Aviso jurídico  | Sobre este sitio  | Mapa del sitio  |   | Dirección de contacto
Tu Europa 2=Ignorar barra lingüística (tecla de acceso=2)
Comisión Europea > Tu Europa  > Ciudadanos > Servicios para los ciudadanos: Guías europeas generales > Protección de datos

Información europea y nacional



A todos los usuarios

Estamos preparando una nueva versión de nuestro portal para facilitar la búsqueda de información a quienes deseen ejercer sus derechos en la UE. Por ello, es posible que el contenido de estas páginas ya no esté al día. Si desean informarse sobre sus derechos, les aconsejamos que durante esta fase de transición dirijan sus preguntas a Europe Direct.

Protección de datos (Unión Europea)

Unión Europea

Guías europeas generales


Comienzo

Introducción

Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.

- Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales

La información relativa a las personas, denominada «datos personales», se recopila y se utiliza en muchos ámbitos de la vida cotidiana. Una persona física facilita datos personales cuando, por ejemplo, rellena un formulario para obtener un carnet de biblioteca, se apunta a un gimnasio, abre una cuenta corriente, etc. Los datos personales pueden proceder directamente del interesado o de un fichero existente. Posteriormente, estos datos pueden utilizarse para otros fines o comunicarse a terceros. Los datos personales pueden ser cualquier dato que permita identificar a una persona física, como un nombre, número de teléfono o fotografía.

Los avances de la informática, junto con las nuevas redes de telecomunicaciones, permiten la transferencia transnacional de datos personales con mayor comodidad. A consecuencia de esto, los datos relativos a los ciudadanos de un Estado miembro a veces son tratados en otro Estado miembro de la UE. Por lo tanto, al aumentar la recopilación e intercambio de datos personales, se hace necesaria una norma sobre transferencia de datos.

En este contexto, las leyes nacionales sobre protección de datos exigían prácticas adecuadas en materia de gestión de datos por parte de las entidades que los tratan, denominadas «responsables del tratamiento». Una de estas prácticas era la obligación de tratar los datos correctamente y de forma segura, y de emplear los datos personales con fines explícitos y legítimos. Las leyes nacionales también garantizaban una serie de derechos para las personas físicas, tales como el derecho a ser informado de cuándo y por qué se había realizado el tratamiento de datos personales, el derecho a acceder a los datos y, en caso necesario, el derecho a modificar o suprimir los datos.

Si bien las leyes nacionales sobre protección de datos buscaban garantizar los mismos derechos, existían algunas diferencias. Tales diferencias podían suponer obstáculos para la libre circulación de información y una carga adicional para los operadores económicos y los ciudadanos, como, la necesidad de registrarse o ser autorizado a tratar datos por las autoridades de control en varios Estados miembros, la necesidad de ajustarse a distintas normas y la posibilidad de verse limitado para transferir datos a otros Estados miembros de la UE. Por añadidura, algunos Estados miembros no tenían leyes sobre protección de datos.

Por estos motivos, era necesaria una acción a escala europea, que tomó la forma de directivas comunitarias.

Comienzo

La legislación europea sobre la protección de datos 

Con objeto de allanar los obstáculos a la libre circulación de datos, sin mermar la protección de los datos personales, se formuló la Directiva 95/46/CE (Directiva sobre protección de datos), para armonizar las disposiciones nacionales en este ámbito.

Como resultado, los datos personales de todos los ciudadanos contarán con una protección equivalente en toda la Unión. Se pidió a los quince Estados miembros de la UE que ajustaran sus legislaciones nacionales a las disposiciones de la Directiva antes del 24 de octubre de 1998.

Una directiva es una norma legislativa europea destinada a los Estados miembros. Una vez adoptada a escala europea, cada Estado miembro debe garantizar su aplicación efectiva en su sistema jurídico. La directiva dispone el resultado final. La forma y los métodos de aplicación corren a cargo de cada Estado miembro. En principio, una directiva entra en vigor mediante las medidas nacionales de aplicación (legislación nacional). No obstante, cabe la posibilidad de que, aunque un Estado miembro no haya aplicado una directiva, parte de lo dispuesto en ella pueda tener efectos directos. Esto significa que si una directiva confiere derechos directos a las personas físicas, éstas podrán alegar ante un juez tal directiva sin tener que esperar a su aplicación en la legislación nacional. Además, si las personas físicas opinan que se han visto perjudicadas por una incorrecta aplicación de la directiva por parte de las autoridades nacionales, tendrán derecho a denunciarlas por daños y perjuicios. Esto sólo podrá hacerse ante tribunales nacionales.

