proveedor de servicios públicos de telecomunicaciones acerca del tipo de tratamiento que pretende llevar a cabo; 18. Considerando que la introducción de facturas desglosadas ha mejorado las posibilidades para que el abonado pueda verificar que las tarifas aplicadas por el proveedor del servicio son correctas y que, al mismo tiempo, puede poner en peligro la intimidad de los usuarios de servicios públicos de telecomunicaciones; que por consiguiente, a fin de proteger la intimidad de los usuarios, los Estados miembros deben fomentar el desarrollo de opciones de servicios de telecomunicaciones, como posibilidades de pago que permitan el acceso anónimo o estrictamente privado a través del pago con tarjetas 20. Considerando que deben ofrecerse garantı́as a los abonados contra las molestias que puedan causar las llamadas desviadas automáticamente por otros; que en tales casos los abonados deben poder detener las llamadas desviadas hacia sus terminales mediante simple solicitud al proveedor de servicios públicos de telecomunicaciones; 202 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions 21. Considerando que las guı́as son ampliamente divulgadas y accesibles al público; que el derecho a la intimidad de las personas fı́sicas y el interés legı́timo de las personas jurı́dicas exigen que los abonados puedan decidir en qué medida se publican sus datos personales en dichas guı́as; que los Estados miembros podrán reservar esta posibilidad a los abonados que son personas fı́sicas; 22. Considerando que deben ofrecerse garantı́as a los abonados contra la intrusión en su intimidad mediante llamadas no solicitadas y por fax; que los Estados miembros podrán reservar estas protecciones a los abonados que son personas fı́sicas; 23. Considerando que debe garantizarse la armonización en la introducción de caracterı́sticas técnicas de equipos de telecomunicación para la protección de datos, a fin de que sea compatible con la realización del mercado interior; 24. Considerando, en particular, y de forma similar a lo establecido en el artı́culo 13 de la Directiva 95/46/CE, que los Estados miembros pueden restringir el ámbito de las obligaciones y los derechos de los abonados en determinadas circunstancias, por ejemplo, garantizando que el proveedor del servicio público de telecomunicaciones podrá anular la eliminación de la presentación de la identificación de la lı́nea llamante de conformidad con la legislación nacional a efecto de evitar o detectar delitos o por razones de seguridad del Estado; 25. Considerando que, en los casos en que no se respeten los derechos de los usuarios y abonados, el Derecho nacional debe prever vı́as de recurso judiciales; que deben imponerse sanciones a aquellas personas, ya sean de derecho público o privado, que incumplan las medidas nacionales adoptadas en virtud de la presente Directiva; de las autoridades competentes de los Estados miembros, creado por el artı́culo 29 de la Directiva 95/46/CE; 27. Considerando que, en vista de los desarrollos tecnológicos y de la evolución que se espera de los servicios ofrecidos, será necesario especificar técnicamente las categorı́as de datos enumeradas en el anexo de la presente Directiva para la aplicación de su artı́culo 6, con la asistencia del Comité formado por representantes de los Estados miembros y creado por el artı́culo 31 de la Directiva 95/46/CE, a fin de garantizar una aplicación coherente de los requisitos que establece la presente Directiva, independientemente de los cambios de la tecnologı́a; que este procedimiento se aplicará únicamente a las especificaciones necesarias para adaptar el anexo a nuevos avances tecnológicos teniendo en cuenta los cambios en la demanda del mercado y de los consumidores; que la Comisión deberá informar debidamente al Parlamento Europeo de su intención de aplicar este procedimiento; que en cualquier otro caso se aplicará el procedimiento establecido en el artı́culo 100 A del Tratado; 28. Considerando que, para facilitar el cumplimiento de lo dispuesto en la presente Directiva, son necesarias determinadas disposiciones particulares para el tratamiento de datos ya iniciado en la fecha en que entre en vigor la legislación nacional de aplicación de la presente Directiva, HAN ADOPTADO LA PRESENTE DIRECTIVA: Artı́culo 1 Objeto y ámbito de aplicación 1. La presente Directiva establece la armonización de las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de las libertades y de los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en el sector de las telecomunicaciones, 26. Considerando que resulta útil en el ámbito de ası́ como la libre circulación de tales datos y de los aplicación de la presente Directiva aprovechar equipos y servicios de telecomunicación en la Colas experiencias del Grupo de protección de las munidad. personas en lo que respecta al tratamiento de 2. A los efectos mencionados en el apartadatos personales, formado por representantes do 1, las disposiciones de la presente Directiva es203 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions pecificarán y completarán la Directiva 95/46/CE. digitales públicas. Además, protegerán los intereses legı́timos de los 2. Los artı́culos 8, 9 y 10 se aplicarán a las lı́neas abonados que sean personas jurı́dicas. de abonado conectadas a centrales digitales y, siem3. La presente Directiva no se aplicará a las acti- pre y cuando sea técnicamente posible y no exija un vidades no comprendidas en el ámbito de aplicación esfuerzo económico desproporcionado, a las lı́neas del Derecho comunitario, como las previstas por las de abonado conectadas a centrales analógicas. disposiciones de los tı́tulos V y VI del Tratado de la 3. Los Estados miembros notificarán a la ComiUnión Europea y, en cualquier caso, a las activida- sión aquellos casos en los que no sea posible técnides que tengan por objeto la seguridad pública, la camente cumplir los requisitos de los artı́culos 8, 9 defensa, la seguridad del Estado (incluido el bienes- y 10, o que exijan una inversión desproporcionada tar económico del Estado cuando dichas actividades para ello. estén relacionadas con la seguridad del Estado) y a Artı́culo 4 Seguridad las actividades del Estado en materia penal. Artı́culo 2 Definiciones A los efectos de la presente Directiva y además de las definiciones recogidas en la Directiva 95/46/CE, se entenderá por: a) “abonado”: la persona fı́sica o jurı́dica que sea parte en un contrato con el proveedor en un servicio público de telecomunicaciones para la prestación de tales servicios; 1. El proveedor de un servicio público de telecomunicación deberá adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con el proveedor de la red pública de telecomunicación por lo que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado para el riesgo existente. b) “usuario”: la persona que utiliza un servicio 2. En caso de que exista un riesgo concreto de público de telecomunicación con fines privados o co- violación de la seguridad de la red, el proveedor de merciales, aunque no haya contratado dicho servi- un servicio público de telecomunicación deberá incio; formar a los abonados sobre dicho riesgo y sobre las c) “red pública de telecomunicación”: los siste- posibles soluciones, incluidos los costes necesarios. mas de transmisión y, cuando proceda, los equipos de conmutación y otros recursos que permiten la transmisión de señales entre puntos de terminación definidos por cable, por medios radioeléctricos, por medios ópticos o por otros medios electromagnéticos que se utilizan, total o parcialmente, para la prestación de servicios públicos de telecomunicación; Artı́culo 5 Confidencialidad de las comunicaciones 1. Los Estados miembros garantizarán, mediante normas nacionales, la confidencialidad de las comunicaciones realizadas a través de las redes públicas de telecomunicación y de los servicios de telecomunicación accesibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de interceptación o vigilancia d) “servicio de telecomunicación”: un servicio de las comunicaciones por personas distintas de los cuya prestación consiste total o parcialmente en la usuarios, sin el consentimiento de los usuarios intransmisión y el envı́o de señales a través de redes teresados, salvo cuando esté autorizada legalmente, de telecomunicación, excepción hecha de la radiodi- de conformidad con el apartado 1 del artı́culo 14. fusión sonora y de la televisión. 2. El apartado 1 no se aplicará a las grabacioArtı́culo 3 Servicios regulados nes legalmente autorizadas de comunicaciones en el 1. La presente Directiva se aplicará al tratami- marco de una práctica comercial lı́cita destinada a ento de datos personales en relación con la pres- aportar pruebas de una transacción comercial o de tación de servicios públicos de telecomunicación en cualquier otra comunicación comercial. las redes públicas de telecomunicación en la Comu- Artı́culo 6 Tráfico y facturación nidad y, especialmente, a través de la red digital 1. Sin perjuicio de lo dispuesto en los apartados de servicios integrados (RDSI) y las redes móviles 204 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions 2, 3 y 4, los datos sobre tráfico relacionados con los usuarios y abonados tratados para establecer comunicaciones y almacenados por el proveedor de una red o servicio público de telecomunicación deberán destruirse o hacerse anónimos en cuanto termine la comunicación. 1. Cuando se ofrezca la posibilidad de presentar la identificación de la lı́neas llamante, el usuario que origine la llamada deberá poder suprimir en cada llamada, mediante un procedimiento sencillo y gratuito, la identificación de la lı́nea llamante. El abonado que origine la llamada deberá tener esta 2. A los efectos de la facturación de los usuarios posibilidad por lı́nea. y de los pagos de las interconexiones, podrán ser tra2. Cuando se ofrezca la posibilidad de presentar tados los datos indicados en el anexo. Se autorizará la identificación de la lı́nea llamante, el abonado que este tratamiento únicamente hasta la expiración del reciba la llamada deberá tener la posibilidad, meplazo durante el cual pueda impugnarse legalmente diante un procedimiento sencillo y gratuito siempre la factura o exigirse el pago. que haga un uso correcto de esta función, de impe3. El proveedor de un servicio público de tele- dir la presentación de la identificación de la lı́nea comunicación podrá tratar los datos a que se hace llamante en las llamadas entrantes. referencia en el apartado 2 para la promoción co3. Cuando se ofrezca la posibilidad de presentar mercial de sus propios servicios de telecomunicación la identificación de la lı́nea llamante y ésta se presiempre y cuando el abonado haya dado su consen- sente con anterioridad a que se establezca la llamatimiento. da, el abonado que reciba la llamada deberá tener 4. El tratamiento de los datos de tráfico y fac- la posibilidad, mediante un procedimiento sencillo, turación deberá limitarse a las personas que actú- de rechazar las llamadas entrantes procedentes de en bajo las órdenes del proveedor de la red o del usuarios o abonados que hayan suprimido la preservicio público de telecomunicación que se ocupe sentación de la identificación de la lı́nea que origina de la gestión de la facturación o del tráfico, de las la llamada. solicitudes de información de los clientes y de la 4. Cuando se ofrezca la posibilidad de presentar detección de fraudes y promoción comercial de los la identificación de la lı́nea conectada, el abonado propios servicios del proveedor, y deberá limitarse que reciba la llamada deberá tener la posibilidad, a lo necesario para realizar tales actividades. por un procedimiento sencillo y gratuito, de supri5. Los apartados 1, 2, 3 y 4 se aplicarán sin per- mir la presentación de la identificación de la lı́nea juicio de la posibilidad de que las autoridades com- conectada a la parte llamante. petentes sean informadas de los datos sobre factura5. Las disposiciones establecidas en el apartación o tráfico con arreglo a la legislación aplicable, do 1 se aplicarán también a las llamadas efectuadas con vistas a resolver litigios, en particular los litigios desde la Comunidad a terceros paı́ses; las disposicirelativos a la interconexión o a la facturación. ones establecidas en los apartados 2, 3 y 4 se aplicarán también a las llamadas entrantes procedentes Artı́culo 7 Facturación desglosada de terceros paı́ses. 1. Los abonados tendrán el derecho a recibir 6. Los Estados miembros velarán por que, cuanfacturas no desglosadas. do se ofrezca la posibilidad de presentar la identifi2. Los Estados miembros aplicarán las disposi- cación de la lı́nea llamante o de la lı́nea conectada, ciones nacionales a fin de reconciliar los derechos de los proveedores de servicios públicos de telecomunilos abonados que reciban facturas desglosadas con caciones informen al público sobre dicha posibilidad el derecho a la intimidad de los usuarios que efec- y sobre las que se establecen en los apartados 1, 2, túen llamadas y de los abonados que reciban llama- 3 y 4. das, por ejemplo, garantizando que dichos usuarios y abonados dispongan de suficientes otras modali- Artı́culo 9 Excepciones dades de comunicación o de pago. Los Estados miembros velarán por que existan procedimientos transparentes que determinen la forArtı́culo 8 Presentación y limitación de la identifima en que el proveedor de una red pública de telecocación de la lı́nea llamante y conectada municación y/o de un servicio de telecomunicación 205 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions accesible al público puede anular la supresión de la lista de abonados que no hayan de incluirse en la presentación de la identificación de la lı́nea llaman- guı́a pública. te: 3. Los derechos conferidos en virtud del apartaa) por un perı́odo de tiempo limitado, a instan- do 1 se aplicarán a los abonados que sean personas cia del abonado que solicite la identificación de lla- fı́sicas. Los Estados miembros garantizarán asimismadas maliciosas o molestas; en tal caso, los da- mo, en el marco del Derecho comunitario y de las tos que incluyan la identificación del abonado que legislaciones nacionales aplicables, la suficiente proorigina la llamada serán almacenados y puestos a tección de los intereses legı́timos de los abonados disposición por el proveedor de la red pública de que no sean personas fı́sicas en lo que se refiere a su telecomunicación o del servicio público de teleco- inclusión en guı́as públicas. municación, de acuerdo con el Derecho nacional; Artı́culo 12 Llamadas no solicitadas b) por lı́nea, para las entidades reconocidas por 1. La utilización de sistemas de llamada auun Estado miembro que atiendan las llamadas de tomática sin intervención humana (aparatos de llaurgencia, incluidos los cuerpos de policı́a, los servi- mada automática) o facsı́mil (fax) con fines de venta cios de ambulancia y los cuerpos de bomberos, para directa sólo se podrán autorizar respecto de aquellos que puedan responder a tales llamadas. abonados que hayan dado su consentimiento previo. Artı́culo 10 Desvı́o automático de llamadas 2. Los Estados miembros tomarán las medidas Los Estados miembros velarán por que se ofrezca a todo abonado, por un procedimiento sencillo y gratuito, la posibilidad de poner fin al desvı́o automático de llamadas a su terminal por parte de un tercero. adecuadas para garantizar, gratuitamente, que no se permitan las llamadas no solicitadas con fines de venta directa por medios que no sean los mencionados en el apartado 1 sin el consentimiento de los abonados de que se trate o respecto de los abonados que no deseen recibir dichas llamadas. La elección Artı́culo 11 Guı́as entre estas posibilidades será la que determine la 1. Los datos personales recogidos en las guı́as legislación nacional. impresas o electrónicas accesibles al público o que 3. Los derechos conferidos en virtud de los aparpueden obtenerse a través de servicios de informatados 1 y 2 se aplicarán a los abonados que sean perción deberán limitarse a lo estrictamente necesario sonas fı́sicas. Los Estados miembros garantizarán para identificar a un abonado concreto, a menos que asimismo, en el marco del Derecho comunitario y de el abonado haya dado su consentimiento inequı́volas legislaciones nacionales aplicables, la suficiente co para que se publiquen otros datos personales. El protección de los intereses legı́timos de los abonaabonado tendrá derecho, de forma gratuita, a que dos que no sean personas fı́sicas en lo que se refiere se le excluya de una guı́a impresa o electrónica a a llamadas no solicitadas. petición propria, a indicar que sus datos personales no se utilicen para fines de venta directa, a que se Artı́culo 13 Caracterı́sticas técnicas y normalización omita parcialmente su dirección y a que no exista 1. Al aplicar las disposiciones de la presente Direferencia que revele su sexo, cuando ello sea aplirectiva, los Estados miembros velarán, con arreglo a cable lingüı́sticamente. los apartados 2 y 3, por que no se impongan exigen2. Sin perjuicio de lo dispuesto en el apartado cias obligatorias respecto de caracterı́sticas técnicas 1, los Estados miembros podrán permitir a los ope- especı́ficas relativas a las terminales u otros equipos radores exigir un pago a los abonados que deseen de telecomunicaciones que puedan obstaculizar la hacer que sus datos personales no figuren en una colocación del equipo en el mercado y la libre circuguı́a, siempre que la cantidad en cuestión no sea lación de dichos equipos en los Estados miembros y disuasoria del ejercicio de este derecho y siempre entre estos últimos. que, teniendo en cuenta las exigencias de calidad de 2. Cuando las disposiciones de la presente Direcla guı́a pública respecto del servicio universal, dic- tiva sólo puedan aplicarse mediante la implantación ha cantidad se limite a los costes reales ocasionados de caracterı́sticas técnicas especı́ficas, los Estados al operador por la adaptación y actualización de la 206 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions miembros informarán a la Comisión de conformidad con los procedimientos establecidos en la Directiva 83/189/CEE del Consejo, de 28 de marzo de 1983, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas (7). por el artı́culo 31 de la Directiva 95/46/CE, procederá a la adaptación técnica del anexo con arreglo al procedimiento mencionado en el presente artı́culo. Dicho Comité se reunirá especı́ficamente para tratar de las cuestiones cubiertas por la presente Directiva. 3. Cuando proceda, la Comisión garantizará la elaboración de normas europeas comunes para la aplicación de las caracterı́sticas técnicas especı́ficas, de conformidad con la legislación comunitaria en materia de aproximación de la legislación de los Estados miembros relativa al equipo terminal de telecomunicaciones, incluido el reconocimiento mutuo de su conformidad, y con la Decisión 87/95/CEE del Consejo, de 22 de diciembre de 1986, relativa a la normalización en el campo de la tecnologı́a de la información y de las telecomunicaciones (8). Artı́culo 15 Aplicación de la Directiva 1. Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar el 24 de octubre de 1998. No obstante lo dispuesto en el párrafo primero, los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento al artı́culo 5 de la presente Directiva a más tardar el 24 de octubre de Artı́culo 14 Extensión del ámbito de aplicaci- 2000. ón de determinadas disposiciones de la Directiva Cuando los Estados miembros adopten dichas 95/46/CE disposiciones, éstas harán referencia a la presente 1. Los Estados miembros podrán adoptar medi- Directiva o irán acompañadas de dicha referencia das legales para limitar el alcance de las obligaciones en su publicación oficial. Los Estados miembros y derechos que se establecen en los artı́culos 5 y 6 establecerán las modalidades de la mencionada rey en los apartados 1, 2, 3 y 4 del artı́culo 8, cuando ferencia. dichas limitaciones constituyan una medida necesa2. No obstante lo dispuesto en el apartado 3 ria para proteger la seguridad nacional, la defensa, la seguridad pública, la prevención, la investigación, del artı́culo 6, no será necesario el consentimiento la detección y la persecución de delitos o la utiliza- respecto al tratamiento en curso el dı́a de entrada ción no autorizada del sistema de telecomunicación en vigor de las disposiciones nacionales adoptadas a que se hace referencia en el apartado 1 del artı́culo con arreglo a la presente Directiva. En tales casos se informará a los abonados sobre este tratamiento 13 de la Directiva 95/46/CE. y, si no expresan su reprobación en un perı́odo que 2. Las disposiciones del capı́tulo III sobre re- determinará el Estado miembro, se considerará que cursos judiciales, responsabilidad y sanciones de la han dado su consentimiento. Directiva 95/46/CE se aplicarán a las disposicio3. El artı́culo 11 no se aplicará a las guı́as que nes de Derecho nacional adoptadas con arreglo a la se hayan publicado antes de que entren en vigor las presente Directiva y relativas a los derechos individisposiciones nacionales adoptadas con arreglo a la duales derivados de la presente Directiva. presente Directiva. 3. El Grupo de protección de las personas en 4. Los Estados miembros comunicarán a la Colo que respecta al tratamiento de datos personales misión el texto de las disposiciones de Derecho naestablecido con arreglo al artı́culo 29 de la Directicional que adopten en el ámbito regulado por la va 95/46/CE ejercerá las funciones especificadas en presente Directiva. el artı́culo 30 de la citada Directiva también por lo que se refiere a la protección de los derechos y liber- Artı́culo 16 Destinatarios tades fundamentales y de los intereses legı́timos en Los destinatarios de la presente Directiva serán el sector de las telecomunicaciones, que son objeto los Estados miembros. Hecho en Bruselas, el 15 de de la presente Directiva. diciembre de 1997. 4. La Comisión, asistida por el Comité creado 207 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions Por el Parlamento Europeo El Presidente J. M. GIL-ROBLES Por el Consejo El Presidente J.-C. JUNCKER (1) DO C 200 de 22.7.1994, p. 4. (2) DO C 159 de 17.6.1991, p. 38. (3) Dictamen del Parlamento Europeo de 11 de marzo de 1992 (DO C 94 de 13.4.1992, p. 198), Posición común del Consejo de 12 de septiembre de 1996 (DO C 315 de 24.10.1996, p. 30) y Decisión del Parlamento Europeo de 16 de enero de 1997 (DO C 33 de 3.2.1997, p. 78). Decisión del Parlamento Europeo de 20 de noviembre de 1997 (DO C 371 de 8.12.1997). Decisión del Consejo de 1 de diciembre de 1997. (4) DO L 281 de 23.11.1995, p. 31. (5) DO C 257 de 4.10.1988, p. 1. (6) DO C 196 de 1.8.1989, p. 4. (7) DO L 109 de 26.4.1983, p. 8; Directiva cuya última modificación la constituye la Directiva 94/10/CE (DO L 100 de 19.4.1994, p. 30). (8) DO L 36 de 7.2.1987, p. 31; Decisión cuya última modificación la constituye el Acta de adhesión de 1994. ANEXO Lista de datos A los efectos a que se hace mención en el apartado 2 del artı́culo 6, podrán procesarse los siguientes datos que incluyan: - el número o la identificación de la estación del abonado, - la dirección del abonado y el tipo de estación, - el número total de unidades que deben facturarse durante el ejercicio contable, - el número del abonado que recibe la llamada, - el tipo, la hora de comienzo y la duración de las llamadas realizadas o el volumen de datos transmitido, - la fecha de la llamada o del servicio, - otros datos relativos a los pagos, tales como pago anticipado, pagos a plazos, desconexión y notificaciones de recibos pendientes. 208 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions 4.5.1 Directiva 2002/58/CE, del Parlament Europeu i del Consell, de 12 de juliol de 2002 relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques (DOCE L 201 31.7.2002) DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artı́culo 95, Vista la propuesta de la Comisión (1), Visto el dictamen del Comité Económico y Social (2), Previa consulta al Comité de las Regiones, De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado (3), Considerando lo siguiente: 1. La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fı́sicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos (4), insta a los Estados miembros a garantizar los derechos y libertades de las personas fı́sicas en lo que respecta al tratamiento de los datos personales y, en especial, su derecho a la intimidad, de forma que los datos personales puedan circular libremente en la Comunidad. humanos, especialmente el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales y las constituciones de los Estados miembros. 4. La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (5), tradujo los principios establecidos en la Directiva 95/46/ CE en normas concretas para el sector de las telecomunicaciones. La Directiva 97/66/CE debe ser adaptada al desarrollo de los mercados y de las tecnologı́as de los servicios de comunicaciones electrónicas para que el nivel de protección de los datos personales y de la intimidad ofrecido a los usuarios de los servicios de comunicaciones electrónicas disponibles al público sea el mismo, con independencia de las tecnologı́as utilizadas. Procede, pues, derogar dicha Directiva y sustituirla por la presente. 2. La presente Directiva pretende garantizar el respeto de los derechos fundamentales y observa los principios consagrados, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea. Señaladamente, la presente Directiva pretende garantizar el pleno respeto de los derechos enunciados en los artı́culos 7 y 8 de dicha Carta. 5. Actualmente se están introduciendo en las redes públicas de comunicación de la Comunidad nuevas tecnologı́as digitales avanzadas que crean necesidades especı́ficas en materia de protección de datos personales y de la intimidad de los usuarios. El desarrollo de la sociedad de la información se caracteriza por la introducción de nuevos servicios de comunicaciones electrónicas. El acceso a las redes móviles digitales está ya disponible y resulta asequible para un público muy amplio. Estas redes digitales poseen gran capacidad y muchas posibilidades en materia de tratamiento de los datos personales. El éxito del desarrollo transfronterizo de estos servicios depende en parte de la confianza de los usuarios en que no se pondrá en peligro su intimidad. 3. La confidencialidad de las comunicaciones está garantizada de conformidad con los instrumentos internacionales relativos a los derechos 6. Internet está revolucionando las estructuras tradicionales del mercado al aportar una infraestructura común mundial para la presta209 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions ción de una amplia gama de servicios de comunicaciones electrónicas. Los servicios de comunicaciones electrónicas disponibles al público a través de Internet introducen nuevas posibilidades para los usuarios, pero también nuevos riesgos para sus datos personales y su intimidad. 7. En el caso de las redes públicas de comunicación, deben elaborarse disposiciones legales, reglamentarias y técnicas especı́ficas con objeto de proteger los derechos y libertades fundamentales de las personas fı́sicas y los intereses legı́timos de las personas jurı́dicas, en particular frente a la creciente capacidad de almacenamiento y tratamiento informático de datos relativos a abonados y usuarios. 8. Deben armonizarse las disposiciones legales, reglamentarias y técnicas adoptadas por los Estados miembros para proteger los datos personales, la intimidad y los intereses legı́timos de las personas jurı́dicas en el sector de las comunicaciones electrónicas, a fin de evitar obstáculos para el mercado interior de las comunicaciones electrónicas de conformidad con el artı́culo 14 del Tratado. La armonización debe limitarse a los requisitos necesarios para garantizar que no se vean obstaculizados el fomento y el desarrollo de los nuevos servicios y redes de comunicaciones electrónicas entre Estados miembros. 9. Los Estados miembros, los proveedores y usuarios afectados y las instancias comunitarias competentes deben cooperar para el establecimiento y el desarrollo de las tecnologı́as pertinentes cuando sea necesario para aplicar las garantı́as previstas en la presente Directiva y teniendo especialmente en cuenta el objetivo de reducir al mı́nimo el tratamiento de los datos personales y de tratar la información de forma anónima o mediante seudónimos cuando sea posible. 10. En el sector de las comunicaciones electrónicas es de aplicación la Directiva 95/46/CE, en particular para todas las cuestiones relativas a la protección de los derechos y las libertades fundamentales que no están cubiertas de forma especı́fica por las disposiciones de la presente Directiva, incluidas las obligaciones del responsable del tratamiento de los datos y los derechos de las personas. La Directiva 95/46/CE se aplica a los servicios de comunicaciones electrónicas que no sean de carácter público. 11. Al igual que la Directiva 95/46/CE, la presente Directiva no aborda la protección de los derechos y las libertades fundamentales en relación con las actividades no regidas por el Derecho comunitario. Por lo tanto, no altera el equilibrio actual entre el derecho de las personas a la intimidad y la posibilidad de que disponen los Estados miembros, según se indica en el apartado 1 del artı́culo 15 de la presente Directiva, de tomar las medidas necesarias para la protección de la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando las actividades tengan relación con asuntos de seguridad del Estado) y la aplicación del Derecho penal. En consecuencia, la presente Directiva no afecta a la capacidad de los Estados miembros para interceptar legalmente las comunicaciones electrónicas o tomar otras medidas, cuando sea necesario, para cualquiera de estos fines y de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, según la interpretación que se hace de éste en las sentencias del Tribunal Europeo de Derechos Humanos. Dichas medidas deberán ser necesarias en una sociedad democrática y rigurosamente proporcionales al fin que se pretende alcanzar y deben estar sujetas, además, a salvaguardias adecuadas, de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. 12. Los abonados de un servicio de comunicaciones electrónicas disponible para el público pueden ser personas fı́sicas o jurı́dicas. Al complementar la Directiva 95/46/ CE, la presente Directiva pretende proteger los derechos fundamentales de las personas fı́sicas y, en particular, su derecho a la intimidad, ası́ como los intereses legı́timos de las personas jurı́dicas. La presente Directiva no supone obligación alguna por parte de los Estados miembros 210 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions de hacer extensiva la aplicación de la Directiva 95/ 46/CE a la protección de los intereses legı́timos de las personas jurı́dicas, que está garantizada en el marco de la legislación comunitaria y nacional. 13. La relación contractual entre un abonado y un proveedor de servicios puede implicar un pago periódico o único por el servicio prestado o por prestar. Las tarjetas de prepago se consideran asimismo un contrato. 14. Los datos de localización pueden referirse a la latitud, la longitud y la altitud del equipo terminal del usuario, a la dirección de la marcha, al nivel de precisión de la información de la localización, a la identificación de la célula de red en la que está localizado el equipo terminal en un determinado momento o a la hora en que la información de localización ha sido registrada. 15. Una comunicación puede incluir cualquier dato relativo a nombres, números o direcciones facilitado por el remitente de una comunicación o el usuario de una conexión para llevar a cabo la comunicación. Los datos de tráfico pueden incluir cualquier conversión de dicha información efectuada por la red a través de la cual se transmita la comunicación a efectos de llevar a cabo la transmisión. Los datos de tráfico pueden referirse, entre otras cosas, al encaminamiento, la duración, la hora o el volumen de una comunicación, al protocolo utilizado, a la localización del equipo terminal del remitente o destinatario, a la red en que se origina o concluye la transmisión, al principio, fin o duración de una conexión. También pueden referirse al formato en que la red conduce la comunicación. 16. La información que forma parte de un servicio de radiodifusión suministrado en una red pública de comunicaciones y está dirigida a una audiencia potencialmente ilimitada no constituye una comunicación con arreglo a la presente Directiva. No obstante, en casos en que se pueda identificar al abonado o usuario individual que recibe dicha información, por ejemplo con servicios de vı́deo a la carta, la información conducida queda incluida en el signifi- cado del término comunicación a efectos de la presente Directiva. 17. A efectos de la presente Directiva, el consentimiento de un usuario o abonado, independientemente de que se trate de una persona fı́sica o jurı́dica, debe tener el mismo significado que el consentimiento de la persona afectada por los datos tal como se define y se especifica en la Directiva 95/46/CE. El consentimiento podrá darse por cualquier medio apropiado que permita la manifestación libre, inequı́voca y fundada de la voluntad del usuario, por ejemplo mediante la selección de una casilla de un sitio web en Internet. 18. Los servicios con valor añadido pueden consistir, por ejemplo, en recomendaciones sobre las tarifas menos costosas, orientación vial, información sobre tráfico, previsiones meteorológicas o información turı́stica. 19. La aplicación de determinados requisitos relativos a la presentación y a restricciones en la identificación de la lı́nea de origen y de la lı́nea conectada y al desvı́o automático de las llamadas a las lı́neas de abonado conectadas a centrales analógicas no debe ser obligatoria en aquellos casos particulares en los que dicha aplicación resulte imposible técnicamente, o en los que requiera un esfuerzo económico desproporcionado. Es importante que las partes interesadas sean informadas de dichos casos, y por consiguiente los Estados miembros deben notificarlos a la Comisión. 20. Los proveedores de servicios deben tomar las medidas adecuadas para salvaguardar la seguridad de sus servicios, de ser necesario en conjunción con el suministrador de la red, e informar a los abonados de todo riesgo especial relativo a la seguridad de la red. Tales riesgos pueden presentarse especialmente en el caso de los servicios de comunicaciones electrónicas a través de una red abierta como Internet o de una red de telefonı́a móvil analógica. Resulta particularmente importante que los abonados y usuarios de tales servicios sean plenamente informados por su proveedor de servicios de los riesgos para la seguridad que escapan a 211 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions posibles soluciones adoptadas por dicho proveedor de servicios. Los proveedores de servicios que ofrecen servicios de comunicaciones electrónicas disponibles al público a través de Internet deben informar a usuarios y abonados de las medidas que pueden adoptar para proteger la seguridad de sus comunicaciones, por ejemplo utilizando determinados tipos de soporte lógico o tecnologı́as de cifrado. La exigencia de informar a los abonados de riesgos de seguridad particulares no exime al proveedor del servicio de la obligación de tomar a sus expensas medidas inmediatas y adecuadas para solucionar cualesquiera riesgos nuevos e imprevistos de seguridad y restablecer el nivel normal de seguridad del servicio. El suministro de información sobre riesgos de seguridad al abonado debe ser gratuito, salvo los costes nominales en que pueda incurrir el abonado al recibir o recoger la información, por ejemplo al cargar un mensaje de correo electrónico. La seguridad se valora a la luz del artı́culo 17 de la Directiva 95/46/CE. 21. Deben adoptarse medidas para evitar el acceso no autorizado a las comunicaciones a fin de proteger la confidencialidad de las mismas, incluidos tanto sus contenidos como cualquier dato relacionado con ellas, por medio de las redes públicas de comunicaciones y los servicios de comunicaciones electrónicas disponibles al público. La legislación nacional de algunos Estados miembros prohı́be solamente el acceso intencionado no autorizado a las comunicaciones. 22. Al prohibirse el almacenamiento de comunicaciones, o de los datos de tráfico relativos a éstas, por terceros distintos de los usuarios o sin su consentimiento no se pretende prohibir el almacenamiento automático, intermedio y transitorio de esta información, en la medida en que sólo tiene lugar para llevar a cabo la transmisión en la red de comunicaciones electrónicas, y siempre que la información no se almacene durante un perı́odo mayor que el necesario para la transmisión y para los fines de la gestión del tráfico, y que durante el perı́odo de almacenamiento se garantice la confidencialidad. Cuando resulte necesario para hacer más eficaz la transmisión de toda información públicamente asequible a otros destinatarios del servicio a solicitud de los mismos, la presente Directiva no debe evitar que dicha información siga almacenada más tiempo, siempre que la misma sea, en cualquier caso, asequible al público sin restricciones y que se eliminen todos los datos relativos a los abonados o usuarios individuales que pidan tal información. 23. La confidencialidad de las comunicaciones debe garantizarse también en el curso de las prácticas comerciales lı́citas. Cuando sea necesario y esté legalmente autorizado, las comunicaciones podrán grabarse al objeto de proporcionar la prueba de una transacción comercial. La Directiva 95/46/CE es de aplicación a este tipo de tratamiento. Los interlocutores en las comunicaciones deben ser informados con anterioridad a la grabación sobre la misma, su objeto y la duración de su almacenamiento. La comunicación grabada debe ser eliminada en cuanto sea posible y en cualquier caso a más tardar al concluir el plazo durante el cual dicha transacción puede ser impugnada jurı́dicamente. 24. Los equipos terminales de los usuarios de redes de comunicaciones electrónicas, ası́ como toda información almacenada en dichos equipos, forman parte de la esfera privada de los usuarios que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Los denominados programas espı́a (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Sólo debe permitirse la utilización de tales dispositivos con fines legı́timos y con el conocimiento de los usuarios afectados. 