Estndares Internacionales

sobre Proteccin de Datos Personales

y Privacidad

Resolucin de Madrid

presentacin

Es para m un placer presentar la Propuesta Conjunta para la Re-daccin de Estndares Internacionales para la proteccin de laPrivacidad, en relacin con el Tratamiento de Datos de carcterpersonal, acogida favorablemente por la 31 Conferencia Inter-nacional de Autoridades de Proteccin de Datos y Privacidad ce-lebrada el 5 de noviembre de 2009 en Madrid.

La labor conjunta de los garantes de la privacidad de casi cincuentapases, bajo coordinacin de la Agencia Espaola de Proteccin deDatos, ha desembocado en un texto que trata de plasmar los ml-tiples enfoques que admite la proteccin de este derecho, inte-grando legislaciones de los cinco continentes. Su carcterconsensuado aporta dos valores aadidos esencialmente novedo-sos: de un lado, enfatiza la vocacin universal de los principios ygarantas que configuran este derecho; del otro, reafirma la facti-bilidad de avanzar hacia un documento internacionalmente vin-culante, que contribuya a una mayor proteccin de los derechos ylibertades individuales en un mundo globalizado, y por ello, ca-racterizado por las transferencias internacionales de informacin..

Desde este momento, las autoridades de supervisin y control dela privacidad asumimos la exigente tarea de difusin y promo-cin desde nuestro firme compromiso de garantizar a nuestrosciudadanos una mejor proteccin de la privacidad y de los datosde carcter personal.

ARTEMI RALLO LOMBARTE DIRECTOR DE LA AGENCIA

ESPAOLA DE PROTECCIN DE DATOS

Propuesta Conjunta para la Redaccin de

Estndares Internacionalespara la Proteccin de la Pri-

vacidad en relacin con eltratamiento de Datos de Carcter Personal

Para una mayor informacin sobre el desarrollo de los trabajos preparatorios de estedocumento, puede visitarse la pgina web de la Agencia Espaola de Proteccin deDatos, www.agpd.es, donde puede encontrarse un Memorndum explicativo y otradocumentacin de inters.

Parte I: Disposiciones

Generales

21ObjetoEl objeto del presente Documento es:

a. Definir un conjunto de principios y derechosque garanticen la efectiva y uniforme proteccinde la privacidad a nivel internacional, en relacincon el tratamiento de datos de carcter personal;y

b. Facilitar los flujos internacionales de datos decarcter personal, necesarios en un mundo glo-balizado.

DefinicionesEn el contexto del presente Documento, seentender por:

a. Dato de carcter personal: cualquier infor-macin concerniente a una persona fsica identi-ficada o que pueda ser identificada a travs demedios que puedan ser razonablemente utiliza-dos.

b. Tratamiento: cualquier operacin o conjuntode operaciones, sean o no automatizadas, que seaplique a datos de carcter personal, en especialsu recogida, conservacin, utilizacin, revelacino supresin.

c. Interesado: persona fsica cuyos datos de ca-rcter personal sean objeto de tratamiento.

d. Persona responsable: persona fsica o jur-dica, de naturaleza pblica o privada que, sola oen compaa de otros, decida sobre el trata-miento.

e. Prestador de servicios de tratamiento: per-sona fsica o jurdica, distinta de la persona res-ponsable, que lleve a cabo un tratamiento dedatos de carcter personal por cuenta de dichapersona responsable.

3 4

5

Medidas adicionales1. Los Estados podrn completar el nivel de pro-teccin definido en el presente Documento conotras medidas adicionales que garanticen unamejor proteccin de la privacidad en relacin conel tratamiento de datos de carcter personal.

2. Las disposiciones del presente Documentoconstituirn base apropiada para permitir lastransferencias internacionales de datos de ca-rcter personal, cuando stas se realicen segnlo indicado en el apartado 15 del presente Do-cumento.

mbito de aplicacin1. El presente Documento est dirigido a su apli-cacin a todo tratamiento de datos de carcterpersonal, total o parcialmente automatizado, orealizado de forma estructurada en caso contra-rio, llevado a cabo tanto por el sector pblicocomo por el privado.

2. La legislacin nacional aplicable podr esta-blecer que las disposiciones del presente Docu-mento no sean de aplicacin al tratamiento dedatos de carcter personal realizado por una per-sona fsica en el ejercicio de actividades relacio-nadas exclusivamente con su vida privada yfamiliar. Excepciones

Los Estados podrn limitar el alcance de las dis-posiciones recogidas en los apartados 7 a 10 y 16a 18 del presente Documento cuando sea nece-sario, en una sociedad democrtica, para preser-var la seguridad nacional, la seguridad pblica, laproteccin de la salud pblica, o la proteccin delos derechos y las libertades de los dems. Tales li-mitaciones debern estar expresamente previstaspor el derecho interno, de tal modo que se esta-blezcan sus lmites y se prevean las garantas ade-cuadas para preservar los derechos de losinteresados.

