RSS
Índice alfabético
Esta página se encuentra disponible en 4 idiomas

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Protección de datos personales

Archivos

La Comisión Europea propone la adopción de la presente Decisión marco del Consejo con el fin de proteger los datos personales tratados en el marco de la cooperación policial y judicial en materia penal.

PROPUESTA

Propuesta de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal.

SÍNTESIS

La presente propuesta garantiza la protección de los datos personales * en el marco de la cooperación policial y judicial en materia penal. Se aplica al tratamiento * automatizado y al tratamiento por medios no automáticos de datos personales. Los datos forman parte de un fichero * o están destinados a ser incluidos en un fichero por una autoridad competente * a efectos de prevención y detección de infracciones penales, investigaciones y actuaciones judiciales en este ámbito. La propuesta no contempla el tratamiento de datos por Europol y Eurojust ni el Sistema de Información Aduanera.

GARANTIZAR LOS DERECHOS DE LA PERSONA INTERESADA

La propuesta prevé la instauración de autoridades de control así como un grupo de protección de las personas respecto al tratamiento de datos personales. En principio, la persona interesada debe ser informada del uso de sus datos. En virtud de la presente propuesta de Decisión marco, los Estados miembros deberán garantizar los recursos jurisdiccionales en caso de vulneración de los derechos garantizados por el Derecho nacional aplicable al tratamiento de datos.

Establecer una autoridad de control en los Estados miembros

Los Estados miembros deberán garantizar que una o varias autoridades públicas independientes se encarguen de controlar la aplicación en su territorio de las disposiciones adoptadas según la presente Decisión marco. Dichas autoridades ejercerán su misión de forma totalmente independiente, y sus decisiones podrán ser objeto de recurso jurisdiccional.

Se consultará a las autoridades de control para la elaboración de medidas reglamentarias o administrativas relativas a los derechos y libertades de las personas respecto al tratamiento de datos en materia penal. Además, estas autoridades dispondrán:

  • de poderes de investigación, como el de acceder a los datos que sean objeto de tratamiento;
  • de poderes efectivos de intervención, como en caso de supresión o destrucción de datos;
  • de la capacidad de incoar un procedimiento en caso de infracción de las disposiciones nacionales adoptadas con arreglo a la presente Decisión marco o de poner dicha infracción en conocimiento de la autoridad judicial.

Crear un grupo de protección de las personas respecto al tratamiento de datos

La propuesta establece la creación de un grupo de protección de las personas en cuanto a los datos personales se refiere. Entre otras cosas, su cometido consistirá en:

  • examinar cualquier cuestión referente a la aplicación de las disposiciones nacionales adoptadas con arreglo a la presente Decisión marco;
  • emitir un dictamen sobre el grado de protección en los Estados miembros, en terceros países y en los organismos internacionales;
  • asesorar a la Comisión y a los Estados miembros sobre cualquier proyecto de modificación de la Decisión marco.

El grupo, que consta de un representante de la autoridad o autoridades de control de los Estados miembros, de un representante del controlador europeo de la protección de datos y de un representante de la Comisión, tiene un estatuto consultivo y actúa con total independencia.

Informar a la persona interesada

El responsable * del tratamiento de datos deberá proporcionar gratuitamente a la persona interesada:

  • la identidad del responsable del tratamiento o la de su representante;
  • la finalidad del tratamiento de datos;
  • la base jurídica del tratamiento;
  • los destinatarios de los datos;
  • el carácter obligatorio o facultativo de la respuesta a las preguntas u otras formas de cooperación, incluidas las consecuencias posibles.

El suministro de esta información puede ser rechazado o limitado, entre otras cosas, para que el responsable del tratamiento pueda realizar sus tareas legales satisfactoriamente o para proteger la seguridad y el orden público en un Estado miembro. En caso de denegación o limitación del suministro de la información, el responsable del tratamiento deberá informar a la persona interesada de que puede interponer recurso ante la autoridad de control. Esta última examinará si los datos se han tratado correctamente y, en el caso contrario, si se han aportado todas las correcciones necesarias. El recurso ante la autoridad de control se hará sin perjuicio de posibles recursos jurisdiccionales y procedimientos penales nacionales.