La Directiva sobre protección de datos se aplica a «cualquier operación o conjunto de operaciones (...) aplicadas a datos personales», denominadas «tratamiento» de datos. Estas operaciones incluyen la recopilación de datos personales, su almacenamiento, su transmisión, etc. La Directiva se aplica a los datos procesados por medios automatizados (por ejemplo, una base de datos en ordenador de clientes) y a los datos que son parte o intentan ser parte de «sistemas de archivo» a los que se tiene acceso según criterios específicos. Por ejemplo, los ficheros tradicionales en papel, tales como un fichero de tarjetas con detalles sobre los clientes ordenadas alfabéticamente por nombres.

La Directiva sobre protección de datos no se aplica a los datos tratados en el ejercicio de actividades exclusivamente personales o domésticas (por ejemplo, una agenda personal electrónica o un fichero con datos sobre la familia y los amigos). Tampoco se aplica a ámbitos tales como la seguridad pública, la defensa o el Derecho penal, que no están comprendidos en el ámbito de aplicación del Derecho comunitario y mantienen un carácter nacional. La legislación nacional suele amparar a las personas físicas en estos ámbitos.

Además, existe otra directiva, la Directiva 2002/58/CE, que se ocupa específicamente de la protección de la intimidad en el sector de las comunicaciones electrónicas. Esta Directiva incluye disposiciones sobre seguridad de las redes y los servicios, confidencialidad de las comunicaciones, acceso a la información almacenada en equipos terminales, tratamiento de los datos de tráfico y localización, identificación de la línea de origen, guías públicas de abonados y comunicaciones comerciales no solicitadas. Esta Directiva dispone que los Estados miembros deberán garantizar la confidencialidad de la comunicación mediante normas nacionales. Esto significa que se considerará ilegal cualquier escucha, grabación, almacenamiento u otro tipo de interceptación o vigilancia de las comunicaciones. Cuando se ofrezca la posibilidad de presentar la identificación de la línea de origen, el usuario deberá tener la posibilidad de no abonarse a este servicio o no desvelar su identidad al realizar una llamada. A la inversa, los abonados a este servicio deberán tener la posibilidad de rechazar las llamadas entrantes procedentes de personas que hayan suprimido la presentación de la identificación de la línea de origen. Además, la Directiva dispone que cuando existan guías impresas o electrónicas, las personas tendrán derecho a no figurar en éstas de forma, en principio, gratuita.

Comienzo

¿Quiénes somos los interesados? 

Lo somos todos.

A la hora de reservar un vuelo, buscar trabajo, utilizar una tarjeta de crédito o navegar por internet, estamos comunicando algunos datos personales.

Comienzo

Normas que deben seguir los responsables del tratamiento de datos 

Comienzo

¿Quién puede ser responsable del tratamiento? 

Los responsables del tratamiento son las personas u organismos «que determinan los fines y los medios del tratamiento», tanto del sector público como del privado. Un médico es, por lo general, el responsable del tratamiento de los datos correspondientes a sus pacientes; una empresa será la responsable del tratamiento de los datos correspondientes a sus clientes y trabajadores; una entidad deportiva será la responsable del tratamiento de los datos de sus socios y una biblioteca pública lo será del tratamiento de los datos de sus usuarios.

Los responsables del tratamiento han de observar varios principios. Estos no sólo buscan proteger a los interesados, sino que son también una declaración de buenas prácticas comerciales que contribuyen a un tratamiento de datos fidedigno y eficaz.

