wp14es

COMISIÓN EUROPEADIRECCIÓN GENERAL XVMERCADO INTERIOR Y SERVICIOS FINANCIEROSLibre circulación de la información, derecho de sociedades e información financieraLibre circulación de la información, protección de datos y sus aspectos internacionales

DG XVD/5047/98 finalWP 14

Grupo de Trabajo de protección de las personascon respecto al tratamiento de datos de carácter personal

SEGUNDO INFORME ANUAL

Aprobado por el Grupo de Trabajo el 30 de noviembre de 1998

-2-

ÍNDICE

1. INTRODUCCIÓN 3

2. NOVEDADES EN LA UNIÓN EUROPEA 4

2.1. La Directiva 42.1.1. Grupo de Trabajo de protección de datos 42.1.2. Transposición al derecho nacional de los Estados miembros 52.1.3. Respeto de la Directiva por las instituciones europeas 7

2.2. Novedades en el campo de la protección de datos. Actividades de las autoridades encargadasde la protección de datos 8

2.3. Evolución de la política de la Unión Europea en el campo de la protección de datos 292.3.1. Iniciativas sectoriales 292.3.2. La protección de datos y la sociedad de la información2.3.2. La protección de datos en el marco de otros instrumentos comunitarios 312.3.3. La protección de datos en el marco de los instrumentos no comunitarios 32

2.4. Schengen 32

2.5. Diálogo con terceros países sobre las cuestiones relativas a la protección de datos 32

3. EL CONSEJO DE EUROPA 33

4. PRINCIPALES NOVEDADES EN TERCEROS PAÍSES 34

4.1. Espacio Económico Europeo 34

4.2. Países de Europa central y oriental 35

4.3. Otros terceros países 35

5. OTRAS NOVEDADES A NIVEL INTERNACIONAL 36

5.1. Organización de Cooperación y Desarrollo Económicos (OCDE) 36

6. ANEXOS 38

-3-

EL GRUPO DE TRABAJO SOBRE PROTECCIÓN DE LAS PERSONAS EN LO QUERESPECTA AL TRATAMIENTO DE DATOS PERSONALESinstituido por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 deoctubre de 19951,visto el artículo 29 y el artículo 30(6) de dicha Directiva,visto su Reglamento de Régimen Interior y, en particular, sus artículos 12, 13 y 15,ha aprobado este informe anual.

1. INTRODUCCIÓN

El 24 de octubre de 1995, el Parlamento Europeo y el Consejo aprobaron laDirectiva 95/46/CE relativa a la protección de las personas físicas en lo que respectaal tratamiento de datos personales y a la libre circulación de estos datos (designadaen lo sucesivo “la Directiva”)2.

El artículo 29 de la Directiva ha creado el grupo de trabajo sobre protección de laspersonas en lo que respecta al tratamiento de datos personales. Este grupo tiene laobligación de facilitar a la Comisión, al Parlamento Europeo y al Consejo uninforme anual sobre el estado de la protección de las personas físicas con respecto altratamiento de datos de carácter personal en la Comunidad y en terceros países. Esteinforme ha de ser publicado3.

El primer informe fue aprobado el 25 de junio de 1997 y cubría las principalesnovedades de 1996 en el campo de la protección de datos. Este segundo informeabarca el año 1997, y retoma en lo esencial la estructura del primer informe, parafacilitar la lectura de las novedades que han tenido lugar: la segunda parte trata delas ocurridas en la Unión Europea, tanto en los Estados miembros como a nivel de laComunidad. La tercera parte estudia la actuación del Consejo de Europa. La cuartaparte trata de las principales novedades en terceros países y la quinta parte presentaotras novedades a nivel internacional.

A nivel de la Comunidad, el año 1997 estuvo marcado por varias novedadesimportantes:

• la firma del Tratado de Amsterdam, con inclusión de una disposición específicasobre la protección de datos personales (véase punto 2.1.3);

• la adopción de la Directiva 97/66 sobre la protección de datos personales en elsector de las telecomunicaciones (véase punto 2.3.1);

• la adopción de los primeros documentos del Grupo creado por la Directiva95/46/CE, que ha alcanzado rápidamente su velocidad de crucero y cuyasactividades despiertan cada vez más interés en los medios afines (véase punto2.1.1).

1 DO L 281 del 23.11.1995, p. 31.

2 DO L 281 del 23.11.1995, p. 31.

3 Artículo 30, párrafo 6, de la directiva.

-4-

Además, el proceso de transposición de la Directiva 95/46/CE ha entrado en su fasecrucial, y dos nuevos países (Suiza y Hungría) se han adherido al Convenio 108 delConsejo de Europa.

2. NOVEDADES EN LA UNIÓN EUROPEA

2.1. La Directiva

El proceso de aplicación de la Directiva fue iniciado en 1996 en todos los Estadosmiembros y a nivel europeo. El punto 2.1.1 recuerda las competencias del grupo ysus actividades en 1997, el punto 2.1.2 describe los procedimientos de transposiciónde la Directiva a nivel nacional y el punto 2.1.3 subraya las medidas tomadas por lasinstituciones europeas para conformarse a las reglas de la Directiva.

2.1.1. Grupo de Trabajo sobre protección de datos

El Grupo de Trabajo se compone de representantes de las autoridades nacionalesindependientes encargadas de la protección de datos4 y un representante de laComisión e incluirá un representante de la autoridad responsable de las cuestionesrelacionadas con la protección de datos dentro de las instituciones europeas, a partirde la fecha de la institución de esta autoridad (véase punto 2.1.3).

Al compartir la experiencia de las autoridades nacionales, el Grupo de Trabajoimpulsa la aprobación de una estrategia coherente para la aplicación de losprincipios generales enunciados en la Directiva y aconseja a la Comisión sobre lascuestiones relacionadas con la protección de datos. Su función consisteespecialmente en formular dictámenes sobre el nivel de protección en la Unión y enlos terceros países, y en emitir recomendaciones sobre toda cuestión referente a laprotección de las personas con respecto al tratamiento de datos de carácter personal.

El Grupo de Trabajo se reunió por primera vez el 17 de enero de 1996. Estetemprano comienzo del trabajo fue a instancia de las autoridades nacionalesresponsables de la protección de datos. El Grupo de Trabajo está presidido por elSr. Peter J. HUSTINX, presidente de la autoridad holandesa responsable de laprotección de datos (Registratiekamer). Desde la entrada en vigor de laslegislaciones griega e italiana sobre la protección de datos personales, el Grupo deTrabajo reúne desde ahora a las autoridades de control de todos los Estadosmiembros.

En 1997, el Grupo de Trabajo se reunió cuatro veces y estudió un número crecientede cuestiones. En particular, las discusiones entabladas en 1997 permitieron laaprobación de los siguientes documentos:

(1) la Recomendación 1/97 sobre la protección de datos y los medios decomunicación, que trata del equilibrio entre la protección de la vida privaday otros principios de naturaleza constitucional, tales como la libertad deprensa, subrayando que estos principios (lejos de ser antinómicos) serefuerzan mutuamente (documento WP1 – 5012/97);

4 Los miembros del grupo se enumeran en el anexo 1.

-5-

(2) el dictamen 1/97 sobre la iniciativa canadiense referente a la normalizaciónen materia de protección de la vida privada (WP 2 – 50023/97);

(3) el primer informe anual (WP 3 – 5025/97);

(4) las primeras líneas directrices del Grupo de Trabajo sobre el traspaso dedatos hacia los terceros países (WP 4 – 5020/97);

(5) la Recomendación 2/97 referente al informe y a las directrices del grupo detrabajo internacional sobre la protección de datos en las telecomunicaciones(WP 5 – 5060/97);

(6) la Recomendación 3/97 sobre el anonimato en Internet (WP 6 – 5022/97);

(7) el documento de trabajo sobre la evaluación de los códigos deautorregulación relativos al traspaso de datos hacia los terceros países (WP 7– 5057/97);

(8) el documento de trabajo sobre las notificaciones (WP 8 – 5027/97).

Conviene subrayar que todos los documentos aprobados por el grupo estándisponibles en el sitio "Europa" de la Comisión Europea, y pueden ser consultadosen la dirección siguiente:

http://europa.eu.int/comm/dg15/index.htm

2.1.2. Transposición al derecho nacional de los Estados miembros

Esta parte resume los progresos realizados en la transposición de la Directiva alderecho nacional durante el año 1997 y tiene en cuenta las novedades hasta el 30 dejunio de 1998.

En Bélgica, el proyecto de ley para transponer la Directiva, revisado tras eldictamen del Consejo de Estado, fue presentado al Parlamento en abril de 1998.

En Dinamarca, el proyecto de ley fue presentado el 30 de abril de 1998, y elParlamento terminó su primera lectura en junio.

En España, el anteproyecto de ley de enmienda de la legislación sobre la protecciónde datos (Ley Orgánica 5/1992) fue presentado al Consejo de Estado para dictameny debería ser discutido por el Parlamento en el transcurso del verano de 1998. Sinembargo, la mayor parte de las disposiciones ya han sido transpuestas por la “LeyOrgánica” 5/1992 del 29 de octubre de 1992 sobre el tratamiento automático dedatos personales.

En Alemania, el legislador federal es el primer responsable de la transposición de laDirectiva. Esta responsabilidad - que se fundamenta en los poderes legislativos quele otorga el artículo 74 de la Constitución - abarca no sólo el ámbito público de laFederación sino también el ámbito no público donde deberían producirse la mayoríade los cambios. Sin embargo - principalmente en el sector público - las leyes de losLänder sobre la protección de datos deben también conformarse a las disposiciones

-6-

de la Directiva. Además de las leyes generales sobre la protección de datos, un grannúmero de reglamentos tanto federales como regionales que afectan aspectosespecíficos de la legislación sobre la protección de datos deben ser estudiados. Elcomisario federal y los comisarios de los Länder encargados de la protección dedatos y las autoridades de supervisión responsables del sector no público trataron lacuestión de la próxima enmienda a la ley alemana sobre la protección de datos en elmarco de las responsabilidades que les incumben respectivamente. El ministro deInterior, que es responsable del procedimiento legislativo, presentó un proyecto deley el 1 de diciembre de 1997, sobre el cual el comisario federal de la protección dedatos hizo observaciones el 30 de enero de 1998. Un nuevo proyecto de Ley del 8de abril de 1998 no fue estudiado más detenidamente a causa de las eleccionesnacionales del 27 de septiembre de 1998. Debido al principio constitucional de la nocontinuidad de la legislación, un nuevo anteproyecto de ley deberá presentarse en elParlamento en el transcurso de la nueva legislatura.

La ley griega sobre la protección de datos (Ley 2472/97 sobre la protección de laspersonas con respecto al tratamiento de datos de carácter personal) fue ratificada porel Parlamento griego el 26.03.1997 y se publicó el 10.04.1997. De acuerdo con lasdisposiciones de la ley, el presidente de la autoridad (quien debe ser juez delTribunal Supremo) fue nombrado por el gobierno, y los seis miembros por elParlamento. Estos nombramientos tuvieron lugar en 1997, y la autoridad es ahoraoperativa.

En Francia, se remitió un informe al primer ministro en marzo de 1998 y le seguiráun nuevo informe sobre las redes telemáticas. La autoridad francesa responsable dela protección de datos, la Commission Nationale de l'Informatique et des Libertés(CNIL) será consultada respecto al anteproyecto de ley que, sin embargo, no estabadisponible en el momento de redactar este informe.

En Irlanda, el ministro de Justicia es el responsable de la legislación sobre laprotección de datos. Las medidas legislativas necesarias para aplicar la Directiva,que incluirán enmiendas a la Ley de 1988 sobre la protección de datos, seencuentran en proceso de elaboración.

En Italia, la ley sobre la protección de datos personales fue aprobada el 1 dediciembre de 19965; entró en vigor el 8 de mayo de 19976. El Parlamento autorizó algobierno7 para que legisle por vía reglamentaria para enmendar y completar la leyde transposición de la Directiva.

En Luxemburgo, la transposición de la Directiva al derecho nacional incumbe alministerio de Justicia. Se redactó un proyecto de ley en 1997, pero se retiróposteriormente. El Parlamento estudiará un nuevo proyecto en septiembre de 1998.

El gobierno de los Países Bajos había anunciado su intención de sustituir la leyactual sobre la protección de datos, en vigor desde el 1 de julio de 1989, por una ley

5 Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana n° 5, suplemento 3, 8.01.1997.

6 Excepto con respecto a ciertos aspectos relativos al acuerdo de Schengen, que entró en vigor el 8 deenero de 1997.

7 Legge 676/96, Gazzetta Ufficiale della Repubblica Italiana n° 5, suplemento 3, 8.01.1997.

-7-

totalmente nueva sobre el mismo asunto, de acuerdo con las disposiciones de laDirectiva. El 16 de febrero de 1998 se presentó un proyecto de ley al Parlamentocon este fin. La subcomisión parlamentaria correspondiente emitió su dictamen enjunio de 1998 y el debate en el pleno debería tener lugar antes de finalizar este año.

La cancillería federal de Austria (Österreichisches Bundeskanzleramt) preparó unproyecto de transposición de la Directiva al derecho nacional, que fue estudiado porel Consejo encargado de la protección de datos; una versión revisada deberíapresentarse en el Parlamento en otoño de 1998.

