Telecoms Package ePrivacy Parliament Second Reading/es

Paquete Telecom: Directiva relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (privacidad y las comunicaciones electrónicas 2002/58/CE) − Parlamento Europeo Segunda lectura − 2009-05-06

Artículo 1
''(40 bis) La Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) armoniza las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de los derechos y las libertades fundamentales y, en particular, del derecho a la intimidad y a la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad. Cuando se adopten medidas con arreglo a la Directiva 1999/5/CE o a la Decisión 87/95/CEE del Consejo, destinadas a garantizar que los equipos terminales estén fabricados de manera que protejan los datos personales y la intimidad, éstas deben respetar el principio de neutralidad tecnológica.''

Artículo 2
Artículo 2 − Definiciones

Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco).

Además, a efectos de la presente Directiva se entenderá por:

a) "usuario": una persona física que utiliza con fines privados o comerciales un servicio de comunicaciones electrónicas disponible para el público, sin que necesariamente se haya abonado a dicho servicio;

b) "datos de tráfico": cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma;

c) "datos de localización": cualquier dato tratado en una red de comunicaciones electrónicas o por un servicio de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público;

d) "comunicación": cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponible para el público. No se incluye en la presente definición la información conducida, como parte de un servicio de radiodifusión al público, a través de una red de comunicaciones electrónicas, excepto en la medida en que la información pueda relacionarse con el abonado o usuario identificable que reciba la información;

e) "consentimiento" de un usuario o abonado: el consentimiento del interesado, con arreglo a la definición de la Directiva 95/46/CE;

f) "servicio con valor añadido": todo servicio que requiere el tratamiento de datos de tráfico o datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la transmisión de una comunicación o su facturación;

g) "correo electrónico": todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo;

h) "violación de los datos personales": violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público en la Comunidad.

Artículo 3
(40 quáter) Es conveniente seguir de cerca la evolución relacionada con el uso de las direcciones IP, teniendo en cuenta el trabajo realizado ya, entre otros, por el Grupo de trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, y a la luz de las propuestas que resulten adecuadas.

''(44) El progreso tecnológico permite desarrollar nuevas aplicaciones basadas en dispositivos de recopilación de datos e identificación, que podrían ser dispositivos sin contacto que utilizan radiofrecuencias. Por ejemplo, los dispositivos de identificación por radiofrecuencia (RFID) emplean radiofrecuencias para capturar datos procedentes de etiquetas dotadas de una identificación única, pudiendo luego transferirse estos datos a través de las redes de comunicaciones existentes. El uso extendido de estas tecnologías puede reportar considerables beneficios económicos y sociales y contribuir así notablemente al mercado interior si este uso es aceptable para los ciudadanos. Para lograr este objetivo, es necesario velar por la protección de sus derechos fundamentales, incluido el derecho a la intimidad y a la protección de los datos. Cuando estos dispositivos están conectados a las redes públicas de comunicaciones electrónicas o utilizan servicios de comunicaciones electrónicas como infraestructura básica, deben aplicarse las disposiciones pertinentes de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas), incluidas las relativas a seguridad, datos de tráfico y de localización, y a la confidencialidad.''

Artículo 4
Artículo 4 − Seguridad del tratamiento

1. El proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con el proveedor de la red pública de comunicaciones por lo que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado al riesgo existente.

1 bis. Sin perjuicio de lo dispuesto en la Directiva 95/46/CE, las medidas a que se refiere el apartado 1, por lo menos:

- garantizarán que sólo el personal autorizado tenga acceso a los datos personales para fines autorizados legalmente;

- protegerán los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o difusión no autorizados o ilícitos; y

- aplicarán una política de seguridad con respecto al tratamiento de datos personales.

Las autoridades nacionales competentes podrán examinar las medidas adoptadas por los proveedores de servicios de comunicaciones electrónicas disponibles al público y podrán formular recomendaciones sobre las mejores prácticas con respecto al nivel de seguridad que debería conseguirse con estas medidas.

2. En caso de que exista un riesgo particular de violación de la seguridad de la red, el proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá informar a los abonados sobre dicho riesgo y, cuando el riesgo quede fuera del ámbito de las medidas que deberá tomar el proveedor del servicio, sobre las posibles soluciones, con una indicación de los posibles costes.

3. En caso de violación de los datos personales, el proveedor de los servicios de comunicaciones electrónicas disponibles al público notificará, sin dilaciones indebidas, dicha violación a la autoridad nacional competente.

