Dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a las estadísticas europeas sobre seguridad frente a la delincuencia (2011/C 343/01), - Diario Oficial de la Unión Europea, de 23-11-2011

TIEMPO DE LECTURA:

  • Ámbito: Doue
  • Boletín: Diario Oficial de la Unión Europea Número 305
  • Fecha de Publicación: 23/11/2011
  • PDF de la disposición

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, el artículo 16,

Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 7 y 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Visto el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (2), y en particular el artículo 28, apartado 2,

Vista la solicitud de dictamen efectuada de conformidad con lo dispuesto en el artículo 28, apartado 2, del

Reglamento (CE) nº 45/2001.

HA ADOPTADO EL SIGUIENTE DICTAMEN:

I. INTRODUCCIÓN

I. 1. Consulta al Supervisor Europeo de Protección de Datos

1. El 8 de junio de 2011, la Comisión adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a las estadísticas europeas sobre seguridad frente a la delincuencia (3) (en adelante, la «propuesta»). Ese mismo día la propuesta se trasladó para consulta al SEPD.

2. Al SEPD le complace haber sido consultado con arreglo a lo establecido en el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001 y recibe con agrado la referencia al presente dictamen que se ha incluido en el preámbulo de la propuesta.

3. El SEPD recibe asimismo con agrado el hecho de que previamente haya podido proporcionar observaciones informales sobre el proyecto de propuesta. I.

2. Objetivos y ámbito de aplicación de la propuesta

4. La propuesta pretende introducir en la Unión Europea una nueva encuesta (4) sobre seguridad frente a la delincuencia. Establecerá un marco común para elaborar estadísticas europeas comparables a través de la recogida, la compilación, el tratamiento y el envío de datos europeos armonizados.

(1) DO L 281 de 23.11.1995, p. 31.

(2) DO L 8 de 12.1.2001, p. 1.

(3) COM(2011) 335 final.

(4) Se permite a los Estados miembros que cumplan asimismo los requisitos de la propuesta modificando las encuestas nacionales existentes.

5. En el anexo I de la propuesta se detallan los datos que deben tratarse e se incluyen preguntas específicas sobre el contexto sociodemográfico de los encuestados, los posibles incidentes de violencia sexual y física que hayan podido sufrir, su sensación de seguridad y su actitud frente a la aplicación de la ley y las precauciones en materia de seguridad.

6. La propuesta regula la transferencia de datos confidenciales enviados por los Estados miembros a la Comisión (Eurostat), así como la difusión y el acceso a los datos con fines científicos. Mediante actos de ejecución, se establecerán las disposiciones prácticas para el método de codificación de los datos y para el intercambio de microdatos. I.

3. Finalidad del dictamen del SEPD

7. El presente dictamen analizará los elementos de la propuesta que están relacionados con el tratamiento de datos personales. Se basa en dos dictámenes previos del SEPD en este campo, relativos, respectivamente, al Reglamento (CE) nº 223/2009 que proporciona un marco de referencia para el desarrollo de estadísticas europeas (1) y al Reglamento (CE) nº 1338/2008 sobre estadísticas de salud y seguridad en el trabajo (2).

8. El dictamen también hace referencia al Reglamento (CE) nº 831/2002 relativo al acceso con fines científicos a datos confidenciales (3), que actualmente es objeto de una revisión. El SEPD recibiría con agrado una solicitud de consulta a este respecto. Las referencias al Reglamento (CE) nº 831/2002 incluidas en el presente dictamen se entienden sin perjuicio del consejo que el SEPD pudiera aportar en dicho contexto.

II. ANÁLISIS DE LA PROPUESTA

II. 1. Consideraciones previas

9. El SEPD es consciente de la importancia de desarrollar, elaborar o difundir datos estadísticos, tal como ya ha manifestado en anteriores ocasiones (4). Sin embargo, al SEPD le preocupa el riesgo de que los interesados puedan ser identificados y el hecho de que puedan tratarse datos sensibles, como los datos relativos a la salud, la vida sexual y las infracciones.

10. El SEPD recibe con agrado las referencias a la protección de los derechos y libertades de las personas físicas en relación con el tratamiento de datos personales, incluidas en los considerandos 6 y 7 de la propuesta aunque lamenta que en la evaluación de impacto no se hayan tratado las posibles repercusiones de la propuesta sobre la protección de datos y la intimidad.