Parte II: Principios bsicos

6Principio de lealtady legalidad1. Los tratamientos de datos de carcter perso-nal se debern realizar de manera leal, respe-tando la legislacin nacional aplicable y losderechos y libertades de las personas, de confor-midad con lo previsto en el presente Documentoy con los fines y principios de la Declaracin Uni-versal de Derechos Humanos y del Pacto Interna-cional de Derechos Civiles y Polticos.

2. En particular, se considerarn desleales aque-llos tratamientos de datos de carcter personalque den lugar a una discriminacin injusta o ar-bitraria contra los interesados.

7Principio de finalidad1. El tratamiento de datos de carcter personaldeber limitarse al cumplimiento de las finalida-des determinadas, explcitas y legtimas de la per-sona responsable.

2. La persona responsable se abstendr de llevara cabo tratamientos no compatibles con las fina-lidades para las que hubiese recabado los datosde carcter personal, a menos que cuente con elconsentimiento inequvoco del interesado.

8Principio de proporcionalidad1. El tratamiento de datos de carcter personaldeber circunscribirse a aqullos que resultenadecuados, relevantes y no excesivos en rela-cin con las finalidades previstas en el apartadoanterior.

2. En particular, la persona responsable deberrealizar esfuerzos razonables para limitar losdatos de carcter personal tratados al mnimonecesario.

9Principio de calidad1. La persona responsable deber asegurar entodo momento que los datos de carcter per-sonal sean exactos, as como que se manten-gan tan completos y actualizados como seanecesario para el cumplimiento de las finalida-des para las que sean tratados.

2. La persona responsable deber limitar el pe-riodo de conservacin de los datos de carcterpersonal tratados al mnimo necesario. De estemodo, cuando los datos de carcter personalhayan dejado de ser necesarios para el cumpli-miento de las finalidades que legitimaron sutratamiento debern ser cancelados o converti-dos en annimos.

10Principio de Transparencia1. Toda persona responsable deber contar conpolticas transparentes en lo que a los tratamien-tos de datos de carcter personal que realice serefiere.

2. La persona responsable deber facilitar a los in-teresados, al menos, informacin acerca de suidentidad, de la finalidad para la que pretende re-alizar el tratamiento, de los destinatarios a los queprev ceder los datos de carcter personal y delmodo en que los interesados podrn ejercer losderechos previstos en el presente Documento, ascomo cualquier otra informacin necesaria paragarantizar el tratamiento leal de dichos datos decarcter personal.

3. Cuando los datos de carcter personal hayansido obtenidos directamente del interesado, la in-formacin deber ser facilitada en el momentode la recogida, salvo que se hubiera facilitado conanterioridad.

4. Cuando los datos de carcter personal nohayan sido obtenidos directamente del intere-sado, la informacin deber ser facilitada en unplazo prudencial de tiempo, si bien podr susti-tuirse por medidas alternativas cuando su cum-plimiento resulte imposible o exija un esfuerzodesproporcionado a la persona responsable.

5. Cualquier informacin que se proporcione alinteresado deber facilitarse de forma inteligible,empleando para ello un lenguaje claro y sencillo,y ello en especial en aquellos tratamientos dirigi-dos especficamente a menores de edad.

6. Cuando los datos de carcter personal seanrecogidos en lnea a travs de redes de comuni-caciones electrnicas, las obligaciones estableci-das en el presente apartado podrn satisfacersemediante la publicacin de polticas de privacidadfcilmente accesibles e identificables, que inclu-yan todos los extremos anteriormente previstos.

11Principio de ResponsabilidadLa persona responsable deber:

a. adoptar las medidas necesarias para cumplircon los principios y obligaciones establecidosen el presente Documento y en la legislacinnacional aplicable, y

b. dotarse de aquellos mecanismos necesariospara evidenciar dicho cumplimiento, tantoante los interesados como ante las autorida-des de supervisin en el ejercicio de sus com-petencias, conforme a lo establecido en elapartado 23.

Parte III: Legitimacin para

el tratamiento

12Principio general delegitimacin1. Como regla general, los datos de carcter per-sonal slo podrn ser tratados cuando concurraalguno de los siguientes supuestos:

a. Previa obtencin del consentimiento libre, in-equvoco e informado del interesado.

b. Cuando un inters legtimo de la persona res-ponsable justifique el tratamiento, siempre ycuando no prevalezcan los intereses legtimos,derechos o libertades de los interesados;

c. Cuando el tratamiento sea preciso para elmantenimiento o cumplimiento de una rela-cin jurdica entre la persona responsable y elinteresado;

d. Cuando el tratamiento sea necesario para elcumplimiento de una obligacin impuestasobre la persona responsable por la legislacinnacional aplicable, o sea llevado a cabo poruna Administracin Pblica que as lo precisepara el legtimo ejercicio de sus competencias;

e. Cuando concurran situaciones excepcionalesque pongan en peligro la vida, la salud o la se-guridad del interesado o de otra persona.

2. La persona responsable deber habilitar pro-cedimientos sencillos, giles y eficaces que per-mitan a los interesados revocar su consentimientoen cualquier momento, y que no impliquen de-moras o costes indebidos, ni ingreso alguno parala persona responsable.

