Dictamen del Supervisor Europeo de Proteccion de Datos sobre la Comunicacion de la Comision relativa a un Plan de accion para el despliegue de sistemas de transporte inteligentes en Europa y a la propuesta que lo acompaña de Directiva del Parlamento Europeo y del Consejo por la que se establece el marco para el despliegue de los sistemas de transporte inteligentes en el sector del transporte por carretera y para sus interfaces con otros modos de transporte (2010/C 47/02) - Diario Oficial de la Unión Europea, de 25-02-2010

TIEMPO DE LECTURA:

  • Ámbito: Doue
  • Boletín: Diario Oficial de la Unión Europea Número 48
  • Fecha de Publicación: 25/02/2010
  • Este documento NO tiene versiones

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado constitutivo de la Comunidad europea, y en particular su artículo 286,

Vista la Carta de los Derechos Fundamentales de la Unión Europea, y en particular su artículo 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,

Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas,

Visto el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, y en particular su artículo 41,

Vista la solicitud de dictamen cursada por la Comisión en virtud del artículo 28, apartado 2, del Reglamento (CE) nº 45/2001, recibida de la Comisión Europea el 11 de febrero de 2009.

HA ADOPTADO EL SIGUIENTE DICTAMEN:

I. INTRODUCCIÓN

1. El 16 de diciembre de 2008, la Comisión adoptó una Comunicación en la que definía un Plan de acción para el despliegue de sistemas de transporte inteligentes en Europa (la «Comunicación») (1). Ésta viene acompañada de una propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece el marco para el despliegue de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (la «propuesta») (2). La Comisión remitió al SEPD la Comunicación y la propuesta que la acompaña con fines de consulta, según lo dispuesto en el artículo 28.2 del Reglamento (CE) nº 45/2001 (3).

2. El SEPD celebra que se le haya consultado, y recomienda que en el preámbulo de la propuesta se haga referencia a esta consulta, de modo semejante a como se ha hecho en otros actos legislativos para los cuales se ha consultado al SEPD, de conformidad con el Reglamento (CE) nº 45/2001.

I. 1. La Comunicación de la Comisión relativa a un Plan de acción para el despliegue de sistemas de transporte inteligentes en Europa

3. Los «sistemas de transporte inteligentes» (STI) son aplicaciones avanzadas que recurren a las tecnologías de la información y la comunicación (TIC), las cuales están integradas en los distintos modos de transporte y de gestión del tráfico para que éstos interactúen entre sí. En el ámbito del transporte por carretera, los STI ofrecerán servicios innovadores sobre modos de transporte y regulación del tráfico a los diversos usuarios, como los viajeros, los usuarios y agentes de la red de transporte por carretera, los administradores de flotas y los agentes de los servicios de urgencias.

4. Haciendo balance del desarrollo cada vez mayor de los STI en diversos modos de transporte (4) en la Unión Europea, la Comisión adoptó un plan de acción para acelerar la introducción y el uso de las aplicaciones y servicios de STI en el ámbito del transporte por carretera. El plan tiene asimismo el objetivo de garantizar su interacción con otros modos de transporte, con objeto de facilitar la provisión de servicios multimodales. El despliegue coherente de los STI en Europa responderá a varios objetivos comunitarios, en tre ellos el de la eficiencia, la sostenibilidad y la seguridad y protección de los transportes públicos, impulsando el mercado interior y la competitividad de la UE. Ante la diversidad de los objetivos perseguidos para el desarrollo de los STI, la Comunicación esboza seis áreas de acción prioritarias para el período 2009-2014. Para ejecutar el plan, la Comisión propone que la UE defina un marco jurídico por medio de una directiva, en virtud de la cual se definirá una serie de medidas en unos ámbitos prioritarios seleccionados.

(1) COM(2008) 886 final. El Consejo adoptó unas conclusiones relativas a la Comunicación en la sesión n o 2935 del Consejo de Transportes, Telecomunicaciones y Energía de los días 30 y 31 de marzo de 2009.

(2) COM(2008) 887 final.

(3) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, DO L 8 de 12.1.2001, p. 1.

(4) Hay varias iniciativas en la UE de integración de los STI en varios modos de transporte, entre ellos el transporte aéreo (SESAR), fluvial (SIF), ferroviario (ERTMS, ETI-TAF), marítimo (VTMIS, AIS, LRIT) y por carretera (eToll, eCall); véase COM(2008) 886 final, p. 3.

I. 2. Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece el marco para el despliegue de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte

5. La propuesta fija un marco para el desarrollo transnacional de las aplicaciones de STI que tiene por objeto facilitar la provisión de servicios transfronterizos armonizados en particular de información sobre el tráfico y los viajes y de regulación del tráfico. Exige a los Estados miembros que adopten varias medidas técnicas para facilitar el intercambio de datos entre los usuarios, los poderes públicos, las partes interesadas y los proveedores de servicios de STI e integrar en los vehículos y en las infraestructuras viarias sistemas de STI que tengan relación con la seguridad y la protección. Las características técnicas de las aplicaciones y sistemas de STI en cuatro de los ámbitos prioritarios (5) enumerados en el plan de acción serán definidos por un procedimiento de comitología (6), cuyos elementos centrales se especifican en el anexo II. Sin embargo, los fines particulares para los vayan a usarse los STI en este ámbito no están claros. Además, el despliegue de los STI puede hacerse extensivo a muchos más ámbitos de los cuatro seleccionados en un principio para el desarrollo de especificaciones técnicas armonizadas. Aunque la propuesta se refiere principalmente al despliegue de las aplicaciones y servicios de STI futuros, abarcará también, cuando sea posible, las tecnologías existentes o actualmente en desarrollo en ese ámbito (como eCall, eToll, etc.).

6. La propuesta fue remitida al Parlamento Europeo, que adoptó su posición, en primera lectura (7), el 23 de abril de 2009. Tras una petición de consultas del Consejo el 29 de enero de 2009, el Comité Económico y Social Europeo adoptó un dictamen sobre la propuesta el 13 de mayo de 2009 (8).

I. 3. Centro de interés del dictamen

7. El SEPD celebra haber sido consultado a propósito de la propuesta de plan de despliegue de los STI presentada por la Comisión. No es esta la primera vez que el SEPD se ocupa de problemas planteados en el Plan de acción sobre los STI. El SEPD emitió un dictamen sobre la propuesta de la Comisión (9) de Directiva del Parlamento Europeo y del Consejo para facilitar la aplicación transfronteriza de la normativa sobre seguridad vial, y contribuyó a los trabajos del Grupo del artículo 29 sobre un documento de trabajo relativo a eCall (10).

