Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos

Sección:Reglamento
Emisor:Parlamento Europeo y Consejo de la Unión Europea
RESUMEN

ES Diario Oficial de las Comunidades Europeas 12.1.2001 L 8/1 I (Actos cuya publicación es una condición para su aplicabilidad) REGLAMENTO (CE) No 45/2001 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 18 de diciembre de 2000 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea, y en particular su artículo 286, Vista la propuesta de la Comisión (1), Visto el dictamen del Comité Económico y Social (2), De conformidad con el procedimiento previsto en el artículo 251 del Tratado (3), Considerando lo siguiente: (1) El artículo 286 del Tratado requiere que se apliquen a las instituciones y organismos comunitarios los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de estos datos. (2) Un sistema completo de protección de datos personales no requiere únicamente establecer los derechos de las personas cuyos datos se tratan y las obligaciones de quienes tratan dichos datos personales, sino también unas sanciones apropiadas para los infractores y un organismo supervisor independiente. (3) El apartado 2 del artículo 286 del Tratado requiere que se establezca un organismo supervisor independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos comunitarios. (4) El apartado 2 del artículo 286 del Tratado requiere, por otro lado, la adopción, en su caso, de cualesquiera otras disposiciones pertinentes. (5) Es necesario un Reglamento que proporcione a las personas unos derechos protegidos jurídicamente, que especifique las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos comunitarios en materia de tratamiento de datos y por el que se cree una autoridad de control independiente responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos comunitarios. (6) Se ha consultado al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (4). (7) Las personas susceptibles de ser protegidas son aquéllas cuyos datos personales son tratados por las instituciones u organismos comunitarios en cualquier contexto, por ejemplo, porque estas personas estén empleadas por dichas instituciones u organismos. (8) Los principios de la protección de datos deben aplicarse a toda información relativa a una persona identificada o identificable; para determinar si una persona es identificable deben tenerse en cuenta todos los medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier otra persona para identificar a dicha persona. Los principios de la protección no deben aplicarse a los datos convertidos en anónimos de forma que la persona a quien se refieren ya no resulte identificable. (9) La Directiva 95/46/CE exige a los Estados miembros que garanticen la protección de los derechos y las libertades fundamentales de las personas físicas, en particular del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, con el fin de garantizar la libre circulación de datos personales en la Comunidad. (1) DO C 376 E de 28.12.1999, p. 24. (2) DO C 51 de 23.2.2000, p. 48. (3) Dictamen del Parlamento Europeo de 14 de noviembre de 2000 y Decisión del Consejo de 30 de noviembre de 2000. (4) DO L 281 de 23.11.1995, p. 31. ES Diario Oficial de las Comunidades Europeas 12.1.2001 L 8/2 (10) La Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (1), precisa y completa la Directiva 95/46/CE en lo que respecta al tratamiento de los datos personales en el sector de las telecomunicaciones. (11) Otras medidas comunitarias, adoptadas en particular en materia de asistencia mutua entre las administraciones nacionales y la Comisión, tienen también por objeto precisar y completar la Directiva 95/46/CE en los sectores de los que se ocupan. (12) Debe garantizarse en toda la Comunidad una aplicación coherente y homogénea de las normas de protección de los derechos y las libertades fundamentales de las personas en lo que respecta al tratamiento de los datos personales. (13) Se trata de garantizar tanto el respeto efectivo de las normas de protección de los derechos y las libertades fundamentales de las personas como la libre circulación de los datos personales entre los Estados miembros y las instituciones y organismos comunitarios, o entre las instituciones y los organismos comunitarios, en el ejercicio de sus competencias respectivas. (14) Con este fin, es preciso adoptar disposiciones vinculantes para las instituciones y los organismos comunitarios. Tales disposiciones deben aplicarse a todo tratamiento de datos personales efectuado por las instituciones y los organismos comunitarios en la medida en que dicho tratamiento se lleva a cabo para el ejercicio de actividades que pertenecen total o parcialmente al ámbito de aplicación del Derecho comunitario. (15) Cuando las instituciones y los organismos comunitarios efectúen dicho tratamiento para el ejercicio de actividades que no pertenezcan