13Datos sensibles1. Sern considerados sensibles aquellos datosde carcter personal:

a. Que afecten a la esfera ms ntima del intere-sado; o

b. Cuya utilizacin indebida pueda:i. Dar origen a una discriminacin ilegal o ar-bitraria, oii Conllevar un riesgo grave para el interesado.

2. En particular, sern considerados sensiblesaquellos datos de carcter personal que puedanrevelar aspectos como el origen racial o tnico, lasopiniones polticas o las convicciones religiosas ofilosficas; as como los datos relativos a la saludo a la sexualidad. La legislacin nacional aplicablepodr establecer otras categoras de datos sensi-bles en caso de que concurran las circunstancias alas que se refiere el prrafo anterior.

3. La legislacin nacional aplicable deber esta-blecer las garantas necesarias para preservar losderechos de los interesados, que debern fijarcondiciones adicionales para el tratamiento dedatos de carcter personal considerados sensibles.

14Prestacin de serviciosde tratamientoLa persona responsable podr realizar tratamien-tos de datos de carcter personal a travs de unoo varios prestadores de servicios de tratamiento,debiendo para ello:

a. Velar por que cada prestador de servicios detratamiento garantice, al menos, el nivel deproteccin previsto en el presente Documentoy en la legislacin nacional aplicable; y

b. Articular la relacin jurdica a travs de un con-trato u otro instrumento jurdico que permitaacreditar su existencia, alcance y contenido, yque establezca el compromiso del prestadorde servicios de tratamiento de cumplir conestas garantas y de asegurar que los datos decarcter personal sean tratados siguiendo lasinstrucciones de la persona responsable.

15TransferenciasInternacionales1. Como regla general, podrn realizarse trans-ferencias internacionales de datos de carcter per-sonal cuando el Estado al que se transfierandichos datos ofrezca, cuando menos, el nivel deproteccin previsto en el presente Documento.

2. Ser posible realizar transferencias internacio-nales de datos de carcter personal a Estados queno ofrezcan el nivel de proteccin previsto en elpresente Documento, cuando quien pretendatransferir dichos datos garantice que el destina-tario ofrecer dicho nivel de proteccin; dicha ga-ranta podr derivarse, por ejemplo, de clusulascontractuales apropiadas. En particular, cuandola transferencia se lleve a cabo en el seno de or-ganizaciones o de grupos multinacionales, dichagaranta podrn consistir en la existencia de nor-mas internas de privacidad cuya observancia re-sulte vinculante.

3. Asimismo, cuando sea necesario en el marcode una relacin contractual en beneficio del inte-resado, o para proteger un inters vital del inte-resado o de otra persona, o para el cumplimiento

de una obligacin legal para la salvaguarda de unimportante inters pblico, la legislacin nacio-nal aplicable a quien pretenda transferir datos decarcter personal podr permitir la transferenciainternacional de datos de carcter personal a Es-tados que no ofrezcan el nivel de proteccin pre-visto en el presente Documento.

4. La legislacin nacional aplicable podr atribuira las autoridades de supervisin previstas en elapartado 23 la facultad de autorizar, con carcterprevio a su realizacin, todas o algunas de lastransferencias internacionales de datos de carc-ter personal originadas en su jurisdiccin. En todocaso, quien pretenda realizar una transferenciainternacional de datos de carcter personal de-ber poder acreditar que la transferencia cumplelas garantas establecidas en el presente Docu-mento, y en particular cuando as le fuera reque-rido por las autoridades de supervisin encumplimiento de las facultades previstas en elapartado 23.2.

Parte IV: Derechos

del interesado

16Derecho de Acceso1. El interesado tendr derecho a recabar de lapersona responsable, cuando as lo solicite, infor-macin relativa a los concretos datos de carcterpersonal objeto de tratamiento, as como al ori-gen de dichos datos, a las finalidades de los co-rrespondientes tratamientos y a los destinatarioso las categoras de destinatarios a quienes se co-muniquen o pretendan comunicar dichos datos.

2. Cualquier informacin que se proporcione alinteresado deber facilitarse de forma inteligible,empleando para ello un lenguaje claro y sencillo.

3. La legislacin nacional aplicable podr limitarel ejercicio reiterado de estos derechos, que obli-gara a la persona responsable a responder ml-tiples solicitudes en intervalos cortos de tiempo,excepto en aquellos casos en los que el interesadohaga constar en su solicitud un inters legtimo.

17Derecho de Rectificacin y cancelacin1. El interesado tendr derecho a solicitar a la per-sona responsable la rectificacin o cancelacin delos datos de carcter personal que pudieran re-sultar incompletos, inexactos, innecesarios o excesivos.

2. Cuando proceda, la persona responsable recti-ficar o cancelar los datos de carcter personalconforme a lo solicitado. Deber, adems, notifi-car este extremo a los terceros a quienes se hayancomunicado los datos de carcter personal, siem-pre que los mismos fueran conocidos.