Cada responsable del tratamiento deberá asumir las normas del tratamiento de datos del Estado miembro en que se encuentre, incluso si los datos tratados pertenecen a una persona física residente en otro Estado miembro. Cuando el responsable del tratamiento no esté establecido en la Comunidad (por ejemplo, una empresa extranjera), deberá cumplir con la normativa del Estado miembro o los Estados miembros si el equipo de tratamiento (por ejemplo, un centro de tratamiento de datos) se encuentra dentro de la Comunidad Europea.

Comienzo

Dichas normas son las siguientes:

  • Los datos deben tratarse de manera leal y lícita.
  • Deben recopilarse con fines explícitos y legítimos y emplearse en consecuencia.
  • Los datos deberán ser pertinentes y no excesivos con relación a los fines para los que se traten.
  • Los datos deberán ser exactos y, cuando sea necesario, estar actualizados.
  • Los responsables del tratamiento deberán proporcionar a los interesados medidas razonables cada vez que quieran rectificar o suprimir los datos incorrectos sobre su persona.
  • Los datos que permitan la identificación de los interesados no se mantendrán durante un periodo superior al necesario.
  • La Directiva determina para que los Estados miembros designarán una o varias autoridades de control vigilen su aplicación. Una de las responsabilidades de la autoridad de control será la de mantener un registro público actualizado que permita acceder de forma generalizada a los nombres de todos los responsables del tratamiento y a las características de éste.
  • En principio, todos los responsables del tratamiento de datos han de notificar a las autoridades de control si están tratando datos. Los Estados miembros podrán simplificar o eximir del procedimiento de notificación determinados tipos de tratamiento que no entrañen riesgos especiales. La excepción y la simplificación también podrán concederse cuando, de conformidad con la norma nacional, el responsable del tratamiento haya nombrado un encargado de protección de datos independiente.
  • Los Estados miembros podrán solicitar controles previos, que deberá realizar la autoridad de control antes de que se inicien tratamientos que puedan suponer riesgos específicos. Los Estados miembros definirán estos tratamientos.
Comienzo

¿En qué casos pueden tratarse datos personales? 

El tratamiento de datos personales sólo podrá efectuarse (es decir, recogerse y emplearse posteriormente) si:

  • El interesado ha dado su consentimiento de forma inequívoca, es decir, si ha aceptado libre y específicamente tras haber sido informado adecuadamente.
  • El tratamiento de datos es necesario para la ejecución de un contrato o la celebración del mismo a petición del interesado como, por ejemplo, el tratamiento de datos para redactar una factura o el tratamiento de datos relativos al solicitante de un puesto de trabajo o de un préstamo.
  • El tratamiento es una obligación jurídica.
  • El tratamiento de datos es necesario para proteger el interés vital del interesado. Tenemos un ejemplo cuando se produce un accidente de circulación y el interesado está inconsciente. En tal caso los socorristas podrán efectuar análisis de sangre si se considera fundamental para salvar la vida del interesado.
  • El tratamiento es necesario para cumplir una misión de interés público o inherente al ejercicio del poder público (gobierno, autoridades fiscales, policía, etc.).
  • Finalmente, los datos pueden tratarse para satisfacer el interés legítimo del responsable del tratamiento o de un tercero. No obstante, este interés no prevalecerá sobre el interés de proteger los derechos fundamentales del interesado, especialmente el derecho a la intimidad. Esta disposición establece la necesidad de lograr un equilibrio razonable, en la práctica, entre los intereses comerciales de los responsables del tratamiento y la intimidad de los interesados. La primera evaluación de este equilibrio corresponde a los responsables del tratamiento, bajo la supervisión de las autoridades de control, si bien, en caso de reclamación, los tribunales tendrán la última palabra.
Comienzo

Datos sensibles 

Se aplican normas muy estrictas al tratamiento de datos sensibles: los referentes al origen racial o étnico, ideología, creencias religiosas o filosóficas, afiliación sindical, salud o vida sexual. En principio, estos datos no podrán tratarse y se tolerarán excepciones en circunstancias muy concretas. Entre estas, figuran el consentimiento explícito del interesado a tratar datos sensibles, el tratamiento obligatorio de datos debido a la normativa laboral, en casos en los que el interesado no pueda dar su consentimiento (por ejemplo, análisis de sangre de la víctima de un accidente de circulación), tratamientos de datos anunciados públicamente o el tratamiento de datos sobre afiliados por parte de sindicatos, partidos políticos o iglesias. Los Estados miembros podrán disponer excepciones adicionales para determinados casos como, por ejemplo, la protección de intereses públicos vitales.

