Agencia Estatal Boletín Oficial del Estado

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 211, segundo guión,

Previa consulta al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1) La Decisión 2004/387/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a la prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos (IDABC) ( 1 ), y, en particular, su artículo 4, prevé la realización de proyectos de interés común, con el objetivo de permitir un intercambio de datos eficiente, eficaz y seguro entre Administraciones públicas, a todos los niveles pertinentes, así como entre estas Administraciones y las instituciones comunitarias u otras entidades según el caso.

(2) El 17 de marzo de 2006, los representantes de los Estados miembros en el Comité consultivo del mercado interior ( 2 ) aprobaron un Plan global de aplicación del Sistema de Información del Mercado Interior (en lo sucesivo, «IMI»), y el desarrollo del mismo con vistas a lograr una mejora de la comunicación entre las Administraciones de los Estados miembros.

(3) Posteriormente, mediante sus Decisiones C (2006) 3606, de 14 de agosto de 2006, C (2007) 3514, de 25 de julio de 2007, y C (2008) 1881, de 14 de mayo de 2008, la Comisión decidió establecer y financiar un Sistema de Información del Mercado Interior en calidad de proyecto de interés común.

(4) La finalidad del IMI es respaldar aquellos actos de la Comunidad que establecen la obligación de intercambio de información entre las Administraciones de los Estados miembros, tales como la Directiva 2005/36/CE del Parlamento Europeo y del Consejo, de 7 de septiembre de 2005, relativa al reconocimiento de cualificaciones profesionales ( 3 ), y la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior ( 4 ).

(5) Es preciso que el intercambio electrónico de información entre Estados miembros y entre los Estados miembros y la Comisión se atenga a las normas sobre protección de datos personales previstas en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ( 5 ), y en el Reglamento (CE) n o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos ( 6 ).

____________________________

( 1 ) DO L 144 de 30.4.2004, p. 68; versión corregida en el DO L 181 de 18.5.2004, p. 25.

( 2 ) Creado por la Decisión 93/72/CEE (DO L 26 de 3.2.1993, p. 18).

( 3 ) DO L 255 de 30.9.2005, p. 22.

( 4 ) DO L 376 de 27.12.2006, p. 36.

( 5 ) DO L 281 de 23.11.1995, p. 31.

( 6 ) DO L 8 de 12.1.2001, p. 1.

(6) El derecho a la protección de los datos personales está reconocido en la Carta de los Derechos Fundamentales de la Unión Europea, en particular en su artículo 8. Los sistemas de información tales como el IMI deben garantizar que las diversas responsabilidades y obligaciones que comparten la Comisión y los Estados miembros en relación con las normas sobre protección de datos sean claras, y que las personas a quienes se refieran tales datos dispongan de mecanismos simples y de fácil acceso para hacer valer sus derechos.

(7) La Decisión 2008/49/CE de la Comisión, de 12 de diciembre de 2007, relativa a la protección de los datos personales en la explotación del Sistema de Información del Mercado Interior (IMI) ( 1 ), especifica las funciones, los derechos y las obligaciones de los agentes y los usuarios del IMI. Dicha Decisión tomaba en consideración el dictamen del Grupo de Trabajo del Artículo 29 ( 2 ).

(8) Con posterioridad a la adopción de la citada Decisión, el Supervisor Europeo de Protección de Datos (SEPD) aprobó un dictamen ( 3 ) en el que exhortaba a adoptar un instrumento jurídico, preferiblemente un Reglamento del Consejo y del Parlamento, dado que se prevé que el IMI vaya extendiendo gradualmente su acción a ámbitos adicionales de la legislación del mercado interior, con el consiguiente aumento de la complejidad y del número de autoridades intervinientes y de intercambios de datos. En el curso de diversas reuniones y de un intercambio de correspondencia entre el SEPD y los servicios de la Comisión ( 4 ), se acordó seguir un enfoque gradual, comenzándose por adoptar directrices sobre la protección de datos, elaboradas en estrecha colaboración con el SEPD.

(9) Las presentes directrices complementan la Decisión 2008/49/CE y toman en consideración las recomendaciones del Grupo de Trabajo del Artículo 29 y del SEPD.

RECOMIENDA QUE LOS ESTADOS MIEMBROS:

1. Adopten medidas dirigidas a garantizar la aplicación de las directrices que figuran en el anexo por los agentes y los usuarios del IMI.

2. Exhorten a los coordinadores nacionales del IMI a que soliciten a sus autoridades nacionales de protección de datos orientación y asistencia sobre la mejor manera de aplicar las presentes directrices en el marco de la normativa nacional.

3. Informen a la Comisión Europea sobre la aplicación de las directrices recogidas en el anexo, a más tardar nueve meses después de la adopción de la presente Recomendación, y con la asistencia de los coordinadores del IMI. La Comisión tendrá presente esa información en un informe que confeccionará como máximo un año después de la adopción de la presente Recomendación, en el que analizará la situación por lo que atañe a la protección de datos en el contexto del IMI, así como el contenido y la conveniencia de posibles futuras medidas, como puede ser la adopción de un instrumento jurídico.

Hecho en Bruselas, el 26 de marzo de 2009.

Por la Comisión

Charlie McCREEVY

Miembro de la Comisión

___________________________

( 1 ) DO L 13 de 16.1.2008, p. 18.

( 2 ) Dictamen 01911/07/EN, WP 140.

( 3 ) Dictamen del Supervisor Europeo de Protección de Datos sobre la Decisión 2008/49/CE de la Comisión, de 12 de diciembre de 2007, relativa a la protección de los datos personales en la explotación del Sistema de Información del Mercado Interior (IMI), por lo que se refiere a la protección de los datos personales (DO C 270 de 25.10.2008, p. 1).

( 4 ) http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/87

ANEXO

DIRECTRICES PARA LA APLICACIÓN DE LAS NORMAS DE PROTECCIÓN DE DATOS EN EL IMI

1. EL IMI, UNA HERRAMIENTA DE COOPERACIÓN ADMINISTRATIVA

El IMI es una aplicación informática a la que se accede a través de Internet y que ha sido concebida por la Comisión Europea en cooperación con los Estados miembros. Su principal finalidad es asistir a los Estados miembros en la aplicación práctica de aquella legislación de la UE que prevé la asistencia mutua y la cooperación administrativa. No se trata de una base de datos destinada a almacenar información durante largos períodos de tiempo, sino de un mecanismo centralizado que permite a las Administraciones nacionales de los Estados miembros del EEE intercambiarse información, que se conserva durante un tiempo limitado.