25. No obstante, los dispositivos de este tipo, por ejemplo los denominados chivatos (cookies), pueden constituir un instrumento legı́timo y de gran utilidad, por ejemplo, pa212 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions ra analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partı́cipes en una transacción en lı́nea. En los casos en que estos dispositivos, por ejemplo los denominados chivatos (cookies), tengan un propósito legı́timo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando. Los usuarios deben tener la posibilidad de impedir que se almacene en su equipo terminal un chivato (cookie) o dispositivo semejante. Esto es particularmente importante cuando otros usuarios distintos al usuario original tienen acceso al equipo terminal y, a través de éste, a cualquier dato sensible de carácter privado almacenado en dicho equipo. La información sobre la utilización de distintos dispositivos que se vayan a instalar en el equipo terminal del usuario en la misma conexión y el derecho a impedir la instalación de tales dispositivos se pueden ofrecer en una sola vez durante una misma conexión y abarcar asimismo cualquier posible utilización futura de dichos dispositivos en conexiones posteriores. La presentación de la información y del pedido de consentimiento o posibilidad de negativa debe ser tan asequible para el usuario como sea posible. No obstante, se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un chivato (cookie) o dispositivo similar, en caso de que éste tenga un propósito legı́timo. 26. Los datos relativos a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información contienen información sobre la vida privada de las personas fı́sicas, y afectan al derecho de éstas al respeto de su correspondencia, o se refieren a los intereses legı́timos de las personas jurı́dicas. Dichos datos sólo deben poder almacenarse en la medida en que resulten necesarios para la prestación del servicio, para fines de factura- ción y para los pagos de interconexión, y durante un tiempo limitado. Cualquier otro tratamiento de dichos datos que el proveedor de servicios de comunicaciones electrónicas disponibles al público pretenda llevar a cabo para la comercialización de servicios de comunicaciones electrónicas o para la prestación de servicios de valor añadido sólo puede permitirse si el abonado ha manifestado su consentimiento fundado en una información plena y exacta facilitada por el proveedor de servicios de comunicaciones electrónicas disponibles al público acerca del tipo de tratamiento que pretende llevar a cabo y sobre el derecho del abonado a denegar o a retirar su consentimiento a dicho tratamiento. Los datos sobre tráfico utilizados para la comercialización de los servicios de comunicaciones o para la prestación de servicios de valor añadido deben también eliminarse o hacerse anónimos tras la prestación del servicio. Los proveedores de servicios deben mantener siempre informados a los abonados de los tipos de dato que están tratando y de la finalidad y duración del tratamiento. 27. El momento exacto en que finaliza la transmisión de una comunicación, tras el cual los datos de tráfico deberán eliminarse salvo a efectos de facturación, puede depender del tipo de servicio de comunicaciones electrónicas que se suministre. Por ejemplo, para una llamada de telefonı́a vocal la transmisión finalizará en cuanto uno de los usuarios interrumpa la conexión; para el correo electrónico la transmisión finaliza en cuanto el destinatario recoge el mensaje, en general del servidor de su proveedor de servicios. 28. La obligación de eliminar datos de tráfico o de hacerlos anónimos cuando ya no se necesiten para la transmisión de una comunicación no entra en conflicto con procedimientos existentes en Internet como la prelectura en soporte rápido (caching), en el sistema de nombres de dominio, de direcciones IP o el caching de una dirección IP vinculada a una dirección fı́sica, o la utilización de información relativa al usuario para controlar el derecho de acceso a redes o servicios. 29. De ser necesario, el proveedor del servicio pue213 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions de tratar, en casos concretos, los datos de tráfico relacionados con los abonados y usuarios, a fin de detectar fallos o errores técnicos en la transmisión de las comunicaciones. El proveedor también puede tratar los datos de tráfico necesarios a efectos de facturación a fin de detectar y frenar el fraude consistente en la utilización sin pago de servicios de comunicaciones electrónicas. 30. Los sistemas para el suministro de redes y servicios de comunicaciones electrónicas deben diseñarse de modo que se limite la cantidad de datos personales al mı́nimo estrictamente necesario. Cualesquiera actividades relacionadas con el suministro del servicio de comunicaciones electrónicas que vayan más allá de la transmisión de una comunicación y su facturación debe basarse en datos de tráfico acumulados que no puedan referirse a abonados o usuarios. Cuando dichas actividades no puedan basarse en datos acumulados, deben considerarse servicios con valor añadido para los cuales se requiere el consentimiento del abonado. 31. El consentimiento que deberá obtenerse para el tratamiento de datos personales a efectos de proporcionar un particular servicio con valor añadido debe ser el del abonado o el del usuario, en función de los datos que deban tratarse y el tipo de servicio que se suministre y de que sea posible desde el punto de vista técnico, de procedimiento y del contrato distinguir la persona que utiliza un servicio de comunicaciones electrónicas de la persona fı́sica o jurı́dica que ha suscrito el mismo. 32. Si el proveedor de un servicio de comunicaciones electrónicas o de un servicio con valor añadido subcontrata el tratamiento de datos personales necesario para la prestación de dichos servicios a otra entidad, dicha subcontratación y el tratamiento de datos subsiguiente deben cumplir plenamente los requisitos relativos a los responsables y a los encargados del tratamiento de datos personales que establece la Directiva 95/46/CE. Si la prestación de un servicio con valor añadido requiere que los datos de tráfico o de localización sean transmitidos por un proveedor de servicios de co- municaciones electrónicas hacia un proveedor de servicios con valor añadido, los abonados o usuarios a los que se refieran dichos datos deben asimismo estar plenamente informados sobre dicha transmisión antes de dar su consentimiento al tratamiento de los datos. 33. La introducción de facturas desglosadas ha aumentado la posibilidad de que el abonado pueda comprobar que las tarifas aplicadas por el proveedor del servicio son correctas, pero, al mismo tiempo, puede poner en peligro la intimidad de los usuarios de servicios de comunicaciones electrónicas disponibles al público. Por consiguiente, a fin de proteger la intimidad de los usuarios, los Estados miembros deben fomentar el desarrollo de opciones de servicios de comunicaciones electrónicas tales como posibilidades de pago alternativas que permitan el acceso anónimo o estrictamente privado a los servicios de comunicaciones electrónicas disponibles al público, por ejemplo tarjetas de llamada y posibilidad de pago con tarjetas de crédito. Con idéntico propósito, los Estados miembros podrán pedir a los operadores que ofrezcan a sus abonados otro tipo de factura detallada en la que se omita cierto número de cifras del número llamado. 34. Es necesario, por lo que respecta a la identificación de la lı́nea de origen, proteger el derecho del interlocutor que efectúa la llamada a reservarse la identificación de la lı́nea desde la que realiza dicha llamada y el derecho del interlocutor llamado a rechazar llamadas procedentes de lı́neas no identificadas. Está justificado anular la eliminación de la presentación de la identificación de la lı́nea de origen en casos particulares. Determinados abonados, en particular las lı́neas de ayuda y otras organizaciones similares, tienen interés en garantizar el anonimato de sus interlocutores. Es necesario, por lo que respecta a la identificación de la lı́nea conectada, proteger el derecho y el interés legı́timo del interlocutor llamado a impedir la presentación de la identificación de la lı́nea a la que está conectado realmente el interlocutor llamante, en particular en el caso de las llamadas que han sido desviadas. Los proveedores de servicios de comunicaciones electrónicas disponibles al público deben 214 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions informar a sus abonados de la existencia de la identificación de lı́neas llamantes y conectadas en la red y de todos los servicios ofrecidos a partir de la identificación de las lı́neas llamantes y conectadas, ası́ como sobre las opciones de confidencialidad disponibles. Esto permitirá a los abonados decidir con conocimiento de causa las posibilidades de confidencialidad que deseen utilizar. Las opciones de confidencialidad ofrecidas caso por caso no tienen que estar disponibles necesariamente como servicio de la red automática, pero sı́ obtenerse mediante simple solicitud al proveedor del servicio de comunicaciones electrónicas disponibles al público. 35. En las redes móviles digitales se tratan los datos sobre localización que proporcionan la posición geográfica del equipo terminal del usuario móvil para hacer posible la transmisión de las comunicaciones. Tales datos constituyen datos sobre tráfico a los que es aplicable el artı́culo 6 de la presente Directiva. Sin embargo, además, las redes móviles digitales pueden tener la capacidad de tratar datos sobre localización más precisos de lo necesario para la transmisión de comunicaciones y que se utilizan para la prestación de servicios de valor añadido tales como los servicios que facilitan información sobre tráfico y orientaciones individualizadas a los conductores. El tratamiento de tales datos para la prestación de servicios de valor añadido sólo debe permitirse cuando los abonados hayan dado su consentimiento. Incluso en los casos en que los abonados hayan dado su consentimiento, éstos deben contar con un procedimiento sencillo y gratuito de impedir temporalmente el tratamiento de los datos sobre localización. 36. Los Estados miembros podrán restringir el derecho a la intimidad de los usuarios y abonados por lo que se refiere a la identificación de la lı́nea de origen en los casos en que ello sea necesario para rastrear llamadas malevolentes, y en lo tocante a la identificación y localización de dicha lı́nea cuando sea preciso para que los servicios de socorro cumplan su cometido con la máxima eficacia posible. Para ello, los Estados miembros podrán adoptar disposiciones especı́ficas que permitan a los proveedores de servicios de comunicaciones electrónicas ofrecer el acceso a la identificación y localización de la lı́nea de origen sin el consentimiento previo de los usuarios o abonados de que se trate. (37) Deben ofrecerse garantı́as a los abonados contra las molestias que puedan causar las llamadas desviadas automáticamente por otros. Además en tales casos, los abonados deben poder detener las llamadas desviadas hacia sus terminales mediante simple solicitud al proveedor de servicios de comunicaciones electrónicas disponibles al público. 37. Las guı́as de abonados a los servicios de comunicaciones electrónicas alcanzan gran difusión y tienen carácter público. El derecho a la intimidad de las personas fı́sicas y el interés legı́timo de las personas jurı́dicas exigen que los abonados puedan decidir si se hacen públicos sus datos personales en dichas guı́as y, caso de hacerse públicos, cuáles de ellos. Los suministradores de guı́as públicas deben informar a los abonados que vayan a incluirse en tales guı́as acerca de la finalidad de las mismas y de cualquier uso particular que pueda hacerse de las versiones electrónicas de las guı́as públicas, especialmente a través de funciones de búsqueda incorporadas al soporte lógico, tales como las funciones de búsqueda inversa que permiten al usuario de la guı́a averiguar el nombre y la dirección del abonado a partir exclusivamente de un número de teléfono. 38. Debe imponerse a quien recoja datos para ser incluidos en las guı́as públicas en las que figuren los datos personales de los abonados la obligación de informar a estos últimos acerca de los objetivos de dichas guı́as. Cuando los datos puedan ser transmitidos a una o más terceras partes, debe informarse al abonado de esta posibilidad, ası́ como acerca del destinatario o de las categorı́as de posibles destinatarios. Cualquier transmisión debe estar sujeta a la condición de que los datos no puedan utilizarse para otros fines más que aquéllos para los que se recojan. Si quien recoge datos del usuario o cualquier tercero a quien se hayan transmitido los datos desea utilizarlos con un fin suplementario, la renovación del consentimiento del abonado deberá obtenerla 215 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions ya sea quien recogió inicialmente los datos o el tercero a quien se hayan transmitido. 39. Deben ofrecerse garantı́as a los abonados contra la intrusión en su intimidad mediante comunicaciones no solicitadas con fines de venta directa, especialmente a través de llamadores automáticos, faxes y mensajes de correo electrónico, incluidos los de SMS. Por una parte, el envı́o de estas formas de comunicaciones comerciales no solicitadas puede resultar relativamente sencillo y económico, y por otra, puede conllevar una molestia e incluso un coste para el receptor. Además, en algunos casos su volumen puede dar lugar a dificultades en las redes de comunicaciones electrónicas y en los equipos terminales. Se justifica, para este tipo de comunicaciones no solicitadas con fines de venta directa, la exigencia de obtener el consentimiento expreso previo de los receptores antes de que puedan dirigı́rseles comunicaciones de esta ı́ndole. El mercado único requiere un planteamiento armonizado que garantice la existencia de normas sencillas aplicadas a escala comunitaria, tanto para las empresas como para los usuarios. 40. En el contexto de una relación preexistente con el cliente, es razonable admitir el uso de las señas electrónicas del cliente con objeto de ofrecer productos o servicios similares, pero exclusivamente por parte de la misma empresa que haya obtenido las señas electrónicas de conformidad con la Directiva 95/46/CE. En el momento de recabarse las señas electrónicas, debe informarse al cliente de manera clara e inequı́voca sobre su uso ulterior con fines de venta directa, y debe dársele la posibilidad de negarse a dicho uso. Debe seguir ofreciéndose al cliente esta posibilidad cada vez que reciba un mensaje ulterior de venta directa, sin cargo alguno salvo los posibles costes de transmisión de esta negativa. 41. El caso de otras formas de venta directa que resultan más onerosas para el remitente y no implican costes financieros para los abonados y usuarios, como las llamadas personales de telefonı́a vocal, se puede justificar el mantenimiento de un sistema que dé a los abonados o usuarios la posibilidad de indicar que no desean recibir llamadas de ese tipo. Sin embargo, a fin de no disminuir los niveles actuales de protección de la intimidad, debe facultarse a los Estados miembros para mantener sus sistemas nacionales que únicamente autoricen ese tipo de llamadas cuando los abonados y usuarios hayan dado su consentimiento previo. 42. Para facilitar la aplicación efectiva de las normas comunitarias en materia de mensajes no solicitados con fines de venta directa, es preciso prohibir el uso de identidades falsas y de domicilios y números de contacto falsos cuando se envı́an mensajes no solicitados con fines de venta directa. 43. Determinados sistemas de correo electrónico ofrecen al usuario la posibilidad de ver la identidad del remitente y el asunto del mensaje, ası́ como borrar el mensaje, sin tener que descargar el resto del contenido ni los ficheros anexos, reduciendo con ello los costes que podrı́an derivarse de descargar mensajes o ficheros no solicitados. Estas modalidades de funcionamiento pueden seguir siendo útiles en determinados casos, como instrumento añadido a las obligaciones generales que se establecen en la presente Directiva. 44. La presente Directiva no afecta a las disposiciones tomadas por los Estados miembros para proteger los intereses legı́timos de las personas jurı́dicas en lo que se refiere a las comunicaciones no solicitadas con fines de venta directa. En caso de que los Estados miembros establezcan un registro de autoexclusión de dicho tipo de comunicaciones con destino a las personas jurı́dicas, en su mayor parte usuarios comerciales, serán de plena aplicación las disposiciones del artı́culo 7 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurı́dicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (1). 45. Las funcionalidades para la prestación de servicios de comunicaciones electrónicas pueden 216 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions estar integradas en la red o en cualquier parte del equipo terminal del usuario, incluido el soporte lógico. La protección de los datos personales y la intimidad del usuario de los servicios de comunicaciones electrónicas disponibles al público debe ser independiente de la configuración de los distintos componentes necesarios para prestar el servicio y de la distribución de las funcionalidades necesarias entre dichos componentes. La Directiva 95/46/CE cubre cualquier forma de tratamiento de datos personales con independencia de la tecnologı́a utilizada. La existencia de normas especı́ficas para los servicios de comunicaciones electrónicas, junto a las normas generales para los demás componentes necesarios para la prestación de tales servicios, podrı́a no facilitar la protección de los datos personales y la intimidad de modo tecnológicamente neutro. Por consiguiente, puede resultar necesario adoptar medidas que exijan a los fabricantes de determinados tipos de equipos utilizados en los servicios de comunicaciones electrónicas que fabriquen sus productos de manera que incorporen salvaguardias para garantizar la protección de los datos personales y la intimidad del usuario y el abonado. La adopción de dichas medidas de conformidad con la Directiva 1999/5/CE del Parlamento Europeo y del Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos terminales de telecomunicación y reconocimiento mutuo de su conformidad (2), garantizará que la introducción de caracterı́sticas técnicas en los equipos de comunicaciones electrónicas, incluido el soporte lógico, para fines de protección de datos esté armonizada a fin de que sea compatible con la realización del mercado interior. 46. En los casos en que no se respeten los derechos de los usuarios y abonados, el Derecho nacional debe prever vı́as de recurso judiciales. Deben imponerse sanciones a aquellas personas, ya sean de Derecho público o privado, que incumplan las medidas nacionales adoptadas en virtud de la presente Directiva. 47. Resulta útil en el ámbito de aplicación de la presente Directiva aprovechar las experiencias del Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, compuesto por representantes de las autoridades de control de los Estados miembros y creado por el artı́culo 29 de la Directiva 95/46/ CE. 48. Para facilitar el cumplimiento de lo dispuesto en la presente Directiva, son necesarias determinadas disposiciones particulares para el tratamiento de datos ya en curso el dı́a en que entre en vigor la legislación nacional de aplicación de la presente Directiva. (1) DO C 365 E de 19.12.2000, p. 223. (2) DO C 123 de 25.4.2001, p. 53. (3) Dictamen del Parlamento Europeo de 13 de noviembre de 2001 (no publicado aún en el Diario Oficial), Posición común del Consejo de 28 de enero de 2002 (DO C 113 E de 14.5.2002, p. 39) y Decisión del Parlamento Europeo de 30 de mayo de 2002 (no publicada aún en el Diario oficial). Decisión del Consejo de 25 de junio de 2002. (4) DO L 281 de 23.11.1995, p. 31. (5) DO L 24 de 30.1.1998, p. 1. HAN ADOPTADO LA PRESENTE DIRECTIVA: Artı́culo 1 Ámbito de aplicación y objetivo 1. La presente Directiva armoniza las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, ası́ como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad. (1) DO L 178 de 17.7.2000, p. 1. (2) DO L 91 de 7.4.1999, p. 10. 2. Las disposiciones de la presente Directiva especifican y completan la Directiva 95/46/CE a los efectos mencionados en el apartado 1. Además, protegen los intereses legı́timos de los abonados que sean personas jurı́dicas. 3. La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de 217 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions aplicación del Tratado constitutivo de la Copueda relacionarse con el abonado o usuario munidad Europea, como las reguladas por las identificable que reciba la información; disposiciones de los tı́tulos V y VI del Tratado llamada : una conexión establecida por medio de de la Unión Europea, ni, en cualquier caso, a un servicio telefónico disponible para el públilas actividades que tengan por objeto la seco que permita la comunicación bidireccional guridad pública, la defensa, la seguridad del en tiempo real; Estado (incluido el bienestar económico del Estado cuando dichas actividades estén rela- consentimiento de un usuario o abonado: el concionadas con la seguridad del mismo) y a las sentimiento del interesado, con arreglo a la deactividades del Estado en materia penal. finición de la Directiva 95/46/CE; servicio con valor añadido : todo servicio que requiere el tratamiento de datos de tráfico o Definiciones datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la Salvo disposición en contrario, serán de aplicatransmisión de una comunicación o su factución a efectos de la presente Directiva las definicioración; nes que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE del Parlamento Europeo y del correo electrónico : todo mensaje de texto, voz, Consejo, de 7 de marzo de 2002, relativa a un marsonido o imagen enviado a través de una red co regulador común de las redes y los servicios de de comunicaciones pública que pueda almacomunicaciones electrónicas (Directiva marco) (1). cenarse en la red o en el equipo terminal del Además, a efectos de la presente Directiva se entenreceptor hasta que éste acceda al mismo. derá por: Artı́culo 3 usuario : una persona fı́sica que utiliza con fines Servicios afectados privados o comerciales un servicio de comunicaciones electrónicas disponible para el públi1. La presente Directiva se aplicará al tratamienco, sin que necesariamente se haya abonado a to de datos personales en relación con la presdicho servicio; tación de servicios de comunicaciones electrónicas disponibles al público en las redes públidatos de tráfico : cualquier dato tratado a efectos cas de comunicaciones de la Comunidad. de la conducción de una comunicación a tra2. Los artı́culos 8, 10 y 11 se aplicarán a las lı́neas vés de una red de comunicaciones electrónicas de abonado conectadas a centrales digitales y, o a efectos de la facturación de la misma; siempre y cuando sea técnicamente posible y datos de localización : cualquier dato tratado en no exija un esfuerzo económico desproporciouna red de comunicaciones electrónicas que nado, a las lı́neas de abonado conectadas a indique la posición geográfica del equipo tercentrales analógicas. minal de un usuario de un servicio de comu3. Los Estados miembros notificarán a la Cominicaciones electrónicas disponible para el púsión aquellos casos en los que no sea posible blico; técnicamente o exija un esfuerzo económico comunicación : cualquier información intercamdesproporcionado cumplir los requisitos de los biada o conducida entre un número finito de artı́culos 8, 10 y 11. interesados por medio de un servicio de coArtı́culo 4 municaciones electrónicas disponible para el público. No se incluye en la presente definiSeguridad ción la información conducida, como parte de un servicio de radiodifusión al público, a tra1. El proveedor de un servicio de comunicaciones vés de una red de comunicaciones electrónicas, electrónicas disponible para el público debeexcepto en la medida en que la información rá adoptar las medidas técnicas y de gestión Artı́culo 2 218 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con el proveedor de la red pública de comunicaciones por lo que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado al riesgo existente. 2. En caso de que exista un riesgo particular de violación de la seguridad de la red, el proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá informar a los abonados sobre dicho riesgo y, cuando el riesgo quede fuera del ámbito de las medidas que deberá tomar el proveedor del servicio, sobre las posibles soluciones, con una indicación de los posibles costes. Artı́culo 5 Confidencialidad de las comunicaciones 1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artı́culo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad. 2. El apartado 1 no se aplicará a las grabaciones legalmente autorizadas de comunicaciones y de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica comercial lı́cita con el fin de aportar pruebas de una transacción comercial o de cualquier otra comunicación comercial. 3. Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento. La presente disposición no impedirá el posible almacenamiento o acceso de ı́ndole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado. Artı́culo 6 Datos de tráfico 1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artı́culo y en el apartado 1 del artı́culo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación. 2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago. 3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o 219 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions para la prestación de servicios con valor añaque dichos usuarios y abonados dispongan de dido en la medida y durante el tiempo necesuficientes modalidades alternativas de comusarios para tales servicios o promoción comernicación o de pago que potencien la intimidad. cial, siempre y cuando el abonado o usuario al Artı́culo 8 que se refieran los datos haya dado su consentimiento. Los usuarios o abonados dispondrán Presentación y restricción de la identificación de de la posibilidad de retirar su consentimiento la lı́nea de origen y de lalı́nea conectada para el tratamiento de los datos de tráfico en 1. Cuando se ofrezca la posibilidad de visualicualquier momento. zar la identificación de la lı́nea de origen, el 4. El proveedor del servicio deberá informar al proveedor del servicio deberá ofrecer al usuaabonado o al usuario de los tipos de datos rio que efectúe la llamada la posibilidad de de tráfico que son tratados y de la duración impedir en cada llamada, mediante un procede este tratamiento a los efectos mencionados dimiento sencillo y gratuito, la presentación en el apartado 2 y, antes de obtener el conde la identificación de la lı́nea de origen. El sentimiento, a los efectos contemplados en el abonado que origine la llamada deberá tener apartado 3. esta posibilidad para cada lı́nea. 5. Sólo podrán encargarse del tratamiento de da2. Cuando se ofrezca la posibilidad de visualizar tos de tráfico, de conformidad con los apartala identificación de la lı́nea de origen, el prodos 1, 2, 3 y 4, las personas que actúen bajo la veedor del servicio deberá ofrecer al abonado autoridad del proveedor de las redes públicas que reciba la llamada la posibilidad, mediante de comunicaciones o de servicios de comunicaun procedimiento sencillo y gratuito, siempre ciones electrónicas disponibles al público que que haga un uso razonable de esta función, de se ocupen de la facturación o de la gestión impedir la presentación de la identificación de del tráfico, de las solicitudes de información la lı́nea de origen en las llamadas entrantes. de los clientes, de la detección de fraudes, de 3. Cuando se ofrezca la posibilidad de visualizar la promoción comercial de los servicios de cola identificación de la lı́nea de origen y ésta municaciones electrónicas o de la prestación se presente antes de que se establezca la llade un servicio con valor añadido, y dicho tramada, el proveedor del servicio deberá ofrecer tamiento deberá limitarse a lo necesario para al abonado que reciba la llamada la posibilirealizar tales actividades. dad, mediante un procedimiento sencillo, de 6. Los apartados 1, 2, 3 y 5 se aplicarán sin perrechazar las llamadas entrantes procedentes juicio de la posibilidad de que los organismos de usuarios o abonados que hayan impedido competentes sean informados de los datos de la presentación de la identificación de la lı́nea tráfico con arreglo a la legislación aplicable, de origen. con vistas a resolver litigios, en particular los 4. Cuando se ofrezca la posibilidad de visualizar relativos a la interconexión o a la facturación. la identificación de la lı́nea conectada, el proArtı́culo 7 veedor del servicio deberá ofrecer al abonado que reciba la llamada la posibilidad, por un Facturación desglosada procedimiento sencillo y gratuito, de impedir 1. Los abonados tendrán derecho a recibir factula presentación de la identificación de la lı́nea ras no desglosadas. conectada al usuario que efectúa la llamada. 2. Los Estados miembros aplicarán las disposiciones nacionales a fin de conciliar los derechos de los abonados que reciban facturas desglosadas con el derecho a la intimidad de los usuarios que efectúen las llamadas y de los abonados que las reciban, por ejemplo, garantizando 5. Las disposiciones del apartado 1 se aplicarán también a las llamadas efectuadas desde la Comunidad a terceros paı́ses. Las disposiciones de los apartados 2, 3 y 4 se aplicarán también a las llamadas entrantes procedentes de terceros paı́ses. 220 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions 6. Los Estados miembros velarán por que, cuando se ofrezca la posibilidad de visualizar la identificación de la lı́nea de origen o de la lı́nea conectada, los proveedores de servicios de comunicaciones electrónicas disponibles al público informen al público sobre dicha posibilidad y sobre las que se establecen en los apartados 1 a 4. proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público o del tercero que preste el servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario a efectos de la prestación del servicio con valor añadido. Artı́culo 10 Artı́culo 9 Excepciones Datos de localización distintos de los datos de Los Estados miembros velarán por que existan tráfico procedimientos transparentes que determinen la forma en que el proveedor de una red pública de co1. En caso de que puedan tratarse datos de lo- municaciones o de un servicio de comunicaciones calización, distintos de los datos de tráfico, electrónicas disponible al público podrá anular: relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de a) la supresión de la presentación de la identicomunicaciones electrónicas disponibles al púficación de la lı́nea de origen por un perı́odo blico, sólo podrán tratarse estos datos si se de tiempo limitado, a instancia de un abonahacen anónimos, o previo consentimiento de do que solicite la identificación de llamadas los usuarios o abonados, en la medida y por malevolentes o molestas; en tal caso, los datos el tiempo necesarios para la prestación de un que incluyan la identificación del abonado que servicio con valor añadido. El proveedor del origina la llamada serán almacenados y faciservicio deberá informar a los usuarios o abolitados por el proveedor de la red pública de nados, antes de obtener su consentimiento, del comunicaciones o del servicio de comunicaciotipo de datos de localización distintos de los nes electrónicas disponible para el público, de datos de tráfico que serán tratados, de la fiacuerdo con el Derecho nacional; nalidad y duración del tratamiento y de si los b) la supresión de la presentación de la identifidatos se transmitirán a un tercero a efectos cación de la lı́nea de origen y el rechazo temde la prestación del servicio con valor añadiporal o la ausencia de consentimiento de un do. Se deberá ofrecer a los usuarios y abonaabonado o un usuario para el tratamiento de dos la posibilidad de retirar en todo momento los datos de localización, de manera selectisu consentimiento para el tratamiento de los va por lı́nea, para las entidades reconocidas datos de localización distintos de los datos de por un Estado miembro para atender llamatráfico. das de urgencia, incluidos los cuerpos de poli2. Cuando se haya obtenido el consentimiento cı́a, los servicios de ambulancias y los cuerpos de un usuario o abonado para el tratamiento de bomberos, para que puedan responder a de datos de localización distintos de los datos tales llamadas. de tráfico, el usuario o abonado deberá seguir contando con la posibilidad, por un procediArtı́culo 11 miento sencillo y gratuito, de rechazar temDesvı́o automático de llamadas poralmente el tratamiento de tales datos para Los Estados miembros velarán por que todo abocada conexión a la red o para cada transminado tenga la posibilidad, por un procedimiento sión de una comunicación. sencillo y gratuito, de detener el desvı́o automático 3. Sólo podrán encargarse del tratamiento de da- de llamadas a su terminal por parte de un tercero. tos de localización distintos de los datos de Artı́culo 12 tráfico de conformidad con los apartados 1 y 2 personas que actúen bajo la autoridad del Guı́as de abonados 221 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions 1. Los Estados miembros velarán por que se informe gratuitamente a los abonados antes de ser incluidos en las guı́as acerca de los fines de las guı́as de abonados, impresas o electrónicas, disponibles al público o accesibles a través de servicios de información sobre las mismas, en las que puedan incluirse sus datos personales, ası́ como de cualquier otra posibilidad de uso basada en funciones de búsqueda incorporadas en las versiones electrónicas de la guı́a. 2. Los Estados miembros velarán por que los abonados tengan oportunidad de decidir si sus datos personales figuran en una guı́a pública, y en su caso cuáles de ellos, en la medida en que tales datos sean pertinentes para la finalidad de la guı́a que haya estipulado su proveedor, y de comprobar, corregir o suprimir tales datos. La no inclusión en una guı́a pública de abonados, ası́ como la comprobación, corrección o supresión de datos personales de una guı́a, no deberán dar lugar al cobro de cantidad alguna. 3. Los Estados miembros podrán exigir que para cualquier finalidad de una guı́a pública distinta de la búsqueda de datos de contacto de personas a partir de su nombre y, si resulta necesario, de un mı́nimo de otros identificadores, se recabe el consentimiento especı́fico de los abonados. 4. Los apartados 1 y 2 se aplicarán a los abonados que sean personas fı́sicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legı́timos de los abonados que no sean personas fı́sicas en lo que se refiere a su inclusión en guı́as públicas. Artı́culo 13 Comunicaciones no solicitadas 1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo. 2. No obstante lo dispuesto en el apartado 1, cuando una persona fı́sica o jurı́dica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa misma persona fı́sica o jurı́dica podrá utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de caracterı́sticas similares, a condición de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el momento en que se recojan las mismas y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior. 3. Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional. 4. Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones. 5. Los apartados 1 y 3 se aplicarán a los abonados que sean personas fı́sicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legı́timos de los abonados que no sean personas fı́sicas en lo que se refiere a las comunicaciones no solicitadas. Artı́culo 14 Caracterı́sticas técnicas y normalización 222 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions 1. Al aplicar las disposiciones de la presente Directiva, los Estados miembros velarán, sin perjuicio de los apartados 2 y 3, por que no se impongan requisitos obligatorios respecto de caracterı́sticas técnicas especı́ficas a los equipos terminales u otros equipos de comunicaciones electrónicas que puedan obstaculizar la puesta en el mercado de dichos equipos y su libre circulación en los Estados miembros y entre estos últimos. 2. Cuando las disposiciones de la presente Directiva sólo puedan aplicarse mediante la implantación de caracterı́sticas técnicas especı́ficas en las redes de comunicaciones electrónicas, los Estados miembros informarán a la Comisión de conformidad con el procedimiento establecido en la Directiva 98/34/ CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información (1). 3. Cuando proceda, se podrán adoptar medidas para garantizar que los equipos terminales estén fabricados de manera compatible con el derecho de los usuarios de proteger y controlar el uso de sus datos personales, de conformidad con la Directiva 1999/5/CE y la Decisión 87/95/CEE del Consejo, de 22 de diciembre de 1986, relativa a la normalización en el campo de la tecnologı́a de la información y de las telecomunicaciones (2). Artı́culo 15 Aplicación de determinadas disposiciones de la Directiva 95/46/CE 1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artı́culos 5 y 6, en los apartados 1 a 4 del artı́culo 8 y en el artı́culo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artı́culo 13 de la Directiva 95/46/ CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artı́culo 6 del Tratado de la Unión Europea. 2. Las disposiciones del capı́tulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma. 3. El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artı́culo 29 de la Directiva 95/46/CE, ejercerá también las funciones especificadas en el artı́culo 30 de dicha Directiva por lo que se refiere a los asuntos objeto de la presente Directiva, a saber, la protección de los derechos y las libertades fundamentales y de los intereses legı́timos en el sector de las comunicaciones electrónicas. Artı́culo 16 Disposiciones transitorias 1. El artı́culo 12 no se aplicará a las ediciones de guı́as ya producidas o puestas en el mercado en forma impresa o electrónica no conectada antes de que entren en vigor las disposiciones nacionales adoptadas en virtud de la presente Directiva. 