Cuando la violación de los datos personales pueda afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el proveedor notificará también la violación al abonado o al particular sin dilaciones indebidas.

La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la autoridad nacional competente podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.

La notificación al abonado o al particular describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información, y recomendará medidas para atenuar los posibles efectos adversos de dicha violación. La notificación a la autoridad nacional competente describirá, además, las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.

''(47) Una violación de los datos personales puede causar, si no se toman medidas de manera rápida y adecuada, pérdidas económicas sustanciales y perjuicios sociales para el abonado o particular afectado, incluida la usurpación de la identidad. Por consiguiente, tan pronto como el proveedor de servicios de comunicaciones electrónicas disponibles al público se percate de que se ha producido una violación de la seguridad de este tipo, debe notificarla a la autoridad nacional competente. Los abonados o particulares cuyos datos e intimidad puedan verse afectados negativamente por dichas violaciones deben recibir notificación inmediata para que puedan adoptar las precauciones necesarias. Se debe considerar que una violación afecta negativamente a los datos y la intimidad del abonado o particular cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños materiales, humillación grave o daño para la reputación, en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público. La notificación debe incluir información sobre las medidas adoptadas por el proveedor para atajar la violación, así como recomendaciones para el abonado o particular afectado.''

4. Sin perjuicio de las medidas técnicas de ejecución adoptadas con arreglo al apartado 5, las autoridades nacionales competentes podrán adoptar directrices y, en caso necesario, dar instrucciones sobre las circunstancias en que se requiere que el proveedor notifique la violación de los datos personales, sobre el formato que debe adoptar dicha notificación y sobre la manera de llevarla a cabo. Podrán asimismo controlar si los proveedores han cumplido sus obligaciones de notificación con arreglo al presente apartado e imponer sanciones apropiadas en caso de incumplimiento.

Los proveedores llevarán un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a las autoridades nacionales verificar el cumplimiento de las disposiciones del apartado 3. El inventario sólo incluirá la información necesaria a tal efecto.

5. Para garantizar una aplicación coherente de las medidas mencionadas en los apartados 2, 3 y 4, la Comisión, previa consulta a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido de conformidad con el artículo 29 de la Directiva 95/46/CE y al Supervisor Europeo de Protección de Datos, adoptará las medidas técnicas de ejecución en relación con las circunstancias, la forma de presentación y los procedimientos aplicables a los requisitos de información y notificación a que se refiere el presente artículo. La Comisión velará por que participen todas las partes interesadas pertinentes, especialmente con fines informativos sobre las mejores soluciones técnicas y económicas disponibles para aplicar el presente artículo.

Estas medidas, destinadas a modificar elementos no esenciales de la presente Directiva, completándola, se adoptarán con arreglo al procedimiento de reglamentación con control contemplado en el artículo 14 bis, apartado 2.

''(45 bis) Las autoridades nacionales competentes deben promover los intereses de los ciudadanos de la Unión Europea, entre otras cosas contribuyendo a garantizar un nivel elevado de protección de los datos personales y de la intimidad. Con este fin, deben disponer de los medios necesarios para el ejercicio de sus funciones, incluidos datos completos y fidedignos sobre incidentes concretos de seguridad que hayan implicado un riesgo para los datos personales de los particulares. Deben supervisar las medidas adoptadas y difundir las mejores prácticas entre los proveedores de servicios de comunicaciones electrónicas disponibles al público. Los proveedores deben llevar por tanto un inventario de las violaciones de los datos personales que permita el análisis y la evaluación posteriores por parte de las autoridades nacionales competentes.''

''(45 ter) La legislación comunitaria impone obligaciones a los responsables del tratamiento de datos en materia de tratamiento de datos personales, incluida la obligación de aplicar medidas técnicas y organizativas de protección adecuadas contra, por ejemplo, la pérdida de datos. Los requisitos de notificación de las violaciones de datos recogidos en la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) proporcionan el marco necesario para que se notifique a las autoridades competentes y a los particulares los casos en que los datos personales hayan podido no obstante verse comprometidos. Dichos requisitos de notificación se limitan a violaciones de la seguridad que se den en el sector de las comunicaciones electrónicas. o obstante, la notificación de violaciones de la seguridad refleja un interés general de los ciudadanos por ser informados acerca de fallos en la seguridad que puedan implicar la pérdida de sus datos personales o algún otro riesgo para dichos datos, y acerca de las precauciones disponibles o aconsejables que pueden tomar para minimizar las posibles pérdidas económicas o el daño social resultantes de dichas violaciones. Este interés general de los usuarios por ser informados no se limita, obviamente, al sector de las comunicaciones electrónicas, por lo que deben introducirse a escala comunitaria y con carácter prioritario requisitos de notificación explícitos y obligatorios en todos los sectores. A la espera de una revisión por la Comisión de toda la legislación comunitaria en ese ámbito, la Comisión debe, en consulta con el Supervisor Europeo de Protección de Datos, adoptar inmediatamente las medidas adecuadas para fomentar la aplicación en toda la Comunidad de los principios contenidos en las normas sobre notificación de violaciones de datos de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas), independientemente del sector o del tipo de datos en cuestión.''