Comienzo

¿Se aplica la Directiva a la transferencia de datos por medio de Internet? 

Sería bastante ilógico y carecería de justificación jurídica excluir una herramienta de transferencia tan importante como Internet del ámbito de aplicación de la Directiva sobre protección de datos. Por el contrario, el vertiginoso aumento del volumen y la naturaleza múltiple de los datos personales transferidos mediante Internet por todo el mundo, incluso a países que carecen de la protección adecuada, requiere especial atención. La Directiva sobre protección de datos es, por lo tanto, tecnológicamente neutral: lo dispuesto en ella se aplicará, con independencia de los medios tecnológicos empleados en el tratamiento de datos personales, siempre que el responsable del tratamiento esté establecido en el territorio de un Estado miembro de la UE o emplee equipos (por ejemplo, un ordenador) situados en la UE. A título de muestra, la Directiva se aplica a la recogida invisible de datos personales de Internet (por ejemplo: los «cookies» que se emplean para rastrear los hábitos personales de navegación en Internet). Por otro lado, si los datos personales se recogen de forma «visible», cabría objetar que una persona física que transfiere sus propios datos consiente tal transferencia, a condición de que esté suficientemente informada sobre los riesgos que esto implica

P. Una persona física recibe constantemente correos electrónicos no solicitados. ¿Cómo se puede evitar esto, dado que los correos electrónicos proceden de diversas fuentes?

R. La persona física tiene derecho a oponerse gratuitamente al tratamiento de sus datos con fines de venta directa. Además, la persona física podrá solicitar a su proveedor de servicios de Internet que instale filtros de correo o podrá ponerse en contacto con una de las asociaciones dedicadas a evitar los correos electrónicos no solicitados (CAUCE, Privacy International, etc.). También existen otros servicios para ayudar a las personas físicas a evitar los correos electrónicos no solicitados, tales como www.spamfree.org. Si persiste el problema, la persona podrá escribir a su autoridad de control nacional.

Comienzo

Derechos del interesado 

El interesado tiene derecho a ser informado sobre cualquier tratamiento de sus datos.

Los responsables del tratamiento deberán informar al interesado cuando recopilen datos personales que le afecten, a menos que ya se le haya informado previamente. El interesado tendrá derecho a ser informado de: la identidad del responsable, la finalidad del tratamiento y cualquier información relativa a los receptores de los datos y los derechos específicos a los que los interesados tienen derecho. El interesado tiene derecho a recibir esta información con independencia de que los datos se hubieran obtenido directamente, o de forma indirecta mediante terceros. Podrá permitirse una excepción en este último caso si resulta imposible o extremadamente difícil proporcionar esta información.

El interesado tiene derecho a acceder a los datos sobre su persona.

Podrá acudir a cualquier responsable del tratamiento para saber si está tratando o no datos personales que le afecten. El interesado también tendrá derecho a recibir una copia de los datos de forma inteligible y a recibir cualquier información disponible sobre sus fuentes. Si los datos personales son inexactos o se han tratado ilegalmente, tendrá derecho a pedir su corrección o supresión. En este caso, el interesado también podrá solicitar al responsable del tratamiento que lo notifique a los terceros que hubieran recibido previamente los datos incorrectos, a menos que esto sea imposible. En determinados casos, se podrá solicitar el pago de una suma razonable para acceder a los datos.

El interesado también tiene derecho a conocer la lógica que subyace al tratamiento automatizado de sus datos.