Página de acceso al IMI

IMAGEN OMITIDA EN PÁGINA 14

El IMI se utiliza actualmente para el intercambio de información previsto en la Directiva relativa a las cualificaciones profesionales y, a finales de 2009, se utilizará también para el previsto en la Directiva sobre servicios. En el futuro, podrá utilizarse para el intercambio de información en otros ámbitos legislativos del mercado interior. En todo momento podrá consultarse una lista actualizada de esos ámbitos en el anexo de la Decisión 2008/49/CE. Dicho anexo se modificará con cierta periodicidad. El IMI no puede utilizarse para intercambiar información en ámbitos legislativos que no figuren específicamente en el citado anexo.

Vista de la aplicación referida a las autoridades competentes responsables de las cualificaciones profesionales

IMAGEN OMITIDA EN PÁGINA 14

La cooperación entre las Administraciones nacionales es esencial para el correcto funcionamiento del mercado interior de servicios. Los ciudadanos europeos no pueden disfrutar de los derechos básicos del mercado interior, como son el libre establecimiento en otro Estado miembro o la libre prestación de servicios transfronterizos, si no se toman medidas prácticas que permitan la cooperación administrativa.

A continuación, se exponen dos ejemplos

Una médico alemana residente en Berlín se casa con un ciudadano francés y decide empezar una nueva vida en París. La médico desea ejercer su profesión en Francia, por lo que presenta sus títulos y diplomas en el Colegio de Médicos de Francia. La persona responsable del expediente tiene dudas sobre la autenticidad de uno de los diplomas y recurre al IMI para consultar a la autoridad competente de Berlín.

Una sociedad de limpieza francesa que desarrolla su actividad en Francia presta también servicios transfronterizos en la Comunidad Autónoma de Cataluña (España). Una ONG española denuncia ante la Consejería de Medio Ambiente catalana que la sociedad francesa no dispone del personal especializado necesario para manipular ciertos materiales de limpieza. La autoridad competente de Cataluña recurre al IMI para averiguar si la sociedad de limpieza ejerce su actividad legalmente en Francia.

La cooperación administrativa en la UE no es fácil. Existen obstáculos lingüísticos (en la UE existen 23 lenguas oficiales), carencia de procedimientos administrativos para la cooperación transfronteriza, diferentes estructuras y prácticas administrativas, y falta de claridad sobre quiénes son los interlocutores en otros Estados miembros.

Si bien corresponde a los Estados miembros velar por la correcta aplicación de la legislación del mercado interior en sus respectivos territorios, la Comisión considera que necesitan instrumentos que les permitan colaborar entre sí. El IMI responde a este objetivo: averiguar qué autoridad es competente en otro Estado miembro (función de búsqueda), gestionar los intercambios de información mediante procedimientos simples y unificados, y eliminar las barreras lingüísticas gracias a series de preguntas preestablecidas y pretraducidas.

Imágenes de pantallas en las que figuran preguntas en las lenguas de dos autoridades competentes que participan en un intercambio de información

IMAGEN OMITIDA EN PÁGINA 15

IMAGEN OMITIDA EN PÁGINA 16

2. ALCANCE Y OBJETIVO DE LAS PRESENTES DIRECTRICES

Los usuarios del IMI son expertos en sus respectivos ámbitos de competencia, ya se trate de las normas que regulan una profesión o las disposiciones que regulan la prestación de servicios. Sin embargo, no son expertos en protección de datos y pueden no ser siempre conscientes de las obligaciones que a ese respecto impone su propia legislación nacional.

Por ello, es aconsejable que los usuarios del IMI dispongan de directrices que expliquen el funcionamiento del IMI desde la óptica de la protección de datos, y conozcan los mecanismos de garantía de que dispone el sistema y los posibles riesgos que conlleva el uso de este ( 1 ).

Las presentes directrices no pretenden ser una recopilación completa de todos los problemas que puede suscitar la protección de datos en el contexto del IMI, sino tan solo una explicación de fácil consulta, un conjunto de reglas que todos los usuarios del IMI puedan comprender. En caso necesario, estos siempre podrán obtener más orientación y asistencia acudiendo a las autoridades de protección de datos de los Estados miembros. En la siguiente dirección de Internet figura una relación de dichas autoridades, con los datos de contacto y la dirección de su sitio web:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

3. CONDICIONES FAVORABLES PARA LA PROTECCIÓN DE DATOS

El IMI se ha concebido teniendo en mente las obligaciones que impone la legislación sobre protección de datos y ha sido pensado desde un principio para facilitar esa protección.

Los usuarios del IMI pueden tener la seguridad de que se trata de una aplicación informática fiable desde el punto de vista de la protección de datos, como se aprecia en algunos ejemplos sencillos:

a) El IMI lo utilizan solo las autoridades competentes del Espacio Económico Europeo (Estados miembros de la UE más Noruega, Islandia y Lichtenstein) y no se transfieren datos personales fuera del EEE.

b) La Comisión Europea y los coordinadores del IMI ( 2 ) no tienen acceso a los datos personales de los profesionales o los proveedores de servicios que se intercambian dentro del sistema.

c) Únicamente las autoridades competentes que intervienen en una solicitud de información están autorizadas a ver los datos personales del proveedor de servicios ( 3 ). Hasta tal punto se protegen los datos que el destinatario de una solicitud no puede ver la información personal del proveedor de servicios hasta que no haya aceptado formalmente dicha solicitud.

_________________________________

( 1 ) Los Estados miembros deberían considerar la posibilidad de incluir información sobre la protección de datos en sus acciones de formación sobre el IMI.

( 2 ) Véase el artículo 12 de la Decisión 2008/49/CE.

( 3 ) Puede haber otras autoridades «vinculadas» a las autoridades competentes a efectos de la supervisión (por ejemplo, una autoridad regional está vinculada a una autoridad federal). Estas «autoridades vinculadas» pueden, de este modo, conocer el número y la índole de las solicitudes, pero no tienen acceso a los datos personales de los proveedores de servicios o los profesionales migrantes.

Ejemplo de cómo aparece una solicitud antes de que la acepte el destinatario

IMAGEN OMITIDA EN PÁGINA 17

d) Todos los datos personales de las solicitudes se eliminan automáticamente del sistema seis meses después de la clausura de una solicitud, o incluso antes si así lo solicitan las autoridades competentes afectadas (para más información, véase el apartado 12, sobre el período de conservación).

4. ¿QUIÉN SE ENCARGA DE QUÉ EN EL IMI? RESPONSABILIDAD COMPARTIDA

El IMI constituye un claro ejemplo de tratamiento de datos y responsabilidad conjuntos. Si, por un lado, solo las autoridades competentes de los Estados miembros intercambian datos de naturaleza personal, el almacenamiento de tales datos en sus servidores es responsabilidad de la Comisión Europea. Esta última no está autorizada a ver esos datos, pero es el operador del sistema, que efectúa la supresión y rectificación material de aquellos.

