Upload File

wp8es

8
COMISIÓN DE LAS COMUNIDADES EUROPEAS DIRECCIÓN GENERAL XV MERCADO INTERIOR Y SERVICIOS FINANCIEROS Libre circulación de la información, Derecho de sociedades e información financiera Libre circulación de la información, protección de datos y sus aspectos internacionales XV/5027/97-ES final WP (8) Grupo de Trabajo sobre la protección de las personas en lo referente al tratamiento de datos personales Documento de trabajo: Notificación Aprobado por el grupo de trabajo el 3 de diciembre de 1997

Upload: gd3000

Post on 18-Jan-2016

217 views

Category:

Documents


0 download

Report

DESCRIPTION

prot datos

TRANSCRIPT

Page 1: wp8es

COMISIÓN DE LAS COMUNIDADES EUROPEASDIRECCIÓN GENERAL XVMERCADO INTERIOR Y SERVICIOS FINANCIEROSLibre circulación de la información, Derecho de sociedades e información financieraLibre circulación de la información, protección de datos y sus aspectos internacionales

XV/5027/97-ES finalWP (8)

Grupo de Trabajo sobre la protección de las personasen lo referente al tratamiento de datos personales

Documento de trabajo: Notificación

Aprobado por el grupo de trabajo el 3 de diciembre de 1997

Page 2: wp8es

ES/15/97/50270000.W00 (EN)AP

- 2 -

1. INTRODUCCIÓN

La sección IX1 del capítulo II de la Directiva 95/46/CE del Parlamento Europeo y delConsejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en loque respecta al tratamiento de datos personales y a la libre circulación de estos datos (“laDirectiva”) se ocupa de la notificación a las autoridades de control nacionales (“lasautoridades”) de las operaciones de tratamiento de datos.

El grupo de trabajo, de acuerdo con el mandato establecido en el artículo 30 1 a) de laDirectiva, inició durante su segunda reunión los debates sobre la posible aplicación de lasdisposiciones de la Directiva relativas a la notificación. Las delegaciones de Francia,Países Bajos y Reino Unido presentaron documentos de trabajo que versabanespecíficamente sobre la simplificación y la exención de la obligación de notificar eltratamiento de datos a las autoridades.

Con respecto a la simplificación y a la exención de la obligación de notificar, la delegaciónalemana presentó un documento de trabajo sobre el papel que desempeña en Alemania elencargado de la protección de datos independiente (encargado de la protección de datosinterno) mencionado en el apartado 2 del artículo 18 de la Directiva.2 La discusión sobreeste tema continuó durante la tercera reunión, a raíz de la presentación realizada porrepresentantes de los encargados de protección de datos de Alemania.

Se llegó a la conclusión de que el grupo de trabajo podría servir de ayuda para interpretarlas disposiciones pertinentes de la Directiva. La experiencia de algunas delegaciones conrespecto a la aplicación de disposiciones nacionales actuales muy parecidas a las de laDirectiva podría mostrar cómo funcionan las diferentes opciones en ella establecidas.

La discusión demostró que la especificación de fines en el momento de efectuar lanotificación desempeña un papel importante en la aplicación del principio deespecificación de objetivos3. El papel de los “objetivos notificados” en las actualeslegislaciones nacionales varía en los distintos sistemas legales, y el nivel de detalle de ladescripción de estos objetivos varía no sólo entre los Estados miembros sino tambiéndentro de ellos.

El grupo de trabajo acordó intercambiar modelos de formularios de notificación paraestudiar el tipo de especificación de objetivos de los diferentes Estados miembros. Estosmodelos se distribuyeron durante la tercera reunión.

En la cuarta reunión se discutió una versión anterior del presente texto.

En la quinta reunión se intercambiaron ejemplos de descripción de los objetivos de lasoperaciones de tratamiento de datos llevadas a cabo por un banco, una consulta médica yuna compañía telefónica.

1 En particular los artículos 18 a 20.

2 Documento de trabajo 1, debatido durante la segunda reunión.

3 También denominado principio de “finalidad”.

Page 3: wp8es

ES/15/97/50270000.W00 (EN)AP

- 3 -

La sección que sigue esboza la historia legislativa de las disposiciones pertinentes de laDirectiva. La sección tres resume algunas de las principales características de la situaciónlegislativa actual a nivel nacional. La sección final extrae algunas conclusionespreliminares y plantea algunas cuestiones en cuanto al modo de actuar del grupo detrabajo en relación con la notificación.