En Portugal, la Constitución fue revisada por Ley constitucional N° 1/97 del 20 deseptiembre de 1997 con el fin de poder transponer la Directiva. En efecto, laConstitución portuguesa incluye disposiciones sobre la protección de datos que, enalgunos casos, son más restrictivas que las de la Directiva8. La autoridad portuguesapara la protección de datos desempeñó un papel importante en el grupo de trabajocreado por el ministro de Justicia para redactar el anteproyecto de ley transponiendola Directiva. Este anteproyecto fue difundido para su consulta y se publicó en elsitio Internet del ministerio de Justicia. El anteproyecto de ley fue presentado alParlamento el 2 de abril de 1998; debería aprobarse el 24 de octubre de 1998.

En Finlandia, una comisión ad hoc encargada de la transposición de la Directiva(Henkilötietotoimikunta) concluyó sus trabajos en 1997. El proyecto de ley fuepresentado en el Parlamento en julio de 1998.

En Suecia, la nueva legislación sobre la protección de datos fue aprobada por elParlamento el 16 de abril de 1998. Algunas medidas complementarias se aprobaránpor vía reglamentaria en septiembre de 1998.

En el Reino Unido, el proyecto de ley sobre la protección de datos fue presentadoen el Parlamento el 14 de enero de 1998, y fue aprobado en julio de 1998 (“RoyalAssent”: 16 de julio de 1998). Los actos de derecho derivado son objeto de consultapública hasta el 30 de septiembre. No se espera que la ley entre en vigor antes delprincipio del año 1999.

2.1.3. Respeto de la Directiva por las instituciones europeas

Las instituciones europeas y la Comisión en particular tratan con frecuencia datospersonales en el marco de sus actividades. La Comisión intercambia datospersonales con los Estados miembros en el marco de la Política agrícola común,para la gestión de los trámites aduaneros, los fondos estructurales, etc. Para que laprotección en Europa no sufriera fisuras, la Comisión, cuando propuso la Directivaen 1990, declaró que respetaría también sus principios.

En el momento de su aprobación, la Comisión y el Consejo se comprometieron, enuna declaración pública, a respetar la Directiva e invitaron a las demás institucionesy órganos comunitarios a seguir el ejemplo9.

8 Véase el primer Informe anual, página 7, nota 8.

9 Esta declaración fue publicada en un comunicado de prensa del Consejo el 24 de julio de 1995 (9012/95 (Prensa 226)).

-8-

Durante la conferencia intergubernamental para la revisión de los Tratados, lacuestión de la aplicación de las reglas sobre la protección de datos a las institucioneseuropeas fue planteada por los gobiernos holandés y griego. Al terminar lasnegociaciones, el Tratado firmado en Amsterdam introdujo una disposiciónespecífica con este propósito. En la numeración definitiva del tratado, se trata delartículo 286, cuya formulación es como sigue:

(1) A partir del 1 de enero de 1999, los actos comunitarios relativos a laprotección de las personas respecto del tratamiento de datos personales y ala libre circulación de dichos datos serán de aplicación a las instituciones yorganismos establecidos por el presente Tratado o sobre la base del mismo.

(2) Con anterioridad a la fecha indicada en el párrafo 1, el Consejoestablecerá, con arreglo al procedimiento previsto en el artículo 251, unorganismo de vigilancia independiente, responsable de controlar laaplicación de dichos actos comunitarios a las instituciones y organismos dela Comunidad y adoptará, en su caso, cualesquiera otras disposicionespertinentes.

El artículo 286 estipula por lo tanto que a partir del 1 de enero de 1999, lasinstituciones y los órganos de la Comunidad deberán aplicar las reglas comunitariasde protección de datos personales fijadas por la Directiva 95/46/CE. Estipulatambién que antes de esta fecha, a propuesta de la Comisión, el Parlamento Europeoy el Consejo deben crear una autoridad de control independiente encargada deasegurar la correcta aplicación de las reglas arriba mencionadas por las institucionescomunitarias y que tomen todas las medidas necesarias para este fin.

Antes de la ratificación del Tratado, los servicios de la Comisión han preparado unanteproyecto de reglamento y se solicitó al Grupo de Trabajo su dictamen el 16 demarzo de 1998.

2.2. Novedades en el campo de la protección de datos. Actividades de lasautoridades encargadas de la protección de datos

Esta parte subraya las principales novedades en el campo de la protección de datos,y trata en particular de los trabajos de las autoridades nacionales encargadas de laprotección de datos. Puede obtenerse información adicional de estas autoridades,que publican informes anuales detallados.

Austria

La cancillería federal austríaca (Österreichisches Bundeskanzleramt) ha preparadoun proyecto sobre la protección de datos para transponer la Directiva al derechoaustríaco y para estudiar varias cuestiones, tales como la responsabilidad de lasbases de datos creadas por varios controladores del tratamiento de datos.

En 1997, la comisión austríaca encargada de la protección de datos resolvió más de30 quejas presentadas por ciudadanos, 90 peticiones de autorización para el traspasode datos a terceros países y trató unas 80 peticiones de registro de tratamiento.

-9-

Como en estos últimos años, el personal de los servicios de la comisión encargadade la protección de datos ha dedicado gran parte de su actividad a ofrecer a losciudadanos, por escrito o por teléfono, asesoramiento legal sobre cuestionesjurídicas. Con la liberalización de las telecomunicaciones en Austria, los serviciosde la comisión austríaca han podido observar un fuerte incremento de las peticionesde información sobre cuestiones relacionadas con el respeto a la intimidad en lo quese refiere a los sistemas de facturación telefónica, y muchas otras peticiones sobrecuestiones tales como la protección de datos y el marketing directo, la seguridadsocial y el empleo.

Las quejas presentadas ante la comisión se refieren, por ejemplo, al derecho de unempleado extranjero a oponerse a que su empleador obtenga más informacionessobre su situación jurídica en Austria que las que figuran sobre su autorizaciónoficial de residencia. Por otra parte, la comisión decidió que un operador (público)de telecomunicaciones no tenía el derecho a imprimir un número de teléfono secretoen las facturas mensuales enviadas a una entidad bancaria, aun cuando la personahaya indicado ella misma con anterioridad este número a la entidad bancaria.

Conviene mencionar que la comisión ha observado una tendencia hacia unincremento de los traspasos transfronterizos de datos para consultas médicas asícomo la gestión del personal y el mantenimiento de los sistemas informáticos porempresas multinacionales. El telemantenimiento transfronterizo, en particular,pasará a ser, a muy corto plazo, un importante tema de reflexión.

Bélgica

En 1997, la Comisión belga presentó unos cuarenta dictámenes, principalmente ainstancia de las autoridades públicas, pero también por iniciativa propia. Estosdictámenes se refieren a la aplicación de los principios fundamentales de laprotección de la vida privada con respecto al tratamiento de datos de carácterpersonal. En 1997, casi el 45% de estos dictámenes se referían al Registro nacionalde las personas físicas.

La Comisión belga tiene competencia para estudiar las quejas que le presentan. Lamayoría de las cartas de quejas de las personas son en realidad peticiones deinformación. En 1997, la Comisión hizo frente, de hecho, a unas cincuenta quejas.

Por lo que se refiere al crédito al consumo, el número de quejas sigue siendo elmismo con cerca de 500.

Por lo que se refiere a la petición de acceso indirecto a los ficheros de los serviciosde información y policía, la Comisión tuvo que hacer frente a 34 peticiones.

La Comisión belga desempeña un papel de información al público. En 1997, laComisión recibió cerca de 700 peticiones de informaciones escritas y contestó anumerosas preguntas por teléfono.

En 1997, se declararon más de 7 000 tratamientos de datos ante la Comisión, de loscuales el 30% se referían al sector de asistencia sanitaria. El número de peticionesde información sobre el registro público llevado por la Comisión, y que incluyeestas declaraciones, aumentó significativamente.

-10-

La Comisión belga ha participado también en varias reuniones científicas y deinformación a nivel nacional e internacional y ha organizado la 19ª conferenciainternacional de los comisarios de la protección de datos, que se celebró en Bruselasdel 17 al 19 de septiembre.

Dinamarca

En 1997, el comisario danés encargado de la protección de datos trató más de 2 000nuevos casos tanto en el sector público como el sector privado. Durante el mismoperíodo, el comisario realizó más de 70 inspecciones en los locales de lasautoridades públicas y empresas privadas.

El Comisario dictaminó sobre un proyecto del Ministerio de Investigación sobrefirmas digitales. Este dictamen es globalmente favorable, en la medida en que unalegislación en este campo podría contribuir al desarrollo de las comunicacionesdigitales y aumentar la seguridad de las comunicaciones.

El Comisario opina que es necesario codificar los datos sensibles sobre un enfermoque las autoridades públicas del sector sanitario deben transmitirse unas a otras através de Internet, y que con ello se aseguraría un alto nivel de protección. ElComisario declaró además que, en su opinión, los datos sensibles de carácterpersonal no deben almacenarse en las memorias de los ordenadores que puedenconectarse a Internet, sin existir las salvaguardias necesarias contra cualquier accesono autorizado.

En otro caso, el Comisario expresó su preocupación en relación con la creación porparte de un hospital de una base de datos a la cual los médicos podían tener acceso através de Internet para facilitar o buscar información de carácter personal. Según eldictamen del Comisario, este acceso debería realizarse a través de redes cerradas.

Sobre la cuestión de la codificación de la información en Internet, el Comisariodictaminó sobre el proyecto de comunicación de la Comisión Europea relativo a lasfirmas digitales y la codificación. En particular, el Comisario subrayó la importanciacapital de garantizar el derecho al respeto de la vida privada y la confidencialidad delas comunicaciones, y consideró que las restricciones en cuanto a la criptografíaviolan estos principios.

El Comisario ha estudiado también la cuestión de los famosos “cookies” en Internet.De acuerdo con su dictamen, el uso de los “cookies” puede constituir una amenazapara el respeto de la vida privada, pero no es necesariamente el caso. Lo queimporta es que los internautas sean conscientes de la existencia de esta técnica paraasí poder tomar las contramedidas apropiadas.

Además, una enmienda menor de la legislación en los ficheros gestionados por lasautoridades públicas entró en vigor el 1 de enero de 1997, ampliando el derecho delas autoridades públicas a comunicar datos sobre sus deudores a los organismosprivados de evaluación financiera.

Finlandia

-11-

Marco legislativo y reglamentario

En Finlandia, la comisión sobre la protección de datos personales, que el Ministeriode Justicia nombró para llevar a cabo la reforma de la ley sobre los ficheros de datospersonales, presentó su informe el 16 de mayo de 1997. Este informe dio lugar a lapresentación de observaciones; después de ello, el Ministerio de Justicia se encargóde preparar la nueva ley sobre los datos personales. El objetivo es transponer, antesdel 24 de octubre de 1998, las disposiciones de la Directiva 95/46/CE. Otra reformaimportante está en preparación en el Ministerio de Justicia: el nuevo proyecto de leysobre la transparencia de la administración contiene, entre otras cosas, disposicionessobre los tratamientos de datos personales procesados por las autoridades públicas ysobre la definición de los buenos usos en gestión de la información.

A finales de 1997, el Parlamento aprobó el Convenio Europol y las correspondientesenmiendas a la legislación. El Defensor del Pueblo encargado de la protección dedatos fue designado como la autoridad de control nacional. Las disposiciones de laDirectiva 97/66/CE relativa al tratamiento de los datos personales y a la protecciónde la intimidad en el sector de las telecomunicaciones deben ser transpuestas por lanueva ley sobre la protección de la vida privada y la seguridad de datos en lastelecomunicaciones, en preparación en el Ministerio de Transportes yTelecomunicaciones. Otros sectores han visto el lanzamiento de proyectoslegislativos relativos, entre otras cosas, a las exigencias de la Directiva 95/46/CE.

El Ministerio de Justicia creó en 1997 un grupo de trabajo que se ha dedicado adeterminar las necesidades normativas en lo que se refiere a las firmas digitales ylos organismos de certificación. El Ministerio de Sanidad y Asuntos Socialesconstituyó en 1997 un grupo de trabajo que está actualmente investigando lautilización de las tecnologías en el sector de la asistencia sanitaria y sobre lanecesidad de tener en cuenta los problemas que se plantean desde el punto de vistade la protección de datos. En el marco de estos trabajos, se realizará un estudiosobre la necesidad de una tarjeta de sanidad personal así como sobre lasposibilidades que podría ofrecer. Finalmente, un grupo de trabajo creado por elMinisterio de Trabajo en 1997 ha analizado las cuestiones del respeto de la vidaprivada de las personas en las pruebas de selección y las entrevistas para lacontratación.

Jurisprudencia

En Finlandia, los fiscales deben escuchar al Defensor del Pueblo encargado de laprotección de datos antes de presentar sus conclusiones en un asunto de infracciónde un fichero de datos o violación de un fichero. Igualmente, el tribunal debe dar alDefensor del Pueblo la oportunidad de ser escuchado. El número de solicitudes noha dejado de aumentar, así como el número de recursos ante los tribunales (en 1997hubo 12 solicitudes). En la mayoría de los casos, la cuestión era el uso ilícito dedatos personales almacenados en un sistema informático: un empleado en el serviciodel responsable de los ficheros utilizaba, de una u otra manera, estos datos enbeneficio propio.