Artículo 5
Artículo 5 − Confidencialidad de las comunicaciones

1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.

2. El apartado 1 no se aplicará a las grabaciones legalmente autorizadas de comunicaciones y de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica comercial lícita con el fin de aportar pruebas de una transacción comercial o de cualquier otra comunicación comercial.

3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Artículo 6
Artículo 6 − Datos de tráfico

1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.

2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.

3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento previo. Los usuarios o abonados dispondrán de la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento.

4. El proveedor del servicio deberá informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la duración de este tratamiento a los efectos mencionados en el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados en el apartado 3.

5. Sólo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.

6. Los apartados 1, 2, 3 y 5 se aplicarán sin perjuicio de la posibilidad de que los organismos competentes sean informados de los datos de tráfico con arreglo a la legislación aplicable, con vistas a resolver litigios, en particular los relativos a la interconexión o a la facturación.

''(41) El tratamiento de los datos de tráfico en la medida estrictamente necesaria para asegurar la seguridad de las redes y de la información, es decir, la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y la seguridad de los servicios conexos que dichas redes y sistemas ofrecen o hacen accesibles, por parte de los proveedores de tecnologías y servicios de seguridad cuando actúen como responsables del tratamiento de los datos, queda sujeto al artículo 7, letra f, de la Directiva 95/46/CE. Esto puede, por ejemplo, incluir el evitar el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución de códigos maliciosos, y el poner fin a los ataques de «denegación de servicio» y los daños a los sistemas informáticos y de comunicación electrónica.''

Artículo 14
Artículo 14 − Características técnicas y normalización

1. Al aplicar las disposiciones de la presente Directiva, los Estados miembros velarán, sin perjuicio de los apartados 2 y 3, por que no se impongan requisitos obligatorios respecto de características técnicas específicas a los equipos terminales u otros equipos de comunicaciones electrónicas que puedan obstaculizar la puesta en el mercado de dichos equipos y su libre circulación en los Estados miembros y entre estos últimos.

2. Cuando las disposiciones de la presente Directiva sólo puedan aplicarse mediante la implantación de características técnicas específicas en las redes de comunicaciones electrónicas, los Estados miembros informarán a la Comisión de conformidad con el procedimiento establecido en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información.

3. Cuando proceda, se podrán adoptar medidas para garantizar que los equipos terminales estén fabricados de manera compatible con el derecho de los usuarios de proteger y controlar el uso de sus datos personales, de conformidad con la Directiva 1999/5/CE y la Decisión 87/95/CEE del Consejo, de 22 de diciembre de 1986, relativa a la normalización en el campo de la tecnología de la información y de las telecomunicaciones.

Artículo 15
Artículo 15 − Aplicación de determinadas disposiciones de la Directiva 95/46/CE

1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.

1 bis. El apartado 1 no se aplicará a los datos que deben conservarse específicamente de conformidad con la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, para los fines recogidos en el artículo 1, apartado 1, de dicha Directiva.

1 ter. Los proveedores instaurarán procedimientos internos para responder a las solicitudes de acceso a los datos personales de los usuarios con arreglo a las disposiciones nacionales promulgadas de conformidad con el apartado 1. Previa solicitud, facilitarán a las autoridades nacionales competentes información sobre esos procedimientos, el número de solicitudes recibidas, la razón jurídica aducida y la respuesta ofrecida por el proveedor.

2. Las disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma.

3. El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ejercerá también las funciones especificadas en el artículo 30 de dicha Directiva por lo que se refiere a los asuntos objeto de la presente Directiva, a saber, la protección de los derechos y las libertades fundamentales y de los intereses legítimos en el sector de las comunicaciones electrónicas.