Dicho de otro modo, como consecuencia del reparto de las diferentes responsabilidades entre la Comisión y los Estados miembros:

a) cada autoridad competente y cada coordinador del IMI es responsable de sus propias actividades de tratamiento de datos;

b) la Comisión no es usuaria, sino que es el operador del sistema, responsable primordialmente del mantenimiento y la seguridad del sistema ( 1 );

c) los agentes del IMI comparten la responsabilidad por lo que atañe al derecho de información, de acceso, de rectificación y de oposición.

En situaciones complejas de responsabilidad compartida, como es el caso del IMI, de cara al cumplimiento de las normas, parece más eficiente que el sistema cuente desde el principio con un mecanismo de protección de datos integrado (véase el recuadro «Acciones en curso», del apartado 13 «Cooperación con las autoridades de protección de datos y con el SEPD»), y que se establezca un conjunto de reglas como el que ofrecen las presentes directrices. La aplicación de esas reglas es responsabilidad de todos los agentes y los usuarios del IMI.

__________________________________

( 1 ) Según establece el artículo 10, apartado 3, de la Decisión 2008/49/CE, esta solo podrá participar en intercambios de información con los Estados miembros en los casos concretos en que el acto comunitario pertinente así lo prevea. En estos casos, la Comisión tiene obligaciones similares a las de las autoridades competentes. Por ejemplo, debe informar adecuadamente a los interesados y permitirles el acceso a sus datos si lo solicitan.

5. AGENTES Y USUARIOS DEL IMI

Todos los agentes que utilizan el IMI deben ser validados por los coordinadores. Los artículos 6 a 12 de la Decisión 2008/49/CE describen a los agentes y los usuarios, así como sus funciones, derechos y obligaciones. Por tanto, no es necesario reiterar la descripción en las presentes directrices.

Es importante comprender que el IMI es un sistema muy flexible en el que los Estados miembros pueden asignar responsabilidades y funciones a las autoridades competentes y a los coordinadores de muy diversas maneras, con el fin de adecuarse a su propia estructura administrativa y a los ámbitos legislativos a los que se refiera la cooperación administrativa.

Asimismo, no debe olvidarse que los usuarios del IMI en los Estados miembros son también responsables de muchas otras operaciones de tratamiento de datos. El cumplimiento de las normas sobre protección de datos en el IMI no tiene por qué ser innecesariamente complicado, ni representar una carga administrativa excesiva. Ni tiene por qué haber una sola forma de lograrlo.

En la mayoría de los casos, basta con que las autoridades competentes se limiten a aplicar a las operaciones de tratamiento de datos que realicen dentro del IMI las mismas normas y buenas prácticas que habitualmente apliquen como responsables del tratamiento de datos, conforme a sus necesidades específicas y a las disposiciones sobre protección de datos vigentes en sus Estados miembros.

Además, deberían aprovechar las condiciones favorables para la protección de datos que ofrece el IMI. Por ejemplo, se les alienta a que soliciten que los datos personales objeto de intercambio se eliminen del IMI incluso antes de que transcurra el período de conservación de seis meses, si ya no necesitan conservar esa información en el IMI.

6. FUNDAMENTO JURÍDICO DEL INTERCAMBIO DE DATOS PERSONALES EN EL IMI

La Comisión ha adoptado la Decisión 2008/49/CE, que especifica las funciones, los derechos y las obligaciones de los agentes y los usuarios del IMI por lo que atañe a la protección de datos dentro de este.

No toda la información facilitada a través del IMI es de naturaleza personal. Por ejemplo, la información puede referirse a personas jurídicas ( 1 ) o las preguntas y respuestas pueden no referirse a personas concretas (por ejemplo, en el caso de una pregunta genérica sobre si la profesión está regulada en un determinado Estado miembro).

En muchos casos, sin embargo, la información sí se refiere a personas concretas y, por tanto, es necesario que el tratamiento de los datos tenga un fundamento jurídico. El uso del IMI redunda, a menudo, en beneficio del interesado.

No obstante, aun cuando el intercambio de información no redunde necesariamente en beneficio del interesado, las autoridades competentes podrán facilitar la información a través del IMI si así lo exige un determinado acto legislativo.

El artículo 7 de la Directiva 95/46/CE enumera los fundamentos jurídicos del tratamiento de los datos de naturaleza personal. De entre ellos, los especificados en las letras c) y e) de dicho artículo son los más adecuados para el intercambio de datos dentro del IMI.

I) Cumplimiento de una obligación jurídica [artículo 7, letra c)]

Es principio general que los Estados miembros de la UE deben cooperar entre sí y con las instituciones comunitarias.

El deber de cooperación administrativa se expresa de manera explícita y concreta en la Directiva 2005/36/CE, relativa al reconocimiento de las cualificaciones profesionales, y la Directiva 2006/123/CE, sobre servicios.

El artículo 56, apartados 1 y 2, de la Directiva relativa al reconocimiento de las cualificaciones profesionales establece lo siguiente:

«1. Las autoridades competentes del Estado miembro de acogida y del Estado miembro de origen colaborarán estrechamente y se prestarán asistencia recíproca con el fin de facilitar la aplicación de la presente Directiva.

Deberán garantizar la confidencialidad de la información que intercambien.

2. Las autoridades competentes de los Estados miembros de acogida y del Estado miembro de origen intercambiarán información relativa a la acción disciplinaria o a las sanciones penales adoptadas o a cualquier otra circunstancia grave y concreta que puedan tener consecuencias para el ejercicio de actividades con arreglo a la presente Directiva, dentro del respeto de la legislación sobre la protección de datos personales a que se refieren la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (…), y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).».

______________________________

( 1 ) Si bien en algunos Estados miembros, como Italia, Luxemburgo, Austria y Dinamarca, la legislación sobre protección de datos incluye en su ámbito de aplicación a las personas jurídicas, en cierta medida.

El artículo 28, apartados 1 y 6, de la Directiva sobre servicios establece lo siguiente:

«1. Los Estados miembros se prestarán asistencia recíproca y tomarán medidas para cooperar de forma eficaz entre sí con el fin de garantizar la supervisión de los prestadores y de sus servicios (…).

6. Los Estados miembros facilitarán lo antes posible y por vía electrónica la información solicitada por otros Estados miembros o por la Comisión.».

El artículo 34, apartado 1, de la Directiva sobre servicios establece lo siguiente:

«1. La Comisión, en cooperación con los Estados miembros, establecerá un sistema electrónico de intercambio de información entre Estados miembros, teniendo en cuenta los sistemas de información existentes.».

II) Cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento [artículo 7, letra e)]

Los agentes y usuarios del IMI desempeñan misiones de interés público o inherentes al ejercicio del poder público que tienen conferido. Todas las inscripciones en el IMI son validadas por el coordinador del IMI, una vez comprobado que la autoridad competente de que se trate desempeña realmente una misión de interés público (por ejemplo, los colegios de médicos o de veterinarios, que deben velar por que sus colegiados cumplan las normas éticas y sanitarias) o inherente al ejercicio del poder público que tiene conferido (por ejemplo, los ministerios de educación, que deben velar por que los profesores de enseñanza secundaria tengan la necesaria titulación).

Habida cuenta de lo anterior, el IMI puede utilizarse para el intercambio de datos personales en el marco de la Directiva relativa a las cualificaciones profesionales y la Directiva sobre servicios, a los fines establecidos en sus disposiciones. En cambio, no puede intercambiarse a través del IMI información que se refiera a otro ámbito legislativo del mercado interior. Si el ámbito de cobertura del IMI se ampliara en algún momento, para incluir otra normativa, se añadiría al anexo de la Decisión 2008/49/CE la oportuna referencia a los actos comunitarios pertinentes.

7. LEGISLACIÓN APLICABLE Y RESPONSABILIDAD DE SUPERVISIÓN

La normativa sobre protección de datos aplicable dependerá de quién sea el agente o el usuario del IMI. En el caso de la Comisión Europea, por ejemplo, se aplicará el Reglamento (CE) n o 45/2001, relativo a la protección de los datos personales. Cuando se trate de un usuario de un Estado miembro (por ejemplo, una autoridad competente), se aplicará su normativa sobre protección de datos, que debe guardar conformidad con la Directiva 95/46/CE (protección de datos).

La Unión Europea dispone de un sólido marco legal en materia de protección de datos, constituido por la citada Directiva y por el Reglamento no (CE) 45/2001 ( 1 ). La Directiva relativa a la protección de datos permite una cierta flexibilidad a los Estados miembros. Por ello, se recomienda a los coordinadores nacionales del IMI que discutan las presentes directrices con sus autoridades de protección de datos, por ejemplo en lo referente al detalle de la información que debe facilitarse a las personas (véase el apartado 9, a este respecto) o al deber de notificar ciertas operaciones de tratamiento de datos a las citadas autoridades.

La Directiva 95/46/CE es una directiva del ámbito del mercado interior, que tiene una doble finalidad. La armonización de las normativas nacionales que regulan la protección de datos persigue garantizar un elevado nivel de protección a ese respecto y salvaguardar los derechos fundamentales de las personas, pudiendo así permitir la libre circulación de datos personales entre Estados miembros. En consecuencia, las particularidades nacionales no tendrán normalmente ninguna incidencia práctica o significativa en el uso del IMI y en el intercambio de información que estipulan otros actos comunitarios.

Uno de los rasgos más característicos del marco jurídico de la UE en materia de protección de datos es el hecho de que la supervisión de su cumplimiento compete a autoridades públicas independientes de protección de datos. De este modo, los ciudadanos pueden presentar ante dichas autoridades sus quejas sobre la protección de datos, a fin de que sus problemas puedan ser resueltos prontamente y sin tener que recurrir a los tribunales. El tratamiento de los datos personales está supervisado, a escala nacional, por las autoridades nacionales de protección de datos y, cuando dicho tratamiento lo realizan las instituciones europeas, por el Supervisor Europeo de Protección de Datos (SEPD). Por tanto, la Comisión Europea está sujeta a la supervisión del SEPD, y otros usuarios del IMI están sujetos a la supervisión de las pertinentes autoridades nacionales de protección de datos. Para mayor información sobre cómo gestionar las quejas o las solicitudes de los interesados, puede consultarse el apartado 10, sobre el derecho de acceso y de rectificación, y el apartado 13, sobre la cooperación con las autoridades de protección de datos y con el SEPD.

8. PRINCIPIOS DE LA PROTECCIÓN DE DATOS APLICABLES AL INTERCAMBIO DE INFORMACIÓN

La normativa de la UE supedita el tratamiento de los datos personales a ciertas condiciones (véase el apartado 6:

«Fundamento jurídico del intercambio de datos personales en el IMI») y a la aplicación de ciertos principios a los que la Directiva relativa a la protección de datos se refiere como «principios relativos a la calidad de los datos» (artículo 6).

____________________________

( 1 ) La Directiva 95/46/CE se aplica a los Estados miembros, y el Reglamento no (CE) 45/2001, a las instituciones europeas.

Los responsables del tratamiento de datos recaban datos personales solo con fines lícitos y específicos, y no los someten a tratamiento con fines que sean incompatibles con los previstos en el momento de recabarlos. Un ejemplo clásico de incompatibilidad sería el de una autoridad que vendiera a empresas privadas, con fines comerciales, los datos sobre el domicilio obtenidos a efectos de tramitación de casos de profesionales migrantes planteados en el contexto de la Directiva sobre servicios.

Al mismo tiempo, el tratamiento de los datos personales debe guardar proporción (esto es, ha de ser adecuado, pertinente y no excesivo) con los fines perseguidos al recabarlos, y los responsables del tratamiento deben hacer cuanto resulte razonable para garantizar que los datos se mantengan actualizados y sean destruidos o pasen a ser anónimos tan pronto como la identificación del interesado ya no sea necesaria. Los principios sobre la calidad de los datos son principios de buena gestión de la información, pues un buen sistema de información no es un sistema que conserva cantidades astronómicas de datos sin razón alguna y que pronto se desactualiza y deja de ser fiable. Un buen sistema electrónico de información debería recoger tan solo los datos que resulten necesarios a los fines que previamente se habrán determinado, debiendo mantenerse dichos datos actualizados de modo que resulten plenamente fiables.

Aplicando estos principios sobre la calidad de los datos al funcionamiento del IMI, cabe hacer las siguientes recomendaciones:

1) El uso del IMI ha de circunscribirse a los fines establecidos en la normativa aplicable (por ejemplo, cuando existan dudas fundadas o por cualquier otro motivo previsto en dicha normativa). Así pues, aunque se desea que el IMI llegue a constituirse en el medio habitual para el intercambio de información entre las autoridades competentes, debe quedar absolutamente claro que no debe utilizarse sistemáticamente para realizar averiguaciones generales sobre los profesionales migrantes o los proveedores de servicios.

2) La autoridad competente solicitante habrá de facilitar solo los datos personales que la autoridad competente consultada precise para poder identificar inequívocamente a la persona de que se trate, o para poder responder a las preguntas.

