Início » La creación de una Política Europea de Protección de Datos Personales

La creación de una Política Europea de Protección de Datos Personales

PorJeison- Postado em 22 outubro 2012

 

Autor: DA CUNHA LOPES, Teresa M.G.
 
Abstract: 
 
La creación de una política europea de normatización y normalización del tratamiento informatizado de Datos Personales se fundamenta en un vasto cuerpo jurídico construido por:A) Tratados y Convenios B) DirectivasC) Reglamentos D) Jurisprudencia E) Propuestas De La Comisión Y Recomendaciones De este Corpus Iuris europeo, resaltamos tres textos: el Convenio n. º 108 del Consejo y las Directivas 95/46/CE y 97/66/CE. La directiva 95/46/CE establece los principios y requisitos procedimentales que deberán considerarse exigencia mínima para que la protección sea adecuada. Hablamos de dos tipos de principios: a) los que se tendrán en cuenta en el momento de recoger los datos b) los que se tendrán en cuenta durante el tratamiento o procesamiento de los datos.Sin embargo, la confusión con respecto a otras esferas de protección de la libertad individual ha sido una constante, sobre todo, en los ordenamientos de Europa continental, hasta la Directiva 97/66/CE. A partir de la Directiva 97/66/CE y su transposición a los sistemas normativos de los Países Miembros, esto ha sido rebasado. En paralelo con el desarrollo de una legislación comunitaria observamos el aparecimiento de las normatividades internas a los Estados Miembros, que en base a una taxonomía histórica se pueden dividir en dos grandes grupos: legislaciones anteriores a la Directiva 95/46/CE y legislaciones posteriores a esta Directiva.

I.-  EL CONVENIO NO. 108 DEL CONSEJO DE EUROPA

 

En 1981 se aprobó el Convenio n. º 108 del Consejo, sobre la protección de las personas en lo relativo al tratamiento automatizado de datos de carácter personal, primera norma europea que marcó las pautas del modelo común de Protección de Datos. El Convenio pretendía ampliar la protección de los derechos y las libertades fundamentales y, en concreto, el derecho al respeto a la vida privada, teniendo en cuenta la intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de tratamientos informatizados.

 

El objeto del Convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sea cual sea su nacionalidad o residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes (art. 1).El convenio15 recoge en su capítulo segundo unos principios básicos para la Protección de Datos: principio de lealtad, principio de exactitud, principio finalista, principio de pertinencia, principio de utilización no abusiva, principio del derecho al olvido, principio de publicidad, principio de acceso individual, principio de seguridad, principio de prohibición de tratamiento automático de datos que revelen el origen racial, las opiniones políticas, las convicciones religiosas o de otro tipo, o datos relativos a la salud o vida sexual, a menos que el derecho interno prevea garantías adecuadas. En cuanto al régimen sancionador previsto en el convenio, el artículo 10 remite la adopción del mismo a los Estados Parte. El convenio deja completamente abierta la cuestión relativa no sólo al tipo de sanciones que pueden preverse, sino también al sector jurídico en el que pueden integrarse.

 

II.-  LAS DIRECTIVAS EUROPEAS EN MATERIA DE PROTECCIÓN DE DATOS

 

En el 1995 y 1997, las autoridades legislativas y ejecutivas de la Unión Europea (UE), conscientes de la importancia creciente que tienen tanto la protección de los derechos y libertades fundamentales, en particular el Derecho a la Intimidad; como de la necesidad de viabilizar todo procesamiento, tratamiento, circulación y teletransmisión de los datos personales con miras al mejoramiento de la sociedad y las economías de los Estados Miembros, publican, respectivamente, la Directiva 95/46/CE[1]y la Directiva 97/66/CE.

 

La Directiva 95/46/CE se aplica a los datos tratados por medios automatizados (base de datos informática de clientes, por ejemplo), así como a los datos contenidos en un fichero no automatizado o que vayan a figurar en él (ficheros en papel tradicionales).

La Directiva no se aplica al tratamiento de datos:

 

·                    efectuado por una persona física en el ejercicio de actividades exclusivamente particulares o domésticas;

·                    aplicado al ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, tales como la seguridad pública, la defensa o la seguridad del Estado.

 

La Directiva tenía  como objetivo proteger los derechos y las libertades de las personas en lo que respecta al tratamiento de datos personales, estableciendo principios de orientación para determinar la licitud de dicho tratamiento.

 

 Dichos principios se refieren a:

 

  • La calidad de los datos. Los datos personales serán tratados de manera leal y lícita, y recogidos con fines determinados, explícitos y legítimos. Además, serán exactos y, cuando sea necesario, actualizados.
  • La legitimación del tratamiento. El tratamiento de datos personales sólo podrá efectuarse si el interesado ha dado su consentimiento de forma inequívoca o si el tratamiento es necesario para: a)la ejecución de un contrato en el que el interesado sea parte, b) el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, c) proteger el interés vital del interesado, d) el cumplimiento de una misión de interés público, e)la satisfacción del interés legítimo perseguido por el responsable del tratamiento.
  • Las categorías especiales de tratamiento. Deberá prohibirse el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas y la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad. Esta disposición va acompañada de reservas que se aplicarán, por ejemplo, en caso de que el tratamiento sea necesario para salvaguardar el interés vital del interesado o para la prevención o el diagnóstico médico.
  • La información a los afectados por dicho tratamiento. El responsable del tratamiento deberá facilitar cierta cantidad de información (identidad del responsable del tratamiento, fines del tratamiento, destinatarios de los datos, etc.) a la persona de quien se recaben los datos que le conciernan.
  • El derecho de acceso del interesado a los datos. Todos los interesados deberán tener el derecho de obtener del responsable del tratamiento: a) la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen y la comunicación de los datos objeto de los tratamientos; b) la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos, así como la notificación a los terceros a quienes se hayan comunicado los datos de dichas modificaciones.
  • Las excepciones y limitaciones. Se podrá limitar el alcance de los principios relativos a la calidad de los datos, la información del interesado, el derecho de acceso y la publicidad de los tratamientos con objeto de salvaguardar, entre otras cosas, la seguridad del Estado, la defensa, la seguridad pública, la represión de infracciones penales, un interés económico y financiero importante de un Estado miembro o de la UE o la protección del interesado.
  • El derecho del interesado a oponerse al tratamiento. El interesado deberá tener derecho a oponerse, por razones legítimas, a que los datos que le conciernen sean objeto de tratamiento. También deberá tener la posibilidad de oponerse, previa petición y sin gastos, al tratamiento de los datos respecto de los cuales se prevea un tratamiento destinado a la prospección. Por último, deberá ser informado antes de que los datos se comuniquen a terceros a efectos de prospección y tendrá derecho a oponerse a dicha comunicación.
  • La confidencialidad y la seguridad del tratamientoLas personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, sólo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento. Por otra parte, el responsable del tratamiento deberá aplicar las medidas adecuadas para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizados.
  • La notificación del tratamiento a la autoridad de control. El responsable del tratamiento efectuará una notificación a la autoridad de control nacional con anterioridad a la realización de un tratamiento. La autoridad de control realizará comprobaciones previas sobre los posibles riesgos para los derechos y libertades de los interesados una vez que haya recibido la notificación. Deberá procederse a la publicidad de los tratamientos y las autoridades de control llevarán un registro de los tratamientos notificados. Las legislaciones nacionales son obligadas a  prever unrecurso judicial para los casos en los que el responsable del tratamiento de datos no respete los derechos de los interesados. Además, las personas que sufran un perjuicio como consecuencia de un tratamiento ilícito de sus datos personales tendrán derecho a obtener la reparación del perjuicio sufrido.

