23. 11. 95 Diario Oficial de las Comunidades Furopeas !\'" L 281/31
DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 24 de octuhrc de 1995
rdativa a la protecc10n de las personas fisicas en lo que rcspecta al tratamicnto de datos pcrsonalcs y a Ia !ibn.' circulaci6n de estos datos
EL PARL\.\1E'JTO EUROPEO Y EL CONSEJO DE LA UNIC)N FlJROPEA,
Visto el Tratado consitutivo de Ia Comunidad Europea, y, en particuLu, su articulo 100 A,
Vista Ia propuesta de Ia C:omisi6n (1),
Visto el dictamen del Comite Econ6mico y Social (-'-),
De conformidad con el procedimiento establecido en el articulo 1~9 P. del Tratado (1),
(1)
(2)
C:onsiderando que los objetivos de Ia Comunidad dcfinidos en el Tratado, tal y como qued6 modifi- cado por el Tratado de Ia Unicm Furopea, consis- ten en lograr una uni6n cada \TZ mas estrecha entre los pueblos europeos, establccer relaciones m;1s estrechas emre los Estados miembros de Ia Comunidad, asegurar, mediante una acci6n comtm, el progreso econ6mico y social, climinando las barrcra~ que diviclen Europa, fementar Ia continua mejora de las condiciones de vida de sus pueblos, prescrv;1 r y consolidar la paz y la lihertad y promo- \Cr Ia democracia, basandose en los dcrechos fun- danwnulcs reconocidos en las constituciones y lcyes dl los Estados miembros y en cl Convenio Furopeo para la Proteccion de los lkrechos Huma- nos ,. d,_. las Libertades Fundamentales;
C:onsidcrando que los sistemas de tratamiento de datos estan al servicio del hombre; que deben, cualquicra que se.1 Ia nacionalidad o Ia residcncia de las personas ffsicas, respetar las libertadcs y derechos fundamentales de las personas fisicas y, en particular, Ia intimidad, y contrihuir al progreso econ6mico v social, a! desarrollo de los intercam- bios, asl como al bienestar de los mdiviuos;
(3) Conside rando qw~ el esta blecimiento y funciona- miento del mercado interior, dentro del cual est;l
( 1) DOn"( 277de5.11.1990,p.3yDOn''C:311 de27.11.
1992, p ..)0. (2 ) DO n" I S9 de 17. 6. 1991, p. 3H. (
1 ) Dictamen dL·l Parlamcnto Europeo de II de marzo de 1992
(DOn" C c.'4 de 13. 4. 1992, p. 1n), confirmado cl 2 de diciembrc dt~ 1993 (DO n" C: 342 de 20. 12. 199.1, p. 30); posici<.lll cornCm del Consejo de 20 de fehrcro de 1995 (D\) n" ( 9) de 13. 4. 1995, p. I) y Decisi<'lll del Parlamcnto Europco de 15 de junio de 1995 (D<) n" C: 166 de .1. - 199S).
(4)
(5)
(6)
(7)
garantizada, con arreglo al articulo 7 A del Tra- t;ldo, Ia libre circulaci6n de mcrcancias, personas, sen 1cios y capitales, hacen necesaria no solo Ia lihre circulacicm de datos personales de un Estado m1cmhro a otro, sino tambien Ia protcccicm de los dncchos fundamentalcs de Ia-. personas;
( on'iiderando que se recurrc ca(Ll \TI mas en Ia ( omunidad al tratamiento de datos pcrsonales en los diferentes scctores de actiYidad ccon6mica y sociaL que el avance de Ia-; tL'Cnologlas de Ia informacion facilita considnablcmentc cl trata- llliL'llto y el intcrcamhio de di....-ho-. datm;
( onsiderando que Ia integraci{m econtm11ca y social resultantc del establec1miento y funciona- micnto del mercado interior, definido en el articulo -: :\ del Tratado, va a implicu necesariamente un au!llL'llto notable de los flujm transfronterizos de d;Hm personales entre todo-; los agentes de Ia vida cconr'm1ica y social de lo-. Estados micmhros, ya se tLHe de agentes pC1blicos o priYados; que el inter- camhio de datos personales emrc l'mpresas establc- Lidas en los difcrentcs Fsudos micmhros experi- lllL'llUra un desarrollo; que las administraciones ll<lcionales de los diferentes L-;tados miembros, en aplic1cicm del Dcrccho comunitano, cst;l.n destina- tb'-> a colaborar y a intercamhi<lr datos personales a tin de cumplir su cometiclo o cjernT funciones por cuent;l de las administracioncs de otros Estados micmhros, en cl marco del espaCio sin fronteras que constituye cl mercado intlTior;
( :onsiderando, por lo dem;l.s, que el fortalecimiento de L1 cooperaci6n cientifica \ tecnica, asi como cl c-.uhlccimicnto coordinado de nm·,·a-. redes de tckomunicacione'> en Ia Comunidad cxigen y facili- Lln L1 circulaci6n transfrontcnza de datos persona- Jc..,;
< onsiderando que las difercncias entre los niveles de protecci6n de los dercchos y libcrtades de las pnsonas y, en particular, de Ia intimidad, garanti- ;adm en los Estados micmbro-; por lo que respccta al tratamiento de datos personalcs, pucden impcdir Ia rransmision de dichos dato" del tcrritorio de un Lstado miembro al de otro; que, por lo tanto, cstas dikrcncias pueden constinm Llll ohst;1culo para el l'JCrci....-io de una seric de actindadcs economicas a c-;cala comunitaria, falscar Ia competencia e impc- dir que las admimstracionc'-> cumplan los
No L 281/32 [}0 Diario Oficial de las Comunidades Europeas 23. 11. 95
cometidos que les incumben en virtue! del Derecho comunitario; que estas diferencias en los nivclcs de protecci6n se deben a Ia disparidad existentc entre Ia\ disposiciones legales, reglamentarias y adminis- tr:o.tivas de los Estados miembros;
(8) Considerando que, para eliminar los obst:1culos a la circulacic•n de datos pcrsonales, c1 nivcl de protccci6n de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos clato~;, debe ser equivalente en todos los Esrados miembros; que esc objetivo, esencial para cl mercado interior, no puedc lograrse mediante Ia mcra actuac16n de los Estados m1embros, tenicndo en cuenta, en particular, las grandes difercncias ex istentes en Ia actualidad entre las legislaci()ncs n<1Cionales aplicables en Ia materia y Ia necesichd de coordinar las legislaciones de los Estados micm- bros para que el flujo transfrontcrizo de datos personales s•~a regulado de forma cohcrente v de conformidad con el objetivo del mercado interior dcfinido en el articulo 7 A del Tratado; que, por tanto, es ne•.:esario que Ia Comunidad intcrvcnga para a proximar las legislacioncs;
(9) Considerando que, a causa de Ia protecci(m equJ- va lente que resulta de Ia aproximaci{m de las legislaciones nacionales, los Estados miem bro~ \a no podr;in nbstaculizar b libre circulaci6n entre ellos de datos personales por motivos de protcc- ci<.lll de los derechos y libertades de las per~onas fis1cas, y, en particular, del derecho a Ia intimidad; que los Estados miembros dispondran de un mar- gen de maniobra del cual podr:1n servirse, en el contexto de Ia aplicaci6n de Ia presente Directiva, lm, interlocutores econ6mico~ y sociales; que los Estados mienbros podran, por lo tanto, precisar en su derecho nacional las condiciones generales de lie ttud del tratamiento de datos; que, a! actuar a..;!, lm. Estados miembros procurzm1n mejorar Ia pro- tecci6n que proporciona su lcgislacic'>n en Ia acl-ua- lidad; que, clentro de los llm1tes de dicho margen de maniobra y de conformidad con el Derccho comunitario, podr~in surg1r disparidadcs en Ia ;1pli- caci(m de Ia presente Directiva, y que clio poc!L-i tener repercusioncs en Ia circulaci6n de datos tanto en el interior de un Estado miembro como en la ( :omunidad;
(I 0) Considerando que las legislaCJones nacionales rela- tivas al tratamiento de datos personales tienen por objcto garantizar el respeto de los derecho-; v libertades fu1damentales, particularmente del dcre- cho al respelo de Ia vida privada reconocido n cl anlculo 8 dd Convenio Europeo para Ia Protcc- ci<-111 de los Derechos Humanos y de las LibcrL':de;; Fundamentales, asf como en los principios genc.'ra- le~ del Dcrecho comunitario; que, por lo tanto, Ia aproximaci(n de dichas lcgislaciones no debe -.on- ducir a un<l disminuci6n de Ia protecci6n que ga rantizan s1 no que, por cl contratrio, debe tener por objeto ;lsegurar un alto nivcl de proten·i<)n dentro de Ia Comunidad;
(I I l Considerando que los principios de Ia protecci6n de los derechos y libertades de las personas y, en particular, del respeto ck Ia intimidad, contenidos en Ia presente Directiva, precisan y amplfan los del Convenio de 28 de enero de 1981 del Consejo de Europa para Ia prote(ci{m de las personas en lo que respecta al tratamic·nto automatizado de los datos personales;
(12) Considerando que los principios de Ia protecci6n deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsablc -.lei tratamiento entren en el ;'\mbito de aplicaci(m del Derecho comunitario; que debe excluirse el tratamiento de datos cfectuado por una persona flsica en el cjcrcicio de actividadt·s exclusivamente personales o dom(·sricJs, como Ia correspondencia \' Ia llevanza de un ITJlertorio de direcciones;
( 1)) Considerando que las actividades a que se refieren los tftulos V y VI del T rata do de Ia Uni6n Europea relativos a Ia scguridad pt.iblica, Ia defensa, Ia seguridad del Estado y las acti,·idades del Estado en el ambito penal no est<'in comprendidas en el ,imbito de aplicaci<)n del Derecho comunitario, sin pcrjuicio ck las ohligacioncs que JJKumhen <1 los Estados micmbro~ con ;ureglo al apartado 2 del articulo 56 y a lo~ artlculos 57 y 100 A del Tratado; que el tratamicnto de los datos de car;1c- ter per~.;onal que sea ncccsario para Ia salvaguardia del bicnestar econ6mico del Estado no est<l com- prendido en el ;-imhlto de aplicacitm de Ia presente Directiva en los caso.; ~..·n que dicho traumiento cste relacionado con Ia segundad del Estado;
(14) Considerando que, habida cucnta de Ia importan- cia que, en cl marco de b sociedad de Ia informa- -.,i6n, reviste el actu;11 desarrollo de las tecnicas para captar, transmitir, mancjar, registrar, conser- ,·~u o comunicar los datos relativos a las personas flsicas constituidm por -,onido e imagen, Ia pre- '>Cnte Directiva hahL1 de apl1carsc a los tratamien- tos que afectan a dicho-, datos;
(IS) Considerando que los tratam1entos que afectan a dichos datos s<'>lo qm·dan amparados por Ia pre- sente Directiva cuando est:-in automat1zados o cuando los datos a que ~c rcfieren se encuentran contenidos o se destman a encontrarse contenidos en un archivo estructurado segCm criterios especifi- cos relati\'l>~ a las pcsonas, ,1 fin de que se pucda c~cceder facilmente a lo~ dato.., de car:1cter personal de que se tL1ta;
( 16) Considerando que los rratamientos de datos consti- tuidos por sonido e 1magen, como los de Ia vigilan- cia por videoc1mara, no cst;1n comprendiclos en el ;imbito de aplicacH'm de Ia presente Directiva cuando se aplican con fmes de seguridad publica, defcnsa, seguricbd del Estado o para el ejerciCJo de las actividadcs del Estado rclacionadas con <-imbitos del derecho penal o p~1r<1 cl cjcrcicio de otra~ actividades que no est<in comprendidos en el ;-imbi- to de aplicacitln del l krccho comunitario;
1 I_,) C:onsiderando que en lo que respecta al trata- miento del sonido v de Ia 1magen aplicado~ con
23. 11. 95 Diario OfiClal de las Comunidades Europeas N° L 281/33 ---------------------------------------------
fines periodisticos o de expresi{m literaria o artisti- ca, en particular en el sector audiovisual, los prin- cipios de Ia Directiva se aplican de forma restrm- gida segtm lo dispuesto en a! articulo 9;