11. El presente dictamen aborda la posibilidad de identificar a personas físicas en la presente propuesta y en el contexto de las estadísticas en general (parte II. 2) y la aplicabilidad del marco jurídico de protección de datos (parte II. 3). Posteriormente, la parte II. 4 analiza el tratamiento de datos sensibles. En la parte II. 5, el dictamen se centra en las garantías de seguridad y de anonimato y en la parte II. 6 aborda, por último, la cuestión de la información que debe proporcionarse a los interesados. II.

2. Posibilidad de identificar a los interesados

12. Los datos personales se definen en el artículo 2, letra a), de la Directiva 95/46/CE y el artículo 2, letra a), del Reglamento (CE) nº 45/2001 como toda información sobre una persona física identificada o identificable (el «interesado»). Esta identificación puede ser directa, por ejemplo, mediante el nombre, o indirecta, como por ejemplo mediante un número de identificación u otros elementos. Por tanto, siempre que existe la posibilidad de identificar a personas físicas, los datos pertinentes se consideran datos personales y, por lo tanto, resulta aplicable la legislación en materia de protección de datos.

(1) Véase el dictamen del SEPD sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la estadística europea, DO C 308 de 3.12.2008, p. 1. (disponibleen http:/www. edps. europa. eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2008/08-05-20_Statistics_ ES. pdf) y el Reglamento (CE) nº 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea (DO L 87 de 31.3.2009, p. 164).

(2) Véase el dictamen del SEPD sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo, DO C 295 de 7.12.2007, p. 1 (disponible en http:/www. edps. europa. eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2007/07-09- 05_Statistics_health_data_ES. pdf) y el Reglamento (CE) nº 1338/2008 del Parlamento Europeo y el Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).

(3) Reglamento (CE) nº 831/2002, de 17 de mayo de 2002, por el que se aplica el Reglamento (CE) nº 322/97 del Consejo sobre la estadística comunitaria en lo relativo al acceso con fines científicos a datos confidenciales (DO L 133 de 18.5.2002, p. 7).

(4) Dictámenes del SEPD relativos a las estadísticas, mencionados anteriormente.

13. En el contexto de las estadísticas, la posibilidad de identificar a los interesados se refiere principalmente a los microdatos (1), que incluyen información sobre unidades estadísticas individuales. Mientras que los investigadores, los encargados de elaborar las políticas y otros usuarios pueden solicitar un acceso a los microdatos tan detallado como sea posible, para aumentar la calidad y la flexibilidad de sus investigaciones, los encuestados necesitan garantías de que sus datos personales serán protegidos, especialmente en los casos en que las encuestas traten cuestiones sensibles, como la que se contempla en la presente propuesta. La protección de datos personales también ha planteado problemas en el ámbito de la revisión del Reglamento (CE) nº 831/2002 (2).

14. Respecto de la posibilidad de identificar a los interesados, hay dos conceptos diferentes que son relevantes en la legislación europea en materia de estadística: los «datos confidenciales» y los «datos anónimos». De acuerdo con lo dispuesto en el Reglamento (CE) nº 223/2009, los datos que permiten «identificar, directa o indirectamente» a las unidades estadísticas (que pueden ser personas físicas, hogares, empresas u otro tipo de operador) se consideran «datos confidenciales» (3) y, por ello, están amparados por el secreto estadístico (4). Sin embargo, el Reglamento (CE) nº 831/2002 define los «datos confidenciales» como aquellos datos «que sólo permitan una identificación indirecta». Teniendo en cuenta que en la presente propuesta las unidades estadísticas hacen referencia a personas físicas (así como a hogares) (5), en este caso los «datos confidenciales» incluyen datos personales y, por tanto, la legislación en materia de protección de datos resulta aplicable, con independencia de si los datos permiten la identificación directa o indirectamente.

15. La definición de «datos anónimos» también es ligeramente diferente en estos dos Reglamentos. Mientras que los «microdatos anónimos» están descritos en el Reglamento (CE) nº 831/2002 como registros estadísticos individuales en los que el riesgo de identificación se ha «reducido al mínimo» (6), de acuerdo con el artículo 19 del Reglamento (CE) nº 223/2009, los «registros anónimos» son aquellos «elaborados de manera que no se identifique a la unidad estadística, ni de forma directa ni indirecta, teniendo en cuenta todos los medios pertinentes que un tercero pueda utilizar razonablemente» (7). Esta última es comparable con la definición incluida en el considerando 26 de la Directiva 95/46/CE y el considerando 8 del Reglamento (CE) nº 45/2001, de acuerdo con la cual los datos personales se «hacen anónimos» cuando «ya no sea posible» identificar al interesado, teniendo en cuenta «el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona» (8).