 

Se autoriza la transferencia de datos personales de un Estado miembro a un tercer país que garantice un nivel de protección adecuado; por el contrario, no se autoriza la transferencia a terceros países que no dispongan de tal nivel de protección, salvo contadas excepciones que se enumeran en el texto.

 

La Directiva pretende facilitar la elaboración de códigos de conducta nacionales y comunitarios que contribuyan a una correcta aplicación de las disposiciones nacionales y comunitarias.

 

Cada Estado miembro designará una o varias autoridades públicas independientes encargadas de controlar la aplicación en su territorio de las disposiciones adoptadas por los Estados miembros en aplicación de la presente directiva (ejemplo la Agencia de Protección de Datos en España, la CNIL, Francia o a la CNPDP, Portugal).

 

Se crea un grupo para la protección de las personas en lo que respecta al tratamiento de datos personales, que estará compuesto por representantes de las autoridades de control nacionales, por representantes de las autoridades de control de las instituciones y organismos comunitarios y por un representante de la Comisión.

 

Las Directivas Comunitarias son interdependientes, como lo son los derechos y libertades fundamentales en nuestra actual sociedad. En la Directiva 95/46/CE, se reguló todo lo atinente al tratamiento informatizado de datos de carácter personal, por medios informáticos y electrónicos y se fundamentaron las bases para la transmisión o transferencia de datos de carácter internacional o a terceros países. Sin embargo, algunos otros aspectos jurídicos y técnicos, referentes a la teletransmisión de datos y su potencial riesgo y vulnerabilidad sobrevenida a los derechos y libertades fundamentales, y en particular, al Derecho a la Intimidad fueron tratados específicamente en la Directiva 97/66/CE, para llenar  un evidente vacío en la Directiva de 1995.

 

Sin embargo, una cuestión queda en el aire: ¿Es suficiente la legislación nacional o la regulación europea para hacer efectivo el derecho a la autodeterminación informativa frente a Internet?

 

Países como Alemania, que en sus leyes de Protección de Datos no cuentan con una norma precisa que regule el tráfico transfronterizo de los datos, debieron -según nos indica GEIS[1]- utilizar distintas vías para someter al Derecho las comunicaciones por redes digitales como Internet.

 

Las normas comunitarias (Convenio y Directiva) no dan una solución clara al problema, dado que no es fácil determinar en el plano inter europeo qué constituye un nivel de protección equivalente, ni tampoco acreditar respecto a terceros países la existencia de un nivel adecuado de protección.

 

Una primera vía de solución a este problema ha sido, en estos casos, la solución contractual, socializada a través de la llamada cláusula SCHUFA en Alemania o por la llamada doctrina italiana, que fuera establecida por la CNIL francesa. La cláusula SCHUFA funciona cuando no siendo acreditable que las legislaciones protejan de modo equivalente los datos, se celebra una estipulación en favor del afectado entre el transmisor interno y el receptor extranjero, que se obligan a proteger al afectado según el estándar de la legislación alemana.

 

En Francia, idéntica doctrina se impuso a partir de la deliberación de 11 de julio de 1989 de la Comisión Nacional de Informática y Libertades, respecto a los datos que la FIAT-France deseaba transmitir a la Casa matriz de la FIAT, en Turín. La deliberación condiciona a la filial a someter la transmisión al régimen de autorización previa, en los términos del Convenio 108, si no se celebraba un contrato, asegurando a los afectados la aplicación de las normas del Convenio y de la Ley francesa. La CNIL ha utilizado idéntico criterio cuando se ha tratado de la transferencia de datos en el sector del empleo y, particularmente, en materias de gestión de personal de sociedades multinacionales, elaborando cláusulas tipos para los flujos transfronterizos de los datos. No siempre, sin embargo, se ha exigido un contrato. El ejemplo clásico de ello ha sido en Francia el llamado tratamiento MARINFO, relativo a la gestión de informaciones sobre el tráfico de estupefacientes por la vía marítima a través de intercambio de informaciones entre los Estados europeos, en los que sólo se han exigido simples intercambios de cartas.

 

Pero, ciertamente, una estructura de comunicación digital como Internet, sobre la cual la comunicación circula en el instante y que puede ser recolectada desde cualquier país del planeta, parece poco compatible con los mecanismos de autorización previa, de firma del contrato o de un examen del nivel adecuado de la protección ofrecida. Ello parece posible sólo cuando se trata de un contrato de transferencia permanente o duradera de datos, como el que se produce en el ejemplo de la FIAT.

 

De ahí que la solución contractual no ofrece ningún reemplazo equivalente a la Protección de Datos jurídicamente normada.

 

¿Cuáles son sus principales déficit?: a) Falta la seguridad de la aplicación de un control de Protección de Datos en el país receptor, b) Los poderes públicos del país receptor pueden acceder a estos datos haciendotabula rasa de las normas establecidas por Convención y, c) El receptor extranjero no está limitado en la utilización de los datos, sobre los cuales tiene un amplio derecho de disposición.

 

Algunas vías alternativas de perfeccionamiento se han intentado. Una de ellas, señalada en los comentarios efectuados por la propia CNIL a la deliberación sobre la FIAT-France, es el esfuerzo de los encargados de la Protección de Datos de la Unión Europea y de la propia Comisión por la adopción de medidas de información y la puesta en práctica de medios técnicos destinados a seleccionar los sitios que se comprometen a ofrecer a los internautas una adecuada protección. Sin embargo, en el hecho ocurre que grandes servidores de Internet ponen a disposición del público datos obtenidos en Europa desde países que no cuentan con niveles de protección adecuados. Estas medidas son, claro está, insuficientes.

Otra forma de construir una alternativa a la vía contractual es que al perfeccionamiento del contrato se incorpore una suerte de chek-list, que implique que los estándares mínimos de protección de las leyes nacionales que no regulan el tema, sean incorporados a los elementos esenciales del contrato. Del mismo modo, se puede acordar en favor del afectado el ejercicio de los derechos de defensa.

 

Ahora bien, cuando se trata de la transmisión de datos entre países de la Unión europea, al no existir en la realidad un nivel equivalente, la manera de evitar las diferencias en la protección de los datos puede ser solucionada a través de dos vías:

 

 1.- Mediante la aplicación del llamado standortprinzip[2] o principio del domicilio, conforme al cual la transmisión sigue las condiciones del Estado miembro en el que se domicilia el emisor, mientras que la elaboración y utilización de los datos se regla por las normas del domicilio del receptor y,

2.-Mediante la armonización de las legislaciones

 

Respecto de los países terceros (no miembros de la Unión), al no existir un estándar mínimo que haga aplicable el standortprinzip, el régimen jurídico habrá de ser inevitablemente diferenciado, según cuál sea su nivel de protección de los datos.

 

Si el tercer país tiene un adecuado nivel de protección,  fórmula flexible destinada a evitar que Europa se convierta en una especie de fortaleza de la protección desde el cual ningún dato pudiera ser exportado, la transmisión será posible.