2. Cuando los datos personales de los abonados a la telefonı́a vocal pública de tipo fijo o móvil se hayan incluido en una guı́a de abonados pública de conformidad con las disposiciones de la Directiva 95/46/CE y del artı́culo 11 de la Directiva 97/66/CE antes de que las dispo223 Normativa europea 4.5. Directiva 97/66/CE sobre tractament de dades personals i protecció de la intimitat en les telecomunicacions siciones nacionales adoptadas en cumplimiento de la presente Directiva entren en vigor, los datos personales de dichos abonados podrán seguir incluidos en dicha guı́a pública, en su versión impresa o electrónica, incluidas las versiones con funciones de búsqueda retrospectiva, a menos que los abonados indiquen lo contrario, tras haber recibido información completa sobre los fines y opciones con arreglo al artı́culo 12 de la presente Directiva. Artı́culo 17 Incorporación al Derecho nacional consumidores, con especial atención a las disposiciones sobre comunicaciones no solicitadas y teniendo en cuenta la situación internacional. Para ello, la Comisión podrá recabar información de los Estados miembros, quienes deberán facilitarla sin retrasos indebidos. Cuando proceda, la Comisión presentará propuestas para modificar la presente Directiva teniendo en cuenta los resultados del informe mencionado, los cambios que hayan podido tener lugar en el sector y cualquier otra propuesta que juzgue necesaria para mejorar la eficacia de la presente Directiva. Artı́culo 19 Derogación 1. Los Estados miembros pondrán en vigor antes del 31 de octubre de 2003 las disposiciones necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán inmediatamente de ello a la Comisión. Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia. Se deroga la Directiva 97/66/CE con efecto a partir de la fecha contemplada en el apartado 1 del artı́culo 17. Las referencias a la Directiva derogada se entenderán hechas a la presente Directiva. Artı́culo 20 Entrada en vigor La presente Directiva entrará en vigor el dı́a de su publicación en el Diario Oficial de las Comunidades Europeas. Artı́culo 21 2. Los Estados miembros comunicarán a la CoDestinatarios misión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por Los destinatarios de la presente Directiva serán la presente Directiva, ası́ como cualquier mo- los Estados miembros. dificación ulterior de las mismas. Hecho en Bruselas, el 12 de julio de 2002. Artı́culo 18 Por el Parlamento Europeo Revisión El Presidente La Comisión presentará al Parlamento Europeo y al Consejo, a más tardar tres años después de la fecha contemplada en el apartado 1 del artı́culo 17, un informe sobre la aplicación de la presente Directiva y su impacto en los operadores económicos y los P. COX Por el Consejo El Presidente T. PEDERSEN 224 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades 4.6 DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado por el que se establece la Comunidad Europea y, en particular, su artı́culo 95, Vista la propuesta de la Comisión, Visto el dictamen del Comité Económico y Social Europeo (1), De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado (2), Considerando lo siguiente: 1. La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (3), exige que los Estados miembros protejan los derechos y libertades de las personas fı́sicas por lo que se refiere al tratamiento de datos personales y, en particular, su derecho a la intimidad, para asegurar el libre flujo de datos personales en la Comunidad. 2. La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas (4), traduce los principios establecidos en la Directiva 95/46/CE a normas es- pecı́ficas para el sector de las comunicaciones electrónicas. 3. Los artı́culos 5, 6 y 9 de la Directiva 2002/58/CE definen las normas aplicables al tratamiento, por los proveedores de red y de servicios, de los datos de tráfico y de localización generados por el uso de servicios de comunicaciones electrónicas. Estos datos deben borrarse o hacerse anónimos cuando ya no se necesiten para la transmisión, salvo los datos necesarios para la facturación o los pagos por interconexión. Previo consentimiento, determinados datos pueden también tratarse con fines comerciales y la prestación de servicios de valor añadido. 4. El artı́culo 15, apartado 1, de la Directiva 2002/58/CE fija las condiciones en que los Estados miembros pueden limitar el alcance de los derechos y obligaciones que se establecen en el artı́culo 5, el artı́culo 6, el artı́culo 8, apartados 1 a 4, y el artı́culo 9 de dicha Directiva. Tales restricciones deben constituir medidas necesarias, apropiadas y proporcionadas en una sociedad democrática para fines especı́ficos de orden público, como proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, detección y enjuiciamiento de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas. 5. Varios Estados miembros han adoptado legislación que prevé la conservación de datos por los prestadores de servicios para la prevención, investigación, detección y enjuiciamiento de delitos. Estas disposiciones de las normativas nacionales varı́an considerablemente. 6. Las diferencias legales y técnicas entre dispo225 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades siciones nacionales sobre conservación de datos con fines de prevención, investigación, detección y enjuiciamiento de delitos crean obstáculos en el mercado interior de las comunicaciones electrónicas; los prestadores de servicios deben cumplir requisitos diferentes en cuanto a los tipos de datos de tráfico y de localización que deben conservarse, ası́ como en cuanto a las condiciones y los perı́odos de conservación. 7. Las conclusiones del Consejo de Justicia e Interior de 19 de diciembre de 2002 destacan que, a causa del crecimiento significativo de las posibilidades de las comunicaciones electrónicas, los datos relativos al uso de comunicaciones electrónicas son particularmente importantes y, por tanto, una herramienta valiosa en la prevención, investigación, detección y enjuiciamiento de delitos, en especial contra la delincuencia organizada. 8. La Declaración sobre la lucha contra el terrorismo, adoptada por el Consejo Europeo el 25 de marzo de 2004, encargó al Consejo que examinara medidas para establecer normas sobre la conservación por los prestadores de servicios de datos de tráfico de las comunicaciones. 9. De conformidad con el artı́culo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), toda persona tiene derecho al respeto de su vida privada y de su correspondencia. No podrá haber injerencia de la autoridad pública en el ejercicio de ese derecho salvo cuando esa injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria, entre otras cosas, para la seguridad nacional o la seguridad pública, la prevención de desórdenes o delitos, o la protección de los derechos y las libertades de terceros. Dado que la conservación de datos se ha acreditado como una herramienta de investigación necesaria y eficaz para aplicar la ley en diferentes Estados miembros, en particular en asuntos de gravedad como la delincuencia organizada y el terrorismo, es necesario garantizar que los datos conservados se pongan a disposición de las fuerzas y cuerpos de seguridad durante un determinado perı́odo de tiempo, con arreglo a las condiciones establecidas en la presente Directiva. Por consiguiente, la adopción de un instrumento de conservación de datos que cumpla los requisitos del artı́culo 8 del CEDH es una medida necesaria. 10. El 13 de julio de 2005, el Consejo reafirmó en su declaración de condena de los atentados terroristas de Londres la necesidad de adoptar cuanto antes medidas comunes sobre conservación de datos de telecomunicaciones. 11. Dada la importancia de los datos de tráfico y de localización para la investigación, detección y enjuiciamiento de delitos, según demuestran la investigación y la experiencia práctica de varios Estados miembros, existe la necesidad de asegurar a escala europea que los datos generados o tratados, en el marco de la prestación de servicios de comunicaciones, por proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones se conservan durante un determinado perı́odo de tiempo, con arreglo a las condiciones establecidas en la presente Directiva. 12. El artı́culo 15, apartado 1, de la Directiva 2002/58/CE sigue aplicándose a los datos, incluidos los datos relativos a las llamadas telefónicas infructuosas, cuya conservación no se prescribe especı́ficamente en la presente Directiva y que, por consiguiente, quedan fuera del ámbito de aplicación de la misma, ası́ como a la conservación a efectos, incluidos judiciales, diferentes de los contemplados en la presente Directiva. 13. La presente Directiva sólo se refiere a los datos generados o tratados como consecuencia de una comunicación o de un servicio de comunicación y no a los datos que constituyen el contenido de la información comunicada. Los datos deben conservarse de tal manera que se evite que se conserven más de una vez. Los datos generados o tratados, cuando se presten servicios de comunicaciones electrónicas, se refieren a los datos accesibles. En particular, en lo referente a la conservación de datos relativos a los correos electrónicos y la telefonı́a por Internet, la obligación de conservar 226 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades datos sólo puede aplicarse con respecto a los datos de los servicios propios de los proveedores o de los proveedores de redes. 14. Las tecnologı́as relativas a las comunicaciones electrónicas están cambiando rápidamente y los legı́timos requisitos de las autoridades competentes pueden evolucionar. Para obtener asesoramiento y fomentar el intercambio de experiencias de las mejores prácticas sobre estos asuntos, la Comisión tiene intención de crear un grupo integrado por autoridades policiales de los Estados miembros, asociaciones del sector de las comunicaciones electrónicas, representantes del Parlamento Europeo y autoridades de protección de datos, incluido el Supervisor Europeo de Protección de Datos. 15. La Directiva 95/46/CE y la Directiva 2002/58/CE son plenamente aplicables a los datos conservados de conformidad con la presente Directiva; el artı́culo 30, apartado 1, letra c), de la Directiva 95/46/CE exige la consulta al Grupo de trabajo sobre la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales, establecido de conformidad con el artı́culo 29 de dicha Directiva. 16. Las obligaciones impuestas a los proveedores de servicios en relación con las medidas para garantizar la calidad de los datos, derivadas del artı́culo 6 de la Directiva 95/46/CE, y sus obligaciones relativas a la garantı́a de la confidencialidad y seguridad del tratamiento de datos, derivadas de los artı́culos 16 y 17 de dicha Directiva, son plenamente aplicables a los datos conservados a efectos de la presente Directiva. 17. Es esencial que los Estados miembros adopten medidas legislativas para asegurar que los datos conservados de conformidad con la presente Directiva solamente se faciliten a las autoridades nacionales competentes de conformidad con la legislación nacional, respetando plenamente los derechos fundamentales de las personas afectadas. 18. En este contexto, el artı́culo 24 de la Directiva 95/46/CE impone a los Estados miembros la obligación de establecer sanciones por el incumplimiento de las disposiciones adoptadas en virtud de dicha Directiva. El artı́culo 15, apartado 2, de la Directiva 2002/58/CE impone la misma obligación respecto de las disposiciones nacionales adoptadas en virtud de la Directiva 2002/58/CE. La Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información (1), establece que el acceso intencionado e ilı́cito a un sistema de información, incluido a los datos conservados dentro del mismo, debe ser sancionable como delito. 19. El derecho de toda persona que sufra un perjuicio como consecuencia de un tratamiento ilı́cito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la Directiva 95/46/CE, a obtener la reparación del perjuicio sufrido, de conformidad con el artı́culo 23 de dicha Directiva, se aplica también al tratamiento ilı́cito de cualquier tipo de datos personales con arreglo a la presente Directiva. 20. El Convenio del Consejo de Europa de 2001 sobre la delincuencia cibernética y el Convenio del Consejo de Europa de 1981 sobre la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal abarcan igualmente los datos conservados en el sentido de la presente Directiva. 21. Dado que los objetivos de la presente Directiva, a saber, armonizar las obligaciones de los proveedores de conservar determinados datos y asegurar que éstos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la normativa nacional de cada Estado miembro, como el terrorismo y la delincuencia organizada, no pueden ser alcanzados de manera suficiente por los Estados miembros y, debido a la dimensión y los efectos de la presente Directiva, pueden lograrse mejor a nivel comunitario, la Comunidad puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artı́culo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artı́culo, la presente 227 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades Directiva no excede de lo necesario para alcanzar dichos objetivos. 22. La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos, en particular, por la Carta de los Derechos Fundamentales de la Unión Europea. En especial, la presente Directiva, junto con la Directiva 2002/58/CE, intenta garantizar el pleno cumplimiento de los derechos fundamentales de los ciudadanos al respeto de la vida privada y de las comunicaciones y a la protección de los datos de carácter personal, consagrados en los artı́culos 7 y 8 de la Carta. previstas por las disposiciones del tı́tulo VI del Tratado de la Unión Europea. Dichas leyes o acciones deben respetar plenamente los derechos fundamentales que se derivan de tradiciones constitucionales comunes de los Estados miembros y están garantizados por el CEDH. Con arreglo al artı́culo 8 del CEDH, según la interpretación del Tribunal Europeo de Derechos Humanos, la injerencia de las autoridades públicas en el derecho a la vida privada debe respetar los requisitos de necesidad y proporcionalidad y debe, por consiguiente, servir a propósitos especı́ficos, explı́citos y legı́timos y ejercerse de una manera adecuada, pertinente y no excesiva en relación con el objeto de la injerencia. 23. Dado que la obligación de los proveedores de servicios de comunicación electrónica debe ser proporcionada, la Directiva exige que se conHAN ADOPTADO LA PRESENTE DIserven exclusivamente los datos generados o RECTIVA: tratados en el proceso del suministro de serviArtı́culo 1 cios de comunicación. Siempre que dichos datos no hayan sido generados o tratados por diObjeto y ámbito chos proveedores, no es obligatorio conservarlos. La presente Directiva no tiene por objeto 1. La presente Directiva se propone armonizar la armonización de la tecnologı́a de conservalas disposiciones de los Estados miembros reción de datos, cuya elección es una cuestión lativas a las obligaciones de los proveedores que debe resolverse a nivel nacional. de servicios de comunicaciones electrónicas de acceso público o de una red pública de comu24. Con arreglo al punto 34 del Acuerdo interinicaciones en relación con la conservación de nstitucional Legislar mejor (1), se alienta determinados datos generados o tratados por a los Estados miembros a establecer, en su los mismos, para garantizar que los datos espropio interés y en el de la Comunidad, sus tén disponibles con fines de investigación, depropios cuadros, que muestren, en la medida tección y enjuiciamiento de delitos graves, tal de lo posible, la concordancia entre la presencomo se definen en la legislación nacional de te Directiva y las medidas de transposición, y cada Estado miembro. a hacerlos públicos. 25. La presente Directiva se entiende sin perjuicio de la facultad de los Estados miembros para adoptar medidas legislativas relativas al derecho de acceso y de utilización de los datos por parte de las autoridades nacionales tal como determinen los mismos. Las cuestiones relativas al acceso por parte de las autoridades nacionales a datos conservados con arreglo a la presente Directiva para las actividades contempladas en el artı́culo 3, apartado 2, primer guión, de la Directiva 95/46/CE, quedan fuera del ámbito de aplicación del Derecho comunitario. Sin embargo, pueden estar sometidas a la legislación nacional o a una acción como las 2. La presente Directiva se aplicará a los datos de tráfico y de localización sobre personas fı́sicas y jurı́dicas y a los datos relacionados necesarios para identificar al abonado o al usuario registrado. No se aplicará al contenido de las comunicaciones electrónicas, lo que incluye la información consultada utilizando una red de comunicaciones electrónicas. Artı́culo 2 Definiciones 1. A efectos de la presente Directiva, se aplicarán las definiciones de la Directiva 95/46/CE, de 228 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (2), y de la Directiva 2002/58/CE. 2. A efectos de la presente Directiva, se entenderá por: datos : los datos de tráfico y de localización y los datos relacionados necesarios para identificar al abonado o usuario; usuario : toda persona fı́sica o jurı́dica que utilice un servicio de comunicaciones electrónicas de acceso público, con fines privados o comerciales, sin haberse necesariamente abonado a dicho servicio; servicio telefónico : las llamadas (incluida la transmisión de voz, buzones vocales, conferencias y datos), los servicios suplementarios (incluido el reenvı́o o transferencia de llamadas) y los servicios de mensajerı́a y servicios multimedia (incluidos los servicios de mensajes cortos, servicios multimedia avanzados y servicios multimedia); los datos especificados en el artı́culo 5 de la presente Directiva se conservan de conformidad con lo dispuesto en ella en la medida en que son generados o tratados por proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones que estén bajo su jurisdicción en el marco de la prestación de los servicios de comunicaciones de que se trate. 2. La obligación de conservar datos mencionada en el apartado 1 incluirá la conservación de los datos especificados en el artı́culo 5 en relación con las llamadas telefónicas infructuosas en las que los datos los generan o tratan, y conservan (en lo que a los datos telefónicos se refiere) o registran (en lo que a los datos de Internet se refiere), proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones que estén bajo la jurisdicción del Estado miembro de que se trate en el marco de la prestación de los servicios de comunicaciones en cuestión. La conservación de datos en relación con las llamadas no conectadas no será obligatoria con arreglo a la presente Directiva. Artı́culo 4 identificador de usuario : un identificador Acceso a los datos único asignado a las personas con motivo de su abono a un servicio de acceso a InLos Estados miembros adoptarán medidas para ternet o a un servicio de comunicaciones garantizar que los datos conservados de conformipor Internet, o de su registro en uno de dad con la presente Directiva solamente se propordichos servicios; cionen a las autoridades nacionales competentes, en identificador de celda : la identidad de la casos especı́ficos y de conformidad con la legislacelda desde la que se origina o termina ción nacional. Cada Estado miembro definirá en su legislación nacional el procedimiento que deba seuna llamada de teléfono móvil; llamada telefónica infructuosa : una co- guirse y las condiciones que deban cumplirse para municación en el transcurso de la cual se tener acceso a los datos conservados de conformidad ha realizado con éxito una llamada tele- con los requisitos de necesidad y proporcionalidad, fónica pero sin contestación o en la que de conformidad con las disposiciones pertinentes del ha habido una intervención por parte del Derecho de la Unión o del Derecho internacional público, y en particular el CEDH en la interpretación gestor de la red. del Tribunal Europeo de Derechos Humanos. Artı́culo 3 Artı́culo 5 Obligación de conservar datos Categorı́as de datos que deben conservarse 1. Como excepción a los artı́culos 5, 6 y 9 de la Directiva 2002/58/CE, los Estados miembros adoptarán medidas para garantizar que 1. Los Estados miembros garantizarán que las siguientes categorı́as de datos se conserven de conformidad con la presente Directiva: 229 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades a) datos necesarios para rastrear e identificar el origen de una comunicación: • con respecto a la telefonı́a de red fija y a la telefonı́a móvil: i) el número de teléfono de llamada, ii) el nombre y la dirección del abonado o usuario registrado; • con respecto al acceso a Internet, correo electrónico por Internet y telefonı́a por Internet: i) la identificación de usuario asignada, ii) la identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonı́a, iii) el nombre y la dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo Internet (IP), una identificación de usuario o un número de teléfono; b) datos necesarios para identificar el destino de una comunicación: • con respecto a la telefonı́a de red fija y a la telefonı́a móvil: i) el número o números marcados (el número o números de teléfono de destino) y, en aquellos casos en que intervengan otros servicios, como el desvı́o o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas, ii) los nombres y las direcciones de los abonados o usuarios registrados; • con respecto al correo electrónico por Internet y a la telefonı́a por Internet: i) la identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet, ii) los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación; c) datos necesarios para identificar la fecha, hora y duración de una comunicación: • con respecto a la telefonı́a de red fija y a la telefonı́a móvil: la fecha y hora del comienzo y fin de la comunicación, • con respecto al acceso a Internet, correo electrónico por Internet y telefonı́a por Internet: i) la fecha y hora de la conexión y desconexión del servicio de acceso a Internet, basadas en un determinado huso horario, ası́ como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, ası́ como la identificación de usuario del abonado o del usuario registrado, ii) la fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonı́a por Internet, basadas en un determinado huso horario; d) datos necesarios para identificar el tipo de comunicación: • con respecto a la telefonı́a de red fija y a la telefonı́a móvil: el servicio telefónico utilizado, • con respecto al correo electrónico por Internet y a la telefonı́a por Internet: el servicio de Internet utilizado; e) datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación: • con respecto a la telefonı́a de red fija: los números de teléfono de origen y destino, • con respecto a la telefonı́a móvil: 230 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades i) los números de teléfono de origen y destino, ii) la identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada, iii) la identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada, iv) la IMSI de la parte que recibe la llamada, v) la IMEI de la parte que recibe la llamada, vi) en el caso de los servicios anónimos de pago por adelantado, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio; • con respecto al acceso a Internet, correo electrónico por Internet y telefonı́a por Internet: i) el número de teléfono de origen en caso de acceso mediante marcado de números, ii) la lı́nea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación; f) datos necesarios para identificar la localización del equipo de comunicación móvil: Los Estados miembros garantizarán que las categorı́as de datos mencionadas en el artı́culo 5 se conserven por un perı́odo de tiempo que no sea inferior a seis meses ni superior a dos años a partir de la fecha de la comunicación. Artı́culo 7 Protección y seguridad de los datos Sin perjuicio de lo dispuesto en las disposiciones adoptadas de conformidad con las Directivas 95/46/CE y 2002/58/CE, los Estados miembros velarán por que los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones cumplan, en lo que respecta a los datos conservados de conformidad con la presente Directiva, como mı́nimo los siguientes principios de seguridad de los datos: a) los datos conservados serán de la misma calidad y estarán sometidos a las mismas normas de seguridad y protección que los datos existentes en la red; b) los datos estarán sujetos a las medidas técnicas y organizativas adecuadas para protegerlos de la destrucción accidental o ilı́cita, pérdida accidental o alteración, ası́ como almacenamiento, tratamiento, acceso o divulgación no autorizados o ilı́citos; c) los datos estarán sujetos a medidas técnicas y organizativas apropiadas para velar por que sólo puedan acceder a ellos las personas especialmente autorizadas, y • la etiqueta de localización (identifid) los datos, excepto los que hayan sido accesicador de celda) al comienzo de la cobles y se hayan conservado, se destruirán al municación, término del perı́odo de conservación. • los datos que permiten fijar la locaArtı́culo 8 lización geográfica de la celda, mediante referencia a la etiqueta de loRequisitos de almacenamiento para los datos calización, durante el perı́odo en el conservados que se conservan los datos de las coLos Estados miembros garantizarán que los damunicaciones. tos especificados en el artı́culo 5 se conservan de 2. De conformidad con la presente Directiva, no conformidad con la presente Directiva de manera podrá conservarse ningún dato que revele el que los datos conservados y cualquier otra informacontenido de la comunicación. ción necesaria con ellos relacionada puedan transmitirse sin demora cuando las autoridades compeArtı́culo 6 tentes ası́ lo soliciten. Perı́odos de conservación Artı́culo 9 231 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades Autoridades de control 1. Cada Estado miembro nombrará una o más autoridades públicas responsables de controlar la aplicación en su territorio de las disposiciones adoptadas por los Estados miembros de conformidad con el artı́culo 7 en relación con la seguridad de los datos conservados. Dichas autoridades podrán ser las mencionadas en el artı́culo 28 de la Directiva 95/46/CE. 2. Las autoridades mencionadas en el apartado 1 actuarán con plena independencia en el ejercicio del control a que se refiere el apartado 1. Artı́culo 10 Estadı́sticas 1. Los Estados miembros velarán por que se faciliten anualmente a la Comisión las estadı́sticas sobre la conservación de datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones. Tales estadı́sticas incluirán: • los casos en que se haya facilitado información a las autoridades competentes de conformidad con el Derecho nacional aplicable, • el tiempo transcurrido entre la fecha en que se conservaron los datos y la fecha en que la autoridad competente solicitó su transmisión, Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones (*), para los fines recogidos en el artı́culo 1, apartado 1, de dicha Directiva. (*) DO L 105 de 13.4.2006, p. 54. Artı́culo 12 Medidas futuras 1. Todo Estado miembro que deba hacer frente a circunstancias especiales que justifiquen una ampliación limitada del perı́odo máximo de conservación recogido en el artı́culo 6 podrá adoptar las medidas que se impongan. El Estado miembro en cuestión informará inmediatamente a la Comisión y a los demás Estados miembros sobre las medidas adoptadas de conformidad con el presente artı́culo e indicará las razones que le llevan a adoptarlas. 2. En un plazo de seis meses tras la notificación mencionada en el apartado 1, la Comisión aprobará o rechazará las medidas nacionales en cuestión después de haber examinado si constituyen una discriminación arbitraria o una restricción encubierta al comercio entre los Estados miembros o constituyen un obstáculo para el funcionamiento del mercado interior. En caso de que la Comisión no adopte ninguna decisión en dicho plazo se considerará que las medidas nacionales han sido aprobadas. 2. . Tales estadı́sticas no contendrán datos personales. 3. Cuando, en virtud del apartado 2, las medidas nacionales adoptadas por un Estado miembro se aparten de las disposiciones de la presente Directiva, la Comisión examinará la oportunidad de proponer la modificación de la presente Directiva. Artı́culo 11 Artı́culo 13 Modificación de la Directiva 2002/58/CE Recursos judiciales, responsabilidad y sanciones • los casos en que no pudieron satisfacerse las solicitudes de datos. En el artı́culo 15 de la Directiva 2002/58/CE se inserta el apartado siguiente: 1 bis. El apartado 1 no se aplicará a los datos que deben conservarse especı́ficamente de conformidad con la Directiva 2006/24/CE del Parlamento 1. Cada Estado miembro adoptará las medidas que se impongan para velar por que se apliquen plenamente, en lo que se refiere al tratamiento de datos en el marco de la presente Directiva, las medidas nacionales de aplicación 232 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades del capı́tulo III de la Directiva 95/46/CE relativas al establecimiento de recursos judiciales, responsabilidad y sanciones. 2. Cada Estado miembro adoptará, en particular, las medidas que se impongan para velar por que cualquier acceso intencionado o la transferencia de datos conservados de conformidad con la presente Directiva que no estén permitidos por la legislación nacional adoptada de conformidad con la presente Directiva se castiguen con sanciones, incluidas sanciones administrativas o penales, que sean eficaces, proporcionadas y disuasorias. Artı́culo 14 Evaluación Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia. 2. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva. 3. Cada Estado miembro podrá aplazar hasta el 15 de marzo de 2009 la aplicación de la presente Directiva en lo que se refiere a la conservación de los datos de comunicaciones en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet. Los Estados miembros que se propongan recurrir al presente apartado lo notificarán al Consejo y a la Comisión, mediante una declaración, en el momento de la adopción de la presente Directiva. Tal declaración se publicará en el Diario Oficial de la Unión Europea. 1. A más tardar el 15 de septiembre de 2010, la Comisión presentará al Parlamento Europeo y al Consejo una evaluación de la aplicación de la presente Directiva y su impacto en operadores económicos y consumidores, teniendo en cuenta los avances en la tecnologı́a de las comunicaciones electrónicas y las estadı́sticas Artı́culo 16 proporcionadas a la Comisión de conformidad Entrada en vigor con el artı́culo 10 a fin de determinar si es necesario modificar las disposiciones de la preLa presente Directiva entrará en vigor a los veinsente Directiva, en particular por lo que se te dı́as de su publicación en el Diario Oficial de la refiere a la lista de datos del artı́culo 5 y a los Unión Europea. perı́odos de conservación establecidos en el arArtı́culo 17 tı́culo 6. Los resultados de esta evaluación se harán públicos. Destinatarios Los destinatarios de la presente Directiva son los 2. Con este fin, la Comisión examinará todas las observaciones que le comuniquen los Estados Estados miembros. miembros o el Grupo de trabajo de protección Hecho en Estrasburgo, el 15 de marzo de 2006. de las personas en lo que respecta al trataPor el Parlamento Europeo miento de datos personales creado por el artı́culo 29 de la Directiva 95/46/CE. El Presidente Artı́culo 15 Transposición J. BORRELL FONTELLES Por el Consejo El Presidente 1. Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar el 15 de septiembre de 2007. Informarán de ello inmediatamente a la Comisión. H. WINKLER Declaración de los Paı́ses Bajos en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE 233 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades Por lo que se refiere a la Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados en relación con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58/CE, los Paı́ses Bajos harán uso de la opción de aplazar la aplicación de la Directiva a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet, durante un perı́odo no superior a 18 meses a partir de la fecha de entrada en vigor de la Directiva. Declaración de Austria El Reino Unido declara, de acuerdo con el artı́culo 15, apartado 3, de la Directiva sobre la conservación de datos tratados o generados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, que aplazará la aplicación de esa Directiva a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet. Declaración de Chipre en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE La República de Chipre declara que aplazará la aplicación de la Directiva, respecto a la conservación de datos de comunicación en relación con el Austria declara que aplazará la aplicación de la acceso a Internet, la telefonı́a por Internet y el copresente Directiva a la conservación de datos de correo electrónico por Internet, hasta la fecha fijada municación en relación con el acceso a Internet, la en el artı́culo 15, apartado 3. telefonı́a por Internet y el correo electrónico por Internet durante un perı́odo no superior a 18 meses Declaración de Grecia a partir de la fecha especificada en el artı́culo 15, apartado 1. en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE Declaración de Estonia en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE Grecia declara que, de conformidad con el artı́culo 15, apartado 3, aplazará la aplicación de la presente Directiva, respecto a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet, hasta 18 meses después de la expiración del perı́odo fijado en el artı́culo 15, apartado 1. De acuerdo con el artı́culo 15, apartado 3, de la Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados o generados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifiDeclaración de Luxemburgo ca la Directiva 2002/58/CE, Estonia declara su inen virtud del artı́culo 15, apartado 3, de la tención de hacer uso de ese párrafo y de aplazar la Directiva 2006/24/CE aplicación de la Directiva a la conservación de datos de comunicación en relación con el acceso a InterConforme a lo dispuesto en el apartado 15, aparnet, la telefonı́a por Internet y el correo electrónico tado 3, de la Directiva del Parlamento Europeo y del por Internet hasta 36 meses después de la fecha de Consejo sobre la conservación de datos tratados o adopción de la Directiva. generados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o ´Declaración del Reino Unido de redes públicas de comunicaciones y por la que en virtud del artı́culo 15, apartado 3, de la se modifica la Directiva 2002/58/CE, el Gobierno Directiva 2006/24/CE del Gran Ducado de Luxemburgo declara que tiene 234 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades la intención de acogerse al artı́culo 15, apartado 3, de la Directiva en cuestión, a fin de poder aplazar su aplicación en lo que respecta a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet. Declaración de Eslovenia en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE Eslovenia se une al grupo de Estados miembros que han hecho una declaración en virtud del artı́culo 15, apartado 3, de la Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados o generados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, relativa al aplazamiento de 18 meses de la Directiva a la conservación de datos de comunicación en relación con Internet, la telefonı́a por Internet y el correo electrónico por Internet. eclaración de Suecia en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE Suecia, en virtud del artı́culo 15, apartado 3, desea tener la opción de aplazar la aplicación de la presente Directiva a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet. en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet durante el perı́odo mencionado en el artı́culo 15, apartado 3. Declaración de Letonia en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE De acuerdo con el artı́culo 15, apartado 3, de la Directiva 2006/24/CE, de 15 de marzo de 2006, sobre la conservación de datos tratados o generados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, Letonia declara que aplazará la aplicación de la Directiva a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet hasta el 15 de marzo de 2009. Declaración de la República Checa en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE En virtud del artı́culo 15, apartado 3, la República Checa declara que aplazará la aplicación de la presente Directiva a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet hasta 36 meses después de la fecha de su adopción. Declaración de Bélgica Declaración de Lituania en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE En virtud del artı́culo 15, apartado 3, del proyecto de Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados o generados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (en lo sucesivo, la Directiva), la República de Lituania declara que, una vez adoptada la Directiva, aplazará su aplicación a la conservación de datos de comunicación en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE Bélgica declara que, acogiéndose a la posibilidad prevista en el artı́culo 15, apartado 3, y durante un perı́odo de 36 meses tras la adopción de la presente Directiva, aplazará su aplicación respecto a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet. Declaración de Polonia en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE 235 Normativa europea 4.6. Directiva 2006/24/CE – Conservació de dades Polonia declara que, en virtud de la posibilidad prevista en el artı́culo 15, apartado 3, de la Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados en relación con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58/CE, la aplicación de la Directiva en lo relativo a la conservación de datos de comunicaciones en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet se aplazará hasta 18 meses después de la fecha a que se refiere el artı́culo 15, apartado 1. prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, que aplazará la aplicación de esa Directiva a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el correo electrónico por Internet. Declaración de Alemania en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE Declaración de Finlandia Alemania se reserva el derecho a posponer la aplicación de la presente Directiva a la conservación de datos de comunicación en relación con el acceso a Internet, la telefonı́a por Internet y el coFinlandia declara, de acuerdo con el artı́culo 15, rreo electrónico por Internet, por un perı́odo de 18 apartado 3, de la Directiva sobre la conservación meses a partir de la fecha especificada en el artı́culo de datos tratados o generados en relación con la 15, apartado 1. en virtud del artı́culo 15, apartado 3, de la Directiva 2006/24/CE 236 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació 4.7 Reglamento (CE) n o 1367/2006 del Parlamento Europeo y del Consejo, de 6 de septiembre de 2006 , relativo a la aplicación, a las instituciones y a los organismos comunitarios, de las disposiciones del Convenio de Aarhus sobre el acceso a la información, la participación del público en la toma de decisiones y el acceso a la justicia en materia de medio ambiente Diario Oficial n◦ L 264 de 25/09/2006 p. 0013 0019 Reglamento (CE) no 1367/2006 del Parlamento Europeo y del Consejo de 6 de septiembre de 2006 relativo a la aplicación, a las instituciones y a los organismos comunitarios, de las disposiciones del Convenio de Aarhus sobre el acceso a la información, la participación del público en la toma de decisiones y el acceso a la justicia en materia de medio ambiente EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artı́culo 175, apartado 1, Vista la propuesta de la Comisión, Visto el dictamen del Comité Económico y Social Europeo [1], Previa consulta al Comité de las Regiones, De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado, a la vista del texto conjunto aprobado el 22 de junio de 2006 por el Comité de Conciliación [2], Considerando lo siguiente: 1. La legislación comunitaria en materia de medio ambiente tiene como objetivos, entre otros, contribuir a la conservación, la protección y la mejora de la calidad del medio ambiente y a la protección de la salud de las personas, promoviendo ası́ el desarrollo sostenible. 