al ámbito de aplicación del presente Reglamento, y en especial de las previstas en los Títulos V y VI del Tratado de la Unión Europea, la protección de los derechos y las libertades fundamentales de las personas se garantizará respetando el artículo 6 del Tratado de la Unión Europea. El acceso a los documentos, incluidas las condiciones de acceso a los documentos que contengan datos personales, depende de las normas adoptadas sobre la base del artículo 255 del Tratado CE, cuyo ámbito de aplicación abarca los Títulos V y VI del Tratado de la Unión Europea. (16) Estas disposiciones no se aplicarán a los organismos establecidos fuera del marco comunitario, como tampoco el Supervisor Europeo de Protección de Datos será competente para supervisar el tratamiento de datos personales que efectúen dichos organismos. (17) La eficacia de la protección de las personas respecto al tratamiento de datos personales en la Unión requiere la coherencia de las normas y de los procedimientos aplicables en la materia a las actividades correspondientes a diferentes marcos jurídicos. La elaboración de principios fundamentales relativos a la protección de datos personales en el ámbito de la cooperación judicial en materia penal y en el de la cooperación policial y aduanera, y la creación de una secretaría para las autoridades de control comunes, establecidas en virtud del Convenio Europol, el Convenio relativo a la utilización de la tecnología de la información a efectos aduaneros y el Convenio de Schengen, constituyen a este respecto una primera etapa. (18) El presente Reglamento no afecta a los derechos y obligaciones de los Estados miembros con arreglo a las Directivas 95/46/CE y 97/66/CE. No pretende modificar los procedimientos y prácticas legalmente establecidos por los Estados miembros en materia de seguridad nacional, de defensa del orden público, así como de prevención, detección, investigación y represión de las infracciones penales respetando lo dispuesto en el Protocolo sobre los privilegios y las inmunidades de las Comunidades Europeas y en el Derecho internacional. (19) Las instituciones y organismos comunitarios se dirigen a las autoridades competentes de los Estados miembros cuando consideran que deben intervenirse comunicaciones en sus redes de telecomunicaciones, de conformidad con las disposiciones nacionales aplicables. (20) Las disposiciones aplicables a las instituciones y organismos comunitarios deben corresponder a las previstas para la armonización de las legislaciones nacionales o la aplicación de otras políticas comunitarias, sobre todo en materia de asistencia mutua; no obstante, puede ser necesario hacer precisiones y establecer disposiciones complementarias para garantizar la protección en el caso del tratamiento de datos personales efectuado por las instituciones y los organismos comunitarios. (21) Esta observación es aplicable tanto a los derechos de las personas cuyos datos se tratan como a las obligaciones de las instituciones y organismos comunitarios responsables del tratamiento, y a los poderes de que debe disponer la autoridad de control independiente encargada de velar por la correcta aplicación del presente Reglamento. (22) Procede que los derechos otorgados a la persona interesada y el ejercicio de los mismos no afecten a las obligaciones impuestas al responsable del tratamiento. (23) La autoridad de control independiente ejercerá sus misiones de control con arreglo al Tratado y respetando los derechos humanos y las libertades fundamentales. Llevará a cabo sus investigaciones respetando el Protocolo sobre los privilegios y las inmunidades y el Estatuto de los funcionarios de las Comunidades Europeas y al régimen aplicable a los otros agentes de estas Comunidades. (24) Deberán adoptarse las medidas técnicas necesarias para permitir el acceso a los registros de los tratamientos efectuados por los delegados de la protección de datos a través de la autoridad de control independiente. (1) DO L 24 de 30.1.1998, p. 1. ES Diario Oficial de las Comunidades Europeas 12.1.2001 L 8/3 (25) Las decisiones de la autoridad de control independiente relacionadas con excepciones, garantías, autorizaciones y condiciones relativas a los tratamientos de datos, según se definen en el presente Reglamento, serán publicadas en el informe de actividad. Con independencia de la publicación anual del informe de actividad, la autoridad de control independiente podrá publicar informes sobre temas específicos. (26) Determinados tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados estarán sujetos al control previo de la autoridad de control independiente. El dictamen emitido en el marco de dicho control previo, incluido el dictamen resultante de no haber respuesta en el plazo previsto, no impedirá que la autoridad de control independiente ejerza posteriormente sus competencias