Telecoms Package ePrivacy ITRE Opinion/es

Paquete Telecom: Directiva relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (privacidad y las comunicaciones electrónicas 2002/58/CE) − Comisión de Industria, Investigación y Energía Opinión − 2008-07-07

Artículo 2
Artículo 2 − Definiciones

Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (DO L 108 de 24.4.2002, p. 33.).

Además, a efectos de la presente Directiva se entenderá por:

a) "usuario": una persona física que utiliza con fines privados o comerciales un servicio de comunicaciones electrónicas disponible para el público, sin que necesariamente se haya abonado a dicho servicio;

b) "datos de tráfico": cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma;

c) "datos de localización": cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público;

d) "comunicación": cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponible para el público. No se incluye en la presente definición la información conducida, como parte de un servicio de radiodifusión al público, a través de una red de comunicaciones electrónicas, excepto en la medida en que la información pueda relacionarse con el abonado o usuario identificable que reciba la información;

e) "llamada": una conexión establecida por medio de un servicio telefónico disponible para el público que permita la comunicación bidireccional;

f) "consentimiento" de un usuario o abonado: el consentimiento del interesado, con arreglo a la definición de la Directiva 95/46/CE;

g) "servicio con valor añadido": todo servicio que requiere el tratamiento de datos de tráfico o datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la transmisión de una comunicación o su facturación;

h) "correo electrónico": todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo.

Artículo 3
''(28) Los progresos tecnológicos permiten desarrollar nuevas aplicaciones basadas en dispositivos de recopilación de datos e identificación, que pueden ser dispositivos sin contacto que utilizan radiofrecuencias. Por ejemplo, los dispositivos de identificación por radiofrecuencia (RFID) usan las radiofrecuencias para capturar datos procedentes de etiquetas con una identificación única, y estos datos pueden luego transferirse a través de las redes de comunicaciones existentes. El uso extendido de estas tecnologías puede reportar considerables beneficios económicos y sociales y contribuir así notablemente al mercado interior si este uso es aceptable para los ciudadanos. Para ello, es necesario velar por la protección de sus derechos fundamentales, en particular el derecho a la intimidad y a la protección de los datos. Cuando estos dispositivos están conectados a las redes públicas de comunicaciones electrónicas o utilizan servicios de comunicaciones electrónicas como infraestructura básica, deben aplicarse las disposiciones pertinentes de la Directiva 2002/58/CE, incluidas las relativas a seguridad, datos de tráfico y de localización, y a la confidencialidad.''

Artículo 4
Artículo 4 − Seguridad del tratamiento

1. El proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con el proveedor de la red pública de comunicaciones por lo que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado al riesgo existente.

2. En caso de que exista un riesgo particular de violación de la seguridad de la red, el proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá informar a los abonados sobre dicho riesgo y, cuando el riesgo quede fuera del ámbito de las medidas que deberá tomar el proveedor del servicio, sobre las posibles soluciones, con una indicación de los posibles costes.

3. En caso de grave violación de la seguridad por el proveedor de los servicios de comunicaciones electrónicas disponibles al público que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de servicios de comunicaciones disponibles al público en la Comunidad, el proveedor de los servicios de comunicaciones electrónicas disponibles al público notificará dicha violación a la autoridad nacional de reglamentación sin dilaciones indebidas. La notificación describirá la naturaleza de la violación y sus consecuencias y recomendará medidas para atenuar sus posibles efectos negativos. La autoridad nacional de reglamentación determinará si el prestador de servicios de comunicaciones electrónicas debe informar al abonado de que se trate de esta violación. Cuando los datos se hayan hecho inutilizables por medios técnicos o de procedimiento, hasta el punto de eliminar o reducir sustancialmente el riesgo de pérdida, no se considerará que la violación de la seguridad de los datos ha causado un perjuicio significativo al usuario final. Por ello, la autoridad nacional de reglamentación debe poder decidir no solicitar la notificación por el prestador del servicio. Los medios técnicos y de procedimiento para inutilizar los datos deberá aprobarlos la autoridad nacional de reglamentación. Para garantizar un enfoque coherente a nivel comunitario, la Comisión, previa consulta a [xxx], podrá adoptar las medidas de coordinación adecuadas.