Por ejemplo, si un profesional migrante puede ser identificado por su nombre y su número de inscripción en un registro profesional, no habrá por qué facilitar también su número de identificación personal.

3) Los usuarios del IMI habrán de seleccionar cuidadosamente las preguntas y no preguntar sino lo absolutamente necesario. No se trata solo de cumplir los principios sobre la calidad de los datos, sino también de reducir la carga administrativa. A efectos de transparencia, las series de preguntas preestablecidas se publican en el sitio web del IMI ( 1 ).

¿Qué se entiende por datos sensibles ( 2 )?

Se trata de datos que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, el estado de salud, la orientación sexual, condenas penales o medidas de seguridad. Algunos Estados miembros podrían también considerar datos sensibles la información sobre sanciones o sentencias administrativas.

4) Las autoridades competentes deben prestar especial atención cuando el intercambio de información afecte a datos sensibles. Los datos sensibles solo podrán proporcionarse en circunstancias muy limitadas. Los principales requisitos exigibles para el tratamiento de datos sensibles dentro del IMI son los siguientes:

a) Que el tratamiento sea necesario a efectos del reconocimiento, el ejercicio o la defensa de un derecho legal [véase el artículo 8, apartado 2, letra e) de la Directiva relativa a la protección de datos, y las pertinentes disposiciones de la legislación nacional).

Puede darse el caso, por ejemplo, en el intercambio de datos a través del IMI en relación con un profesional migrante o un proveedor de servicios que reclamen su derecho a ejercer su profesión o a establecerse en otro Estado miembro. Las autoridades competentes habrán de valorar minuciosamente en cada caso si el uso de datos sensibles es realmente absolutamente necesario para reconocer el derecho.

En relación con el intercambio de ciertos datos sensibles a través del IMI, los Estados miembros adoptaron disposiciones específicas en la Directiva relativa a las cualificaciones profesionales y en la Directiva sobre servicios:

1) El artículo 56, apartado 2, de la Directiva relativa a las cualificaciones profesionales dispone que «Las autoridades competentes de los Estados miembros de acogida y del Estado miembro de origen intercambiarán información relativa a la acción disciplinaria o a las sanciones penales adoptadas o a cualquier otra circunstancia grave y concreta que puedan tener consecuencias para el ejercicio de actividades con arreglo a la presente Directiva, dentro del respeto de la legislación sobre la protección de datos personales …».

____________________________

( 1 ) http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_en.pdf ( 2 ) La definición jurídica figura en el artículo 8 de la Directiva 95/46/CE y en el artículo 10 del Reglamento (CE) n o 45/2001.

2) El artículo 33 de la Directiva sobre servicios establece disposiciones específicas para el intercambio de información en lo que atañe a la honorabilidad del proveedor de servicios migrante: «Los Estados miembros, a solicitud de una autoridad competente de otro Estado miembro, comunicarán, de conformidad con su legislación nacional, las medidas disciplinarias o administrativas o condenas penales y decisiones relativas a insolvencias o quiebras …».

b) Que el interesado dé su consentimiento expreso. Si la cooperación administrativa redunda en beneficio del interesado, probablemente no será difícil obtener su consentimiento expreso para el tratamiento de los datos personales.

5) La precaución debe ser extrema en lo que atañe a los antecedentes penales, cuya exactitud y actualización son de primordial importancia. Por tanto, esta categoría de información, con respecto a la cual han de cumplirse también otros principios de la Directiva y del Reglamento relativos a la protección de datos a que hace referencia la presente Recomendación ( 1 ) solo debe solicitarse cuando así lo autoricen los pertinentes actos comunitarios y sea absolutamente necesario para poder adoptar una decisión en el caso concreto al que se refiera la solicitud. En otras palabras, el tratamiento de los datos debe referirse estrictamente al ejercicio de la actividad profesional o a la prestación de un servicio, y ser necesario para comprobar que se cumplen las disposiciones de la pertinente Directiva. Los usuarios del IMI no deben olvidar nunca que, en muchos casos, la información necesaria para adoptar una decisión no tiene por qué referirse a los antecedentes penales del profesional migrante o del proveedor de servicios.

De hecho, solo unas pocas preguntas del cuestionario del IMI se refieren a los antecedentes penales o a datos sensibles ( 2 ). Exceptuados estos pocos casos, el intercambio de datos sensibles solo debe producirse excepcionalmente, cuando las circunstancias concretas sean tales que los citados datos afecten directamente al ejercicio de la actividad considerada y resulten absolutamente necesarios para el reconocimiento de los derechos legales.

Las autoridades competentes no deben utilizar el IMI para averiguar sistemáticamente los antecedentes penales de los profesionales migrantes, pues ello sería contrario a los fines para los que se ha creado el IMI. Toda posible consulta en torno a la comisión de delitos o la imposición de medidas disciplinarias debe guardar conexión también con la profesión o con el servicio considerados, y no con otros posibles delitos o medidas disciplinarias que afecten al profesional en el país de origen. Por ejemplo, para determinar si un médico está legalmente inscrito en el Colegio de Médicos, y en regla con este, la autoridad competente solicitante no tiene por qué saber si dicho médico ha cometido un delito de tráfico, pues un delito de este tipo no le impediría trabajar como médico en su país de origen.

Tratamiento adicional de los datos y almacenamiento fuera del IMI El uso del IMI estará a menudo asociado al aporte de información para otra operación de tratamiento de datos que se realiza en el Estado miembro (por ejemplo, en relación con una solicitud de prestación de servicios o de autorización de una actividad). Por tanto, es normal que las autoridades competentes sometan los datos obtenidos a un tratamiento adicional a esos fines. Cuando los datos se obtienen a través del IMI y se someten a tratamiento fuera del sistema, es aplicable la legislación nacional en materia de protección de datos. Así pues, es preciso asegurarse de que ese tratamiento adicional se ajuste a las siguientes condiciones:

— no sea incompatible con los fines para los que se recabaron y facilitaron los datos en el IMI,

— sea necesario y proporcional (adecuado, pertinente y no excesivo) a los fines con los que se recabaron inicialmente los datos en el IMI,

— se efectúe adoptando las medidas necesarias para mantener los datos actualizados y para eliminarlos cuando ya no sean necesarios,

— cuando los datos registrados en el IMI se divulguen a terceros, se informe de ello al interesado a fin de garantizar un tratamiento justo, a menos que ofrecer tal información resulte imposible o exija esfuerzos desproporcionados o la comunicación a un tercero esté expresamente prescrita por ley (véase el artículo 11, aparatado 2, de la Directiva 95/46/CE, relativa a la protección de datos). Dado que la divulgación a terceros puede estar prescrita en la legislación de solo uno de los Estados miembros involucrados y, por tanto, en otros lugares pueden no estar al corriente de ello, la Comisión recomienda que se procure informar al respecto, aun cuando la citada divulgación constituya una obligación legal expresa.