8. Los sistemas de transporte inteligentes se basan en la recopilación, el tratamiento y el intercambio de una amplia variedad de datos, de fuentes tanto públicas como privadas; por ello constituyen un ámbito en el que circulan muchos datos. El despliegue de los STI se apoyará, en buena medida, en las tecnologías de localización geográfica, como el posicionamiento por satélite y las tecnologías sin contacto, como la identificación por radiofrecuencia (RFID), que facilitarán la prestación de una variedad de servicios públicos o comerciales basados en la localización (por ejemplo, información inmediata sobre el tráfico, eFreight, eCall, eToll, reserva de aparcamiento, etc.). Parte de la información que será tratada mediante los STI es agregada como la relativa al tráfico, los accidentes y las posibilidades y no guarda relación con los individuos; otra parte, en cambio, guarda relación con personas identificadas o identificables, y por lo tanto se considera datos personales en la acepción del artículo 2, letra a), de la Directiva n o 25/46/CE.

9. El SEPD considera esencial que las acciones previstas para el despliegue de los STI sean coherentes con el marco jurídico en vigor citado en la propuesta, en particular la Directiva 95/46/CE sobre protección de datos (11) y la Directiva 2002/58/CE sobre la intimidad en el sector de las comunicaciones electrónicas (12).

(5) El artículo 4 de la propuesta contempla la definición de medidas técnicas en los siguientes ámbitos prioritarios: i) utilización óptima de los datos sobre la red viaria, el tráfico y los desplazamientos; ii) continuidad de los servicios de STI de gestión del tráfico y el transporte de mercancías en los corredores de transporte europeos y en las conurbaciones; iii) seguridad vial y protección del transporte, y iv) integración del vehículo en las infraestructuras de transporte.

(6) La propuesta dispone un procedimiento de regulación con control, de conformidad con el artículo 5, letra a), puntos 1 a 4, y con el artículo 7, de la Decisión 1999/468/CE.

(7) Resolución legislativa del Parlamento Europeo, de 23 de abril de 2009, sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece el marco para el despliegue de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (T6-283/2009).

(8) Dictamen del Comité Económico y Social Europeo sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece el marco para el despliegue de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (TEN/382, 13 de mayo de 2009).

(9) Dictamen del Supervisor Europeo de Protección de Datos relativo a la propuesta de Directiva del Parlamento Europeo y del Consejo para facilitar la aplicación transfronteriza de la normativa sobre seguridad vial, 2008/C 310/02, DO C 310 de 5.12.2008, p. 9.

(10) Documento de trabajo del Grupo de Trabajo del artículo 29 sobre las consecuencias de la iniciativa eCall para la protección de los datos y la vida privada, WP 125, 26 de septiembre de 2006. http:/ec. europa. eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp125_en. pdf

(11) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31.

(12) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), DO L 201 de 31.7.2002, p. 37.

10. La Comisión ha indicado los problemas sin resolver relativos a la intimidad y a la protección de datos como uno de los principales obstáculos a la promoción de los STI. En el presente dictamen, desarrollaremos estos problemas como sigue: en el capítulo II, se analizará desde el punto de vista de la protección de los datos el marco jurídico presentado por la Comisión para el despliegue de los STI, en el capítulo III se destacarán las inquietudes en relación con la protección de datos que deben seguir tratándose para desplegar adecuadamente los STI: en un primer punto, el dictamen destaca la necesidad de «intimidad por el diseño» en el desarrollo de los STI seguirá esbozando los problemas importantes que deben tratarse en la concepción de las aplicaciones y sistemas de tratamiento de datos de STI, el segundo punto se centra en algunas de las con sideraciones relativas a la intimidad que deben seguir tratándose de para la prestación de servicios de STI.

I. ANÁLISIS DEL MARCO JURÍDICO PROPUESTO PARA EL DESPLIEGUE DE LOS STI

11. La propuesta de Directiva de la Comisión contiene dos disposiciones (el considerando 9 y el artículo 6) que tratan de la intimidad, la seguridad y la reutilización de la información. El artículo 6.1 de la propuesta de la Comisión dispone que el funcionamiento de los STI se lleve a cabo de acuerdo con las normas de protección de datos establecidas, en las Directivas 95/46/CE y 2002/58/CE, entre otras disposiciones. En la propuesta de la Comisión, el artículo 6.2 estipula medidas concretas de protección de datos principalmente desde el punto de vista de la seguridad: el artículo 6.2 de la propuesta dispone que «los Estados miembros velarán por que los datos y registros de los STI estén protegidos contra la utilización abusiva, especialmente el acceso ilícito, la modificación o la pérdida». Por último, el artículo 6.3 de la propuesta de la Comisión dispone: «Será de aplicación la Directiva 2003/98/CE».

12. El Parlamento Europeo propuso, en primera lectura, unas enmiendas relativas al artículo 6. En concreto, se añade al apartado 1 tres nuevos apartados, relativos al uso de datos anónimos en su caso, al tratamiento de datos sensibles sólo con el consentimiento informado de la persona interesada, y a la garantía de que los datos personales sólo se traten «cuando […] sea necesario para la ejecución de la aplicación o el servicio de STI». Además se modifica el apartado 2 añadiendo que los datos y registros de los STI no se podrán utilizar «para fines distintos de los contemplados en la presente Directiva».

13. El SEPD celebra que la protección de los datos haya sido tenido en cuenta en la elaboración de la propuesta y que haya sido presentada como condición general para el correcto despliegue de los STI en Europa. El SEPD reconoce que es necesaria una armonización coherente de los tratamientos de los datos en la UE con objeto de garantizar la viabilidad de las aplicaciones y servicios de STI en toda Europa.