(1) Definidos en la propuesta como «registros estadísticos individuales» y en la «Concepts and Definitions Database» (base de datos de conceptos y definiciones) de Eurostat como «observaciones no agrupadas o mediciones de las características de las unidades individuales. Un conjunto de microdatos es el resultado de un ejemplo de encuesta o de otro ejemplo de recogida de datos después de la edición a nivel de la unidad y haber realizado la imputación y posible correspondencia con otros datos a nivel de la unidad. Organiza los datos a nivel de la unidad de forma que puedan identificarse las relaciones entre las unidades individuales y sus características, para permitir todos los tipos de agrupación». (Base de Datos de Conceptos y Definiciones de Eurostat, disponible en http://ec. europa. eu/eurostat/ramon/nomenclatures/index. cfm? TargetUrl= DSP_GLOSSARY_ NOM_DTL_VIEW& StrNom= CODED2& StrLanguageCode= EN& IntKey= 22564850& RdoSearch= BEGIN& TxtSearch= microdata& CboTheme= &IntCurrentPage= 1, acceso del 17.8.2011).

(2) Las principales preocupaciones de los Estados miembros en relación con la revisión del Reglamento (CE) nº 831/2002 incluyen «la garantía de la protección de datos, los niveles de impacto de la confidencialidad y la cuestión de la titularidad de los datos y el control del acceso» (Eurostat, Informe de síntesis de la 8 a reunión del Comité del Sistema Estadístico Europeo y de la 66 a Conferencia del EEE de 10.2.2011, disponible en http:/www. europarl. europa. eu/RegData/docs_autres_institutions/commission_europeenne/comitologie/info/2011/CMTD(2011) 0018/COM-AC_DI(2011) S013045-01_EN. pdf, acceso del 17.8.2011).

(3) Véase el artículo 3, apartado 7, del Reglamento (CE) nº 223/2009.

(4) Regulado por el artículo 2, apartado 1, letra e), y el capítulo V del Reglamento (CE) nº 223/2009, y el Reglamento (CE) nº 831/2002.

(5) Véase el artículo 1 de la propuesta.

(6) Artículo 2 del Reglamento (CE) nº 831/2002.

(7) Artículo 19 del Reglamento (CE) nº 223/2009.

(8) Según el Grupo de Trabajo del Artículo 29, el criterio del «conjunto de los medios que puedan ser razonablemente utilizados» debería tener en cuenta todos los factores en juego, por ejemplo, «lo costoso de la identificación, (…) la finalidad del tratamiento, la manera en que el tratamiento está estructurado, el rédito que espera obtener el responsable del tratamiento, los intereses individuales en juego, así como el riesgo de que se produzcan disfunciones organizativas (por ejemplo, un quebrantamiento del deber de confidencialidad) y los fracasos técnicos». Las técnicas para convertir los datos en anónimos también deberían ser adaptadas a los avances tecnológicos que puedan permitir en un futuro identificar al interesado [Grupo de Trabajo del Artículo 29, Dictamen 4/2007 sobre el concepto de datos personales, de 20 de junio de 2007, (WP 136), p. 15, disponible en, http:/ec. europa. eu/justice/policies/privacy/docs/wpdocs/2007/wp136_es. pdf, acceso del 17.8.2011].

16. Por tanto, tras anonimizar los microdatos de conformidad con lo dispuesto en el artículo 19 del Reglamento (CE) nº 223/2009, que sólo sería aplicable en la presente propuesta en caso de que los microdatos fueran difundidos públicamente, los datos ya no tendrán la consideración de datos personales y las disposiciones de la Directiva 95/46/CE y del Reglamento (CE) nº 45/2001 no serán aplicables.

17. Sin embargo, datos considerados anónimos en el contexto del Reglamento (CE) nº 831/2002 pueden no estar anonimizados según la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001, ya que el riesgo de identificación puede seguir existiendo. Por tanto, el tratamiento de estos datos quedará sujeto a la legislación en materia de protección de datos. Esta definición de «datos anónimos» (reducción al mínimo de los riesgos de identificación) es la que se aplicará en la presente propuesta en caso de que la encuesta sobre seguridad frente a la delincuencia se incluya posteriormente en la lista del artículo 6 del Reglamento (CE) nº 831/2002. II.