Artículo 15a
Artículo 15 bis − Aplicación y cumplimiento

1. Los Estados miembros determinarán el régimen de sanciones aplicable, incluidas sanciones cuando proceda, en caso de incumplimiento de las disposiciones nacionales adoptadas en virtud de la presente Directiva y adoptarán todas las medidas necesarias para garantizar su aplicación. Las sanciones que se prevean serán efectivas, proporcionadas y disuasorias y podrán ser aplicadas para cubrir el período de cualquier infracción, aún cuando se haya corregido posteriormente esta infracción. Los Estados miembros notificarán dichas disposiciones a la Comisión, a más tardar, el ...(Fecha a que hace referencia el artículo 4, apartado 1.) y le comunicarán sin demora cualquier modificación ulterior de las mismas.

2. Sin perjuicio de los posibles procedimientos judiciales disponibles, los Estados miembros velarán por que la autoridad nacional competente y, cuando proceda, otros organismos nacionales, tengan potestad para solicitar el cese de las infracciones mencionadas en el apartado 1.

3. Los Estados miembros velarán por que las autoridades reguladoras nacionales y, cuando proceda, otros organismos nacionales, dispongan de las competencias y recursos necesarios en materia de investigación, incluida la facultad de obtener cualquier información pertinente que pudieran necesitar para supervisar y aplicar las disposiciones nacionales adoptadas de conformidad con la presente Directiva.

4. Las autoridades nacionales de reglamentación pertinentes adoptarán medidas con el fin de garantizar una cooperación transfronteriza efectiva en la aplicación de las disposiciones nacionales adoptadas de conformidad con la presente Directiva, y de crear condiciones armonizadas para la prestación de servicios que impliquen flujos de datos transfronterizos.

Las autoridades nacionales de reglamentación facilitarán a la Comisión, a su debido tiempo antes de adoptar tales medidas, un resumen de los motivos para la acción, las medidas previstas y la línea de acción propuesta. La Comisión, después de examinar esa información y de consultar a la Agencia Europea de Seguridad de las Redes y de la Información (E ISA) y al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido de conformidad con el artículo 29 de la Directiva 95/94/CE, formulará observaciones o recomendaciones al respecto, en particular para garantizar que las medidas no afecten negativamente al funcionamiento del mercado interior. Las autoridades nacionales de reglamentación tendrán muy en cuenta las observaciones o recomendaciones de la Comisión a la hora de decidir sobre las medidas.

(40 ter) A la hora de determinar las medidas de ejecución sobre la seguridad del tratamiento, de conformidad con el procedimiento de reglamentación con control, la Comisión debe consultar a todas las autoridades y organizaciones europeas pertinentes (la Agencia Europea de Seguridad de las Redes y de la Información), al Supervisor Europeo de Protección de Datos y al Grupo de trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos1), así como a todas las demás partes interesadas pertinentes, en particular con fines de información sobre los mejores métodos técnicos y económicos disponibles para mejorar la aplicación de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas).

''(54) La necesidad de garantizar un nivel adecuado de protección de la intimidad y de los datos personales transmitidos y tratados en relación con el uso de redes de comunicaciones electrónicas en la Comunidad exige competencias efectivas de ejecución con el fin de ofrecer incentivos adecuados para su cumplimiento. Las autoridades nacionales competentes y, cuando proceda, otros organismos nacionales pertinentes deben disponer de competencias y recursos suficientes para investigar de manera eficaz los casos de incumplimiento, incluyendo la posibilidad incluida la facultad de obtener cualquier información pertinente que pudiera ser necesaria, decidir sobre las denuncias e imponer sanciones en caso de incumplimiento.''

''(55) La aplicación y cumplimiento de las disposiciones de la presente Directiva requieren a menudo que cooperen entre sí las autoridades nacionales de reglamentación de dos o más Estados miembros, por ejemplo en la lucha contra el «spam» y los programas espía transfronterizos. A fin de garantizar en tales casos una cooperación rápida y armoniosa, las autoridades nacionales competentes, previo examen de la Comisión, deben definir procedimientos relativos, por ejemplo, a la cantidad y el formato de la información intercambiada entre autoridades, o a los plazos que deban respetarse. Dichos procedimientos permitirán también que se armonicen las obligaciones que de ellos se deriven para los agentes del mercado, contribuyendo a la creación de unas condiciones de igualdad en la Comunidad.''