14. El SEPD advierte, no obstante, que el marco jurídico propuesto es demasiado amplio y general para tratar adecuadamente los problemas de intimidad y de protección de datos que plantea el desarrollo de los STI en los Estados miembros. No está claro cuándo la prestación de servicios de STI y dará lugar a la recopilación y tratamiento de datos personales, ni cuáles son los objetivos específicos para los cuales tendrá lugar un tratamiento de datos, ni cuál es la base jurídica que justifique dicho tratamiento. Además, el uso de tecnologías de localización para el despliegue de los STI plantea el riesgo del desarrollo de servicios que invaden el espacio de la intimidad si suponen la recopilación intercambio de datos personales. Es más, la propuesta no fija claramente las funciones y las responsabilidades de los diversos agentes que intervienen en la cadena del despliegue de los STI, y por ello es difícil saber qué agentes serán controladores de datos, por lo tanto, responsables (13) del cumplimiento de las obligaciones de protección de datos. Los explotadores de STI harán frente a problemas considerables si todas estas cuestiones no quedan aclaradas en la norma, pues serán, en última instancia, los encargados de aplicar las medidas que establece la propuesta de Directiva.

15. Existe por ello el riesgo de que la falta de claridad del marco jurídico propuesto dé lugar a una diversidad en la aplicación de los STI en Europa y que, en lugar de reducir las divergencias entre los Estados miembros, prorrogue, por el contrario, una incertidumbre, una fragmentación y unas incoherencias considerables, debido a la diferencia de niveles de protección de los datos en Europa. Ello podría dar lugar también al incumplimiento de salvaguardas esenciales de la protección de datos. El SEPD insiste en la necesidad de que prosiga la armonización sobre estas cuestiones en el ámbito de la UE. En el presente dictamen, el SEPD propondrá modificaciones del marco jurídico propuesto desde el punto de vista de la protección de los datos. Asimismo recomienda insistentemente que el Parlamento y el Consejo incluyan en la propuesta las modificaciones sugeridas así como, cuando sea posible, otras disposiciones que aclaren las cuestiones pendientes (como la definición y las responsabilidades de los participantes de los STI, el desarrollo de contratos armonizados para la provisión de servicios de STI, etc.). Asimismo insiste en que los Estados miembros tendrán también la responsabilidad de aplicar la Directiva adecuadamente, de modo que los operadores pueden desarrollar sistemas y servicios que ofrezcan un nivel apropiado de prestación de datos en toda Europa.

(13) De conformidad con el artículo 2, letra d), el artículo 6, apartado 2, y el artículo 23 de la Directiva 95/46/CE, citada en la nota a pie de página 11.

II. 1. Las actividades de tratamiento de datos deben descansar en una base jurídica adecuada

16. No está claro cuándo comienza el tratamiento de datos personales una vez que el equipo de STI esté instalado en un vehículo, ni sobre qué fundamento jurídico se llevará a cabo el tratamiento. Los operadores podrán basarse en diferentes bases jurídicas para el tratamiento de los datos, entre otras, el consentimiento inequívoco de los usuarios, un contrato o una obligación jurídica que el controlador deberá cumplir. Es necesario armonizar la base jurídica sobre la cual se llevará a cabo el tratamiento de datos por medio de los STI, con objeto de garantizar que los sistemas funcionen en toda Europa y que los usuarios no se vean afectados por divergencias en la manera de tratar los datos en cada país de la UE.

17. En una serie de casos, los sistemas STI se integrarán por defecto en los vehículos. Así ocurrirá, en particular, en los sistemas STI relacionados con la seguridad y la protección, que deben ir integrados en los vehículos según dispone la propuesta. Ésta, no obstante, no define lo que son los «STI relacionados con la seguridad y la protección», y habría que precisar en mayor grado cuáles son las aplicaciones y sistemas STI específicos que deben instalarse en los vehículos. Asimismo, debería dejarse claro si la activación y uso del dispositivo serán voluntarios u obligatorios para los usuarios. La decisión de realizar el tratamiento de datos con carácter obligatorio sólo debería tomarse con fines particulares teniendo en cuenta justificaciones imperiosas (por ejemplo, un buen seguimiento para la gestión del transporte de mercancías) y con las oportunas salvaguardias por lo que se refiere al tratamiento de datos relativos a personas. Si el uso de los STI se hace con carácter voluntario, deberán disponerse en las oportunas salvaguardias para impedir que, por la mera presencia del sistema en el vehículo, se considere que los usuarios han consentido implícitamente su uso.

18. El SEPD es favorable a la opción de la provisión de servicios de STI con carácter voluntario. Esto implica que los usuarios deben poder dar su consentimiento libre al uso del sistema y a los fines particulares para el cual vaya a usarse. Cuando el servicio prestado se base en datos de localización, deberá facilitarse la información adecuada al usuario (de conformidad, en particular, con el artículo 9 de la Directiva 2002/58/CE), que deberá poder retirar su con sentimiento. En la práctica, esto exige que se disponga una manera fácil de desactivar el dispositivo o función, sin limitaciones técnicas ni financieras para el usuario (14), cuando éste ya no esté de acuerdo con el uso del sistema o de una función en particular. Deberían aplicarse, además, salvaguardias, para que no haya discriminación contra los usuarios cuando se nieguen a usar un servicio.

19. En los casos en que determinadas actividades de tratamiento sean obligatorias y otras estén sujetas al consentimiento del usuario, debe asegurarse la transparencia en relación con las diversas operaciones el tratamiento de datos realizadas, facilitando la información oportuna a los usuarios sobre la obligatoriedad o voluntariedad de cada tratamiento en particular y el alcance de dicho tratamiento. Además, será fundamental aplicar las oportunas salvaguardias de seguridad para que no se recopile ni trate ningún dato fuera del ámbito de lo que haya sido jurídicamente definido o aprobado voluntariamente.

20. Considerando el efecto transnacional de los servicios de STI, el SEPD recomienda asimismo el desarrollo de con tratos paneuropeos sobre normas, para garantizar que los servicios prestados por medio de STI brinden las mismas salvaguardias de protección de los datos en toda Europa, y en concreto, que la información facilitada al usuario sea lo suficientemente clara sobre las funciones particulares utilizadas, la incidencia del uso de tecnologías específicas sobre la protección de sus datos, y la manera de hacer valer sus derechos. Cuando se añadan nuevas funciones, los proveedores de servicio deberán tomar nuevas medidas para facilitar información clara y concreta a los usuarios con respecto a estas nuevas funciones y obtener el oportuno consentimiento de éstos al uso de las nuevas funciones.

II. 2. Es preciso definir más los objetivos y modalidades de tratamiento de datos

21. El SEPD advierte que la propuesta no define con precisión los servicios y finalidades específicos para los cuales podría usarse las aplicaciones de STI, cuestión que queda así abierta. Esto, en la práctica, brinda flexibilidad, pero puede dejar sin resolver los problemas pendientes de intimidad y protección de los datos señalados por la Comisión como uno de los principales obstáculos al fomento de los STI (véase punto 10), lo que podría obstaculizar la aplicación equilibrada de las medidas propuestas.