Cuando los datos obtenidos no se han recogido directamente de la persona interesada o se han obtenido sin su conocimiento, el responsable del tratamiento deberá comunicar a esta persona la finalidad del tratamiento, la base jurídica, la existencia de un derecho de acceso a los datos, etc. El responsable del tratamiento deberá comunicar esta información a partir del momento en que se registraron los datos o, si se prevé comunicar datos a terceros, en un plazo razonable después de la primera comunicación de datos. La información no se proporcionará cuando la persona interesada ya disponga de ésta, si el suministro de información resulta imposible o supone un esfuerzo desproporcionado o si la formación en cuestión pudiera comprometer las investigaciones en curso.

Garantizar el recurso jurisdiccional

En virtud de la presente propuesta de Decisión marco, los Estados miembros deberán garantizar que las personas interesadas dispongan de un recurso jurisdiccional en caso de vulneración de derechos garantizados por el Derecho nacional aplicable al tratamiento de datos. Las personas que hayan sufrido daños a causa de un tratamiento ilícito de sus datos tienen derecho a obtener reparación del perjuicio sufrido, por parte del responsable del tratamiento de datos. El responsable del tratamiento podrá verse eximido de responsabilidad si puede aportar la prueba de que el hecho que causó el daño no le es imputable.

La autoridad competente que haya recibido datos personales de la autoridad competente de otro Estado miembro será responsable frente a la parte perjudicada por los daños causados debido a la utilización de datos no actualizados o inexactos. La autoridad destinataria de los datos inexactos transmitidos por otra autoridad podrá recurrir a esta última para el reembolso íntegro del importe pagado a la persona perjudicada por daños y perjuicios.

Los Estados miembros deberán adoptar las medidas adecuadas para garantizar la imposición de las sanciones efectivas, proporcionadas y disuasorias que deberán aplicarse en caso de infracción de las disposiciones adoptadas con arreglo a la presente Decisión marco.

TRATAR LOS DATOS PERSONALES

Los Estados miembros deberán garantizar, entre otras cosas, que los datos personales se traten de forma equitativa y lícita, y se recogen con una finalidad determinada, explícita y legítima. Éstos deberán ser exactos y conservarse de una manera que permita identificar a la persona interesada durante el plazo necesario para alcanzar la finalidad para la que se recogieron. El responsable del tratamiento deberá llevar un registro de los tratamientos o series de tratamientos que tengan la misma finalidad o finalidades vinculadas. Los Estados miembros deberán efectuar una clara distinción de los datos personales si una persona, entre otras cosas:

  • es sospechosa de haber cometido una infracción penal;
  • ha sido condenada por una infracción penal;
  • parece tener intención de cometer una infracción penal;
  • pudiera tener que declarar como testigo;
  • es víctima de una infracción, etc.

Se prohíbe, en principio, tratar datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como tratar los datos relativos a la salud o a la sexualidad. El tratamiento de estos datos será posible cuando lo establezca una ley y sea absolutamente necesario para la realización de las tareas legítimas de la autoridad a efectos de prevención y detección de infracciones penales. Lo mismo ocurre si los Estados miembros establecen garantías específicas como, por ejemplo, el acceso exclusivo a los datos por el personal encargado de la realización de las tareas legítimas.

Transmitir los datos a los otros Estados miembros

Los datos personales sólo podrán transmitirse o ponerse a disposición de otros Estados miembros si fuere necesario para la realización de las tareas legítimas de la autoridad transmisora o receptora a efectos de prevención y detección de infracciones penales, y de investigaciones y diligencias judiciales en este ámbito. Los Estados miembros deberán velar por la calidad y exactitud de los datos. Cada transmisión y recepción automatizada de datos personales, en particular mediante acceso directo automatizado, deberán ser consignadas en un registro diario con el fin de permitir la posterior comprobación de los motivos que hubieren justificado la transmisión.

Los datos personales recibidos o puestos a disposición por las autoridades competentes de otros Estados miembros sólo podrán ser objeto de tratamiento posterior para:

  • la finalidad específica para la que se transmitieron o se pusieron a disposición;
  • la prevención o la detección de infracciones penales, o para investigaciones o actuaciones judiciales sobre el mismo tema;
  • la prevención de amenazas contra la seguridad pública o la de una persona concreta.