2. HISTORIA LEGISLATIVA DE LAS DISPOSICIONES PERTINENTES DE LADIRECTIVA.

La propuesta original de la Comisión4 contenía dos disposiciones que se ocupaban de lanotificación: el artículo 7, dedicado a los ficheros del sector público, y el artículo 11,dedicado a los ficheros del sector privado. El considerando 13 dejaba claro que lafinalidad de ambas disposiciones era la misma: asegurar la “transparencia indispensablepara el ejercicio del derecho de acceso del interesado a los datos que le conciernen”. Lanotificación sólo era obligatoria en relación con ficheros “cuyos datos sean susceptibles decomunicación”.

Algunas enmiendas parlamentarias modificaron substancialmente estas disposiciones. Lapropuesta modificada siguiendo las enmiendas del Parlamento supuso unareestructuración de todo el sistema de notificación.

Se suprimió la distinción entre sector público y sector privado y se aplicaron las normassobre la notificación a todas las operaciones de tratamiento. Sin embargo, en la exposiciónde motivos se subrayaba el hecho de que el alcance potencial de la obligación de notificardebía entenderse en conjunción con la introducción de exenciones y simplificaciones de lanotificación.

También se modificó el objetivo global de la notificación: debería servir de base para elcontrol selectivo de la legitimidad de las operaciones de tratamiento a cargo de laautoridad de control.

Algunos aspectos de la propuesta modificada contribuyen en efecto a limitar los requisitosburocráticos innecesarios. Una sola notificación podía servir para un grupo de operacionesde tratamiento dirigidas a alcanzar un único objetivo. Además, no se exigía a losresponsables de los ficheros que dieran demasiados detalles, pues la notificación no teníaque mencionar más que las categorías de interesados, de destinatarios y de datos. No seexigía la notificación del tratamiento de datos relativo a miembros y contactos habitualesde los organismos sin ánimo de lucro mencionados en el artículo 8 2 d. Por último, seestableció que la notificación del tratamiento de datos personales no automático fueraopcional.

Sin embargo, la propuesta modificada no tenía como única finalidad limitar y simplificar laobligación de notificar, sino que, siguiendo los deseos del Parlamento, se proponíaestablecer un sistema de tres fases que, al mismo tiempo que evitaría unos requisitosburocráticos excesivos, proporcionaría diferentes niveles de protección contra los riesgosque plantean los distintos tipos de operaciones de tratamiento.

4 COM (90) 314 final - SYN 287.

Page 4: wp8es

ES/15/97/50270000.W00 (EN)AP

- 4 -

Se introdujo un sistema de autorización preventiva en relación con las operaciones detratamiento que presentaban “riesgos específicos”. El informe explicativo hacía referenciaal tratamiento de datos delicados, a “listas negras” y a “operaciones dirigidas a informar aterceros de la solvencia de particulares”, como ejemplos de operaciones de tratamientoque podían exigir un control previo.

El texto final de las disposiciones sobre la notificación mantuvo la estructura global de lapropuesta modificada. Sin embargo, se añadieron la simplificación y las exenciones de laobligación de notificar en relación con los registros públicos y en los casos en que elresponsable del fichero, de acuerdo con la legislación nacional, nombra un encargadointerno de la protección de datos.

El considerando 48 deja claro que el propósito de los procedimientos de notificación esdesvelar los objetivos y las principales características de la operación de tratamiento, conel fin de controlar el cumplimiento de la legislación sobre protección de datos.

El considerando 52 expone que el control a posteriori es el modo habitual de controlejercido por las autoridades. Los considerandos 53 y 54 confirman que el control previoconstituye un procedimiento en cierto modo excepcional que solo ha de emplearse enrelación con riesgos específicos.

3. SITUACIÓN ACTUAL EN LAS LEGISLACIONES NACIONALES

La notificación del tratamiento de datos a las autoridades existe actualmente en todas lasleyes nacionales de protección de datos. Sin embargo, el alcance de la obligación denotificar varía.