Si procede, la autoridad nacional de reglamentación afectada informará de la violación a las autoridades nacionales de reglamentación de otros Estados miembros y a [xxx]. En los casos en que la revelación de la violación sea de interés público, la autoridad nacional de reglamentación podrá informar al público.

Cada tres meses, la autoridad nacional de reglamentación presentará a la Comisión un informe resumido sobre las notificaciones recibidas y las medidas adoptadas de conformidad con este apartado.

''(29) Una violación de la seguridad que implique la pérdida de datos personales de un usuario o un riesgo para dichos datos puede causar, si no se toman medidas de manera rápida y adecuada, pérdidas económicas sustanciales y un perjuicio social, incluida la usurpación de la identidad. Por consiguiente, estos graves incidentes de seguridad deben notificarse inmediatamente a los abonados afectados para que puedan adoptar las precauciones necesarias, siempre que las autoridades nacionales de reglamentación lo consideren necesario previa notificación por el proveedor del servicio. Cuando los datos personales sean inutilizables, las autoridades nacionales de reglamentación deben poder decidir no solicitar la notificación por parte del prestador del servicio. Una notificación en estas circunstancias debe incluir información sobre las medidas que ha tomado el proveedor en relación con la violación, así como recomendaciones para los usuarios afectados, adecuadas para cada caso individual.''

4. Para garantizar una aplicación coherente de las medidas mencionadas en los apartados 1, 2 y 3, la Comisión, previa consulta a [xxx] y al Supervisor Europeo de Protección de Datos, podrá adoptar medidas técnicas de ejecución, en particular en relación con las circunstancias, el formato y los procedimientos aplicables a los requisitos de información y notificación a que se refiere el presente artículo.

Estas medidas, destinadas a modificar elementos no esenciales de la presente Directiva, completándola, se adoptarán con arreglo al procedimiento de reglamentación con control contemplado en el apartado 2 del artículo 37.

Artículo 5
Artículo 5 − Confidencialidad de las comunicaciones

1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.

2. El apartado 1 no se aplicará a las grabaciones legalmente autorizadas de comunicaciones y de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica comercial lícita con el fin de aportar pruebas de una transacción comercial o de cualquier otra comunicación comercial.

3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario a condición de que dicho abonado o usuario haya dado previamente su consentimiento sobre la base de información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE, y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento. La presente disposición no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado. Se recabará el consentimiento previo del abonado independientemente de su conformidad con las disposiciones generales.

Artículo 6
Artículo 6 − Datos de tráfico

1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.

2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.

3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento previo. Los usuarios o abonados recibirán información clara y completa sobre la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento. Los procedimientos para retirar el consentimiento serán sencillos y fácilmente comprensibles.

4. El proveedor del servicio deberá informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la duración de este tratamiento a los efectos mencionados en el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados en el apartado 3.

5. Sólo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.

6. Los apartados 1, 2, 3 y 5 se aplicarán sin perjuicio de la posibilidad de que los organismos competentes sean informados de los datos de tráfico con arreglo a la legislación aplicable, con vistas a resolver litigios, en particular los relativos a la interconexión o a la facturación.

Artículo 14
Artículo 14 − Características técnicas y normalización

1. Al aplicar las disposiciones de la presente Directiva, los Estados miembros velarán, sin perjuicio de los apartados 2 y 3, por que no se impongan requisitos obligatorios respecto de características técnicas específicas a los equipos terminales u otros equipos de comunicaciones electrónicas que puedan obstaculizar la puesta en el mercado de dichos equipos y su libre circulación en los Estados miembros y entre estos últimos.

2. Cuando las disposiciones de la presente Directiva sólo puedan aplicarse mediante la implantación de características técnicas específicas en las redes de comunicaciones electrónicas, los Estados miembros informarán a la Comisión de conformidad con el procedimiento establecido en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información (DO L 204 de 21.7.1998, p. 37; Directiva modificada por la Directiva 98/48/CE (DO L 217 de 5.8.1998, p. 18).).