(1~n C:onsiderando que, para evitar que una persona sea cxcluida de Ia prntecci6n garantizada por Ia pre- sentc D1rectiva, e~. necesario que todo tratamiento de datos personales efectuado en Ia Comunidad respetc a legislaci6n de uno de sus Estados miem- bros; que, a este respecto, resulta conveniente sonwter el tratamiento de datos dectuados por cualquicr persona que acttie bajo b autoridad del responsa ble del tratamiento esta hlecido en un Fstado miembro a Ia aplicaci6n de L1 kgislaci(m de tal 1\tado;
(19) C:onsiderando que el establecimiento en el territo- rio de un Estado miembro llnplica el cjercicio efectivo y real de una actividad mediante una instalaci{m estable; que Ia forma jurldica de dicho cstahlecmicnto, sea una simple sucursal o una cmprcsa filial con personalidad jurldica, no es un factor determinante a! respecw; que cuando un mismo responsable este establecido en e1 territorio de \ arius Estados miembros, en particular por med1o de una empresa filial, debe garanttzar, en particular para evitar que se eluda Ia normativa apl1cabk, que cada uno de los cstahlecimientos cumpla las obliga.;.::iones impuestas por el Derecho naCJona! aplicable a estas activHhdcs;
(20) ( :onsidcrando qm el hecho de que el responsablc del tratamiento de datos este estahlccido en un pais tcrcero no debe obstaculizar Ia protecci6n de Ia-. persona:.; contemp ada en Ia prescntc Direcnva; que en esto-. casos el tratamiento de datos debe regirse por Ia lcgislaci6n del Estado miemhro en el que Sl' ubiqucn los medios utilizados y debcn adoptarse garantlas para que se respeten en Ia pr<1ctica lo-. dcrn:ho:.; v oblig<Kioncs contemplada-. en Ia pre- sen tc n irecti va;
(21) C:onsiderando que Ia presente Directiva no afecta a las normas de territorialidad aplicable-; en materia penal;
(22) C:onsidcrando que los Estados miembros precisa- r:1n en su legislaci6n o en la aplicaci6n de las disposiciones adoptadas en virtud de Ia prc-.ente Directiva las condiciones generalc-. de licitud del tratamicnto de daros; que, en particular, el articulo S en rebci6n con los articulos 7 y g, ofrece a los Estados miembro~; Ia posibilidad de prcver, inde- pendicn tcmcnte de las normas generales, condiCio- nes L'spcciales de tratamiento de datos en sectorcs especifico:>, as! como para las di\'cr-,as categorias de datu-; contemplad;ls en el articulo g;
(23) C:onsidcrando que los Estados miembros cstan facultados para garantizar la protecci6n de las personas tanto mediante una Icy general relativa a Ia protccci6n de las personas respccto del trata- micnto de los datos de caractcr personal como
mediante leyes sectorialcs, como las relativas a los institutos esradisricos;
(24) ( :ons1derando que las legislaciones relativas a Ia protccci6n de las personas jurldicas respecto del tratamiento de los dato-. que bs conciernan no son objcto de la presente Directi\'a;
(25) C:onsiderando que los principios de Ia protecci6n tienen su expresi{m, por una parte, en las distintas obligaciones que incumbcn a Ia-, personas, autori- dadL·s publicas, empresas, agencias u otros organis- mo\ que efectuen tratamicmos-- obligaciones rcla- tl\'a-., en particular, a Ia calidad de lo-, datos, Ia -.cguridad tecnica, Ia notificaci{m a las autoridades de control y las circunstancia-. en Ia-. que se puede dcctuar el tratamiento-- \', por otra parte, en los dncchos otorgados a las pnsonas cuYos datos scan ohJl'to de tratamiento de ser informadas acerca de dicho tratamiento, de podcr accedcr <l los datos, de podn solicitar su rectificaci{>n o inclu-.o de opo- 11LT\L' ,l su tratamiento en dcterminadas circunstan- ll,l\;
(26) C:onsiderando que los principios de Ia protecci6n dcbcr<1n aplicarsc a cualquicr mformaci{m relatiYa a una persona identificada o idcntificable; que, para determinar si una persona e-. Jdentificable, hay q m· considerar el con junto de 1os med ios que pm·dan ser razonablemcnte utilizados por el rcs- pon...,able del tratamicnto o por cualquier otra persona, para idcntificar a dicha persona; que los priJKipios de Ia protecci6n no sc aplicaran a aque- llm datos hechos an<'mimos de mancra tal que ya no sea posiblc 1dcntificar al intcresado; que los u'Jdigos de conducta con arrcglo al articulo 27 pttcLkn constituir un clemento t'ttil para proporcJo- nar 111dicaciones sohre los medio'> gracias a los Lualcs los datos pueden hacer-.c an6nimos y con- '>l'n,arse de forma tal que impida idcntificar a! intL'I'L'sado;
(27) Considerando que Ia protecci<'m de las personas debe aplicarse tanto al tratamicnto automatico de datos como a su tratamiento manual; que el alcancc de esta protccci<'m no debe dcpender, en ekcro, de las tecnicas util1zad.l-., pues Ia contrario daria Iugar a ricsgos graves de clusic\n; que, no obstante, por lo que re-;pecta al tratamicnto manual, Ia presentc Directi\'<l -J>lo abarca los fiche- ro-.., \ no se aplica a las carpcu-. que no est:ln l'Structuradas; que, en particular, cl contenido de un f1chero debe estructurarse conformc a criterios esrwcificos relati\·m a las per\onas, que permitan ~1ccedcr facilmentc a los datm personales; que, de conformidad con Ia definici<')Jl que recoge 1a letra c I del articulo 2, los dist111tm critnios que permi- ten determinar los elementos de un conjunto L'<.,tructurado de datos de car.1cter personal y los d1stintos criterios que regulan cl acceso a dicho LOilJUnto de datos pm·den SLT ddinidos por cada
N" L 281/34 [Es I Diario Oficial de las Comunidades Europeas 23. 11. 9S
Estado miem bro; que, las carpetas y conj untos de carpetas, asi como sus portadas, que no c'-.tt;n estructuradas conforme a criterios especlfico-. no cst<-in comprcndidas en ningLm caso en cl <imbito de apl icaci6n d( Ia presente Directiva;
(28) C:onsiderando que todo tratamiento de datos pn- sonales debe efectuarse de forma llcira y leal (on respecto al interesado; que debe referirse, en parti- cular, a dates adecuados, pertinentes y no exccsi- \'Ch en relaci6n con los objetivos perseguidos; que estos objetivos han de ser cxplicitos y lcgftimos, ~· dchen estar dcterminados en el momento de ohte- ner los datos; que los objetivo'i de los tratami~.:ntm p<hteriores a Ia obtenci6n no pucden ser incompJ- tibles con los objetivos originalmente especi{Ju- do.;;
(29) C:onsiderando que el tratamiento ulterior de datos personales, c:m fines hist6ricos, cstadfsticos o cicn- tfficos no deJe por lo general considerarse incorn- parible con los objetivos para los que se recogieron los datos, siempre y cuando los Fstados miembros establezcan as garantias adecuadas; que dichas garantias deheran impedir que dichos datos 'ican uti lizados para tomar medidas o decisiones c< >ntr;1 nulquier persona;
(30) Considerando que para ser licito el tratamiento de daros personales debe basarse ademas en el comen- tillliento del intercsado o ser m·cesario con visus a Ia celebracic·n o ejecucic)n dL· un contrato qm· obiigue a! imeresado, o para Ia ohservancia de una ob .igaci(m kgal o para el cumplimiento dc una mi:.;i<)n de interes pLiblico o para cl ejercicio de Ia aw-oridad pu hlica o incluso para Ia realizacic>m dc un intercs lq;ftimo de una persona, siempre que no pn·valezcan los intereses o Jo., den:chos y libertadL'" del interesad.:); que, en particular, para ascgurar cl equilibrio de los intereses en juego, garantizando a Ia vcz una cc,mpetencia efccti\·a, los Estados micm- hros pueden precisar las condiciones en las quL· -;e podr<in utilizar y comumcar a terceros datos de cuacter personal, en el descmpei"io de actividalk'l lcgftimas de gestic)n ordinaria de empresa" y orn-. cntidades; que los Estados micmbros pueden Jsi- mi·.;mo establecer previamentc las condiciones en qw: pueden cfectuarse comunicacione" de d;Hos personalcs a terceros con fines de prospn.:ci<)ll comercial o de prospeccion realizada por una insn- tul i6n benefica u otras asociaciones o fundaciones, p(H cjcmplo Je car:icter politico, dentro del re-;r·eto de las disposiciones que permiten a los interes;!dm oponerse, sin alegar los motivos y sin gastos .. al tratamicnto de los datos que lcs conciernan;
(31) Considerando que un tratamiento de datos pcrso- nales debe estimarse lfcito cuando se efectLla con el fin de proteger un interes csencial para Ia vida del in teresado;
(32) Considerando que corresponde a las legislacwnes nacionales detenmnar si el responsable del trata- miento que tiene conterida una misicm de interes pLiblico o inhercnte al cjcrcicio del poder pt1blico, debe ser una admjni-;tractc'ln pLtbliL·a u otra persona de derecho pLtblico o pnvado, como por cjemplo una asociaci{m profc-.i' HLd;
In) Considerando, por lo demclS, que los datos que por su naturaleza pucdan atcntar contra las libcrtadcs tundamentaks o Ia intimidad no dcben scr objcto de tratamiento alguno, ->;1lvo cn caso de que el mteresado haya dado su consentimicnto cxplicito; que deber<in constar de torma explicita las cxcep- ciones a esta prohihicic>m para lll'CL'sidades especifi- cas, en particular cuanlo el rratamiento de dichos datos se realice con fmcs relacionados con Ia salud, por parte de personas flsicas -.ometidas a una obligacion legal de -.ccreto profcsional, o para actividades lcgftimas P' >r parte de ciertas asociacio- nes o fundaciones cuyD oh]l'tivo sea hacer posiblc L'l cjercicio de lihcrtadcs lundamentales;
( )4) C:onsiderando que tambii·n se deberc1 autorizar a los Estados micmbros, cuando cste justificado por razones de interes pt~tblico importante, a hacer cxcepciones a Ia prohih1ci6n de tratar categorfas scnsibles de datos en sectore-. como Ia salud pLtbli- ca y Ia protecci6n soci;ll, particularmente en lo rclativo a Ia garann'a de Ia calidad y Ia rentabili- dad, asi como los procedim1entos utilizados para resolver las reclamaciOJlL's de prestaciones \' de scrvicios en el regimen dcl seguro cnfermedad, Ia mvestigaci6n cientif1c1 y las cstadisticas publicas; que a ellos corre.,ponde. no obstante, prever las garantias apropiada-. I' cspecifica-. a los fines de proteger los derccho'-. fundamentales y Ia vida privada de las personas;
USl C:onsiderando, adem;l'i., que cl tratamiento de datos personales por parte de Ia-. autoridades publicas con fines, establccidos en el Derecho constitucional o en el Derecho internacion,d pCtblico, dc asocia- L'iones rclig1osas tTL'OilOL'ida-. oficialmente, se rca- liza por motivos imporuntes de intcres pLtblico;
()h) Considerando que, si en el marco de actividades relacionadas con Ia-. clcccioncs, el funcionamiento del sistema democr<-itico L'n algunos Estados miem- hros exige que los par·:ido-. pollttcos recaben datos -.obre Ia ideologla politic1 de los ciudadanos, podr<l autorizarsc cl tratamicnto de cstos datos por moti- \ os importante-. de intcrL·s ptiblico, siempre que se L'Stablezcan las garanti.1-. adecu;Hhs;
() "") C:onsiderando que para cl tratamiento de datos personales con fines penodisticos o de expresi6n ;utfstica o literaria, en particular en el sector audio- \'isual, debcn preversc cxcepciones o restriccioncs de determinadas di-.po~,ic1oncs dc Ia presente Direc- tiva siemprc que rcsul ten nccL·.,arias para conciliar
23. 11. 95 Diario Oficial de las Comunidades Furopeas ~o L 281/.35 ----------------------------------------- --------------------