22. El SEPD insiste en que es particularmente importante que las operaciones de tratamiento realizadas para la provisión de servicios específicos de STI no se hagan sólo con arreglo a una base jurídica adecuada, sino también con fines de terminados, explícitos y legítimos, y que el tratamiento considerado sea proporcionado y necesario para esos fines (artículo 6 de la Directiva 95/46/CE). Por ello debería estudiarse la posible necesidad de seguir legislando en el ámbito de la UE en relación con los usos específicos de los STI con objeto de crear una base jurídica armonizada y suficiente para las actividades de tratamiento que deban realizarse, y con objeto de evitar las diferencias entre Estados miembros en el despliegue de los STI.

23. Con arreglo al marco propuesto, hasta ahora no se han decidido las modalidades de tratamiento de datos y de los intercambios de éstos para el uso de los STI. Varios de los parámetros técnicos, cuya elección tendrá diferentes incidencias en la intimidad y la protección de los datos, se decidirán más adelante, mediante la comitología. Teniendo en cuenta la protección particular otorgada a la intimidad y a la protección de los datos como derechos fundamentales protegidos en el artículo 8 del Convenio para la protección de los derechos humanos y de las libertades fundamentales y en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, cabe preguntarse si la definición de las operaciones de tratamiento de datos debería de decidirse mediante el procedimiento de comitología y en qué medida.

(14) Véase WP 125 relativo a eCall, citado en la nota a pie de página 10.

24. En una sociedad democrática, las decisiones sobre los principios esenciales y las modalidades que inciden en los de rechos fundamentales deben tomarse dentro de un procedimiento legislativo completo, que incluye las comprobaciones y los equilibrios oportunos. En este caso, esto significa que las decisiones que tienen una incidencia importante en la intimidad y la protección de los datos de los individuos, como los fines y las modalidades de las actividades de tratamiento de datos obligatorias y la definición de las modalidades para el despliegue de los STI en nuevos ámbitos, deben ser decididas por el Parlamento Europeo y el Consejo, y no en un procedimiento de comitología.

25. Desde este punto de vista, el SEPD recomienda insistentemente que el Grupo de Trabajo del artículo 29 y el SEPD intervengan, cuando convenga, en los trabajos del Comité creado en virtud del artículo 8 de la propuesta en las acciones futuras adoptadas en relación con el despliegue de los STI, mediante la consulta con la suficiente antelación antes del desarrollo de las medidas correspondientes.

26. Asimismo, el SEPD toma nota de las enmiendas aprobadas por el Parlamento Europeo en relación con artículo 6 de la propuesta. El SEPD advierte en primer lugar que la en mienda relativa a favorecer el uso de datos anónimos cuando convenga, aunque muy conveniente en principio, no resolverá todos los problemas relativos a la protección de los datos, pues muchos datos recopilados intercambiados mediante STI pueden definirse como datos personales. Para que el tratamiento de datos personales se haga anónimamente, no debe dejarse posibilidad a ninguna persona en ningún momento del tratamiento teniendo en cuenta todos los medios que el controlador o cualquier otra persona tengan posibilidad razonable de utilizar de enlazar los datos con datos relativos a una persona identificada; de lo contrario dichos datos son datos personales en el sentido del artículo 2, letra a), de la Directiva 95/46/CE.

(15) Además, sobre la base de las enmiendas propuestas por el Parlamento Europeo, el SEPD recomienda que el artículo 6 de la propuesta se modifique como sigue: la valoración de la necesidad de tratar datos personales mediante STI debería hacerse con miras a los fines legítimos y específicos para los cuales sean tratados los datos (de conformidad con los artículos 6 y 7 de la Directiva 95/46/CE).

El funcionamiento de la aplicación de STI (16) por sí misma no puede ser un fin legítimo que justifique el tratamiento de datos, pues la aplicación sólo es un medio de recopilar e intercambiar datos, cuyo uso debe orientarse necesariamente a fines particulares, la enmienda (17) relativa a la prohibición de usar los datos y registros de los STI «para fines distintos de los contemplados en la presente Directiva» no da garantía suficiente, en particular puesto que los fines y servicios específicos para los que se usarán los STI no constan clara y exhaustivamente en la Directiva. Teniendo en cuenta que se llevarán a cabo diversas actividades de tratamiento de datos por medio de los STI para fines muy diversos, debe garantizarse que los datos recopilados en el transcurso del tratamiento para un fin particular no vayan a usarse para otros fines que sean incompatibles, conforme a lo dispuesto en el artículo 6, apartado 1, letra b) de la Directiva 95/46/CE. El SEPD recomienda por lo tanto que el artículo 6.2 vuelva modificarse para garantizar que los datos y registros de los STI no se usen «para fines que no sean aquellos para los cuales fueron recopilados, y de modo incompatible con dichos fines».

III. PROTECCIÓN DE LOS DATOS EN LOS SISTEMAS DE TRANSPORTE INTELIGENTES

27. Es especialmente importante que se aclaren las funciones de cada una de las partes que intervienen en los STI con objeto de determinar quién tendrá la responsabilidad de garantizar que los sistemas funcionen adecuadamente desde el punto de vista de la protección de los datos. Por ello habría que aclarar más quién debe ser el responsable de aplicar las aplicaciones y sistemas cuya concepción se especificará mediante la comitología, y quién será responsable, dentro de la cadena de partes interesadas, de que el tratamiento de los datos se ajuste al Derecho relativo a la protección de los datos (esto es, los responsables del tratamiento). El SEPD pondrá de relieve más adelante algunos de los problemas relativos a la intimidad de la protección de los datos que deberían ser resueltos en la comitología y por parte de los responsables del tratamiento, a la hora de concebir las aplicaciones y la arquitectura de los sistemas. Además, esbozará algunos de los problemas de protección de los datos que deben ser tratados por el legislador y los responsables del tratamiento con respecto a la provisión de servicios de STI.