Actividades de las autoridades encargadas de la protección de datos

Teniendo en cuenta los recursos disponibles, los servicios del Defensor del Pueblofinlandés encargado de la protección de datos han realizado un esfuerzo especial

-12-

para mejorar la información. El canal principal utilizado es un boletín deinformación sobre la protección de datos. En 1997, los servicios del Defensor delPueblo han abierto su propia página web. Una serie de informaciones han sidopublicadas sobre los derechos de los ciudadanos y la manera de ejercer estosderechos. En la práctica, las actividades de los servicios del Defensor del Pueblo seconcentran sobre todo en la asistencia sanitaria y el empleo. Se han asignado cadavez más recursos a los problemas de la protección de datos que se originan por eluso creciente de la informática y la creación de redes (incluido Internet).

Traspasos de datos a terceros países

En Finlandia, la autorización de la comisión encargada de la protección de datos esnecesaria para transferir, a un tercer país, datos personales, cuando la operaciónprevista se refiere a una transferencia masiva o la transferencia de una muestra dedatos sensibles hacia un país cuya legislación en materia de protección de datos noasegura un nivel de protección adecuado desde el punto de vista del derechofinlandés. Las demás transferencias masivas de datos personales deben notificarse alDefensor del Pueblo encargado de la protección de datos.

Las notificaciones de transferencias de datos a terceros países se refierenesencialmente a dos tipos de transferencias:

Por una parte, se han transferido nombres y direcciones a los Estados Unidos alefecto de imprimir soportes publicitarios para correo directo. La empresa americanaha asegurado que garantizaría la seguridad de datos y procuraría que no seutilizarían para otros fines. Al final de la operación, se volvieron a transferir losdatos a Finlandia.

Por otra parte, las filiales finlandesas de empresas extranjeras han notificadotransferencias de datos personales al sistema de gestión centralizada del personal delgrupo o empresa. Los datos deben utilizarse exclusivamente para la gestión delpersonal y la gestión de las carreras profesionales. Quedan a la disposición de lasempresas del grupo implantadas en varios países. El Defensor del Pueblo encargadode la protección de datos ha dado instrucciones para que se informe al personal deeste traspaso y se tomen las medidas apropiadas para asegurar la seguridad de datos.

Francia

En 1997, se remitieron 4 452 casos a la Commission Nationale de l’Informatique etdes Libertés (CNIL), con inclusión de 821 peticiones de información y 2 348 quejas.Esta comisión recibió también 2 724 peticiones de dictamen sobre el tratamiento dedatos personales en el sector público, de un total de 67 136 casos sobre eltratamiento en los sectores público y privado. Los principales campos en 1997 semencionan a continuación.

La reforma de la seguridad social y el objetivo de un mejor control de los gastossanitarios han llevado a Francia a proveerse de la mayor red intranet sobre la cualcirculan datos particularmente sensibles sobre la salud. Cada asegurado social ycada profesional sanitario estarán provistos, en el año 2000, de una tarjetaelectrónica que permitirá la transferencia de datos necesarios para el reembolso de la

-13-

asistencia sanitaria por los organismos de la seguridad social y ningún otrodocumento en papel deberá ser utilizado después de esa fecha. La informatizaciónde los profesionales sanitarios, la aplicación de la red, la distribución de tarjetaselectrónicas a los asegurados sociales y profesionales sanitarios, la constitución deficheros nacionales de los profesionales y asegurados (no sólo los padres sinotambién sus hijos, desde el nacimiento) y la nueva utilización de una codificación detodas las patologías posibles ha movilizado a la autoridad nacional de protección dedatos que ha trabajado en estrecha colaboración con las organizacionesrepresentantes de los profesionales sanitarios y los enfermos. La CNIL hamanifestado sus reservas sobre los asuntos para los cuales el gobierno francés sedirigió a ella, reservas que fueron, en gran parte, tomadas en cuenta. Sin embargo, laCNIL deseó aprobar en febrero de 1997 una recomendación de alcance generalsobre las redes de sanidad, la cual tuvo una buena acogida (DO de 12 de abril de1997).

La aparición de las megabases de datos sobre comportamientos alimentadasmediante cuestionarios que comprenden cerca de doscientas preguntas ydistribuidos por varias empresas privadas, provocan numerosas quejas ante la CNIL.En este contexto, la comisión aprobó una recomendación que tiene la finalidad deprecisar las condiciones en las cuales las personas deberían estar informadas demanera clara y sincera del propósito comercial de datos recogidos y de sus derechos.En efecto, los operadores utilizaban expresiones ambiguas que podían dar motivopara pensar que se trataba de encuestas exclusivamente estadísticas y realizadas porcuenta del Estado. La CNIL formuló además una advertencia a uno de estosoperadores que había suprimido de los cuestionarios distribuidos la casilla en dondelas personas marcan que no desean que sus datos sean cedidos a terceros. En unfallo del 30 de julio de 1997, el Conseil d'Etat, la más alta jurisdicciónadministrativa en Francia, confirmó la lógica de esta advertencia. Se trata de laprimera decisión jurisdiccional con relación a una advertencia por parte de la CNILa un responsable de ficheros de datos.

En el sector bancario, el importante número de quejas para las cuales acuden a ella,ha llevado a la comisión a realizar misiones de control en las más grandes entidadesbancarias con la intención de gestionar mejor la información bancaria utilizada paraestablecer perfiles. Estos controles deben complementarse con visitas in situ aorganismos de crédito para verificar las condiciones de utilización de la evaluacióndel riesgo crediticio. Resulta que a igual situación financiera, el criterio de lanacionalidad podía permitir a estos organismos distinguir por una parte entrefranceses y súbditos de otro país de la Unión Europea y por otra, entre franceses ysúbditos de un tercer país.

Para facilitar la aplicación de la ley a las actividades en Internet, la comisión hadiseñado un modelo tipo que reglamenta los tratamientos utilizados en varios sitiosInternet de los diferentes ministerios. Este modelo, junto con la guía que hadistribuido para todos aquellos responsables de sitios web, retoma susrecomendaciones elaboradas en colaboración con las personas interesadas, relativasa las utilizaciones principales de Internet, mensajería electrónica, foros de discusión,bajada de datos en línea así como la difusión de información personal. En esteúltimo caso, la comisión subrayó en particular, por una parte, el derecho de laspersonas involucradas de oponerse con antelación o posteriormente a la difusión dedatos que les conciernen, por otra parte ha recordado a los usuarios de los sitios la

-14-

prohibición de utilizar los datos personales así distribuidos para otros fines,especialmente comerciales. Así, se reconoce hoy en día en Francia:– el derecho de las personas de oponerse a que los sitios públicos de las

administraciones divulguen sus organigramas o guías telefónicas (decisión de 16de mayo de 1997, JO de 18 de mayo de 1997),

– el derecho de los abonados inscritos en las guías telefónicas de oponerse aaparecer en servicios de guías telefónicas inversas y en las guías con acceso porInternet (recomendación de la CNIL de 8 de julio de 1998, JO de 2 de agosto de1997 y decisión de France Telecom de 23 de enero de 1998 publicada en el JO defebrero de 1998).

Por último, la CNIL celebró en los primeros días del año 1998 el vigésimoaniversario de la Ley “Tecnología de la información y libertad” del 6 de enero de1978. En esta ocasión, concedió premios “Tecnología de la información y libertad”a seis personas u organismos que destacaron particularmente por su preocupaciónpor la protección de datos, y abrió su sitio Internet (http:/www/cnil/fr) que incluyeuna función particular que permite a todos los internautas ser conscientes de la“posibilidad de rastreo“ de su navegación por Internet.

Alemania

Habida cuenta del fallo pronunciado en 1983 por el Tribunal Constitucional federalrespecto a la ley sobre el censo y su repercusión en la legislación en materia deprotección de datos, fue necesario, entre otras cosas, determinar una base jurídicapara las numerosas comunicaciones oficiales procedentes de los tribunales y losfiscales, en particular en el marco de procedimientos penales, y destinadas a otrosorganismos públicos como los empleadores del sector público. Dada la importanciadel legajo, la ley sobre las comunicaciones judiciales (Justizmitteilungsgesetz) nofue promulgada, después de un procedimiento de preparación interminable, hasta el26 de junio de 1997. Esta ley define un marco general que rige las situaciones en lasque las transferencias de datos de este tipo quedan autorizadas siempre que elorganismo que transmite estos datos considere dicha transferencia necesaria para elcumplimiento de las obligaciones del destinatario y no estime que la personainteresada justifique un interés superior, que conviene proteger, para oponerse a unatransferencia de este tipo. La provisión de información detallada sobre estascomunicaciones a las personas interesadas, que eran el objetivo buscado por lasautoridades encargadas de la protección de datos, queda desgraciadamente muylimitada, y ello con el propósito de aliviar las obligaciones administrativas. Una vezcomplementada por los reglamentos administrativos que determinan aquellascomunicaciones judiciales que serán lícitas de forma general, la ley sobre lascomunicaciones judiciales entró en vigor el 1 de julio de 1998.

En 1997, el análisis del genoma humano en los procedimientos penales cobró cadavez más importancia. El comisario federal encargado de la protección de datospresionó para exigir una autorización por ley para el almacenamiento y eltratamiento centralizados de los resultados de los análisis de ADN en la Oficinafederal de la policía judicial.

Desde el punto de vista de Alemania, la ley que ratifica el Convenio Europol no essólo una etapa importante para la participación de este país en Europol. Contienetambién reglas importantes, entre otras, sobre las competencias y la independencia

-15-

del representante alemán en la Comisión de quejas de la autoridad de control comúnde Europol.

Con la liberalización del mercado de las telecomunicaciones, un gran número denuevos proveedores operan actualmente en Alemania. Durante el período deobservación, otros reglamentos sectoriales con disposiciones importantes en materiade protección de datos tuvieron por tanto que ser aprobados. En junio de 1997, seaprobó la ley sobre los servicios de información y comunicación (Informations- undKommunikationsdienste-Gesetz). Esta ley establece reglas para la protección dedatos en el marco de la utilización de los servicios de telecomunicaciones. Fuecompletada por una ley sobre las firmas (Signaturgesetz), que establece un marcojurídico sobre la seguridad de las firmas digitales. El decreto relativo a la protecciónde los consumidores en el sector de las telecomunicaciones(Telekommunikations-Kundenschutzverordnung) fue promulgado en diciembre de1997 y entró en vigor en enero de 1998. En 1997, el comisario federal encargado dela protección de datos asumió la responsabilidad de observar el cumplimiento de lasreglas sobre la protección de datos por parte de las empresas proveedoras deservicios de telecomunicaciones.

La Ley sobre los servicios postales (Postgesetz), que entró en vigor en enero de1998, constituye una etapa clave hacia la total liberalización del mercado de losservicios postales. En virtud de esta ley, todas las empresas proveedoras de serviciospostales están sujetas al secreto profesional con respecto a sus actividades y debenrespetar normas, en materia de protección de datos, que son habitualmente másestrictas que las impuestas por la legislación general. Se han concedido nuevospoderes de control al comisario federal encargado de la protección de datos por loque se refiere también a este sector.

El procedimiento legislativo para la introducción de la vigilancia de edificiosresidenciales mediante micrófonos ha progresado de forma significativa durante elperíodo de observación. Las nuevas reglas, que se aprobaron en marzo de 1998,permiten ciertas restricciones al derecho fundamental de la inviolabilidad deldomicilio. Constituyen un compromiso aceptable entre la protección de la vidaprivada de un individuo en el sentido más estricto de la palabra y un medioimportante de lucha contra el crimen organizado. En virtud de una decisión judicial,es posible recurrir a la instalación de micrófonos para la vigilancia de domicilios delos cuales es razonable pensar que están ocupados por un sospechoso, pero sólo conel fin de investigar sobre infracciones penales particularmente graves. Los tribunalesestán encargados de hacer respetar las disposiciones legales bajo las cuales unamedida de vigilancia se aplica sólo en última instancia en un procedimiento penal.Además, el Parlamento debe estar informado cada año de todas las operaciones devigilancia. Ya que las personas interesadas han de estar también informadas tanpronto como sea posible, sin que ello comprometa el objeto de la investigación,pueden recurrir a los tribunales para que verifiquen la legalidad de la medida devigilancia tomada.

Grecia

Con la Ley 2427 del 10 de abril de 1997 sobre la protección de las personas físicascon respecto al tratamiento de datos personales, Grecia fue el último Estado

-16-

miembro en aprobar una ley sobre la protección de datos, pero el primero entransponer la Directiva marco, mucho antes de la fecha prevista.

El presidente y los seis miembros de la autoridad griega encargada de la protecciónde datos, así como sus suplentes, fueron nombrados en octubre de 1997, de acuerdocon el procedimiento previsto en el artículo 16 de la nueva ley (nombramiento por elgobierno y confirmación por el parlamento). La autoridad es operativa desde el 10de noviembre de 1997 y dedicó sus reuniones de 1997 a cuestiones prácticas talescomo la aprobación de su reglamento interno, la contratación de personalespecializado y secretarias, así como la compra de los equipos necesarios. Además,el presidente y los miembros de la autoridad han participado en numerosasconferencias y seminarios sobre cuestiones relacionadas con la protección de datos.La autoridad debería estar en condiciones de asumir plenamente sus funciones en elotoño de 1998.