3. Aplicabilidad de la Directiva 95/46/CE y del Reglamento (CE) nº 45/2001

II. 3.1. Recogida de los datos

18. El objetivo de la propuesta es establecer un marco común para «la elaboración de estadísticas europeas sobre seguridad frente a la delincuencia, por medio de la recogida, la compilación, el tratamiento y el envío por parte de los Estados miembros» (1) de datos comparables sobre delincuencia y seguridad.

19. Los Estados miembros recogen los datos y los envían a Eurostat, quien los difundirá y los pondrá a disposición de los investigadores. A pesar de que la propuesta no regula el modo en que los Estados miembros realizarán la recogida de datos, sí especifica qué datos deben ser enviados a Eurostat. Por tanto, las preguntas que se formularán a los encuestados vendrán determinadas por las categorías de datos que los Estados miembros están obligados a enviar a Eurostat, las cuales están incluidas en el anexo I de la propuesta.

20. El anexo I exige de manera explícita en el punto 6 la «identificación del encuestado». De igual forma, una de las preguntas que deben formularse en la encuesta respecto de la violencia por parte de la pareja o de una persona distinta de aquélla es «quién lo hizo» (punto 7 (1), del anexo I). Si estas preguntas tienen como respuesta un nombre, los datos se refieren de forma directa a personas identificadas.

21. El SEPD es consciente de que probablemente, la finalidad de estas preguntas no es obtener el nombre del encuestado y de su agresor, sino asignar un código al encuestado u obtener características específicas del presunto agresor, como si existe parentesco y el grado del mismo. Además, el SEPD recibe con agrado el hecho de que los identificadores directos no deben comunicarse a Eurostat ya que, de acuerdo con lo establecido en el artículo 7, apartado 1, de la propuesta, deben haber sido eliminados antes de dicha comunicación. Sin embargo, el SEPD recomienda que se modifiquen las descripciones de las variables contempladas en los puntos 6 y 7 (1), del anexo I, con el fin de aclarar cuál es la información específica que se exige y evitar que los Estados miembros recojan en vano estos identificadores directos.

22. Incluso sin estos identificadores directos, los datos recogidos posiblemente aún permitan una identificación indirecta «mediante un número de identificación», o mediante «uno o varios elementos específicos, características de su identidad física, psíquica, económica, cultural o social» (2), debido al número de campos de datos solicitados en la encuesta y a su nivel de detalle. Por tanto, el tratamiento de los datos por parte de los Estados miembros está sujeto a las normas nacionales de transposición de la Directiva 95/46/CE.

23. En este sentido, el SEPD desea subrayar el fenómeno de las combinaciones únicas o raras, en las que la combinación de diferentes datos permiten diferenciar a los interesados de otras personas y, de este modo, ser identificados, tal como ha destacado el Grupo de Trabajo del Artículo 29 (3).

(1) Véase el artículo 1 de la propuesta.

(2) Artículo 2, letra a), de la Directiva 95/46/CE y el artículo 2, letra a), del Reglamento (CE) nº 45/2001.

(3) «Una combinación de detalles pertenecientes a distintas categorías (edad, origen regional, etc.) también puede ser lo bastante concluyente en algunas circunstancias, en especial si se tiene acceso a información adicional de determinado tipo. Este fenómeno ha sido estudiado ampliamente por los estadísticos, siempre dispuestos a evitar cualquier quebrantamiento de la confidencialidad» [Grupo de Trabajo del Artículo 29, Dictamen 4/2007 sobre el concepto de datos personales, de 20 de junio de 2007, (WP 136), p. 13, disponible en http:/ec. europa. eu/justice/policies/privacy/docs/wpdocs/2007/wp136_es. pdf].

II. 3.2. Envío, acceso y difusión

24. La posibilidad de identificación sigue existiendo en el momento del envío de los datos a Eurostat así como en el momento en que los investigadores acceden a los mismos, ya que el artículo 7, apartado 1, de la propuesta (1) no exige la eliminación de los identificadores indirectos, como se ha puesto de relieve anteriormente. Asimismo, el artículo 7, apartados 1 y 2, exige a los Estados miembros de manera explícita que envíen microdatos confidenciales a Eurostat. Asimismo, de acuerdo con lo dispuesto en el artículo 9, apartado 2, de la propuesta (2), Eurostat podrá permitir el acceso a datos confidenciales con fines científicos.

25. Tal como se ha puesto de relieve anteriormente, los datos confidenciales son datos que permiten al menos la identificación indirecta de las unidades estadísticas, que en este caso incluyen a personas físicas. Por lo tanto, el tratamiento de datos por parte de Eurostat y su acceso por parte de los investigadores constituye un tratamiento de los datos personales, por lo que resultará de aplicación lo dispuesto en el Reglamento (CE) nº 45/2001.