2. El sexto programa de acción comunitario en materia de medio ambiente [3] hace hincapié en la importancia de proporcionar una infor- mación adecuada sobre el medio ambiente y de abrir posibilidades reales de participación pública en el proceso de toma de decisiones medioambientales, incrementando con ello la responsabilidad y la transparencia en la toma de decisiones, y contribuyendo a la concienciación y el apoyo públicos a las decisiones adoptadas. Al igual que sus antecesores [4], el programa también fomenta una aplicación más efectiva de la legislación comunitaria sobre la protección del medio ambiente, a través del cumplimiento de la normativa de la Comunidad y de la actuación contra las violaciones de la legislación medioambiental comunitaria. 3. El 25 de junio de 1998 la Comunidad firmó el Convenio de la Comisión Económica para Europa de las Naciones Unidas (CEPE) sobre el acceso a la información, la participación del público en la toma de decisiones y el acceso a la justicia en materia de medio ambiente (en lo sucesivo, .el Convenio de Aarhus”). La Comunidad aprobó el Convenio de Aarhus el 17 de febrero de 2005 [5]. Las disposiciones del Derecho comunitario deben ser compatibles con dicho Convenio. 4. La Comunidad ya ha adoptado un conjunto de medidas legislativas que está en evolución y que contribuye a lograr los objetivos del Convenio de Aarhus. Es preciso disponer que los requisitos del Convenio se apliquen a las instituciones y los organismos comunitarios. 5. Es oportuno abordar los tres pilares del Convenio de Aarhus, a saber, el acceso a la información, la participación pública en la toma de decisiones y el acceso a la justicia en materia de medio ambiente, en un mismo texto legislativo, y establecer disposiciones comunes en 237 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació cuanto a objetivos y definiciones. Ello contribuirá a la racionalización de la legislación y al incremento de la transparencia de las medidas de aplicación que se adopten a nivel comunitario. 6. Como principio general, los derechos garantizados por los tres pilares del Convenio de Aarhus lo son sin discriminación por razón de ciudadanı́a, nacionalidad o domicilio. 7. El concepto de autoridad pública se define en el Convenio de Aarhus de manera muy amplia, siendo el concepto básico que en todos los ámbitos donde se ejercen funciones públicas deben establecerse derechos para los individuos y sus organizaciones. Por consiguiente, es preciso que las instituciones y los organismos comunitarios contemplados por el presente Reglamento sean objeto de una definición igualmente amplia y funcional. En cumplimiento de lo dispuesto en el Convenio de Aarhus, pueden excluirse del ámbito de aplicación del Convenio las instituciones y los organismos comunitarios cuando actúen en ejercicio de poderes judiciales o legislativos. Sin embargo, por motivos de coherencia con el Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión [6], las disposiciones sobre el acceso a la información medioambiental deben aplicarse a las instituciones y organismos comunitarios cuando actúen en ejercicio de poderes legislativos. 8. La definición de información medioambiental en el presente Reglamento abarca toda la información, disponible en cualquier forma, que se refiera al estado del medio ambiente. Esta definición, similar a la adoptada en virtud de la Directiva 2003/4/CE del Parlamento Europeo y del Consejo, de 28 de enero de 2003, relativa al acceso del público a la información medioambiental y por la que se deroga la Directiva 90/313/CEE del Consejo [7], presenta un contenido igual a la adoptada en el Convenio de Aarhus. La definición de ”documento”que figura en el Reglamento (CE) no 1049/2001 abarca la información medioam- biental tal y como se define en el presente Reglamento. 9. Es conveniente que el presente Reglamento incluya una definición de ”planes y programas”que tenga en cuenta las disposiciones del Convenio de Aarhus y responda a un enfoque paralelo al adoptado en relación con las obligaciones de los Estados miembros en virtud de la legislación comunitaria vigente. Los ”planes y programas relacionados con el medio ambiente”deben definirse en función de su contribución a la consecución de los objetivos y prioridades de la polı́tica comunitaria de medio ambiente o a su posible importante efecto en relación con tales objetivos y prioridades. Durante un perı́odo de diez años a partir del 22 de julio de 2002, el sexto programa de acción comunitario en materia de medio ambiente fija los objetivos de la polı́tica comunitaria de medio ambiente y determina las acciones previstas para alcanzarlos. Al final de dicho perı́odo, debe adoptarse un nuevo programa de acción en materia de medio ambiente. 10. Habida cuenta de que el Derecho medioambiental se halla en constante evolución, la definición correspondiente debe hacer referencia a los objetivos de la polı́tica comunitaria de medio ambiente, tal como se establecen en el Tratado. 11. Los actos administrativos de alcance individual han de poder ser objeto de una posible revisión interna cuando sean vinculantes y surtan un efecto externo. De forma similar, han de estar cubiertas las omisiones en los casos en que exista la obligación de adoptar un acto administrativo en virtud del Derecho medioambiental. Dado que pueden excluirse los actos de las instituciones u organismos comunitarios que actúen en ejercicio de poderes judiciales o legislativos, también habrán de excluirse otros procedimientos de investigación en los que las instituciones y los organismos comunitarios actúen en calidad de instancia de revisión administrativa en aplicación de lo dispuesto en el Tratado. 12. El Convenio de Aarhus aboga por el acceso del público a la información medioambiental, 238 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació ya sea en el marco de una solicitud o como resultado de su difusión activa por parte de las autoridades a las que se refiere el Convenio. El Reglamento (CE) no 1049/2001, en el que se establece una serie de normas que se ajustan en gran medida a lo dispuesto en el Convenio de Aarhus, se aplica al Parlamento Europeo, al Consejo y a la Comisión, ası́ como a las agencias u organismos creados en virtud de un acto jurı́dico comunitario. Es necesario que la aplicación del Reglamento (CE) no 1049/2001 se haga extensiva a todas las instituciones y los organismos comunitarios. 13. Procede adoptar en el presente Reglamento aquellas disposiciones del Convenio de Aarhus que no quedaron recogidas, total o parcialmente, en el Reglamento (CE) no 1049/2001, en particular las relativas a la recogida y difusión de información medioambiental. 14. Para que el derecho de acceso del público a la información medioambiental sea efectivo, es fundamental que la información sea de calidad. Por consiguiente, es preciso adoptar normas que obliguen a las instituciones y los organismos comunitarios a garantizar dicha calidad. 15. Las excepciones contempladas en el Reglamento (CE) no 1049/2001 deben aplicarse subordinadas a cualquier otra disposición especı́fica en el presente Reglamento relativa a las solicitudes de información medioambiental. Los motivos de denegación en lo que se refiere al acceso a la información medioambiental deben interpretarse de forma restrictiva, teniendo en cuenta el interés público atendido por la divulgación y si la información solicitada se refiere a emisiones en el medio ambiente. El término ı̈ntereses comerciales.abarca los acuerdos confidenciales celebrados por instituciones u organismos que actúen en su capacidad bancaria. 16. En virtud de la Decisión no 2119/98/CE del Parlamento Europeo y del Consejo, de 24 de septiembre de 1998, por la que se crea una red de vigilancia epidemiológica y de control de las enfermedades transmisibles en la Comunidad [8], se ha creado una red a escala comunitaria para potenciar la cooperación y la coordinación entre los Estados miembros, con la asistencia de la Comisión, a fin de mejorar la prevención y el control en la Comunidad de una serie de enfermedades transmisibles. La Decisión no 1786/2002/CE del Parlamento Europeo y del Consejo [9] adopta un programa de acción comunitario en el ámbito de la salud pública que complementa a las polı́ticas nacionales. La mejora de la información y los conocimientos a fin de fomentar la salud pública y el aumento de la capacidad de reaccionar rápida y coordinadamente ante los riesgos sanitarios, que son dos elementos de este programa, son objetivos que también se ajustan por completo a los requisitos del Convenio de Aarhus. Por lo tanto, el presente Reglamento debe aplicarse sin perjuicio de lo dispuesto en la Decisión no 2119/98/CE y la Decisión no 1786/2002/CE. 17. El Convenio de Aarhus exige la adopción de disposiciones que permitan la participación del público en la elaboración de los planes y programas relativos al medio ambiente. Dichas disposiciones deben exigir el establecimiento de plazos razonables para informar al público sobre el proceso de toma de decisiones relativas al medio ambiente de que se trate. Para que sea efectiva, la participación pública debe producirse al inicio del procedimiento, es decir, cuando todas las opciones son aún posibles. Al adoptar disposiciones sobre la participación pública, las instituciones y los organismos comunitarios deben designar al público susceptible de participar. El Convenio de Aarhus requiere asimismo que, en la medida adecuada, las Partes se esfuercen por dar oportunidades para la participación del público en la preparación de las polı́ticas relativas al medio ambiente. 18. El artı́culo 9, apartado 3, del Convenio de Aarhus establece el acceso a procedimientos judiciales o a otros procedimientos de revisión para impugnar las acciones u omisiones de particulares o de autoridades públicas que vulneren las disposiciones del Derecho medioambiental. Las disposiciones en materia de acceso a la justicia deben ser compatibles con lo dispuesto en el Tratado. En este contexto, 239 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació procede que el presente Reglamento se aplique exclusivamente a las acciones y omisiones de las autoridades públicas. 19. Para garantizar medidas reparadoras adecuadas y efectivas, incluidas las que pueda acordar el Tribunal de Justicia de las Comunidades Europeas con arreglo a las disposiciones pertinentes del Tratado, procede que a la institución u organismo comunitario responsable de la acción impugnada o que, en caso de supuesta omisión administrativa, no actuó, se le ofrezca la posibilidad de reconsiderar su decisión o, en caso de omisión, de actuar. 20. Las organizaciones no gubernamentales que trabajan en favor de la protección del medio ambiente y que cumplen determinados criterios, en particular para garantizar que son organizaciones independientes y responsables que han demostrado que su principal objetivo es el fomento de la protección del medio ambiente, deben poder solicitar la revisión interna a escala comunitaria de los actos u omisiones en virtud del Derecho medioambiental de una institución u organismo comunitario, para su reconsideración por la institución u organismo en cuestión. 21. En los casos en los que los procedimientos previos de revisión interna no prosperen, la organización no gubernamental de que se trate podrá interponer recurso ante el Tribunal de Justicia con arreglo a las disposiciones pertinentes del Tratado. 22. El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos por el artı́culo 6 del Tratado de la Unión Europea y reflejados en la Carta de los Derechos Fundamentales de la Unión Europea, en particular en su artı́culo 37. HAN ADOPTADO EL PRESENTE REGLAMENTO: TÍTULO I DISPOSICIONES GENERALES 1. El presente Reglamento tiene el objetivo de contribuir a la aplicación de las obligaciones derivadas del Convenio de la Comisión Económica para Europa de las Naciones Unidas (CEPE) sobre el acceso a la información, la participación del público en la toma de decisiones y el acceso a la justicia en materia de medio ambiente (en lo sucesivo, .el Convenio de Aarhus”), mediante el establecimiento de normas para aplicar las disposiciones de dicho Convenio a las instituciones y organismos comunitarios, en particular por los siguientes medios: a) garantizar el derecho de acceso del público a la información medioambiental recibida o producida por las instituciones u organismos comunitarios que obre en poder de estos y establecer las condiciones básicas y las modalidades prácticas de su ejercicio; b) velar por que la información medioambiental se difunda y se ponga a disposición del público paulatinamente con objeto de lograr su difusión y puesta a disposición del público lo más amplia y sistemática posible. Para ese fin deberá fomentarse, en particular, el uso de la tecnologı́a de la telecomunicación informática y/o electrónica, siempre que pueda disponerse de la misma; c) prever la participación pública en los planes y programas relativos al medio ambiente; d) otorgar el acceso a la justicia en materia de medio ambiente a nivel comunitario, con arreglo a las condiciones establecidas en el presente Reglamento. 2. Al aplicar las disposiciones del presente Reglamento, las instituciones y organismos comunitarios se esforzarán por asistir y orientar al público con respecto al acceso a la información, la participación en la toma de decisiones y el acceso a la justicia en materia de medio ambiente. Artı́culo 1 Artı́culo 2 Objetivo Definiciones 240 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació 1. A efectos del presente Reglamento se entenderá por: solicitante : toda persona fı́sica o jurı́dica que solicite información medioambiental; público : una o varias personas fı́sicas o jurı́dicas y las asociaciones, organizaciones o grupos constituidos por esas personas; instituciones u organismos comunitarios : las instituciones, organismos, oficinas o agencias públicos creados por o en virtud del Tratado, salvo cuando actúen en ejercicio de poderes judiciales o legislativos. No obstante, las disposiciones en virtud del tı́tulo II se aplicarán a las instituciones u organismos comunitarios cuando actúen en ejercicio de sus poderes legislativos; información medioambiental : toda información en forma escrita, visual, sonora, electrónica o en cualquier otra forma material y que se refiera a: i) la situación de elementos del medio ambiente, como el aire y la atmósfera, el agua, el suelo, la tierra, el paisaje y espacios naturales, incluidos los humedales y las zonas marinas y costeras, la diversidad biológica y sus componentes, incluidos los organismos modificados genéticamente, y la interacción entre estos elementos, ii) factores como las sustancias, la energı́a, el ruido, las radiaciones o residuos, incluidos los residuos radiactivos, las emisiones, los vertidos y otras liberaciones en el medio ambiente, que afecten o puedan afectar a los elementos del medio ambiente citados en el inciso i), iii) medidas (incluidas las medidas administrativas), como polı́ticas, normas, planes, programas, acuerdos en materia de medio ambiente y actividades que afecten o puedan afectar a los elementos y factores citados en los incisos i) y ii), ası́ como las actividades o las medidas destinadas a proteger estos elementos, iv) informes sobre la ejecución de la legislación medioambiental, v) análisis de la relación coste-beneficio y otros análisis y supuestos de carácter económico utilizados en el marco de las medidas y actividades citadas en el inciso iii), vi) el estado de la salud y seguridad de las personas, incluida, en su caso, la contaminación de la cadena alimentaria, condiciones de vida humana, emplazamientos culturales y construcciones, cuando se vean o puedan verse afectados por el estado de los elementos del medio ambiente citados en el inciso i) o, a través de estos elementos, por cualquiera de los extremos citados en los incisos ii) y iii); planes y programas relativos al medio ambiente : los planes y programas: i) cuya elaboración y, si procede, adopción corresponda a una institución u organismo comunitario, ii) que sean exigidos en virtud de disposiciones legales, reglamentarias o administrativas, y iii) que contribuyan a la consecución de los objetivos de la polı́tica comunitaria de medio ambiente o puedan tener un efecto significativo para el logro de dichos objetivos, según lo establecido en el sexto programa de acción comunitario en materia de medio ambiente, o en cualquier programa general posterior de acción medioambiental. Los programas generales de acción medioambiental también se considerarán como planes y programas relativos al medio ambiente. La presente definición no englobará los planes y programas financieros o presupuestarios, a saber, los que establezcan el modo en que han de financiarse determinados proyectos o actividades o los relativos a los presupuestos anuales propuestos, ni los programas de trabajo internos de las instituciones u organismos 241 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació comunitarios, ni los planes y programas El Reglamento (CE) no 1049/2001 se aplicará de emergencia cuya única finalidad sea la a cualquier solicitud de acceso a información meprotección civil; dioambiental que obre en poder de las instituciones Derecho medioambiental : la legislación y organismos comunitarios, sin discriminación por comunitaria que, independientemente de razón de nacionalidad, ciudadanı́a o domicilio, y, en su fundamento jurı́dico, contribuya a el caso de las personas jurı́dicas, sin discriminación perseguir los objetivos de la polı́tica co- por razón del lugar en que estas tengan su sede ofimunitaria en materia de medio ambien- cial o un centro efectivo de actividades. te tal como se establecen en el Tratado: la conservación, la protección y la mejora de la calidad del medio ambiente, la protección de la salud de las personas, la utilización prudente y racional de los recursos naturales y el fomento de medidas a escala internacional destinadas a hacer frente a los problemas regionales o mundiales del medio ambiente; A efectos del presente Reglamento, el término ı̈nstitución”del Reglamento (CE) no 1049/2001 se entenderá como ı̈nstitución u organismo comunitario”. acto administrativo : cualquier medida de alcance individual conforme al Derecho medioambiental, adoptada por una institución u organismo comunitario y que surta efecto jurı́dicamente vinculante y externo; 1. Las instituciones y organismos comunitarios organizarán la información medioambiental relevante para sus funciones que obre en su poder, con vistas a su difusión activa y sistemática al público, particularmente por medio de la tecnologı́a de telecomunicación informática y/o electrónica de conformidad con lo dispuesto en el artı́culo 11, apartados 1 y 2, y en el artı́culo 12 del Reglamento (CE) no 1049/2001. Dichas instituciones y organismos harán que la información medioambiental esté disponible paulatinamente en bases de datos electrónicas de fácil acceso al público a través de redes públicas de telecomunicaciones. Para ese fin, almacenarán la información medioambiental que posean en bases de datos a las que dotarán de dispositivos de búsqueda y otros tipos de programas informáticos concebidos para ayudar al público a localizar la información que requiera. omisión administrativa : la no adopción, por una institución u organismo comunitario, de un acto administrativo definido en la letra g). 2. Los actos y omisiones administrativos no englobarán las medidas adoptadas, o las omisiones, por una institución u organismo comunitario que actúe en calidad de instancia de revisión administrativa, en virtud de las siguientes disposiciones del Tratado: a) artı́culos 81, 82, 86 y 87 (normas sobre competencia); b) artı́culos 226 y 228 (procedimiento por incumplimiento); c) artı́culo 195 (reclamaciones ante el Defensor del Pueblo); d) artı́culo 280 (procedimiento de la Oficina Europea de Lucha contra el Fraude). TÍTULO II ACCESO A LA INFORMACIÓN MEDIOAMBIENTAL Artı́culo 3 Aplicación del Reglamento (CE) no 1049/2001 Artı́culo 4 Recogida y difusión de información medioambiental No será preciso que la información facilitada mediante las telecomunicaciones informáticas o por otros medios electrónicos incluya la información recogida con anterioridad a la entrada en vigor del presente Reglamento, a menos que esta ya exista en forma electrónica. Las instituciones y organismos comunitarios indicarán, en la medida de lo posible, dónde está localizada la información recogida con anterioridad a la entrada en vigor del presente Reglamento y que no existe en forma electrónica. 242 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació Las instituciones y organismos comunitarios realizarán todos los esfuerzos razonables para conservar la información medioambiental que obre en su poder en formas o formatos de fácil reproducción y acceso mediante las telecomunicaciones informáticas o por otros medios electrónicos. 2. La información medioambiental que se haya de facilitar y difundir será actualizada si procede. Además de los documentos enumerados en el artı́culo 12, apartados 2 y 3, y en el artı́culo 13, apartados 1 y 2, del Reglamento (CE) no 1049/2001, en las bases de datos o los registros también figurarán: a) los textos de tratados, convenios o acuerdos internacionales y de la legislación comunitaria sobre el medio ambiente o relacionados con él, y de las polı́ticas, programas y planes relacionados con el medio ambiente; b) los informes sobre los avances registrados en materia de aplicación de los puntos contemplados en la letra a), cuando las instituciones u organismos comunitarios los hayan elaborado o dispongan de ellos en formato electrónico; 3. Cuando resulte adecuado, las instituciones y organismos comunitarios podrán satisfacer los requisitos de los apartados 1 y 2 mediante el establecimiento de enlaces con los sitios Internet en los que sea posible hallar la información. 4. La Comisión velará por que se publique y difunda, a intervalos periódicos que no superarán los cuatro años, un informe sobre la situación del medio ambiente, en el que se incluirán datos sobre la calidad del medio ambiente y las presiones que este sufra. Artı́culo 5 Calidad de la información medioambiental 1. Las instituciones y organismos comunitarios harán cuanto esté en su poder por garantizar que cualquier información que recopilen directamente, o recopilen otros en su nombre, esté actualizada y sea precisa y susceptible de comparación. c) las medidas adoptadas en los procedimientos por incumplimiento del Derecho comunitario a partir de la emisión del dictamen motivado en virtud del artı́culo 226, párrafo primero, del Tratado; 2. Las instituciones y organismos comunitarios informarán al solicitante, previa petición, sobre el lugar en el que puede hallar la información, siempre y cuando esta esté disponible, relativa a los procedimientos de medición (incluidos los métodos de análisis, muestreo y pretratamiento de muestras) utilizados en la obtención de la información. Alternativamente, lo remitirán al procedimiento normalizado que se haya utilizado. d) los informes sobre la situación del medio ambiente indicados en el apartado 4; Artı́culo 6 Aplicación de excepciones respecto de las solicie) los datos o resúmenes de los datos deritudes de acceso a información medioambiental vados del seguimiento de las actividades que afecten o puedan afectar al medio 1. Por lo que respecta al artı́culo 4, apartado ambiente; 2, guiones primero y tercero, del Reglamenf) las autorizaciones con un efecto significato (CE) no 1049/2001, con excepción de las tivo sobre el medio ambiente y los acuerinvestigaciones, en particular aquellas relatidos medioambientales, o una referencia vas a posibles incumplimientos del Derecho al lugar donde se puede solicitar esa incomunitario, se considerará que la divulgación formación o acceder a ella; reviste un interés público superior cuando la g) los estudios sobre el impacto medioaminformación solicitada se refiera a emisiones biental y las evaluaciones de riesgo relaal medio ambiente. Por lo que respecta a las tivas a los elementos medioambientales, demás excepciones contempladas en el artı́cuo una referencia al lugar donde se puede lo 4 del Reglamento (CE) no 1049/2001, los solicitar esa información o acceder a ella. motivos de denegación serán interpretados de 243 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació manera restrictiva, teniendo en cuenta el in- las obligaciones especı́ficas establecidas por la legisterés público que reviste la divulgación y si la lación comunitaria, en particular en la Decisión no información solicitada se refiere a emisiones al 2119/98/CE y la Decisión no 1786/2002/CE. medio ambiente. TÍTULO III PARTICIPACIÓN PÚBLICA EN RELACIÓN CON PLANES Y PRO2. Además de las excepciones contempladas en el GRAMAS RELATIVOS AL MEDIO AMartı́culo 4 del Reglamento (CE) no 1049/2001, BIENTE las instituciones y organismos comunitarios podrán denegar el acceso a información meArtı́culo 9 dioambiental cuando la divulgación de la información pudiera afectar negativamente a la 1. Las instituciones y organismos comunitarios protección del medio ambiente a que se refiere proporcionarán al público, mediante las adedicha información, como los lugares de reprocuadas disposiciones prácticas o de otra ı́nducción de especies raras. dole, oportunidades tempranas y efectivas de participar durante la preparación, modificaArtı́culo 7 ción o revisión de los planes o programas relaSolicitudes de acceso a información medioamtivos al medio ambiente cuando todas las opbiental que no obre en poder de una institución u ciones son aún posibles. En particular, cuanorganismo comunitario do la Comisión prepare una propuesta de un plan o programa de esta ı́ndole que transmita En los casos en que una institución u organismo a otras instituciones u organismos comunitacomunitario reciba una solicitud de acceso a una rios para que decidan al respecto, dispondrá la información medioambiental que no obre en su poparticipación pública en esa fase preparatoria. der, deberá informar cuanto antes al solicitante, y a más tardar en un plazo de 15 dı́as hábiles, sobre la institución u organismo comunitario o la autoridad pública conforme a lo dispuesto en la Directiva 2003/4/CE a quien puede dirigirse, según su conocimiento, para solicitar la información de que se trate, o bien transmitir la solicitud a la institución u organismo comunitario o la autoridad pública pertinente e informar de ello al solicitante. Artı́culo 8 Cooperación En caso de amenaza inminente para la salud humana, la vida o el medio ambiente provocada por actividades humanas o por causas naturales, las instituciones y organismos comunitarios colaborarán con las autoridades públicas conforme a lo dispuesto en la Directiva 2003/4/CE, previa petición de estas, y les ayudarán a difundir inmediatamente al público que pueda resultar afectado toda la información medioambiental que le permita la adopción de medidas para prevenir o limitar los daños provocados por la amenaza, en la medida en que dicha información obre en poder de las instituciones y organismos comunitarios y/o de las autoridades públicas mencionadas o la posean otros en su nombre. El párrafo primero se aplicará sin perjuicio de 2. Las instituciones y organismos comunitarios determinarán el público que se ve o puede verse afectado por un plan o programa del tipo mencionado en el apartado 1, o que tenga un interés en el mismo, atendiendo a los objetivos del presente Reglamento. 3. Las instituciones y organismos comunitarios velarán por que se informe al público a que se refiere el apartado 2, ya sea mediante anuncios públicos o por otros medios apropiados, como los medios electrónicos cuando se disponga de ellos, acerca de: a) el proyecto de la propuesta, si se dispone del mismo; b) la información medioambiental o la evaluación relevante para el programa en elaboración, si se dispone de la misma, y c) las modalidades prácticas de participación, incluyendo: i) la entidad administrativa de la que puede obtenerse la información relevante, 244 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació ii) la entidad administrativa a la que pueden transmitirse observaciones, opiniones o preguntas, y iii) los plazos razonables que concedan suficiente tiempo para que el público sea informado y para que este se prepare y participe efectivamente en el proceso de toma de decisiones en materia de medio ambiente. 4. Se fijará un plazo mı́nimo de ocho semanas para la recepción de observaciones. Siempre que se organicen reuniones o consultas, se informará de estas con una antelación mı́nima de cuatro semanas. Los plazos podrán reducirse en caso de urgencia o cuando el público haya tenido ya la posibilidad de formular observaciones sobre el plan o programa de que se trate. 5. Al adoptar su decisión sobre un plan o programa relacionado con el medio ambiente, las instituciones y organismos comunitarios tomarán debidamente en cuenta el resultado del proceso de participación del público. Las instituciones y organismos comunitarios deberán informar al público sobre dicho plan o programa, incluido su texto, y sobre las razones y consideraciones en las que se ha basado la decisión, incluida la información sobre el proceso de participación del público. TÍTULO IV REVISIÓN INTERNA Y ACCESO A LA JUSTICIA Artı́culo 10 Solicitud de revisión interna de actos administrativos 1. Cualquier organización no gubernamental que cumpla los criterios enunciados en el artı́culo 11 podrá efectuar una solicitud de revisión interna ante la institución u organismo comunitario que haya adoptado un acto administrativo con arreglo al Derecho medioambiental o, en caso de supuesta omisión administrativa, que hubiera debido adoptar dicho acto. La petición se hará por escrito en un plazo máximo de seis semanas a partir de la adopción, notificación o publicación del acto administrativo, tomándose como referencia la más tardı́a de estas tres fechas, o, en caso de supuesta omisión, de seis semanas a partir de la fecha en que se haya requerido la adopción del acto administrativo. En la solicitud se expondrán los motivos de la revisión. 2. La institución u organismo comunitario a que se refiere el apartado 1 deberá examinar la solicitud, a menos que carezca claramente de fundamento. Expondrá sus motivos en una respuesta escrita lo antes posible, y a más tardar en un plazo de doce semanas a partir de la recepción de la solicitud. 3. En los casos en que la institución u organismo comunitario no sea capaz, pese a la debida diligencia, de pronunciarse de conformidad con el apartado 2, deberá informar a la organización no gubernamental que haya efectuado la solicitud, lo antes posible, y a más tardar dentro del plazo mencionado en dicho apartado, de los motivos de no haberse pronunciado y del tiempo que necesitará para hacerlo. En cualquier caso, la institución u organismo comunitario se pronunciará en las dieciocho semanas a partir de la recepción de la solicitud. Artı́culo 11 Criterios de legitimación a nivel comunitario 1. Una organización no gubernamental estará legitimada para efectuar una solicitud de revisión interna con arreglo a lo dispuesto en el artı́culo 10 siempre y cuando: a) sea una persona jurı́dica independiente y sin ánimo de lucro con arreglo a legislación o práctica nacional de un Estado miembro; b) tenga por objetivo primordial declarado promover la protección del medio ambiente en el contexto del Derecho medioambiental; c) haya existido durante más de dos años y esté trabajando activamente en el objetivo mencionado en la letra b); d) el asunto a que se refiera la solicitud de revisión interna entre en el ámbito de su objetivo y de sus actividades. 245 Normativa europea 4.7. Reglament (CE) 1367/2006 – Conveni d’Aarhus sobre accés a la informació 2. La Comisión adoptará las disposiciones que El presente Reglamento será obligatorio en tosean necesarias para velar por que los criterios dos sus elementos y directamente aplicable en cada del apartado 1 se apliquen de modo transpa- Estado miembro. rente y coherente. Hecho en Estrasburgo, el 6 de septiembre de 2006. Artı́culo 12 Recurso ante el Tribunal de Justicia 1. La organización no gubernamental que haya efectuado una solicitud de revisión interna en virtud del artı́culo 10 podrá interponer recurso ante el Tribunal de Justicia de conformidad con las disposiciones pertinentes del Tratado. 2. Cuando la institución u organismo comunitario no actúe de conformidad con lo dispuesto en el artı́culo 10, apartados 2 o 3, la organización no gubernamental podrá interponer recurso ante el Tribunal de Justicia de conformidad con las disposiciones pertinentes del Tratado. TÍTULO V DISPOSICIONES FINALES Artı́culo 13 Medidas de aplicación Por el Parlamento Europeo El Presidente J. Borrell Fontelles Por el Consejo La Presidenta P. Lehtomäki [1] DO C 117 de 30.4.2004, p. 52. [2] Dictamen del Parlamento Europeo de 31 de marzo de 2004 (DO C 103 E de 29.4.2004, p. 612), Posición Común del Consejo de 18 de julio de 2005 (DO C 264 E de 25.10.2005, p. 18) y Posición del Parlamento Europeo de 18 de enero de 2006 (no publicada aún en el Diario Oficial). Resolución legislativa del Parlamento Europeo de 4 de julio de 2006 (no publicada aún en el Diario Oficial) y Decisión del Consejo de 18 de julio de 2006. [3] Decisión no 1600/2002/CE del Parlamento Europeo y del Consejo, de 22 de julio de 2002, por la que se establece el sexto programa de acción comunitario en materia de medio ambiente (DO L 242 de 10.9.2002, p. 1). En caso necesario, las instituciones y organis[4] Cuarto programa de acción comunitario en materia de mos comunitarios adaptarán sus reglamentos inter- medio ambiente (DO C 328 de 7.12.1987, p. 1). Quinto pronos a las disposiciones del presente Reglamento. Ta- grama de acción comunitario en materia de medio ambiente les adaptaciones surtirán efecto a partir del 28 de (DO C 138 de 17.5.1993, p. 1). [5] Decisión 2005/370/CE del Consejo (DO L 124 de junio de 2007. 17.5.2005, p. 1). Artı́culo 14 Entrada en vigor [6] DO L 145 de 31.5.2001, p. 43. [7] DO L 41 de 14.2.2003, p. 26. El presente Reglamento entrará en vigor el ter[8] DO L 268 de 3.10.1998, p. 1. Decisión modificada en cer dı́a siguiente al de su publicación en el Diario último lugar por el Reglamento (CE) no 1882/2003 (DO L 284 de 31.10.2003, p. 1). Oficial de la Unión Europea. [9] DO L 271 de 9.10.2002, p. 1. Decisión modificada por El presente Reglamento será aplicable a partir la Decisión no 786/2004/CE (DO L 138 de 30.4.2004, p. 7). del 28 de junio de 2007. 246 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic 4.8 Reglamento (CE, Euratom) no 1101/2008 del Parlamento Europeo y del Consejo, de 22 de octubre de 2008 , relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico (Versión codificada) Texto pertinente a efectos del EEE Diario Oficial n◦ L 304 de 14/11/2008 p. 0070 0074 Reglamento (CE, Euratom) no 1101/2008 del Parlamento Europeo y del Consejo de 22 de octubre de 2008 relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico (Versión codificada) (Texto pertinente a efectos del EEE) EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artı́culo 285, Visto el Tratado constitutivo de la Comunidad Europea de la Energı́a Atómica y, en particular, su artı́culo 187, Vista la propuesta de la Comisión, De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado [1], Considerando lo siguiente: 1. El Reglamento (Euratom, CEE) no 1588/90 del Consejo, de 11 de junio de 1990, relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico [2], ha sido modificado en diversas ocasiones y de forma sustancial [3]. Conviene, en aras de una mayor racionalidad y claridad, proceder a la codificación de dicho Reglamento. 2. La Comisión debe disponer de informaciones completas y fiables para cumplir los cometidos que le atribuyen los Tratados. En aras de una gestión eficaz, serı́a conveniente que la Oficina Estadı́stica de las Comunidades Europeas, en lo sucesivo denominada .Eurostat”, dispon- ga de toda la información estadı́stica nacional que le sea necesaria para la elaboración de estadı́sticas a nivel comunitario y para la realización de los análisis apropiados. 3. El artı́culo 10 del Tratado CE y el artı́culo 192 del Tratado Euratom imponen a los Estados miembros la obligación de facilitar a la Comisión el cumplimiento de su misión. Esta obligación implica también la comunicación de cualquier información necesaria a tal efecto. Además, la falta de datos estadı́sticos confidenciales constituye para Eurostat una pérdida importante de información a nivel comunitario y dificulta la elaboración de estadı́sticas y la realización de análisis sobre la Comunidad. 4. Los Estados miembros no tienen motivos para seguir invocando disposiciones relativas al secreto estadı́stico, pues está establecido que Eurostat ofrece las mismas garantı́as de confidencialidad de los datos que los institutos nacionales de estadı́stica. Dichas garantı́as aparecen ya, en cierta medida, en los Tratados comunitarios, en particular, en el artı́culo 287 del Tratado CE y en el artı́culo 194, apartado 1, del Tratado Euratom, ası́ como en el artı́culo 17 del Reglamento (CEE, Euratom, CECA) no 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas especı́ficas aplicables temporalmente a los funcionarios de la Comisión [4], y pueden reforzarse mediante medidas apropiadas, adoptadas en aplicación del presente Reglamento. 5. Toda violación del secreto estadı́stico protegido por el presente Reglamento debe ser objeto 247 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic de una represión eficaz, sea quien fuere el autor. 6. Cualquier incumplimiento de las obligaciones a las que están sometidos los funcionarios y los demás agentes de Eurostat, cometido voluntariamente o por negligencia, da lugar a la aplicación de sanciones disciplinarias, ası́ como a la aplicación, en su caso, de sanciones penales por violación del secreto profesional con arreglo a las disposiciones combinadas de los artı́culos 12 y 18 del Protocolo sobre los privilegios y las inmunidades de las Comunidades Europeas. 