los dere·:.:hos fundamentales de la persona con la libertad de expresi6n y, en particular, la libertad de recihir o cumunicar informaciones, tal y como se garantiza en el an:iculo 10 del Convenio Europeo para Ia l)rotecci6n de los Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentalcs, corn:sponde a los Estados miembros prevcr las excepciones y las restricciones necesarias en lo relativo a las medidas generales sohre Ia legalidad del tratamiento de datos, las medidas sobre Ia transferL·ncia de datos a terceros paises y las com- petencia.; de las autoridades de control sin que csto deba inducir, sin embargo, a los Estaclos miembros a prever excepciones a las medidas que garanticen Ia seguridad del tratamiento: que, igualmcntc, deberia concederse a Ia autoridad de control rcs- ponsablc en la materia al menos una seric de competcncias a posteriori como por ejemplo publi- car pcri6dicamentc un informe al respecto o bien iniciar procedimientos legales ante bs autoridades judiciale~;
(3~) Considerando que el tratamiento leal de datos supone que los interesados deben estar en condi- ciones de conocer la existencia de los tratamientos y, cuanclo los datos sc obtengan de ellos mismos, contar con una informacion precisa y completa respecto a las circunstancias de dicha ohtenci6n;
(39) Considerando que determinados tratamientos se reficren a datos que el responsable no ha recogido directamente del interesado; que, por otra parte, pueden comunicarse legitimamente datos a un ter- ccro aun cuando dicha comunicaci<'m no estuviera prevista en el momento de la recogida de los datos del propio interesado; que, en todos estos supues- tos, delx: informarse al interesado en el momento del registro de los datos o, a mas tardar, a! comumcarse los datos por primera \'l'Z a un ter- cero;
(40) Considerando, no obstante, que no cs necesario imponer esta obligaci6n si el interesado ya esta informado, si el registro o la comunicaci6n est~1n exprcsamente pre vistos por la ley o si resulta imposible informarle, o ello implica esfuerzos des- proporcionados, como puede ser el caso para trata- mientos con fines hist6ricos, estadisticos o cientifi- cos; que a este respecto pueden tomarse en consi- deraci6n el n{tmero de interesados, Ia antiguedad de los datos, y las posibles medidas compensato- nas;
(41) Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su exactitud y de Ia licitud de su tratamiento; que por las mismas razones cualquier persona debe tener ademas el derecho de conoccr la lt)gica que subyace al tratamiento automatizado
de los datos que Ia conciernan, al menos en el caso de las decisiones automatizadas a que se refiere el apartado 1 del articulo 15; que cstc derecho no debe menoscabar cl scCJTto de los negocios ni la prop1cdad intelectual y en particular el derecho de autor que proteja el programa informatico; que no obstante esto no debe suponcr que se denieguc cualquier informaci<)n al intercsado;
(42) C:onsiderando que, en interes del intcrcsado de que ~c tr<Hc y para protegcr los derechos y libertades de tcrccros, los Estados miem bros podr,1n limitar los dcn·chos de acceso y de informaci(m; que podr;1n, por L·jemplo, precisar que el aCL'C<.,o a los datos de C,1Llcter medico {micamente pueda obtenerse a tr;n (·s de un profesional de Ia medicina:
(43) C:onsiderando que los Estados miembros pod ran imponer restricciones a los dercchos de acceso c informacion y a determinadas obligaciones del res- pon-.ahlc del tratamicnto, en Ia medida en que sean e-.,trictamente necesarias para, por ejemplo, salva- guardar la seguridad del Estado, Ia defensa, Ia scguridad publica, los intereses econbmicos o financicros importantes de un Estado miembro o Lk Ia Union, asi como para realizar investigaciones y L'ntablar procedimientm penales y perseguir vio- lauoncs de normas dcontolc)gicls en las profesio- m·s reguladas; que conviene enumerar, a cfcctos de exccpciones y limitacioncs, las tareas de control, inspeccion o reglamentaci{m nccesarias en los tres tiltimos sectores mencionados rclativos a Ia seguri- dad pt1blica, los intereses ecun<'m1icos o financieros \. Ia represi6n penal; que c<.,ta enumeraci6n de tarea-. relativas a los tres scctores citados no afecta J Ia lcgitimidad de las cxLepcione-., v rcstriccioncs L'stabkcidas por razones de ~cguridad del Estado o de ddensa;
(44) C:onsiderando que los Estados miembros pod ran vt.T'>C obligados, en virtue! de las disposiciones del lkrecho comunitario, a establecer cxccpcioncs a Ia-; disposiciones de Ia presentc Dircctiva relativas ,1! dcrccho de acceso, a Ia informaci<)n de personas y ;l Ia calidad de los datos para garantizar algunas de las finalidades contempladas m;1s arriba;
(45) C:onsiderando que cuando se pudiera cfectuar lici- tanwnte un tratamiento de datos por razones de intcn;.., publico o del eJercicio de Ia autoridad ptihlica, o en intcres legftimo de una persona fisica, cu;1lquier persona deberc1, sin embargo, tencr dcrc- cho a oponcrse a que los datos que lc COI1Ciernan ">L';lll objeto de un tratamiento, en virtud de moti- \'O'> fundados y legltimos relati\'(l>, a '>U situaci{m concrcta; que los Estados Imemhros tienen, no oh-.,tante, la posibiliclad de cst;tblccer disposiciones ILlcionalcs contrarias;
(46) Considerando que la protecci(m de los derechos y libertades de los interesados en lo que respecta a lm tL1tamientos de datos personalcs exige la adop-
No L 281/36 [KJ Diario Oficial de las Comunidades Europeas 23.11.95 ----------------------------------------------
ci<'m de medidas tecnicas y de orgamzaci6n apro- piadas, tanto en el momento de Ia concepci{m del sistema de tratamiento como en cl de Ia aplicaci<)n de los tratamientos mismos, sobre todo con ohjeto de garantizar Ia seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a lo~. Estados miembros velar por que los responsa- bks del tratlmiento respeten dichas medidas; que esas medidas deberan garantizar un nivcl de seguri- dad adecuaJo teniendo en cuenta el estado de Ia tel nica y cl ·::oste de su aplicaci6n en relacihn con lm. riesgos que presente el rratamiento y con Ia naturaleza d: los datos que deban protegersc;
(4 7) Consideranclo que cuanclo un mensaje con datos pe rsonales sea transmitido a tra vcs de un servicio de telecomunicaciones o de correo eletdmico cuyo {mico objetivo sea transmitir mensajes de esc npo, sera considerada normalmente rcsponsable del tra- tamiento de los datos personates presentcs en el n1l'nsaje aqu·:lla persona de quien proceda el mcn- saje y no Ia que ofrezca el sen icio de transmisH'm; que, no obstante, las personas que ofrezcan cstos servicios nor malmente seran consideradas respon- sahles del trctamiento de los datos personates corn- pkmentarios y necesarios para cl funcionamicnto de I servicio;
(48) Considerando que los procedimientos de notifica- ci<'m a la autoridad de control tienen por ohjcto ascgurar la publicidad de los fines de los tratamien- tO'i y de sus principales caracterlsticas a fm de co ntrolarlos a la Iuz de las disposiciones nacionalcs adoptadas en aplicaci6n de Ia prcsente Directi\·a.;
(49) Considerando que para evitar tramites administra- rivos improcedentes, los Estados miembros pucdcn establecer exenciones o simplificaciones de Ia noti- ficacion pare-. los tratamiento<. que no atenten lOI1- tr<l los derechos y las libertades de los interesados, -;iempre y cuando sean conformes a un acto adop- tado por el Estado miembro en cl que se prectscn sw; limites; que los Estados miembros pueLkn igualmente disponer la exenci6n o la simplificaci<'m cu,mdo un encargado, nombrado por cl responsa- blc del tratamiento, se cerciore de que los trJta- mientos efectuados no puedcn atentar contra los derechos y libertades de los interesados; qul· Ia persona encargada de la protcccion de los datos, se~t o no emJleado del responsable del tratanlil·nto de datos, debera ejercer sus funciones con toul independenCJ a;
(SO) Considerando que podran establecersc exenciones o ~;implificaciones para los tratamientos cuya tmica finalidad sea el mantenimiento de registros desrina- dos, de conf:)fmidad con el Dcrecho nacional, a Ia informacion del pttblico y que sean accesiblcs para Ia consulta del publico o de toda persona q uc ju<;tifique un intert~s legitimo;
(51) Considerando, no obstante, que el beneficio de Ia simplificaci6n o de Ia exencion de Ia obligacion de notificaci6n no dispensa al responsable del trata- miento de ninguna de las demas obligaciones deri- ,·adas de Ia prescntc Directiva;
(S2) Considerando que, en cste contexto, el control a posteriori por parte de las autoridades competentes debe considerarse, en general, una medida sufi- ciente;
(5)) Considerando, no obstante, que determinados tra- tamientos pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los intercsados, ya sea por su natura- lcza, su alcance o su finalidad, como los de excluir a los intercsados del bencficio de un derecho, de una prestaci6n o de un contrato, o por el uso particular de una tecnologia nueva; que es compe- tencia de los Estados micmbros, si asi lo desean, precisar tales riesgos en -.us legislaciones;
(54) Considerando que, a Ia vista de todos los trata- mientos llevados a cabo en Ia sociedad, el numero de los que presentan tale-. riesgos particulares debe- ria ser muy limitaclo; que los Estados miembros deben prever, para dicho-. tratamientos, un examen previo a su realizaci{m por parte de Ia autoridad de control o del encargado de Ia protecci6n de datos en cooperacion con aqu(·lla; que, tras dicho control previo, la autoridad de control, en virtud de lo que disponga su Derecho nacional, podra emitir un dictamen o autorizar ~..·1 tratamiento de datos; que cste examen previo podrj realizarse tambien en el curso de Ia claboraci{,n de una rnedida legislativa aprobada por el Parlamento nacional o de una medida basada en dicha medida legislativa, que defina la naturaleza del rratamiento y precise las garantias adecuadas;
(SS) C:onsiderando que las legislaciones nacionales deben prevcr un recurso judical para los casos en los que el responsahle del tratamiento de datos no respete los derechos de los interesados; que los daiios que puedcn sufrir las personas a ralz de un tratamiento ilicito han de ser reparados por el responsable del tratamiento de datos, el cual solo podra ser eximido de rc-.ponsabilidad si demuestra que no le es imputable el hecho perjudicial, princi- palmente si demuestra Ia responsabilidad del inte- resado o un caso de funza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho pttblico, que no respete las disposiciones nacionales adoptadas en aplicacion de Ia presente Directi\'a;
(56) Considerando que los flujos transfronterizos de datos personales son necesarios para Ia desarrollo del comercio internacional; que Ia proteccion de las personas garantizada en Ia Comunidad por Ia presente Directiva no <.c oponc a Ia transferencia de
23. 11. 95 Diario Oficial de las Comunidades Europeas N° L 281/37
datos personates a terceros paises que garanticen un nivel de prote:.:ci6n adecuado; que el caracter adecuado del nivel de protecci6n ofrecido por un pais tercero debe apreciarse teniendo en cuenta todas Ia~; circunstancias relacionadas con la transfe- rencia o Ia categoria de transferencias;