La propuesta establece restricciones en cuanto a la transmisión a otras autoridades competentes, a autoridades distintas de las autoridades competentes, a personas privadas, a las autoridades competentes de terceros países o a organismos internacionales. En particular, las autoridades competentes de terceros países u organismos internacionales deberán garantizar un nivel de protección adecuado de los datos que se les transfieran.

Confidencialidad y seguridad del tratamiento

Cualquier persona que actuando bajo la autoridad del responsable del tratamiento o del encargado del tratamiento * (o el propio encargado del tratamiento), acceda a datos personales sólo podrá proceder al tratamiento de éstos siguiendo instrucciones del responsable del tratamiento, excepto en virtud de obligaciones legales. El responsable del tratamiento deberá utilizar las medidas técnicas y de organización adecuadas para proteger los datos contra la destrucción, la alteración, la difusión o el acceso no autorizado. En cuanto al tratamiento automatizado de datos se refiere, los Estados miembros deberán velar, entre otras cosas, para que:

  • se prohíba acceder a las instalaciones utilizadas a las personas no autorizadas;
  • se impida que determinados soportes de datos puedan ser leídos, copiados, modificados o retirados por personas no autorizadas;
  • se impida la introducción no autorizada de datos en el fichero, así como toda lectura, modificación o supresión no autorizadas de datos.

SITUAR LA PROPUESTA EN SU CONTEXTO

La Directiva 95/46/CE constituye el texto de referencia, a escala europea, en materia de protección de datos personales. Establece un marco reglamentario destinado a equilibrar, por una parte, un alto nivel de protección de la vida privada de las personas y, por otra, la libre circulación de datos personales en la Unión Europea (UE).

La propuesta se inscribe en el marco del Programa de La Haya, adoptado por el Consejo Europeo el 4 de noviembre de 2004, y el plan de acción por el que se aplica este programa, adoptado por el Consejo y la Comisión en junio de 2005.

En 1998 la protección de datos ya se había previsto en el marco del tercer pilar. Por entonces, el Consejo de Justicia y Asuntos de Interior adoptó el denominado Plan de Viena [Diario Oficial C 19, de 23.1.1999]. Este último indica que, teniendo en cuenta los problemas horizontales que se plantean en el marco de la cooperación policial y judicial en materia penal, hay que examinar las posibilidades de armonización de las normas relativas a la protección de datos.

En 2001, un proyecto de Resolución sobre las normas de protección de datos personales en los instrumentos del tercer pilar de la Unión Europea (UE) no se adoptó [Documento de trabajo del Consejo 6316/2/05 REV 2 JAI 13]. Dos años después, en junio de 2003, la Presidencia griega propuso una serie de principios generales sobre la protección de datos personales en el marco del tercer pilar (pdf ). Estos principios se inspiran en la Directiva 95/46/CE sobre la protección de datos y en la Carta de los derechos fundamentales de la Unión Europea.

En 2005, las autoridades nacionales encargadas de la protección de datos en los Estados miembros de la UE y el Supervisor Europeo de Protección de Datos (SEPD) expresaron su apoyo a un nuevo instrumento jurídico de protección de datos en el tercer pilar.

El 4 de octubre de 2005, la Comisión adoptó esta propuesta y la transmitió al Parlamento Europeo y al Consejo de la Unión Europea en el marco del procedimiento de consulta.

Términos clave del acto
  • Autoridad competente: la policía, las autoridades aduaneras, judiciales y demás autoridades competentes de los Estados miembros en el ámbito de la cooperación policial y judicial en materia penal;
  • Datos personales: cualquier información acerca de una persona física identificada o identificable (persona interesada);
  • Fichero: cualquier conjunto estructurado de datos personales accesibles con arreglo a criterios determinados;
  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales;
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento;
  • Tratamiento: cualquier operación o conjunto de operaciones efectuadas o no mediante métodos automatizados y aplicadas a datos personales (registro, conservación, modificación, etc.).

REFERENCIAS Y PROCEDIMIENTO

PropuestaDiario OficialProcedimiento
COM (2005) 475 final-Consulta CNS/2005/0202
 
Última modificación: 31.03.2006
Aviso jurídico | Sobre este sitio | Búsqueda | Dirección de contacto | Arriba