1. El presente Reglamento tiene por objeto: a) autorizar a las autoridades nacionales para transmitir a la Oficina Estadı́stica de las Comunidades Europeas, en lo sucesivo denominada .Eurostat”, datos estadı́sticos confidenciales; b) garantizar que la Comisión adopte todas las medidas necesarias para mantener la confidencialidad de los datos transmitidos. 2. El presente Reglamento se aplicará únicamente al secreto estadı́stico. No afectará a las disposiciones particulares, comunitarias o nacionales, relativas a la salvaguardia de otros secretos que no sean los estadı́sticos. 7. El presente Reglamento se refiere exclusivamente a la comunicación a Eurostat de datos estadı́sticos que estén amparados por el secreto estadı́stico en el ámbito de competencia de los institutos nacionales de estadı́stica, Artı́culo 2 y no afecta a las disposiciones especı́ficas del A efectos del presente Reglamento, se entenderá Derecho nacional y comunitario relativas a la por: transmisión a la Comisión de cualquier otro tipo de informaciones. datos estadı́sticos confidenciales : los que se 8. El presente Reglamento se adopta sin perjuidefinen en el artı́culo 13 del Reglamento (CE) cio de lo dispuesto en el artı́culo 296, apartado no 322/97 del Consejo, de 17 de febrero de 1, letra a), del Tratado CE, en virtud del cual 1997, sobre la estadı́stica comunitaria [6]; ningún Estado miembro está obligado a facilitar información cuya divulgación considere instancias nacionales : los institutos nacionales contraria a los intereses esenciales de su segude estadı́stica y demás instituciones nacionaridad. les encargadas de la recogida y explotación de datos estadı́sticos para las Comunidades; 9. La aplicación de la disposiciones del presente Reglamento y, en particular, de las tendentes información sobre la vida privada de las a garantizar la protección de los datos estadı́spersonas fı́sicas : la información sobre la ticos confidenciales transmitidos a Eurostat, vida personal y familiar de las personas fı́sihace necesario disponer de recursos humanos, cas, definida por las legislaciones o prácticas técnicos y financieros. nacionales de los diferentes Estados miembros; 10. Procede aprobar las medidas necesarias para la ejecución del presente Reglamento con utilización con fines estadı́sticos : la utilizaarreglo a la Decisión 1999/468/CE del Conción exclusiva para la preparación de cuasejo, de 28 de junio de 1999, por la que se dros estadı́sticos o la elaboración de análisis establecen los procedimientos para el ejercicio estadı́stico-económicos; no podrán utilizarse de las competencias de ejecución atribuidas a con fines administrativos, judiciales, fiscales o la Comisión [5]. de control contra las unidades encuestadas; HAN ADOPTADO EL PRESENTE REGLA- unidad estadı́stica : la unidad elemental que suMENTO: ministra la información estadı́stica transmitiArtı́culo 1 da a Eurostat; 248 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic identificación directa : la identificación de una unidad estadı́stica a partir de su nombre o dirección, o de un número de identificación oficialmente atribuido y hecho público; identificación indirecta : la posibilidad de deducir la identidad de una unidad estadı́stica por otro medio que no sean los elementos mencionados en la letra f); funcionarios de Eurostat : los funcionarios de las Comunidades, a efectos del artı́culo 1 del Estatuto de los funcionarios de las Comunidades Europeas, destinados a Eurostat; otros agentes de Eurostat : los agentes de las Comunidades, a efectos de los artı́culos 2 a 5 del régimen aplicable a los otros agentes de las Comunidades Europeas, destinados a Eurostat; difusión : el suministro de datos en cualquier forma: publicaciones, acceso a las bases de datos, microfichas, comunicación telefónica, etc. Artı́culo 3 1. Las instancias nacionales estarán autorizadas para transmitir datos estadı́sticos confidenciales a Eurostat. Artı́culo 4 1. La Comisión adoptará todas las medidas reglamentarias, administrativas, técnicas y de organización necesarias para garantizar la confidencialidad de los datos estadı́sticos transmitidos a Eurostat por las autoridades competentes de los Estados miembros, de conformidad con el artı́culo 3. 2. La Comisión establecerá las modalidades de transmisión de los datos estadı́sticos confidenciales a Eurostat y los principios aplicables a la protección de dichos datos, con arreglo al procedimiento contemplado en el artı́culo 7, apartado 2. Artı́culo 5 1. La Comisión encargará al director general de Eurostat que garantice la protección de los datos transmitidos a Eurostat por las autoridades nacionales de los Estados miembros. La Comisión establecerá las modalidades de organización interna de Eurostat con el fin de garantizar dicha protección, previa consulta al Comité previsto en el artı́culo 7, apartado 1. 2. Las disposiciones nacionales relativas al secreto estadı́stico no podrán ser invocadas contra la transmisión de datos estadı́sticos confidenciales a Eurostat cuando un acto de Derecho comunitario que regule una estadı́stica comunitaria prevea la transmisión de dichos datos. 2. Los datos estadı́sticos confidenciales transmitidos a Eurostat solo serán accesibles a los funcionarios de Eurostat y únicamente podrán utilizarse por parte de estos con fines exclusivamente estadı́sticos. 3. La transmisión de datos estadı́sticos confidenciales a Eurostat, con arreglo al apartado 2, se efectuará de forma tal que resulte imposible la identificación directa de las unidades estadı́sticas. Ello no impedirá que existan normas de mayor alcance en materia de transmisión, de conformidad con la legislación de los Estados miembros. 3. No obstante, la Comisión podrá permitir el acceso a los datos estadı́sticos confidenciales a otros agentes de Eurostat, ası́ como a otras personas fı́sicas contratadas para trabajar en los locales de Eurostat, en casos excepcionales y con fines exclusivamente estadı́sticos. La Comisión adoptará las normas por las que se rija dicho acceso, con arreglo al procedimiento contemplado en el artı́culo 7, apartado 2. 4. Las autoridades nacionales no estarán obligadas a transmitir a Eurostat las informaciones relativas a la vida privada de las personas fı́sicas, cuando las informaciones transmitidas pudieren permitir la identificación directa o indirecta de tales personas. 4. Los datos estadı́sticos confidenciales en poder de Eurostat solo podrán difundirse si van englobados con otros datos de tal manera que no pueda haber ninguna identificación, ni directa ni indirecta, de las unidades estadı́sticas. 249 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic 5. Queda prohibido a los funcionarios y demás agentes de Eurostat, ası́ como a las demás personas fı́sicas contratadas para trabajar en los locales de Eurostat, la utilización o la difusión de estos datos para fines distintos de los previstos en el presente Reglamento, conservando su validez esta prohibición incluso después de su traslado, cese en sus funciones o jubilación. El Comité examinará las cuestiones propuestas por su presidente, bien a iniciativa de este, bien a petición del representante de un Estado miembro, relativas a la aplicación del presente Reglamento. Artı́culo 9 Queda derogado el Reglamento (Euratom, CEE) no 1588/90, modificado por los Reglamentos contemplados en el anexo I. Las referencias al Reglamento derogado se entenderán hechas al presente Reglamento y se leerán 6. Las medidas de protección contempladas en con arreglo a la tabla de correspondencias que figura los apartados 1 a 5 se aplicarán a: en el anexo II. a) todos los datos estadı́sticos confidenciaArtı́culo 10 les cuya transmisión a Eurostat esté preEl presente Reglamento entrará en vigor a los vista en un acto de Derecho comunitario que regule una estadı́stica comunitaria; veinte dı́as de su publicación en el Diario Oficial de la Unión Europea. b) todos los datos estadı́sticos confidenciaEl presente Reglamento será obligatorio en toles transmitidos voluntariamente a Eudos sus elementos y directamente aplicable en cada rostat por los Estados miembros. Estado miembro. Artı́culo 6 Hecho en Estrasburgo, el 22 de octubre de 2008. Los Estados miembros adoptarán, antes del 1 de Por el Parlamento Europeo enero de 1992, las medidas apropiadas para repriEl Presidente mir cualquier infracción de la obligación de guardar secreto respecto de los datos estadı́sticos confidenH.-G. Pöttering ciales transmitidos de conformidad con el artı́culo Por el Consejo 3. Dichas medidas abarcarán al menos las violacioEl Presidente nes cometidas en el territorio del Estado miembro de que se trate por los funcionarios y demás agentes J.-P. Jouyet de Eurostat y por las demás personas fı́sicas contra[1] Dictamen del Parlamento Europeo de 14 de diciembre tadas para trabajar en los locales de Eurostat. de 2006 (DO C 317 E de 23.12.2006, p. 600), y Decisión del Los Estados miembros comunicarán con la ma- Consejo de 25 de septiembre de 2008. [2] DO L 151 de 15.6.1990, p. 1. yor brevedad a la Comisión las medidas adoptadas. La Comisión informará de ello a los demás Estados [3] Véase el anexo I. miembros. [4] DO L 56 de 4.3.1968, p. 1. Artı́culo 7 1. La Comisión estará asistida por un Comité del secreto estadı́stico, denominado en lo sucesivo .el Comité”. [5] DO L 184 de 17.7.1999, p. 23. [6] DO L 52 de 22.2.1997, p. 1. ANEXO I Reglamento derogado, con sus modificaciones sucesivas Reglamento (Euratom, CEE) no 1588/90 del Consejo 2. Cuando se haga referencia al presente aparta- (DO L 151 de 15.6.1990, p. 1) | | do, serán de aplicación los artı́culos 4 y 7 de Reglamento (CE) no 322/97 del Consejo (DO L 52 de la Decisión 1999/468/CE, sin perjuicio de lo 22.2.1997, p. 1) | Únicamente el artı́culo 21, apartado 2 | dispuesto en su artı́culo 8. El plazo contemplaReglamento (CE) no 1882/2003 del Parlamento Europeo do en el artı́culo 4, apartado 3, de la Decisión y del Consejo (DO L 284 de 31.10.2003, p. 1) | Únicamente 1999/468/CE queda fijado en tres meses. el punto 4 del anexo II | Artı́culo 8 250 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic ANEXO II Artı́culo 4, apartado 1 | Artı́culo 4, apartado 1 | TABLA DE CORRESPONDENCIAS Artı́culo 4, apartado 2 | Artı́culo 5, apartado 6 | Reglamento (Euratom, CEE) no 1588/90 | Presente Reglamento | Artı́culo 4, apartado 3 | Artı́culo 4, apartado 2 | Artı́culo 1, apartado 1, primer y segundo guión | Artı́culo 1, apartado 1, letras a) y b) | Artı́culo 5, apartados 1 a 5 | Artı́culo 5, apartados 1 a 5 | Artı́culo 6 | Artı́culo 6 | Artı́culo 1, apartado 2 | Artı́culo 1, apartado 2 | Artı́culo 2, puntos 1 a 10 | Artı́culo 2, letras a) a j) | Artı́culo 7, apartados 1 y 2 | Artı́culo 7, apartados 1 y 2 | Artı́culo 3, apartado 1 | Artı́culo 3, apartado 1 | Artı́culo 7, apartado 3 | – | Artı́culo 3, apartado 2 | Artı́culo 3, apartado 2 | Artı́culo 8 | Artı́culo 8 | – | Artı́culo 9 | Artı́culo 3, apartado 3, párrafo primero | – | Artı́culo 9 | Artı́culo 10 | Artı́culo 3, apartado 3, párrafo segundo | Artı́culo 3, apartado 3 | – | Anexo I | – | Anexo II | Artı́culo 3, apartado 4 | Artı́culo 3, apartado 4 | 251 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic 4.8.1 Reglamento (CE) no 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009 , relativo a la estadı́stica europea y por el que se deroga el Reglamento (CE, Euratom) n o 1101/2008 relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico, el Reglamento (CE) n o 322/97 del Consejo sobre la estadı́stica comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadı́stico de las Comunidades Europeas Texto pertinente a efectos del EEE y de Suiza Diario Oficial n◦ L 087 de 31/03/2009 p. 0164 0173 desarrollo, elaboración y difusión de las estadı́sticas europeas. Reglamento (CE) no 223/2009 del Parlamento Europeo y del Consejo de 11 de marzo de 2009 relativo a la estadı́stica europea y por el que se deroga el Reglamento (CE, Euratom) no 1101/2008 relativo a la transmisión a la Oficina Estadı́stica de las Comunidades Europeas de las informaciones amparadas por el secreto estadı́stico, el Reglamento (CE) no 322/97 del Consejo sobre la estadı́stica comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadı́stico de las Comunidades Europeas 2. A tal efecto, la cooperación y coordinación de dichas autoridades debe desarrollarse de modo más sistemático y organizarse con pleno respeto a los poderes nacionales y comunitarios y a los acuerdos institucionales, y debe tenerse en cuenta la necesidad de revisar el marco jurı́dico básico existente para adaptarlo a la realidad actual y responder mejor a los retos futuros y garantizar una mejor armonización de las estadı́sticas europeas. (Texto pertinente a efectos del EEE y de Suiza) EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artı́culo 285, apartado 1, Vista la propuesta de la Comisión, Visto el dictamen del Banco Central Europeo [1], Visto el dictamen del Supervisor Europeo de Protección de Datos [2], De conformidad con el procedimiento establecido en el artı́culo 251 del Tratado [3], Considerando lo siguiente: 1. Para garantizar la coherencia y comparabilidad de las estadı́sticas europeas elaboradas con arreglo a los principios establecidos en el artı́culo 285, apartado 2, del Tratado, es necesario reforzar la cooperación y la coordinación entre las autoridades que colaboran en el 3. Es necesario, pues, consolidar las actividades del Sistema Estadı́stico Europeo (SEE) y mejorar su gobernanza, sobre todo con miras a dejar claro el papel respectivo de los institutos nacionales de estadı́stica y otras autoridades nacionales, y de la autoridad estadı́stica comunitaria. 4. Dada la especificidad de los institutos nacionales de estadı́stica y las demás autoridades responsables en cada Estado miembro de desarrollar, elaborar y difundir estadı́sticas europeas, deben poder recibir subvenciones sin tener que lanzar una convocatoria de propuestas con arreglo al artı́culo 168, apartado 1, letra d), del Reglamento (CE, Euratom) no 2342/2002 de la Comisión, de 23 de diciembre de 2002, sobre normas de desarrollo del Reglamento (CE, Euratom) no 1605/2002 del Consejo por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas [4]. 5. Habida cuenta del reparto de la carga financiera entre los presupuestos de la Unión Europea y de los Estados miembros respecto de 252 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic la aplicación del programa estadı́stico, la Comunidad, de conformidad con el Reglamento (CE, Euratom) no 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas [5], debe aportar asimismo una contribución financiera a los institutos nacionales de estadı́stica y otras autoridades nacionales para cubrir totalmente los costes incrementales en que puedan incurrir dichos institutos nacionales de estadı́stica y otras autoridades nacionales al ejecutar las medidas estadı́sticas directas temporales determinadas por la Comisión. 6. Deben asociarse estrechamente a la cooperación y coordinación reforzadas las autoridades estadı́sticas de los Estados miembros de la Asociación Europea de Libre Comercio que son Partes en el Acuerdo sobre el Espacio Económico Europeo [6] y de Suiza, como prevén, respectivamente, el Acuerdo sobre el Espacio Económico Europeo, y en particular su artı́culo 76 y el Protocolo 30 a dicho Acuerdo, y el Acuerdo entre la Comunidad Europea y la Confederación Suiza sobre cooperación en el ámbito de la estadı́stica [7], y, en particular, su artı́culo 2. 7. Además, es importante garantizar una estrecha colaboración y la coordinación apropiada entre el SEE y el Sistema Europeo de Bancos Centrales (SEBC), sobre todo para fomentar el intercambio de datos confidenciales entre ambos sistemas con fines estadı́sticos, habida cuenta del artı́culo 285 del Tratado y el artı́culo 5 del Protocolo (no 18) sobre los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo, adjunto al Tratado. 8. Tanto el SEE como el SEBC, por tanto, deben desarrollar, elaborar y difundir estadı́sticas europeas, pero con arreglo a marcos jurı́dicos independientes que reflejan sus respectivas estructuras de gobernanza. El presente Reglamento debe aplicarse, pues, sin perjuicio del Reglamento (CE) no 2533/98 del Consejo, de 23 de noviembre de 1998, sobre la obtención de información estadı́stica por el Banco Central Europeo [8]. 9. En consecuencia, aunque los miembros del SEBC no participen en la elaboración de estadı́sticas europeas con arreglo al presente Reglamento, tras un acuerdo entre un banco central nacional y la autoridad estadı́stica comunitaria, en sus respectivas esferas de competencia y sin perjuicio de los acuerdos nacionales entre los bancos centrales nacionales y los institutos nacionales de estadı́stica u otras autoridades nacionales, los institutos nacionales de estadı́stica, las otras autoridades nacionales y la autoridad estadı́stica comunitaria pueden, no obstante, utilizar, directa o indirectamente, los datos presentados por el banco central nacional para elaborar estadı́sticas europeas. De igual modo, los miembros del SEBC pueden utilizar, en sus respectivas esferas de competencia, directa o indirectamente, los datos del SEE, siempre que se justifique la necesidad de dicho uso. 10. En las relaciones entre el SEE y el SEBC desempeña un papel importante el Comité de estadı́sticas monetarias, financieras y de balanza de pagos, creado por la Decisión 2006/856/CE del Consejo [9], sobre todo gracias a la ayuda facilitada por la Comisión para desarrollar y aplicar programas de trabajo relativos a las estadı́sticas monetarias, financieras y de balanza de pagos. 11. Las recomendaciones y mejores prácticas internacionales deben tenerse en cuenta en el desarrollo, elaboración y difusión de las estadı́sticas europeas. 12. Es importante garantizar una estrecha cooperación y la coordinación apropiada entre el SEE y otros elementos del sistema estadı́stico internacional con el fin de fomentar el uso de conceptos, clasificaciones y métodos internacionales, en particular con vistas a garantizar más coherencia y mejor comparabilidad entre las estadı́sticas a escala mundial. 13. A fin de armonizar los conceptos y las metodologı́as en las estadı́sticas, debe desarrollarse una cooperación interdisciplinaria adecuada con las instituciones académicas. 14. También debe revisarse el funcionamiento del SEE, pues se requieren métodos más flexibles 253 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic para desarrollar, elaborar y difundir estadı́sticas europeas y fijar prioridades claras para reducir la carga de respuesta en los encuestados y en los miembros del SEE y mejorar la disponibilidad y actualidad de estas estadı́sticas. A tal efecto debe crearse un planteamiento europeo de las estadı́sticas. 15. Aunque las estadı́sticas europeas se basan generalmente en datos nacionales elaborados y difundidos por las autoridades estadı́sticas nacionales de los Estados miembros, también pueden elaborarse a partir de contribuciones nacionales no publicadas, de subconjuntos de contribuciones nacionales, de encuestas estadı́sticas europeas concebidas a tal efecto o mediante conceptos o métodos armonizados. 16. En casos especı́ficos y debidamente justificados debe poderse aplicar un planteamiento europeo de las estadı́sticas, consistente en una estrategia pragmática para facilitar la compilación de los agregados estadı́sticos europeos, que representen a la Unión Europea o a la zona del euro como un todo, que sean más importantes para las polı́ticas comunitarias. 17. Las estructuras, las herramientas y los procesos conjuntos también pueden crearse o desarrollarse más a través de redes de cooperación que agrupen a institutos nacionales de estadı́stica u otras autoridades nacionales y a la autoridad estadı́stica comunitaria y faciliten la especialización de ciertos Estados miembros en actividades estadı́sticas concretas en beneficio del conjunto del SEE. Estas redes de cooperación entre socios del SEE deben aspirar a evitar la duplicación del trabajo, lo que aumentará la eficiencia y reducirá la carga de respuesta para los operadores económicos. 18. A tal efecto debe prestarse particular atención al examen coherente de los datos recabados en diferentes encuestas. Deben crearse grupos de trabajo interdisciplinarios a tal efecto. 19. El mejor entorno reglamentario para las estadı́sticas europeas debe responder sobre todo a la necesidad de reducir al mı́nimo la carga de respuesta para los encuestados y contribuir al objetivo más general de reducción de las cargas administrativas a escala europea, con arreglo a las conclusiones de la Presidencia del Consejo Europeo de los dı́as 8 y 9 de marzo de 2007. No obstante, también hay que destacar el importante papel desempeñado por los institutos nacionales de estadı́stica y las otras autoridades nacionales en la reducción de las cargas para las empresas europeas a escala nacional. 20. Para aumentar la confianza en las estadı́sticas europeas, las autoridades estadı́sticas nacionales en cada Estado miembro, al igual que la autoridad estadı́stica comunitaria en el seno de la Comisión, deben disfrutar de independencia profesional y garantizar su imparcialidad y la alta calidad en la elaboración de estadı́sticas europeas, con arreglo a los principios establecidos en el artı́culo 285, apartado 2, del Tratado, ası́ como a los principios elaborados ulteriormente en el Código de buenas prácticas de las estadı́sticas europeas, aprobado por la Comisión en su Recomendación de 25 de mayo de 2005 relativa a la independencia, la integridad y la responsabilidad de las autoridades estadı́sticas de los Estados miembros y de la Comunidad (que incorpora el Código de buenas prácticas de las estadı́sticas europeas). Deben tenerse asimismo en cuenta los principios fundamentales de la estadı́stica oficial, adoptados por la Comisión Económica para Europa de las Naciones Unidas el 15 de abril de 1992 y por la División Estadı́stica de las Naciones Unidas el 14 de abril de 1994. 21. El presente Reglamento garantiza el respeto de la vida privada y familiar y la protección de datos personales, con arreglo a los artı́culos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea [10]. 22. El presente Reglamento asegura asimismo la protección de las personas en lo que respecta al tratamiento de datos personales y especifica, en lo que se refiere a las estadı́sticas europeas, las normas establecidas en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [11], y en el Reglamento (CE) no 45/2001 del Parlamen254 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic to Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas fı́sicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos [12]. 23. La información confidencial recogida por las autoridades estadı́sticas nacionales y de la Comunidad para elaborar estadı́sticas europeas debe estar protegida para conseguir y mantener la confianza de los responsables de facilitar tal información. La confidencialidad de los datos debe satisfacer los mismos principios en todos los Estados miembros. 24. A tal efecto, es preciso establecer principios y orientaciones comunes que garanticen la confidencialidad de los datos utilizados para elaborar estadı́sticas europeas y el acceso a esos datos confidenciales, habida cuenta del progreso técnico y de las necesidades de los usuarios en una sociedad democrática. 25. Disponer de datos confidenciales para las necesidades del SEE es de gran importancia para aumentar al máximo los beneficios de los datos con el fin de incrementar la calidad de las estadı́sticas europeas y asegurar una respuesta flexible a las necesidades estadı́sticas de la Comunidad que han ido surgiendo recientemente. 26. Los investigadores deben poder disfrutar de un amplio acceso a los datos confidenciales utilizados para el desarrollo, elaboración y difusión de las estadı́sticas europeas, con el fin de analizarlos en pro del progreso cientı́fico europeo. También debe mejorarse el acceso con fines cientı́ficos a los datos confidenciales, sin menoscabo del alto nivel de protección que tales datos requieren. 27. Debe prohibirse terminantemente la utilización de datos confidenciales con fines que no sean exclusivamente estadı́sticos, como por ejemplo a efectos administrativos, jurı́dicos, fiscales o de control de las unidades estadı́sticas. 28. El presente Reglamento debe aplicarse sin perjuicio de la Directiva 2003/4/CE del Parlamento Europeo y del Consejo, de 28 de enero de 2003, relativa al acceso del público a la información medioambiental [13], y del Reglamento (CE) no 1367/2006 del Parlamento Europeo y del Consejo, de 6 de septiembre de 2006, relativo a la aplicación, a las instituciones y organismos comunitarios, de las disposiciones del convenio de Århus sobre el acceso a la información, la participación del público en la toma de decisiones y al acceso a la justicia en materia de medio ambiente [14]. 29. Dado que el objetivo del presente Reglamento, a saber, la creación de un marco jurı́dico para desarrollar, elaborar y difundir las estadı́sticas europeas, no puede ser logrado de manera suficiente por los Estados miembros y, por consiguiente, puede lograrse mejor a nivel comunitario, la Comunidad puede adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artı́culo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artı́culo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo, y es sin perjuicio por tanto de las modalidades, normas y condiciones nacionales especı́ficas a las estadı́sticas nacionales. 30. Procede aprobar las medidas necesarias para la ejecución del presente Reglamento con arreglo a la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión [15]. 31. Conviene, en particular, conferir competencias a la Comisión para que adopte medidas sobre los criterios de calidad de las estadı́sticas europeas y establezca las modalidades, normas y condiciones de acceso con fines cientı́ficos a los datos confidenciales a escala comunitaria. Dado que estas medidas son de alcance general y están destinadas a modificar elementos no esenciales del presente Reglamento completándolo con nuevos elementos no esenciales, deben adoptarse con arreglo al procedimiento de reglamentación con control previsto en el artı́culo 5 bis de la Decisión 1999/468/CE. 255 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic 32. Las medidas previstas en el presente Reglamento sustituyen a las del Reglamento (CE, Euratom) no 1101/2008 del Parlamento Europeo y del Consejo [16], las del Reglamento (CE) no 322/97 del Consejo [17], y las de la Decisión 89/382/CEE, Euratom del Consejo [18]. Estos actos deben derogarse en consecuencia. Deben seguir aplicándose las normas de aplicación establecidas en el Reglamento (CE) no 831/2002 de la Comisión, de 17 de mayo de 2002, por el que se aplica el Reglamento (CE) no 322/97 del Consejo sobre la estadı́stica comunitaria en lo relativo al acceso con fines cientı́ficos a datos confidenciales [19], y la Decisión 2004/452/CE de la Comisión, de 29 de abril de 2004, por la que se establece una lista de organismos cuyos investigadores pueden acceder con fines cientı́ficos a datos confidenciales [20]. 33. Se ha consultado al Comité del programa estadı́stico. HAN ADOPTADO EL PRESENTE REGLAMENTO: CAPÍTULO I DISPOSICIONES GENERALES Artı́culo 1 Objeto y ámbito de aplicación El presente Reglamento establece un marco jurı́dico para desarrollar, elaborar y difundir estadı́sticas europeas. Con arreglo al principio de subsidiariedad y de conformidad con la independencia, integridad y responsabilidad de las autoridades nacionales y de la Comunidad, las estadı́sticas europeas son estadı́sticas pertinentes necesarias para llevar a cabo las actividades de la Comunidad. En el programa estadı́stico europeo se determinarán las estadı́sticas europeas. Se desarrollarán, elaborarán y difundirán con arreglo a los principios estadı́sticos indicados en el artı́culo 285, apartado 2, del Tratado y se seguirán desarrollando en el Código de buenas prácticas de las estadı́sticas europeas, con arreglo al artı́culo 11. Se aplicarán de conformidad con el presente Reglamento. Artı́culo 2 Principios estadı́sticos 1. El desarrollo, elaboración y difusión de estadı́sticas europeas se regirán por los principios estadı́sticos siguientes: independencia profesional : las estadı́sticas deben desarrollarse, elaborarse y difundirse de modo independiente, sobre todo en lo que respecta a la selección de técnicas, definiciones, metodologı́as y fuentes que deban utilizarse, y al calendario y el contenido de cualquier forma de difusión, libre de toda presión de los grupos polı́ticos o de interés o de las autoridades comunitarias o nacionales, sin perjuicio de los requisitos institucionales, como las disposiciones comunitarias o nacionales de ı́ndole institucional o presupuestaria o la definición de las necesidades estadı́sticas; imparcialidad : las estadı́sticas deben desarrollarse, elaborarse y difundirse de modo neutral, y deben dar igual trato a todos los usuarios; objetividad : las estadı́sticas deben desarrollarse, elaborarse y difundirse de modo sistemático, fiable e imparcial; ello implica recurrir a normas profesionales y éticas, y que las polı́ticas y las prácticas seguidas sean transparentes para los usuarios y encuestados; fiabilidad : las estadı́sticas deben representar lo más fiel, exacta y coherentemente posible la realidad a la que se dirigen, lo que implica recurrir a criterios cientı́ficos en la elección de las fuentes, los métodos y los procedimientos; secreto estadı́stico : protección de los datos confidenciales relativos a unidades estadı́sticas individuales que se obtienen directamente con fines estadı́sticos o indirectamente de fuentes administrativas u otras, lo que implica prohibir la utilización con fines no estadı́sticos de los datos obtenidos y su revelación ilegal; rentabilidad : los costes de elaborar estadı́sticas deben ser proporcionales a la importancia de los resultados y beneficios 256 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic buscados, los recursos deben ser bien uti- dato confidencial : dato que permite identificar, lizados y hay que reducir la carga de resdirecta o indirectamente, a las unidades espuesta; en la medida de lo posible, la intadı́sticas y divulgar, por tanto, información formación buscada deberá poder extraersobre particulares; para determinar si una unise fácilmente de documentos o fuentes dad estadı́stica es identificable, deberán tenerdisponibles. se en cuenta todos los medios pertinentes que razonablemente podrı́a utilizar un tercero paLos principios estadı́sticos establecidos en el ra identificar a la unidad estadı́stica; presente apartado se elaborarán ulteriormente en el Código de buenas prácticas de confor- utilización con fines estadı́sticos : utilización exclusiva para desarrollar y elaborar resultamidad con el artı́culo 11. dos y análisis estadı́sticos; 2. El desarrollo, elaboración y difusión de las esidentificación directa : identificación de una unitadı́sticas europeas deberán tener en cuenta dad estadı́stica por su nombre o apellidos, su las recomendaciones y mejores prácticas indomicilio o un número de identificación públiternacionales. camente accesible; Artı́culo 3 Definiciones identificación indirecta : identificación de una unidad estadı́stica por otros medios que los de la identificación directa; A efectos del presente Reglamento, se entenderá por: funcionarios de la Comisión (Eurostat) : funcionarios de las Comunidades, en el sentido del artı́culo 1 del Estatuto de los funcionarios estadı́sticas : la información cuantitativa y cualide las Comunidades Europeas, que trabajan tativa, agregada y representativa que caracteen la autoridad estadı́stica comunitaria; riza un fenómeno colectivo en una población dada; personal de otro tipo de la Comisión (Eurostat) : agentes de las Comunidades, en el sentido desarrollo : actividades que aspiran a crear, conde los artı́culos 2 a 5 del Régimen aplicable solidar y mejorar los métodos, las normas y a otros agentes de las Comunidades Eurolos procedimientos estadı́sticos utilizados papeas, que trabajan en la autoridad estadı́stica ra elaborar y difundir estadı́sticas, ası́ como a comunitaria. diseñar nuevas estadı́sticas e indicadores; CAPÍTULO II elaboración : todas las actividades relacionadas GOBERNANZA ESTADÍSTICA con la recogida, el almacenamiento, el tratamiento y el análisis que se requieren para la Artı́culo 4 compilación de estadı́sticas; Sistema Estadı́stico Europeo difusión : actividad de poner las estadı́sticas y su El Sistema Estadı́stico Europeo (SEE) es la asoanálisis a disposición de los usuarios; ciación entre la autoridad estadı́stica comunitaria, que es la Comisión (Eurostat), los institutos naciorecogida de datos : encuestas y otros métodos de nales de estadı́stica (INE) y otras autoridades naconseguir la información de diversas fuentes, cionales responsables en cada Estado miembro de incluidas las fuentes administrativas; desarrollar, elaborar y difundir las estadı́sticas europeas. unidad estadı́stica : unidad básica de observaArtı́culo 5 ción, a saber, una persona fı́sica, un hogar, una empresa u otro tipo de operador al que se Institutos nacionales de estadı́stica y otras aurefieren los datos; toridades nacionales 257 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic 1. Cada Estado miembro designará a una autoridad estadı́stica nacional como organismo que asumirá la responsabilidad de coordinar a escala nacional todas las actividades de desarrollo, elaboración y difusión de estadı́sticas europeas (los INE), y que actuará como interlocutor ante la Comisión (Eurostat) sobre las cuestiones estadı́sticas. Los Estados miembros tomarán las medidas necesarias para asegurar la aplicación de esta disposición. 2. La Comisión (Eurostat) mantendrá y publicará en su sitio web una lista de los INE y de las otras autoridades nacionales responsables de desarrollar, elaborar y difundir las estadı́sticas europeas designados por los Estados miembros. 3. Los INE y las otras autoridades nacionales incluidos en la lista mencionada en el apartado 2 del presente artı́culo podrán recibir subvenciones sin necesidad de ninguna convocatoria de propuestas, de conformidad con el artı́culo 168, apartado 1, letra d), del Reglamento (CE, Euratom) no 2342/2002. Artı́culo 6 La Comisión (Eurostat) 1. La Comisión designa a la autoridad estadı́stica comunitaria para desarrollar, elaborar y difundir las estadı́sticas europeas, denominada, a los efectos del presente Reglamento, ”la Comisión (Eurostat)”. 2. A escala comunitaria, la Comisión (Eurostat) garantizará la elaboración de estadı́sticas europeas con arreglo a las normas establecidas y a los principios estadı́sticos. A este respecto, tendrá la responsabilidad exclusiva de decidir sobre los procesos, métodos normas y procedimientos estadı́sticos, y sobre el contenido y el calendario de las publicaciones estadı́sticas. 3. Sin perjuicio del artı́culo 5 del Protocolo sobre los Estatutos del Sistema Europeo de Bancos Centrales (SEBC) y del Banco Central Europeo, la Comisión (Eurostat) coordinará las actividades estadı́sticas de las instituciones y organismos comunitarios, sobre todo para asegurar la coherencia y calidad de los datos y reducir la carga de respuesta. A tal efecto, la Comisión (Eurostat) podrá solicitar a cualquier institución u organismo comunitario que le consulte y coopere con ella para desarrollar métodos y sistemas con fines estadı́sticos en lo que afecte a su competencia respectiva. Toda institución u organismo que proponga la elaboración de estadı́sticas consultará a la Comisión (Eurostat) y tendrá en cuenta cualquier recomendación que esta le haga a tal efecto. Artı́culo 7 Comité del Sistema Estadı́stico Europeo 1. Se establece el Comité del Sistema Estadı́stico Europeo (.el Comité del SEE”). Ofrecerá orientación profesional para el desarrollo, elaboración y difusión de estadı́sticas europeas con arreglo a los principios estadı́sticos establecidos en el artı́culo 2, apartado 1. 2. El Comité del SEE estará formado por los representantes de los INE que sean expertos nacionales en el ámbito de la estadı́stica. Estará presidido por la Comisión (Eurostat). 3. El Comité del SEE aprobará su reglamento interno, que reflejará sus cometidos. 4. La Comisión consultará al Comité del SEE en relación con: a) las medidas que se propone adoptar para desarrollar, elaborar y difundir estadı́sticas europeas, su justificación con arreglo a la rentabilidad, los medios y calendarios para lograrlas y la carga de respuesta de los encuestados; b) las tendencias y prioridades propuestas en el programa estadı́stico europeo; c) iniciativas para llevar a la práctica la reasignación de prioridades y la reducción de la carga de respuesta; d) cuestiones referentes al secreto estadı́stico; e) el desarrollo ulterior del Código de buenas prácticas, y f) cualquier otra cuestión, sobre todo de metodologı́a, surgida al crear o aplicar 258 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic programas estadı́sticos que plantee su presidencia, bien por propia iniciativa o a petición de un Estado miembro. Artı́culo 8 Cooperación con otros organismos Se consultará al Comité Consultivo Estadı́stico Europeo y al Comité consultivo de la gobernanza estadı́stica europea, con arreglo a los lı́mites de su competencia respectiva. Artı́culo 9 Cooperación con el SEBC Para reducir al mı́nimo la carga de respuesta y garantizar la coherencia necesaria para elaborar estadı́sticas europeas, el SEE y el SEBC cooperarán estrechamente y se ajustarán a los principios estadı́sticos establecidos en el artı́culo 2, apartado 1. Artı́culo 10 Cooperación internacional Sin perjuicio de la posición y la función de cada Estado miembro, la Comisión (Eurostat) coordinará la posición del SEE, preparada por el Comité del SEE, ante cuestiones de especial importancia para las estadı́sticas europeas a escala internacional, ası́ como los acuerdos especı́ficos para su representación ante los organismos estadı́sticos internacionales. Artı́culo 11 Código de buenas prácticas de las estadı́sticas europeas 1. El Código de buenas prácticas tendrá por finalidad garantizar la confianza de la población en las estadı́sticas europeas mediante la determinación de la forma en que deben desarrollarse, elaborarse y difundirse las estadı́sticas europeas con arreglo a los principios estadı́sticos establecidos en el artı́culo 2, apartado 1, y a las mejores prácticas internacionales. 