3. La cancelacin no proceder cuando los datosde carcter personal deban ser conservados parael cumplimiento de una obligacin impuestasobre la persona responsable por la legislacinnacional aplicable o, en su caso, por las relacio-nes contractuales entre la persona responsable yel interesado.

18Derecho de oposicin 1. El interesado podr oponerse al tratamiento desus datos de carcter personal cuando concurrauna razn legtima derivada de su concreta situa-cin personal.

2. No proceder el ejercicio de este derecho deoposicin en aquellos casos en los que el trata-miento sea necesario para el cumplimiento deuna obligacin impuesta sobre la persona res-ponsable por la legislacin nacional aplicable.

3. Cualquier interesado podr oponerse, igual-mente, a aquellas decisiones que conlleven efec-tos jurdicos basadas nicamente en untratamiento automatizado de datos de carcterpersonal, excepto cuando la decisin hubiese sidoexpresamente solicitada por el interesado o seaprecisa para el establecimiento, mantenimiento ocumplimiento de una relacin jurdica entre lapersona responsable y el propio interesado. Eneste ltimo caso, el interesado debe tener la po-sibilidad de hacer valer su punto de vista, a fin dedefender su derecho o inters.

19Ejercicio de estosderechos 1. Los derechos previstos en los apartados 16 a18 del presente Documento podrn ser ejercidos:

a. Directamente por el interesado, que deberacreditar adecuadamente su identidad ante lapersona responsable.

b. Por medio de representante, que deber acre-ditar adecuadamente tal condicin ante la per-sona responsable.

2. La persona responsable deber implementarprocedimientos que permitan a los interesadosejercer los derechos previstos en los apartados 16a 18 del presente documento de forma sencilla,gil y eficaz, y que no conlleven demoras o costesindebidos, ni ingreso alguno para la persona res-ponsable.

3. Cuando la persona responsable aprecie que,de acuerdo con la legislacin nacional aplicable,no procede el ejercicio de los derechos previstosen la presente Parte, informar cumplidamente alinteresado de los motivos que concurran en suapreciacin.

Parte V: Seguridad

20Derecho de oposicin 1. Tanto la persona responsable como los pres-tadores de servicios de tratamiento debern pro-teger los datos de carcter personal que sometana tratamiento mediante aquellas medidas tcni-cas y organizativas que resulten idneas en cadamomento para garantizar su integridad, confi-dencialidad y disponibilidad. Tales medidasdepen- dern del riesgo existente, de sus posiblesconsecuencias para los interesados, del carcterespecialmente sensible de los datos de carcterpersonal, del estado de la tcnica y del contextoen el que se efecte el tratamiento, as como delas obligaciones establecidas en la legislacin na-cional aplicable.

2. Los interesados debern ser informados porparte de quienes intervengan en cualquier fase deltratamiento de cualquier infraccin de seguridadque pudiese afectar de forma significativa a susderechos patrimoniales o extrapatrimoniales, ascomo de las medidas adoptadas para su resolu-cin. Esta informacin deber ser facilitada conantelacin suficiente, para permitir la reaccin delos interesados en defensa de sus derechos.

21Deber de confidencialidadLa persona responsable y quienes intervenganen cualquier fase del tratamiento de los datosde carcter personal debern respetar la confi-dencialidad de los mismos, obligacin que sub-sistir aun despus de finalizar sus relacionescon el interesado o, en su caso, con la personaresponsable.

Parte VI: Cumplimiento y Supervisin

22Medidas proactivas Los Estados incentivarn, a travs de su derechointerno, el establecimiento por quienes interven-gan en cualquier fase del tratamiento de medidasque promuevan el mejor cumplimiento de la le-gislacin que resulte aplicable en materia de pro-teccin de datos. Entre dichas medidas podrnencontrarse, entre otras:

a. El establecimiento de procedimientos destina-dos a prevenir y detectar infracciones, que po-drn basarse en modelos estandarizados degobierno y/o gestin de la seguridad de la in-formacin.

b. La designacin, de uno o varios oficiales deprivacidad o de proteccin de datos, con cua-lificacin, recursos y competencias suficientespara ejercer adecuadamente sus funciones desupervisin.

c. La realizacin peridica de programas de con-cienciacin, educacin y formacin entre losmiembros de la organizacin destinados almejor conocimiento de la legislacin que re-sulte aplicable en materia de proteccin de laprivacidad en relacin con el tratamiento de

datos de carcter personal, as como de losprocedimientos establecidos por la organiza-cin a tal efecto.

d. La realizacin peridica de auditoras transpa-rentes por parte de sujetos cualificados y pre-ferentemente independientes, que verifiquenel cumplimiento de la legislacin que resulteaplicable en materia de proteccin de la priva-cidad en relacin con el tratamiento de datosde carcter personal, as como de los procedi-mientos establecidos por la organizacin a talefecto.

e. La adaptacin de aquellos sistemas y/o tecnolo-gas de informacin destinados al tratamientode datos de carcter personal a la legislacinque resulte aplicable en materia de proteccinde la privacidad en relacin con el tratamientode datos de carcter personal, en particular aldecidir acerca de sus especificaciones tcnicas yen su desarrollo e implementacin.