En España, Luxemburgo, Austria, Portugal, Suecia y el Reino Unido, generalmente todaslas operaciones de tratamiento que están dentro del ámbito de aplicación de la ley deprotección de datos5 han de ser notificadas a las autoridades competentes.

Algunos de estos países están en la actualidad simplificando los requisitos de notificacióno introduciendo exenciones de la obligación de notificar. En algunos casos, los sistemasgenerales de notificación demostraron ser muy costosos para las autoridades deprotección de datos. Además, se comprobó la dificultad de realizar un control sustancialbasado en las notificaciones.

En Bélgica y en los Países Bajos se ha eximido de la notificación a las operaciones detratamiento más corrientes y con menos riesgo, por medio de una ley gubernamental en elmarco de la legislación general de protección de datos. Las exenciones abarcan una

5 En algunos de estos países la ley de protección de datos sólo se aplica hoy en día a los datosprocesados por medios automatizados. Otro tipo de operaciones de tratamiento pueden no estarcubiertas en algunos países por la ley de protección de datos. Así, en el Reino Unido, por ejemplo,están exentos de la aplicación de la mayoría de las disposiciones de la ley de protección de datos losdatos personales destinados a un uso doméstico o recreativo, la información que la ley exige se hagapública, los datos relacionados con la seguridad nacional, la gestión de nóminas, pensiones ycontabilidad, los clubes de miembros no inscritos en un registro oficial y las listas de buzoneo.

Page 5: wp8es

ES/15/97/50270000.W00 (EN)AP

- 5 -

proporción muy amplia del tratamiento de datos en su conjunto (estimaciones dealrededor del 80%).

En Francia, las operaciones más corrientes y con menos riesgo están sujetas a unanotificación simplificada en la que el responsable del fichero declara simplemente que losdatos se procesan de acuerdo con lo que se llama una “norme simplifiée” predefinida porla Commission Nationale Informatique et Libertés (CNIL). Hasta ahora se han definidocuarenta de estas “normes simplifiées”, que cubren la gran mayoría de las operaciones detratamiento (el 75% de las notificaciones de 1995 fueron simplificadas).

En Italia se han introducido gradualmente varias exenciones de la notificación, por mediode decretos aprobados en el marco de la legislación general de protección de datos. Estasexenciones se aplican a determinadas categorías de operaciones de tratamiento y estánsujetas a unas condiciones detalladas.

En Dinamarca6, Alemania, Irlanda y Finlandia la obligación de notificar sólo implica adeterminadas operaciones de tratamiento.7

La notificación se hace normalmente mediante formularios impresos especiales. EnBélgica también se puede hacer sobre disquetes de ordenador.8 En el Reino Unido elregistro puede hacerse en parte por vía telefónica, aunque el solicitante debe rellenar unformulario impreso en el que se ofrece información complementaria. Por lo general, losformularios de notificación pueden cubrir todo tipo de operaciones de tratamiento. En elReino Unido se han creado sin embargo plantillas especiales, que son formularios denotificación normales en los que se han destacado todas las partes que suelen serimportantes para un tipo determinado de responsables de ficheros.

Los formularios de notificación incluyen normalmente detalles sobre el responsable delfichero y sobre las operaciones de tratamiento como, por ejemplo, tipo de datos que seprocesan, objetivos, personas con acceso a los datos, etc.

Un elemento clave de la notificación es la descripción del objetivo de la operación detratamiento. La práctica en relación con la especificación de fines varía en los diferentesEstados miembros.

En Bélgica y el Reino Unido se adjunta al formulario de notificación una lista de objetivospredefinidos. Por lo general, los responsables de los ficheros no tienen más que elegir uno

6 En Dinamarca, la obligación de notificar se aplica a todas las operaciones de tratamiento de datos delsector público, pero solamente a determinadas operaciones del sector privado.

7 En Alemania, los organismos federales del sector público deben notificar al comisario federal deprotección de datos y a los organismos y comisarios de los Länder, aunque no es un requisito exigidoen todos ellos. En el sector privado, sólo deben cumplir la obligación de notificar los operadores decalificación de riesgos, las agencias de comercialización directa y las organizaciones que procesandatos en nombre de otros. En Finlandia debe notificarse el tratamiento de datos para comercializacióndirecta, estudio de opinión o de mercado e información telefónica.