III. 1. «Intimidad mediante el diseño»

28. La aplicación correcta de los principios de la protección de datos establecidos en la Directiva 95/46/CE es una condición fundamental del éxito del despliegue de los STI en la Comunidad. Dichos principios tienen consecuencias para la concepción de la arquitectura de los sistemas y de las aplicaciones. El SEPD recomienda que se adopte un planteamiento de «intimidad mediante el diseño» en una etapa inicial de la concepción de los STI, para definir la arquitectura, el funcionamiento y la gestión de las aplicaciones y los sistemas. Este planteamiento se destaca en particular en la Directiva 1995/5/CE (18) por lo que respecta a la con cepción de equipos radioeléctricos y equipos terminales de telecomunicación.

(15) Tal como se establece en el considerando 26 de la Directiva 95/46/CE, «para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona».

(16) La enmienda 34, que introduce un nuevo apartado 1 ter al artículo 6, dispone: «Los datos personales serán sólo objeto de tratamiento cuando éste sea necesario para la ejecución de la aplicación o el servicio de STI».

(17) La enmienda 36 añade al artículo 6.2 el siguiente fragmento: «y por que no se puedan utilizar para fines distintos de los contemplados en la presente Directiva».

29. La concepción de las aplicaciones y sistemas de STI se hará en varias etapas, por varias partes implicadas, que tendrán que tener en cuenta la intimidad y la protección de los datos. La Comisión y su Comité STI tendrán una responsabilidad inicial específica en la definición, mediante el procedimiento de comitología, de las medidas, las iniciativas de normalización, los procedimientos y las prácticas idóneas que deben promover la «intimidad mediante el diseño».

30. La «intimidad mediante el diseño» debería fomentarse en todas las etapas de los procesos y en todas sus formas: en el nivel organizativo, la intimidad debería tenerse en cuenta en la definición de los procedimientos necesarios de intercambio de datos entre todos los puntos de intercambio correspondientes: ello podría incidir directamente en el tipo de intercambio y en qué datos se intercambian, los requisitos de intimidad y seguridad deberían incorporarse a las normas, a las prácticas idóneas, a las descripciones técnicas y a los sistemas, en el nivel técnico, el SEPD recomienda el desarrollo, por ejemplo mediante la comitología, de las mejores técnicas disponibles (19) (MTD) para la intimidad la protección de los datos y la seguridad en sectores concretos y para fines particulares, en las cuales los diversos parámetros de seguridad que deben aplicarse a lo largo del ciclo de vida del sistema quedarían definidos con objeto de garantizar el cumplimiento del marco reglamentario de la UE.

31. El SEPD destaca algunos de los problemas que deben afrontarse en concreto en la concepción de las aplicaciones y de la arquitectura de los sistemas descritos más abajo. Guardan relación con los datos recopilados, con la compatibilidad de los sistemas y con la seguridad de los datos.

III. 1a) Minimización de datos y anonimato

32. De conformidad con el artículo 6.1c) de la Directiva 95/46/CE, sólo pueden recopilarse y tratarse los datos personales que sean necesarios y guarden relación con unos fines determinados.

33. El SEPD insiste en la importancia de realizar una clasificación adecuada de la información y de los datos que deben tratarse por medio de los STI antes de concebir las aplicaciones y los sistemas, con objeto de evitar una recopilación masiva e inadecuada de datos personales. A este respecto debería tenerse en cuenta lo siguiente: la fuente de los datos (si es una fuente pública, un proveedor de telecomunicaciones, un proveedor de servicios STI, otros operadores, el vehículo, el usuario del vehículo u otro interesado), la naturaleza de los datos (por ejemplo información agregada, datos anónimos, datos personales o, datos sensibles), los fines para los cuales se pretende usar los datos, y con respecto a los sistemas cooperativos, debería aclararse qué datos se introducen o se extraen del vehículo, se intercambian con otro vehículo u otra infraestructura, y entre infraestructuras, y con qué fines.

34. Cada una de las distintas funciones debería ser analizada cuidadosamente con arreglo a los objetivos previstos con objeto de evaluar la necesidad de recopilar datos personales. El SEPD insiste en la importancia de hallar un equilibrio adecuado entre los derechos fundamentales de los interesados y los intereses de las diferentes partes afectadas, lo que implica que se trate el menor número posible de datos personales. En la medida que se pueda, la arquitectura de las aplicaciones y los sistemas debería concebirse de modo tal que sólo se recopilen los datos personales que sean estrictamente necesarios para cumplir los fines que debe lograrse.

35. Si no son necesarios datos personales, o lo son sólo al comienzo del tratamiento, no deberían ser recopilados o bien deberían ser hechos anónimos lo antes posible. Esto es, pues, particularmente importante no sólo para evaluar la necesidad de recopilar datos, sino además de conservar los en los diferentes sistemas. Deberían definirse plazos específicos para el almacenamiento de datos personales para todas las partes interesadas de la cadena del servicio, que deberían diferenciarse con arreglo al tipo de dato y a los fines para los cuales fueron recopilados (20). En consecuencia, cuando deja de ser necesario conservar los datos personales para lograr los fines para los cuales fueron recopilados o fueron tratados, dichos datos deberían ser hechos anónimos, es decir dejar de guardar relación con una persona identificada o identificable.

36. La concepción de la arquitectura de los sistemas y los procedimientos de intercambio de datos deberían favorecer el tratamiento del menor número posible de datos personales. A este respecto, habría que tener en cuenta todas las etapas del tratamiento y todos los actores de la cadena de provisión de servicios de STI. Si bien algunos datos pueden intercambiarse o tratarse de modo anónimo, otros datos, aun cuando se intercambian sin identificar, pueden vincularse a datos relativos a personas identificadas, por lo que constituirán datos personales en la acepción del artículo 2, letra a), de la Directiva 95/46/CE (21). Dados los fines para los cuales se usarán los STI, parece difícil garantizar que una gran cantidad de los datos reunidos por medio de los STI sean tratados de modo anónimo, pues en algún momento será necesaria la identidad del individuo con fines específicos, como la facturación. Como resultado de lo anterior, deberían tomarse medidas especiales de orden técnico, organizativo y jurídico para garantizar el anonimato en determinados ámbitos.

(18) Principalmente el artículo 3.3c) de la Directiva 1999/5/CE del Parlamento Europeo y del Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos terminales de telecomunicación y reconocimiento mutuo de su conformidad.

(19) Se entenderá por mejores técnicas disponibles la fase más eficaz y avanzada de desarrollo de las actividades y de sus modalidades de explotación, que demuestren la capacidad práctica de determinadas técnicas para constituir, en principio, la base para que las aplicaciones y los sistemas de STI cumplan los requisitos de intimidad, protección de datos y seguridad del marco reglamentario de la UE.