f. La puesta en prctica de estudios de impactosobre la privacidad previos a la implementa-cin de nuevos sistemas y/o tecnologas de

informacin destinados al tratamiento dedatos de carcter personal, as como a lapuesta en prctica de nuevas modalidades detratamiento de datos de carcter personal o ala realizacin de modificaciones sustancialesen tratamientos ya existentes.

g. La adhesin a acuerdos de autorregulacincuya observancia resulte vinculante, que con-tengan elementos que permitan medir sus ni-veles de eficacia en cuanto al cumplimiento ygrado de proteccin de los datos de carcterpersonal, y establezcan medidas efectivas encaso de incumplimiento.

h. La implementacin de planes de contingenciasque establezca unas pautas de actuacin encaso de que se verifique un incumplimiento dela legislacin que resulte aplicable en materiade proteccin de la privacidad en relacin conel tratamiento de datos de carcter personal, yque incluya al menos la obligacin de deter-minar la causa y alcance de la vulneracin quese haya producido, de describir sus efectos ne-gativos y de adoptar las medidas necesariaspara evitar que se reproduzca en el futuro.

23Supervisin 1. En cada Estado existirn una o ms o autori-dades de supervisin que, de acuerdo con su de-recho interno, sern responsables de supervisar laobservancia de los principios establecidos en elpresente Documento.

2. Dichas autoridades de supervisin debern serimparciales e independientes, y contarn con lacualificacin tcnica, las competencias suficientesy los recursos adecuados para conocer de las re-clamaciones que le sean dirigidas por los intere-sados, y para realizar las investigaciones eintervenciones que resulten necesarias para ga-rantizar el cumplimiento de la legislacin nacionalaplicable en materia de proteccin de la privaci-dad en relacin con el tratamiento de datos decarcter personal.

3. En todo caso, y sin perjuicio de los recursosadministrativos ante las citadas autoridades desupervisin, incluyendo el control jurisdiccional desus decisiones, el interesado podr acudir direc-tamente a la va jurisdiccional para hacer valer susderechos conforme a las previsiones establecidasen la legislacin nacional aplicable.

24Cooperacin y coordinacin 1. Las autoridades de supervisin previstas en elapartado anterior procurarn cooperar entre s enaras a una ms uniforme proteccin de la priva-cidad en relacin con el tratamiento de datos decarcter personal, tanto a nivel nacional como in-ternacional. A los efectos de facilitar esta coope-racin, los Estados debern estar en disposicinen todo momento de identificar las autoridadesde supervisin competentes en su territorio.

2. Dichas autoridades realizarn, particularmente,los mayores esfuerzos para:

a. Compartir estudios, tcnicas de investigacin,estrategias comunicativas y de regulacin ydems informacin que resulte de utilidadpara el ms eficaz ejercicio de sus funciones,en especial tras recibir una peticin de apoyopor parte de otra autoridad de supervisin enel marco de una investigacin o intervencin;

b. Realizar investigaciones o intervenciones coor-dinadas, tanto a nivel nacional como interna-cional, en asuntos en los que concurra el intersde dos o ms autoridades de supervisin;

c. Participar en asociaciones, grupos de trabajo yforos conjuntos, as como en seminarios, ta-lleres o cursos que contribuyan a adoptar pos-turas comunes o a mejorar la cualificacintcnica del personal que preste sus servicios adichas autoridades de supervisin;

d. Mantener los niveles apropiados de confiden-cialidad con respecto a la informacin inter-cambiada en el curso de esta cooperacin.

2 Los Estados impulsarn la creacin de conve-nios de colaboracin entre autoridades de super-visin, tanto regionales como nacionales ointernacionales, que contribuyan a una ms efi-caz observancia del presente apartado.

3. La responsabilidad prevista en los prrafos an-teriores existir sin perjuicio de las sanciones pe-nales, civiles o administrativas previstas, en sucaso, por violacin de la legislacin nacional apli-cable en materia de proteccin de la privacidaden relacin con el tratamiento de datos de carc-ter personal.

4. La adopcin de medidas proactivas como lasprevistas en el apartado 22 del presente Docu-mento ser tenida en cuenta al fijar la responsa-bilidad y las sanciones previstas en el presenteapartado.

25Responsabilidad1. La persona responsable ser responsable deaquellos daos y/o perjuicios, tanto moralescomo materiales, que hubiesen causado a los in-teresados como consecuencia de un tratamientode datos de carcter personal que hubiese vulne-rado la legislacin aplicable en materia proteccinde datos, a menos que pueda demostrar que eldao no le puede ser atribuido. Ello sin perjuiciode cualquier accin que la persona responsablepueda ejercer contra los prestadores de serviciosde tratamiento que intervengan en cualquier fasedel tratamiento.

2. Los Estados promovern las medidas ade-cuadas para facilitar el acceso de los interesadosa los correspondientes procesos, judiciales o ad-ministrativos, que les permitan obtener la repa-racin de los daos y/o perjuicios anteriormentemencionados.