8 Este tipo de notificación se fomenta mediante una tasa de notificación bastante más baja.

Page 6: wp8es

ES/15/97/50270000.W00 (EN)AP

- 6 -

de estos objetivos9, aunque en ninguno de los dos países están obligados a hacerlo.Pueden añadir en su lugar una descripción en texto libre del objetivo en cuestión.

Los debates durante la segunda reunión y los modelos de notificación intercambiadosdurante la tercera han demostrado que los responsables de los ficheros tienden a ofrecerdescripciones muy breves y a menudo genéricas de los objetivos de su operación detratamiento.

En la mayoría de los Estados miembros, el análisis de la compatibilidad de la operacióncon la finalidad del tratamiento de datos, al aplicar la Directiva a posteriori, no se hace enrelación con la descripción abstracta del tratamiento sino referido al objetivo material dela operación concreta de que se trata.

La exposición de objetivos demasiado genéricos en la notificación despoja a ésta de sufunción. Una descripción genérica de objetivos impide a las autoridades de protección dedatos determinar si una operación de tratamiento cumple la ley o no, y tiene muy pocautilidad para los ciudadanos que consultan el registro público de operaciones detratamiento.

4. CONCLUSIONES

La notificación contribuye a respetar los principios de la Directiva, pues para efectuarlalos responsables de los ficheros deben evaluar y describir sus operaciones de tratamiento ydefinir previamente qué datos se van a utilizar y con qué fines. Para desempeñaradecuadamente estas funciones y contribuir a la transparencia del tratamiento de datos, lainformación proporcionada no debe ser genérica, sino específica.

Es muy importante que los objetivos de las operaciones de tratamiento se especifiquenadecuadamente. Las definiciones demasiado genéricas privan al sistema de notificacionesde su utilidad. Ni los interesados ni las autoridades de control estarán en disposición devalorar la operación notificada ni si las diversas operaciones planeadas o realizadas por losresponsables de los ficheros son compatibles con el objetivo para el que los datosoriginalmente se recogieron o se han seguido procesando.

Evaluar si una determinada operación es compatible con el objetivo para el que los datosse recogieron originalmente y que quizá haya habido que notificar a la autoridad deprotección de datos es una de las tareas más difíciles e importantes a la hora de verificar elcumplimiento de la legislación. El grupo de trabajo está decidido a crear métodoscomunes de evaluación de la compatibilidad del objetivo de las operaciones de tratamientode datos.

La existencia de divergencias significativas en la descripción de este objetivo en losdistintos Estados miembros no sólo supondría una carga para los responsables de losficheros, sino que podría poner en peligro la equivalencia del nivel de protección dentrode la Comunidad. El análisis de cómo se organiza actualmente la notificación a nivelnacional demuestra que entre los Estados miembros no hay diferencias fundamentales en

9 En Bélgica hay unos 54 objetivos predefinidos, y 70 en el Reino Unido.

Page 7: wp8es

ES/15/97/50270000.W00 (EN)AP

- 7 -

cuanto al planteamiento de la descripción de objetivos . Sin embargo, sí varían el tipo y lacantidad de detalles que se proporcionan, dependiendo de los diferentes procedimientosnacionales y según la estructura de los formularios de notificación.

Un exceso de requisitos burocráticos en relación con la notificación no sólo constituyeuna carga para las empresas, sino que mina el fundamento de la notificación al convertirseen una carga excesiva para las autoridades de protección de datos. Algunos países hanintroducido o han manifestado su interés por una notificación simplificada o porexenciones de la notificación. Conforme a la Directiva, pueden acordarse notificacionessimplificadas o exenciones de la obligación de notificar a operaciones de tratamiento dedatos que es poco probable que menoscaben los derechos y libertades de los interesados.En relación con estas operaciones de tratamiento deben especificarse algunos elementos.10