 

Para determinar si existe o no ese nivel, la Directiva comunitaria del 95, establece en su artículo 31 un procedimiento de comprobación, aunque la misma recurre a vagas expresiones para señalar cómo ha de practicarse la evaluación. En efecto, el artículo 25, apartado 2. de la Directiva, prescribe que: "2. El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencia de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el tercer país de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países".

 

Si la Comisión comprueba que el tercer país no tiene un nivel adecuado de protección, debe tomar las medidas para impedir toda transferencia de datos a dicho país, solución que, como hemos dicho, sólo puede ser parcialmente aplicada a Internet.

 

En el fondo, se está en presencia de un procedimiento de determinación realizado por dos órganos políticos: los Estados miembros y la Comisión, de manera que la consideración de si concurre o no un nivel adecuado, se producirá después de finalizadas las negociaciones de la Comisión con el tercer Estado.

 

Pese a que la transmisión de datos a un país con protección inadecuada se encuentra prohibida por la Directiva, el artículo 26 permite la transferencia:

 

a) si media el consentimiento inequívoco del interesado;

b) si es necesaria para la ejecución de un contrato entre el interesado y el responsable o para la ejecución de medidas precontractuales tomadas a petición del interesado;

c) si es necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del interesado entre el responsable y un tercero;

d) si es necesaria para salvaguardar un interés público importante, o para ejercer o defender un derecho en un procedimiento judicial;

e) para la salvaguardia de un interés vital del interesado;

f) si se trata de transferir desde registros públicos abiertos a consultas.

 

El problema aquí es la existencia de conceptos jurídicos indeterminados como "interés público importante", que pudo perfectamente catalogarse bajo la forma de específicos contenidos.

 

Finalmente, la Directiva somete al régimen de autorización previa la transferencia a países que no cuentan con un nivel adecuado de protección, cuando el responsable del tratamiento ofrece garantías suficientes respecto a la protección de los derechos del afectado, así como respecto a su ejercicio, todo lo cual puede derivar en las correspondientes cláusulas contractuales.

 

Además de las dos directivas arriba desglosadas y que son los dos pilares de la arquitectura de la Protección de Datos en la UE existe, como consecuencia directa del nuevo orden mundial instaurado por los ataques del 11S y del 14M una profusa actividad legislativa comunitaria en la materia.

 

Los principales documentos son:

 

·                    Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la Intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) [Diario Oficial L 201 de 31.7.2002].

 

Esta Directiva se adoptó en 2002 al mismo tiempo que un nuevo conjunto de textos legislativos destinado a servir de marco al sector de las comunicaciones electrónicas. En ella se incluyen disposiciones sobre una serie de temas más o menos sensibles, como la conservación de los datos de conexión por parte de los Estados miembros a efectos de vigilancia policial (retención de datos), el envío de mensajes electrónicos no solicitados, la utilización de los denominados cookies y la inclusión de datos personales en las guías públicas.

 

Además se adoptaron nuevas cláusulas contractuales tipo para la transferencia de datos personales a terceros países:

 

·                    Decisión 2004/915/CE de la Comisión, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países [Diario Oficial L 385 de 29.12.2004].

 

La Comisión Europea aprobó nuevas cláusulas contractuales tipo que podrán utilizar las empresas para garantizar adecuadamente la transferencia de datos personales de la UE a terceros países. Estas nuevas cláusulas se añadirán a las ya existentes en el marco de la Decisión de la Comisión de junio de 2001 (véase a continuación).

 

·                    Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE [Diario Oficial L 181 de 4.7.2001].

 

Esta Decisión define las cláusulas contractuales tipo que garantizarán un nivel adecuado de protección de los datos personales transferidos de la UE a terceros países. La decisión obliga a los Estados miembros a reconocer que las sociedades u organismos que utilicen esas cláusulas tipo en contratos relativos a transferencias de datos personales a terceros países garantizan un «nivel adecuado de protección» de los datos.

 

III.- LA CONSTRUCCIÓN DE LOS CUERPOS NORMATIVOS DE LOS ESTADOS MIEMBROS EN MATERIA DE PROTECCIÓN DE DATOS

 

La construcción de los cuerpos normativos de los Estados Miembros ha seguido diversos ritmos y estrategias. Así, la Constitución alemana, de 23 de mayo de 1949, no prevé ningún precepto donde se reconozca directamente el Derecho a la Intimidad personal y familiar, tal y como se recoge en la Constitución Mexicana (o en la Española, o en la Portuguesa o en la Griega). No obstante, el párrafo 1 de la Constitución alemana establece la inviolabilidad de la dignidad humana y el párrafo 2 reconoce la garantía al libre desarrollo de la personalidad y la inviolabilidad de la persona. Por su parte, el párrafo 10.1 reconoce la privacidad de las cartas y el secreto de las comunicaciones y el párrafo 13 establece la inviolabilidad del domicilio. En cuanto a la protección de la Intimidad informática, es importante recordar, una y otra vez,  la sentencia del Tribunal Federal alemán de 15 de diciembre de 1983, en la que se recogen las bases y los elementos básicos del contenido del Derecho a la Protección de Datos de carácter personal. En Alemania, la transposición de la Directiva 95/46/CE se llevó a cabo a mediante la Ley Federal de Protección de Datos, adoptada el 18 de mayo del 2001. La parte V de la ley recoge las disposiciones finales, dentro de las que encontramos los párrafos 43 y 44, que determinan las infracciones administrativas y penales, respectivamente. El párrafo 43 incluye como infracciones sancionables administrativamente, aquellas realizadas por cualquiera que intencionadamente o por negligencia lleve a cabo alguna de las conductas previstas en el apartado primero o en el apartado segundo del precepto. La ley alemana no especifica los sujetos destinatarios de la norma. Bastará con realizar la conducta típica para ser sancionado. El apartado tercero del párrafo 43 prevé que las infracciones incluidas en el apartado primero serán castigadas con multa de 25.564 euros y las infracciones incluidas en el apartado segundo serán castigadas con multa de hasta 255.645 euros. La norma alemana prevé infracciones penales y sus consecuencias dentro de la misma ley de Protección de Datos. El párrafo 44 establece estas infracciones. El apartado primero prevé como infracción sancionable con hasta dos años de cárcel o multa cometer deliberadamente un acto de los previstos en el apartado segundo del párrafo 43 con la intención de enriquecerse uno mismo o a otro o con intención de perjudicar a un tercero. El apartado segundo especifica que estos delitos sólo serán perseguibles mediante denuncia del titular de los datos o de la autoridad de control. Por su parte, el Código penal alemán dedica su capítulo 15 a la violación de la esfera de la privacidad personal y la confidencialidad y, dentro de éste, su párrafo 202ª lleva por título «Espionaje de datos». Este precepto se compone de dos apartados. El primero de ellos establece que cualquier persona que obtenga datos personales sin autorización, para sí o para un tercero, especialmente protegidos contra el acceso no autorizado, podrá ser castigada con una pena de prisión no superior a tres años o una multa. Datos personales, según el apartado segundo de este párrafo, lo serán sólo aquéllos guardados o transmitidos electrónica o magnéticamente, o de un modo no perceptible de forma inmediata. El legislador alemán, a diferencia del español, no define el abanico de conductas punibles y tampoco prevé tipos agravados o hiper agravados.