(20) Por ejemplo, la conservación de datos de tráfico y de datos de localización en relación con la provisión de servicios de comunicaciones electrónicas de acceso público en las redes públicas de comunicaciones está regulada en la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.

III. 1b) Interoperabilidad, calidad de los datos y limitación a los fines

37. La interoperabilidad de las aplicaciones y los sistemas es un elemento central del éxito del despliegue de los STI. Se hará un trabajo de armonización mediante el cual se definirán las especificaciones técnicas de las interfaces que se integrarán en las aplicaciones y sistemas, con el fin de permitir a estos interactuar con otras aplicaciones integradas en otros modos o sistemas de transporte. Aunque la interoperabilidad de los sistemas contribuirá a facilitar la provisión de una serie de servicios y contribuirá a garantizar su continuidad en toda Europa, plantea una serie de riesgos desde el punto de vista de la protección de los datos, como los riesgos de uso indebido o abusivo de los datos. Toda interconexión de unas bases de datos debe hacerse dentro del cumplimiento de los principios de la protección de los datos (22) y de las salvaguardias prácticas sobre la seguridad [véase también sección III. 1. c)].

38. El principio de calidad de los datos enunciado en el artículo 6, letra d), de la Directiva 95/46/CE es particularmente importante en el contexto de la interoperabilidad de las aplicaciones y sistemas. Las especificaciones técnicas que deben definirse para la concepción de las interfaces debe garantizar la precisión de los datos que vayan a obtenerse como resultado de la interconexión de las aplicaciones y sistemas.

39. Dado que la interoperabilidad de los sistemas facilitará la interconexión de bases de datos y la comparación de datos para otros fines, el SEPD insiste en que toda interconexión debe hacerse estudiando con cuidado el principio de limitación a los fines preceptuado en el artículo 6.1b) de la Directiva 95/46/CE. Es particularmente importante que la concepción de la arquitectura de los sistemas de STI impida que vuelva a usarse los datos con otros fines que no sean aquellos para los cuales fueron recopilados. Debe integrarse en el sistema las oportunas protecciones de seguridad para impedir el uso indebido, la revelación no autorizada o el acceso, así como los efectos colaterales de los dispositivos. Por ejemplo deben crearse protecciones suficientes para impedir que terceros no autorizados accedan a los dispositivos nómadas y que éstos sean utilizados para identificar y seguir a personas con otros fines que no sean los del sistema.

40. Por lo que respecta a la licitud de la interconexión en sí misma, ésta tendrá que ser valorada caso por caso, teniendo en cuenta la naturaleza de los datos puestos a disposición y que se intercambian mediante los sistemas, así como los fines para los cuales se pensaban utilizar en un principio.

III. 1c) Seguridad de los datos

41. La seguridad de los datos personales un elemento clave del despliegue de los STI. El SEPD celebra el hecho de que se haga mención explícita de la seguridad en el plan de acción y en la propuesta de Directiva. La seguridad debería plantearse no sólo durante el funcionamiento del dispositivo STI (tanto en el sistema incorporado al vehículo como en el protocolo de comunicación) sino también más allá del funcionamiento del dispositivo: en las bases de datos en que éstos son tratados y almacenados. Deberían definirse unos requisitos técnicos, administrativos y organizativos apropiados para todas las etapas del tratamiento que garanticen un nivel de seguridad suficiente de conformidad con los artículos 16 y 17 de la Directiva 95/46/CE (así como con los artículos 4 y 5 de la Directiva 2002/58/CE, en su caso).

42. La definición de las medidas de seguridad oportunas no debería hacerse sin antes proceder a una detenida valoración de los fines particulares para los cuales serán usados los STI y de las modalidades del tratamiento. A este respecto, el SEPD recomienda que se lleven a cabo evaluaciones de impacto sobre intimidad y protección de los datos en relación con sectores o fines de uso en particular (por ejemplo para sistemas de STI relativos a la seguridad, para sistemas de gestión del tráfico de mercancías, etc.). La realización de una evaluación de impacto sobre intimidad y protección de los datos y el uso de la mejor tecnología disponible para la intimidad y la protección de los datos contribuirá a definir las medidas de seguridad más apropiadas relativas al tratamiento realizado en particular.

III. 2. Otras consideraciones de protección de los datos y de intimidad para la provisión de servicios de STI

43. Es necesario armonizar en mayor medida las modalidades de despliegue de los servicios de STI en el nivel de la UE, con el fin de evitar las discrepancias en el despliegue de los servicios de STI. A este respecto, el SEPD quisiera señalar a continuación dos problemas que, particularmente, tendrán que seguir siendo estudiados desde el punto de vista de la intimidad y de la protección de los datos: el uso de instrumentos de localización para la provisión de servicios públicos y comerciales basados en la localización exige que se apliquen otras salvaguardias. En este contexto, debe ponerse especial atención a si los servicios de STI basados en la localización se usan con fines privados o con fines profesionales y en qué momento, y de qué modo el uso de dicho sistema incide en los individuos que utilizan un vehículo en un contexto profesional, en los sistemas integrados, es de particular importancia que se precisen las funciones y las responsabilidades de las diferentes partes que intervienen en los STI.

(21) Véase nota 15 a pie de página.

(22) Véase también los comentarios del SEPD sobre la Comunicación de la Comisión sobre la interoperabilidad de las bases de datos europeas, de 10 de marzo de 2006. http:/www. edps. europa. eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2006/06-03- 10_Interoperability_ES. pdf

III. 2a) Salvaguardias para la utilización de instrumentos de localización destinados a la prestación de servicios basados en la localización de los sistemas de transporte inteligentes

44. El despliegue de los STI respaldará el desarrollo de aplicaciones de «seguimiento y localización» de mercancías y permitirá el desarrollo de servicios comerciales y públicos basados en la localización. Dichos servicios se basarán en el uso de tecnologías como el posicionamiento por satélite y las etiquetas de identificación por radiofrecuencia (RFID) (23). Los sistemas de navegación, de seguimiento y localización están pensados para ser utilizados con diversas finalidades, para el seguimiento remoto en ruta de vehícu los y mercancías (por ejemplo en el transporte de mercancías peligrosas y de animales vivos), la facturación de vehículos sobre una variedad de parámetros, entre estos, la distancia recorrida y el momento del día (por ejemplo, sistemas de tarificación vial, de telepeaje) y el control de los conductores a efectos de cumplimiento de las obligaciones, como supervisión de los períodos de conducción (mediante tacógrafos digitales) e imposición de sanciones (mediante la identificación electrónica de vehículos).