Determinadas decisiones que afectan significativamente al interesado, tales como la de conceder un préstamo o suscribir un seguro, pueden tomarse sobre la única base de un tratamiento de datos automatizado. Por consiguiente, el responsable del tratamiento deberá adoptar precauciones adecuadas, tales como brindar al interesado la oportunidad de discutir la lógica que subyace a los datos recogidos o denunciar las decisiones basadas en datos incorrectos

Comienzo

Excepciones y limitaciones 

El derecho a la intimidad a veces puede entrar en conflicto con la libertad de expresión y, en particular, con la libertad de prensa y de otros medios de comunicación. Por consiguiente, incumbe a los Estados miembros establecer excepciones en sus normas de protección de datos con objeto de lograr un equilibrio entre estos derechos distintos, pero igualmente fundamentales.

La legislación nacional podrá contemplar otras excepciones a las disposiciones de la Directiva (entre estas figuran la obligación de informar al interesado, la publicación de las operaciones de tratamiento de datos o la obligación de respetar los principios básicos y unas prácticas adecuadas en materia de gestión de datos). Éstas sólo se permitirán si son necesarias por motivos de seguridad nacional, defensa, investigación de delitos, aplicación del Derecho penal o para proteger a los interesados o los derechos y libertades de los demás. Además, podrá concederse una excepción al derecho a acceder a aquellos datos tratados por motivos científicos o estadísticos.

Comienzo

¿Qué puede hacer el interesado en caso de violación de sus derechos? 

En primer lugar, si sospecha que se han violado los derechos, el interesado debe ponerse en contacto con la persona supuestamente responsable para averiguar quién es el responsable del tratamiento de los datos. Si no obtiene un resultado satisfactorio con este procedimiento, puede acudir a su autoridad de protección de datos nacional. De conformidad con la Directiva, cada Estado miembro dispondrá de una o más autoridades públicas para garantizar la aplicación correcta de la ley sobre protección de datos. Esta autoridad, que suele denominarse autoridad de control, es competente para recibir denuncias presentadas por cualquier persona física o empresa. La autoridad de control debe investigar la denuncia y puede suspender temporalmente el tratamiento. Si la autoridad de control concluye que se ha violado la ley de protección de datos, podrá ordenar la supresión o destrucción de los datos o prohibir el tratamiento.

P. Un proveedor de telecomunicaciones ha proporcionado información sobre su cuenta de teléfono o de correo electrónico a otra empresa. Por este motivo, usted recibe llamadas o correos electrónicos no solicitados. ¿Qué puede hacer?

R. Si los datos personales se recopilaron únicamente para redactar la factura y usted no dio su consentimiento para una transferencia posterior de sus datos, tendrá derecho a objetar la transferencia de sus datos a un tercero. El primer paso sería escribir a su proveedor, exponiendo claramente su denuncia. En caso de no recibir una respuesta satisfactoria, debería ponerse en contacto con la autoridad de control nacional.

P. Se le deniega un préstamo por la existencia de inexactitudes en un fichero bancario. Solicita a su banco acceder a los datos con objeto de conocer la información registrada en el ordenador del banco sobre su expediente de crédito. No obstante, el banco no atiende su solicitud. Ha realizado infructuosamente varias llamadas telefónicas al banco sobre este tema. ¿Qué debe hacer a continuación?

R. La Directiva dispone que usted tiene derecho a obtener acceso «sin retrasos excesivos» a cualquier dato personal que le afecte. Si los datos son inexactos, tendrá derecho a rectificarlos. Por consiguiente, si no recibe respuesta del banco en un plazo razonable, podrá quejarse directamente ante la autoridad de control nacional. De conformidad con la Directiva, la autoridad de control nacional deberá investigar la denuncia e informar al denunciante sobre el resultado final.

Al ponerse en contacto con la autoridad de control, deberá describir el problema (preferiblemente por escrito) con los suficientes pormenores. En algunos Estados miembros, la autoridad de control ha normalizado formularios que han de cumplimentarse para presentar una denuncia. En caso de existir, conviene emplear estos formularios, puesto que acelerarán la tramitación de su caso y recibirá una respuesta más rápida. En algunos Estados miembros, pueden presentarse denuncias por medio del correo electrónico. En otros, aún no es posible.

Si no obtiene un resultado satisfactorio, tendrá que acudir a los tribunales. En tal caso, convendría asesorarse jurídicamente. La denuncia ante los tribunales también podrá ser necesaria en caso de daños derivados de la violación de sus derechos. Puede tener derecho a una compensación.