_______________________________

( 1 ) Esto es, debe facilitarse a los interesados información adecuada, el tratamiento de los datos debe guardar proporción con los fines, y los datos no deben ser tratados con fines que resulten incompatibles con aquellos para los que se han recabado.

( 2 ) En el sitio web del IMI figura una lista específica de estas preguntas:

http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_en.pdf

9. INFORMACIÓN A LOS INTERESADOS

Uno de los pilares del sistema de protección de datos es el hecho de que los responsables del tratamiento de datos deben facilitar a los interesados información sobre el tratamiento al que tengan previsto someter sus datos personales.

El artículo 10 de la Directiva relativa a la protección de datos establece que, en el momento de recabar los datos, debe comunicarse al interesado la identidad del responsable del tratamiento, los fines del tratamiento, los destinatarios o las categorías de destinatarios de los datos, el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder, así como la existencia de derechos de acceso y rectificación.

En consecuencia, cuando se recaben datos personales, las autoridades competentes deben informar a los interesados de la posibilidad de que tales datos se introduzcan en el IMI a efectos de comunicación con las Administraciones públicas de otros Estados miembros en relación con su solicitud, y de que, en su caso, el interesado tiene derecho de acceso y de rectificación por lo que atañe a los datos que se intercambien las autoridades competentes a ese respecto (para más información, consúltese el apartado 10, sobre los derechos de acceso y de rectificación).

Cada autoridad competente puede decidir la manera de facilitar esa información a los interesados. Además del intercambio de información dentro del IMI, la mayoría de las autoridades competentes, cuando no todas, realizarán otras operaciones de tratamiento de datos, por lo que podrá informarse a los interesados, si procede, por el mismo sistema que se utilice para comunicar información similar en otras operaciones conforme a la legislación nacional (por ejemplo, mediante carteles, en la correspondencia con los interesados o en sitios web).

Disposiciones de la Directiva relativa a la protección de datos en relación con la comunicación de información

El artículo 10 de la Directiva relativa a la protección de datos recoge una lista de la información mínima que debe facilitarse a los interesados, salvo si ya disponen de ella:

a) la identidad del responsable o responsables del tratamiento (autoridad competente que recaba los datos y sus homólogas en otros Estados miembros);

b) los fines del tratamiento de los datos (comunicación con otras autoridades a propósito de la solicitud del profesional migrante o del proveedor de servicios); c) cualquier otra información que resulte necesaria para garantizar un tratamiento leal de los datos, o cuando la legislación nacional exija información adicional, tal como:

1) los destinatarios o las categorías de destinatarios de los datos;

2) la existencia del derecho de acceso y de rectificación de los datos que les conciernan, cómo ejercer esos derechos en la práctica y las posibles excepciones a los mismos que prevea la legislación nacional;

3) información sobre el derecho de reparación (por ejemplo, denuncia ante los tribunales y solicitud de daños y perjuicios);

4) ) información sobre el almacenamiento y el período de conservación de los datos;

5) las medidas de seguridad;

6) los enlaces a documentos y sitios web pertinentes, tales como el sitio web que la Comisión destina al IMI.

La Directiva relativa a la protección de datos distingue dos supuestos en los que debe informarse a los interesados: cuando los datos se recaban directamente de ellos y cuando los datos se han obtenido a través de terceros. En este último supuesto, sin embargo, el artículo 11 de la Directiva introduce una disposición racional según la cual no será necesario informar al interesado si ello exige esfuerzos desproporcionados o si el registro o la comunicación están expresamente prescritos por ley (como ocurre en los intercambios de información a través del IMI), si bien la Directiva, a continuación, añade que en tales casos «los Estados miembros establecerán las garantías adecuadas».

Por tanto, las autoridades competentes necesitarán, probablemente, adaptar la comunicación de información a los interesados en función de sus respectivas normativas nacionales sobre la protección de datos, posiblemente en consulta con los coordinadores nacionales del IMI y con las autoridades nacionales de protección de datos. Se recomienda un sistema de varios niveles, en el que se aporte información básica en el momento de recabar los datos (por ejemplo, en los impresos de solicitud a las autoridades competentes) y se indique, al mismo tiempo, dónde pueden los interesados obtener información más completa si lo desean.

En este segundo nivel de información, más detallado, resulta eficaz informar a los interesados por medio de avisos y declaraciones sobre la política de confidencialidad incluidos en sitios web.

Si las autoridades competentes ya publican estas declaraciones, deberían actualizarlas o completarlas de modo que hagan referencia específicamente al intercambio de datos personales dentro del IMI. De no ser así, las autoridades competentes habrán de decidir si el uso del IMI y el volumen de los datos personales recabados justifican la inclusión en línea de una declaración sobre la confidencialidad.

Cuando el uso del IMI sea muy esporádico, puede bastar con informar a los interesados sobre el IMI brevemente en el momento de recabar los datos, y también más tarde si fuera necesario. En estos casos, en los que no se facilita al interesado ninguna declaración específica sobre la confidencialidad dentro del IMI, las autoridades competentes habrán de indicar claramente dónde puede obtener aquel información más completa, por ejemplo, en el sitio web del coordinador nacional del IMI y el sitio web que la Comisión destina al IMI.

En la sección de protección de datos del sitio web ( 1 ) de la Comisión dedicado al IMI figura la declaración de confidencialidad del IMI. Asimismo, figura información adicional que instruye a los interesados sobre cómo ejercer sus derechos y obtener ayuda de las autoridades competentes o las autoridades de protección de datos nacionales, si fuera necesario:

«Si cree que el sistema IMI contiene sus datos personales y desea acceder a tales datos u obtener la eliminación o rectificación de los mismos, diríjase a la administración o el organismo profesional con los que haya estado en contacto o a cualquier otro usuario del sistema que haya intervenido en el intercambio de información. Si no considera satisfactoria la respuesta recibida, puede ponerse en contacto con otro usuario del sistema que haya intervenido en el intercambio de información o formular una queja ante la agencia de protección de datos correspondiente, a fin de recibir ayuda gratuita.

En esta dirección encontrará una lista de las autoridades competentes en la protección de datos:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

Tenga presente que, en determinados casos, las legislaciones nacionales pueden contemplar excepciones al derecho de acceso a los datos personales.»