45. La utilización de tecnologías de localización conlleva un elevado nivel de intrusión en la intimidad, pues permite el seguimiento de los conductores y la recogida de una amplia variedad de datos relacionados con sus hábitos de conducción. Como resaltó el Grupo de Trabajo del artículo 29 (24), el tratamiento de datos de localización es un tema especialmente delicado, ya que comprende la cuestión clave de la libertad de circulación de manera anónima y que exige la aplicación de salvaguardias específicas para impedir la vigilancia de personas y el uso abusivo de los datos.

46. El SEPD resalta que la utilización de instrumentos de localización tiene que llevarse a cabo de una forma lícita, es decir, sobre una base jurídica correcta, con fines explícitos y legítimos, y proporcionada en relación con los objetivos que se pretenden lograr. La licitud del tratamiento de datos emprendido dependerá en gran medida de la manera en que se utilicen esos instrumentos de localización y de la finalidad con la que se utilicen. Como subrayó el Grupo de Trabajo del artículo 29 en su dictamen sobre eCall, no sería aceptable, desde un punto de vista de la protección de datos, tener esos dispositivos conectados de manera permanente y, por ende, los vehículos permanentemente localizados a fin de poder activar los dispositivos de eCall (25). Por eso es importante aclarar mejor las circunstancias específicas en las que un vehículo será localizado y sus consecuencias para el usuario. En cualquier caso, la utilización de dispositivos de localización deberá justificarse por una necesidad legítima (por ejemplo, control del transporte de mercancías) y se deberá limitar estrictamente a esos fines. Por lo tanto, es importante definir detalladamente qué datos de localización se recogen, dónde se almacenan y por cuánto tiempo se conservan, con quién se intercambian y con qué finalidad, y adoptar todas las medidas necesarias para evitar un uso indebido o abusivo de los datos.

47. Además, el tratamiento de datos de localización relacionados con los usuarios de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público se encuentra estrictamente regulado en el artículo 9 de la Directiva 2002/58/CE. En concreto, este artículo exige que el tratamiento de los datos de localización se lleven a cabo de una manera anónima o si no, tras su información, con el consentimiento del usuario. Esto significa que, antes de convenir en la utilización de instrumentos de localización, a los usuarios se les tiene que facilitar la información adecuada, entre ésta, el tipo de datos de localización que se va a tratar, la finalidad y la duración del tratamiento y si los datos se transmitirán a terceros a efectos de la prestación de servicios con valor añadido. Mediante un procedimiento sencillo y gratuito los usuarios tienen que poder rechazar temporalmente el tratamiento de datos de localización para cada conexión a la red o por cada transmisión de una comunicación. El tratamiento de los datos de localización deberá limitarse estrictamente a las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público o del tercero que preste el servicio con valor añadido.

48. Tienen que adoptarse medidas de salvaguardia adicionales cuando los datos de localización se recogen de vehículos que se usan para la realización de una actividad profesional, a fin de evitar que la tecnología de localización se utilice para controlar excesivamente a los empleados. En cualquier caso, el tratamiento ha de limitarse a la recogida de datos de localización durante el tiempo de trabajo, es decir, que los empleados deben poder desconectar la función de localización fuera de las horas de trabajo o cuando utilicen el vehículos para fines privados.

49. Existe el peligro de que terceros (como compañías de seguros, empresarios o autoridades judiciales y policiales) exijan el acceso a datos recogidos de sistemas de navegación y de seguimiento con fines específicos y legítimos (como el seguimiento de mercancías, telepeaje, etc.) para utilizarlos con fines secundarios, como la comprobación de los periodos de conducción y de descanso o la verificación de que se han cumplido las normas de circulación y la imposición de sanciones. Como norma general, el acceso a los datos para fines secundarios no está permitido, cuando dicho acceso sirva a fines que son incompatibles con aquellos para los que los datos se han recogido. Sólo podrá permitirse el acceso mediante excepción a este principio si las condiciones de dicho acceso satisfacen los requisitos estrictos establecidos en el artículo 13 de la Directiva 95/56/CE. Por consiguiente, cualquier acceso a datos de localización a terceros sólo debería ser posible de acuerdo con la ley y de una manera transparente, sobre la base de una medida legal que establezca los procedimientos y modalidades de acceso a los datos adecuados con fines específicos, y se establezcan las salvaguardias adecuadas para las personas conforme a los otros fines para los que sus datos podrían ser utilizados.

(23) Véase las cuestiones sobre protección de datos y de la intimidad planteadas por la utilización de RFID en el Dictamen del Supervisor Europeo de Protección de Datos relativo a la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «a identificación por radiofrecuencia (RFID) en Europa: Pasos hacia un marco político» COM(2007) 96, DO C 101 de 23.4.2008, p. 1. http:/www. edps. europa. eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2007/07-12-20_RFID_EN. pdf

(24) Grupo de Trabajo del artículo 29, Dictamen sobre el uso de datos de localización con vistas a prestar servicios con un valor añadido, WP 115, noviembre de 2005. http:/ec. europa. eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp115_en. pdf

(25) Veáse WP 125 sobre eCall, p. 5, citado en la nota a pie de página 10.

III. 2b) Funciones y responsabilidades de las personas que intervienen en el STI

50. Todavía no está claro quién será el controlador de los datos para cada parte del tratamiento. En muchos casos los prestadores de servicios de STI serán probablemente los controladores de los datos, a veces en solitario respecto de los datos personales tratados para la prestación de sus propios servicios STI o conjuntamente en los casos en los que el tratamiento se lleva a cabo junto con otros controladores de datos. Los operadores que participan de diferentes formas en los STI deben tener claramente especificadas sus funciones y responsabilidades, como controladores de datos y como las personas que tratan los datos, respecto de cada una de las partes del tratamiento (por ejemplo, operadores de telecomunicaciones que prestan servicios de comunicaciones así como servicios de STI).

51. Aquellas personas que actúan como controladores de datos serán responsables (26) de garantizar que los sistemas y servicios se ajustan a todas las obligaciones de protección de datos, y en particular respecto de los sistemas de aplicación que incluyen «intimidad mediante el diseño», que respetan la calidad de los datos y los principios de la limitación de las finalidades, y que garantizan un nivel adecuado de seguridad de los datos, como se describe en III. 1).