P. Su empleador ha comunicado su expediente médico a su banco sin recabar su consentimiento. Dicho expediente contenía información cuyo contenido podría explicar el rechazo de su banco a concederle un crédito hipotecario. ¿Tiene derecho a una compensación?

R. Usted tiene derecho a una compensación si ha sufrido daños derivados de la comunicación ilegal de sus datos personales. Esto puede producirse si se han comunicado sus datos médicos sin su consentimiento.

Cualquier persona física o empresa podrá presentar una denuncia ante la Comisión sobre un supuesto incumplimiento del Derecho comunitario por parte de un Estado miembro.

La Comisión Europea es la encargada de garantizar la correcta aplicación del Derecho comunitario en los Estados miembros. En caso necesario, la Comisión recuerda a los Estados miembros sus responsabilidades a la hora de aplicar el Derecho comunitario en los plazos oportunos y ejecutarlo correctamente. En algunas ocasiones, si el Estado miembro incumple estas obligaciones, la Comisión podrá incoar un procedimiento ante el Tribunal de Justicia de las Comunidades Europeas, que determinará si se ha infringido o no el Derecho comunitario.

No tendrá que demostrar que se ha visto afectado directamente por el incumplimiento denunciado.

No obstante, los contenciosos entre particulares no son competencia de la Comisión en este contexto.

Las denuncias son gratuitas y pueden formularse sin asistencia jurídica. Recuerde incluir la información y documentación pertinentes (por ejemplo, las normas nacionales pertinentes) al presentar su denuncia.

Puede presentar su denuncia ante la Comisión escribiendo a la siguiente dirección:

Comienzo

Transferencias de datos a terceros países  

En caso de transferencias de datos a países que no son miembros de la Unión Europea, podría ser necesario adoptar precauciones especiales si el nivel de protección de datos del país en cuestión no es compatible con el Derecho comunitario. En caso contrario, los altos niveles de protección de datos que establece la Directiva se verían rápidamente socavados, habida cuenta de la facilidad con que pueden circular los datos en las redes internacionales.

El principio de la Directiva es que los datos personales sólo pueden transferirse a los terceros países que garanticen un nivel «adecuado» de protección. Se están analizando las leyes de protección de datos de los principales socios comerciales de la UE, dialogándose con los mismos con objeto de decidir qué países puede considerarse que ofrecen una protección adecuada.

En aquellos países donde esto no ocurra, la Directiva exige el bloqueo de determinadas transferencias. Los Estados miembros deben informar a la Comisión sobre cualquier medida de bloqueo de este tipo, iniciándose un procedimiento comunitario para garantizar que cualquier decisión de un Estado miembro de bloquear una transferencia en particular bien se extienda al conjunto de la UE, o bien se anule.

Comienzo

¿Qué pueden hacer las empresas de terceros países? 

El bloqueo de transferencias de datos personales es una solución extrema. Existen otras maneras de garantizar una adecuada protección de los datos sin entorpecer los flujos internacionales de datos y las transacciones comerciales a los que estos van asociados. Si las empresas de la UE dudan acerca de la protección que pueda ofrecer la legislación o los sistemas autorreguladores de un tercer país, sería prudente que se dotaran ellas mismas de esa protección. Esto podría lograrse mediante un contrato entre la empresa que envía los datos y la empresa del tercer país que los recibe. El objeto de este contrato sería facilitar garantías adecuadas relativas a la protección de la vida privada y a los derechos y libertades fundamentales de las personas físicas, así como al ejercicio de sus respectivos derechos. Por lo tanto, un Estado miembro de la UE no debería tener ningún motivo para bloquear cualquier transferencia de datos sobre sus ciudadanos.

 

Última actualización: 2005

La Comisión Europea o cualquier persona que actúe en su nombre declinan toda responsabilidad en el uso que se pueda hacer de la información contenida en el presente documento.

Se autoriza la reproducción siempre que se indique la fuente.

Comienzo

Guías europeas generales

Sobre este sitio  | Mapa del sitio  Dirección de contacto  | Arriba