26. Respecto de la difusión, el artículo 9, apartado 1, establece que Eurostat «difundirá las estadísticas sobre seguridad frente a la delincuencia el 31 de diciembre de 2014 a más tardar» aunque no especifica los modalidades mediante las que se llevará a cabo dicha difusión. Si la encuesta que se establezca con esta propuesta se incluye posteriormente en la lista del artículo 6 del Reglamento (CE) nº 831/2002, el riesgo de identificación únicamente se «reducirá al mínimo» antes de que los microdatos sean publicados. En dicho caso, se aplicará lo dispuesto en el Reglamento (CE) nº 45/2001, siempre que la identificación de los interesados aún sea posible.

27. En caso de que los microdatos sean difundidos públicamente, resultaría de aplicación lo dispuesto en el artículo 19 del Reglamento (CE) nº 223/2009, que exige el anonimato con arreglo a lo establecido en la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001 antes de que las unidades estadísticas individuales sean difundidas en forma de fichero de uso público. Después de que los microdatos se hagan anónimos de este modo, ya no serán considerados datos personales y, de este modo, ya no será de aplicación lo dispuesto en el Reglamento (CE) nº 45/2001. II.

4. Tratamiento de los datos sensibles

28. Es importante subrayar que el tratamiento de los datos personales en cuestión entran dentro de una categoría especial de datos sujeta a normas particularmente estrictas. En efecto, el artículo 8, apartado 1, de la Directiva 95/46/CE y el artículo 10, apartado 1, del Reglamento (CE) nº 45/2001 prohíben de manera explícita, salvo con sujeción a estrictas condiciones, el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad y limita el tratamiento de datos personales relativos a infracciones, condenas penales o medidas de seguridad (3).

29. Los Estados miembros deben enviar a Eurostat, entre otras categorías, datos sobre las relaciones actuales y pasadas, la violencia física por parte de la pareja o por parte de una persona distinta de la misma, los tratamientos médicos, la exposición a las drogas, las infracciones y la nacionalidad de los encuestados y de sus progenitores. Estas categorías incluyen datos relativos a la salud, la vida sexual y a las infracciones y podrían relevar el origen étnico. A continuación se muestran algunos ejemplos. Datos relativos a la salud: «si el encuestado resultó herido; si la herida requirió tratamiento médico en los puntos 2(2)(4) y 7(1); si el encuestado estaba expuesto a problemas con las drogas» en el punto 3; «si alguien (…) le ha dado un puñetazo (…), o le ha dado una patada, le ha arrastrado o le ha pegado; (…) le ha asfixiado o quemado, le ha amenazado o ha utilizado una pistola, un cuchillo u otra arma» en el punto 7(1); y «si la pareja actual o una pareja anterior le ha abofeteado, le ha lanzado (…)» en el punto 7(3). Datos relativos a la vida sexual: «relaciones anteriores; estado civil de hecho» (preguntado además del «estado civil») en el punto 5; «si alguien le ha obligado alguna vez a mantener relaciones sexuales no deseadas (…), o a realizar cualquier otra actividad sexual no deseada» en el punto 7(2); y «si el encuestado realizó alguna actividad sexual no deseada porque tenía miedo de la reacción de la pareja actual o de una pareja anterior (…)» en el punto 7(4). Datos que podrían revelar bajo determinadas condiciones el origen racial o étnico: país de nacimiento de la madre; país de nacimiento del padre (preguntado además del país de nacimiento) en el punto 5; e idioma utilizado en la entrevista en el punto 6. Datos relativos a sospechas de infracción o condenas penales: «experiencia en materia de delincuencia por tipos de delito; delitos relacionados con el hogar; delitos no convencionales», así como una larga lista de información sobre el delito (puntos 1 y 2).

(1) Y el Reglamento (CE) nº 223/2009 (mencionado anteriormente), al que se hace referencia en dicho artículo.

(2) Y a lo dispuesto en el Reglamento (CE) nº 831/2002 (mencionado anteriormente), al que dicho artículo hace referencia.

(3) Artículo 8, apartado 5, de la Directiva 95/46/CE y artículo 10, apartado 5, del Reglamento (CE) nº 45/2001.