2. El Código de buenas prácticas será revisado y actualizado por el Comité del SEE cuando lo considere necesario. La Comisión publicará las enmiendas al mismo. Artı́culo 12 Calidad estadı́stica 1. Para garantizar la calidad de los resultados, las estadı́sticas europeas se desarrollarán, elaborarán y difundirán con arreglo a normas uniformes y métodos armonizados. A este respecto, se aplicarán los criterios de calidad siguientes: pertinencia : grado en que las estadı́sticas responden las necesidades actuales y potenciales de los usuarios; precisión : concordancia de las estimaciones con los valores auténticos desconocidos; actualidad : plazo transcurrido entre la disponibilidad de la información y el hecho o fenómeno descrito; puntualidad : plazo transcurrido entre la fecha de publicación de los datos y la fecha objetivo (fecha en la que los datos debı́an haber sido presentados); accesibilidad y claridad : condiciones y modalidades en las que los usuarios pueden obtener, utilizar e interpretar los datos; comparabilidad : medida del impacto de las diferencias en los conceptos estadı́sticos aplicados y en los instrumentos y procedimientos de medida cuando se comparan estadı́sticas entre zonas geográficas, ámbitos sectoriales o a lo largo del tiempo; coherencia : adecuación de los datos para ser combinados con fiabilidad en diferentes formas y para diversos usos. 2. Para aplicar los criterios de calidad establecidos en el apartado 1 del presente artı́culo a los datos cubiertos por la legislación sectorial en ámbitos estadı́sticos especı́ficos, la Comisión definirá las modalidades, la estructura y la periodicidad de los informes de calidad previstos en la legislación sectorial, siguiendo el procedimiento de reglamentación indicado en el artı́culo 27, apartado 2. La legislación sectorial podrá establecer requisitos especı́ficos de calidad, como valores objetivo y normas mı́nimas para la elaboración de estadı́sticas. La Comisión podrá adoptar medidas si la legislación sectorial no las estable259 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic ce. Estas medidas, destinadas a modificar elementos no esenciales del presente Reglamento completándolo, se adoptarán con arreglo al procedimiento de reglamentación con control contemplado en el artı́culo 27, apartado 3. SEE, presentará un informe intermedio de evaluación y un informe final de evaluación y los someterá al Parlamento Europeo y al Consejo. Artı́culo 14 3. Los Estados miembros transmitirán a la Comisión (Eurostat) informes sobre la calidad de los datos transmitidos. La Comisión (Eurostat) evaluará la calidad de datos transmitidos y preparará y publicará informes sobre la calidad de las estadı́sticas europeas. CAPÍTULO III ELABORACIÓN DE ESTADÍSTICAS EUROPEAS Artı́culo 13 Programa estadı́stico europeo 1. El programa estadı́stico europeo proporcionará el marco para desarrollar, elaborar y difundir estadı́sticas europeas, los ámbitos principales y los objetivos de las medidas previstas durante un perı́odo no superior a cinco años. Será establecido por el Parlamento Europeo y por el Consejo. Se evaluará su impacto y la rentabilidad con la participación de expertos independientes. 2. El programa estadı́stico europeo establecerá las prioridades con respecto a las necesidades de información para la realización de las actividades de la Comunidad. Estas necesidades se examinarán a la luz de los recursos requeridos a escala comunitaria y nacional para elaborar las estadı́sticas necesarias, ası́ como de la carga de respuesta y costes asociados, de los encuestados. 3. La Comisión adoptará iniciativas que permitan establecer prioridades y reducir la carga de respuesta para el programa estadı́stico europeo, en su totalidad o en parte. 4. La Comisión presentará al Comité del SEE, para su examen previo, el proyecto de programa estadı́stico europeo. 5. Para cada programa estadı́stico europeo, la Comisión, tras consultar con el Comité del Ejecución del programa estadı́stico europeo 1. El programa estadı́stico europeo se ejecutará mediante medidas estadı́sticas particulares decididas: a) por el Parlamento Europeo y el Consejo; b) por la Comisión, en casos especı́ficos y debidamente justificados, en particular para atender a necesidades imprevistas, de conformidad con las disposiciones del apartado 2, o c) de común acuerdo por los INE u otras autoridades nacionales y la Comisión (Eurostat), en sus respectivas esferas de competencia. Tales acuerdos deberán hacerse por escrito. 2. La Comisión podrá decidir una medida estadı́stica directa temporal con arreglo al procedimiento de reglamentación contemplado en el artı́culo 27, apartado 2, siempre que: a) la medida no contemple una recogida de datos que cubra más de los tres años de referencia; b) los datos estén ya a disposición de los INE y otras autoridades nacionales competentes, o estas tengan acceso a ellos, o puedan obtenerse directamente recurriendo a muestras apropiadas para observar la población estadı́stica a escala europea con la adecuada coordinación con los INE y otras autoridades nacionales, y c) la Comunidad deberá, de conformidad con el Reglamento (CE, Euratom) no 1605/2002, hacer una aportación financiera a los INE y a las otras autoridades nacionales para cubrir los costes incrementales en que hayan incurrido. 3. Para llevar a cabo una medida que deba adoptarse con arreglo al apartado 1, letra a) o b), la Comisión proporcionará información sobre: 260 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic a) los motivos que justifican la medida, en particular desde el punto de vista de los objetivos de la polı́tica comunitaria de que se trate; b) los objetivos de la medida y los resultados esperados; c) un análisis de rentabilidad, incluida una evaluación de la carga de respuesta en los encuestados y de los costes de producción, y d) el modo en que ha de llevarse a cabo la medida, incluyendo su duración y el papel de la Comisión y los Estados miembros. Artı́culo 15 Redes de colaboración Las medidas estadı́sticas particulares desarrollarán, cuando sea posible, sinergias en el SEE a través de redes de colaboración que difundan la experiencia y los resultados o estimulen la especialización en tareas especı́ficas. Para ello se desarrollará una estructura financiera adecuada. El resultado de estas medidas, como estructuras, herramientas, procesos y métodos conjuntos, estará disponible en todo el SEE. El Comité del SEE examinará las iniciativas para la creación de redes de colaboración, ası́ como los resultados. a) el desarrollo de estadı́sticas europeas utilizando: i) contribuciones nacionales no publicadas o contribuciones nacionales de un subconjunto de Estados miembros, ii) sistemas de encuesta diseñados especı́ficamente, iii) información parcial mediante técnicas de modelización; b) la difusión de agregados estadı́sticos a escala europea mediante la aplicación de técnicas especı́ficas de control de la revelación de estadı́sticas sin que se ello sea óbice a las disposiciones nacionales sobre difusión. 3. Las medidas que ejecuten el planteamiento europeo de las estadı́sticas se llevarán a cabo con la plena participación de los Estados miembros. Dichas medidas se establecerán en las medidas estadı́sticas particulares previstas en el artı́culo 14, apartado 1. 4. En caso necesario, se establecerá una polı́tica coordinada de publicación y revisión en cooperación con los Estados miembros. Artı́culo 17 Programa de trabajo anual Cada año, antes de finalizar el mes de mayo, la Comisión presentará al Comité del SEE su programa de trabajo del año siguiente. La Comisión Planteamiento europeo de las estadı́sticas tendrá muy en cuenta las observaciones del Comi1. En casos especı́ficos y debidamente justifica- té del SEE. Este programa de trabajo se basará en dos y en el marco del programa estadı́stico el programa estadı́stico europeo y se precisarán, en europeo, el planteamiento europeo de las es- particular: tadı́sticas se dirige a: a) las medidas que la Comisión considera prioritarias, teniendo en cuenta las necesidades de a) aumentar al máximo la disponibilidad de la polı́tica comunitaria y las limitaciones fiagregados estadı́sticos a escala europea y nancieras nacionales y comunitarias, ası́ como mejorar la actualidad de las estadı́sticas la carga de respuesta; europeas; Artı́culo 16 b) reducir la carga de los encuestados, los INE y las otras autoridades nacionales en virtud de un análisis de rentabilidad. b) las iniciativas relativas a la reasignación de prioridades y la reducción de la carga de respuesta, y 2. Los casos en los que es pertinente el planteamiento europeo de las estadı́sticas comprenden: c) los procedimientos e instrumentos jurı́dicos que la Comisión prevea para la ejecución del programa. 261 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic CAPÍTULO IV DIFUSIÓN DE ESTADÍSTICAS EUROPEAS Artı́culo 18 Medidas de difusión 1. La difusión de estadı́sticas europeas se llevará a cabo cumpliendo por completo los principios estadı́sticos a que se refiere el artı́culo 2, apartado 1, sobre todo en lo que se refiere a guardar el secreto estadı́stico y a garantizar la igualdad de acceso con arreglo al principio de imparcialidad. 2. La difusión de las estadı́sticas europeas correrá a cargo de la Comisión (Eurostat), los INE y las otras autoridades nacionales, en sus respectivas esferas de competencia. 3. Los Estados miembros y la Comisión proporcionarán, en sus respectivas esferas de competencia, el apoyo necesario que garantice la igualdad de acceso de todos los usuarios a las estadı́sticas europeas. Artı́culo 19 Ficheros de uso público Los datos sobre unidades estadı́sticas individuales podrán difundirse en forma de fichero de uso público consistente en registros anónimos elaborados de manera que no se identifique a la unidad estadı́stica, ni de forma directa ni indirecta, teniendo en cuenta todos los medios pertinentes que un tercero pueda utilizar razonablemente. Si los datos se han transmitido a la Comisión (Eurostat), se requerirá la aprobación explı́cita del INE u otra autoridad nacional que proporcionó los datos. CAPÍTULO V SECRETO ESTADÍSTICO Artı́culo 20 Protección de datos confidenciales 1. Las normas y medidas siguientes se aplicarán para garantizar que los datos confidenciales se utilicen exclusivamente con fines estadı́sticos, y para evitar su revelación ilegal. 2. Los datos confidenciales obtenidos exclusivamente para la producción de estadı́sticas europeas podrán ser utilizados por los INE y otras autoridades nacionales y por la Comisión (Eurostat) exclusivamente con fines estadı́sticos, a menos que las unidades estadı́sticas hayan dado inequı́vocamente su consentimiento a que se utilicen para otras finalidades. 3. En los siguientes casos excepcionales, los INE y otras autoridades nacionales y la Comisión (Eurostat) podrán difundir los resultados estadı́sticos que puedan permitir identificar una unidad estadı́stica: a) cuando mediante un acto del Parlamento Europeo y del Consejo, adoptado de conformidad con el artı́culo 251 del Tratado, se hayan determinado condiciones y modalidades especı́ficas y los resultados estadı́sticos se hayan alterado de manera que su difusión no perjudique el secreto estadı́stico, siempre que ası́ lo exija la unidad estadı́stica, o b) cuando la unidad estadı́stica haya dado inequı́vocamente su consentimiento a la divulgación de los datos. 4. En sus respectivas esferas de competencia, los INE y otras autoridades nacionales y la Comisión (Eurostat) adoptarán todas las medidas reglamentarias, administrativas, técnicas y de organización necesarias para garantizar la protección fı́sica y lógica de los datos confidenciales (control de la revelación de estadı́sticas). Los INE y otras autoridades nacionales y la Comisión (Eurostat) adoptarán todas las medidas necesarias para garantizar la armonización de principios y directrices por lo que se refiere a la protección fı́sica y lógica de los datos confidenciales. La Comisión adoptará estas medidas con arreglo al procedimiento de reglamentación contemplado en el artı́culo 27, apartado 2. 5. Los funcionarios y demás personal de los INE y otras autoridades nacionales que tengan acceso a datos confidenciales estarán obligados a respetar dicha confidencialidad, incluso después de haber cesado en sus funciones. 262 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic Artı́culo 21 Transmisión de datos confidenciales 1. La transmisión de datos confidenciales de una autoridad del SEE, como se establece en el artı́culo 4, recogidos por otra autoridad del SEE podrá llevarse a cabo siempre que sea necesaria para el desarrollo, elaboración y difusión con eficiencia de las estadı́sticas europeas o para aumentar la calidad de las mismas. 2. La transmisión de datos confidenciales entre una autoridad del SEE que haya recogido los datos y un miembro del SEBC podrá llevarse a cabo siempre que sea necesaria para el desarrollo, elaboración y difusión con eficiencia de las estadı́sticas europeas o para aumentar su calidad, en las respectivas esferas de competencia del SEE y el SEBC, y cuando se haya justificado esta necesidad. 1. Los datos confidenciales serán accesibles exclusivamente, salvo en las excepciones establecidas en el apartado 2, a los funcionarios de la Comisión (Eurostat) en el ámbito de sus actividades laborales especı́ficas. 2. La Comisión (Eurostat) podrá, en casos excepcionales, permitir el acceso a los datos confidenciales al resto de sus agentes y a las demás personas fı́sicas que dispongan de un contrato de trabajo con la Comisión (Eurostat) en el ámbito de sus actividades laborales especı́ficas. 3. Las personas que tengan acceso a los datos confidenciales los utilizarán exclusivamente para fines estadı́sticos. Estarán sujetas a esta obligación incluso después de haber cesado en sus funciones. Artı́culo 23 3. Cualquier transmisión siguiente a la primera Acceso a datos confidenciales con fines cientı́fideberá estar explı́citamente autorizada por las cos autoridades responsables de la recogida de los La Comisión (Eurostat) o los INE u otras audatos. toridades nacionales, en sus respectivas esferas de 4. Para impedir la transmisión de datos confi- competencia, podrán conceder el acceso a datos condenciales, de conformidad con los apartados 1 fidenciales que solo permitan la identificación indiy 2, no podrán invocarse las normas naciona- recta de unidades estadı́sticas a investigadores que les sobre el secreto estadı́stico si un acto del lleven a cabo análisis estadı́sticos con fines cientı́fiParlamento Europeo y del Consejo adoptado cos. Si los datos han sido transmitidos a la Comide conformidad con el procedimiento del ar- sión (Eurostat), se requerirá la aprobación del INE tı́culo 251 del Tratado prevé la transmisión de u otra autoridad nacional que proporcionó los datales datos. tos. 5. Los datos confidenciales transmitidos de conformidad con el presente artı́culo se utilizarán exclusivamente para fines estadı́sticos y solamente tendrá acceso a ellos el personal dedicado a actividades estadı́sticas dentro de su ámbito laboral especı́fico. 6. Las disposiciones referentes al secreto estadı́stico previstas en el presente Reglamento se aplicarán a todos los datos confidenciales transmitidos dentro del SEE y entre el SEE y el SEBC. Artı́culo 22 Protección de datos confidenciales en la Comisión (Eurostat) La Comisión establecerá las modalidades, normas y condiciones de acceso a escala comunitaria. Estas medidas, destinadas a modificar elementos no esenciales del presente Reglamento completándolo, se adoptarán con arreglo al procedimiento de reglamentación con control contemplado en el artı́culo 27, apartado 3. Artı́culo 24 Acceso a registros administrativos Para reducir la carga de respuesta en los encuestados, los INE y otras autoridades nacionales y la Comisión (Eurostat) tendrán acceso a fuentes administrativas de datos, pertenecientes a sus respectivos sistemas de administración pública, siempre que estos datos sean necesarios para desarrollar, elaborar 263 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic y difundir estadı́sticas europeas. Los Estados miembros y la Comisión determinarán, en sus respectivas esferas de competencia, cuando proceda, las modalidades prácticas y las condiciones para conseguir que el acceso sea efectivo. Artı́culo 25 Datos de fuentes públicas Los datos obtenidos de fuentes puestas legalmente a disposición del público y que sigan siendo accesibles al público con arreglo a la legislación nacional no se considerarán confidenciales a efectos de la difusión de estadı́sticas elaboradas a partir de ellos. mento derogado se entenderán hechas al presente Reglamento. Las referencias al Comité sobre el secreto estadı́stico, creado por el Reglamento derogado, se entenderán hechas al Comité del SEE, establecido en el artı́culo 7 del presente Reglamento. 2. Queda derogado el Reglamento (CE) no 322/97. Las referencias al Reglamento derogado se entenderán hechas al presente Reglamento. 3. Queda derogada la Decisión 89/382/CEE, Euratom. Las referencias al Comité del programa estadı́stico se entenderán hechas al Comité del SEE, establecido en el artı́culo 7 del presente Reglamento. Artı́culo 26 Violación del secreto estadı́stico Artı́culo 29 Entrada en vigor Los Estados miembros y la Comisión tomarán las medidas apropiadas para prevenir y sancionar El presente Reglamento entrará en vigor al dı́a toda violación del secreto estadı́stico. siguiente de su publicación en el Diario Oficial de la Unión Europea. CAPÍTULO VI DISPOSICIONES FINALES Artı́culo 27 El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro. Procedimiento de Comité Hecho en Estrasburgo, el 11 de marzo de 2009. 1. La Comisión estará asistida por el Comité del SEE. Por el Parlamento Europeo 2. En los casos en que se haga referencia al presente apartado, serán de aplicación los artı́culos 5 y 7 de la Decisión 1999/468/CE, observando lo dispuesto en su artı́culo 8. H.-G. Pöttering El plazo contemplado en el artı́culo 5, apartado 6, de la Decisión 1999/468/CE queda fijado en tres meses. El Presidente Por el Consejo El Presidente A. Vondra [1] DO C 291 de 5.12.2007, p. 1. [2] DO C 308 de 3.12.2008, p. 1. 3. En los casos en que se haga referencia al pre[3] Dictamen del Parlamento Europeo de 19 de noviemsente apartado, serán de aplicación el artı́culo bre de 2008 (no publicado aún en el Diario Oficial) y Decisión 5 bis, apartados 1 a 4, y el artı́culo 7 de la De- del Consejo de 19 de febrero de 2009. [4] DO L 357 de 31.12.2002, p. 1. cisión 1999/468/CE, observando lo dispuesto en su artı́culo 8. [5] DO L 248 de 16.9.2002, p. 1. Artı́culo 28 [6] DO L 1 de 3.1.1994, p. 3. [7] DO L 90 de 28.3.2006, p. 2. Derogación 1. Queda derogado el Reglamento (CE, Euratom) no 1101/2008. Las referencias al Regla- [8] DO L 318 de 27.11.1998, p. 8. [9] DO L 332 de 30.11.2006, p. 21. [10] DO C 364 de 18.12.2000, p. 1. 264 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic [11] DO L 281 de 23.11.1995, p. 31. [17] DO L 52 de 22.2.1997, p. 1. [12] DO L 8 de 12.1.2001, p. 1. [18] DO L 181 de 28.6.1989, p. 47. [13] DO L 41 de 14.2.2003, p. 26. [19] DO L 133 de 18.5.2002, p. 7. [14] DO L 264 de 25.9.2006, p. 13. [15] DO L 184 de 17.7.1999, p. 23. [20] DO L 156 de 30.4.2004, p. 1; versión corregida en el DO 202 de 7.6.2004, p. 1. [16] DO L 304 de 14.11.2008, p. 70. 265 Normativa europea 4.8. Reglament 1101/2008 – Transmissió d’informació amparada per el secret estadı́stic 266 5 Principis i recomanacions internacionals 267 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI 5.1 DECLARATION ON PROFESSIONAL ETHICS - ISI 5.1.1 DECLARACIÓ SOBRE L’ÈTICA PROFESSIONAL 1 ANTECEDENTS Considerant que l’objectiu de la Declaració sobre l’Ètica Professional dels estadı́stics és donar suport a l’experiència i als valors professionals, com a La implicació de l’Institut Internacional mitjà d’oferir una guia més que no pas reglamentad’Estadı́stica (I.I.E.), (International Statistical Ins- ció; titute, ISI), en l’establiment d’una declaració d’ètica professional, s’ha perllongat durant set anys. El CoAdopta aquesta Declaració i afirma aixı́ el commitè de l’Institut, en resposta a les sol.licituds dels promı́s dels seus membres envers aquests temes i la seus membres i a la proposta del Comitè de Diseva ferma intenció de promoure entre tots els estareccions de Futur de l’Institut, establı́ un comitè dı́stics del món el coneixement i l’interès per l’ètica per al codi d’ètica dels estadı́stics el 1979, durant professional; la 42a Sessió de l’I.I.E. a Manila. El comitè va treballar per preparar una reunió general per a la Decideix enviar la Declaració a tots els memsegüent sessió de Buenos Aires, el 1981, durant la bres de l’Institut i a les seves seccions, i divulgar-la qual s’acordà, per consens, dissenyar un codi: el “cosempre que sigui convenient entre els professionals di”havia d’estar preparat perquè l’Institut l’aprovés de l’estadı́stica; durant la celebració del centenari al 1985. Oficialment agraeix al comitè responsable del El comitè estava format per Roger Jowell desenvolupament de la Declaració, el seu treball (Chairman), W. Edwards Deming, Arno Donda, continuat, eficient i exitós durant els darrers cinc Helmut V. Muhsam and Edmund Rapaport, i subanys.” seqüentment co-adoptat per Edmundo BerumenTorres, Gilbert Motsemme i Ren, Padieu. D’acord amb l’esperit i les paraules de la resolució, l’Institut Internacional d’Estadı́stica té el priLa Declaració que n’ha sortit és el resultat d’un vilegi de presentar al lector la Declaració d’Ètica procés intensiu d’esborranys i revisions, de consulProfessional de l’I.I.E., amb l’esperança i el conventes a tots els membres de l’I.I.E. i a totes les seves ciment que aquest document ajudarà els col.legues seccions, de reunions obertes i de consultes escrites dutes a terme entre el desembre de 1981 i l’agost de tot el món a assolir els seus objectius professiode 1985. L’esborrany de la Declaració provocà molt nals i assumir-ne les responsabilitats. d’interès i unes discussions tan autèntiques que van durar fins a la setmana abans de la seva presentació a l’Assemblea General de l’Institut per a la seva adopció. DECLARACIÓ DE L’I.I.E. SOBRE L’ÈTICA PROFESSIONAL Després de les oportunes consideracions i deliberacions l’Assemblea General va adoptar la resolució següent, el 21 d’agost de 1985: PREÀMBUL “L’Assemblea General de l’Institut Internacional d’Estadı́stica, 1 Traducció Els estadı́stics treballen en contextos econòmics, publicada a la revista “Qüestió” vol 17,3 p. 373 – 403 268 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI culturals, jurı́dics i polı́tics molt diversos segons els quals varien l’entorn de la investigació estadı́stica i el seu propi interès. Treballen igualment en branques diferents de la seva disciplina, on cadascuna té les seves pròpies tècniques, els seus propis mètodes i un enfocament ètic propi. Un gran nombre d’ells operen en camps com ara l’economia, la psicologia, la sociologia o la medicina, on els professionals tenen, per la seva banda, convencions ètiques que poden influir sobre la conducta dels estadı́stics en aquests camps. Fins i tot en un mateix entorn i en una mateixa branca de l’estadı́stica, els professionals poden dur a terme el seu treball segons preceptes morals diferents. Cap codi no sabria aixı́ imposar un conjunt estricte de regles a les quals els estadı́stics de tot arreu estarien obligats a conformar-se. El document present doncs no ho pretén pas. les qüestions especı́fiques evocades, la Declaració no és, sense cap mena de dubte, exhaustiva. Ha estat concebuda amb la idea que periòdicament s’hauria de posar al dia i ser sancionada. Per últim i en quart lloc, ni els principis ni els comentaris no pretenen reiterar les regles o normes generals escrites o no escrites, com ara el respecte a la llei o a la necessària prohibició. La Declaració es limita tant com és possible a les qüestions especı́fiques de la investigació estadı́stica. El text està dividit en quatre parts. A l’interior de cadascuna, l’enunciat de principis o conjunt de principis està seguit d’un curt comentari sobre les dificultats i els conflictes inherents a la seva posada en pràctica. Els diversos principis estan lligats entre si i, en conseqüència, han de ser considerats en conjunt: l’ordre de presentació no ha de ser interpretat La finalitat d’aquesta Declaració és la de perme- com un ordre de prioritat. tre a l’estadı́stic de fonamentar els seus judicis ètics i les seves decisions personals sobre valors i expeAl final de cada part figura una curta bibliograriències compartides, més que no pas sobre regles fia comentada per a aquells que desitgen aprofundir dictades per la professió. La Declaració busca en en la reflexió sobre aquestes qüestions o consultar conseqüència extreure uns principis d’investigació textos detallats2 . estadı́stica que siguin àmpliament reconeguts i identificar els obstacles per posar-los en pràctica. S’ha Bibliografia general establert tenint present que, a vegades, l’aplicació d’un principi en contradirà un altre, que els esSjoberg (1967), encara que una mica antic, ofetadı́stics —com altres grups professionals— tenen obligacions concurrents que no poden ser complides reix una bona visió històrica. Freud (1969) segueix ensems. Implı́citament o explı́citament, a vegades, la lı́nia dels models biomèdics, però conté una exs’haurà d’escollir entre aquests principis. La present posició vigorosa de Margaret Mead sobre les difeDeclaració no pretén evitar aquestes eleccions, ni rències, en el pla ètic, entre la recerca biomèdica privilegiar un principi respecte a un altre. En com- i en ciències socials. Diener i Crandall (1978) és ptes d’això, ofereix un marc en el qual l’estadı́stic una discussió general, particularment útil pel que fa conscient hauria de poder treballar amb comodi- a les experiències de camp. Reynolds (1982) (que tat en l’essencial. Quan l’estadı́stic es plantegui de és una versió abreujada i posada al dia de Reyseparar-se d’aquest marc, hauria de ser més un acte nolds (1979)), és un text clar, essencialment escrit per als estudiants americans. Bulmer (1979) conreflexiu que efecte de la ignorància. té reedicions i articles nous sobre les enquestes i Aquesta Declaració es proposa, doncs, en primer l’execució dels censos a Gran Bretanya i Amèrica. lloc, descriure i informar més que no pas imposar o Barnes (1980) és un assaig d’anàlisi sociològica soprescriure. En segon lloc, intenta poder-se aplicar bre les raons per les quals van aparèixer els proal màxim en els diversos àmbits de la metodolo- blemes ètics i conté una bibliografia completa fins gia i de la pràctica estadı́stica. És per això que es a 1978. Bower i Gasparis (1978) ofereix una bimanté en termes bastant generals. En tercer lloc, bliografia dels treballs publicats entre 1965 i 1976, encara que aquests principis estiguin enunciats de amb comentaris particularment complets. Bulmer manera que es puguin aplicar més àmpliament que (1982) conté una bona bibliografia sobre els estu2 N.T.: per manca de temps, la bibliografia aquı́ citada s’ha hagut de limitar a les produccions en llengua anglesa. 269 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI dis de simulació i altres matèries relacionades. Jowell (1983) defensa un codi educatiu més que no pas normatiu o jurı́dic i dóna una bibliografia d’un interès particular per als estadı́stics en molts punts. Burgess (1984) es concentra sobre la recerca etnogràfica duta a terme pels sociòlegs britànics. Barnes (1984) sosté que, en la investigació social, són inevitables els compromisos ètics. Altres temptatives han tingut lloc per establir codis d’ètica estadı́stica: un primer assaig fou el fruit del treball d’un comitè creat el 1969 per l’I.I.E. per estudiar els problemes d’ètica professional (Deming 1972); tracta essencialment sobre les relacions entre l’estadı́stic liberal i el seu client. Una altra temptativa (ASA 1980) fou l’objecte d’una discussió entre setze autors, sota el tı́tol “Ethical Guidelines for Statistical Practice: Historical Perspective”Ponència del Comitè ad hoc de l’ASA sobre l’ètica professional i Discussió (1983). Més recentment, els estadı́stics públics francesos han establert un codi deontològic (AIS, 1984). Aixı́ mateix, el Servei Nacional Britànic d’Estadı́stica ha establert el seu propi codi de pràctica (GSS, 1984). que la societat té de conèixer les caracterı́stiques col.lectives i el dret de la persona a protegir la seva intimitat, entren, a vegades, en conflicte. Tota informació, sistemàticament reunida o no, es troba subjecta a poder ser mal utilitzada. I cap informació està exempta de poder portar perjudicis a un interès o a un altre. Hi ha persones que poden veure’s afectades pel fet de participar en enquestes estadı́stiques (vegeu §4.4.) o un grup pot sentirse perjudicat a conseqüència de certs resultats. Un barri concret pot, per exemple, adquirir una mala reputació si una enquesta estadı́stica constata que presenta una taxa molt elevada de criminalitat. Pot també succeir que disposicions socials o polı́tiques fundades sobre estadı́stiques facin mal a un conjunt de persones amb interessos comuns. Una vigilància policial més estricta del barri on s’ha constatat una criminalitat elevada pot tenir com a contrapartida una vigilància menor en els barris on la criminalitat és baixa: una mesura com aquesta pot ser globalment beneficiosa per a la societat però perjudica certs barris. Els estadı́stics però no poden impedir accions que es basen en els resultats estadı́stics. De fet, prevenir-se contra la utilització d’aquests resultats equivaldria a denegar la finalitat mateixa d’una 1.OBLIGACIONS ENVERS LA SOCIETAT gran part de la investigació estadı́stica. 1.1.Prendre en consideració els interessos contradictoris La investigació estadı́stica descansa sobre la convicció que un més gran accés a la informació correctament fonamentada beneficia la societat. El fet que la informació estadı́stica pugui ser interpretada o utilitzada abusivament, o que tingui un impacte diferent sobre diferents grups, no és en si un argument decisiu contra la seva recopilació o la seva difusió. Tanmateix, l’estadı́stic ha d’estar atent a les possibles conseqüències que la recollida i la difusió de diversos tipus d’informació poden comportar i ha de prevenir-ne les interpretacions i utilitzacions errònies. 1.2.Eixamplar l’abast de l’estadı́stica Els estadı́stics han d’utilitzar les facultats que se’ls ofereixen per eixamplar la investigació estadı́stica i difondre les seves conclusions per al profit de la més àmplia comunitat possible. Els estadı́stics elaboren i utilitzen conceptes i tècniques per reunir, analitzar o interpretar la informació. Encara que no estiguin sempre en disposició de controlar l’abast del seu treball o la manera en què les dades i els resultats són a la fi utilitzats i difosos, poden sovint exercir una influència en aquest sentit. A més, estan en disposició de desenvolupar una utilització més eficaç dels recursos recorrent, No existeix cap procediment general, ni cap reper exemple, a les tècniques de mostreig o mobilitgla per avaluar els avantatges probables o els riscos zant per a altres usos dades existents (vegeu §4.3.c). de diversos tipus d’investigació estadı́stica. Malgrat això, l’estadı́stic ha d’estar atent a les eventuals conEls estadı́stics universitaris tenen, probableseqüències dels seus treballs (vegeu §4.4.). El dret 270 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI ment, una més gran autonomia per determinar el camp del seu treball i la difusió dels seus resultats. Malgrat això, són en general tributaris de les decisions que prenen aquells que financien els seus projectes d’una banda i de l’altra dels editors pel que fa a l’orientació i la publicació de les seves investigacions. Els estadı́stics del sector públic i aquells que treballlen en el comerç i la indústria tendeixen a disposar encara de menys autonomia en allò que es refereix al que fan i a la manera d’utilitzar els seus resultats. Pot haver-hi en joc regles de confidencialitat; pressions per impedir o retardar la publicació dels seus resultats (o d’alguna part d’ells); es poden crear o interrompre sèries estadı́stiques per motius que poc tenen a veure amb consideracions tècniques. En casos com aquests, pot passar que la decisió final, sobre una investigació, pertanyi a l’empresari o al client (vegeu §2.3.). abstenció. La ciència no pot ser totalment objectiva i l’estadı́stica no és una excepció. La tria dels temes a considerar pot reflectir una idea preconcebuda a favor de certs valors culturals o personals. A més, l’estatut professional de l’estadı́stic, l’origen dels fons i gran quantitat d’altres factors, poden imposar certes prioritats, obligacions i prohibicions. Malgrat tot, l’estadı́stic no està mai deslligat del deure de cercar l’objectivitat i d’estar atent a tots els obstacles coneguts que la impedeixen. Els estadı́stics tenen en concret l’obligació professional d’oposar-se a maneres de recollida, d’anàlisi, d’interpretació o de publicació de la informació que puguin (de manera explı́cita o implı́cita) informar malament o induir a error en comptes de contribuir a l’avenç del coneixement. Bibliografia: obligacions envers la societat En nombrosos paı̈sos, l’experiència suggereix que els estadı́stics tenen més possibilitats d’evitar les restriccions imposades al seu treball quan són capaços d’estipular amb anterioritat els punts sobre els quals exerciran un control. Els estadı́stics de l’Estat poden, per exemple, obtenir un acord per anunciar les dates de publicació de diverses sèries estadı́stiques i crear l’obligació de publicar-les en les dates previstes, siguin quins siguin els condicionants polı́tics que puguin intervenir. De la mateixa manera, els estadı́stics que treballen sota un contracte comercial poden estipular que el control d’almenys algunes conclusions (o de detalls de la metodologia) els pertany. Les més grans dificultats semblen produir-se quan aquestes qüestions es deixen en suspens fins a la sortida dels resultats. 1.3.Buscar l’objectivitat Tot i treballar dins del sistema de valors de les societats on viuen, els estadı́stics han d’intentar de preservar la seva integritat professional, sense pors ni favors. En particular, no s’han de comprometre, ni avenir-se a la tria de mètodes destinats a produir resultats enganyosos, o a una presentació fal.laç dels resultats estadı́stics, ja sigui per acció o per Moltes obres i simposis sobre l’ètica professional inclouen discussions sobre el context general en el qual es desenvolupa la investigació social, però, en la majoria dels casos, aquestes discussions estan escampades per tot el text. Beauchamp et al. (1982), conté en la seva part 2, una discussió general explı́cita sobre com i quan la pràctica de la investigació social pot o no ser justificada. Les obligacions legals o formalitzades socialment que s’imposen a l’investigador social són analitzades per al cas dels Estats Units, per Beauchamp et al. (1982), part 5. Pool (1979 i 1980) defensa que no es pugui imposar cap control formal. Douglas (1979) fa el mateix, amb més energia. Wax i Cassel (1981) examinen les relacions entre la llei i altres obligacions formals i els valors propis de l’investigador. Frankel (1976) s’interessa més especialment per l’estadı́stica. 1.1. Prendre en consideració els interessos contradictoris Baas (1974) comenta aquests conflictes dins del context britànic, malgrat que potser ja no siguin d’actualitat. Baumring (1972) contraposa l’interès dels investigadors al dels individus sobre els quals es fa la investigació i s’inclina per aquests últims. Ackeroyd (1984) tracta, a la secció 6.3, dels conflictes d’interessos en la investigació etnogràfica. Muhsam 271 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI (1985) examina el conflicte entre dret a la intimitat 2.2.Avaluar amb imparcialitat les diverses i dret a la informació. vies Els estadı́stics han d’examinar els diversos La utilitat de la informació estadı́stica és ra- mètodes i procediments a la seva disposició rament qüestionada i la majoria de la literatura per a la investigació prevista i han d’oferir al corresponent s’interessa per les vies i els mitjans seu sponsor o empresari una apreciació imque permeten d’engrandir aquesta utilitat. A la ses- parcial dels mèrits i desavantatges respectius sió del centenari de l’I.I.E., s’ha dedicat un debat de les diverses opcions. al tema, posant particularment l’accent en els paı̈sos en vies de desenvolupament (vegeu: Chakravarty 2.3.Compromisos segons els resultats (1985); Nyitrai (1985); Williams (1985)). Els estadı́stics no han d’acceptar cap clàusula l’aplicació de la qual depengui del resultat obtingut en la investigació estadı́stica 1.2. Eixamplar l’abast de l’estadı́stica programada. Diener i Crandall (1978) examinen aquest punt, al capı́tol 13, referint-se a la recerca psicològica. Crispo (1975), a partir del cas del Canadà, presenta una discussió de la comptabilitat pública. Johnson (1982) tracta dels problemes que sorgeixen en la publicació dels resultats de recerca. Jahoda (1981) fa una viva demostració de les consideracions ètiques i socials que limiten el curs de la investigació i de la publicació dels resultats. 1.3. Buscar l’objectivitat Stocking i Dunwoody (1982) subratllen algunes de les pressions exercides pels mitjans de comunicació de massa en contra de la preservació de les regles de l’objectivitat. En termes més generals, Klaw (1970) indica que aquestes regles no estan mai a resguard dels atacs. 2.LES OBLIGACIONS ENVERS SPONSORS I ELS EMPRESARIS ELS 2.1.Explicitar les obligacions i els papers Els estadı́stics han d’establir clarament amb anterioritat les obligacions respectives del seu empresari o d’aquell qui financia l’enquesta i les seves pròpies; per exemple, han de donar a conèixer a l’empresari o a l’sponsor les parts apropiades d’un codi professional al qual s’adhereixen. L’informe dels resultats ha de precisar-ne el paper allà on es comprovi que és necessari. 