(57) Considerando, por otra parte, que cuando un pais tercero no ofrezca un nivel de protecci6n adecuado debe prohibirse la transferencia al mismo de datos personales;
(58) C:onsiderando que han de establecerse excepciones a esta prohibici6n en determinadas circunstancias, cuando cl interesado haya dado su conscntimiento, cuando la transferencia sea necesaria en relaci6n con un ..:ontrato o una acci6n judicial, cuando asi lo exija Ia protecci6n de un interes publico impor- tantc, por ejemplo en casos de transferencia inter- nacional de datos entre las administraciones fisca- les o aduaneras o entre los servicios competentes en materia de seguridad social, o cuando la transfe- rencia se haga desde un registro previsto en Ia legislaci6n con fines de consulta por cl publico o por per~;onas con un interes legitimo; que en tal caso die ha transferencia no debe afectar a la totali- dad de los datos o las categorias de datos que contenga el menc10nado registro; que, cuando Ia finalidad de un ngistro sea la consulta por parte de personas que tengan un interes legitimo, la transferencia s6lo deberia poder ef.ectuarse a peti- ci6n de dichas personas o cuando estas sean las desti na tarias;
(59) C:onsiderando que pueden adoptarse medidas par- ticulares para paliar la insuficiencia del nivel de protecci()n en un tercer pais, en caso de que el responsable del tratamiento ofrezca garantias ade- cuadas; que, por lo dem;is, deben preverse procedi- mientos de negociaci6n entre la Comunidad y los paises tcrceros de que se trate;
(60) Considerando que, en cualquier caso, las transfe- rencias hacia paises terceros solo podran efectuarse si se respetan plenamente las disposiciones adopta- das por los Estados miembros en aplicaci6n de Ia presentc Directiva., y, en particular, de su articulo 8;
(61) Considerando que los Estados miembros y Ia Comisi6n, dentro de sus respectivas competencias, deben alentar a los sectores preofesionales para que claboren c6digos de conducta a fin de facilitar, habida cuenta del caracter especifico del trata- miento de datos efectuado en determinados secto- res, Ia aplicaci6n de la presente Directiva respe- tando las disposiciones nacionalcs adoptadas para su aplicaci6n;
(62) C:onside1rando que Ia creaci6n de una autoridad de control que ejerza sus funciones con plena indepen- dencia en cada uno de los Estados miembros constituve un elemento esencial de Ia protecci{m de las pers;)nas en lo que respecta al tratamiento de datos personates;
(63) C:onsiderando que dicha autoridad debe disponer de lm medios necesarios para cumplir su funci6n, ya se trate de poderes de investigaci6n o de inter- venci{m, en particular en casos de redamaciones presentadas a la autoridad o de poder comparecer en 1uicio; que tal autoridad ha de contribuir a Ia transparencia de los tratamientos de datos efectua- dos en el Estaclo miembro del que dependa;
(64) Considerando que las autoridades de los distintos Fstados miembros habr~1n de prestarse ayuda mutua en el ejercicio de sus funciones, de forma que se garantice el pleno respeto de las normas de protecci6n en tenia Ia Uni6n F.uropea;
(65) C:onsiderando que se debe crear, en el ambito comunitario, un grupo de protecci6n de las perso- nas en lo que respecta al tratamiento de datos personates, el cual habra de ejcrcer sus funciones con plena independencia; que, habida cuenta de cste caracter especifico, el grupo deber<1 asesorar a Ia C:omisi6n y contrihuir, en particular, a Ia aplica- ci{m uniforme de las normas nacionales adoptadas en aplicacion de Ia presentc Dircctiva;
(66) C:onsiderando que, por lo que respecta a Ia transfe- rencia de datos hacia paiscs tcrceros, Ia aplicaci6n de Ia presente Directiva requierc que se atribuya a Ia ( :omision competcncias de ejecuci6n y que se crce un procedimiento con arrcglo a las modalida- des establecidas en Ia Decisi6n ~7/3 73/CEE del Consejo (1);
(67) C:onsiderando que el 20 de diciembre de 1994 se alcanz6 un acuerdo sobre un modus uiuendi entre cl Parlamento Europeo, cl C:onscjo y la Comisi6n concerniente a las medidas de aplicacic'>n de los actos adoptados de conformidad con el procedi- miento establecido en el articulo I W1 B del Tratado CT;
(68) C:onsiderando que los principios de protecci6n de los derechos y libertades de las personas y, en particular, del respeto de Ia intimidad en lo que se refierc al tratamiento de los datos personates objeto de la presente Directiva podran completarse o prccisarse, sobre todo en determinados sectores, mediante normas especificas conformes a estos prmuptos;
(69) C:onsiderando que resulta oportuno conceder a los Fstados miembros un plazo que no podra ser superior a tres ai'ios a partir de Ia entrada en vigor de las medidas nacionales de transposici{m de Ia
( 1) DOn" l 197 de 1H.- 1n7, p..B.
N" I. 2~ 1/3~ [ ES I Diario Oficial de las Comunidades Europeas 23. 11. <)5 -------- -----------------
pn:sente Dir•:ctiva, a fin de que puedan aplicar de mancra pro~.resiva las nuevas disposiciones nacio- nales mencionadas a todos los tratamiento" ~lc datos ya exi~;tentes; que, con cl fin de facilitar una aplicaci6n q Je presente una buena relaci6n cmtc- dicacia, se concedera a los Estados miembro" 11n pcrlodo suplementario que cxpirar;:1 a lo" don· af1os de Ia fecha en que sc adoptc Ia pn:st·ntL' Directiva, p:na garantizar que lo-. fichcro-. manua- les l'Xistentc~; en dicha fecha sc hayan ajustado a Ia~ disposiciones de Ia Din:ctiva; que si los datm contenidos e:1 dichos ficheros 'ion tratados cfe._.-ri\a- nwnte de forma manual en e'>L' periodo transitorio ampliado de berc1n, sin embargo, ser aju-.tadm .1 di~.:has dispc·siciones cuando 'IC realice tal tr.Ha- mtcnto;
(70) Considerando que no es proccdcnte que el int~·rc '\ado tenga que dar de nuevo su consentimiL·nto :1
fin de que cl responsabk pueda scguir efectuando, tras Ia entrada en vigor de las disposiciones nacio- nales adoptadas en virtud de Ia presente Directiva, el tratamienro de datos -.cnsibles neccsario para Ia cjecuci6n de contratm cl'lebrados prcvio conscnti- miento librc c informado antes de Ia entrada en \igor de Ia-. di'ipmiciom·" nwncionadas;
(71) Considerando que Ia prescnte Directiva no se opone a que un Fstado micmbro regule las activi- dades de prospccci{m comcrcd destinadas a los LOnsumidorcs que residan L'll su territorio, en Ia medida en que dicha rq:,ulaci<'m no afecte <1 Ia protecci6n de las pcr'ionas en lo que rt''ipecta a tratamiento'> de dato-., pcr'!onalcs;
( "'72) Considcrando que b prcscntc Directiva autoriza que se tenga en cuenta el principio de acccso ptiblico a los docunwntos oficialcs a Ia bora de aplicar los principios expuestos en Ia presente Directiva,
I L\" .-\DOPTADO LA PRF~~t'~TF DIRFC:TIV:\:
CAPfTUU) I
DISPOSICIONES CE:--.JERALES
Articulo I
Objeto de la Directiva
I. l.os Estados micmbros garantizar;in, con arreglo a las disposiciones de Ia presente Directi \a, Ia proteccit'm de las lihertade:.; ~· de los dercchos fundamentales de las pc--so- nas fisic1s, y, en particular, del derecho a Ia intimidad, ,_·n lo que rcspecta a\ rratamiento de los datos personalc'i.
1 I .o'i Estados miembros no poLk1n restringir ni pmlll- bir Ia ld1tT circulaci6n de datos pcrsonales entre los Fsradm 11icmbros por motivos rcbcionados con Ia pro- tecct<.lll garantizacb en virtud del apartado 1.
Articulo 2
Definicioncs
A efcctos de Ia prcsente Directiva, -.e entender<l por:
a) "datos pcrsonales>>: toda informacic'm sobrc una per- sona fisica idicnti ficada o idcnti ficable (cl "intL'tT- S;ldo, ); sc cons derara identific1hk toda persona ,_·uya idcnt dad puec;a determinarsc, dirccta o indin\.:t<l- Illl'tltt.', en particular mediante un nCunero de idcmift- uci(m o uno c varios elementm especfficos, C1L1LlL'- risticos de su identidad ffsica, fisiol6gica, psiquie;1, econ<)mica, cultural o social:
b\ ,. tr;ltamiento de datos per-.onalcs ,, (<<tratamientt l ,, ): utalquier oper<1ci6n o conjunto de opcracione-., cfcc- tuadJ s o no mediante procedimtcntos automatizado'>,
\ ;1plicadas a datos pcrsonalc'i, como Ia recogida, registro, organizaci(m, LOnscn·acic'm, daboracic'm o modificaci6n, extracclim, consulta, utilizaci6n, comu- nicaci6n por transmi-.H'm, difu..,i6n o cualquier otra torma que faulitc el acccso a los mismos, cotcjo o 1ntLTconexi6n, asl comu "u hloqueo, suprcsi<'m o Lk-.rrucci<)n;
c) ··fichero de d;ltos pcrsonaks,, («fichero>>): todo con- JUnto estructurado de datm per-.onales, accesibles con .nrcglo a critcrios determin,HJo-., va -.ea centralizado, dL''>centralizado o repanido de forma funcional o gL·ogrMica;
d l "rcsponsable del tratamicnto,: Ia persona fisica o )uridica, autoridad pt'thlica, sen·icio o cualquier otro organismo que s<'Jlo o conjuntamentc con otros deter- mine los fines y los medio-. del tratamicnto de datos pnsonales; en caso de q11C los fines y los medio'i del tratamicnto esten detcrmin~1dos por disposiciones kgislativas o reglanwntari~h nacionalcs o comunita- ri;1<.,, el responsable del tratamiento o los critcrios L·-,pccificos para su nomhramtcnto podran scr fi1ados por cl Derecho nacion,ll o Lomunitario;
l' 1 "L'ncargado del tratamicnto": Ia pcr-.ona fisica o J urf- d1ca, autoridad pC1blica. servicio o cualquier otro organismo l}UL', solo o con]untamentc con otros, tratc d~nos person;1lcs por cuenta del responsable del trata- tlliL·nto;
23. 11. 95 Diario Oficial de las Comunidades Luropeas ~() I. 281/39
f) <<tercero»: Ia persona fisica o Juridica, auroridad ptibiica, servicio o cualquier otro organismo distinto del intcresado, del r,:_-sponsable del tratamiento, del encargado del tratam:ento y de las personas autoriza- das para tratar los datos bajo Ia auroridad directa del responsahle del tratamiento o del encargado del trata- mienro;
g) ''destinatario»: Ia persona fisica o juridica, autoridad ptlblica, servicio o cualquier otro organismo que reciha comunicaci6n de datos, se tratc o no de un tercero. ~o obstante, las autoridade'i que puedan recibir una comunicaci6n de datos en el marco de una investig;lci(m especifica no seran considnados destina- ta nos;
h) ,,consentimiento del interesado,,: toda 111<lnifestaci<'m de voluntad, libre, espedfica e informada, mediante Ia que el 1nteresado consienta el tratamicnto de dato"i personalcs ':]ue le coiKiernan.
Articulo 3
Ambito de aplicaci6n
1. Las disposi1.:iones de Ia presente Direct!\ a se aplicar;1n al tratamineto total o parcialmente automatizado de datos personaks, asi como al tratamiento no automati- zado de datos personale~ contenidos o destinados a scr incluidos c11 Uti fichero.
2. Las disposiciones de Ia presente Directiva no se apli- caL1n al tr;Hamiento de datos personalcs:
cfectuado en el ejercicio de actividades no comprendi- das l'l1 L'l ;1mhito de aplicao6n del Derecho comunita- rio, como las previstas por las disposiciones de lm, titulos V y VI del Tratado de Ia Unir'm Europca y, en cualquicr caso, al traramiento de dato.., que tcnga por objeto b s1:guridad pt:iblica, Ia defcnsa, Ia seguridad del Fsudc (incluido el bicnestar L'~_·on<'>mico del
Estado ntando dicho tratamicnro csti· relacionado con Ia seguridad del Estado) v las acti,·idadc., del Estado en matnia penal;
cfcctuado por una persona fi-.iu en cl cjercicio de activiLbdcs exclusivamcntc personalc" o domesticas.