30. El artículo 8, apartados 2 a 4, de la Directiva 95/46/CE y artículo 10, apartados 2 a 4, del Reglamento (CE) nº 45/2001 incluyen excepciones a la prohibición de tratamiento de estas categorías de datos. En el presente caso, el artículo 8, apartado 4, de la Directiva 95/46/CE y el artículo 10, apartado 4, del Reglamento (CE) nº 45/2001, que permiten el tratamiento de dichos datos por motivos de «interés público importante» podrían resultar de aplicación. Esta excepción queda sujeta, sin embargo, al establecimiento de «garantías apropiadas» y debe estar «prescrito por ley» (1).

31. En relación con este último requisito, el SEPD considera que el Reglamento, que será adoptado a través del procedimiento legislativo ordinario, tal como exige el artículo 338 del Tratado de Funcionamiento de la Unión Europea, proporcionará un fundamento jurídico adecuado para el tratamiento.

32. Pero este «interés público importante» que justifique la recogida, el envío y la difusión de dichos datos sensibles y detallados no queda suficiente motivado en la propuesta. Según el artículo 1 de la propuesta, ésta tiene por objeto establecer «un marco para el desarrollo, la elaboración y la difusión de estadísticas comparables sobre seguridad frente a la delincuencia». Sin embargo, a pesar de que la exposición de motivos y el preámbulo proporcionan explicaciones sobre el correspondiente contexto político, no se indican de manera explícita los fines específicos y políticos perseguidos por dichas estadísticas. Estos únicamente se mencionan de manera parcial en la Ficha Financiera Legislativa adjunta a la propuesta (2).

33. El SEPD recomendaría, por lo tanto, que se estableciera claramente en el preámbulo de la propuesta el interés público importante que justifica el tratamiento, como ya se ha hecho en otros reglamentos sobre el tratamiento de datos relativos a la salud (3) y a las estadísticas europeas (4). Esto también es relevante para evaluar la necesidad del tratamiento de las categorías detalladas de datos sensibles, ya que éstas podrían ser excesivas, y en cualquier caso no pueden considerarse pertinentes si el objetivo no está claramente especificado.

(1) Artículo 8, apartado 4, de la Directiva 95/46/CE y artículo 10, apartado 4, del Reglamento (CE) nº 45/2001.

(2) El punto 1.4.3. de la Ficha Financiera Legislativa establece que uno de estos «resultados esperados» de la propuesta son «estadísticas para respaldar la formulación de políticas destinadas a promover la seguridad y prevenir la delincuencia» (p. 23 de la propuesta) y, de acuerdo con lo dispuesto en el punto 1.5.2., el «valor añadido de la intervención de la Unión Europea» es la «comparabilidad de los resultados sobre seguridad frente a la delincuencia a nivel de la UE, lo que contribuirá a la elaboración de políticas basadas en pruebas».

(3) El considerando 23 del Reglamento (UE) nº 1235/2010 sobre farmacovigilancia establece que «el objetivo de proteger la salud pública constituye un interés público sustancial y, por consiguiente, el tratamiento de datos personales puede justificarse si los datos de salud identificables se procesan solo cuando sea necesario y solo si las partes interesadas evalúan esta necesidad en todas las etapas del proceso de farmacovigilancia.». [El Reglamento (UE) nº 1235/2010 del Parlamento Europeo y del Consejo, de 15 de diciembre de 2010, que modifica, en lo respecta a la farmacovigilancia de los medicamentos de uso humano, el Reglamento (CE) nº 726/2004, por el que se establecen procedimientos comunitarios para la autorización y el control de los medicamentos de uso humano y veterinario y por el que se crea la Agencia Europea de Medicamentos, y el Reglamento (CE) nº 1394/2007 sobre medicamentos de terapia avanzada (DO L 348 de 31.12.2010, p. 1)].

(4) El considerando 12 del Reglamento (CE) nº 1338/2008 (citado anteriormente) establece que «los requisitos estadísticos derivados de la acción comunitaria en el ámbito de la salud pública, las estrategias nacionales para el desarrollo de una asistencia sanitaria de alta calidad, accesible y viable y la estrategia comunitaria sobre salud y seguridad en el trabajo, los requisitos relacionados con los indicadores estructurales, los indicadores del desarrollo sostenible y los ECHI, así como otros conjuntos de indicadores que deben desarrollarse para supervisar las acciones y estrategias políticas comunitarias y nacionales en los ámbitos de salud pública y la salud y la seguridad en el trabajo, constituyen un interés público importante».