2.4.Mantenir la confidencialitat sobre la informació privada Els estadı́stics reben freqüentment del seu empresari o sponsor informacions de les quals aquest pot exigir legı́timament que es mantinguin confidencials. Els mètodes i procediments estadı́stics utilitzats per produir els resultats publicats no haurien d’estar supeditats a la confidencialitat. Una idea essencial que es desprèn de cadascun dels principis esmentats és que l’sponsor o empresari i l’estadı́stic tenen un interès comú des del moment que la finalitat de l’enquesta estadı́stica és fer progressar el coneixement (vegeu §1.3.). Encara que aquest coneixement pugui en alguns casos ser buscat en l’interès exclusiu de l’sponsor o empresari, els objectius es podran complir millor si l’enquesta és duta a terme dins del respecte de les normes professionals més exigents. Les relacions entre l’sponsor o empresari i l’estadı́stic han de ser en conseqüència de manera que la investigació estadı́stica pugui ser conduı̈da de la forma més objectiva possible (vegeu §1.3.) amb vista a oferir informacions o explicacions més que no pas a defensar una tesi. L’estadı́stic independent o el consultant està en teoria en millor posició que l’estadı́stic assalariat per exigir el respecte de certs principis professionals. En el seu cas, les relacions amb un client són cada vegada objecte d’un contracte particular, on els papers i les obligacions de cadascú poden ser especificades amb antelació (vegeu Deming 1972). El contracte de l’assalariat, en canvi, no és especı́fic per a un estudi i comporta generalment l’obligació expressa 272 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI o implı́cita d’acceptar les instruccions donades per l’empresari. L’estadı́stic assalariat en el sector públic pot veure la seva llibertat de moviments encara més restringida per regles estatutàries que concerneixen especialment les enquestes obligatòries o l’obligació de reserva (vegeu §4.4.). Malgrat tot, en realitat altres consideracions atenuen la distinció entre l’estadı́stic independent i l’estadı́stic assalariat. La llibertat que té l’estadı́stic independent d’imposar certes condicions està freqüentment reduı̈da per coaccions d’ordre financer i per la inseguretat del seu estatut de consultant. Aquests problemes afecten menys l’estadı́stic assalariat, la posició del qual és, en general, més segura i menys aı̈llada. L’empleat (en concret l’estadı́stic-funcionari) sovint forma part d’una comunitat d’estadı́stics la posició de la qual és prou forta per establir convencions i procediments que tradueixen convenientment els seus ideals professionals (vegeu §1.2.). Les relacions entre els sponsors o empresaris comporten responsabilitats mútues. El client o l’empresari està en el seu dret d’esperar dels estadı́stics que dominin bé la seva disciplina, que siguin sincers en els lı́mits del seu art i de les seves dades (vegeu §3.1.), que estiguin atents a les possiblitats d’aproximacions més econòmiques per a l’estudi considerat i que respectin el caràcter confidencial de certes informacions. Els estadı́stics tenen fonaments per esperar del client o de l’empresari que respecti el seu àmbit exclusiu de competència tècnica i professional i la integritat de les dades i dels resultats. Aquestes obligacions estiguin o no consignades dins dels contractes o d’altres escrits, són necessàries per aconseguir unes relacions mútues beneficioses. postes. Per poder complir aquest compromı́s, l’estadı́stic corre el perill d’haver de transigir en altres principis, com el del ple consentiment (vegeu §4.2.). Per damunt de tot, els estadı́stics s’han d’esforçar perquè els seus sponsors o empresaris prenguin en consideració les obligacions que no solament tenen envers ells sinó també envers els que han contestat o altres individus, els seus col.legues o col.laboradors i la societat en general. Per exemple, un deure de l’estadı́stic, com a membre d’un col.lectiu professional, és de ser explı́cit quant als mètodes adoptats a fi que la comunitat estadı́stica pugui garantir-ne l’aplicació i també treure’n profit. Aixı́, en la mesura del possible, els elements metodològics de les investigacions haurien d’escapar-se de les obligacions de confidencialitat, de manera que entrin dins del patrimoni intel.lectual comú a la professió (vegeu §3.2.). Bibliografia: obligacions envers els sponsors i empresaris 2.1. Explicitar les obligacions i els papers Appell (1978), secció 8, presenta exemples extrets de la investigació etnogràfica. Deming (1965 i 1972) defineix el paper de l’estadı́stic consultant i del seu client. 2.2. Avaluar amb imparcialitat les diverses vies Nombrosos articles de revista i capı́tols d’obres aborden aquest punt en termes generals. Schuler (1982) tracta, al capı́tol 3, de les dificultats trobades en la recerca psicològica. Webb et al. (1966) és la referència clàssica per als procediments d’investigació alternatius. Un conflicte d’obligacions pot produir-se, per exemple, quan l’sponsor d’una enquesta desitja as2.3. Compromisos segons els resultats segurar-se amb anterioritat (normalment per contracte) que s’aconseguiran certs objectius, com ara un resultat concret o un nivell de respostes mı́nim Barnett (1983) examina aquest punt, a partir de en un sondeig realitzat en una mostra de voluntaris. la seva experiència personal. Subscrivint un contracte semblant l’estadı́stic prejutjaria el resultat de l’enquesta convertint-se im2.4. Mantenir la confidencialitat sobre la plı́citament en fiador, en nom dels enquestats, de la informació privada propensió a contestar o del que seran les seves res273 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI SCPR Working Party (1974), una mica caduc, és un debat general sobre l’esfera privada dins del context britànic. Simmel (1908: 337-402) i (1952:305-376) és una anàlisi sociològica clàssica de les coaccions que pesen sobre la circulació de la informació. Shils (1967) estén l’obra de Simmel a circumstàncies més recents; Tefft (1980) estudia casos més exòtics de percepcions de la vida privada i de la confidencialitat. Flaherty (1979) considera els problemes que presenta la monopolització de les informacions per part de l’Estat, mentre que Bulmer (1979) s’interessa d’una manera general per les dades recollides dins dels censos i de les grans enquestes. Carroll i Kneer (1976) considera, des del punt de vista de la ciència polı́tica als Estats Units, la pressió oficial exercida perquè els investigadors revelin les seves fonts d’informació. Appell (1979) exposa, a la secció 3, tota una gamma de dilemes que fan sorgir tota mena de pressions oficials. Bok (1982) estableix les regles de protecció i de revelació. 3.OBLIGACIONS LEGUES ENVERS ELS COL- 3.1.Preservar la confiança en l’estadı́stica Els estadı́stics tenen necessitat de la confiança del públic. En els seus treballs, han d’intentar de promoure i de preservar aquesta confiança, sense exagerar l’exactitud ni el poder explicatiu dels seus resultats. clarament els seus propis principis ètics i tenir en compte els dels seus col.laboradors. Cadascun d’aquests principis descansa sobre la idea que els estadı́stics deuen el seu estatus i l’accés privilegiat a les dades no solament a la seva posició personal sinó també al fet de ser membres d’un collectiu professional. En reconèixer-se membres d’una comunitat estadı́stica més àmplia, els estadı́stics contreuen diverses obligacions envers aquesta comunitat i poden esperar-ne una certa consideració. La reputació de l’estadı́stica dependrà certament menys del que proclamin les corporacions d’estadı́stics quant a les seves normes ètiques, que del comportament individual efectiu dels estadı́stics. Quan determinen els mètodes i procediments utilitzats pels seus treballs, aixı́ com el contingut d’aquests i la manera de rendir-ne comptes, els estadı́stics han, en conseqüència, d’esforçar-se a deixar el camp de les recerques en un estat que permeti als estadı́stics de tenir-hi accés en el futur (vegeu §4.1.). Les investigacions estadı́stiques demanen freqüentment una col.laboració entre col.legues amb diversos nivells de responsabilitat i de diverses disciplines. S’ha de tenir en compte la reputació i l’experiència de tots els participants. L’estadı́stic també ha de procurar que les enquestes estadı́stiques es duguin a terme dins d’un marc ètic que tingui l’aprovació de tots els seus col.laboradors, marc que potser inclourà principis o convencions d’altres disciplines, i on el paper de cada participant estigui suficientment definit. Per exemple, la declaració d’Helsinki (1975) de l’Associació Mundial de Medicina proporciona una excel.lent guia a l’estadı́stic que opera en el camp mèdic. 3.2.Descriure i verificar els mètodes i resultats Tot respectant els lı́mits de la confidencialitat, els estadı́stics han de donar als seus col.legues les informacions apropiades perquè els seus mètodes, procediments, tècniques i resultats puguin ser jutjats. Aquests judicis Un principi de tot treball cientı́fic és que aquest s’han de dirigir als mètodes mateixos, i no a ha de permetre un examen minuciós, una avaluales persones que els han escollit o utilitzat. ció i una eventual validació per part d’altres investigadors. S’ha de prestar una atenció particular a aquest principi quan l’anàlisi es basa en paquets in3.3.Fer conèixer els principis ètics Per dur a terme certes investigacions, els formàtics: és convenient en aquest cas de facilitar estadı́stics han de col.laborar amb especia- el màxim de precisions. Tot avantatge que es penlistes d’altres disciplines i amb els enques- sa trobar en el fet de no divulgar el detall de les tadors, el personal administratiu, els estu- tècniques i dels resultats, per exemple, per raons de diants, etc. En aquests casos han d’exposar competència, s’ha de sospesar amb el perjudi que 274 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI això pot causar al progrés del coneixement estadı́stic. Una de les obligacions més importants de l’estadı́stic, però també de les més difı́cils de complir, consisteix a alertar els usuaris potencials de la fiabilitat i els lı́mits de validesa dels seus resultats. Gairebé sempre s’és presoner entre el perill d’exagerar i el de minimitzar la validesa i la possibilitat de generalitzar els resultats. No es pot dictar cap regla, si no és un consell de prudència. La confiança en els resultats estadı́stics depèn de forma crucial de la seva presentació lleial. La temptació per als estadı́stics de camuflar els seus errors (vegeu Ryten 1981) o de presentar els resultats invitant-los a conclusions abusives, pot no solament recaure sobre els estadı́stics implicats sinó també afectar la reputació de l’estadı́stica en general (vegeu §1.2.). Bibliografia: obligacions envers els col .legues 3.1. Preservar la confiança en l’estadı́stica Reynolds (1975: 598–604) examina els conflictes entre, d’una banda, l’obligació de preservar l’objectivitat i la imparcialitat de la ciència i, de l’altra, els valors que s’invoquen en qualitat de ciutadans quan es tracta de canviar el món. Appel (1978) tracta de la manera d’alertar els etnògrafs sobre els aspectes ètics. 4. OBLIGACIONS ENVERS ELS INDIVIDUS3 4.1.Evitar les intrusions injustificades Els estadı́stics han de ser conscients del potencial d’intrusió que comporten alguns dels seus treballs. Cap prerrogativa concreta els autoritza a estudiar tots els fenòmens. Ni el progrés del coneixement ni la recerca d’informació justifiquen per ells mateixos que es transgredeixin altres valors socials o culturals. Algunes formes d’enquestes estadı́stiques semblen més intrusives que altres. Per exemple, les mostres poden ser escollides d’esquena a les persones que hi pertanyen o sense el seu consentiment; es pot buscar entrar en contacte amb els individus sense previ avı́s; se’ls poden fer preguntes que els afectin o els ofenguin; es poden observar persones d’amagat; es poden obtenir informacions mitjançant tercers. En definitiva, pot succeir que les persones siguin molestades o perjudicades per enquestes i això de diverses maneres, moltes de les quals són difı́cils d’evitar (vegeu §1.3.). Anunciar els lı́mits dels resultats estadı́stics aixeca problemes que són llargament explorats per Una manera d’evitar la molèstia causada als inGonzales et al. (1975). Ryten (1981) exposa una dividus potencials és utilitzar més sovint les dades tesi més controvertida respecte als errors. ja disponibles abans de llançar-se en una nova enquesta. Per exemple, amb un més gran ús estadı́stic dels documents administratius, o confrontant els 3.2. Descriure i verificar els mètodes i resultats documents ja existents, és possible produir una informació sobre la societat que, altrament, hauria de Diener i Crandall (1978) examinen, al capı́tol 9, ser recollida de nou. Encara que alguns individus la necessitat d’honestedat i de pertinença. Powekk puguin posar objeccions al fet que les dades siguin (1983) subratlla els conflictes que sorgeixen quan utilitzades en un sentit diferent de l’anunciat, no un universitari mereix la censura dels seus col .legues haurien de veure’s greument afectats per una utilitper una conducta professional reprovable. zació d’aquest tipus, mentre la seva identitat quedi degudament protegida i que l’ús sigui estadı́stic i no administratiu. 3.3. Fer conèixer els principis ètics 3 Aquesta secció de la Declaració es dedica als temes humans, fent referència als individus, parelles i entitats col.lectives. Pel que fa a les regles sobre l’experimentació animal, per exemple, vegeu l’Acadèmia Suı̈ssa de les Ciències (1983). 275 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI Tal com diu Cassel (1982), les persones, sense haver estat perjudicades per un estudi, poden estimar que se les ha ofès: poden sentir-se tractades com objectes de mesura, sense miraments envers la seva personalitat o la seva intimitat. En un bon nombre de les controvèrsies derivades de treballs estadı́stics, el litigi venia més per la intrusió en el terreny personal i privat dels individus, o pel fet de veure’s aclaparats per la sol.licitud de “massa”dades, que pel fet d’haver patit o no un perjudici. En exposar els individus a sentir-se ofesos, potser per la manera utilitzada per escollir-los o fent-los prendre consciència d’aspectes d’ells mateixos que no volien o fins i tot refusaven de conèixer, els estadı́stics s’arrisquen a ser criticats. I la resistència a les enquestes estadı́stiques, en general, es pot veure incrementada (vegeu §3.1, 4.3 c, 4.5 i 4.6). 4.2.Obtenir el ple consentiment4 Les enquestes estadı́stiques que comporten la participació activa d’individus humans han de ser, sempre que sigui factible, fetes amb ple consentiment, és a dir, donat lliurement i amb coneixement de causa. Fins i tot quan la participació dels individus és legalment obligatòria, la seva acceptació ha de reposar sobre una informació al més completa possible. Quan la participació és voluntària, no s’ha de fer creure als individus que aquesta és obligatòria; han de ser informats del seu dret a refusar, en tot moment i per la raó que sigui, i de retirar les informacions que acaben de subministrar. Cap informació susceptible d’afectar la voluntat de participació de l’individu no pot ser deliberadament silenciada. Aquest principi del ple consentiment (o amb ple coneixement de causa) és forçadament difús, ja que la seva interpretació descansa sobre una apreciació impossible de formalitzar en grau d’informació i de la naturalesa del consentiment necessaris en una pràctica convenient. La quantitat d’informació perquè l’individu sigui informat de forma adequada sobre la finalitat i la naturalesa de l’enquesta varia a la força d’una enquesta a l’altra. No es poden establir regles universals. D’un costat no es pot inundar els individus potencials de detalls incomprensibles i no desitjats sobre els orı́gens i el contingut de l’enquesta estadı́stica. A l’altre extrem, no convé amagar els fets essencials o induir els individus a error sobre aquestes qüestions (vegeu §4.3 d i 4.4.). Una informació convenient és manifestament intermèdia, però la seva amplitud entre els dos extrems dependrà de les circumstàncies. La claredat i la intel.ligibilitat de la informació subministrada interessen tant com la quantitat. és útil d’establir l’inventari dels elements d’informació susceptibles de ser determinants per a l’acceptació a participar de l’individu. Els elements següents són els que es podrien tenir en compte: a. finalitat de l’estudi, conseqüències derivades, etc., b. identitat del o dels sponsors, c. utilització prevista dels resultats, forma de publicació, etc., d. identitat de l’enquestador o de l’investigador i organisme responsable, e. procediment pel qual l’individu ha estat escollit (pla de mostres, etc.), f. paper de l’individu a l’estudi, g. perjudi o molèsties possibles a l’individu, h. grau d’anonimat i caràcter confidencial, i. disposicions previstes per l’emmagatzemament de dades, grau de seguretat, etc., j. caracterı́stiques de l’estudi (durada per al participant, etc.) k. participació voluntària o obligatòria • si és obligatòria, conseqüències possibles, d’un refús, • si és voluntària, possibilitat de retirar el consentiment (i fins a quin moment), 4 El concepte aquı́ exposat ha estat desenvolupat a partir de la designació anglesa de “informed consent”. S’ha plantejat la qüestió de trobar un equivalent català. Tant “consentiment informatçom “consentiment aclarit”no han semblat adients. La locució més apropiada podria ser: “consentiment amb ple coneixement de causa”. Com que carregava l’expressió, el terme “ple coneixement”ha estat adoptat, amb la consideració que el consentiment no pot ser perfecte (ple) si està viciat pel desconeixement de certs elements, que coneguts, comportarien un refús. Al contrari, és efectiu si aquests elements són coneguts. 276 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI l. si fets essencials han estat dissimulats (i si se- clar que aquesta no és més que una condició prèvia ran revelats i quan). a tota enquesta estadı́stica. Escollint en aquesta llista, l’estadı́stic ha prestar atenció no solament als elements que ell considera essencials, sinó també a aquells que se sospita que l’individu té possiblitats de considerar com a tals: cada part pot molt bé tenir un punt de vista diferent. Complementant aquesta informació, l’estadı́stic pot remetre els individus eventuals a una nota que precisi els seus drets (vegeu Jowell 1981), especialment el seu dret a ser informats, deixant-los la possibilitat de sol.licitar informacions suplementàries. Malgrat això cada vegada més, l’acceptació de l’estadı́stica per part del gran públic descansa no solament sobre consideracions tècniques, sinó també sobre la voluntat dels estadı́stics de respectar els individus i de tractar-los amb consideració (vegeu §4.1). Els estadı́stics han de procurar de suscitar en els individus una bona apreciació dels objectius de la investigació, encara que la seva participació sigui legalment obligatòria. 4.3.Modificacions al ple consentiment En alguns casos raons tècniques o pràcDe la mateixa manera que és variable el perfil tiques impedeixen l’obtenció prèvia del ple de la informació apropiada, també variarà el que consentiment dels individus. Els interessos constitueix un consentiment suficient. La partici- d’aquests han de quedar protegits per altres pació d’un individu en un estudi pot ser acorda- vies. Aixı́: da a contracor més que no pas ser una participació entusiasta. En alguns casos, l’estadı́stic pot trobar a) Respecte dels drets en els estudis de convenient d’encoratjar en l’enquestat el sentit del camp deure a fi de minimitzar el biaix d’autoselecció. La En certs estudis de camp, on els comporfrontera entre la persuasió tàctica i la coerció és mol- taments s’anoten sense que l’individu ho sàtes vegades prou subtil i probablement més fàcil de piga, els estadı́stics han de parar esment a no marcar a la pràctica que no pas de definir formal- violar el que s’anomena “l’espai privat”d’un ment. De tota manera, tot el que es pot dir del grau individu o d’un grup. Això varia d’una culde consentiment convenient és que no pot ser assi- tura a una altra. milat ni a la coerció implı́cita ni a la participació de ple grat. b) Passada per un tercer En el cas on es recorri a un tercer per En alguns casos, un intermediari controla l’accés respondre a preguntes en el lloc de l’individu, als individus, de manera que els estadı́stics no popotser perquè es massa difı́cil o costós den, sense la seva autorització, contactar-los did’entrar-hi en contacte o perquè, per exemrectament per obtenir-ne la seva participació. Tot ple, està massa malalt o és massa jove per respectant els interessos legı́tims d’aquest, els espoder participar per ell mateix a l’enquesta, tadı́stics haurien d’aplicar el principi del ple cons’haurà de vetllar a no violar el seu “essentiment i esforçar-se per obtenir-lo directament pai privat ı̈ a no enterbolir les relacions endels individus després d’haver obtingut el permı́s tre l’individu i la persona que respon per per abordar-los. En aquests casos, els estadı́stics no ell. Quan existeixen o apareixen indicis que s’han de descarregar de la responsablitat de protefan pensar que l’individu s’oposaria que fosgir els interessos dels individus sobre l’intermediari. sin desvelades certes informacions, aquestes També han de vetllar per no enterbolir per inadvertència les relacions entre l’individu i l’esmentat dades no s’han d’anar a buscar a prop d’una tercera persona. intermediari. Per essència, el principi de ple consentiment expressa la convicció que una cooperació sincera i impregnada de respecte mutu és indispensable. Queda c) Utilització secundària de les dades Quan s’acorda a l’estadı́stic l’accés a da- 277 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI des administratives o mèdiques, per exemple, o a qualsevol altre material d’estudi, amb vista a una nova investigació, el permı́s d’utilitzar aquests dades acordat pel posseı̈dor no exonera l’estadı́stic del deure de prendre en consideració les possibles reaccions, la sensibilitat i els interessos de les persones implicades, inclòs el dret a l’anonimat. d) Desorientació dels individus En els estudis on el que es tracta d’observar exclou de desvelar per endavant als individus informacions essencials, els estadı́stics han de sospesar les possibles conseqüències de tot engany entrevist. Dissimular una informació essencial, o equivocar els individus, constitueix una mentida, per acció o omissió, temporal o definitiva, que comporta una legı́tima condemna si no es pot justificar. Un problema greu es planteja als estadı́stics quan les exigències metodològiques entren en contradicció amb les d’un consentiment donat amb coneixement de causa. Existeixen nombrosos casos on donar als individus informacions generals com la finalitat de l’estudi o la persona o l’organisme que l’encarrega, o el fet mateix de saber que han estat escollits com a individus (com en els casos d’estudis de camp) provocaria amb tota probabilitat un canvi o una reacció que desdibuixaria o alteraria la mesura. Aquestes dificultats poden conduir als estadı́stics a allunyar la idea d’un ple consentiment informat clarament i, o bé a adoptar tècniques de mesura indirecta, o bé a enganyar deliberadament els individus per assegurar-se l’exactitud de les mesures. Els principis més amunt esmentats imposen, en aquests casos, precaucions extremes, i s’aconsella als estadı́stics de respectar els desitjos presumibles dels individus. Aixı́, en els estudis de camp o en aquells on intervé una tercera persona, el principi conductor ha de ser que simples indicis de reticència per part d’un individu no informat o no consentidor han de ser considerats com un refús a la participació. De la mateixa manera, quan s’utilitzen enregistraments per segona vegada, els estadı́stics han de tenir en compte l’obligació ja contreta amb els individus. Qualsevol altra actitud, en ocasions com aquesta, denotaria probablement una manca de respecte envers els interessos de l’individu i podria comprometre les relacions entre l’individu i l’estadı́stic. Les enquestes estadı́stiques en les quals els individus són enganyats deliberadament per acció o per omissió són rares i molt difı́cils de sostenir. Hi ha avantatges metodològics clars per enganyar els individus en certs estudis psicològics per exemple, on revelar la finalitat tendiria a falsejar les respostes. Però, tal com Diener i Crandall (1978) ho fan palès, “la ciència està fonamentada sobre el valor de la veritat”; aixı́ el fet que els savis enganyin els individus tendeix a destruir el seu crèdit i la seva reputació (vegeu §3.1 ). Si enganyar els individus fos una pràctica àmpliament estesa en les enquestes estadı́stiques, aquests efectivament aprendrien a no “tenir confiança en aquells que, en virtut d’un contracte social, són considerats dignes de fe i en qui tenen necessitat de tenir-hi confiança”(Baumrind, 1972). Tanmateix, seria tan poc realista de proscriure l’engany en l’enquesta estadı́stica com de proscriure’l de la vida social. L’engany menor és utilitzat sota formes ben diverses en el contacte humà (tacte, afalac, etc.) i els estadı́stics no seran pas menys culpables que altres en aquestes pràctiques. Resta de tota manera dins del deure dels estadı́stics i dels seus col.laboradors de no promoure mètodes d’enquesta susceptibles de violar els valors i les sensibilitats humanes. Comportar-se aixı́, siguin quin siguin els avantatges metodològics, posaria en perill la reputació de l’estadı́stica i la confiança mútua entre els estadı́stics i la societat, la qual és una condició sine qua non de la major part del treball estadı́stic (vegeu §3.1 ). Per totes aquestes raons, si el ple consentiment no pot ser obtingut per endavant, s’hauria de buscar a obtenir-lo a posteriori quan sigui possible, una vegada l’avantatge metodològic —d’observació indirecta, d’engany, o de dissimulació d’informació— ha estat assolit. 4.4.Protegir els interessos dels individus Ni el consentiment dels individus ni l’obligació legal de respondre exoneren l’estadı́stic 278 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI de protegir tant com sigui possible els individus dels efectes potser perjudicials de la seva participació. L’estadı́stic ha d’esforçarse a molestar el mı́nim els individus mateixos i les seves relacions amb l’entorn. individuals. Les dades són recollides per respondre a preguntes del tipus “quants?.o “quina proporció?”, i no del tipus “qui?”. La identitat dels individus que responen i els que no ho fan, i les informacions recollides gràcies a ells, han de quedar en conseqüència confidencials, hagi estat o no la confidencialitat El dany causat als individus pot provenir de promesa de forma explı́cita. l’estrès involuntari resultant de la seva participació, d’una pèrdua de confiança en ells mateixos, d’atacs d’ordre psicològic o d’altres efectes secundaris. Hi ha diversos factors que han de ser con- 4.6.Impedir que les identitats siguin revelasiderats per avaluar la relació risc-avantatge d’una des Els estadı́stics han de prendre totes les enquesta particular: la probabilitat i la gravetat del mesures convenients per impedir que els remal potencial causat, el nombre de persones amesultats siguin publicats o difosos sota una fornaçades, la utilitat donada per descomptat dels rema que permeti que la identitat d’algun insultats, són factors en general inqualificables (vegeu dividu sigui revelada o deduı̈da. Levine, 1975). Quan la probabilitat i la importància del perjudici eventual són grans, els estadı́stics es troben davant d’un problema més seriós. Pot succeir, per exemple, que un estadı́stic treballi en un experiment mèdic en el qual els individus són exposats a riscos que presenten una certa gravetat. Si es poden trobar voluntaris ben informats dels riscos i si l’estadı́stic està convençut de la importància de l’experiment, tanmateix s’hi ha d’oposar per causa d’aquests riscos? En circumstàncies com aquesta, el millor és probablement de demanar consell a altres col.legues o altres persones, en concret a persones que no siguin part interessada en l’estudi o experiment. Els interessos dels individus poden ser igualment perjudicats pel fet de formar part d’un grup o d’una categoria social (vegeu §1.1 ). Els estadı́stics poden doncs dir poques vegades que una enquesta està desprovista de conseqüències potencialment nefastes per als individus. Poden afirmar que, en qualitat d’individu, serà protegit per l’anomimat, però en qualitat de membre d’un grup, o fins i tot de membre de la la mateixa societat, cap individu està protegit dels efectes de possibles decisions que es prenguin fonamentades en resultats estadı́stics. No hi pot haver una protecció absoluta contra la violació de la confidencialitat, és a dir contra la divulgació de dades identificades o identificables, infringint una obligació ı́mplicita o explı́cita contractada envers la font. Existeixen nombrosos mètodes per reduir el risc d’aquestes violacions, el més comú i probablement el més segur és l’anonimat. El seu avantage com a mitjà de salvaguarda és que tendeix a prevenir la transgressió involuntària del caràcter confidencial. Mentre les dades es transmeten d’incògnit, és més difı́cil de lligar-les a individus o a organismes. És doncs molt desitjale que les dades estadı́stiques identificables rebin una protecció per llei, de tal manera que l’accés de tercers a aquestes dades sigui legalment impossible sense el permı́s de l’estadı́stic responsable o el dels individus. Fins i tot sense aquesta protecció legal, és responsabilitat de l’estadı́stic assegurar que la identitat dels individus estigui protegida. L’anonimat per ell mateix no és, de tota manera, una garantia de confidencialitat. Freqüentment, una configuració de caracterı́stiques particulars pot, com per exemple una empremta digital, identificar el posseı̈dor d’una manera força segura. Els estadı́stics han de procurar per tots els mitjans al seu abast de desbaratar les possiblitats que altres tindrien de deduir identitats a partir de resultats publicats. Poden decidir de reagrupar les dades per tal 4.5.Assegurar la confidencialitat L’estadı́stica no s’ocupa de les identitats de dissimular les identitats (vegeu Boruch i Cecil, 279 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI 1979) o emprar tota mena de procediments a la seva disposició, que serveixen per impedir la detecció de les identitats sense deteriorar seriosament els resultats agregats (vegeu Flaherty, 1979). És inevitable que les possibilitats d’anàlisi en pateixin una mica, però això ha de ser sospesat amb el perjudici que podrien patir, en absència d’aquestes disposicions, les fonts de les dades (vegeu Finney, 1984). les presons. Bulmer (1982) desenvolupa una defensa en contra de la dissimulació en l’enquesta social. O’Connor i Barnes (1983) presenten breument la defensa d’alguns casos d’enquesta dissimulada. Singer (1978) i Jowell (1979) presenten materials empı́rics sobre l’efecte diferencial del fet de buscar el ple consentiment dels enquestats. La pertinena del principi del ple consentiment L’expansió dels recursos informàtics sovint està en les enquestes estadı́stiques és sostingut per Daconsiderada com una amenaça envers els individus i lenius (1983) i discutit per Hansen (1983). els organismes, ja que facilita nous mitjans per posar de relleu identitats i d’interconnectar els regis4.3. Modificacions al ple consentiment tres. D’altra banda, l’estadı́stic hauria d’aprofitar la potència considerable dels ordinadors per disfressar Douglas (1979) recusa l’obligació formal les identitats i promoure la seguretat de les dades. d’obtenir el consentiment. Geller (1982) fa proposicions per evitar d’haver d’enganyar els individus. Bibliografia : obligacions envers els individus Form (1973) tracta llargament sobre les relacions entre savis i intermediaris que controlen l’accés als 4.1. Evitar les intrusions injustificades individus. Boruch i Cecil (1979 i 1982) descriuen tècniques estadı́stiques i de mostreig per protegir la informació privada. Hartley (1983) destaca les amenaces a la vida privada que comporten diversos processos de mostreig. Michael (1984) és el relat fet per un periodista sobre les amenaces de tot tipus en la vida privada a Gran Bretanya. Mirvis i Seashore (1982) ofereix una discussió general de les investigacions en organismes on les qüestions relatives al grau convenient d’intrusió i d’intervenció són particularment urgents. Reeves i Harper (1981) és un document sobre l’organització de la investigació en els mitjans industrials britànics. Bryant i Hansen (1976) evoquen la necessitat d’una certa intromissió en la vida privada de les persones que responen, quan es vol recollir una informació que només es pot obtenir mitjançant la interrogació individual. 4.2. Obtenir el ple consentiment 4.4. Protegir els interessos dels individus Baurind (1972) defensa que s’ha d’acordar una prioritat als interessos dels individus. Klockars (1979) examina com prendre en consideració aquests interessos quan apareixen com antisocials o il .legals. Freidson (1978) defensa la destrucció sistemàtica de tots els identificadors de dades individuals. Okely (1984) considera, a Gran Bretanya, les conseqüències d’una publicació de resultats sobre un grup social identificable. Loo (1982) estudia el cas d’una investigació la finalitat de la qual és millorar el benestar d’una col .lectivitat desfavorida. El Consell del Canadà (1977) discuteix els problemes particulars que es plantegen en el moment de fer estudis sobre poblacions recluses i sobre els infants. Warwick (1983) examina els aspectes ètics particulars que es poden trobar en certs paı̈sos en vies de desenvolupament. Wax (1979 i 1982) sostenen que demanar el 4.5. i 4.6. Confidencialitat i desvelament ple consentiment, en les enquestes etnogràfiques, és d’identitats inadequat, mentre que Capron (1982) manté que s’ha de sol .licitar. O’Connor (1976) examina els Boruch i Cecil (1979 i 1982) aporten solucions problemes d’interpretació del consentiment, o de la tècniques. Hartley (1982) examina el lligam entre manca de consentiment en un entorn jeràrquic com mostreig i confidencialitat. 280 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI Els apectes legals i tècnics de la protecció de les (1984). “Ethical and political compromises in sodades estadı́stiques sobre els individus són presen- cial research”. Wisconsin sociologists, 21, 100–111. tats per Dalenius (1979) i Durbin (1979) en el marc de les lleis i pràctiques en els seus paı̈sos respectius: BARNETT, Steven, (1983). “’Never mind Suècia i Regne Unit. the quality . . . will it give us the answers we want?’”Social Research Association News Novembre, 1–2. REFERÈNCIES BAUMRIND, Diana, (1972). “Reactions to the ADER, Gerard, (1977). Confidentiality and bu- May 1972 draft report of the ad hoc committee on siness statistics in the European Communities. Eu- ethical standards in psychological research”. Amerostat; Paris. rican psychological, 27, 1083–1086. AGAR, Michael H, (1980). The professional BEAUCHAMP, Tom L., FADEN, Ruth, WAstranger: an informal introduction to ethnography. LLACE, R. Jay & WALTERS, LeRoy, (1982). EdiNew York; Academic Press. tors. Ethical issues in social science research. Baltimore; John Hopkins university press. AIS — ASSOCIATION DES ADMINISTRATEURS DE L’INSEE, (1984). Code de déontologie BOK, Sissela, (1982). Secrets: on the ethics of statistique. Paris; AIS. concealment and revelation. New York; Pantheon books. AKEROYD, Anne V., (1984). “Ethics in relation to informants, the profession and governments”. In BORUCH, Robert Francis, & CECIL, Joe ELLEN, Roy F., ed., Ethnographic research: a gui- Shelby, (1979). Assuring the confidentiality of social de to general conduct. London; Academic Press. Re- research data. Philadelphia, University of Pennsylsearch methods in social anthropology, 1, 133–154. vania press. ASA — AMERICAN STATISTICAL ASSO(1982). “Statistical strategies for preserving priCIATION, (1980). “Interim Code of Conduct — Ge- vacy in direct inquiry”. In Sieber 1982b, 207–232. neral Guidelines”. Amstat. News., 69, 20–21. (1983). Solutions to ethical and legal problems in (1983). “Ethical Guidelines for statistical practi- social research. New York; Academic Press. ce: historical perspective. Report of the ASA ad hoc committee on professional ethics; and Discussion”. BOWER, Robert Turrell, & DE GASPARIS, The American Statistician, 37 (1), 1–19. Priscilla, (1978). Ethics in social research: protecting the interests of human subjects. New York; APPELL, George Nathan, (1978). Ethical di- Praeger. lemmas in anthropological inquiry: a case book. Waltham, Mass.; Crossroads Press. BRYANT, E.C. and HANSEN, M.H. (1976. “Invasion of privacy and surveys, a growing dilemma”. BAAS — BRITISH ASSOCIATION FOR THE In: H.W. Sinaiko and L.A. Broadling, eds. PerspecADVANCEMENT OF SCIENCE, (1974). “Does re- tives on attitude assessment; surveys and their alsearch threaten privacy or does privacy threaten re- ternatives. Champaign; Illinois Free Press. search?”Report of a study group. London; BAAS. Publication 74/1. BULMER, Martin, (1979). Editor Censuses, surveys and privacy, London. Macmillan. BARNES, John Arundel, (1980). Who should know what? Social science, privacy and ethics. (1982). Editor Social research ethics: an examiCambridge; Cambridge University Press. 281 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI nation of the merits of covert participant observa(1982). “Code of professional conduct: a persotion. London; Macmillan. nal view”. International statistical review, 40, 214– 219. BURGESS, Robert G. (1984). In the field: an introduction to field research. London; Allen & UnDIENER, Edward, & CRANDALL, Rick, win. Contemporary social research 8. (1978). Ethics in social and behavioural research. Chicago; University of Chicago press. CANADA COUNCIL, (1977). Consultative group on ethics. Ethics: report of the consultative DOUGLAS, Jack Daniel, (1979). “Living mogroup on ethics. Ottawa; Canada Council. rality versus bureaucratic fiat”. In Klockars & O’Connor 1979, 13–33. CAPRON, Alexander Morgan, (1982). “Is consent always necessary in social science research?Ïn DURBIN, J., (1979). “Statistics and the Report Beauchamp et al., 1982, 215–231. of the Data Protection Committee”. Journal of Royal Statistical Society, A., 142 (3), 299–316. CARROLL, James D., & KNEER, Charles R, (1976). “The APSA confidentiality in social science FINNEY, D. J., (1984). Comment in Proceeresearch project: a final report”. PS., 9, 416–419. dings of the 44th Session of the ISI Volume L Book 3: 553. CASSELL, Joan. (1982a). “Does risk-benefit analysis apply to moral evaluation of social FLAHERTY, David H., (1979). Privacy and goresearch?Ïn Beauchamp et al., 1982, 144–162. vernment data banks: an international perspective. (1982b). “Harms, benefits, wrongs, and rights in London; Mansell. fieldwork”. In Sieber 1982a, 7–31. FLAHERTY, David H., HANIS, Edward H., & CHAKRAVARTY, S. (1985). Use of statistics MITCHELL, S. Paula, (1979). Privacy and access for planning in the economic and related sectors to government data for research: an international with emphasis on macro-level planning — review of bibliography. London; Mansell. Indian experience. Paper presented at 45th Session of ISI, Amsterdam. FORM, William Humbert, (1973). “Field problems in comparative research: the politics of disCRISPO, John Herbert Gillespie, (1975). The trust”. In Armer, Michael, & Grimshaw, Allan Day, public right to know: accountability in the secretive eds., Comparative social research: methodology prosociety. Toronto; McGraw-Hill Ryerson. blems and strategies, 83–117. New York; Wiley. DALENIUS, T. (1979). “Data protection legislaFRANKEL, L., (1976). “Statistics and Peoples tion in Sweden: a statisticians’ perspective”. Journal — the Statisticians’s Responsabilities”. Journal of of the Royal Statistical Society A, 142 (3), 285–298. American Statistical Association, 70 (353), 9–16. (1983). “Informed consent or RSVP”. In: W. G. FREIDSON, Eliot, (1978). “Comment on StepMadow, H. Nisselsen and I. Olkin, eds. Incomplete henson, M., et al., articles on ethics”. American sodata in sample surveys, Vol. 3: 85–106. New York; ciologist, 13, 159–160. Academic Press. FREUND, Paul E., (1969). Editor. “Ethical asDEMING, W. Edwards, (1965). “Principles of pects of experimentation with human subjects”. professional statistical practice. The Annals of Mat- Daedalus, 98 (2) xiv, 219–597. hematical Statistics”. Vol. 36, (4), 1883–1900. GELLER, Daniel M., (1982). “Alternatives to 282 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI deception: why, what, and how?”