52. Los controladores de los datos habrán de garantizar que se han introducido las salvaguardias adecuadas en todos los niveles de la cadena de personas que participan en el despliegue de STI. Eso exigirá en concreto establecer en regímenes contractuales apropiados con todos los agentes que participan en el intercambio y tratamiento de los datos, lo que debería ofrecer las salvaguardias de protección de datos adecuada (en particular, respetando los artículos 16 y 17 de la Directiva 95/46/CE y los artículos 4 y 5 de la Directiva 2002/58/CE). Es importante observar que desde una perspectiva de la protección de datos, aunque los controladores de datos tienen que velar por que la protección de datos se lleve a cabo en todas las etapas del tratamiento, ellos siguen siendo responsables del tratamiento y su responsabilidad no puede quedar excluida mediante contrato.

IV. CONCLUSIONES

53. El SEPD celebra la propuesta de plan de despliegue de los STI presentado por la Comisión, que tiene por objeto armonizar el tratamiento de datos en todo Europa con objeto de facilitar la provisión de servicios de STI, y en la cual la protección de los datos se presenta como condición básica para el adecuado despliegue de los STI en Europa.

54. El SEPD advierte que la propuesta de Directiva establece un marco general que plantea una serie de cuestiones relativas a la intimidad y a la protección de los datos, que aún deben ser tratadas en el ámbito de la UE y en el ámbito nacional: existe el riesgo de que la falta de claridad del marco jurídico propuesto dé lugar a diversidades en la aplicación de los STI en Europa y con ello a diferentes niveles de protección de los datos en Europa. El SEPD insiste en la necesidad de proseguir la armonización sobre estas cuestiones en el ámbito de la UE para aclarar los problemas pendientes (como la definición de las funciones y responsabilidades de los participantes en los STI, las aplicaciones y sistemas concretos de STI que deben ir instalados en los vehículos, el desarrollo de unos contratos armonizados para la provisión de servicios de STI, los fines y modalidades específicos del uso de los STI, etc.). Es particularmente importante determinar quiénes serán los responsables del tratamiento en relación con el tratamiento de datos centralizado, pues sobre ellos recaerá la responsabilidad de garantizar que, en todos los niveles de la cadena del tratamiento, se tengan en cuenta las consideraciones sobre la intimidad y la protección de los datos, las decisiones relativas a determinadas modalidades del tratamiento que pueden incidir gravemente en el derecho a la intimidad y a la protección de los datos de las personas deben ser tomadas en el Parlamento Europeo y en el Consejo, y no por el procedimiento de comitología, desde la máxima importancia tener en cuenta la intimidad y la protección de los datos desde la fase inicial del tratamiento y en todas las etapas de éste; debería favorecerse la aplicación de la «intimidad mediante el diseño» para la construcción de las aplicaciones y sistemas de STI, y dicho principio debe ser incorporado en las normas, las prácticas idóneas, las especificaciones técnicas y los sistemas, toda interconexión entre aplicaciones y sistemas debe hacerse con el debido respeto a los principios de la protección de los datos y a las salvaguardias prácticas sobre seguridad, en relación con las incertidumbres que permanecen en estos momentos en relación con las modalidades de despliegue de los STI, el SEPD celebra en particular la iniciativa, presentada por la Comisión en su Comunicación, de que se realice una evaluación de protección de la intimidad antes de 2011. Asimismo aconseja insistentemente que se lleven a cabo evaluaciones de impacto sobre la intimidad y la protección de los datos en relación con sectores o fines de uso concretos para la definición de las oportunas medidas de seguridad, y que se desarrollen las mejores técnicas disponibles para la protección de la intimidad, la protección de los datos y la seguridad en los STI, el SEPD insiste además en que los Estados miembros tendrán la responsabilidad de aplicar la Directiva correctamente, de modo que los operadores de STI apliquen unos sistemas y servicios que ofrezcan un nivel adecuado de protección de los datos en toda Europa, los responsables de los tratamientos que presten servicios de STI deberían aplicar las salvaguardias oportunas de modo que el uso de las tecnologías de localización, como el posicionamiento por satélite y las etiquetas RFID, no invadan la intimidad de las personas que utilicen vehículos de manera totalmente privada o en el ámbito profesional. Esto exigirá, en particular, limitar el tratamiento a los datos estrictamente necesarios para tal fin, garantizando que se instale en los sistemas las oportunas medidas de seguridad de manera que los datos de localización no sean revelados a receptores no autorizados, facilitando a los usuarios un medio efectivo de desactivar el dispositivo o la función de localización.

(26) Véase nota 13 a pie de página.

55. El SEPD recomienda que se modifique el artículo 6 de la propuesta, consecuentemente con la Directiva 95/46/CE, como sigue: debería favorecerse una minimización de los datos para el tratamiento de datos realizado por medio de los STI. Desde este punto de vista, se recomienda modificar el artículo 6.1b) de la propuesta, del siguiente modo: «los datos personales sólo serán tratados en la medida en que tratamiento sea necesario para el fin específico para el que se use el STI y con arreglo a una base jurídica apropiada», es importante que los datos personales tratados mediante sistemas interoperables no se usen para otros fines que sean incompatibles con aquellos para los cuales fueron recopilados. Por ello se recomienda modificar el artículo 6.2 de como sigue: «y no podrán ser utilizados para fines que no sean aquellos para los cuales fueron recopilados de modo incompatible con dichos fines.», recomienda que se añada al artículo 6 de la propuesta una referencia explícita al concepto de «intimidad mediante el diseño» para la concepción de aplicaciones y sistemas de STI. Asimismo recomienda que el Grupo de Trabajo del artículo 29 y el SEPD sean informados y consultados a propósito de cualquier innovación adoptada sobre este asunto, por medio del procedimiento de comitología.

56. El SEPD recomienda asimismo que en los considerandos de la propuesta se haga referencia a dicha consulta.

57. Considerando lo anterior, el SEPD recomienda que las autoridades de protección de los datos, en particular por medio del Grupo de Trabajo del artículo 29, y el SEPD intervengan activamente en las iniciativas relativas al despliegue de los STI, mediante la consulta en una fase lo suficientemente temprana antes del desarrollo de las medidas correspondientes.

Hecho en Bruselas, el 22 de julio de 2009. Peter HUSTINX Supervisor Europeo de Protección de Datos


No hay versiones para esta norma