Art/eztln 4
Derecho nacional aplicabk
I. Lo-, E..,tados miembros aplic~n;1n L1s c.hsposicioncs nacionall·.., que haya aprobado para Ia <lplicaci6n de Ia presentl' D1rectiva a todo tratamicmo de datos personale'i cuando:
a) cl trat<1miento sea cfectuado en el marco de las act!\ id,HJes de un establccimiL·nto del responsable del traLllllll'nto en el terntorio del F....udo miembro. Cuando cl mismo responsahk del tratamicnto estc cstahlcudo en cl territorio de varios htados miem- bro" dched adopt;H las nwdicbs ncccsarias para garantt;ar que cada uno de dichos L'stablecimientos cumpk las obligacioncs prnJ"iLls por cl Derecho nacion;ll ;lplicable;
b) el l'l''-~pon.,able del tratamicnro no c·ste e-;tablecido en el tcrntorio del Estado miemhro, sino en un Iugar en lJLIL' '-~t ,1plica su kgisbci<'m tuuon;ll L'n ,-irrud del DciTI.ho mternacional rn'd)lico;
c) cl l'l''-~ponsable del tratamicnro no l'sti· establecido en el rnnwrio de Ia Comunidad \ recurra, para el traLlmJento de datos personalcs, ,\ medios, automati- zado-. o no, situados en cl tcrritono de dicho Estado mil'lllhro, salvo en caso de que dichos medios sc utdt'-L'll ..,oJamente con fmcs ck tr;mstto por cl territo- no d(' L1 Comunidad Europc;l.
2. En cl l.a<.,o mencionado en Ia letrcl c) del apartado I, el rcspoll'-~<lhlc del tratamiento ddwra dcsignar un repre- sentanrc L''-tablecido en cl terrirori11 ck dicho Estado miemhro. ..,111 perjuicio de las acetones que pudieran cmpt-clllln"L' contra el prop1o J-cspom;1hk del trata- micnto.
CAPITUlO II
CONDICIONES GENERALES PARA LA LICITUD DEL TRATAMIENTO DE DATOS PERSON ALES
Los Estado~; miembros precJsar;1n, dcntro d(' los limite.., de las clisposicioncs del prcsL·ntc capitulo, las condiciones en que son licitos lo" traramicnto-, de datos personaks.
No L 2R 1/40 [::![] Diario Oficial de las Comunidades Europeas 23. 11. 95
SECCION I
PRINCIPIOS RELATIVOS A LA CAUDAD DE LOS DATOS
Articulo 6
1. Los Estados miembros dispondran que los daws personales sean:
a) tratados de manera leal y lfcita;
b) recogidos con fines determinados, explicitos y legiti- mos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerara incompatible el tratamiento posterior de datos con fines historicos, estadisticos o cientificos, s1emprc y cuando los Estados miembros cstablezcan las garan- tlas oportunas;
c) adccuados, pertinentes y no excesivos con relaci6n a los fines para los que se recabcn y para los que se trate n posterio ~mente;
d) cxactos y, cuando sea necesario, actualizados; deb1:r~in tom~1 rse todas las medidas razonables para que los dato~; inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fucrun tratadcs posteriormcntc, scan suprimidns o recti ficados;
e) const~rvados en una forma que permita Ia identifica- ci(m de los interesados durante un periodo no supe- rior al necesario para los fines para los que fueron rccogidos o para los que se traten ulteriormentc. Los Estados miembros estableceran las garantlas apropia- das para los datos personales archivados por un periodo m;is largo del mencionado, con fines hi-.t(Jri- cos, estadisticos o cientificos.
2. Correspondera a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el aparrado 1.
SECCION II
PRINCIPIOS RELATIVOS A LA LEGITIMACION DEL TRA- T AMIENTO DE DATOS
Articulo 7
Los Estados miembros dispondran que el tratamiento de datos personales s·:)lo pueda efectuarse si:
a) c1 interesado ha dado su conscnt1miento de forma mcqllivoca, o
b) cs nt:cesario p.ua Ia eJecuci{m de un contrato en el que el interes<Jdo sea parte o para Ia aplicaci<)n de medidas preccntractuales adoptadas a pctici(lll del interesado, o
c) e-; necesano para el cumplimiento de una obligaci<'m juridica a Ia que este sujeto el responsable del trata- miento, o
d) es necesario para proteger el interes vital del intere- sado, o
L') es necesano para el cumplimiento de una mJsi(m de interes publico o inherente al ejercicio del poder pt!hlico conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) cs necesario para Ia satisbccion del inten§s lcgitimo perseguido por el responsable del tratamiento o por el tcrcero o terccros a los que se comuniquen los datos, -.iempre que no prevalezca el intercs o los derechos v libertades fundamentales del interesado que requiera~ proteccion con arreglo al apartado 1 del articulo 1 de Ia presente D1rectiva.
SFCCI()"J III
CATEGORIAS ESPECIALES DE TRATAMIENTOS
Art/culo R
Tratamiento de categorias especiales de datos
I. Los Estados miembros prohibJr<1n el tratamiento de datos personales que revelcn el origen racial o etnico, las opmiones politicas, las cOJwicciones rcligiosas o filosMi- c,1s, Ia pertenencia a sindicatos, a-,1 como el tratamiento de los datos relativos a Ia salud o a la sexualidad.
2. Lo dispuesto en el apartado cuando:
no se aplicara
,1) cl interesado haya dado su consentimiento explicito a dicho tratamiento, salvo en los casos en los que Ia legislacion del Estado micmbro disponga que Ia prohi- hici{m establecida en cl apartado 1 no pueda levan- tarse con el consentimicnto del interesado, o
b) cl tratamiento sea necesario para respetar las obliga- cJones y derechos especificos del responsable del trata- micnto en materia de Derecho !aboral en Ia medida en que este autorizado por Ia lcgislaci(m y esta prevea garantias adecuadas, o
c) el tratamiento sea ncccs<Hio para salvaguardar el interes vital del intercsado o de otra persona, en el supuesto de que cl intercsado cste fisica o jurldica- mcnte incapacitado para dar su consentimiento, o
d) el tratamiento sea cfcctuado en cl curso de sus activi- dades legitimas y con las dchidas garantfas por una fundacion, una asociaci<'m o cualquier otro organismo -.in fin de lucro, cuya finalidad sea politica, filosMica, rcligiosa o sindical, siempre que se rcfiera exclusiva- mcnte a sus miembros o a las personas que manten- gan contactos regulares con Ia fundaci6n, Ia asocia-
23. 11. 95 Diario Oficial de las Comunidades Europeas No L 281141
ci6n o cl organismo por raz6n de su finalidad y con tal de que los datos no se comuniquen a terceros sin cl conscntimiento de los interesados, o
c) cl tratamiento se refiera a datos que el intercsado haya hecho manifiestamente publicos o sea neccsario para cl rcconocimiento, eJercicio o defensa de un derecho en un procedimiento judicial.
3. El apartado 1 no se aplicara cuando cl tratamiento de datos resulte necesario para la prevcnci<'m o para el diagn6stico medicos, la prestaci6n de asistencia sanitaria () tratamientos medicos 0 la gesti6n de servicios sanita- rios, siempn: que dicho tratamiento de datos sea rcali- zado por un profcsional sanitaria sujeto al secreto profc- sional sea en virtud de Ia legislacion nacional, o de las normas establccidas por las autoridades nacionales com- petentes, o por otra p·:?rsona sujeta asimismo a una obligaci6n cqUJvalente de secrcto.
4. Siempre que clispongan las garantias aclecuadas, los Estados miembros podran, por motivos de intcres publico importantes, e~.tablecer otras excepciones, adcmas de las previstas en cl apartado 2, bien mediante su legislaci6n nacional, bien por decisi6n de Ia autoridad de control.
5. El tratamiento de datos relativos a infracciones, con- denas pen~1lcs o medidas de seguridad, sl'>lo podra cfec- tuarse hajo cl control de Ia autoridad ptiblica o si hay previstas garantias especlficas en el Derecho nacional, sin perjuicio de las excepciones que podr~1 cstablecer cl Estado miemb,~o basandose en disposiciones nacionales que prevcan garantfas apropiadas y especlficas. Sin embargo, s6lo podr~1 llevarse un registro completo de condenas penalcs bajo el control de los poderes publi- cos.
Los Estados miembros podran establecer que el trata- miento de datos relativos a sanciones administrativas o procesos civile·~ sc realicen asimismo bajo cl control de los podereo..; publicos.
6. Las cxcepciones a las disposiciones del apartado 1 que establccen los apartados 4 y S sc notificaran a Ia C:omisi<'m.
7. Los Estados miembros determinar~1n las condiciones en las que un numero nacional de identificacibn o cual- quier otro medio de iclentificaci6n de caracter general podr<l ser objc·:o de tratamiento.
Articulo 9
Tratamiento de datos pnsonales y lihertad de expresion
En lo referent~~~ al tratamiento de datos personales con fines exclusivamentc periodisticos o de expresion artlstica o literaria, los Estados miembros establecer~1n, respecto de las disposiCJones del presente capitulo, del capitulo IV y del capitulo VI, exenciones y excepcioncs solo en Ia
medida en que resulten necesarias para conciliar el dere- cho a Ia intirnidad con las normas que rigen Ia libertad de expresi6n.
SECC!()N IV
INFORMACIC)N DEL INTERESADO
Articulo 1()
Informacion en caso de ohtencion de datos recabados del propio interesado
Los Estados miembros dispondr;1n que el responsable del tratamiento o su representante debcr~1n comunicar a Ia persona de quien se recaben los datos que le conciernan, por lo menos Ia informaci(m que se cnumera a continua- cion, salvo si Ia persona ya hubicra sido informada de clio:
a) Ia identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fin eo.; del tratamiento de que van a ser objeto los datos;
c) cualquier otra informaci{m tal como:
los destinatarios o las catcgorlas de destinatarios de los datos,
cl car<icter obligatorio o no de Ia respuesta y las con-.ccuencias que tendria para Ia persona intere- sada una negativa a responder,
Ia cxistencia de derechos de acceso y rectificaci6n de los datos que Ia conciernen,
en Ia medida en que, habida cucnta de las circunstan- cias espccificas en que sc obtengan los datos, dicha inforrnaci(m suplementaria rcsultc necesana para garantii<H un tratamiento de datm leal respecto del intcresado.
Articulo 11
Informacion cuando los datos no han sido rccahados del propio intercsado
1. Cuando los datos no hayan sido recabadm del intere- sado, lo-. Fstados miembros dispondr~1n que el responsa- hle del traumiento o su representante deber;1n, desde cl momemo del registro de los datos o, en caso de que se piense com unicar datos a un tercero, a m<is tardar, en cl momento de Ia primera comunicaci{m de datos, comuni- car al 1nteresado por lo menos Ia informacion que se enumera a continuaci6n, salvo si cl mtcresado va hubiera sido informado de ello:
a) Ia Idcntidad del responsablc del tratamiento y, en su c1so, de su representante;
b) los fine-. del tratamiento de que van a ser objeto los daro-,;
No L 2S 1/42 [~ Diario Oficial de Ia-; Comunidades Europeas 2.1. 11. 95
c) cualquier otra informacion tal como:
IJs categorias de los datos de que se trate,
los destinararios o las categorlas de destinacuio-; de los datos,
IJ existencia de derechos de acceso y rectific<Kt<'m de los datc•s que Ia concierncn,
en b medida en que, habida cucnta de las circunstan- cia-; cspcclfica~; en que se hayan obtcnido los d.ltm, diclu inform<·,ci6n suplementaria resulte 11l'l'C:,;uia para garantizar un tratamicnto de datos leal re-,pcdo del mteresado.
2. Las disposiciones del apartado I no sc aplicarc1n, en particular para el tratamiento con fines estadlstico-., o de invcstigaci6n hist6rica o cicntifica, cuando Ia infornLKJ<'m al intcn·sado resulte imposible o cxija esfucrzos dc..,pro- porcion<ldos o el registro o Ia comunicaci6n <1 un tcrccro estC·n expresamente prescritos por In·. En tales casos, los htados miembros estableccr<1n las garantlas apropi;da-;.