II. 5. Garantías de seguridad y anonimato

34. En lo que a la necesidad de «garantías apropiadas» se refiere, el SEPD destaca las referencias al Reglamento (CE) nº 223/2009, el Reglamento (CE) nº 831/2002 y al Código de buenas prácticas de las estadísticas europeas (1), que exigen la protección de los datos confidenciales. Sin embargo, como el SEPD ya ha señalado (2), el hecho de que los datos relativos directa o indirectamente a personas físicas identificables se consideren datos confidenciales y sean tratados como tal no garantiza, por sí solo, que el tratamiento de dichos datos cumpla totalmente lo dispuesto en la legislación en materia de protección de datos. En este sentido, el SEPD recibe con agrado las referencias a la Directiva 95/46/CE y al Reglamento (CE) nº 45/2001 incluidas en el preámbulo de la propuesta.

35. Teniendo en cuenta el carácter sensible de los datos que deben tratarse y el hecho de que los fines estadísticos perseguidos podrían satisfacerse con microdatos anónimos (3), el SEPD hace hincapié en que los datos deben anonimizarse tan pronto como sea posible de acuerdo con la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001 (4). En caso de que, debido al nivel de detalle necesario para la encuesta, no pueda garantizarse una anonimización total de los microdatos antes de su envío a Eurostat o antes de permitir el acceso a los investigadores, y ello quede claramente justificado, la propuesta debería al menos garantizar la anonimización según el Reglamento (CE) nº 831/2002 (reducción al mínimo de los riesgos de la identificación).

36. Los datos confidenciales que, en este caso serían datos sensibles, únicamente podrían tratarse si esto fuera necesario, es decir, si no pudieran obtenerse los mismos fines científicos con microdatos que hayan sido hecho anónimos, de acuerdo con lo dispuesto en la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001 o en los casos en que los riesgos de identificación hayan sido reducidos al mínimo, de acuerdo con lo dispuesto en el Reglamento (CE) nº 831/2002. Los datos difundidos públicamente deberían, en todo caso, ser anónimos, de acuerdo con lo dispuesto en la Directiva 95/46/CE, el Reglamento (CE) nº 45/2001 y el artículo 19 del Reglamento (CE) nº 223/2009.

37. Hasta su anonimización de acuerdo con la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001, los datos deberán estar sujetos a las medidas técnicas y organizativas apropiadas que garanticen su confidencialidad y seguridad, tal como exigen los artículos 16 y 17 de la Directiva 95/46/CE, y los artículos 21 y 22 del Reglamento (CE) nº 45/2001. Dicha medidas deberían tener en cuenta los riesgos que presentael tratamiento y el carácter sensible de los datos que deben ser protegidos.

38. Además, el artículo 27, apartado 1, del Reglamento (CE) nº 45/2001 establece que «los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance u objetivos estarán sujetos a control previo por parte del Supervisor Europeo de Protección de Datos». El artículo 27, apartado 2, especifica que los tratamientos de datos relativos a la «salud», «sospechas», «infracciones» y «condenas penales» implican dichos riesgos y, por lo tanto, exigen un control previo.

39. Como el tratamiento por parte de Eurostat implicará datos personales relativos a estas categorías, estará sujeto a control previo (5). En el marco de un procedimiento de control previo, el SEPD podrá proporcionar otras directrices y recomendaciones específicas respecto del cumplimiento de las normas de protección de datos.

(1) Comunicación de la Comisión al Parlamento Europeo y al Consejo relativa a la independencia, la integridad y la responsabilidad de las autoridades estadísticas de los Estados miembros y de la Comunidad, COM(2005) 217 final (DO C 172 de 12.7.2005, p. 22).

(2) Dictámenes del SEPD relativos al ámbito de las estadísticas, mencionados anteriormente.

(3) De conformidad con lo dispuesto en el Acta de la reunión de 29.10.2010 del Comité Consultivo Europeo de Estadística (CCEE) «parece existir una persistente confusión en relación con el concepto de datos; los investigadores académicos están interesados en los microdatos anónimos y no buscan obtener acceso a los datos confidenciales. De este modo, lo que se busca es la difusión de los datos anónimos a nivel individual». (Acta de la 6 a reunión del CCEE de 29.10.2010, p. 3, disponible en http://epp. eurostat. ec. europa. eu/portal/page/portal/esac/documents/6th% 20ESAC_Minutes. pdf, acceso del 17.8.2011).

(4) Véanse los apartados 15 y 16 del presente dictamen.

(5) Cabe destacar que el tratamiento de datos llevado a cabo por los Estados miembros podrá también estar sujeto a un control previo por parte de las autoridades de protección de datos nacionales o regionales en virtud de la legislación nacional de protección de datos adoptada con arreglo al artículo 20 de la Directiva 95/46/CE.