Resolucinsobre

EstndaresInternacionales

de Privacidad

RESOLUCIN SOBRE ESTNDARES INTERNACIONALES DE PRIVACIDAD

PROPONENTES:

Agencia Espaola de Proteccin de DatosComisario Federal de Proteccin de Datos y la transparencia (Suiza)Supervisor Europeo de Proteccin de DatosComisin Nacional de la Informtica y de las Libertades (Francia)Comisario de Proteccin de Datos de IrlandaOficina del Comisario de Privacidad de CanadOficina para la Proteccin de los Datos Personales (Repblica Checa)Comisario Federal para la Proteccin de Datos (Alemania)Garante para la Proteccin de Datos Personales (Italia)Autoridad Holandesa de Proteccin de DatosComisario de Privacidad de Nueva ZelandaOficina del Comisario de Informacin (Reino Unido)

COPROPONENTES:

Agencia de Proteccin de Datos de AndorraAgencia Catalana de Proteccin de DatosAgencia de Proteccin de Datos de la Comunidad de MadridAgencia Vasca de Proteccin de DatosOficina del Supervisor de Proteccin de Datos la Isla de ManInspeccin de Proteccin de Datos de EstoniaInspeccin Estatal de Proteccin de Datos (Lituania)Comisario para la Proteccin de Datos de Berln (Alemania)Comisario de Proteccin de Datos de Schleswig-Holstein (Alemania)Director Nacional de Proteccin de Datos Personales (Argentina)Comisario de Proteccin de Datos (Malta)Comisin de la Informtica y las Libertades (Burkina-Faso)Comisario de Proteccin de Datos Personales (Chipre)Defensor de la Proteccin de Datos (Finlandia)Comisario de Informacin (EsloveniaAutoridad Griega de Proteccin de Datos

Teniendo en cuenta que:

La 30 Conferencia Internacional de Autoridades Proteccin de Datos y Privacidadadopt en Estrasburgo unnimemente la Resolucin relativa a la urgente necesidad deproteger la privacidad en un mundo sin fronteras, y de alcanzar una propuesta con-junta para el establecimiento de estndares internacionales sobre privacidad y protec-cin de datos personales.

La resolucin estableci el mandato de crear un Grupo de Trabajo, bajo coordinacinde la Agencia Espaola de Proteccin de Datos, como Autoridad organizadora de la31 Conferencia Internacional y con la participacin de las Autoridades de proteccinde datos interesadas en ello, con el objetivo de elaborar una Propuesta Conjunta parala Redaccin de Estndares Internacionales para la Proteccin de la Privacidad y de losDatos de Carcter Personal.

En consonancia con este mandato, la Agencia Espaola de Proteccin de Datos esta-bleci un Grupo de Trabajo, promoviendo y coordinando los trabajos para la elabora-cin de una Propuesta Conjunta para la Redaccin de Estndares Internacionales parala Proteccin de la Privacidad y de los Datos de Carcter Personal.

El Grupo de Trabajo redact la Propuesta Conjunta para la Redaccin de Estndares In-ternacionales para la Proteccin de la Privacidad y de los Datos de Carcter Personal,partiendo de los principios que resultan comunes a los diferentes textos legales, di-rectrices o recomendaciones de alcance internacional, que han recibido un amplio con-senso en sus respectos mbitos geogrficos, econmicos o legales de aplicacin.

La Propuesta Conjunta se ha elaborado asumiendo que todos estos principios y enfo-ques comunes aportan elementos valiosos en la defensa y promocin de la privacidady la informacin personal, con el objetivo de expandir ese conjunto de principios y cri-terios comunes incorporando soluciones y previsiones especficas que resulten aplica-bles con independencia de las diferencias que pueden subsistir entre los diferentesmodelos de proteccin de datos y privacidad existentes.

De acuerdo a esto, la Conferencia resuelve:

1. Acoge con satisfaccin la Propuesta Conjunta para la Redaccin de Estndares In-ternacionales para la Proteccin de la Privacidad en relacin con Tratamiento deDatos de Carcter Personal que acompaa como Anexo 1 a esta Resolucin. LaPropuesta Conjunta demuestra la viabilidad de tales estndares, como un nuevopaso hacia la elaboracin, en el momento oportuno, de un instrumento interna-cional vinculante.

2. Afirma que la Propuesta Conjunta ofrece un conjunto de principios, derechos,obligaciones y procedimientos que cualquier sistema jurdico de proteccin dedatos y privacidad debe esforzarse por alcanzar. De este modo, el tratamiento dedatos personales en el sector pblico y privado se llevara a cabo, a travs de unenfoque ms uniforme a nivel internacional:

a. de manera leal, lcita, y proporcionada en relacin con finalidades determi-nadas, explcitas y legtimas.

b. sobre la base de polticas transparentes, informando adecuadamente a los in-teresados y sin ninguna discriminacin arbitraria en su contra.

c. garantizando la exactitud, la confidencialidad y la seguridad de los datos,as como la legitimidad del tratamiento, y los derechos de los afectados aacceder, rectificar y cancelar los datos, as como a oponerse a un determi-nado tratamiento.