SEC:CIC)N V
DERECHO DE ACCESO DEL INTERESADO A LOS DATOS
Articulo 12
Derecho de acccso
Los Fstados miembros garantizar<1n a todos los int-cre-.;1- dos cl derecho cle obtener del responsablc del trat<1- micnto:
a) libremente, sir restricciones y con una pcriodicilbd ra;onable y sin retrasos ni gastm exccsivos:
b confirmztci6n de Ia existencia o inexistcnci<t del tratamient(l de datos que lc conciernen, asi como i ·1formaci6:1 por lo menos de los fines de dtchos tratamientos, las categorlas de datos a lJliL' 'il' refieran y los destinatarios o las catcgona•; de c'estinatarios a qUienes se comuniquen dJChos
' a tos;
l.1 comuniuci6n, en forma inteligihle, de los datm c'bjeto de los tratamiento-., as! como tod;l Ia i·1formaci6n disponible sohre el origen lk lm catos;
cl conocim ento de Ia l6gica utilizada en los traU·- nientos automatizados de los datos rderidc '" al i 1teresado, al menos en los casos de las decisJOilL''i ;H!tomatizadas a que se rdicrL· el apartado I ckl ;1 rtlculo IS;
h) en su caso, Ia rectificaci6n, Ia suprcsi6n o el hloqueo de Ios datos cuyo tratamiento no se a juste a las disposiciones ce Ia presente Directiva, en particular a L'<lUS.l del car;1cter incomplcto o inexacto de lm daro-;;
c) Ia notificaci6n a los terccros a quienes sc ha\<111 L'omunicado los datos de toda rectificaci(m, suprc-.i<)Jt o bloqueo efenuado de conformidad con Ia let-ra h), si no resulta imposible o supone un esfuerzo dcspro- porcionado.
SEUJ():\ VI
EXCEPCIONF~ Y LL\1ITACIONES
Art/m/() U
Excepcioncs y limitaciones
I. Los Estados miembros podr;l.n adoptar medidas lcga- k-. para limitar el alcance de las ohligaciones \' los dcrL·chos previstos en cl apart;Hio I del articulo 6, en el artiL'ulo I 0, en cl apartado I del articulo 11, y en los <Hticulos 12 y 21 cuando ral limitaci<'m constituva una nwdida ncccsaria p;lLl Ia -,aiYaguardJa de:
<11 Ia -.eguridad del Fstado;
hi h defensa;
L'l Ia -;cguridad pC1hlica:
d I Ia prevenci6n, Ia imcstigaci<m, Ia detecci(m y Ia represi6n de infracciones pcnalcs o de las infracciones de Ia deontologla en las profesiones reglamcntadas;
e) un interes econcm1ico \' fma nciero importante de un htado miemhro o de Ia llni<~)n Furopea, incluidos los ,J'>untos monl'tarios, prL''iLifllie-,rario.., \- fiscalcs;
fl una funci6n de control, de impccci(m o reglamentaria relacionada, aunque s6lo -,ea ocasionalmente, con el cjercicio de Ia autoridad pt~ihlica en los casos a que hacen referencia las krras c), dl \ L'):
g I Ia protecci(m del inrnesado o de los dncchos y lihertades de otras pn-,ona..,.
1 Sm perjuicio de las garantla-. legales apropiadas, que l'XL'Imcn, en particular, que lm datos puedan ser utili;a- dm l'l1 rclaci6n con ITlnli •.Ja.., o Lkci..,Ioncs relativas a pn-.,onas concretas, los Estado-., m1emhros podr<1n, en los ca-.o:-. en que manifiestamente no exista ningCm riesgo de atc11tado contra Ia intimilbd del interesado, limitar Im·dJante una disposici(m legal lm dnechos contemplado-. en L'l articulo 12 cuando lo-, datos -,e vayan a tratar exciu-,JYamente con fine-, de inH''itigacitm cicntlfica o sc gu;Hden en forma de arch inls dL· car;ictcr personal durante un perfodo que no supcrc cl tiempo nccesario p;lLl Ll exclusiva finalidad de L1 elahoraci<~m de cstadisti- L'<l".
DERECHO DE OPOSIC I()t\ DEL INTERESADO
Art/cui<! 1-/-
Derccho de opmici<'m dd intcresado
I .m Fstados miembros reconoLer;1n al interesado el dere- L'ho ,l:
a I oponerse, al menos en los casos contemplados en las lt:tras e) y f) del articulo -. en cualquier momento y por razones legirima'i prop1as de -,u situaci6n particu- br, a que lo-. datos que k concinnan scan ohjeto de
23. 1I. 95 Diario Oficial de las Comunidades Luropeas :-:(' L 281/43 ----- ---------
tratamicnto, salvo cuando Ia legislacion nacional dis- ponga otra cosa. En caso de oposicion justificada, el tratamicntc que efectue el responsahle no podr~1 rcfe- nrse y~1 a esos datos;
b) oponerse, previa peti•:ion y sin gastos, al tratamiento de los datos de caracter personal que le conciernan respecto de los cuales el responsable prevea un trata- miento desrinado a Ia prospeccion; o scr informado antes de que los datos se comuniquen por primera vcz a teru:ros () sc usen en nombre de estos a efectos de prospccci<'m, y a que se le ofrezca cxprcsamcntc cl derecho de oponerse, sin gastos, a dicha comunica- cion o tttili raci<'m.
Los Estados m1emhros adoptaran todas las medidas nece- sarias para garantizar que los intercsados conozcan Ia existencia del derccho a que se refiere el p;1rrafo primero de Ia letra b).
Articulo lS
Dccisiones individuates automatizadas
1. Los Estados miembros reconoceran a las personas el derccho a no verse sometidas a una clecisitm con efectos juridicos sobrc elias o que les afecte de manera significa- tiva, que sc ba~;e tmicamcnte en un tratamiento automati- zado de datos dcstinado a evaluar determinados aspectos de su personalidad, como su rcndimiento Llboral, crc·dito, fiabilidad, conducta, etc.
2. Los Estados miembros permitiran, sin pcrjuicio de lo dispucsto en los dcm<1s articulos de Ia presentc Directiva, que una persona pueda verse sometida a una de las decisiones comempladas en el apartado I cuando dich;1 decisi<'m:
a) se haya adoptado en el marco de Ia celebraci(m o ejecuci<'m de un contra to, siempre que Ia petici<'m de cclcbraci(m o ejecuci<'m del contrato presentada por el interesado sc haya satisfccho o que cxistan medidas apropiadas. como Ia posibilidad de defender su punto de vista, para Ia salvaguardia de su mtercs legitimo; 0
b) este autorizada por una ley que estahlezca medidas que garanticen el intcres legitimo del intcresado.
SECC:l():'\l VIII
CONFIDENCIALIDAD Y SEGURIDAD DEL TRATAMIENTO
Articulo 16
Confidencialidad del tratamicnto
Las personas que actuen bajo Ia autoridad del responsa- blc 0 del encargado del tratamiento, incluido este ultimo,
solo podr~1n tratar datos pcrsona\e.., a los que tengan acceso, cuando se lo encarguc el re-.;ponsahle del trata- miento o "~1lvo en virtud de un impcratinJ legal.
1\rtiwlo 17
Seguridad del tratamiento
1. Lo" Fstados miembros cstablccer;1n Ia obligaci(m del respons.1hlL· del tratamiento de aplicu las medidas tecni- cas y Lk organizacion adccuadas, p;1ra Ia protecci6n de los datos pcrsonales contra Ia destrucci<'m, acudcntal o iliciu, Ia pc·rdida accidental y contra Ia alteraci<ln, Ia difusi<'lll o cl acceso no autorizados, en particular cuando el tratamiL·nto incluya Ia transmisH'm de datos dcntro de una red, \ L·ontra cualquicr otro tL1tamicnto illcito de datos pvrsonales.
Dichas mcdidas deber;in garantizar, habida cuenta de los conocimientos tecnicos cxistentes Y Lkl coste de su aplica- ci(m, un ni\'(:1 de scguridad apropiado en rclaci(m con los riesgos que prescnte el tratamiento y con Ia naturaleza de los datos quL· dcban protegersL·.
2. Los Fstados miembros estableccL1n que el responsa- ble del tratamicnto, en c1so de traumiento por cuenta del mismo, dchera elegir un encargado del tratamicnto que reuna garantias suficientes en rclaci6n con las mcdidas de seguridad tc·cnica y de organizaci<)n de los tratamientos que lkh.1n dectuarse, ~- sc ~lsegurc de que '>l' cumplcn dichas 1m·didas.
3. la rcalizacion de tratamientos por L'ncargo deber~1 cstar reguLlda por un contrato u otro acto jurldico que \·incuk ~11 L·ncargado del tratamicnto L~on el responsahle del tratamicnto, y que disponga, en particular:
que L'l cncargado del tratamiL·nto -i>lo acttta siguiendo instrl!LLiones del rcsponsahlc del tLlL1miento;
que las obligaciones del apartado I, tal como las define L1 legislaci6n del F'itado micmhro en el que este cst~1hkudo el cncargado, incumlwn tamhic·n a este.
4. A ekctos de conscrvacitm de Ia prueha, las partes del contrato o del acto juridico relati\a'> a Ia protecci6n de datos ,. ;1 los rcquisitos relativos ~1 Ia" mcdidas a que hace rderenci~1 L·l apartado I cm1SLlLlll por C'>crito o en otra forma l'ljtll\·alente.
SFC:Cf():'\l IX
NOTIFICACI<)N
Articulo 18
Obligaci6n de notificaci6n a Ia autoridad de control
I. lo" hrados miembros dispondr;1n que d responsable del tLlL1Illlcnto o, en -.,u caso, '>ll n·pn·-.,cntantc, cfccttle
N° L 281144 []I] Diario Oficial de las Comunidades Europeas 23. 11. 95
una not1ficacicm a la autoridad de control contemplada en el articulo 28, con anterioridad a la realizaci{m de un tratamiento o de un conjunto de tratamientos, total o parcialmente autornatizados, destinados a la consecu,.:i<'m de un fin o de varios fines conexos.
2. Los Estados miembros podran disponer la simplifica- ci{m () la omision de la notificaci{m, solo en los siguicntes casos y con las siguientes condiciones:
cuando, para las categorias de tratamientos que no pucdan afectar a los derechos y libertades de los intercsados habida cuenta de los datos a que se reficre cl tratamiento. los Estados miembros precisen los fines de los tntamientos, los datos o categorias de datm tratados, la categoria o categorias de los intere- sado~;, los dcstinatarios o categorlas de destinatanos a los que se comuniquen los datos y cl periodo de conscrvacion d~ los datos y/o
cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que esta sujeto, un encargado de protcccion de los datos personalcs que tcng;' por comctido, en particular:
hacer aplicar en el ambito interno, de mancra independiertte, las disposiciones nacionales adop- t;tdas en virtud de la presente Directiva,
ll evar un n~gistro de los tratamientos efectuados por el resp,msable del tratamiento, que contcnga L-: informacion enumerada en cl apartado 2 del a rtfculo 21,
garantizanclo asi que el tratamiento de los clato~ no pued a ocasionar una merma de los derechos y libcrta- des cle los interesados.
3. Los Estados miemhros podd.n disponer que no se apliquc cl apartado 1 a aquellos tratamientos cuya tmica finalidad sea la de llevar un registro que, en virtud de disposici ones legales o reglamentari;ls, estc destinado a facilitar informaci:'m al pttblico y esten ahiertos a Ia consulta por cl publico en general o por toda persona que pueda dcmostrar un interes legitimo.
4. Los Estados miembros podran eximir de la ohligaci6n de notifi,.:acion o disponer una simplificacion de Ia mi-;ma respecto de los tratamientos a que se refiere Ia letra d) del apartado 2 del articulo 8.
5. Los Fstados miemhros podran disponer que los trata- mientos no autom.ltizados de datos de caracter personal o algunos de ellos sean notificados eventualmente de una forma simplificada.
Articulo 19
Contenido de la notificaci6n
1. Los Estados nr.iembros determinaran Ia informaci<'m que debe figurar en Ia notificaci<)n, que ser<l corno 111l1111110:
a) el nombre y Ia direcci6n del responsable del trata- miento y, en su caso, de su representante;
b) el o los objetivos del tratamiento;
c l una descripcion de Ia categoria o categorias de intere- sados y de los datos o categorias de datos a los que se 1-cfiere el tratamiento;
d) los destinatarios o categorias de destinatarios a los que se pueden comunicar los datos;
e I las transferencias de datos prcvistas a paises terce- ros;
f) una descripci{m general que permita evaluar de modo preliminar si las medidas adoptadas en aplicacion del articulo 17 resultan adecuadas para garantizar Ia seguridad del tratamicnto.