3. Cuando proceda, se podrán adoptar medidas para garantizar que los equipos terminales estén fabricados de manera compatible con el derecho de los usuarios de proteger y controlar el uso de sus datos personales, de conformidad con la Directiva 1999/5/CE y la Decisión 87/95/CEE del Consejo, de 22 de diciembre de 1986, relativa a la normalización en el campo de la tecnología de la información y de las telecomunicaciones (DO L 36 de 7.2.1987, p. 31; Decisión cuya última modificación la constituye el Acta de adhesión de 1994.).

Artículo 15
Artículo 15 − Aplicación de determinadas disposiciones de la Directiva 95/46/CE

1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.

2. Las disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma.

3. El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ejercerá también las funciones especificadas en el artículo 30 de dicha Directiva por lo que se refiere a los asuntos objeto de la presente Directiva, a saber, la protección de los derechos y las libertades fundamentales y de los intereses legítimos en el sector de las comunicaciones electrónicas.

Artículo 15a
Artículo 15 bis − Aplicación y cumplimiento

1. Los Estados miembros establecerán las normas relativas a las sanciones aplicables a las infracciones de las disposiciones nacionales adoptadas de conformidad con la presente Directiva y tomarán todas las medidas necesarias para garantizar su cumplimiento. Las sanciones previstas deberán ser eficaces, proporcionadas y disuasorias. Los Estados miembros notificarán dichas disposiciones a la Comisión, a más tardar,  y le comunicarán sin demora cualquier modificación ulterior de las mismas.

2. Sin perjuicio de los posibles recursos judiciales existentes, los Estados miembros velarán por que la autoridad nacional de reglamentación tenga potestad para solicitar el cese de las infracciones mencionadas en el apartado 1.

3. Los Estados miembros velarán por que las autoridades nacionales de reglamentación dispongan de todas las competencias y recursos necesarios en materia de investigación, incluida la posibilidad de obtener cualquier información pertinente que pudieran necesitar para supervisar y garantizar el cumplimiento de las disposiciones nacionales adoptadas de conformidad con la presente Directiva.

4. Con el fin de garantizar una cooperación transfronteriza efectiva en la aplicación de las disposiciones de Derecho interno adoptadas de conformidad con la presente Directiva y de crear condiciones armonizadas para la prestación de servicios que impliquen flujos de datos transfronterizos, la Comisión podrá adoptar medidas técnicas de ejecución, previa consulta a la Autoridad y a los reguladores pertinentes.

Las medidas destinadas a modificar elementos no esenciales de la presente Directiva, completándola, se adoptarán con arreglo al procedimiento de reglamentación con control contemplado en el apartado 2 del artículo 14 bis. Por imperiosas razones de urgencia, la Comisión podrá recurrir al procedimiento de urgencia contemplado en el apartado 3 del artículo 14 bis.

''(36) La necesidad de garantizar un nivel idóneo de protección de la intimidad y de los datos personales transmitidos y tratados en relación con el uso de redes de comunicaciones electrónicas en la Comunidad exige competencias efectivas de ejecución con el fin de ofrecer incentivos adecuados para el cumplimiento. Las autoridades nacionales de reglamentación deben disponer de competencias y recursos suficientes para investigar de manera eficaz los casos de incumplimiento, incluida la posibilidad de obtener cualquier información pertinente que pudiera ser necesaria, decidir sobre las denuncias e imponer sanciones en caso de incumplimiento.''

Artículo 18
Artículo 18 − Revisión

La Comisión presentará al Parlamento Europeo y al Consejo, a más tardar tres años después de la fecha contemplada en el apartado 1 del artículo 17, un informe sobre la aplicación de la presente Directiva y su impacto en los operadores económicos y los consumidores, con especial atención a las disposiciones sobre comunicaciones no solicitadas y teniendo en cuenta la situación internacional. Para ello, la Comisión podrá recabar información de los Estados miembros, quienes deberán facilitarla sin retrasos indebidos. Cuando proceda, la Comisión presentará propuestas para modificar la presente Directiva teniendo en cuenta los resultados del informe mencionado, los cambios que hayan podido tener lugar en el sector y cualquier otra propuesta que juzgue necesaria para mejorar la eficacia de la presente Directiva.