respecto al tratamiento en cuestión. (27) El tratamiento de datos personales efectuado a cargo de las instituciones y organismos comunitarios para la realización de las tareas de interés público incluye el tratamiento de datos personales necesarios para la gestión y el funcionamiento de dichas instituciones y organismos. (28) En algunos casos, procede establecer que el tratamiento de datos haya de ser autorizado por disposiciones comunitarias o actos de adaptación de disposiciones comunitarias. No obstante, con carácter transitorio, cuando dichas disposiciones no existan y a la espera de su adopción, el Supervisor Europeo de Protección de Datos podrá autorizar el tratamiento de dichos datos siempre y cuando se adopten las garantías adecuadas. A este respecto, tendrá en cuenta, entre otras cosas, las disposiciones adoptadas por los Estados miembros en casos similares. (29) Dichos casos se refieren al tratamiento de datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como el tratamiento de los datos relativos a la salud o a la vida sexual necesarios para respetar las obligaciones y los derechos del responsable del tratamiento en materia de Derecho laboral o por un motivo de interés público importante. Se refieren asimismo al tratamiento de los datos relativos a infracciones, condenas penales o medidas de seguridad, o incluso a la autorización para someter a la persona interesada a una decisión que surta efectos jurídicos en ella o que le afecte de manera significativa y que esté basada únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad. (30) Puede ser necesario supervisar las redes informáticas que funcionan bajo el control de las instituciones y organismos comunitarios para prevenir su uso no autorizado; el Supervisor Europeo de Protección de Datos debe determinar si esto es posible y en qué condiciones. (31) La responsabilidad que se derive del incumplimiento del presente Reglamento se regirá con arreglo al párrafo segundo del artículo 288 del Tratado. (32) En cada institución u organismo comunitario, uno o varios responsables de la protección de datos velarán por que se aplique lo dispuesto en el presente Reglamento y asesorarán a los responsables del tratamiento en el ejercicio de sus obligaciones. (33) De conformidad con su artículo 21, el Reglamento (CE) no 322/97 del Consejo, de 17 de febrero de 1997, sobre la estadística comunitaria (1), es de aplicación sin perjuicio de lo dispuesto en la Directiva 95/46/CE. (34) De conformidad con el apartado 8 de su artículo 8, el Reglamento (CE) no 2533/98 del Consejo, de 23 de noviembre de 1998, sobre la obtención de información estadística por el Banco Central Europeo (2), es de aplicación sin perjuicio de lo dispuesto en la Directiva 95/46/ CE. (35) De conformidad con el apartado 2 de su artículo 1, el Reglamento (Euratom, CEE) no 1588/90 del Consejo, de 11 de junio de 1990, relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico (3) no afectará a las disposiciones particulares, comunitarias o nacionales, relativas a la salvaguardia de otros secretos que no sean los estadísticos. (36) El presente Reglamento no pretende limitar el margen de maniobra de los Estados miembros en la elaboración de su derecho nacional en materia de protección de datos adoptado en virtud del artículo 32 de la Directiva 95/ 46/CE, de conformidad con el artículo 249 del Tratado. HAN ADOPTADO EL PRESENTE REGLAMENTO: CAPÍTULO I DISPOSICIONES GENERALES Artículo 1 Objeto del Reglamento 1. Las instituciones y los organismos creados por los Tratados constitutivos de las Comunidades Europeas o en virtud de dichos Tratados, en lo sucesivo denominados «instituciones y organismos (1) DO L 52 de 22.2.1997, p. 1. (2) DO L 318 de 27.11.1998, p. 8. (3) DO L 151 de 15.6.1990, p. 1. Reglamento modificado por el Reglamento (CE) no 322/97 (DO L 52 de 22.2.1997, p. 1). ES Diario Oficial de las Comunidades Europeas 12.1.2001 L 8/4 comunitarios», garantizarán, de conformidad con el presente Reglamento, la protección de los derechos y las libertades fundamentales de las personas físicas, y en particular su derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, y no limitarán ni prohibirán la libre circulación de datos personales entre ellos o entre ellos y destinatarios sujetos al Derecho nacional de los Estados miembros adoptado en aplicación de la Directiva 95/46/CE. 2. La autoridad de control independiente establecida por el presente Reglamento, en lo sucesivo denominada «Supervisor Europeo de Protección de Datos», supervisará la aplicación de las disposiciones del presente Reglamento a todas las operaciones de tratamiento realizadas por las instituciones y organismos comunitarios. Artículo 2 Definiciones A efectos del presente Reglamento, se entenderá por: a) «datos personales»: toda... (ver resumen completo)


EXTRACTO GRATUITO
Ver página siguiente