2. Los Estados miembros preusaran los procedimientos por los que se notificaran a Ia autoridacl de control las modificaciones que afecten a Ia informacion contemplada en cl apartado 1.
Articulo 20
Controles prcvios
l. Los Estados miembrm preusaran los tratamientos que puedan suponer riesgos espccificos para los dercchos y lihertades de los interesados y velaran por que sean examinados antes del comienzo del tratamiento.
2. Estas comprobaciones previas seran realizadas por la autoridad de control una vez que haya recibido Ia notifi- caci<'m del responsahle del tratamiento o por el cncargado de Ia proteccion de dato-. quien, en caso de duda, debera consultar a Ia autoridad de ·:ontrol.
3. Los Estados miemhro<., podr;in tamhien llevar a cabo dich,1 comprohaci{m en el marco de Ia elahoraci6n de una norma aprobada por el Parlamento o basada en Ia misma norma, que defina el carc1cter del tratamiento y establczca Ia-. oportunas garantias.
Articulo 21
Publicidad de los tratamientos
l. Los Estados miembros adoptar<1n las medidas necesa- rias para garantizar Ia publi.:idad de los tratamientos.
2. Los Estados miembros establecer<in que Ia autoridad de control lleve un registro de los tratamientos notifica- dos con arreglo al articulo 18.
23. 11. 95 Diario Oficial de las Comunidades Europeas N° L 281/45 ----------------------·------------------------------ ---------------------------------------------------
En el registro se haran con;tar, como mlnimo, las infor- maciones a las que se refieren las letras a) a e) del apartado 1 del articulo 19.
El registro podra ser con:mltado por cualquier persona.
3. Los Estadm. miembro~ dispondran, en lo que respecta a los tratamientos no sometidos a notificaci{m, que los responsablcs del tratamiento u otro 6rgano designado por los Estados miembros comuniquen, en Ia forma ade- cuada, a toda persona que lo solicitc, a! menos las
informaciones a que se refieren las letras a) a e) del apartado I del articulo I 9.
Los Estados miembros podr<l.n cstablcccr que esta disposi- ci6n no se aplique a los tratamicntos cuyo fin unico sea llevar un rcgistro, que, en virtud de disposiciones legales o reglamcntarias, este conccbido para facilitar informa- cion al pt1hlico y que estc abierto a Ia consulta por el pC1blico en general o por cualquicr persona que pueda demostra r un interes legitimo.
CAPITULO III
RECURSOS JUDICIALES, RESPONSABILIDAD Y SANCIONES
Artimlo 22
Recursos
Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante Ia auroridad de control mencionada en el articulo 2l-S, y antes de acudir a Ia autoridad judicial, los Estados miembros esrableceran que roda persona disponga de un rccurso judicial en caso de viobci6n de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamicnto de que se trate.
Artimlo 23
Responsabilidad
1. Los Estados miembros dispondran que toda persona que sufra un perjuicio como con'l·.:cuen- cia de un tratamiento illcito o de una acci<'m incompatible con las disposiciones nacionales adoptadas en aplicaci6n de Ia presente Directiva, tenga detTL·ho a obtener del respons<1hle del tratamiento Ia reparaci6n del perjuicio sufrido.
2. El responsable del tratamiento podr<'i scr eximido parcial o totalmente de dicha responsahi- lidad si demuestra que no se le puede imputar el hecho que ha provocado el daiio.
Articulo 24
Sancioncs
Los Estados miembros adoptaran las medidas adccuadas para garantizar Ia plena aphcaci6n de las disposiciones de la presentc Directiva y determinaran, en particular, las sancioncs que dehen aplicarse en caso de incumplimicnto de las <.hsposicioncs adoptadas en ejccuci6n de h prcscntc Directiva.
CAPITULO IV
TRANSFERENCIA DE DATOS PERSONALES A PAISES TERCEROS
Ai'ticulo 25
Principios
1. Los Estados miembros dispondran que Ia transferen- cia a un pais tcrcero de datos personates que sean objeto de tratamicnto o destinados a ser objeto de tratamiento con posterioridad a su transferencia, unicamente pucda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo
a las dem;is disposiciones de Ia prescnte Directiva, el pais tcrcero de que se trate garanticc un nivel de protccci(m adecuado.
2. El e<ujcrer adecuaclo del mvel de protecci6n que ofrece un pais tercero se evaluar;1 atcndicndo a todas las circunstatKias que concurran en una transfercncia o en una catcgoria de transfcrencias de datos; en particular, se
No [_ 2S1/46 [=:I[] Diario Oficial de las Comunidades Europeas 23.11.95
tomara en consid:raci6n Ia naturaleza de los datos, Ia finalidad y Ia duracion del tratamienro o de los trata- mientos previstos, el pals de origcn y cl pais de dcstino final, las normas de Derecho, generales o scctoriales, vigcntes en el pal~; tcrcero de que sc trate, asi como las norma-. profesionales y las medidas de -;cguridad en 1 1gor en dichos paises.
3. l.os Estados rniembros y Ia Comision se inform._u;1n rcciproc.1mente de los casos en que considcren qut· un tercer p,lis no garantiza un nivcl de protecci<'m adecuado con arreglo a! apartado 2.
4. Cuando Ia Conisi6n compruebe, con arreglo a! pro- cedimiento establecido en el apartado 2 del articulo J 1, que un tercer pai:> no garantiza un nivel de protecci<'lll adecu<ldo con arreglo al apartado 2 del presente artkulo. los Fstado miemhos adoptaran las medidas nece-.anas para impedir cualquier transferencia de datos personalc-. al tercer pals de que se trate.
5. I .a Comisi6n iniciara en el momento oportuno las negociaciones destinadas a remediar Ia situaci6n que se produzca cuando :;e compruebe cste hecho en aplicaci<'m del apartado 4.
6. Ia Comisi6n podr:i hacer constar, de confonn1dad con cl procedimi;?nto previsto en el apartado 2 del articulo 31, que un pais tercero garantiza un nivcl de protccci6n adecuado de conformidad con el aparrado 2 del presl'nte articu o, a Ia vista de su legislaci<'m interna o de -.us compromi~;os internacionaks, suscritos espl....:ial- mcntc al tcrmino de las negociacioncs mencionadas en el apartado 5, a efcctos de protecci6n de Ia vida priYad~l o de b" li hertades o de los clerechos fundamentak-; de las persona-..
J,os Fstaclos miembros adoptar,1n Ia-. meclidas neccs:.Hlas para ajustarse a Ia decision de b C:om1si6n.
Articulo 2o
Excepcioncs
1. No obstante lo dispuesto en el articulo 25 y -.:1h·o disposicH)n contraria del Dcrecho nacional que rcguk los caso~o, particulares, los Estados miembros dispondr~1n que pueda efectuarse una transferencia de datos pcrsona]e..., a un pais tercero que no garantice un nivel de protcc(i(m aden1ado con arnglo a lo establecido en el apartado 2 del artie .do 25, sit:mpre y cuando:
a) cl inreresado haya dado su conscntimiento mequlvo- Clmcnte a Ia t1 ansferencia prevista, o
b) h transferencia sea necesari~1 para Ia ejccuci6n de un contrato entre el interesado \ el responsahlc del
tratamiento o para la eJecuci6n de medidas precon- tractuales tomadas a perici(m del intercsado, o
c) b transfercncia sea necesaria para la celebraci6n o cjecuci6n de un contrato celebrado o por celcbrar en mtcres del interesado, entre el responsable del trata- miento y un tcrcero, o
d) La transferencia sea ne..::esaria o legalmente exigida para Ia salvaguardia de un mtcrcs pC1blico importante, < > para cl reconocimiento, cjercicio o defen sa de un dcrecho en un proccdimiento judicial, o
c) Ia transferencia sea necesaria para Ia salvaguardia del mteres vital del interesado, o
f\ Ia transferencia tenga Iugar desde un registro publico que, en virtud de disposiciones legales o reglamenta- nas, este concebido para facilitar informaci6n al pC1hlico y estc abierto a Ia comulta por el publico en general o por cualqlller persona que pueda demostrar un interes legltimo, sicmprL· que se cumplan, en cada caso particular, las condicionL''- que establece Ia ley para Ia consulta.
2. Sin perjlllc!O de lo dispuesro en el apartado 1, los Fstados miembros podr,1n autorizar una transferencia o una scrie de transferencias de datos personales a un tercer pai" que no garantice un nivcl de protecci6n adecuado con arreglo al apartado 2 del articulo 25, cuando el rcsponsable del tratamiento ofrezca garantias suficientes respccto de Ia proteccion de la Yida privada, de los dcrcchos y libertacles fundamentalcs de las personas, as! como respecto al ejercicio de los rcspectivos derechos; dichas garantias podr;:1n denvarse, en particular, de d1u- sula" contractuales apropiadas.
). Los Estados miembros informar<in a la Comisi6n y a los dernas Estados micmbros acerca de las autorizaciones que concedan con arrcglo al apartado 2.
En L'l 'iupuesto de que otro E~tado miembro o Ia Comi- si<'m cxpresaren su oposicitm ~· Ia justificaren debida- mcntc por motivos derivados de Ia protecci6n de Ia vida pri\·<H.b y de los derechos y lihertades fundamentales de Ia" personas, Ia Comisic'm acloptaL1 las medidas adecua- Lh-. con arreglo al proccdimicnto cstablecido en cl apar- tado 2 del articulo ) I.
Los Estados miembros adoptar<in las medidas necesanas para aJustarse a Ia decisic'm de Ia ( :omisi6n.
4. ( :uando Ia Comisi6n de1.:ida, segCm el procedimiento C'itablccido en el apartado 2 del articulo 31, que determi- nada-. clausulas contractualcs tipo ofrecen las garantlas suficientes establccidas en cl apartado 2, los Estados nncmhros adoptaran las m~'d1das nccesarias para ajus- tar-.c <1 Ia decision de Ia C:omi-,i6n.
23. 11. 95 Diario Oficial de las ( :omunidades Furopeas No L 281/47
CAPITULO V
CODIGOS DE CONDUCTA
Artiotfo 2 7
1. Los Estados miembros y Ia Comisi6n alentaran Ia claboraci6n de c6digos de conducta destinados a contribuir, en funci6n de las particularidades de cada sector, a Ia corrccta aplicaci6n de las disposiciones nacionales adoptadas por los Estados miembros en aplicaci6n de Ia presente Directiva.
2. Los Estados miembros estableceran que las asociaciones profesionales, y las dem<l.s organiza- ciones representantes de otras categorias de responsables de tratamientos, que hayan elahorado prnyectos de c6digos nacionales o que tengan Ia intenci<'m de modificar o prorrogar c6digos nacionales existentes puedan someterlos a examen de las autoridades nacionales.
Los Estados miembros estableceran que dicha autoridad vele, entre otras cosas, por Ia conformidad de los proyectos que le sean somctidos con las disposiciones nacionales adoptadas en aplicaci6n de Ia presente Directiva. Si lo considera convcniente, Ia autoridad recogcr;l. las obscrvaciones de los interesados o de sus represcntantes.
3. Los proyectos de c6digos comunitarios, as! como las modificaciones o pr6rrogas de c6digos comunitarios existentes, podran ser sometidos a cxamen del grupo contemplado en el articulo 29 .. tste se pronunicara, entre otras cosas, sobrc Ia conformidad de los proycctos que lc sean sometidos con las disposiciones nacionales adoptadas en aplicaci6n de Ia prcscnte Directi\'a. Si lo considera conveniente, el Crupo recoger~1 las observacioncs de los interesados o de sus representantes. La Comisi6n podra efectuar una puhlicidad adecuada de los c6digos que hayan rccibido un dictamen favorable del grupo.