Se recomienda encarecidamente que los agentes importantes del IMI que tramiten un volumen elevado de solicitudes publiquen sus políticas de confidencialidad en sus sitios web, incluyendo un enlace con la sección de protección de datos del sitio web IMI de la Comisión. Otras autoridades competentes que tramiten un volumen pequeño de solicitudes pueden básicamente recurrir al enlace con el sitio web IMI de la Comisión.

Los coordinadores nacionales del IMI deben ofrecer asistencia a las autoridades competentes. La asistencia puede consistir en redactar ejemplos de declaraciones de confidencialidad que las autoridades competentes nacionales puedan utilizar de modelo. Otra posibilidad sería que el coordinador nacional redactara una declaración de confidencialidad común y la publicara en Internet; las autoridades competentes podrían simplemente facilitar el enlace a esa declaración en sus contactos con los interesados (por ejemplo, en los impresos de solicitud o en cualquier otro documento dirigido a los interesados).

DECLARACIÓN DE CONFIDENCIALIDAD DE LA COMISIÓN EUROPEA

Sistema de Información del Mercado Interior

1. Objetivo y agentes del IMI

El Sistema IMI tiene por objeto facilitar la cooperación administrativa y la asistencia mutua entre los Estados miembros, con el fin de garantizar el buen funcionamiento del mercado interior y la libre circulación de personas y servicios. Para ello, proporciona una herramienta de intercambio de información (lo que incluye determinados datos personales) entre las administraciones nacionales y los Estados miembros del EEE.

Esta declaración de confidencialidad afecta a las tareas del sistema que son competencia de la Comisión, a saber, la recogida, registro, almacenamiento y cancelación de los datos personales de los primeros usuarios de los coordinadores nacionales del IMI y el almacenamiento y cancelación —aunque no la recogida, recuperación y visualización— de los datos personales de los demás usuarios del sistema, así como de las personas objeto del intercambio de información. Por consiguiente, la declaración no afecta a las operaciones de tratamiento de datos que son competencia de los Estados miembros.

_________________________________

( 1 ) La sección sobre protección de datos del sitio web del IMI contiene todos los documentos sobre protección de datos específicos al IMI, así como un enlace a una lista de todos los documentos legislativos de la UE sobre la protección de datos:

http://ec.europa.eu/internal_market/imi-net/data_protection_en.html

2. Derecho aplicable

Todas las operaciones que competen a la Comisión Europea están reguladas por el Reglamento (CE) n o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.

Asimismo, es de aplicación la Decisión 2008/49/CE de la Comisión, de 12 de diciembre de 2007, relativa a la protección de los datos personales en la explotación del Sistema de Información del Mercado Interior (IMI).

3. ¿Qué datos del IMI trata la Comisión? La Comisión recopila la información de contacto relativa a los primeros usuarios de los coordinadores nacionales del IMI (nombre, número de teléfono profesional, número de fax, dirección de correo electrónico, etc.). Estos datos personales se almacenan en un servidor de la Comisión, junto con los de los usuarios en los coordinadores delegados y las autoridades competentes.

Los datos personales de quienes son objeto de un intercambio de información serán almacenados, por razones técnicas, en un servidor de la Comisión.

4. ¿Para qué sirve el tratamiento de datos en el IMI? La información de contacto de los coordinadores nacionales del IMI es esencial para el funcionamiento del sistema.

La Comisión necesita tener acceso a estos datos para poder cooperar de manera eficaz con los Estados miembros en la gestión del mismo.

El almacenamiento temporal de los datos personales de quienes son objeto de un intercambio de información entre autoridades nacionales tiene por objeto mejorar y facilitar la cooperación entre las autoridades competentes de los Estados miembros, con arreglo a la legislación comunitaria en materia de realización del mercado interior, cuando la prestación transfronteriza de servicios de carácter temporal o el establecimiento de un prestador de servicios en un Estado miembro distinto genera una necesidad de información complementaria procedente de otro Estado miembro.

5. ¿Quién tiene acceso a los datos?

Los administradores locales de datos de la Comisión tienen acceso a los datos personales de los administradores locales de datos de los coordinadores nacionales del IMI, dentro de los límites que establece el artículo 12, apartado 7, de la Decisión 2008/49/CE. El personal de la Comisión no puede tener acceso en ningún caso a los datos personales de quienes son objeto del intercambio de información.

6. ¿Cuánto tiempo se conservarán los datos?

Los datos personales de los usuarios de las autoridades competentes y los coordinadores del IMI se conservarán mientras sigan siendo usuarios del sistema.

Todos los datos personales que intercambien las autoridades competentes a través del IMI serán eliminados automáticamente por la Comisión a los seis meses del cierre oficial del intercambio de información. El intercambio de información seguirá conservándose en el sistema con fines estadísticos, pero todos los datos personales pasarán a ser anónimos. Toda autoridad competente que haya participado en un intercambio concreto de información puede pedir a la Comisión, tras el cierre del mismo, que elimine datos personales específicos. La Comisión dará curso a la solicitud en el plazo de 10 días hábiles, previo consentimiento de la otra autoridad competente participante en el intercambio.

7. Medidas de seguridad adoptadas contra el acceso no autorizado Se han adoptado diversas medidas técnicas para la protección del sistema. Los distintos niveles de acceso a la base de datos están protegidos por un sistema habitual de contraseña, al que se añade un código de identificación personal similar al utilizado en muchos sistemas de banca electrónica por Internet. El acceso a los datos personales del IMI está restringido a un número limitado de usuarios (véase el punto 5: «¿Quién tiene acceso a los datos?»). Además, el sistema está protegido mediante el uso del protocolo https (protocolo de Internet seguro).

8. Acceso a los propios datos personales Los coordinadores nacionales del IMI pueden acceder a sus propios datos personales a través de la dirección de contacto que figura en el punto 10.

9. Información complementaria

Además de la presente declaración de confidencialidad, también es de aplicación el «Aviso jurídico importante» (http://europa.eu/geninfo/legal_notices_en.htm).

Si cree que el sistema IMI contiene sus datos personales y desea acceder a tales datos u obtener la eliminación o rectificación de los mismos, diríjase a la administración o el organismo profesional con los que haya estado en contacto o a cualquier otro usuario del sistema que haya intervenido en el intercambio de información. Si no considera satisfactoria la respuesta recibida, puede ponerse en contacto con otro usuario del sistema que haya intervenido en el intercambio de información o formular una queja ante la agencia de protección de datos correspondiente, a fin de recibir ayuda gratuita. En esta dirección encontrará una lista de las autoridades competentes en la protección de datos:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

Tenga presente que, en determinados casos, las legislaciones nacionales pueden contemplar excepciones al derecho de acceso a los datos personales.