 

Cuanto a la legislación francesa, la Constitución francesa de 1958 forma parte de aquellos ordenamientos que no recogen el Derecho a la Intimidad de forma  concreta y que tampoco establecen con rango constitucional la garantía de manifestaciones clásicas del derecho. Sin embargo, ello no implica ausencia del reconocimiento del derecho, dado que puede tener su engarce en otras disposiciones de la norma fundamental y posee, de hecho, cobertura legal. El reconocimiento legal lo proporciona la Ley n. º 2004-801 de 6 de agosto del 2004, relativa a la protección de las personas físicas respecto al tratamiento de datos de carácter personal, norma que supone la transposición de la directiva al ordenamiento jurídico francés. El capítulo VII lleva por título "Sanciones pronunciadas por la Comisión Nacional de la informática y las libertades" y recoge las sanciones administrativas. El capítulo VIII hace referencia a las disposiciones penales. El artículo 45 de la ley establece los casos en que la Comisión Nacional de la Informática y las Libertades (CNIL) podrá intervenir cuando se haya producido una infracción. Los mecanismos que la comisión posee para disuadir a los infractores son diversos. Así, la comisión puede advertir al infractor, imponerle una multa, conminarlo para detener el tratamiento o retirarle la autorización, interrumpir o cerrar automáticamente el tratamiento durante 3 meses, informar al primer ministro o presentar un recurso de urgencia ante la jurisdicción competente para que adopte las medidas necesarias para la salvaguardia de derechos y libertades. Las sanciones previstas en el artículo 45.I y 45.II.1. º serán pronunciadas por medio de un informe establecido por uno de los miembros de la comisión, designado por el presidente de ésta, de acuerdo con el artículo 46 de la ley. El informe se notificará al responsable del tratamiento, quien podrá prestar declaración y hacerse representar o asistir.

 

El artículo 47 de la ley prevé las multas aplicables, que serán proporcionales a la gravedad de las infracciones cometidas y a los beneficios obtenidos de la infracción. La primera infracción no se podrá castigar con una multa superior a 150.000 euros. En caso de infracción reiterada dentro de los cinco años a contar desde la fecha de aquélla sanción pecuniaria precedentemente pronunciada y convertida en definitiva, la multa no podrá superar los 300.000 euros. El capítulo VIII incluye las sanciones penales. El artículo 50 hace una remisión a los artículos 226-16 a 226-24 del Código penal. El artículo 51 castiga con un año de prisión y multa de 15.000 euros el hecho de obstaculizar la acción  de la Comisión Nacional de la Informática y de las Libertades. En cuanto a los delitos, éstos se comprenden en el capítulo VI del Código penal, que trata los delitos contra la personalidad, concretamente en su sección quinta, que lleva por nombre «Los atentados contra los derechos de las personas resultantes de los ficheros o de los tratamientos informáticos» y comprende los artículos 226-16 a 226-24. El legislador francés prevé la misma pena para todos los tipos delictivos (cinco años de prisión y multa de 300.000 euros), a excepción de los casos de divulgación imprudente o negligente, en los que la pena será de tres años de prisión y multa de 100.000 euros.

 

A su vez, la legislación italiana La Constitución italiana de 27 de diciembre de 1947 no realiza mención expresa de la Intimidad como derecho, pero recoge manifestaciones de la misma, reconociendo de forma correlativa la inviolabilidad del domicilio (art. 14) y el secreto de las comunicaciones (art. 15). La Directiva 95/46/CE se transpone mediante el Codice in materia di protezione dei dati personali, de 30 de junio del 2003. La parte III del código lleva por título "Tutela del interesado y sanciones". El título III regula las sanciones, que se dividen en dos capítulos. El capítulo I establece las sanciones administrativas y el capítulo II establece las penales. La ley italiana de Protección de Datos incluye así en su articulado las penas privativas de libertad, sin incluirlas en el Código penal, tal como hemos visto que se preveía en el resto de ordenamientos. Otras vulneraciones del Derecho a la Intimidad sí que quedan reguladas por el Código penal, como son la inviolabilidad del domicilio y el secreto de las comunicaciones (arts. 614 y 615). Las sanciones administrativas se regulan en los artículos 161 a 165 de la ley y el procedimiento a seguir se prevé en el artículo 166. Las multas van de los 500 a los 90.000 euros. El máximo al que puede ascender una sanción es a los 90.000 euros en el caso de que se multiplique por tres la multa prevista para los casos de vulneración del deber de información cuando se trate de datos sensibles o que presentan un riesgo específico y la multa a aplicar resulte ineficaz debido a la condición económica del infractor. En cuanto a las sanciones penales, éstas se recogen en los artículos 167 a 172 de la ley. La pena máxima es de tres años de prisión para el que lleve a cabo una declaración o una aportación de documentos falsos.

 

Otro caso interesante es el de Suecia. La Constitución de Suecia de 1974 recoge en su capítulo segundo el catálogo de derechos y libertades del individuo. Concretamente, el artículo 3 garantiza la protección de los ciudadanos "contra cualquier lesión de su integridad personal resultante del almacenamiento de datos que les afecten, mediante tratamiento informático". También la inviolabilidad del domicilio y el secreto de las comunicaciones son objeto de expresa proclamación, en el artículo 6 de la Carta Magna de Suecia. La directiva europea se traspuso en Suecia mediante la Ley de Datos Personales de 29 de abril de 1998. Los artículos 48 y 49 determinan los daños y las penas a aplicar, respectivamente. El artículo 48 establece que el responsable de los datos personales compensará a la persona registrada por daños y por violación de la integridad personal causada por el tratamiento de datos llevado a cabo ilícitamente. Sin embargo, si prueba que el error no fue causado por él, la obligación del pago de la compensación puede verse reducida o desaparecer completamente. El artículo 49 castiga con multa o prisión de un máximo de 6 meses o de 2 años, si la infracción es grave, a quien intencionadamente o por negligencia lleve a cabo alguna de las conductas previstas en el citado precepto. Se trata de un sistema de días-multa en el que se determina la importancia o gravedad de la misma, no por una suma de dinero, sino por un número de días, según la gravedad del delito. Cada día equivale a una concreta cantidad de dinero, según la posición económica del condenado. El capítulo cuarto de la parte segunda del Código penal sueco lleva por título "De los crímenes contra la libertad y la paz". El artículo 9c penaliza el incumplimiento del deber de secreto de datos personales con una multa o con la pena de un máximo de dos años de prisión. La tentativa, preparación o conspiración para llevar a cabo este delito también quedarán castigadas por el Código penal, de acuerdo con el artículo 10, que remite al capítulo 23 del mismo. El capítulo 25 de la tercera parte del mismo código regula el sistema de multas.

 

IV.- EL GRUPO DE TRABAJO DEL ARTÍCULO 29

 

El Grupo  de Trabajo del artículo 29 es el grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. Su labor es intensa y, extraoficialmente, funciona como el grupo de referencia nivel mundial para el diseño de las políticas y de las arquitecturas jurídicas de Protección de Datos. Como resultados concretos del extenso trabajo del Grupo del artículo 29, destaco en este trabajo el Dictamen de enero del 2001 de la Comisión Europea, el Dictamen 10/2006 relativo al tratamiento de datos personales por parte de Society for Worldwide Interbank Financial Telecommunication (SWIFT) Adoptado con fecha 22 de noviembre de 2006, el Documento de trabajo 1/08 sobre la Protección de Datos personales de los niños (Directrices generales y el caso especial de los colegios), adoptado en Febrero de 2008, la opinión 5/2009 sobre redes sociales en línea (adoptada en mayo del 2009) cuyo propósito es analizar si las redes sociales en internet cumplen con los requisitos de la legislación sobre Protección de Datos en la Unión Europea y sobre todo proporcionar los lineamientos necesarios para que las empresas y proveedores de redes sociales puedan adoptar las medidas necesarias para cumplir con lo dispuesto en la legislación sobre Protección de Datos en la UE, entre otras.