También puede otorgarse una notificación simplificada o exenciones cuando elresponsable del tratamiento designa, con arreglo a la legislación nacional, un encargado dela protección de datos interno que debe asegurarse de que no es probable que lasoperaciones de tratamiento mermen los derechos y libertades de los interesados. Paraactuar de acuerdo con la Directiva, este encargado debe garantizar al menos, de unamanera independiente, la aplicación de las disposiciones nacionales aprobadas conforme ala Directiva, y llevar el registro de operaciones de tratamiento que contenga lainformación que normalmente aparecería en el registro público pertinente. ²

La introducción de encargados internos de la protección de datos hace menos necesaria lasupervisión centralizada. El grupo de trabajo defiende la introducción de estosencargados, ya sea de manera obligatoria o voluntaria. No obstante, es necesario dar a losencargados los medios para desempeñar sus tareas de un modo eficaz. Si las facultades yrecursos concedidos a los encargados internos de la protección de datos resultaraninsuficientes para asegurarse de que no es probable que los derechos y libertades de losinteresados se vean mermados, dejaría de estar justificado anular las exigencias denotificación ordinaria.

La independencia efectiva de estos encargados a la hora de asegurar la aplicación de lalegislación sobre protección de datos resulta esencial para garantizar los derechos de losinteresados y el cumplimiento de la legislación. Deben ofrecerse garantías de que losencargados de la protección de datos ejercen sus funciones con independencia, sobre todorespecto de las jerarquías.

Existe un cierto grado de coherencia en relación con las categorías de operaciones que noes probable que menoscaben los derechos y libertades de los interesados. Entre ellas estánel tratamiento de datos relacionado con la gestión de nóminas, contabilidad, socios yaccionistas, clientes y proveedores, etc.

El grupo de trabajo está decidido a continuar su labor para llegar a la definición de unalista de operaciones de tratamiento que, independientemente del procedimiento adoptado

10 “[...] los fines de los tratamientos, los datos o categorías de datos tratados, la categoría o categorías delos interesados, los destinatarios o categorías de destinatarios a los que se comuniquen los datos y elperíodo de conservación de los datos” (apartado 2 del artículo 18).

Page 8: wp8es

ES/15/97/50270000.W00 (EN)AP

- 8 -

por los Estados miembros para la incorporación de las disposiciones pertinentes de laDirectiva, podría usarse como referencia al decidir qué operaciones es menos probableque mermen los derechos y libertades de los interesados.

La utilización de medios distintos a los formularios impresos hace que la notificación seamás eficaz tanto para los responsables de los ficheros como para las autoridades. El grupode trabajo apoya el uso de estas formas de notificación como una manera de reducir loscostes de cumplimiento de los operadores económicos y de permitir que la supervisión acargo de las autoridades sea menos costosa y más eficaz.

Una de las funciones de la notificación es la de informar a los ciudadanos sobre lasoperaciones de tratamiento de datos a través del registro público pertinente. El grupo detrabajo considera muy importante que el registro sea fácilmente accesible al público y seinteresa por los proyectos que permiten el acceso a los registros públicos vía Internet.Señala además la necesidad de adoptar medidas protectoras adecuadas para impedir unuso indebido de los datos personales que figuran en los registros de operaciones detratamiento.


Acta de Recepción Definitiva de Obras de Urbanización

Paises y puertos

recoplilació jocs multiculturals

MIRTA VARGAS DE ARGENTINA MEDIA 9 CALZADA Cat B 2° grupo 1ª Actividad

Bibliografía

Report

DÍA DE LA ANUNCIACIÓN

VALORIZACION OCTUBRE VICTOR ROMERO

Calculo Ciclon

FORMATOS DE CONTABILIDAD

especificaciones, concreto y acero

Metodos y Tecnicas de Investigacion Social I-2007

Caricaturas

Puntuación PAEF,s

PROFESORADO

REGISTRO EXCEL ASISTENCIA LABORAL II 2007

acrostics

practicas quimica organica 2

gidoi teknikoa

FORMULARIO DIMAR

MsnMsgr

Diccionario de lunfardo

problemes unitats de mesura

Logos

captura imagen c#

Ejemplos de ficha bibliográfica

BAREMOS

CLINICA DENTAL PORTUGAL

Book1

PLANTILLA PROYECTO DE INVERSION

Municipios de España

Albañilería

reinaga - Pensamiento Amautico v2

Hiato, Diptongo y Triptongo

3-Sentsoreak