Irlanda


El ministerio de Sanidad consultó al comisario irlandés encargado de la protecciónde datos acerca de una propuesta de establecer un registro de la población para elapoyo de un programa nacional de diagnóstico precoz del cáncer del cuello delútero. Se propuso que los datos del registro se obtuvieran del entonces ministerio deAsuntos Sociales, del General Medical Services (Payments) Board y del VoluntaryHealth Insurance Board. El Comisario estimó que tal divulgación de datos por unode estos organismos excedía su capacidad jurídica como responsable del tratamientode datos. Esta consulta desembocó en una ley sobre la comunicación deinformaciones en materia de sanidad, la Health (Provision of Information) Act,1997, que autoriza a los responsables del tratamiento para proceder a lasdivulgaciones necesarias en determinados casos y bajo ciertos controles. ElComisario expresó públicamente su aprobación del nivel de protección de la vidaprivada que garantizan las disposiciones de esta ley.

El Comisario expresó, en cambio, su preocupación con respecto a una disposiciónde la ley sobre la vivienda, a saber el artículo 15 del Housing (MiscellaneousProvisions) Act, 1997. Esta disposición preveía una medida diseñada para reducirlas probabilidades de que una persona con antecedentes penales o conocida por sucomportamiento antisocial no residiera en viviendas de protección oficial,autorizando a la policía, así como a otros servicios, la comunicación de este tipo deinformación a los servicios públicos de vivienda. El Comisario fue consultado en laelaboración de esta ley y puso en duda el carácter necesario de esta disposición, yaque el artículo 8 de la Ley de 1988 sobre la protección de datos autoriza ladivulgación de datos personales en los casos de que su no divulgación comprometala prevención, la detección o la investigación de una infracción. Además, comentóque, en su dictamen, el artículo 15 propuesto era discutible porque su campo deaplicación era demasiado amplio y no se respetaba el principio de proporcionalidad.A pesar de las observaciones del Comisario, la disposición fue aprobada.

Jurisprudencia

-17-

Mientras siguen pendientes en los tribunales los recursos contra una decisión delComisario sobre una queja y contra un requerimiento del Comisario a una compañíade seguros de enfermedad, no se entablaron nuevos procesos durante 1997. ElComisario aprobó la introducción por el Irish Direct Marketing Association de unservicio (Mailing Preference Service) que permite a las personas excluirse de todoslos ficheros de direcciones gestionados por los miembros de la asociación. Se tratade un servicio voluntario que aumenta el derecho que el artículo 2, párrafo 7, de laLey de 1988 sobre la protección de datos concede ya a las personas físicas de exigirdel responsable de datos que deje de utilizar sus datos personales para fines demarketing directo.

Actividades del comisario encargado de la protección de datos

En 1997, prosiguieron las negociaciones entre el Comisario y Telecom Eireann, lacompañía nacional de teléfonos de Irlanda, acerca del proyecto de este operador deintroducir la identificación del número de llamada entrante. El Comisario opinó quecuando se introduzca este sistema, los abonados deberían poder elegir entre unaserie de opciones y escogerlas con la misma facilidad. Se llegó con TelecomEireann al acuerdo siguiente:

a) A partir de la aplicación del servicio y hasta que todos los abonados que nofiguren en la guía telefónica hayan indicado su elección, su número de teléfonoquedará oculto por defecto cuando realicen una llamada, mientras que la indicacióndel número de la llamada entrante funcionará para los demás abonados, y ello, apesar de la preferencia del Comisario por la no identificación de la llamada entrante,desde el principio, para todos los abonados. El Comisario se reservó el derecho deplantear nuevamente la cuestión después de un período inicial de prueba.

b) Este acuerdo quedó supeditado a la obligación de Telecom Eireann de demostrarun alto nivel de transparencia en todo el material informativo suministrado a losabonados antes de la aplicación de la identificación de la llamada entrante. Estematerial informativo debe someterse al Comisario para sus comentarios.

Las quejas y las peticiones de información presentadas en los servicios delcomisario encargado de la protección de datos durante 1997 aumentaron un 10%con respecto al año anterior, indicación de un creciente conocimiento de lascuestiones relativas a la protección de datos, tanto por parte de los responsables delos tratamientos como por parte de los ciudadanos.

Traspaso de datos a terceros países

Ningún caso de traspaso necesitó la evaluación del Comisario sobre el nivel deprotección de un tercer país. El Comisario recibió varias peticiones de responsablesde tratamientos de datos que deseaban traspasar datos a terceros países. Se tratabasobre todo de filiales irlandesas de multinacionales con sede en Estados Unidos a lasque se pidió traspasar datos a la casa matriz. En este tipo de situaciones, elComisario advierte que, en caso de queja por la utilización o divulgación de datospersonales a un tercer país, su investigación comenzará por un estudio de lasmedidas tomadas por el responsable del tratamiento irlandés para asegurar que losdatos traspasados al extranjero no se utilicen o se divulguen para fines y encondiciones otros que aquéllos para las que la persona interesada dio suconsentimiento en el momento de la obtención de datos.

-18-

Italia


Las leyes 675 y 676 del 31 de diciembre de 1996 sobre la protección de las personascon respecto al tratamiento de datos personales pretenden transponer la Directiva95/46/CE, o directamente (Ley 675) o delegando poderes al gobierno, que seencargará de aprobar las medidas necesarias (Ley 676). La Ley 675 introducetambién las disposiciones necesarias para hacer efectivo el Convenio 108 delConsejo de Europa: los instrumentos de ratificación de este Convenio fueronintroducidos el 29 de marzo de 1997 y el Convenio entró en vigor en Italia el 1 dejulio del mismo año. En comparación con la Directiva y el Convenio, el campo deaplicación de la legislación italiana es más amplio por abarcar el tratamiento manualo automatizado de datos de personas físicas o jurídicas. Los cuatro miembros de laautoridad de control ("Garante per la protezione dei dati personali”) fueronnombrados por el Parlamento en marzo de 1997, siendo operativa la autoridad desdeel día de la entrada en vigor de la Ley 675 (el 8 de mayo de 1997).

Otras medidas legislativas han sido tomadas por decreto (decretos 123 del 9 demayo de 1997 y 255 del 28 de julio de 1997) sobre la información y notificacionessimplificadas.

Entre las normas que rigen temas afines, se pueden mencionar la ley que ratifica elConvenio Europol (que da a la autoridad encargada de la protección de datos laresponsabilidad de datos personales contenidos en los ficheros nacionales de esteorganismo) y la ley que instituye la Autorita per le garanzie nelle Comunicazioni,que prevé la coordinación de las actividades de las autoridades de control y laposibilidad para el Consejo nacional de los usuarios de presentar sus opiniones ysugerencias a la autoridad encargada de la protección de datos.

Actividades de la autoridad de control

La Ley 675 establece la obligación de informar previamente a la personainvolucrada por el tratamiento de datos. El decreto 123 estipula que estainformación puede facilitarse verbalmente, siguiendo las sugerencias de la autoridadde control.

La autoridad tuvo que tratar varios problemas sobre el principio del consentimiento.El primer caso se refería al sector bancario, y en particular el formulario enviado alos clientes de un importante banco nacional: en su primera versión, el formulariopedía un consentimiento “general” para una gama muy amplia de operaciones detratamiento y mencionaba el cierre de la cuenta corriente y hasta la cancelación delcontrato, para los clientes que no dieran su consentimiento general. Se presentaronvarias quejas a la autoridad de control, y en base a los elementos recogidos, laautoridad aprobó una decisión pidiendo al banco que modifique el formulario y notome en cuenta las declaraciones recibidas. Se llevó a cabo una consulta con laasociación de bancos y el Banco de Italia para resolver los numerosos problemas.

-19-

La autoridad de control preparó un modelo de formulario (en italiano y bilingüeitaliano-alemán) para facilitar la notificación de los tratamientos, la fecha para lanotificación quedó fijada al 31 de marzo de 1998.

El tratamiento de datos sensibles conlleva protecciones particulares: si elresponsable del tratamiento es una entidad pública, el tratamiento ha de estarautorizado por una disposición legal explícita, indicando las datos que pueden sertratados, las operaciones autorizadas y la finalidad de interés público perseguida.Sin embargo, la ley estipula que durante un período de transición - que acaba el 7 demayo de 1998 pero sujeto a prórrogas de seis meses - las administraciones públicaspueden seguir procesando los datos recibidos antes de la entrada en vigor de la ley,después de su comunicación a la autoridad de control; si el tratamiento se realiza porpersonas de derecho privado, los datos sensibles se tratarán sólo con elconsentimiento por escrito de la persona y con la previa autorización de la autoridadde control. El número de peticiones de autorización fue de 8 889.

De acuerdo con el apartado 7 del artículo 41 de la Ley 675, la autoridad de controlaprobó “autorizaciones tipo” destinadas a ciertas categorías de responsables ociertas categorías de tratamientos. Las seis autorizaciones, aprobadas el 31 dediciembre de 1997, son:

(1) el tratamiento de datos sensibles en informes de trabajo;

(2) el tratamiento de datos sobre el estado de salud y la vida sexual;

(3) el tratamiento de datos por asociaciones sin ánimo de lucro;

(4) el tratamiento de datos por profesionales;

(5) el tratamiento de datos por ciertas categorías de responsables (sectorbancario, seguros, turismo, transportes, sondeos, estadísticas, selección depersonal, agencias matrimoniales);

(6) el tratamiento de datos sensibles por detectives privados.

Uno de los problemas más delicados se refiere al tratamiento de datos para elperiodismo o la expresión artística o literaria. La autoridad de control facilitó laaprobación de un código deontológico en este campo, llevando a cabo ampliasconsultas con representantes de la categoría en cuestión. En diciembre de 1997, elConsejo del colegio de periodistas aprobó un proyecto de código sobre el cual laautoridad de control formuló sus comentarios.

La autoridad de control ha ejercido sus poderes de investigación mediante el accesoal centro de proceso de datos del Ministerio de Interior (oficina de la seguridadpública).

Países Bajos

Novedades legislativas

-20-

En 1997, los Países Bajos aprobaron nuevas medidas para la transposición alderecho holandés de la Directiva comunitaria sobre la protección de datos.

En febrero de ese año, la autoridad holandesa encargada de la protección de datos(Registratiekamer) emitió un dictamen muy detallado sobre el proyecto de ley delMinisterio de Justicia. El dictamen llegaba a la conclusión de que la nueva leyaseguraría un nivel de protección adecuado de la vida privada de las personas físicascon respecto al tratamiento de datos personales y reforzaría los derechosindividuales de las personas interesadas.

La autoridad encargada de la protección de datos propuso algunas enmiendas yaclaraciones al texto presentado que fueron ampliamente recogidas en el proyectode ley presentado ante el Parlamento en febrero de 1998.

La autoridad holandesa emitió un dictamen crítico sobre otra ley con repercusionesen la vida privada de las personas interesadas, a saber la nueva ley sobre lastelecomunicaciones. Esta ley amplía los poderes concedidos a la policía y otrosorganismos de investigación respecto a las escuchas telefónicas y obliga a lasempresas de telecomunicaciones a almacenar todos los datos relativos al tráfico yponerlos a disposición de la policía y la justicia.

La autoridad habló en favor de la protección del derecho al anonimato en el sectorde las telecomunicaciones. El uso de las tarjetas de prepago podrían tenerse presentecon este fin. Otra de sus preocupaciones ha sido el deseo del gobierno holandés dereglamentar y limitar el uso de la criptografía.

La autoridad ha comunicado también varios dictámenes al Parlamento sobre dosnuevos proyectos de ley. El primer proyecto de ley pretende facilitar el control de lalegalidad de la residencia de los extranjeros que desean beneficiarse de serviciossubvencionados, enlazando la base de datos de los municipios con la base de datosde la administración encargada de los extranjeros. El segundo proyecto trata deregistros policiales especiales.

Otras novedades: códigos de conducta, publicaciones y presentaciones

La autoridad holandesa encargada de la protección de datos (Registratiekamer) hatomado parte en la elaboración de un código de conducta para el sector de seguros.Ha publicado informes sobre varias cuestiones, tales como la videovigilancia, elregistro de las prostitutas en la policía, el registro centralizado de los enfermos paraun control terapéutico, el intercambio oficioso de informaciones entre losorganismos de investigación y terceros, el funcionamiento de los servicios socialesmunicipales, etc.

La autoridad ha participado también en numerosas conferencias, seminarios ytalleres sobre temas como la protección de la vida privada de los trabajadores, lacriminalidad organizada internacional, etc. Ha realizado también variaspresentaciones para promover las técnicas que refuerzan la protección de la vidaprivada (Privacy Enhancing Technologies o PET) y ha participado en el desarrollo,para el sector de la sanidad, del primer sistema de información comercial que utilizaestas técnicas.

Controles del respeto de la vida privada y evaluación tecnológica

-21-

Se llevó a cabo un control del respeto de la vida privada en la parte holandesa delsistema de información Schengen, y se tomaron medidas preliminares para realizarestos controles en diferentes administraciones municipales.

Una evaluación tecnológica sobre el almacenaje y la extracción de datos (conocidostambién como descubrimiento de información en las bases de datos) merecetambién su mención.