 

La más importante, en nuestra modesta opinión continua siendo el Dictamen de  enero de 2001, construido como una comunicación de  la Comisión Europea dirigió al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones sobre la creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos.

Este texto, que tiene tendencia a integrar de manera equilibrada los distintos intereses existentes, concretamente la lucha contra la delincuencia informática (que, además, puede contribuir a mejorar la protección de los datos personales) y el respeto de los derechos y libertades fundamentales de los individuos, especialmente sus derechos a la Intimidad y a la protección de sus datos. Las medidas adoptadas para responder a los intereses legítimos de la lucha contra la delincuencia informática deben ajustarse a los imperativos derivados de la protección de los derechos y libertades fundamentales[3].

 

Concretamente, toda limitación de dichos derechos y libertades debe estar debidamente justificada y ser necesaria y proporcional con respecto al objetivo perseguido. La mayor concienciación del fenómeno de la delincuencia informática no debe ser la excusa para aplicar técnicas de estrecha vigilancia de los ciudadanos sin que se hayan considerado en profundidad otras alternativas para luchar contra ese tipo de delitos.

 

El Grupo de trabajo constata la importancia de que toda iniciativa vinculada con la lucha contra los delitos informáticos pueda ser garantizada  concretamente por las Directivas 95/46/CE y 97/66/CE, la Carta de los Derechos Fundamentales de la Unión Europea (en particular, por sus artículos 7 y 8), el Convenio Europeo de Derechos Humanos (en particular, por su artículo 8), el Convenio del Consejo de Europa nº 108 de 1981 sobre la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, la Recomendación del Consejo de Europa R(87) 15 destinada a reglamentar la utilización de los datos de carácter personal por el sector de la policía, la Recomendación del Consejo de Europa R(95) 4 sobre la protección de los datos de carácter personal en el sector de los servicios de telecomunicaciones y, concretamente, con respecto a los servicios telefónicos. Y que esas iniciativas sean objeto de un debate abierto, transparente y que aborde el conjunto de los temas que se plantean, y que todas las partes interesadas puedan formular sus observaciones antes de que se apliquen las medidas mencionadas en la Comunicación de la Comisión.

 

El Grupo del Artículo 29 dedica especial atención a los siguientes problemas:

 

·                    Seguridad de los datos personalesEl Grupo considera que, de debe insistir  más sobre la importancia de las medidas de prevención eficaces y,  concretamente, sobre las medidas de seguridad en lugar de centrarse prioritariamente en las medidas represivas[4]. Una mejora general del nivel de seguridad contribuirá a reducir el riesgo de que se atente contra la seguridad de las redes y los datos. A este respecto, el Grupo repetidamente utiliza argumentos producidos de las obligaciones derivadas de las directivas relativas a la protección de los datos.

 

 Por una parte, en el artículo 4 de la Directiva 97/66/CE, se establece que "el proveedor de un servicio público de telecomunicación deberá adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con el proveedor de la red pública de telecomunicación. Considerando las técnicas más avanzadas y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado para el riesgo existente". En el mismo artículo se establece que, en caso de que exista un riesgo concreto de violación de la seguridad de la red, el proveedor de un servicio público de telecomunicación debe informar a los abonados sobre dicho riesgo y sobre las posibles soluciones, incluidos los costes necesarios. Por otra parte, en el artículo 17 de la Directiva 95/46/CE, se establece "la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse". Por último, el Grupo utiliza frecuentemente a este respecto el artículo 24 de la Directiva arriba mencionada que obliga expresamente a los Estados miembros a adoptar las medidas adecuadas para garantizar la plena aplicación de las disposiciones de dicha Directiva y a determinar, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.

 

·                    Concepto de delincuencia informáticaNo existe un concepto unánimemente aceptado a nivel de la Unión Europea de las nociones comprendidas por la delincuencia informática. Puede tratarse tanto de nuevas formas de delincuencia (denegación de servicios...) como de formas tradicionales de delincuencia que se materializan utilizando las nuevas tecnologías. No obstante, el Grupo de Trabajo del Artículo 29 utiliza una noción de delincuencia informática extremadamente amplia que engloba distintas infracciones únicamente porque, en algún momento, se ha recurrido a tecnologías de la información y la comunicación.

 

Sin embargo, la amplitud del concepto de delincuencia informática tiene una gran importancia. Dicho concepto servirá de base para las medidas procesales mencionadas en los diversos documentos de trabajo del Grupo y en las Comunicaciones de la Comisión Europea. Debería evitarse que determinados comportamientos en los que la investigación no informática no diera lugar a medidas procesales intrusivas pudieran ser objeto de dichas medidas únicamente por el empleo de las tecnologías de la información y la comunicación. Por otro lado, hay que referir, que el Grupo de trabajo destaca que la noción de delincuencia informática aparece recogida, por ejemplo, en el anexo del Convenio Europol o en el proyecto de decisión Eurojust para delimitar las competencias de estos organismos. Por tanto, en términos de coherencia y seguridad jurídica, procede asegurarse de que los distintos tratamientos en diferentes entidades gocen de garantías equivalentes y adecuadas[5].

 

·                    Cuestiones de derecho positivo. El acercamiento de las disposiciones de derecho positivo implica la definición de infracciones comunes. A este respecto, el Grupo de trabajo hace dos observaciones. Por una parte, en términos de contenido del derecho sustantivo, es necesario definir las infracciones vinculadas con la delincuencia informática (por ejemplo, el acceso ilegal o la interceptación ilegal ...) con respecto a las que podrían existir en aplicación de las legislaciones sobre la protección de la Intimidad o de los datos de carácter personal (por ejemplo, el acceso ilícito a los datos de carácter personal y la violación del secreto de las comunicaciones) con objeto de evitar contradicciones y solapamientos perjudiciales en términos de seguridad jurídica. Por otra parte, los comportamientos susceptibles de ser castigados vinculados con la delincuencia informática deberán definirse necesariamente de manera precisa para así poder incriminarlos.

 

Al definir los elementos que constituyen las infracciones, es necesario velar por una perfecta coherencia con las normas existentes en materia de Protección de Datos. Así, el consentimiento de una persona distinta de la persona afectada no es necesariamente un criterio válido para eliminar el carácter delictivo de un comportamiento que atente contra la seguridad de los datos personales. Por otro lado, el Grupo de trabajo señala a la Comisión la necesidad de llevar a cabo una evaluación de los trabajos del Consejo de Europa que han culminado en el   de Convenio sobre delincuencia en el ciberespacio. El Grupo de trabajo destaca que este texto ha recibido numerosas críticas, sobre todo sobre su falta de equilibrio[6] A este respecto, el Grupo de trabajo ha publicado el  Dictamen 4/2001. Por otro lado, el Grupo de trabajo insiste en la necesidad de definir el derecho sustantivo aplicable a los comportamientos que puedan ser objeto de incriminación con un espíritu de coherencia con respecto al marco jurídico de la Protección de Datos.