40. Por último, el artículo 8, apartado 2, de la propuesta, establece que se adoptarán, mediante actos de ejecución, las disposiciones prácticas para el método de codificación de los datos y para el intercambio de microdatos. El SEPD recibiría con agrado una solicitud de consulta respecto de dichas disposiciones prácticas. II.

6. Información que debe proporcionarse a los interesados

41. El SEPD recuerda que, como serán los Estados miembros quienes recojan directamente los datos de los encuestados, resultará aplicable lo dispuesto en el artículo 10 de la Directiva 95/46/CE. Por lo tanto, los interesados deberán ser informados, al menos, de la naturaleza voluntaria de la encuesta y de la posibilidad de negarse a responder a una o más preguntas; de los fines para los que se destinan los datos objeto de tratamiento; la identidad del responsable del tratamiento; el hecho de que los datos serán enviados a Eurostat, que podrá permitir el acceso a los investigadores; y de la existencia de los derechos de acceso, rectificación, bloqueo y supresión de los datos; salvo que el tratamiento entre dentro de las excepciones a estos derechos, previstos por las legislaciones nacionales en materia de protección de datos.

III. CONCLUSIONES

42. El SEPD ha reconocido en repetidas ocasiones la importancia de desarrollar, elaborar o difundir datos estadísticos. Sin embargo, al SEPD le preocupa el tratamiento de datos sensibles en esta encuesta específica y la posibilidad de identificación de las víctimas y de los agresores de violencia física y sexual. Por lo tanto, realiza en particular, las siguientes recomendaciones: la descripción de las variables «identificación del encuestado» y «quién lo hizo» debería modificarse para evitar una identificación directa innecesaria de los interesados. Además, con el fin de evitar una identificación indirecta, el SEPD recomienda hacer anónimos los microdatos tan pronto como sea posible, de acuerdo con lo dispuesto en el considerando 26 de la Directiva 95/46/CE y el considerando 8 del Reglamento (CE) nº 45/2001 (que no sea posible la identificación teniendo en cuenta el conjunto de los medios que puedan ser razonablemente utilizados), en caso de que debido al nivel de detalle necesario para la encuesta, la anonimización de los microdatos según la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001, no pueda garantizarse antes de su envío a Eurostat o antes de permitir el acceso a los investigadores, los datos anonimizados únicamente según lo dispuesto en el Reglamento (CE) nº 831/2002 (reducción al mínimo de los riesgos de la identificación) podrían ser tratados, los datos confidenciales deberían utilizarse únicamente en caso necesario, es decir, si no pueden obtenerse los mismos fines utilizando microdatos anónimos y si su necesidad queda claramente justificada en la propuesta, en estos casos, el «interés público importante» que justifique el tratamiento debería aclararse con más detalle y establecerse de manera explícita en el texto de la propuesta. Asimismo, también debería garantizarse que todas las categorías de datos personales que deben ser recogidas y tratadas son pertinentes y no excesivas para dicho fin específico. Los datos difundidos públicamente deberían, en todo caso, ser anónimos de acuerdo con lo dispuesto en la Directiva 95/46/CE, el Reglamento (CE) nº 45/2001 y el artículo 19 del Reglamento (CE) nº 223/2009, hasta que los datos se hagan anónimos según la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001, deberán aplicarse medidas técnicas y organizativas apropiadas que garanticen la confidencialidad y la seguridad de los datos personales tratados, de acuerdo con lo dispuesto en los artículos 16 y 17 de la Directiva 95/46/CE y los artículos 21 y 22 del Reglamento (CE) nº 45/2001, teniendo en cuenta los riesgos que representa el tratamiento y el carácter sensible de los datos que deben ser protegidos. Asimismo, el tratamiento quedará sujeto a un control previo por parte del SEPD, el SEPD recuerda que los interesados deberán ser informados de manera adecuada antes de la recogida de sus datos, con arreglo a lo dispuesto en las legislaciones nacionales en materia de protección de datos, por último, el SEPD recibiría con agrado una solicitud de consulta en relación con la revisión del Reglamento (CE) nº 831/2002 y respecto de las disposiciones prácticas para el método de codificación de los datos y para el intercambio de microdatos que deberán adoptarse mediante actos de ejecución.

Hecho en Bruselas, el 19 de septiembre de 2011. Giovanni BUTTARELLI Asistente del Supervisor Europeo de Protección de Datos


No hay versiones para esta norma