Algunas cifras sobre las actividades en 1997 de la autoridad holandesa encargadade la protección de datos

La Registratiekamer ha contestado en 1997 cerca de 5 000 preguntas a través de sucentral telefónica. Ha ofrecido asistencia a las personas interesadas en 136 casos enlos que se requería una mediación y en el marco de 238 quejas.

La Registratiekamer ha asesorado al gobierno en más de veinte ocasiones. Harecibido 971 declaraciones de actividad de tratamiento de datos del sector público y1 220 del sector privado. Al 31 de diciembre de 1997, el número total dedeclaraciones ascendía a 56 663.

Portugal

La autoridad portuguesa encargada de la protección de datos (CNPDPI) ha seguidoteniendo un papel activo aumentando el conocimiento de los proyectos de nuevasdisposiciones legales en materia de protección de datos personales. Ha conseguidoconvencer al gobierno de que todos los ministerios deberían declarar a la CNPDPIcualquier tratamiento de datos personales que realicen. Ha participado enconferencias y simposios y mantiene contactos frecuentes con la prensa. Ennoviembre, organizó un simposio muy concurrido sobre las principales cuestionesrelacionadas con la transposición de la Directiva comunitaria al derecho nacional.

La CNPDPI llevó a cabo un número creciente de controles, especialmente enrelación con el marketing directo, los servicios bancarios y los servicios sanitarios.

Accediendo a un gran número de peticiones de transferencia de datos personalessobre los empleados de empresas multinacionales a oficinas implantadas en paísessin legislación en materia de protección de datos, la CNPDPI decidió autorizar estastransferencias siempre que no sólo las personas implicadas den explícitamente suconsentimiento sino que también el responsable del tratamiento se comprometa aque se transfieran sólo los datos necesarios para la gestión global del personal, no seutilicen estos datos para cualquier otro fin ni se transfieran a terceros y que el nivelde protección asegurado en el país destinatario no sea inferior al que garantiza lalegislación portuguesa.

España

Introducción

-22-

La Agencia de Protección de Datos, autoridad española encargada de la protecciónde la vida privada, fue instituida por la Ley Orgánica 5/1992 de 29 de octubre de1992 que rige el tratamiento electrónico de datos personales. Entró en vigor aprincipios del año 1994 y aplica desde el comienzo los principios fundamentales dela Directiva 95/46/CE, aun cuando esta última no estaba transpuesta al derechoespañol. Sin embargo, una de las primeras versiones de la Directiva europea habíaservido para la elaboración de un primer proyecto de la Ley Orgánica 5/1992 de 29de octubre.

Al 31 de diciembre de 1997, el número de ficheros inscritos en el registro generalsobre la protección de datos ascendía a 229 804, de los cuales 3 312 se registraronen 1997.

Durante este mismo año, 13 306 operaciones en total se llevaron a cabo en elregistro general de la protección de datos: 3 312 fueron registros de nuevos ficheros,8 023, modificaciones de los ficheros ya registrados y 1 971, cancelaciones deficheros registrados.

En función del titular del fichero, los registros se distribuyen como sigue:

TITULARNº

FICHEROS

TITULAR PÚBLICO 27 969Administración central 2 568Administración de las CCAA 2 580Municipios 22 370Otros organismos públicos 451

TITULAR PRIVADO 201 835

T O T A L 229 804

Las funciones principales de la Agencia de Protección de Datos son las siguientes:

− Inspecciones realizadas por iniciativa propia de la Agencia cuando los hechoshacen necesarias estas inspecciones, o por quejas presentadas por ciudadanos. Sehan llevado a cabo un total de 375 inspecciones de este tipo, de las cualesalrededor de 95 eran vistas, en otras palabras inspecciones generales antes queverificaciones específicas sobre la infracción denunciada.

− Procedimientos relativos a la protección de los derechos, en el marco de loscuales la Agencia de Protección de Datos interviene para ayudar a losciudadanos a corregir los incumplimientos de la reglamentación sobre laprotección de datos. El número de casos tratados en 1997 fue de 113.

− Procedimientos de sanción en caso de violación grave de los derechos ygarantías establecidos en la Ley Orgánica 5/1992, que se entablan por iniciativade la Agencia o por quejas presentadas por los ciudadanos, con el fin de imponerlas sanciones correspondientes. El número de procedimientos iniciados en 1993fue de 203.

-23-

− En 1997, la Agencia de Protección de Datos recibió un total de 682 quejas porparte de los ciudadanos. La Agencia se esfuerza por hacer frente a las dudas ylos problemas de los ciudadanos y de las empresas que operan en sectores queinciden en la vida privada y los organismos públicos. Esta función es llevada acabo por el servicio de información a los ciudadanos que depende de lasecretaría general, y del director de la Agencia en lo que se refiere a lasempresas y las administraciones públicas. Unas 1.009 consultas por escrito ymás de 10 000 consultas por teléfono fueron tratadas en 1997 por el servicio deinformación a los ciudadanos y 80 por el director de la Agencia.

− Por último, la Ley Orgánica establece que la Agencia de Protección de Datosdebe emitir un informe sobre las medidas jurídicas y las reglamentacionesaprobadas en materia de protección de datos. En 1997, la Agencia emitió 20informes.

Transposición de la Directiva 95/46/CE al derecho español

En 1997, se elaboró un proyecto de ley orgánica para la modificación de la LeyOrgánica 5/1992 con el fin de transponer la Directiva comunitaria al derechoespañol.

Entre las medidas concebidas y aprobadas en 1997, debe mencionarse la confianzadel gobierno depositada en la Agencia de Protección de Datos para la elaboración deuna propuesta de reglamento sobre las medidas de seguridad aplicables a losficheros informáticos que contienen datos personales.

Este Reglamento dará lugar al desarrollo de la Ley Orgánica 5/1992 con objeto de laaplicación de los principios de la seguridad de datos establecidos por el artículo 9 dela Ley Orgánica, que corresponde a los artículos 16 y 17 de la Directiva 95/46/CE.

Códigos de deontología

Las actividades llevadas a cabo en 1997 en virtud del artículo 31 de la Ley Orgánica5/1992, que corresponde al capítulo V de la Directiva 95/46/CE, en lo que se refiereal registro de códigos tipo, no dieron lugar a nuevas inscripciones en el registrogeneral sobre la protección de datos.

Dos nuevos procedimientos se iniciaron en 1997 sobre dos nuevos códigos tipospresentados al registro y para los cuales se hizo una petición de inscripción en elregistro.

La primera petición recibida, que se presentó de hecho en 1996, si bien elprocedimiento para su registro se llevó a cabo en 1997, se refiere al código deconducta aplicable al fichero informático del sector de automoción (CCF). En juliode 1997, se recibió de la asociación española del marketing directo el código tipoque rige las listas Robinson (que permiten no recibir publicidad por correo). Suanálisis planteó ciertas cuestiones en la medida en que no parecían defender losprincipios establecidos por la Ley Orgánica 5/1992. En ambos casos, no fue posibleregistrar las peticiones, siendo la razón principal que los códigos no ofrecíangarantías mayores que las previstas por la Ley Orgánica.

Transferencias internacionales

-24-

Un total de 919 ficheros inscritos en el registro mencionan transferenciasinternacionales de datos en su declaración (48 de ellos son ficheros de organismospúblicos y los 871 restantes pertenecen a empresas privadas).

Las peticiones de autorización de transferencias internacionales de datos en virtuddel artículo 32 de la Ley Orgánica 5/1992 (capítulo IV de la Directiva) se basan enuna serie de garantías que debe ofrecer la persona que realiza la transferencia y quereside en España. Esta persona, como responsable del tratamiento, debe garantizar elrespeto de todos los derechos y obligaciones establecidos en la ley, y que losderechos de acceso, modificación y eliminación de datos almacenados en tercerospaíses continuarán estando asegurados desde España. Una vez concedida laautorización por el director de la Agencia, de acuerdo con los poderes que le otorgael apartado 1 del artículo 36 de la ley, la transferencia se inscribe en el registrogeneral sobre la protección de datos, según lo estipulado en el punto c del artículo38).

En 1997, se iniciaron 25 procedimientos de autorización, de los cuales 24 hanconcluido. Además, de los 6 procedimientos iniciados en 1996, uno de ellos seguíapendiente de resolución a finales del año. De este modo, 30 transferencias fueronautorizadas e inscritas en el registro general, quedando un procedimiento pendientepara el año siguiente. Estas autorizaciones se referían al tratamiento de 33 ficheros.Los Estados Unidos fueron el país hacia el cual se autorizaron la mayoría de lastransferencias. La razón es que las casas matrices de la mayoría de las empresasmultinacionales están implantadas en los Estados Unidos. Las transferenciasdestinadas a más de un país las realizan generalmente empresas con filiales envarios países. Un mismo fichero destinado a varios países puede ser objeto de unprocedimiento único. En estos casos, la inscripción en el registro general lleva lamención “países de destino ‘internacional’”.

En total, se trataron 81 procedimientos de autorización de transferenciasinternacionales de datos, de los cuales 15 se iniciaron en 1995, 41 en 1996 y 25 en1997. Un total de 128 inscripciones de ficheros fueron objeto de procedimientos deautorización de transferencias internacionales. El destino principal de datos fueronlos Estados Unidos, con el 78,13% de los ficheros autorizados, seguidos de lejos porlas transferencias hacia varios países en los cuales las empresas en cuestión tienensu sede social.

Otras actividades

Una conferencia EUROPA-LATINOAMÉRICA SOBRE LA PROTECCIÓN DEDATOS PERSONALES fue organizada, con asistencia de las autoridades europeasencargadas de la protección de datos y los representantes de los paíseslatinoamericanos. El objetivo principal de la conferencia era ofrecer a losespecialistas un foro para reunirse e intercambiar opiniones, ideas y experienciasacerca del proceso de elaboración de medidas legales y reglamentarias en estecampo en los países latinoamericanos y, al mismo tiempo, contribuir a describir laexperiencia europea en el campo de la protección de datos personales.

Se convocó el PRIMER PREMIO “PROTECCIÓN DE DATOS PERSONALES”,que asciende a un millón de pesetas (5 988,02 ecus), con el propósito de permitir larealización de un estudio exhaustivo sobre el apartado 4 del artículo 18 de laConstitución. En virtud del reglamento del concurso, el premio se concederá al

-25-

mejor y más original trabajo de investigación no publicado, redactado por autoresespañoles o extranjeros, sobre el tema de datos informáticos de carácter personaldesde el punto de vista jurídico, es decir un estudio puramente teórico, o un trabajode investigación realizado sobre la base de experiencias específicas en el sistemajurídico español o en derecho comparado. El jurado constituido de acuerdo con elreglamento del concurso concedió el premio a un estudio sobre la utilización ycontrol de datos informáticos sobre el empleo.

Política en materia de publicaciones

Desde que la Agencia inició sus actividades, publicó dos obras, una sobre el año1995 y la otra, sobre el año 1996. La primera obra, impresa en papel, se publicó encolaboración con el Boletín Oficial del Estado, pero era muy voluminosa y por tantode difícil manejo. Por esa razón, se decidió publicar la lista sobre el año 1996 en unsoporte óptico. Teniendo presentes las experiencias anteriores, se decidió seguirutilizando como soporte un CD-ROM para la publicación de la lista relativa a 1997.Además, la información se publicó en Internet. Dada la capacidad dealmacenamiento de un CD-ROM, se incluye también la siguiente información,publicada por la Agencia y que puede ser de interés para las personas que deseanconsultar la lista de los ficheros:

• los informes publicados hasta la fecha, relativos a 1994, 1995 y 1996,

• el manual sobre la protección de datos que comprende los formularios tipo adisposición de los ciudadanos para el ejercicio de los derechos que les confierela ley,

• la legislación sobre la protección de datos,

• las actas de los seminarios organizados por la Agencia en 1995 y 1996 sobre laseguridad y la legislación en materia de protección de datos, respectivamente,

• estadísticas sobre las actividades del registro general sobre la protección dedatos.

La innovación este año fue sin embargo la publicación de la lista de ficheros enInternet, ya que nadie puede negar el impacto que ha tenido la red en nuestrasociedad en los últimos tiempos. La publicación en Internet es una opción, pero enel marco del sitio institucional de la Agencia, donde se ha abierto una nueva seccióndedicada al registro, que contiene esencialmente información general. El sitio indicalas instrucciones a seguir para la inscripción de nuevos ficheros en el registro ycontiene el formulario de inscripción tipo para los ficheros públicos y los ficherosprivados, así como, naturalmente, la lista actualizada de los ficheros.

Suecia


Una comisión parlamentaria, nombrada por el gobierno y encargada del estudiooficial de la legislación sobre la protección de datos, presentó un proyecto de ley, en

-26-

abril de 1997, sobre la protección de datos personales. Sobre la base de eseproyecto, el gobierno presentó una propuesta para una nueva ley al Riksdag(parlamento) en Diciembre de 1997 10.

La ley se basa en gran parte en las disposiciones de la Directiva 95/46/CE y debeconsiderarse como un marco que define las líneas generales para todos lostratamientos de datos personales. El objetivo que se persigue es procurar que elgobierno y la autoridad encargada de la protección de datos puedan establecerreglamentaciones más precisas dentro de este marco jurídico.