 

·                    Cuestiones de derecho procesal. El Grupo de Trabajo del Artículo 29 es especialmente sensible a las cuestiones de derecho procesal que van parejas con la recopilación de múltiples datos personales sobre los individuos sospechosos de haber cometido infracciones.

 

El Grupo de Trabajo del Artículo 29 destaca en particular el hecho de que las medidas de derecho procesal mencionadas en las diversas  Comunicaciones de la Comisión Europea podrían llegar a tener un ámbito de aplicación extremadamente amplio porque se pueden aplicar a todo tipo de delincuencia, y no sólo a la informática. Al Grupo de Trabajo del Artículo 29 le preocupa sobremanera, la necesidad de definir las medidas procesales de manera que se respeten los derechos y libertades fundamentales de las personas afectadas y, en particular, de forma coherente con respecto al marco jurídico de la protección de los datos. Así, el hecho de que se pueda acceder públicamente a determinados datos personales, o de que la persona en poder de la cual se hallen éstos materialmente consienta su divulgación, no implica que dichos datos puedan utilizarse con toda libertad para luchar contra la delincuencia. Además, cuando las autoridades encargadas del cumplimiento de la ley estén autorizadas a consultar los datos relativos a las conexiones de una persona en poder de los proveedores de acceso a Internet, dichas autoridades sólo deberían poder tratar los datos de conexión relacionados con la investigación sobre un comportamiento específico (por ejemplo, se deberían poder tratar los datos de conexión relativos a una intrusión ilícita en la Intranet de una empresa, pero no los datos relativos a las costumbres de navegación del autor de la intrusión que no tengan relación con la infracción investigada). De la misma forma, el hecho de que los individuos dejen señales de su presencia en las redes y de que se conserven sus datos personales (a veces sin que la persona interesada lo sepa) no implica que todos estos datos puedan utilizarse automáticamente para una investigación concreta. De manera más general, el Grupo de Trabajo del Artículo 29 es consciente de que, a la hora de incautarse de datos informáticos, puede ser difícil determinar directamente cuáles son los datos pertinentes y los que no lo son, pero, en cualquier caso, es fundamental que sólo se conserven los primeros.

 

La adopción de cada medida procesal y de mecanismos de cooperación  internacional debería ir acompañada de condiciones y cláusulas de salvaguardia, al mismo tiempo, de la seguridad de las infraestructuras de información, de la salvaguardia jurídica de los derechos fundamentales  y de la optimización de la lucha contra los delitos informáticos.

El Grupo de Trabajo del Artículo 29  propone que se deben de tener en cuenta los siguientes puntos:

 

·                    debe establecerse con antelación el fundamento jurídico que autoriza cada medida de manera no arbitraria, accesible y previsible en cuanto a sus efectos;

 

·                     la necesidad de cada medida en una sociedad democrática, lo que implica la justificación de la medida por una necesidad social imperiosa, la falta de medios alternativos menos intrusivos para comprobar los hechos y excluye toda medida de vigilancia general o exploratoria;

 

 

·                    las medidas sólo deberían poder aplicarse si existieran indicios que permitieran sospechar que alguien intenta proyectar, materializar o haber materializado determinados comportamientos delictivos específicos; se debería realizar una prueba de proporcionalidad en cada caso que comprendiera la naturaleza, las circunstancias y la gravedad de la infracción;

 

·                    toda medida debería ser limitada en el tiempo y en el espacio, ser suficientemente específica (persona determinada, categorías de datos que pueden incautarse, computador particular, datos específicos) y pertenecer a una investigación penal determinada;

 

 

·                    para cada uno de los casos, se deberían establecer una motivación de la aplicación de la medida procesal, así como una indicación sobre las razones por las que otros medios menos intrusivos no permitirían demostrar los hechos;

 

·                    para los casos en los que se obtengan datos que no sean pertinentes (datos relativos a terceros, datos no pertinentes para la infracción investigada, etc.) mediante las medidas procesales, deberían establecerse garantías específicas y, concretamente, medidas de borrado de tales datos[7];

 

 

·                     debería contemplarse la posibilidad de informar a la persona afectada sobre la aplicación de la medida procesal a partir del momento en que tal información no perjudique o deje de perjudicar a la investigación;

 

·                    debería aplicarse de manera efectiva la transparencia democrática de las medidas procesales, por ejemplo, mediante la elaboración de informes sobre política delictiva;

 

 

·                    la aplicación de la medida debe ser objeto de autorización por parte de una autoridad judicial o equivalente con competencias en la materia y sometida a un control independiente;

 

·                     las personas afectadas por las medidas deben disponer de un derecho de recurso judicial[8],

 

 

·                    deben adoptarse garantías específicas para las profesiones reguladas (abogados, médicos, etc.).[9].

 

Códigos de conducta. Repetidamente, las Comunicaciones  de la Comisión Europea hacen referencia a códigos de conducta. El Grupo de Trabajo del Artículo 29, en todos sus documentos  señala a la Comisión que toda limitación de los derechos fundamentales de los individuos debe basarse en un fundamento jurídico por razones de control democrático.[10]

 

 

NOTAS


 


[1] La Directiva 95/46/CE constituye el texto de referencia, a escala europea, en materia de Protección de Datos personales. Crea un marco regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea (UE). Con ese objeto, la Directiva fija límites estrictos para la recogida y utilización de los datos personales y solicita la creación, en cada Estado miembro, de un organismo nacional independiente encargado de la protección de los mencionados datos

 

[2] Ver el artículo de Christian Suárez Crothers: "Transferencia De Datos Personales A Países Terceros Y El Casode Internet". En: Ius et Praxis, julio-agosto, año/vol. 7, número 002, Universidad de Talca, Chile, pp. 317-326, 2001

[3] Garantizados concretamente por las Directivas 95/46/CE y 97/66/CE, la Carta de los Derechos Fundamentales de la Unión Europea (en particular, por sus artículos 7 y 8), el Convenio Europeo de Derechos Humanos (en particular, por su artículo 8), el Convenio del Consejo de Europa nº 108 de 1981 sobre la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, la Recomendación del Consejo de Europa R(87) 15 destinada a reglamentar la utilización de los datos de carácter personal por el sector de la policía, la Recomendación del Consejo de Europa R(95) 4 sobre la protección de los datos de carácter personal en el sector de los servicios de telecomunicaciones y, concretamente, con respecto a los servicios telefónicos.

 

[4] Ver otra Comunicación de la Comisión que trata específicamente sobre la cuestión de la seguridad titulada " Seguridad de las redes y de la información: Propuesta para un enfoque político europeo" (COM (2001) 298 de 6 de junio de 2001

 

[5] Lo cual legitimaría el incremento del tratamiento de datos personales por parte de dichos organismos. Sería especialmente nocivo que los diferentes campos de competencias de estas distintas entidades pudieran permitir que los datos tratados en el contexto de la lucha contra la delincuencia informática contaran con un nivel de protección diferente.