d. aplicando el principio de responsabilidad, incluyendo la responsabilidad pordaos, incluso si las operaciones de tratamiento se llevan a cabo por prestado-res de servicios que acten por cuenta del responsable.

e. ofreciendo garantas ms adecuadas cuando los datos son sensibles.

f. garantizando que los datos personales transferidos internacionalmente se bene-fician del nivel de proteccin previsto en el mencionado conjunto de estndares.

g. sometiendo el tratamiento a la vigilancia de autoridades de supervisin, in-dependientes e imparciales, con poderes y recursos adecuados, y sometidas a undeber de cooperacin entre s.

h. en un marco nuevo y moderno de medidas proactivas, orientadas en particulara prevenir y detectar infracciones y basadas en la designacin de oficiales de pri-

vacidad, as como en auditorias eficaces y en evaluaciones de impacto de priva-cidad.

3. Instar a las Autoridades de Proteccin de Datos y Privacidad acreditadas ante laConferencia Internacional a dar la mxima difusin a la Propuesta Conjunta parala Redaccin de Estndares Internacionales para la Proteccin de la Privacidad enrelacin con Tratamiento de Datos de Carcter Personal.

4. Encomendar a las Autoridades organizadoras de la 31 y 32 Conferencias Inter-nacionales la coordinacin de un Grupo de Contacto, integrado por las Autorida-des de Proteccin de Datos y Privacidad que as lo deseen, que se encargar de:

a. la promocin y difusin de Propuesta Conjunta entre entidades privadas, ex-pertos y organismos pblicos nacionales e internacionales como base para un fu-turo trabajo para la elaboracin de un Convenio universal vinculante, y enparticular entre las instituciones y organizaciones mencionadas en la Declara-cin de Montreux; y

b. explorar e informar sobre otras formas en que la propuesta conjunta podra uti-lizarse como base para el desarrollo de la comprensin y la cooperacin interna-cionales sobre proteccin de datos y la privacidad, particularmente en el contextode permitir las transferencias internacionales de datos personales, que tendrn lugarde un modo que proteja los derechos y libertades de los individuos.

5. Solicitar al Grupo de Contacto:

a. coordinar su labor con el Grupo director sobre la representacin en reunionesde organizaciones internacionales, e

b. informar de cualquier avance relevante a la 32 Conferencia Internacional,para garantizar una atencin continua al tema de la presente resolucin.

Nota Explicativa

La 30 Conferencia Internacional de Autoridades Proteccin de Datos y Privacidadadopt la Resolucin relativa a la urgente necesidad de proteger la privacidad enun mundo sin fronteras, y de alcanzar una propuesta conjunta para el estableci-

miento de estndares internacionales sobre privacidad y proteccin de datos per-sonales, presentada conjuntamente por las autoridades de proteccin de datos deSuiza y Espaa y respaldada por otras veinte autoridades.

En esta Resolucin, la Conferencia recuerda que diversas Declaraciones y Resolucionesadoptadas durante los ltimos diez aos tienen por objeto reforzar el carcter univer-sal del derecho a la proteccin de datos de carcter personal y de la privacidad, y rea-lizan un llamamiento para el desarrollo de un convenio universal para la proteccin delas personas con respecto al tratamiento de datos personales.

Adems, la Resolucin indica que la Conferencia Internacional considera el derecho ala proteccin de datos y a la privacidad como un derecho fundamental de las perso-nas, con independencia de su nacionalidad o residencia, al tiempo que constata quelas diferencias persistentes en materia de proteccin de datos y respeto de la privaci-dad en el mundo, y especialmente debido al hecho de que muchos Estados no hanaprobado todava leyes adecuadas, perjudican los intercambios de datos personales yla puesta en prctica de una proteccin de datos efectiva y global.

Por ello, la Resolucin expresa la conviccin de la Conferencia de que el reconocimientode estos derechos pasa por la adopcin de un instrumento legislativo universal y vin-culante, que haga uso, consagre, y complemente los principios comunes de proteccinde datos y de respeto a la privacidad enunciados en los diferentes instrumentos exis-tentes, y que refuerce la cooperacin internacional entre autoridades de proteccinde datos.

En ese sentido, la Resolucin expresa el apoyo de la Conferencia Internacional a los es-fuerzos del Consejo de Europa para impulsar los derechos fundamentales a la protec-cin de datos y a la privacidad e invita a los Estados, sean o no miembros de laorganizacin, a ratificar el Convenio para la proteccin de las personas con respectoal tratamiento automatizado de datos de carcter personal y su protocolo adicional, al tiempo que confirma suapoyo a las acciones llevadas a cabo por APEC, la OCDE yotros foros regionales e internacionales con vistas a desarrollar herramientas efectivas que fomenten unos mejores estndares internacionales de privacidad y proteccin dedatos.