Conforme a la Directiva comunitaria, el proyecto de ley rige los tratamientosautomáticos de datos personales así como sus tratamientos manuales si los datosforman parte de un sistema informático propio. El uso puramente privado de datospersonales queda excluido. A diferencia de la Directiva, el tratamiento de datossobre la seguridad pública, la defensa y la acción del Estado en derecho penal estáincluido en el campo de aplicación de la ley propuesta. La obligación de notificarlas operaciones de tratamiento a la autoridad encargada de la protección de datosdebe quedar reducida al mínimo para que la autoridad pueda concentrarse más ensus tareas de control, información y asesoramiento. La autoridad encargada de laprotección de datos debe también establecer instrucciones para aclarar la ley.

Por último, el proyecto de ley contiene disposiciones sobre las sanciones y laresponsabilidad civil. Debería entrar en vigor el 24 de octubre de 1998.

Jurisprudencia en 1997

He aquí una selección de las decisiones tomadas en 1997 por las jurisdiccionesnacionales en materia de protección de datos. Se incluiye también una decisión delgobierno, que es competente para resolver recursos contra decisiones de la autoridadencargada de la protección de datos acerca de ficheros de datos personales cuyoresponsable es una autoridad administrativa. Los recursos contra otras decisiones seinstruyen ante el tribunal administrativo provincial de Estocolmo y, en apelación,ante el tribunal administrativo de apelación y el tribunal administrativo supremo.

− El gobierno confirmó una decisión de la autoridad encargada de la protección dedatos ordenando a un responsable del tratamiento de datos obtener elconsentimiento por escrito, y con conocimiento de causa, de la personainteresada antes de tratar datos sensibles para fines de la investigación científica.El responsable del tratamiento, en este caso una universidad que llevaba a caboun proyecto de investigación sobre las posibles relaciones entre los tratamientosa base de estrógenos y el cáncer, afirmó que los datos fueron recogidos en loshistoriales médicos y en otras fuentes que abarcan un largo periodo de tiempo yque, por consiguiente, sería difícil y costoso obtener el consentimiento porescrito de cada una de las personas en cuestión. La universidad temía tambiénque este procedimiento de información de las personas interesadas causarainquietud en estas personas. El gobierno objetó, entre otras cosas, que eltratamiento había sido ya objeto de artículos publicados en la prensa y que, por

10 La ley fue aprobada por el parlamento sueco el 16 de abril de 1998.

-27-

consiguiente, era particularmente importante que las personas interesadasestuvieran correctamente informadas sobre este tratamiento. En la medida enque los ficheros de datos podían contener datos muy sensibles y permanecerguardados durante un largo período, el gobierno mostró su acuerdo con eldictamen de la autoridad encargada de la protección de datos que considerabaque el consentimiento de las personas era indispensable.

− El tribunal administrativo provincial y el tribunal administrativo de apelacióndesestimaron ambos un recurso contra una decisión de la autoridad encargada dela protección de datos que prohibía a varios bancos suecos crear un fichero dedatos personales con el fin de luchar contra el blanqueo de dinero. Los bancosdemandantes afirmaron que estaban obligados a notificar a la autoridad decontrol financiero las operaciones de blanqueo de dinero y que este fichero lesera necesario para cumplir esa obligación. Los tribunales consideraron que lanecesidad de los bancos de tener un fichero con informaciones sobre actividadescriminales no valía más que el derecho de las personas físicas al respeto de suvida privada y no era suficiente para justificar una excepción al principio generalsegún el cual sólo las autoridades con la obligación legal de gestionar un ficherosobre las actividades criminales pueden registrar este tipo de informaciones.

− El tribunal administrativo provincial y el tribunal administrativo de apelacióndesestimaron también un recurso contra una decisión que prohibía a unorganismo de valoración crediticia usar un CD-ROM con informacióneconómica y crediticia sobre empresarios para fines de marketing directo. Elorganismo de valoración tenía la prohibición también de vender el CD-ROMpara este fin. Este caso fue llevado al tribunal administrativo supremo que no seha pronunciado aún.

− Una agencia de servicios de seguros, cuyo capital está en manos de variascompañías de seguros suecas, solicitó la autorización de crear y gestionar un“fichero común de declaraciones de siniestro”. Un asegurado que reclamara unaindemnización a su compañía de seguros quedaría automáticamente registradoen el fichero. La compañía de seguros obtendría al mismo tiempo una relaciónde las declaraciones de siniestro anteriores que el asegurado podría haberenviado, llegado el caso, a sus aseguradores anteriores. Los antecedentes de lassolicitudes de indemnización podrían indicar que la nueva solicitud fueraexaminada más detenidamente. El fichero suministraría toda la informaciónrecogida sobre los bienes del asegurado. En la medida en que todas las grandescompañías de seguros suecas estuvieran conectadas al sistema, cada una de ellastendría acceso a un fichero casi completo sobre los asegurados suecos y supatrimonio. La autoridad encargada de la protección de datos no autorizó lacreación de este fichero. La compañía recurrió contra esta decisión ante eltribunal administrativo provincial donde el caso sigue pendiente.

Véase también más adelante la sección 4 “Transferencias de datos a tercerospaíses”.

Actividades de la autoridad encargada de la protección de datos

En 1997, la autoridad encargada de la protección de datos publicó nuevasreglamentaciones administrativas sobre los tratamientos frecuentes en ciertoscampos, para eximirlos de la obligación de obtener su autorización. Estas

-28-

reglamentaciones se refieren a ficheros informatizados en tres nuevos sectores: lasescuelas, para fines de gestión de alumnos, los poderes públicos, para finesestadísticos, y la divulgación de datos personales en los sitios web. La autoridadconsidera que hubiera tenido que tratar 2 000 solicitudes adicionales si no sehubiesen aprobado estas reglamentaciones administrativas.

La autoridad encargada de la protección de datos ha proseguido con sus actividadesde supervisión mediante controles. Diferentes sectores comerciales han sido objetode estos controles, tales como los hospitales, las agencias de viaje, los organismosde cobro de deudas y los operadores de telecomunicaciones.

Además, la autoridad ha tomado medidas para informar activamente al público desus actividades. En junio de 1997, ha abierto un sitio web que contieneinformaciones sobre la legislación, las principales decisiones y comunicados deprensa. En un proyecto de sensibilización específica, la autoridad se dirigió a losalumnos y a sus profesores y, entre otras, distribuyó un CD-ROM con cuatro juegosdiferentes para someter a prueba los conocimientos sobre la protección de datos.

Transferencias de datos a terceros países

− La autoridad encargada de la protección de datos autorizó, en 1995, a unacompañía aérea la transferencia hacia los Estados Unidos de informacionessobre sus clientes a partir de su sistema informatizado de reservas, siempre quelos clientes hayan dado su consentimiento a dicha transferencia. La decisión fuerecurrida ante el tribunal administrativo provincial y el tribunal administrativode apelación, que han confirmado ambos ahora la decisión de la autoridad. Ladecisión fue recurrida ante el tribunal administrativo supremo que debe decidiraún sobre la admisibilidad de la demanda.

Reino Unido

Un proyecto de ley de transposición de la Directiva 95/46/CE al derecho nacionalfue publicada en enero de 1998. En julio de 1997, el gobierno publicó suspropuestas para la nueva ley, y el Secretario aconsejó a los ministros, funcionarios yparlamentarios sobre los puntos en estudio. Los trabajos comenzaron también sobrelas modalidades de un sistema de notificación con el fin de cumplir con lasexigencias del proyecto de ley, aunque las disposiciones en materia de notificación,que deben ser aprobadas bajo la forma de derecho derivado, no se han publicadoaún.

La Oficina del Secretario ha dedicado gran parte de sus actividades a los trabajossobre el nuevo proyecto de ley, pero han conseguido publicar las líneas directricessobre la legislación de 1984 para los usuarios de datos. Las guías publicadas el añopasado atañen a los trabajadores a domicilio, los intermediarios de serviciosfinancieros y los organismos de seguimiento y cobro de deudas. Una guía sobre laelaboración de códigos de deontología sobre el cruce de datos se redactó y sepublicó en julio de 1997. Además de estas guías, la Oficina del Secretario aprobó elcódigo de deontología sobre el cruce de datos publicado por la Comisión de Cuentasen noviembre de 1997.

-29-

El Secretario ha proseguido con su campaña de sensibilización sobre protección dedatos mediante anuncios publicitarios emitidos por las cadenas de televisiónregionales y por satélite. Después de la emisión del mensaje publicitario, el númerode peticiones de información y quejas a los servicios del Secretario aumentó, y estatendencia se reflejó en un incremento general del número de quejas recibidasdurante todo el año. En total, 4 173 quejas fueron recibidas en 1997/1998. Convienetambién mencionar 21 591 nuevas inscripciones de ficheros en el registro, por loque el número total de inscripciones en el registro se eleva a 224 909. Sepronunciaron cinco requerimientos y se entablaron 38 juicios en virtud de la ley.Todas las inscripciones de ficheros y todas las guías están disponibles también en elsitio web del Secretario (ODPR).

2.3. Evolución de la política de la Unión Europea en el campo de la protección dedatos

Si bien la Directiva constituye el elemento clave de la política europea en lo que serefiere a la protección de datos, está complementada por varias otras iniciativas quepretenden garantizar al ciudadano un marco de protección coherente.

Esta parte expone las novedades en la Unión Europea, tanto en lo que se refiere alos aspectos que recaen en la competencia de la Comunidad Europea (puntos 2.3.1al 2.3.3) como a los que dependen del título VI del Tratado sobre la Unión europea(punto 2.3.4).

2.3.1. Iniciativas sectoriales

El Parlamento Europeo y el Consejo aprobaron, el 15 de diciembre de 1997, la“Directiva relativa al tratamiento de los datos personales y a la protección de laintimidad en el sector de las telecomunicaciones”, en particular de las redes digitalesde servicios integrados (RDSI) y las redes móviles digitales públicas11.

Esta Directiva tiene el objeto de garantizar la libre circulación en la Comunidad delos datos y los equipos y servicios de telecomunicaciones armonizando el nivel deprotección de los abonados y los usuarios de los servicios públicos detelecomunicaciones con respecto al tratamiento de datos de carácter personal en elsector de las telecomunicaciones.

La Directiva especifica, para el sector de las telecomunicaciones, las reglasgenerales enunciadas en la Directiva 95/46/CE, y refuerza la protección de laintimidad y los intereses legítimos de los abonados (inclusive las personasjurídicas).

La Comisión presentó la propuesta inicial de esta Directiva en junio de 1990, ydespués una propuesta considerablemente revisada en julio de 1994. El Consejoalcanzó una posición común en septiembre de 1996, pero la aprobación por elParlamento Europeo y el Consejo sólo fue posible después de un procedimiento deconciliación. La Directiva está estrechamente relacionada con la Directiva generalsobre la protección de datos (aprobada en octubre de 1995) en la medida en que

11 Directiva 97/66/CE del 15 de diciembre de 1997, DO L 24 del 30.1.1998, p. 1.

-30-

especifica, para el sector de las telecomunicaciones, las reglas generales yaestablecidas. Sin embargo, su campo de aplicación es más amplio en dos aspectos,porque cubre los derechos e intereses legítimos de las personas tanto físicas comojurídicas y abarca aspectos de la intimidad que no están directamente relacionadoscon el tratamiento de datos.

La Directiva contiene disposiciones sobre los puntos siguientes:

− la seguridad de la información transmitida por las redes públicas detelecomunicaciones,

− la confidencialidad de las comunicaciones,

− los límites de su alcance y la duración del tratamiento, por los proveedores deservicios, de datos relativos al tráfico y la facturación,

− las opciones que deben ofrecerse en lo que se refiere a la indicación de laidentificación de la llamada entrante y la línea conectada, para garantizar elrespeto de la vida privada

− la identificación de llamadas malintencionadas y perturbadoras,

− las preocupaciones que suscitan el desvío automático de llamadas desde el puntode vista del respeto de la vida privada,

− el derecho de los abonados a no figurar en las guías telefónicas,

− la protección de la vida privada con respecto a las llamadas no solicitadas.

Después de su aprobación formal por el Parlamento Europeo y el Consejo, laDirectiva deberá ser transpuesta por los Estados miembros antes del 24 de octubrede 1998, salvo en lo que se refiere a ciertos aspectos de la confidencialidad de lascomunicaciones, para las cuales se acordó un plazo adicional hasta el 24 de octubredel 2000.

Protección de datos y sociedad de la información

Asegurar confianza y confidencialidad es un factor clave para el desarrollo de lasociedad de la información, cuando están en cabeza de las preocupaciones de losinternautas crecientes dudas sobre la protección de la vida privada en línea: todoslos estudios de mercado y todos los sondeos realizados el año pasado confirman estepunto de vista. El 16 de abril de 1997, la Comisión aprobó un documento con eltítulo “Iniciativa europea de comercio electrónico” (COM (97)157), que pretendeestablecer una posición europea común para alcanzar un consenso mundial mediantenegociaciones internacionales. En el marco del seguimiento de este documento, laComisión aprobó una Comunicación sobre las firmas digitales y la codificación quesubraya el papel de la Directiva 95/46/CE por las respuestas que da a estaspreocupaciones legítimas en cuanto al respeto de la vida privada. La Directivaincluye, por ejemplo, disposiciones específicas sobre la seguridad y la

-31-

confidencialidad de los datos, principalmente cuando su tratamiento implica unatransmisión de datos a través de una red.