[6] A título de ejemplo, véase la posición común del Grupo de trabajo internacional sobre la protección de los

datos en las telecomunicaciones relativa a los aspectos de protección de los datos del proyecto de Convenio

del Consejo de Europa sobre delincuencia en el ciberespacio de 13 y 14 de septiembre de 2000: "Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime", disponible en la siguiente dirección de Internet:http://www.datenschutzberlin. de /doc/int/iwgdpt/cy-en.htm , así como el Informe del Parlamento Europeo de 17 de julio de 2001 sobre la Estrategia para la Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos

 

[7] consultar los trabajos del Grupo del Artículo 29 sobre determinadas cuestiones específicas, a saber, la Recomendación 2/99 sobre la protección de la Intimidad en el contexto de la interceptación de las telecomunicaciones y en particular, sobre la necesidad de que el derecho nacional defina de forma rigurosa y respetando todas las disposiciones anteriormente mencionadas, sobretodo la Recomendación 3/997 sobre la conservación de datos sobre tráfico y la Recomendación 3/97 sobre el anonimato en Internet. Véase asimismo la Resolución de los Comisarios Europeos para la Protección de Datos sobre el mismo tema emitida en Estocolmo en la primavera de 2000. Véase el párrafo segundo del apartado 2 del artículo 2 de la Recomendación del Consejo de Europa n° R (95) 4.

 

[8] Véase el artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea.

 

[9] A este respecto, véase la jurisprudencia del Tribunal Europeo de Derechos Humanos, que exige que los locales que albergan documentos cubiertos por el secreto profesional gocen de una mayor protección y que

toda inspección domiciliaria en la materia sea proporcional y concreta para evitar el acceso a documentos cubiertos por el secreto profesional ajenos a la investigación

[10] De conformidad con la interpretación del Tribunal Europeo de Derechos Humanos

 

REFERENCIAS BIBLIOGRÁFICAS

A) COLECCIONES JURÍDICAS

AA.VV. Base de datos Celex. Ed. Comunidad Europea, Bruselas, (B), 1997-2009

 

AA.VV. Constitución Española. Segunda edición actualizada, Editorial, Civitas, Madrid, 1997.

 

AA.VV. Código Penal. Doctrina y jurisprudencia. Tomo II, Artículos 138 a 385. Dirección: Cándido Conde-Pumpido F., Ed. Trivium, S.A., 1a ed., Madrid, 1997.

 

AA.VV. Constituiçao novo texto. Ed. Coimbra. Ediçao organizada JJ. Gomes Canotilho o Vital Moreira, Portugal, 1982.

 

AA.VV. Código Penal y legislación complementaria. Vigésimo tercera edición actualizada a Septiembre de 1997, Editorial, Civitas, Madrid, 1997.

 

AA.VV. Ámbito jurídico de las tecnologías de la información. En: Cuadernos de Derecho Judicial. Escuela Judicial. Consejo General del Poder Judicial.C.G.P.J.No. XI, Madrid, 1996.

 

AA.VV. Orden Jurídico Nacional. Base de Datos de la Legislación Mexicana. Secretaría de Gobernación, México

 

AA.VV. Internet Engineering Task Force. http://www.ietf.org/Núm. 2 de Enero, Ed. Aranzadi, Elcano (Navarra.), 1992.

 

B) REFERENCIAS BIBLIOGRÁFICAS IMPRESAS

 

BETES DE TORO, Alfredo: "El derecho de información y los principios legitimadores del tratamiento automatizado de los datos de carácter personal en la Directiva 95/46/CE, de 24 de octubre de 1995."En: Actualidad Informática Aranzadi. A.I.A. Núm. 25 de Octubre, Ed. Aranzadi, Elcano (Navarra.), 1997.

CAMPUZANO TOMÉ, Herminia: Vida Privada y Datos Personales, su protección frente a la sociedad de la información, Tecnos, Madrid, España, 2000

DELMAS-MARTY, Mireille y J.R.  SPENCER : European Criminal Procedures. Cambridge Studies in International and European LawUniversity Press, Cambridge, 2002

DUMORTIER, J. y ALONSO BLAS, Diana M.: "La transposición de la Directiva de Protección de Datos". En: Actualidad Informática Aranzadi. A.I.A. Núm. 20 de Julio, Ed. Aranzadi, Elcano (Navarra.), 1996

GRIJPINK, J. y PRIENS, C.: "Digital Anonymity on the Internet, New Rules for Anonymous Electronic Transactions?" En: .Computer Law & Security Report. Vol. 17, n. º 6, pág. 379-389., 2001

HERRÁN ORTIZ, ANA ISABEL: El Derecho a la Protección de Datos Personales en la Sociedad de la Información, Universidad de Deusto, Bilbao, España, 2003

MOITINHO DE ALMEIDA, José Carlos: La protección de los derechos fundamentales en la jurisprudencia del tribunal de justicia de las Comunidades Europeas. En: El Derecho Comunitario Europeo y su aplicación Judicial. Dirigida por Gil Carlos Rodríguez Iglesias. Ed. C.S.P.J. y la Universidad de Granada, Madrid, 1996.

C) CIBERGRAFÍA

AGENCIA  ESPAÑOLA DE PROTECCIÒN DE DATOS: https://www.agpd.es/portalweb/index-ides-idphp.php

CNIL (Francia) - COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS.Http://www.cnil.fr

COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS (Portugal): http://www.cnpd.pt/

CONVENIO 108 DEL CONSEJO DE EUROPA. En: 

http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm

DA CUNHA LOPES, Teresa:   El ICANN, el problema de la gobernanza de Internet y las posturas enfrentadas en la Cumbre Mundial de la Sociedad de la Información: su impacto sobre la resolución de conflictos en Internet. En: Revista Electrónica Derecho, Bioética y Nuevas Tecnologías, Facultad de Derecho y Ciencias Sociales/UMSNH, no. 1, Nov.-Dic. 2005, en:http://www.themis.umich.mx/revistaDBN/

 

GRØNMO, Sigmund, The strategic position of consumers in the information society , Journal of Consumer Policy , Volume 10, Number 1 / March, 1987

 

GRUPO DE TRABAJO DEL ARTICULO 29: " Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime".  2000. Consultado el 20 de Julio de 2009 en: http://www.datenschutzberlin.de /doc/int/iwgdpt/cy-en.htm

IRIARTE AHON, ERICK (coordinador): Informe de Análisis y Propuestas en Materia de Acceso a la Información y Privacidad en América Latina, UNESCO- ONG, Lima, Perú, 2007, Versión electrónica disponible en Alfa-Redi, consultada en 19 de mayo 2007 enhttp://www.cedi.uchile.cl/catalogo/downloads/informedepropuestas.pdf

JURISPRUDENCIA  INTERNACIONAL

(consultada a partir de los portales de los Tribunales Constitucionales):

CALEX : Legislación y Jurisprudencia del Tribunal Constitucional Español
http://www.senado.es/brsweb/CALEX/

Francia (Consejo Constitucional)
http://www.conseil-constitutionnel.fr/

Italia (Tribunal Constitucional)
http://www.cortecostituzionale.it/

Noruega (Supremo Tribunal)
http://www.hoyesterett.no/1394.asp/

Portugal
http://www.tribunalconstitucional.pt/tc/index.html

Reino Unido
http://www.parliament.uk/about_lords/about_lords.cfm

Tribunal de Justicia de las Comunidades Europeas
http://curia.eu.int/pt/index.htmTribunal de 1ª Instancia (o Tribunal de Primera Instancia de las Comunidades Europeas)

http://www.curia.eu.int/pt/instit/presentationfr/index.htmTribunal Europeo de los Derechos del Hombre
http://www.echr.coe.int/

Comisión de Venecia
http://venice.coe.int

 