La Resolucin mandat a la Agencia Espaola de Proteccin de Datos, como Autori-dad organizadora de la 31 Conferencia Internacional, a crear un Grupo de Trabajocompuesto por las autoridades de proteccin de datos interesadas, con el objetivo de

elaborar y presentar una Propuesta Conjunta para la Redaccin de Estndares Inter-nacionales para la Proteccin de la Privacidad y de los Datos de Carcter Personal.

La Resolucin incluye una lista de criterios que deben presidir el proceso de elabora-cin de esta Propuesta Conjunta y, en particular, que debe desarrollarse fomentandouna amplia participacin de entidades y organizaciones tanto pblicas como privadas,con el fin de lograr el ms amplio consenso institucional y social.

De acuerdo con este mandato, la Agencia Espaola de Proteccin de Datos estableciel Grupo de Trabajo a que se refiere la Resolucin y ha promovido y coordinado los tra-bajos destinados a la elaboracin de una la Propuesta Conjunta para la Redaccin deEstndares Internacionales.

La Agencia Espaola de Proteccin de Datos dirigi invitaciones a participar en el Grupode Trabajo a todas las Autoridades de Proteccin de Datos y Privacidad acreditadasante la Conferencia Internacional. Las Autoridades mencionadas en el Anexo 2* ma-nifestaron su voluntad de formar parte de este grupo de trabajo y consecuentementese unieron.

El Grupo de Trabajo se ha reunido en los meses de Enero y Junio de 2009. La primerade estas reuniones acord la metodologa de redaccin de la Propuesta Conjunta y elalcance material de su contenido, en tanto que la segunda debati una versin avan-zada de borrador de propuesta con vistas a su posterior remisin a la 31 ConferenciaInternacional.

Segn los criterios y metodologa expuestos por la Resolucin de Estrasburgo y acor-dados por el Grupo de Trabajo, la Agencia Espaola de Proteccin de Datos ha llevadoa cabo una intensa actividad, elaborando sucesivos documentos de trabajo en cuya re-daccin se han incorporado las contribuciones de Autoridades de Proteccin de Datosy Privacidad y otras entidades pblicas relacionadas con la proteccin de datos, ascomo de expertos procedentes de empresas, la profesin jurdica, el mundo acad-mico y organizaciones internacionales y no gubernamentales.

En particular, el Grupo de Trabajo ha elaborado la Propuesta Conjunta para la Re-daccin de Estndares Internacionales para la Proteccin de la Privacidad en relacincon Tratamiento de Datos de Carcter Personal que resultan comunes a los dife-rentes texto legales, directrices o recomendaciones de alcance internacional que

han recibido un amplio consenso en sus respectos mbitos geogrficos, econmi-cos o legales de aplicacin.

La Propuesta Conjunta se ha elaborado asumiendo que todos estos principios y en-foques comunes aportan elementos de valor en la defensa y la mejora de la priva-cidad e informacin personal, con el objetivo de ampliarlos mediante soluciones ydisposiciones especficas que podran aplicarse independientemente de las diferen-cias que puedan existir entre los diferentes modelos existentes de proteccin dedatos y privacidad.

* AUTORIDADES QUE CONFORMARON EL GRUPO DE TRABAJO: COMISARIO FEDERAL DE PROTECCIN DE DATOS(Alemania), COMISARIO DE PROTECCIN DE DATOS Y LIBERTAD DE INFORMACIN DE BERLN (Alemania), CO-MISARIO DE PROTECCIN DE DATOS DE SCHLESWIG-HOLSTEIN (Alemania), COMISIN DE PROTECCIN DE DATOS(Austria), COMISIN DE PROTECCIN DE LA PRIVACIDAD (Blgica), COMISIN DE LA INFORMTICA Y LAS LIBER-TADES (Burkina-Fasso), COMISARIO DE PRIVACIDAD (Canad), COMISARIO DE ACCESO A LA INFORMACIN (Ca-nad), SUPERVISOR EUROPEO DE PROTECCIN DE DATOS, COMISARIO DE INFORMACIN (Eslovenia), AGENCIAESPAOLA DE PROTECCIN DE DATOS (Espaa), AGENCIA CATALANA DE PROTECCIN DE DATOS (Espaa), AGEN-CIA DE PROTECCIN DE DATOS DE LA COMUNIDAD DE MADRID (Espaa), AGENCIA VASCA DE PROTECCIN DEDATOS (Espaa), COMISIN NACIONAL DE LA INFORMTICA Y LAS LIBERTADES (Francia), COMISARIO DE PRIVA-CIDAD PARA LA PROTECCIN DE DATOS (Hong Kong), COMISARIO DE PROTECCIN DE DATOS (Irlanda), GA-RANTE PARA LA PROTECCIN DE LOS DATOS PERSONALES (Italia), COMISARIO DE PRIVACIDAD (Nueva Zelanda),COMISIN DE PROTECCIN DE DATOS (Pases Bajos), COMISIN NACIONAL DE PROTECCIN DE DATOS (Portu-gal), COMISARIO DE INFORMACIN (Reino Unido), OFICINA PARA LA PROTECCIN DE DATOS PERSONALES (Re-pblica Checa), COMISARIO FEDERAL DE PROTECCIN DE DATOS (Suiza).