La protección de datos personales en la sociedad de la información fue uno de losimportantes temas de discusión en las reuniones del grupo de trabajo establecido porla Directiva 95/46 (véase punto 2.1.1). El 3 de diciembre de 1997, el grupo detrabajo aprobó una recomendación específica sobre “El anonimato en Internet”(GT 6 - Recomendación 3/97).

2.3.2. Protección de datos en el marco de otros instrumentos comunitarios

Por varios instrumentos de derecho derivado, se han concedido a la Comisióndeterminados cometidos específicos relacionados con el tratamiento de datospersonales. Para proteger los derechos y las libertades fundamentales de laspersonas físicas a las que atañe este tratamiento, la Comisión fue invitada también,para la aplicación de las reglas comunitarias pertinentes, a preparar disposicionespara la protección de datos. Un ejemplo lo proporciona el Reglamento(CE) n° 1469/95 del Consejo del 22 de junio de 1995 relativo a las medidas quedeben adoptarse en relación con determinados beneficiarios de las operacionesfinanciadas por la Sección Garantía del FEOGA12. Para la aplicación de esteReglamento, que prevé un sistema de intercambio de información entre la Comisióny los Estados miembros, la Comisión estableció varias medidas de protecciónrespecto al tratamiento de datos realizado por sus servicios13.

Las autoridades aduaneras europeas intercambian datos personales con sushomólogos de los terceros países en el marco de los acuerdos de asistencia mutuaentre la Comunidad y terceros países. A petición de la Comunidad Europea, estosacuerdos incluyen disposiciones específicas que garantizan el respeto de losprincipios relativos a la protección de datos14.

12 DO L 145 del 29 de junio de 1995.

13 Véase el Reglamento (CE) n° 745/96 de la Comisión publicado en el DO L 102 del 25 de abril de 1996y la comunicación de la Comisión publicada en el DO C 366 del 5 de diciembre de 1996 que suscitó laatención del público sobre la aplicación de este Reglamento y el tratamiento de datos personales queimplica.

14 Los siguientes acuerdos entraron en vigor en 1996:acuerdos europeos con- Eslovenia (firmado el 11.11.1996 - DO L 344 del 31.12.1996);- Islas Feroe (acuerdo enmendado firmado el 6.12.1996 - DO L 53 del 22.2.1997);acuerdo con Turquía referente al funcionamiento de la unión aduanera (1.1.1996 - DO L 35 del3.2.1996)acuerdo con:Israel (acuerdo provisional - 1.1.1996 - DO L 71 del 20.1.1996)la CEI: Federación Rusa (acuerdo provisional - 1.2.1996 - DO L 247 del 13.10.1995), Ucrania(acuerdo provisional - 1.2.1996 - DO L 311 del 23.12.1995), Moldavia (acuerdo provisional - 1.5.1996- DO L 40 del 17.2.1996).Acuerdos que incluyen disposiciones sobre la asistencia mutua están negociándose actualmente conotros países.

-32-

2.3.3. Protección de datos en el marco de los instrumentos nocomunitarios

Varios instrumentos aprobados o en proceso de aprobación de acuerdo con el títuloVI del tratado sobre la Unión Europea (cooperación en los campos de la justicia ylos asuntos internos) contemplan el tratamiento de datos personales. Disposicionesespecíficas relativas a la protección de datos están por consiguiente incluidas enestos instrumentos y en los reglamentos de aplicación. Por ejemplo, se hanpreparado reglas detalladas sobre la protección de datos para Europol, y se hanestudiado otras reglas para el proyecto de Convenio Eurodac sobre las huellasdactilares de los solicitantes de asilo. En este tipo de instrumentos aprobados envirtud del título VI del tratado sobre la Unión Europea no se aplican lasdisposiciones de protección de datos de la Directiva, sino que se usan fórmulasespecíficas que no conceden a las personas físicas los mismos derechos oprocedimientos de recurso y no se fundamentan en la misma forma de controlindependiente. Además, el Convenio sobre las decisiones de pérdida del derecho deconducir no incluye disposiciones sobre la protección de datos personales.

2.4. Schengen

La mayoría de los Estados miembros de la Unión Europea se han adherido alacuerdo de Schengen que prevé una cooperación policial, aduanera y en materia deinmigración para compensar la supresión de los controles en las fronteras interiores.Un aspecto esencial de estas medidas radica en la creación de un sistema deinformación común, el Sistema de Información Schengen (SIS). A este respecto, elacuerdo contiene también disposiciones sobre la protección de datos y prevé enparticular la creación de una autoridad de control común compuesta porrepresentantes de las autoridades nacionales de control de los países firmantes delacuerdo de Schengen. Esta autoridad de control ha publicado recientemente susegundo informe de actividad, que cubre el período marzo 1997 - marzo 1998.

El tratado de Amsterdam y los anexos prevén que el acuerdo de Schengen deberáintegrarse en el marco de la Unión Europea15. La Conferencia intergubernamentalha esperado que el Consejo, en la fecha de la entrada en vigor del nuevo tratado,apruebe todas las medidas necesarias para este fin y que los trabajos preparatoriosnecesarios se acometan a tiempo. Esto es aplicable también a las disposicionesrelativas a la protección de datos contenidas en el Convenio de aplicación delacuerdo de Schengen de 14 de junio de 1985.

2.5. Diálogo con terceros países sobre las cuestiones relativas a la protección dedatos

La Directiva no sólo reglamenta el tratamiento de datos personales en la UniónEuropea, sino también comprende disposiciones sobre el traspaso de datos a tercerospaíses (artículos 25 y 26). El principio básico es que los Estados miembros nodeberían permitir este tipo de traspasos más que cuando los terceros paísesinteresados aseguren un nivel de protección adecuado. Puede ser que, en algunos

15 Cfr. artículo 2, párrafo 1, segundo apartado, del protocolo anexo al Tratado de la Unión Europea y al

tratado que establece la Comunidad Europea, integrando el acuerdo de Schengen en el marco de laUnión Europea.

-33-

casos, no quede asegurado un nivel de protección adecuado y, en el supuesto de queno sea aplicable ninguna de las excepciones previstas, los Estados miembrosimpedirían estos traspasos.

Este tipo de situación podría causar alteraciones importantes de los flujos de datospersonales en todo el mundo, y por tanto del comercio internacional. Si bien esposible impedir estos traspasos de datos personales invocando el artículo XIV delAGCS (Acuerdo general sobre el comercio de los servicios), sería preferible evitarrecurrir a este tipo de acción. Una solución mucho más satisfactoria sería que estosterceros países hacia los cuales se traspasan datos con regularidad, creen un nivel deprotección que se considerare satisfactorio.

La Unión Europea negocia acuerdos generales sobre un marco que rija lasrelaciones (cooperación, comercio) con un país tercero determinado. Estos acuerdosabarcan un amplio abanico de campos que van desde las cuestiones de políticaextranjera y seguridad hasta los aspectos comerciales y los problemas de desarrolloeconómico. Desde la aprobación de la Directiva sobre la protección de datos, losservicios de la Comisión han intentado incluir, directa o indirectamente, en estosacuerdos - durante su negociación -, la cuestión de la protección de la vida privada ylos datos.

La Comisión ha discutido el problema de la protección de datos con varios tercerospaíses y las disposiciones en la materia se han insertado en varios acuerdosinternacionales, particularmente el reciente acuerdo marco con México (rubricado el23 de julio de 1997).

El 5 de diciembre de 1997, la Unión Europea y los Estados Unidos firmaron unadeclaración común sobre el comercio electrónico, en la cual acuerdan “ obrar(… ) para asegurar una protección eficaz de la vida privada en el tratamiento dedatos personales en redes de información globales” (sección 4.iv de la declaraciónconjunta).

3. EL CONSEJO DE EUROPA

El Consejo de Europa ha proseguido los trabajos que realiza regularmente sobre lascuestiones de protección de datos. El Comité de ministros aprobó dosrecomendaciones que habían necesitado varios años de preparación. Se trata de laRecomendación N° R (97) 5, aprobada el 13 de febrero de 1997, relativa a laprotección de datos médicos y de la Recomendación N° R (97) 18, aprobada el 30de septiembre de 1997, sobre la protección de datos personales recogidos y tratadospara fines estadísticos.

El Comité de protección de datos (CJ-PD) prosiguió su estudio de un proyecto deRecomendación sobre la protección de datos personales recogidos y tratados parafines de seguros. Además, aprobó un proyecto de líneas directrices sobre laprotección de datos con respecto a la recolección y tratamiento de datos personalesen las autopistas de información. Este proyecto, que debería ser aprobado por elComité de ministros al principio del año 1999, ha sido ya publicado para su consultapor las personas interesadas. Puede consultarse en el sitio Internet del Consejo deEuropa.

-34-

Por otra parte, dos nuevos países se han adherido al Convenio 108: Suiza y Hungría.Viniendo después de la adhesión de Eslovenia, esto lleva a 20 el número de partescontratantes del Convenio.

El Comité Consultivo del Convenio (T-PD) inició los trabajos para evaluar lanecesidad de revisar el Convenio a la luz de las novedades de estos últimos años,particularmente en el campo de la tecnología. Además, siguiendo la petición de laComunidad Europea de abrir negociaciones con miras a permitir su adhesión alConvenio16, el Comité elaboró un proyecto de Protocolo que modifica el Convenio108 para este fin.

La Comunidad, representada por la Comisión, puede ahora intervenir tanto en elseno del CJ-PD como del Comité Consultivo cuando los puntos bajo estudio entranen las competencias externas resultantes de las Directivas 95/46/CE y 97/66/CE.Este fue particularmente el caso de los textos anteriormente mencionados,recientemente aprobados o que están en preparación. Esta cooperación con elConsejo de Europa pretende asegurar una plena compatibilidad con las Directivascomunitarias.

4. PRINCIPALES NOVEDADES EN TERCEROS PAÍSES

4.1. Espacio Económico Europeo

La Directiva debería aplicarse también al Espacio Económico Europeo, una vezincorporada al acuerdo EEE. Los trabajos en vista de la transposición ya hancomenzado en los países no comunitarios partes del acuerdo. Noruega e Islandia sehan adherido al Convenio 108 del Consejo de Europa y tienen una legislación sobrela protección de datos. Representantes de las autoridades encargadas de laprotección de datos en estos dos países han sido invitados a participar, en calidad deobservadores, en las reuniones del Grupo de Trabajo.

En Noruega, la inspección de la tecnología de la información ("Data Tilsynet"),tiene por misión asegurar la correcta aplicación de la Ley de 1978 sobre los ficherosde datos personales. La Inspección tiene un papel activo en la gestión de los flujosde información destinados al exterior. Recibe un gran número de peticiones de losmedios y tiene un papel activo en la difusión de la información. Es responsabletambién de la elaboración de documentos informativos y de un informe anual ypublica trimestralmente la revista SPOR17.

16 Decisión del Consejo de la Unión Europea de julio de 1997 que autoriza a la Comisión para abrirnegociaciones sobre la adhesión de la Comunidad Europea al Convenio 108.

17 Todas las informaciones están disponibles en Internet (http://www.datatilsynet.no).

-35-

4.2. Países de Europa central y oriental

La Comisión, en su Libro Blanco que fijaba la estrategia de preparación para laadhesión a la Unión Europea de los países aspirantes de Europa central y oriental,ha recomendado, como primera etapa en el campo de la protección de datos, queestos países se adhieran al Convenio 108 del Consejo de Europa. En 1997, Hungríase adhirió a dicho convenio.

En 1997, la Comisión aprobó sus dictámenes sobre la apertura de negociacionespara la adhesión de los países de Europa central y oriental y Chipre. De manerasucinta, estos dictámenes18 analizan en particular la situación en materia deprotección de datos en estos países. Para el conjunto de los países aspirantes seaprobó una estrategia de preadhesión reforzada que permitiera a largo plazo laintegración del ‘acervo comunitario'. En este espíritu, se subrayó la importancia delas estructuras administrativas necesarias, tales como las autoridades de controlindependientes, para la aplicación efectiva del acervo comunitario'.

Algunos de estos países tienen una legislación sobre la protección de datos(Hungría, Estonia y Eslovenia en particular), y gran parte de los demás estánaprobando tal legislación. Por ejemplo, Polonia aprobó una ley sobre la protecciónde datos el 29 de agosto de 1997 y la República Eslovaca aprobó su legislación el 3de febrero de 1998. La ley polaca creó una autoridad de control independiente, la“Inspección general de la protección de datos personales”, que asumió su cargo alprincipio del año 1998.

Proyectos legislativos están en curso en otros países aspirantes, en particular enBulgaria, en Letonia, en Rumania, en la República Checa y en Eslovenia.

4.3. Otros terceros países

En 1997, el debate sobre las cuestiones relacionadas con el respeto de la vidaprivada fue vivo en varios terceros países. Las novedades tecnológicas y sobre todoel desarrollo de la sociedad de la información animaron a los gobiernos, lasasociaciones de consumidores, las empresas y las universidades a estudiarnuevamente las políticas existentes en la materia y a debatir nuevas políticas para elfuturo. La aprobación de la Directiva europea dio un nuevo impulso a este debate.