CAPITULO VI
AUTORIDAD DE CONTROL Y GRUPO DE PROTECCION DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES
Articulo 28
Autoridad de control
recabar toda la informacibn necesaria para el cumpli- miento de su misi6n de control;
1. Los Estados miembros dispondran que una o mas autoridades publicas se encarguen de vigilar Ia aplicacion en su territorio de las disposiciones adoptadas por ellos en aplicacion de Ia presente Directiva.
poderes efectivos de intervenci6n, como, por ejemplo, el de formular dictamenes antes de realizar los trata- miento'i, con arreglo al articulo 20, y garantizar una puhlicaci<'m adecuada de dichos dictamenes, o el de ordenar cl bloqueo, Ia supresi<'m o Ia destrucci6n de datos, o incluso prohibir provisional o definitiva- mentc un tratamiento, o cl de dingir una advertencia o amoncstaci6n al responsable del tratamiento o el de sonwtcr Ia cuesti6n a los parlamentos u otras institu- cioncs poltticas nacionales;
Estas autoridades ejerceran las funciones que les son atribuidas con total independencia.
2. Los Estado~;; miembros dispondran que se consulte a las autoridadcs de control en el momento de la elabora- cibn de las medidas reglamentarias o administrativas relativas a Ia proteccion de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de ca r;icter personal.
3. La autoridad de control dispondra, en particular, de:
poderes de investigao6n, como el derecho de acceder a los datos que sean objeto de un tratamicnto y el de
capacidad procesal en caso de infraccioncs a las disposiciones nacionales adoptadas en aplicaci6n de Ia prescnrc Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.
Las decisioncs de la autoridad de control lesivas de derecho-; podran ser objeto de recurso jurisdiccional.
N° L 281/48 I=:KJ Diario Oficial de las Comunidades Europeas 23. 11. 9S
4. Toda autoridad de control cntcndera de las solicitu- des que cualquier persona, o cualquicr asociaci6n que Ia reprcscnte, le presente en relaci6n con Ia protecci6n de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona scrj informada del .:ursu dado a su solicitud.
Toda a utoridad de control entendera, en particular, de las solicitudes de verificacion de Ia licitud de un trata- micnto que le pre~ente cualquier persona cuando sean de aplicaci(m las disposiciones nacionales tomadas en virtud del arti<.:ulo 13 d;:- Ia presente Directiva. Dicha persona scr;'i infnrmada en todos los casos de que ha tcnido Iugar una verificaci6n.
5. Toda autoridad de control prcsentara peri{)(licamente un informe sobrc sus actividadcs. Dicho informc scr<i publicado.
6. Toda autoridad de control sera competentc, sean cualc!-> scan las di~;posiciones de Derecho nacional aplica- bles al tratamiemo de que se trate, para ejercer en cl territorio de su p:·opio Estado miemhro los poderes que sc le at-rihuyen en virtud del apartado 3 del prcscntc articulo. Dicha aLtoridad podr;'i ser instada a cjcrcn sLh podcrcs por una ~lutoridad de otro Estado miembro
La!-> autoridades Je control cooperar<in entre si en Ia medida necesaria para el cumplimiento de sus funcione~, en parti,_:ular mediante el intercamhio de informaci<)n que cstimcn tltil.
7. Los Estados miembros dispondr<in que los micmbros y agcntes de las autoridades de control estaran su]etos, incluso despues de haber cesado en sus funcioncs, al deher de secreto profesional sobre informaciones confi- dcncialcs a las qw~ hayan tenido acceso.
Articulo 2<J
Grupo de proteccion de las personas en lo que respecta al tratamiento de datos pcrsonalcs.
1. Se crea un grupo de proteccion de las personas L·n lo que respecta a! tratamiento de datos personales, en lo sucesivo denominddo << Grupo >>.
Dicho c;rupo tendra caracter consultivo e independtcntc.
2. Fl (~rupo estar~i compuesto por un representante de Ia autoricbd o de las autoridades de control designadas por cacb Estado miembro, por un rcpresentantc de Ia autori- dad o autoridadcs creadas por las instituciones y orgarm- 1110!-> comumtarios, y por un reprcsentante de Ia ( onll- ston.
Cada miembro del Grupo sera designado por Ia institu- ci6n, autoridad o autoridades a que represente. C:uando un Fstado miembro haya designado varias autoridadc!-> de control, estas nombraran a un representante comt'm. I.o mismo haran las autoridades crcadas por las institucione-. y organismos comunitarios.
.3. El Grupo tomara sus decisiones por mayoria simple de los representantes de las autoridades de control.
4. El Grupo elegira a su presidente. El mandat<> del presidente tendr<1 una duraci{m de dos aiios. El mandato ser<i renovable.
5. La Comision desempe£1ara las funciones de secretaria del Grupo.
6. Fl Grupo aprobara su reglamento interno.
7 El Grupo examinara los asuntos incluidos en el orden del dia por su prcsidcnte, bJen por iniciativa de este, bien pn·via solicitud de un reprcsentante de las autoridades de tontrol, bien a sDiicitud de Ia C:omisi{m.
Articulo 30
I. El Grupo tendra por comctido:
a) L'Studiar toda cuesti{m relativa a Ia aplicacion de las disposiciones nacionales tomadas para Ia aplicacion de Ia presente Dircctiva con vistas a contribuir a su <1plicaci6n homogenca;
h) cmitir un dictamen destinado a Ia C:omisi6n sohre cl nivel de protecci6n cxistente dcntro de Ia Comunidad ' en los paise-. terccrm;
c I asesorar a Ia Comisi{m sohre cualquier proyecto de modificacion de Ia prcscnte Directiva, cual4uier pro- ~Tcto de medidas adiciorules o e"pecificas que deban adoptarse para salvaguardar los derechos y libertades de las personas ffsicas en lo que respecta a! trata- miento de datos personales, asi como sobre cuall}uier otro proyecto de medidas comunitarias que afcctc a drchos derechos y libertade!->;
d I cmitir un dictamen sobre los d>digos de conducta elaborados a cscala comunitana.
2. Si cl Grupo comprobare Ia existencia de divergcncias entre Ia legislaci6n y Ia pr<ictica de los Estados miembros que pudieren afectar a Ia cquivalencia de Ia protecci6n de las personas en lo que se refttTl' a! tratamiento de datos pcr-.onales en Ia Comunidad, informarj de clio a Ia Comision.
3. Fl Grupo podra, por mi..:iativa propia, formular reco- mendaciones sobrc cualquin asunto relacionado con Ia proteccion de las personas en lo que respecta a! trata- miento de datos personalcs en Ia Comunidad.
4. Los dictamenes y recomendaciones del Grupo se transmitiran a Ia Comisi<in y ,1! ( omitc contemplado en el articulo 31.
S. La Comision informar<1 al Grupo del curso que haya dado a los dict<1menes y recornendaciones. A tal efecto, elaborara un informe, que scr<i transmitido asimismo al
23. 11. 95 Diario Oficial de las Comunidades Europeas No L 281/49
Parlamento Europeo y al Consejo. Dicho informe sera puhlicado.
respecta al tratamiento de datos personales en Ia Comu- nidad y en los paises terceros, y lo transmitira al Parla- mcnto Luropeo, al Consejo y a Ia Comision. Dicho informc ser;1 puhlicado.6. El Grupo elahorani un informe anual sohre Ia situa-
cion de Ia proteccion de las personas flsicas en lo que
CAPfTl ru) VII
MEDIDAS DE EJECUCIC)N COMUNITARIAS
Articulo ) 1
El Comite
1. La Comisi6n estara asistida por un Comit(; compuesto por representantes de lo-, Fstados miembros y presidido por cl representante de Ia Comision.
2. El representante de la Comision presentar;i al ComitL' un proyecto de las medidas que sc hayan de adoptar. El Comitc emitira su dictamen sobre dicho proyecto en un plazo que: cl prt"sidente podra determinar en funcion de Ia urgcncia de L1 cuesti6n de que sc tratt·.
El d~ctamcn ~;e emitira segLm Ia mayoria prcvista m cl apartado 2 del articulo 148 del Tratado. Lo.; votos de los representantes de los Estado-, miemhros en cl seno del Comite se ponderar~1n del modo establecido en el articulo anteriormente cirado. Fl prcsidente no tomara parte en Ia votaci(m.
La Comisi6n adoptara las medidas que seran de aplicaci('m 111mcdiata. Sin embargo, si dichas medidas no fueren conformes al dictamen del Comite, habr:in de ser comunicadas .-;in dcmora por Ia Comisi6n al ConseJo. En este caso:
Ia C:omis;6n aplazara Ia aplicacion de las medidas que ha decidido por un periodo de tn:s meses a partir de la fecha de dicha comunicaci(m;
cl C:onsejo, actuando por mayoria cualificada, podr<1 adoptar una decisi(m diferente dentro del plazo de tiempo mencionado en el primer guibn.
DISPOSICIONES FINALES
Articulo 32
1. Los Estados miembros adoptaran las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimicnto a lo establecido en Ia presente Dircc- tiva, a mas tardar al final de un periodo de tres afios a partir de su adopci<'m.
C:uando los Estados miembros adopten dichas disposicio- nes, estas haran referencia a Ia presente Directiva o ir<in acomp;u1adas de dicha rderencia en su publicaci()n ofi- cial. Los Estadm miembros establecer;in las modalidades de Ia mencionada refcrencia.
2. Los Estado~ miemhros velaran por que todo trata- miento ya iniciado en Ia fecha de entrada en vigor de las disposiciones de Derecho nacional adoptadas en virtud de Ia prescnte Directiva se ajuste a dichas disposiciones dentro de un plazo de tres afios a partir de dicha fecha.
No obstante lo dispuesto en el p<1rrafo primero, los Estado-, miembros pock1n establecer que el tratamiento de datos que ya se cncuentren incluidos en ficheros manualcs en Ia fecha de entrada en 'igor de las disposi- ciones nac10nales adoptadas en aplicaci<,H1 de Ia presentc Directiva, deha ajustarsc a lo dispuesto en los articulos 6, 7 y 8 en un plazo de docc at1os a partir de L1 adopcion de b mism,1. :\o obstante, los Estadm micmhros otorgaran al intncsado, previa solicitud y, en particular, en el ejercicio de -,u derecho de acceso, cl dcrecho a que se rectifiqucn, supriman o bloqueen lm datos mcompletos, mexactm o que hayan sido conscrvadm de forma incom- patible con los fines legitimos perseguido.., por d respon- sablc del tratamiento.
). No obstante lo dispuesto en cl apartado 2, los Esta- Llos micmhros podran disponer, con "ujeci<)n a las garan- tias aLkcuadas, que los datos con-,cn·ado-, Lmicamentc a
N° L 281/50 I=:KJ Diario Oficial de las Comunidades Europeas 23. 11. 95
efectos de investigacion historica no deban ajustarse a lo dispuesm en los articulos 6, 7 y 8 de la presente Dircctiva.
4. Los Estados miembros comunicar<in a Ia Comisi1:m cl texto de las disposiciones de Dcrccho interno que ~ldop ten en d ambito regulado por Ia prcsente Directiva.
Articulo 33
La Cornision presentara a! Conscjo y al Parlan1ento Europeo peri{)dicamentc y por primera vez en un pbzo de tres aiios a Jartir de la fecha mencionada en cl apartado 1 del articulo .32 un informe sobre Ia aplicaci6n de Ia presente Directiva, acompailado, en su caso. de las oportunas propucstas de modificaci6n. Dicho informe scr<1 publicado.
La Comision estu::liara, en particular, Ia aplicaci6n de Ia prescntt Directiva al tratamiento de datos que consistan
en sonidos e imagenes relativos a personas ffsicas y prcsentara las propuestas pertincntcs que puedan resultar ncccsarias en funci6n de los a vanccs de Ia tecnologfa de Ia informacion, y a Ia luz de los trahajos de la sociedad de Ia informacion.
Articulo 34
Los destinatarios de Ia presente Directiva seran los Esta- dos miembros.
I1echo en Luxemburgo, el 24 de octuhre de 1995.
Por el Parlamento Europcn
El Presidente
K. HA;'\JSCH
Por el Ccmsejo
El Presidcnte
L ATIENZA SERNA