UNION EUROPEA (Legislación consultada para este artículo http//eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52005PC0475:ES:NOT)

A)   TRATADOS Y CONVENIOS

Treaty on the European Union (TEU): Article 6

European Convention for the Protection of Human Rights and Fundamental Freedoms (ECHR): Art. 8

EU Charter of Fundamental Rights of 7 December 2000

Hague Convention on the Law Applicable to International Sales of Goods (June 15, 1955)

 Convention of 22 December 1986 on the Law Applicable to Contracts for the International Sale of Goods (CISG) Convention of 1 February 1971 on the Recognition and Enforcement of Foreign Judgments in Civil and Commercial Matters 1968 Brussels

 Convention on jurisdiction and the enforcement of judgments in civil and commercial matters (consolidated version) 88/592/EEC:

 Convention on jurisdiction and the enforcement of judgments in civil and commercial matters - Done at Lugano on 16 September 1988 Council Regulation (EC) No 44/2001 of 22 December 2000 on jurisdiction and the recognition and enforcement of judgments in civil and commercial matters Convention on the law applicable to contractual obligations, opened for signature in Rome on 19 June 1980 [Official Journal C 27 of 26.1.1998] (Rome Convention)

United Nations Convention on the Recognition and Enforcement of Foreign Arbitral Awards (June 7, 1959)

B)   DIRECTIVAS

Council Directive 93/13/EEC of 5 April 1993 of Unfair Terms in Consumer Contracts

Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and of the free movement of such data

Directive 97/7/EC of the European Parliament and of the Council of 20 May 1997 on the Protection of Consumers in respect of Distance Contracts (Distance Contracts Directive) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of Privacy in the telecommunications sector (repealed and replaced by Directive 2002/58/EC)

Directive 1999/44/EC of the European Parliament and of the Council of 25 May 1999 on certain aspects of the sale of consumer goods and associated guaranties 

Directive 2000/31 of the European Parliament and the of the Council of June 8 2000 on certain legal aspects of information society services, in particular electronic commerce in the Internal Market (Directive on electronic commerce)

Directive 2002/58 EC of the European Parliament and the of the Council of 12 July 2002 concerning the processing of personal data and the protection of Privacy in the electronic communications sector (Directive on Privacy and electronic communications)

Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC

C)    REGLAMENTOS

Regulation (EC) 45/2001 of the European Parliament and of the Council of 18. December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

Regulation (EC) N°2006/2004 of the European Parliament and Council of 27 October 2004 on Co-operation between National Authorities Responsible for the Enforcement of Consumer Protection Laws ("The Regulation on Consumer Protection Co-operation") (Official Journal of the European Union L 364/1 of 9 December 2004)

Regulation (EC) No. 864/2007 of the European Parliament and of the Council of 11 July 2007 on the law applicable to non-contractual obligations (Rome II) 

D)   JURISPRUDENCIA

European Court of Justice: C-553/07 College van burgemeester en wethouders van Rotterdam v M.E.E. Rijkeboer Netherlands (judgement of 7 May 2009) / Protection of individuals with regard to the processing of personal data - Directive 95/46/EC - Respect for private life - Erasure of data - Right of access to data and to information on the recipients of data - Time-limit on the exercise of the right to access. European Court of Justice: C-557/07 (order of the Court of 19 February 2009 (reference for a preliminary ruling from the Oberster Gerichtshof (Austria)) - LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH v Tele2 Telecommunication GmbH) / "Article 104, paragraph 3 of the Rules of Procedure - Information society - Copyright and related right - Retention and disclosure of certain traffic data - Protecting the confidentiality of electronic communication - 'Intermediaries' within the meaning of Article 8, paragraph 3 of Directive 2001/29/EC).

 Court of First Instance: T-259/03 (judgment of 12 September 2007) Nikolaou v Commission / (Non-contractual liability - Inquiry of the European Anti-Fraud Office (OLAF) concerning a Member of the Court of Auditors - Divulgence of information - Protection of personal information - Access to the inquiry file and to OLAF's report - Sufficiently serious breach of the rules of law conferring rights on individuals - Causal link - Loss) / Re: Action for damages, pursuant to the second paragraph of Article 288 EC, for the loss suffered by the applicant following publication of information concerning an inquiry carried out concerning her by the European Anti-Fraud Office (OLAF) and OLAF's refusal to grant her access to the inquiry file and to supply her with a copy of its final report.

European Court of Justice: C-524/06 Heinz Huber v Bundesrepublik Germany (judgment of 16 December 2008) / Protection of personal data - European citizenship - Principle of non-discrimination on grounds of nationality - Directive 95/46/EC - Concept of necessity - General processing of personal data relating to citizens of the Union who are nationals of another Member State - Central register of foreign nationals

European Court of Justice: C-73/07 Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy, Satamedia Oy (judgment of 16 December 2008) / Directive 95/46/EC - Scope - Processing and flow of tax data of a personal nature - Protection of natural persons - Freedom of expression European Court of Justice: Case C-275/06 (Judgment of 29 January 2008) /Reference for a preliminary ruling from the Juzgado de lo Mercantil No 5 de Madrid - Spain/ Productores de Música de España (Promusicae) v Telefónica de España SAU (Information society - Obligations of providers of services - Retention and disclosure of certain traffic data - Obligation of disclosure - Limits - Protection of the confidentiality of electronic communications - Compatibility with the protection of copyright and related rights - Right to effective protection of intellectual property)

European Court of Justice Judgment on Passenger Name Records: The court annuls the council decision concerning the conclusion of an agreement between the European Community and the United States of America on the processing and transfer of personal data and the Commission decision on the adequate protection of those data

 European Court of Justice: Joined Cases C-465/00, C-138/01 and C-139/01 (Judgment of 20 May 2003) / Reference for a preliminary ruling from the Verfassungsgerichtshof and Oberster Gerichtshof: Rechnungshof (C-465/00) v Österreichischer Rundfunk and Others and between Christa Neukomm (C-138/01), Joseph Lauermann (C-139/01) and Österreichischer Rundfunk (Protection of individuals with regard to the processing of personal data - Directive 95/46/EC - Protection of private life - Disclosure of data on the income of employees of bodies subject to control by the Rechnungshof)

 European Court of Justice: C-101/01 (judgment of 6 November 2003) / Reference for a preliminary ruling from the Göta hovrätt: Bodil Lindqvist (Directive 95/46/EC - Scope - Publication of personal data on the internet - Place of publication - Definition of transfer of personal data to third countries - Freedom of expression - Compatibility with Directive 95/46 of greater protection for personal data under the national legislation of a Member State)

E)   PROPUESTAS DE LA COMISIÓN y RECOMENDACIONES

 Proposal for a Council framework decision on the protection of personal data processed in the framework of police and judicial co-operation in criminal matters

COMMISSION RECOMMENDATION of 12.5.2009 on the implementation of Privacy and data protection principles in applications supported by radio-frequency identification {SEC (2009) 585} {SEC (2009) 586}

PROYECTO E-PRODAT: Assessment on Data Protection and e-Government in European Regions and Cities, Report February 2006, Universidad Rey Juan Carlos, consultado en línea en 19 de mayo 2007 en http://www.eprodat.org/

 

Disponível em: http://www.alfa-redi.org/node/8833

 

  • Se logue para poder enviar comentários
  • 558 leituras
  • Compartilhar
  • Versão para impressão
  • Send by email
  • Versão PDF
Tags