. In Sieber 1982b, W., (1979). Editors. Deviance and decency: the et39–55. hics of research with human subjects. Beverly Hills; Sage. Sage annual review of studies in deviance 3. GONZALES, M. E., OGUS, J. L., SHAPIRO, G., & TEPPING. B. J., (1975). “Standards for disLEVINE, Robert J., (1978). “The role of assesscussion and presentation of errors in surveys and ment of risk-benefit criteria in the determination census Data”. Journal of American Statistical As- of the appropriateness of research involving human sociation, 70 (351) II, 5–23. subjects”. In United States. National commission for the protection of human subjects of biomedical GSS — GOVERNMENT STATISTICAL SER- and behavioural research. Appendix. The Belmont VICE, (1984). Code of practice on the handling report: ethical principles and guidelines for the proof data obtained from statistical inquiries. London; tection of human subjects of research. Washington, D.C.; U.S. government printing office. DHEW puHMSO. blication (OS) 78-0013. HANSEN, M. H., (1983). “Discussion of DALE1979). “Clarifyng the concepts of research etNIUS, T. (1983)”. In: W. G. Madow, H. Nisselson and I. Olkin eds. Incomplete Data in Sample Sur- hics”. Hastings Centre report, 9 (3), 21–26. veys, Vol. 3: 125–127. New York; Academic Press. LOO, Chalsa M., (1982). “Vulnerable populaHARTLEY, Shirley Foster, (1982). “Sampling tions: case studies in crowding research”. In Sieber strategies and the threat to privacy”. In Sieber 1982b, 105–126. 1982b, 186–189. MICHAEL, James, (1982). “Privacy”. In Wallington, Peter, ed., Civil liberties 1984. London; JAHODA, Marie, (1981). “To publish or not to Martin Robertson: 131–150. publish?”. Journal of social issues, 37, 208–220. MIRVIS, Philip H., & SEASHORE, Stanley E., JOHNSON, Carole Gaar, (1982). “Risks in the (1982). “Creating ethical relationships in organisapublication of fieldwork”. In Sieber 1982a, 71–91. tional research”. In Sieber 1982b, 79–104. JOWELL, Roger, (1979). “Informed consent in MUHSAM, Helmut, (1985). On two human survey research. Bulletin of the International Statistical Institute”, (Proceedings of the 42nd session) rights involved in the ISI Declaration on Professional Ethics. Contributed paper, Proceedings of the 66, 273–276. 45th Session. (1981). “A professional code for statisticians? NYITRAI, V., (1985). The socio-economic staSome ethical and technical conflicts. Bulletin of the tistical information system as a useful means for International Statistical Institute”(Proceedings of planning. Paper presented at 45th Session of ISI, the 43rd session) 49 (1), 165–209. Amsterdam. KLAW, Spencer, (1970). “The Faustian barO’CONNOR, Michael Edward, (1976). “Prison gain”. In Brown, Martin, ed., The social responsiresearch: a methodological commentary on being a bility of the scientist. New York Free Press: 3–15. known observer”. Australian and New Zealand jourKLOCKARS, Carl B., (1979). “Dirty hands and nal of criminology, 9, 227–234. deviant subjects”. In Klockars & O’Connor 1979, 261–282. O’CONNOR, Michael Edward, & BARNES, John Arundel, (1983). “Bulmer on pseudopatient KLOCKARS, Carl B., & O’CONNOR, Finbarr studies: a critique”. Sociological review n.s., 31, 283 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI 753–758. London; Social and Community Planning Research. OKELY, Judith, (1984). “Fieldwork in the hoSHILLS, Edward, (1967). “Privacy and power”. me counties”. Royal Anthropological Institute News, In Pool, Ithiel de Sola, ed., Contemporary poli61, 4–6. tical science: toward empirical theory. New York; McGraw-Hill: 228–276. POOL, Ithiel de Sola, (1979). “Protecting human subjects of research: an analysis on proposed SIEBER, Joan E., (1982a). Editor. The ethics amendments to HEW policy”. PS, 12, 452–455. of social research: fieldwork, regulation, and publication. New York; Springer. (1980). “Response by Pool”. PS, 13, 203–204. (1982b). Editor. The ethics of social research: POWELL, John P., (1983). “Professional ethics surveys and experiments. New York; Springer. in academia”. Vestes, 27 (2), 29–32. SIMMEL, Georg, (1908). Soziologie. UntersuREEVES, Tom Kynaston, & HARPER, Donald chungen uber die Formen der Vergesellschaftung. George, (1981). Surveys at work: a practitioner’s Leipzig; Duncker & Humblot. guide. London; McGraw-Hill. (1952). The sociology of Georg Simmel. Editor Wolfe, Kurt Heinrich. Glencoe; Illinois Free Press. REYNOLDS, Paul Davidson, (1975). “Value dilemmas in the professional conduct of social science”. International social science journal, 27, 563– SINGER, Eleanor, (1978). “Informed consent: 611. consequences for response rate and response quality for social surveys”. American sociological re(1979). Ethical dilemmas and social science re- view, 43, 144–162. search: an analysis of moral issues confronting inSJOBERG, Gideon, (1967). Editor. Ethics, polivestigators in research using human participants. tics, and social research. Cambridge, Mass.; SchenSan Francisco; Jossey -Bass. kaman. (1982). Ethics and social science research. Englewood Cliffs, N. J.; Prentice-Hall. RYNKIEWICH, Michael Allen, & SPRADLEY, James Phillip, (1976). Editors. Ethics and anthropology: dilemmas in fieldwork. New York; Wiley. STOCKING, S. Holly, & DUNWOODY, Sharon L., (1982). “Social science in the mass media: images and evidence”. In Sieber 1982a, 151–169. SWISS ACADEMY OF SCIENCE. Ethical Guidelines for Animal Experimentation. RYTEN, Jacob, (1983). “Some general consideTEFFT, Stanton K., (1980). Editor. Secrecy: a rations as a result of an Ecuadorian case study”. Bu- cross-cultural perspective. New York; Human scienlletin of the International Statistical Institute (Pro- ces press. ceedings of the 43rd session), 49 (2), 639–665. WARWICK, Donald P., (1983). “The politics SCHULER, Heinz, (1982). Ethical problems in and ethics of field research”. In Bulmer, Martin, & psychological research. New York; Academic press. Warwick, Donald P., eds. Social research in developing countries: surveys and censuses in the Third SCPR — SOCIAL AND COMMUNITY PLAN- world. Chichester; Wiley: 315–330. NING RESEARCH Working Party, (1974). Survey research and privacy: report of a working party. WAX, Murray L., (1980). “Paradoxes of ‘con284 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI sent’ to the practice of fieldwork”. Social problems, WILLIAMS, K. (1985). Use of statistical infor27, 272–283. mation for assessing social conditions and monitoring and evaluation of development programmes — (1982). “Research reciprocity rather than infor- experience of African countries. Paper presented at med consent in fieldwork”. In Sieber 1982a, 33–48. 45th Session of ISI, Amsterdam. WORLD MEDICAL ASSOCIATION DECLAWAX, Murray L., & CASSEll, Joan, (1981). RATION OF HELSINKI, (1964). Revised 1975. Re“From regulation to reflection: ethics in social reprinted in Duncan, H.S., Dunstan, G.R. and Welsearch”. American sociologist, 16, 224–229. bourn, R.B. (eds.) (1981 Dictionary of Medical EtWEBB, Eugene John, and others, (1966). Unob- hics. Revised and enlarged version, Darton, Longtrusive measures: nonreactive research in the social ham and Todd, London). sciences. Chicago; Rand McNally. 285 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI 5.1.2 ISI Declaration on Professional Ethics 2009 (draft) Adopted: August 2009 Background note interest in professional ethics among statisticians worldwide; The involvement of the International Statistical Institute in establishing a declaration on professional ethics has extended over the past quarter century. The Bureau of the Institute, in response to representations by members and a proposal by the Institute’s Committee on Future Directions, initially established a Committee on a Code of Ethics for Statisticians in 1979, during the 42nd ISI Session in Manila. • determines to send the Declaration to all members of the ISI and its Sections and to disseminate it, as appropriate, within the statistical profession; That Committee 5 worked to prepare a plenary meeting at the Buenos Aires Session in 1981, during which a consensus in favour of drawing up a code developed: the ’code’ was prepared for acceptance by the Institute during its Centenary Celebration in 1985. The Declaration which emerged was the result of an extensive process of drafting and redrafting, of consultation with the entire ISI membership and with the ISI’s Sections, and of open meetings and written consultations which occurred between December 1981 and August 1985. The drafting of the Declaration provoked much interest and genuine debate which continued into the week before it was placed before the General Assembly of the Institute for adoption. In accordance with the spirit and letter of the resolution, in August 1985, the International Statistical Institute presented its members with the ISI Declaration on Professional Ethics. • commends the Committee responsible for developing the Declaration forits thorough, efficient and successful work during the last five years. With the passage of time, the Institute found itself visiting the question of the need for an updating of the Declaration. For example, in July 2002, prior to the ISI international meetings in Berlin, a Conference on Professional Ethics was assembled to explore the issue and, in September of that year, produced a proposed, revised set of ethics, which does not seem to have gone any further. Nonetheless, the topic continued to be the focus of conversation in subsequent meetings of the Ethics Committee. In July 2006, the Executive Committee specifically invited its standing Professional Ethics Committee 6 to revisit the ISI Declaration and, ”should the occasion arise, (propose) updates to the ISI Declaration”. Specifically, in regard to the ISI Declaration, the Committee was asked to propose, if meri• recognising that the aim of the Declaration on ted, updates to the earlier Declaration and to cataProfessional Ethics for Statisticians is to do- logue new documents to illuminate the ethical praccument shared professional values and expe- tices of statisticians. rience as a means of providing guidance rather This the Committee has now done. After much than regulation, discussion, an extensive exchange of ideas by pho• adopts the Declaration as an affirmation of ne, and email, writing and rewriting, a revised dothe membership’s concern with these matters cument was prepared for a meeting held in Paris, in and of its resolve to promote knowledge and March 2007, hosted by INSEE. This was followed by After due consideration and deliberation the General Assembly adopted the following resolution on 21 August 1985: ’The General Assembly of the International Statistical Institute, 5 The Committee was chaired by Roger Jowell. Original members were W. Edwards Deming, Arno Donda, Helmut V. Muhsam and Edmund Rapaport, who subsequently were joined by Edmundo Berumen-Torres, Gilbert Motsemme and Rene Padieu. 6 The current Committee is composed of David Morganstein (Chair), Margo Anderson, Edmundo Berumen, Steven Fienberg, Fred Ho, Roger Jowell, Olav Ljones, Bill Seltzer, and Jan-Robert Suesser. The Committee receives important support from an Ethics Advisory Group consisting of Jean-Louis Bodin, Oliver J.M. Chinganya, Howard Gabriels, Denise Lievesley, Dan Levine, Renee Padieu, Hrachya Petrosyan, and Norbert Victor . . . 286 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI an open meeting at the ISI international meetings in Lisbon, in August 2007, at which the results of all these efforts were presented to the participants for their comments and reactions. That meeting led to agreement on many points, but a number of suggestions for further examination were suggested. This led to the addition of a Section on Core Values and further refinement in the content and format. This document is the result of these recent efforts. ces between principles will sometimes have to be made. The declaration does not attempt to resolve these choices or to allocate greater priority to one of its principles than to another. Instead it offers a framework within which the conscientious statistician should, for the most part, be able to work comfortably. Where departures from the framework of principles are contemplated, they should be the result of deliberation rather than of ignorance. In accordance with the spirit and letter of the original resolution, the International Statistical Institute is privileged to present to the reader this revised and updated Declaration on Professional Ethics, with the continued hope and belief that the new document will assist colleagues throughout the world in the pursuit of their professional goals and responsibilities. The declaration’s first intention, thus, is to be informative and descriptive rather than authoritarian or prescriptive. Second, it is designed to be applicable as far as possible to the wide and changing areas of statistical methodology and application. For this reason, its provisions are drawn quite broadly. Third, although the principles are framed so as to have wider application to decisions than to the issues it specifically mentions, the declaration is by no means exhaustive. It is designed in the knowledge that it will require periodic updating and amendment, reflecting on the one hand developments in the generation of information and technical tools utilized by statisticians and, on the other hand, in the uses (and , consequently, misuses) of statistical outputs. Fourth, the values, principles, and the commentaries which follow acknowledge with the general written or unwritten rules or norms, such as compliance with the law or the need for probity. However, the declaration restricts itself insofar as possible to matters of specific concern to statistical inquiry. Preamble Statisticians work within a variety of economic, cultural, legal and political settings, each of which influences the emphasis and focus of statistical inquiry. They also work within one of several different branches of their discipline, each involving its own techniques and procedures and, possibly, its own ethical approach. Many statisticians work in fields such as economics, psychology, sociology, medicine, whose practitioners have ethical conventions that may influence the conduct of statisticians in their fields. Even within the same setting and branch of statistics, individuals may face various situations and constraints in which ethical questions Although not explicitly stated, the Principles arise Thus, no declaration could successfully impose inherently reflect the obligations and responsibilia rigid set of rules to which statisticians everywhere ties of–as well as the resulting conflicts faced by – should be expected to adhere, and this document statisticians to forces and pressures outside of their does not attempt to do so. own performance, namely to and from: The aim of this declaration is to enable the statistician’s individual ethical judgments and deci• Society, sions to be informed by shared values and experience, rather than by rigid rules imposed by the • Employers, Clients, and Funders, profession. The declaration therefore seeks to document widely held principles of statistical inquiry • Colleagues, and to identify the factors that obstruct their implementation. It is framed in the recognition that, • Subjects on occasions, the operation of one principle will impede the operation of another, that statisticians In carrying out his/her responsibilities, each stain common with other occupational groups - have tistician must be sensitive to the need to ensure that competing obligations not all of which can be fulfi- his/her actions are, first, consistent with the best inlled simultaneously. Thus, implicit or explicit choi- terests of each group and, second, do not favor any 287 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI group at the expense of any other, or conflict with any of the Principles. The Principles are followed by short commentaries on the conflicts and difficulties inherent in their application. A link is provided for each ethical principle for those who wish to pursue the issues.. Similarly, a limited annotated bibliography is provided after the commentaries for those who wish to pursue the issues or consult more detailed texts. CORE VALUES Our core values are respect, professionalism, honesty and integrity. 1. Respect We have an obligation to protect fundamental human rights, especially those of others about whom or from whom we collect data. We should not suppress or improperly detract from the work of others. We should avoid causing needless injury or harm to others. We should act in ways that promote the welfare of other people. We respect the privacy of others and promises of confidentiality given to them. 2. Professionalism a. Responsibility b. Competence and Expert Knowledge c. Informed judgment We are responsible to our employers. We work to understand our users’ needs. We are continuously learning both about our own field as well as those to which we apply our methods. We develop new methods as appropriate. We discuss difficult issues objectively and contribute to their resolution. 3. Honesty and Integrity a. Independence b. Objectivity c. Transparency Our approaches and work products reflect the qualities of openness and clear purpose. We are accountable for our actions. We have respect for intellectual property. We represent data and analyses honestly and openly. We strive to collect and analyze data of the highest quality possible. As scientists, we expect to pursue new ideas and criticize old ones. We work towards the logical coherence and empirical adequacy of our data and conclusions. We value ”pre-established apersonal criteria.of assessment. I. ETHICAL PRINCIPLES 1. Conflicting Interests The likely consequences of collecting and disseminating various types of data should be considered and explored, and efforts made to guard against predictable misinterpretation or misuse. We use our statistical knowledge, data, and Findings should be communicated for the beneanalyses to serve society and human wellfit of the widest possible community, yet attempt to being, i.e., fulfill the public interest. ensure no harm to any population group. . . We are responsible for the fitness of data and 2. Pursuing Objectivity of methods for the purpose at hand. Statisticians should uphold their professional inWe should obey the law and work to change tegrity without fear or favor, only selecting and laws we believe impede good statistical pracusing methods designed to produce the most accutice. rate results, and presenting all the findings openly, We need to assure that we do not have con- completely, and in a transparent manner regardless flicts of interest in our work. of the outcomes. Statisticians should be particularly 288 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI sensitive to the need to present findings when they ques, and findings to be assessed independently. challenge a preferred outcome. 10. Communicating Ethical Principles 3. Clarifying Obligations and Roles In collaborating with colleagues and others in The respective obligations of employer, client, the same or other disciplines, it is necessary and imor funder and statistician in regard to the roles and portant to ensure that the ethical principles of all responsibility of each should be spelled out and fully participants are clear, understood, respected, and understood in advance. In providing advice or gui- reflected in the undertaking. dance, statisticians should take care to stay within 11. Bearing Responsibility for the Integrity of the their area of competence, and seek advice, as apDiscipline propriate, from others with the relevant expertise. Statisticians are subject to the general moral ru4. Assessing Alternatives Impartially les of scientific and scholarly conduct: they should Available methods and procedures for addres- not deceive or knowingly misrepresent or attempt sing a proposed inquiry should be considered and to prevent reporting of misconduct or obstruct the an impartial assessment provided to the employer, scientific/scholarly research of others client, or funder of the respective merits and limita- 12. Avoiding Undue Intrusion tions of alternatives, along with the proposed metThe intrusive potential of some forms of statishod. tical inquiry requires that they be undertaken only 5. Avoiding Preempted Outcomes with great care, full justification of need, and notiAny attempt to establish a predetermined out- fication of those involved. come from a proposed statistical inquiry should be 13. Ensuring Informed Consent rejected, as should contractual conditions continStatistical inquiries involving the active particigent upon such a requirement. pation of human subjects should be based, as far as 6. Guarding Privileged Information practicable, on their freely given, informed consent, Privileged information is to be kept confidential. including their entitlement to understand the manThis prohibition is not to be extended to statisti- datory/voluntary status of their participation and cal methods and procedures utilized to conduct the the ability to refuse for whatever reason. Participainquiry or produce published data. tion should be as informed as possible, and information that might affect the willingness to participate 7. Exhibiting Professional Competence should not be withheld. Statisticians shall seek to upgrade their professional knowledge and skills, and shall maintain awa- 14. Protecting the Interests of Subjects. reness of technological developments, procedures, Statisticians are obligated to protect subjects, and standards which are relevant to their field, and individually and collectively, insofar as possible, shall encourage others to do the same. against potentially harmful effects of participating, both to the subjects themselves and to their rela8. Maintaining Confidence in Statistics tionships with their environment. This responsibiIn order to promote and preserve the confidence lity is not absolved either by consent or the legal of the public, statisticians should ensure that they requirement to participate. accurately and correctly describe their results, including the explanatory power of their data. It is in- 15. Maintaining Confidentiality of Records cumbent upon statisticians to alert potential users The identities and records of all subjects or resof the results to the limits of their reliability and pondents, cooperating or not, should be kept conapplicability. fidential, whether or not confidentiality has been 9. Exposing and Reviewing Methods and Findings explicitly pledged. Adequate information should be provided to the 16.Inhibiting Disclosure of Identity public to permit the methods, procedures, techniAppropriate measures should be utilized to pre289 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI vent data from being published or otherwise released in a form that would allow a subject or respondent’s identity to be disclosed or inferred. 290 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI I. COMMMENTARY In reflecting on or in reacting to an Ethical Principle, the statistician must be cognizant of the fact that, in many cases, actions taken will reflect more than a single principle. For one example, the statistician must be sensitive to the possible consequences of the work product, given the knowledge that society’s entitlement to know about its collective characteristics sometimes conflicts with the individual’s entitlement to protect his or her privacy (or that of a group or community). Many such examples could be cited to illustrate the complexity and interrelationships of what, at first, may appear to be simple ethical issues. 1. Conflicting interests by a statistical inquiry which finds that it contains a very high incidence of crime. A group interest may also be harmed by social or political action based on statistical findings. For instance, heavier policing of a district in which crime is found to be high may be introduced at the expense of lighter policing of a district in which crime is found to be high may be introduced at the expense of lighter policing in low crime districts. Such a move may be of aggregate benefit to society but to the detriment of some districts. Statisticians are not, however, in a position to prevent action based on statistical data. Indeed, to guard against the use of their findings would be to disparage the very purpose of much statistical inquiry. However, statisticians should act to the extent possible to inform the public if findings are misused or mislead. The likely consequences of collecting and disseminating various types of data should be conside- 2. Pursuing objectivity red and explored, and efforts made to guard against Statisticians should uphold their professional inpredictable misinterpretation or misuse. Findings tegrity without fear or favor, only selecting and should be communicated for the benefit of the wiusing methods designed to produce the most accudest possible community. rate results, consistent with accepted international Statistical inquiry is predicated on the belief practices presenting the findings openly, complethat greater access to well-grounded information is tely, and”in a transparent manner. While statistibeneficial to society. The fact that statistical infor- cians operate within the value systems of their sociemation can be misconstrued or misused, or that its ties, they should not engage or collude in selecting impact can be different on different groups, is not methods designed to produce misleading results, or in itself a convincing argument against its collec- in misrepresenting statistical finds by commission tion and dissemination. Nonetheless, the statistician or omission. should consider the likely consequences of collecting The pursuit of objectivity is a goal of science, and disseminating various types of data and should though in practice it may be difficult to achieve at guard against predictable misinterpretations or miall times. Statistics is no exception. The selection suse. of topics for attention may reflect a systematic bias No generic formula or guidelines exist for asses- in favour of certain cultural or personal values, In sing the likely benefit or risk of various types of addition, the employment base of the statistician, statistical inquiry. Nonetheless, the statistician has the source of funding, and a range of other facto be sensitive to the possible consequences of his tors may impose certain priorities, obligations, and or her work, in the knowledge that society’s entitle- prohibitions. Even so, the statistician is never free ment to know about its collective characteristics so- of a responsibility to pursue objectivity and to be metimes conflicts with the individual’s entitlement open about known barriers to its achievement. In to protect his or her privacy. particular, statisticians are bound by a professional All information, whether systematically collec- obligations to resist approaches to data collection, ted or not, is subject to misuse. And no informa- processing, analysis, interpretation, and publication tion is devoid of possible harm to one interest or that are likely (explicitly or implicitly) to misinform another. Individuals may be harmed by their par- or to mislead, rather than to advance knowledge. ticipation in statistical inquiries, or group interests 3. Clarifying obligations and roles may be damaged by certain findings. A particular The respective obligations of employer, client, or district may, for instance, be negatively stereotyped 291 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI funder, and statistician in regard to the roles and responsibility of each should be spelled out and fully understood in advance. In providing advice or guidance, statisticians should take care to stay within their area of competence, and seek advice, as appropriate, from others with the relevant expertise. Statisticians should clarify in advance the respective obligations of employer, client, or funder and statistician; they should, for example, refer the employer or funder to the relevant parts of a professional code to which they adhere. Reports of the findings should (where appropriate) specify their role. 4. Assessing alternatives impartially Available methods and procedures for addressing a proposed inquiry should be considered and an impartial assessment provided the employer, client, or funder of the respective merits and limitations of alternatives, along with the proposed method. Statisticians should consider the available methods and procedures for addressing a proposed inquiry and should provide the funder or employer with an impartial assessment of the respective merits and demerits of alternatives. Statisticians develop and use concepts and techniques for the collection, analysis or interpretation of data. Although they are not always in a position to determine the scope of their work or the way in which their data are used and disseminated, they are frequently able to influence these matters. In addition, they are in a position to devise more efficient uses of resources through, for example, developing sampling techniques or introducing new uses for existing data. Academic statisticians may enjoy the greatest degree of autonomy over the scope of their work and the dissemination of their results. Even so, they are generally dependent on the decisions of funders, on the one hand, and journal editors, on the other, for the direction and publication of their inquiries. Statisticians employed in the public sector and those employed in commerce and industry tend to have even less autonomy over that they do or how their data are utilised. Rules of secrecy may apply; pressure may be exerted to withhold or delay the publication of findings (or of certain findings); statistical series may be introduced or discontinued for reasons that have little to do with technical considerations. In these cases the final authority for decisions about an inquiry may rest with the employer or client. Statisticians are most likely to avoid restrictions being placed on their work when they are able to stipulate in advance the issues over which they should maintain control. Government statisticians may, for example, gain agreement to announce dates of publication for various statistical series, thus creating an obligation to publish the data on the due dates regardless of intervening political factors. Similarly, statisticians in commercial contracts may specify that control over at least some of the findings (or details of methods) will rest in their hands rather than with their clients. The greatest problems seem to occur when such issues remain unresolved until the data emerge. 5. Avoiding Preempted Outcomes Any attempt from employer, client, or any source to establish a predetermined outcome from a proposed statistical inquiry should be rejected, as should contractual conditions contingent upon such a requirement. Statisticians should not accept contractual conditions that are contingent upon a particular outcome from a proposed statistical inquiry. 6. Guarding Privileged Information Statisticians are frequently furnished with information by the employer, client, or funder who may legitimately require it to be kept confidential. Statistical methods and procedures that have been utilised to produce published data should not, however, be kept confidential. The independent statistician or consultant appears to enjoy greater latitude than the employeestatistician to insist on the application of certain professional principles. In the case of the independent statistician, each relationship with a funder may be subject to a specific contract in which roles and obligations may be specified in advance, suggesting some greater latitude. In the employee’s case, by contrast, his or her contract is not projectspecific and generally comprises an explicit or implicit obligation to accept instructions from the employer. The employee-statistician in the public sector may be restricted further by statutory regulations 292 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI covering such matters as compulsory surveys and reflected in the undertaking. official secrecy. Each of these principles stems from the notion 7. Exhibiting Professional Competence that statisticians derive their status and certain priStatisticians shall seek to upgrade their profes- vileges of access to data not only by virtue of their sional knowledge and skill and shall maintain aware- personal standing but also by virtue of their profesness of technological developments, procedures, and sional citizenship. In acknowledging membership of standards which are relevant to their field, and shall a wider statistical community, statisticians owe vaencourage their colleagues to do likewise. They also rious obligations to that community and can expect shall offer to do work or provide services which are consideration from it. within their professional competence, and shall not claim competence not possessed, and any professional opinion given shall be objective and reliable. They shall not commit to produce results when, in their judgment, conditions to succeed are not met. The reputation of statistics will inevitably depend less on what professional bodies of statisticians assert about their ethical norms than on the actual conduct of individual statisticians. In considering the methods, procedures, content and reporAbove all, statisticians should attempt to ensu- ting of their inquiries, statisticians should therefore re that employers, clients, and funders appreciate try to ensure that they leave a research field in a the obligations that statisticians have, not only to state which permits further access by statisticians them, but also to society at large, to subjects, to in the future. professional colleagues and to collaborators. Statistical inquiries are frequently collaborative efforts among colleagues of different levels of senio8. Maintaining Confidence in Statistics rity and from different disciplines. The reputations In order to promote and preserve the confidence and careers of all contributors need to be taken inof the public, statisticians should ensure that they to account. The statistician should also attempt to accurately and correctly describe their results, in- ensure that statistical inquiries are conducted witcluding the explanatory power of their data. It is in- hin an agreed ethical framework, perhaps incorpocumbent upon statisticians to alert potential users rating principles or conventions from other discipliof the results to the limits of their reliability and nes, and that each contributor’s role is sufficiently applicability. defined. The World Medical Association’s DeclaraStatisticians depend upon the confidence of the tion of Helsinki (1975), for instance, gives guidance public. They should in their work attempt to pro- to statisticians in the field of medicine. A princimote and preserve such confidence without exagge- ple of all scientific work is that it should be open rating the accuracy or explanatory power of their to scrutiny, assessment and possible validation by fellow scientists. Particular attention should be gidata. ven to this principle when using computer software 9. Exposing and Reviewing Methods and Findings packages for analysis by providing as much detail Within the limits of confidentiality require- as possible. Any perceived advantage of withholding ments, statisticians should provide adequate infor- details of techniques or findings, say for competitive mation to colleagues to permit their methods, pro- reasons, needs to be weighed against the potential cedures, techniques and findings to be assessed in- disservice of such an action to the advancement of dependently. Such assessments should be directed statistical knowledge. at the methods themselves rather than at the indiOne of the most important but difficult responviduals who selected or used them. sibilities of the statistician is that of alerting poten10. Communicating Ethical Principles In collaborating with colleagues and others in the same or other disciplines, it is necessary and important to ensure that the ethical principles of all participants are clear, understood, respected, and tial users of their data to the limits of their reliability and applicability. The twin dangers of either overstating or understating the validity or generalisability of data are nearly always present. No general guidelines can be drawn except for a counsel of caution. Confidence in statistical findings depends 293 Principis i recomanacions internacionals 5.1. Declaration on Professional Ethics - ISI critically on their faithful representation. Attempts by statisticians to cover up errors (see Ryten, 1981), or to invite over- interpretation, may not only rebound on the statisticians concerned, but also on the reputation of statistical institutions, as well as on statistics in general. have objections to the data’s being used for a different purpose from that intended, they should not be adversely affected by such uses, provided that their identities are protected and that the purpose is statistical, not administrative. As Cassell (1982) argues, people can feel wron11. Bearing Responsibility for the Integrity of the ged without being harmed by research: they may Discipline feel they have been treated as objects of measureStatisticians, in the exercise of their science and ment without respect for their individual values and scholarship, are subject to the general moral rules of sense of privacy. In many of the statistical inquiries scientific and scholarly conduct: they should not de- that have caused controversy, the issue has had moceive or knowingly misrepresent (i.e., fabricate, fal- re to do with intrusion into subjects’ private and sify, or plagiarize), or attempt to prevent reporting personal domains, or with overburdening subjects of misconduct or obstruct the scientific/scholarly re- by collecting ’too much’ information, rather than with whether or not subjects have been harmed. By search of others. exposing subjects to a sense of being wronged, perFurther, they should publicly acknowledge assis- haps by the method of selection or by causing them tance received in research and preparation of their to acquire self-knowledge that they did not seek or work, give appropriate credit for co-authorship or want, statisticians are vulnerable to criticism. Recontribution, encourage publication by colleagues or sistance to statistical inquiries in general may also students, and compensate justly those who assist or increase. participate in professional activities. 13. Ensuring Informed Consent 12. Avo