Estas novedades se sintieron particularmente en los Estados Unidos donde variosorganismos públicos han estudiado las cuestiones relativas a la protección de datos.En 1997 y durante los primeros meses de 1998, la Federal Trade Commission prestóuna creciente atención a los problemas relacionados con el respeto de la vidaprivada, en particular en el contexto de Internet y el comercio electrónico. Todosestos esfuerzos culminaron con una petición, en julio de 1998, a favor de laaprobación de una legislación que rija la protección de datos sobre los niñosrecogidos en Internet, y con una recomendación relativa a la protección de la vidaprivada de los adultos, recomendando la aprobación de una legislación si laautorregulación no progresaba suficientemente de aquí al final del año.

18 Publicadas en el Boletín de la Unión Europea, Suplemento 6/97

-36-

La primera parte del año 1998 estuvo marcada por progresos en la política de laCasa Blanca a favor de la protección de datos y del respeto de la vida privada. El 31de julio, el vicepresidente Al Gore anunció una serie de medidas dirigidas a laaprobación de una Carta de derechos (Bill of Rights) electrónica, en particularmedidas dirigidas a reglamentación en materia de datos médicos y datos financieros,usurpación de la identidad y respeto de la vida privada de los niños, así como afavor de una autorreglamentación sectorial, en otros campos, provista demecanismos eficaces para asegurar el respeto.

La Casa Blanca subrayó la importancia de estas cuestiones en su informe publicadoen junio de 1997 titulado "Framework for Global Electronic Commerce" (Marcopara el comercio electrónico mundial). Varios proyectos de ley fueron presentadosal Congreso y reglamentos de aplicación fueron publicados por la FCC en el marcode la Ley de 1996 sobre las telecomunicaciones. Esta ley impone a los proveedoresde servicios varias obligaciones específicas en materia del respeto de la vidaprivada. Estipula la confidencialidad de la información relativa a los abonados(Customer Proprietary Network Information), inclusive los datos sobretransacciones. La protección de la vida privada en los servicios en línea estuvo en elen el centro de las controversias suscitadas por el Communication Decency Act de1996 (la Ley de 1996 sobre la decencia en las comunicaciones) y la política de laadministración americana sobre criptografía. La sentencia pronunciada por elTribunal Supremo fue favorable a las opiniones de los “privacy advocates”(partidarios de la privacidad).

En Australia, el gobierno estudió las medidas del seguimiento del Libro blanco de1996 y, en particular, la conveniencia de ampliar al sector privado la legislaciónsobre el respeto de la vida privada. La legislación actual se refiere sólo al sectorpúblico. En febrero de 1998 llegó la primera parte de un programa federal sobre elrespeto de la vida privada (“National Privacy Scheme”) para Australia con laaprobación de un conjunto de principios sobre el tratamiento leal de la informaciónpersonal, mientras que el Estado de Victoria siguió adelante, a principios de 1998,con sus planes sobre legislación de la privacidad “por defecto” para los sectores ylas empresas que no se hicieran con iniciativas satisfactorias en materia deautoreglamentación.

En Japón, el trabajo iniciado por el MITI (Ministerio de Comercio e Industria) encooperación con el sector privado tiene probabilidad de mejorar el nivel de laprotección de datos en este país, si bien los esfuerzos se concentran especialmenteen la promoción de la autorregulación.

5. OTRAS NOVEDADES A NIVEL INTERNACIONAL

5.1. Organización de Cooperación y Desarrollo Económicos (OCDE)

La OCDE elaboró en 1996 líneas directrices que rigen la política de criptografía.Estas líneas directrices reglamentan particularmente el acceso a los mensajescodificados facilitado a las autoridades por razones legítimas. Recomiendan laaprobación de un sistema de niveles “de confianza” a los cuales pueden confiarselas copias de las llaves criptográficas. Durante los debates, se planteó también lacuestión de la confidencialidad en relación con las reglas fijadas por la Directivapara el acceso de las autoridades a los datos personales. En el momento de la

-37-

aprobación final de las líneas directrices (en marzo de 1997), la Comisión Europeaespecificó que si los Estados miembros de la Comunidad Europea tienen laintención de aplicar estas líneas directrices, deben hacerlo cumpliendo las reglasestablecidas en la Directiva.

-38-

6. ANEXOS

I. Estudios llevados a cabo para la Comisión Europea en el campo de la protecciónde datos

1) Les services en ligneet

La protection des données et de la vie privée

Première Partie: Exposé de la situation généraleDeuxième Partie: Etudes de cas

2) On-line services and data protection and privacy:Regulatory responses

3) Existing case-law on compliancewith data protection laws and principles

in the Member States of the European Union

4) Handbook on Cost Effective Compliance withDirective 95/46/EC

5) IDA – Protection des donnéesSecteurs de la santé et de la sécurité sociale

6) Elaboration d’une méthodologie pour évaluer l’adéquationdu niveau de protection des personnes physiques à l’égard du

traitement de données à caractère personnel

7) Preparation of a methodology for evaluating the adequacyof the level of protection of individuals with regard to

the processing of personal data

8) IDA Projects : A Guide to Data Protection Compliance

9) Application of a methodology designed to assess the adequacy of the level ofprotection of individuals with regard to processing personal data : Test of the method on several categories of transfer

10) The feasibility of a seamless system of data protection rules for the European Union

-39-

II. Lista de los miembros del Grupo de Trabajo con las direcciones y los números defax de las autoridades respectivas.

AUSTRIAFrauWaltraut KOTSCHY RepresentanteBundeskanzleramtÖsterreichische DatenschutzkommissionBallhausplatz, 1A - 1014 WIENTel 43/1/531.15.26.79Fax 43/1/531.15.26.90

Frau Eva SOUHRADA-KIRCHMAYERSuplenteBundeskanzleramtÖsterreichische DatenschutzkommissionBallhausplatz, 1A - 1014 WIENTel 43/1/531.15.25.44Fax 43/1/531.15.26.90

BÉLGICAMonsieur Paul THOMAS RepresentanteMinistère de la JusticeCommission de la protection de la vie privéePorte de Halle 5/8B - 1000 BRUXELLESTel 32/2/542.72.00Fax32/2/542.72.12

Mme Marie-Hélène DOULANGER SuplenteMinistère de la JusticeCommission de la protection de la vie privéeBoulevard de Waterloo, 115B - 1000 BRUXELLESTel 32/2/542.72.00Fax 32/2/542.72.12

DINAMARCASr. Henrik WAABEN RepresentanteRegistertilsynetChristians Brygge, 28 – 4DK - 1559 KOEBENHAVN VTel 45/33/14.38.44Fax 45/33/13.38.43

Sra. Lena ANDERSEN SuplenteRegistertilsynetChristians Brygge, 28 – 4DK - 1559 KOEBENHAVN VTel 45/33/14.38.44Fax 45/33/13.38.43

FINLANDIASr. Reijo AARNIO RepresentanteMinistry of JusticeOffice of the Data Protection OmbudsmanP.O. Box 315FIN - 00181 HELSINKI Tel 358/9/1825.1Fax 358/9/1825.78.35

Sra. Maija KLEEMOLA SuplenteMinistry of JusticeOffice of the Data Protection OmbudsmanP.O. Box 315FIN - 00181 HELSINKI Tel 358/0/1825.1Fax 358/9/1825.78.35

FRANCIAMonsieur Jacques FAUVETCom. Nat. de l'Informat. et des LibertésRue Saint Guillaume, 21F - 75340 PARIS CEDEX 7Tel 33/1/53.73.22.22Fax 33/1/53.73.22.00

M. Marcel PINETCom. Nat. de l'Informat. et des LibertésRue Saint Guillaume, 21F - 75340 PARIS CEDEX 7Tel 33/1/53.73.22.22Fax 33/1/53.73.22.00

ALEMANIADr. Joachim JACOB RepresentanteDer Bundesbeauftragte für den Datenschutz

Dr. Stefan WALZ SuplenteLandesbeauftragter für den Datenschutz –

-40-

Postfach 20 01 12D - 53131 DONN (Bad Godesberg)Tel 49/228/819.95.30Fax 49/228/819.95.50

BremenPostfach 10 03 80D - 27503 BREMERHAVENTel 49/471/92.46.10Fax 49/471/924.61.28

Frau Vera POHLER SuplenteInnenministerium des Landes Nordrhein-WestphalenHaroldstr. 5D-40190 DüsseldorfTel 49/211/871.22.51Fax 49/211/871.23.40

GRECIASr. Constantin DAFERMOS RepresentanteMinistry of JusticeAthens

Prof. Nicos C. ALIVIZATOS RepresentanteHellenic Data Protection Authority12, Valaoritou StreetEL-10671 AthensTel 30/1/36.13.117Fax 30/1/36.29.047

IRLANDAMr. Fergus GLAVEY RepresentanteData Protection CommissionerIrish Life Centre, Block 4Talbot StreetIRL - DUBLIN 1Tel 353/1/874.85.44Fax 353/1/874.54.05

Mr. Greg HEYLIN SuplenteData Protection CommissionerIrish Life Centre, Block 4Talbot StreetIRL - DUBLIN 1Tel 353/1/874.85.44Fax 353/1/874.54.05

ITALIAProf. Stefano RODOTA RepresentanteGarante per la protezione dei dati personaliLargo del Teatro Valle, 6I - 00186 ROMATel 39/06/681.861Fax 39/06/681.86.69

Sr. Giovanni BUTTARELLI SuplenteGarante per la protezione dei dati personaliLargo del Teatro Valle, 6I - 00186 ROMATel 39/06/681.8637 directFax 39/06/681.86.69

LUXEMBURGOMonsieur René FABER RepresentanteCommission à la Protection des DonnéesNominativesMinistère de la JusticeBoulevard Royal , 15L - 2934 LUXEMDOURGTel 352/478.45.46Fax 352/478.45.15

PAÍSES BAJOSSr. Peter HUSTINX RepresentanteRegistratiekamerPrins Clauslaan 20Postbus 93374

Sr. Ulco VAN DE POL SuplenteRegistratiekamerJuliana van Stolberglaan, 2Postbus 93374

-41-

NL - 2509 AJ ‘s-GRAVENHAGETel 31/70/381.13.00Fax 31/70/381.13.01

NL - 2509 AJ ‘s-GRAVENHAGETel 31/70/381.13.00Fax 31/70/381.13.01

Sra. Diana ALONSO BLAS SuplenteRegistratiekamerPrins Clauslaan 20P.O. Box 93374NL-2509 AJ’s-GRAVENHAGETel 31/70/381.13.12Fax 31/70/381.13.01

PORTUGALSr. Joaquim de SEABRA LOPES RepresentanteCom. Nac. de Protecçao de Dados PessoaisInformat.Av. 5 de Outubro, 202P - 1064 LISDOATel 351/1/795.23.58Fax 351/1/795.13.53

Sr. Nuno MORAIS SARMENTO SuplenteCom. Nac. de Protecçao de Dados PessoaisInformat.Rua de S. Bento, 148, 3P - 1200 LISDOATel 351/1/396.62.28Fax 351/1/397.68.32

ESPAÑAD. Juan Manuel FERNÁNDEZ LÓPEZRepresentanteAgencia de Protección de DatosPaseo de la Castellana, N 41, 5a plantaE - 28046 MADRIDTel 34/91/308.40.17Fax 34/91/308.46.92

D. Javier APARICIO SALOM SuplenteAgencia de Protección de DatosPaseo de la Castellana, N 41, 5a plantaE - 28046 MADRIDTel 34/91/308.45.79Fax 34/91/308.46.92

SUECIASra. Anitha DONDESTAM RepresentanteDatainspecktionenFleminggatan, 149th FloorBox 8114S - 104 20 STOCKHOLMTel 46/8/657.61.00Fax 46/8/652.86.52

Sr. Ulf WIDEBÄCK SuplenteDatainspecktionenFleminggatan, 149th FloorBox 8114S - 104 20 STOCKHOLMTel 46/8/657.61.00Fax 46/8/652.86.52Sr. Leif LINDGREN SuplenteDatainspektionenBox 8114S-104 20 STOCKHOLMTel 46/8/657.61.00Fax 46/8/650.86.13

REINO UNIDOSra. Elizabeth FRANCE RepresentanteThe Office of the Data Protection RegistrarWater LaneWycliffe HouseUK - WILMSLOW - CHESHIRE SK9 5AFTel 44/1625/53.57.11

Sr. Francis ALDHOUSE SuplenteThe Office of the Data Protection RegistrarWater LaneWycliffe HouseUK - WILMSLOW - CHESHIRE SK9 5AFTel 44/1625/53.57.11

-42-

Fax 44/1625/52.45.10 Fax 44/1625/52.45.10

ISLANDIASra. Sigrún JÓHANNESDÓTTIR ObservadorMinistry of JusticeData Protection CommissionArnarhvollIS - 150 REYKJAVIKTel 354/560.90.10Fax 354/552.73.40

NORUEGASr. Georg APENES ObservadorDatatilsynetThe Data InspectorateP.B. 8177 DepN - 0034 OSLOTel 47/22/42.19.10Fax 47/22/42.23.50

Hecho en Bruselas, el 30 de noviembre de 1998

Por el Grupo de Trabajo

P.J. HUSTINX

Presidente

wp14es

Documents