10. Dirección de contacto

La gestión del IMI es competencia de la unidad E.3 de la Dirección General de Mercado Interior y Servicios de la Comisión Europea. El funcionario a cargo (responsable del tratamiento) es el Sr. Nicholas Leapman, Jefe de Unidad.

Dirección de contacto del IMI:

Comisión Europea

Dirección General de Mercado Interior y Servicios Unidad E.3

B-1049 Bruselas

markt-imi-dataprotection@ec.europa.eu

Para formular una queja sobre cualquier operación de tratamiento de datos llevada a cabo bajo la responsabilidad de la Comisión, puede ponerse en contacto con el Supervisor Europeo de Protección de Datos:

Supervisor Europeo de Protección de Datos (SEPD) Rue Wiertz 60 (MO 63)

B-1047 Bruselas

Tel. +32 22831900

Fax: +32 22831950

edps@edps.europa.eu

10. DERECHO DE ACCESO Y DE RECTIFICACIÓN

Es esencial ofrecer transparencia al interesado. Para ello, en primer lugar, debe proporcionársele la información mencionada en el anterior apartado, y, en segundo lugar, debe concedérsele el derecho de acceso a sus datos personales y, en su caso, de supresión, rectificación o bloqueo si los datos son inexactos o han sido tratados ilícitamente.

La complejidad del sistema IMI, en el que son muchos los agentes y usuarios que intervienen conjuntamente en las operaciones de tratamiento y que comparten la responsabilidad de este, exige un enfoque directo con respecto al interesado. Los interesados desconocen los aspectos técnicos de las operaciones conjuntas de tratamiento de los datos o del funcionamiento del IMI, y no tienen por qué conocerlos.

Es preciso, por tanto, implantar un sistema claro y simple: como regla general, frente a la que existirán solo excepciones justificadas acordadas entre el interesado y las demás partes afectadas, los interesados podrán ejercer sus derechos de acceso, de rectificación y de supresión solicitándolo a cualquiera de las autoridades competentes involucradas en una solicitud. Ninguna autoridad competente deberá denegar el derecho de acceso, de rectificación o de supresión alegando que no fue ella la que introdujo los datos en el sistema o que el interesado debería ponerse en contacto con otra autoridad competente. La autoridad competente que reciba la solicitud la examinará, y la aceptará o denegará en función de la motivación de la misma y de las disposiciones de su propia legislación nacional en materia de protección de datos.

Si fuera necesario, la autoridad competente podrá contactar con otras autoridades competentes antes de adoptar una decisión. En caso de desacuerdo entre autoridades competentes, deberá recurrirse a las respectivas autoridades de protección de datos a fin de llegar a un acuerdo con prontitud y eficacia.

Si el interesado no está conforme con la decisión adoptada, puede dirigirse a otra autoridad competente que participe en el intercambio de información, o a la autoridad nacional de protección de datos de una de las autoridades competentes involucradas, la que considere más conveniente: por ejemplo, la autoridad del país en el que esté establecido o su propia autoridad nacional de protección de datos o la autoridad del país en el que desarrolle su actividad. Si fuera necesario, las autoridades de protección de datos cooperarán entre sí para la resolución de la queja (véase el artículo 28 de la Directiva relativa a la protección de datos).

Cabe subrayar que los interesados gozan siempre del derecho a entablar, en cualquier momento, acciones legales y a obtener reparación, en su caso (véanse los artículos 22 y 23 de la Directiva relativa a la protección de datos, y las pertinentes disposiciones de la legislación nacional).

El artículo 12, letra c), de la Directiva relativa a la protección de datos establece que el responsable del tratamiento notificará a los terceros a quienes se hayan comunicado los datos toda rectificación, supresión o bloqueo de los mismos, si no resulta imposible o supone un esfuerzo desproporcionado. Esto es igualmente válido en relación con la información que sea objeto de tratamiento adicional fuera del IMI.

Adicionalmente a las recomendaciones del Grupo de Trabajo del Artículo 29 y del SEPD, la Comisión estudia actualmente introducir en el IMI un mecanismo (similar al procedimiento ya implantado para la supresión anticipada de datos a instancia de las autoridades competentes, véase el apartado 12) que permitiría rectificar los datos en línea y enviar una notificación automáticamente a las autoridades competentes afectadas. Ello entraña dificultades técnicas, por lo que se propone que, hasta tanto no se implante tal mecanismo, si fuera necesario rectificar datos personales, la autoridad competente dirija la solicitud directamente al responsable del tratamiento de los datos del IMI en la Comisión Europea (véase el anterior apartado «Declaración de confidencialidad de la Comisión Europea»).

La Directiva relativa a la protección de datos y las normas nacionales de incorporación otorgan también a los interesados el derecho a oponerse al tratamiento de los datos que les conciernan y a interrumpirlo en casos justificados. Si un interesado estableciera contacto con usted para oponerse al tratamiento de los datos que le conciernen, diríjase a la autoridad nacional de protección de datos de su país a fin de obtener más información sobre la aplicación del derecho de oposición en su Estado miembro.

11. SEGURIDAD DE LOS DATOS

La seguridad del IMI se garantiza mediante diversas medidas organizativas y técnicas, similares a las utilizadas en algunos sistemas de banca en casa por Internet. La comunicación con el IMI a través de Internet se protege utilizando el protocolo https (un protocolo especial de seguridad de Internet). Las medidas técnicas de protección del IMI han de ser interoperativas en toda la Unión Europea. La protección técnica del sistema se irá desarrollando más en función de los adelantos técnicos y del coste (véase al artículo 17 de la Directiva 95/46/CE y el artículo 22 del Reglamento (CE) n o 45/2001).

Para mayor información sobre las normas aplicables en relación con la seguridad de los sistemas informáticos utilizados por la Comisión Europea puede consultarse la Decisión C (2006) 3602 de la Comisión en la sección sobre protección de datos del sitio web del IMI:

http://ec.europa.eu/internal_market/imi-net/data_protection_en.html

12. PERÍODO DE CONSERVACIÓN

Las normas sobre el período de conservación figuran en los artículos 4 y 5 de la Decisión 2008/49/CE.

Como norma general, todos los datos personales transmitidos en los intercambios de información se suprimirán seis meses después de dar por concluido formalmente el intercambio de información. La Comisión está introduciendo actualmente algunas modificaciones en el sistema (avisos recordatorios y listas de urgencias) con la finalidad de que las solicitudes puedan clausurarse oficialmente cuanto antes.

Existe también la posibilidad de que una autoridad competente solicite la supresión de los datos personales antes de que finalice el período de seis meses. Si la otra autoridad competente está de acuerdo, la Comisión dará cumplimiento a esas solicitudes en el plazo de diez días hábiles.

Las autoridades competentes deben saber que las solicitudes de supresión de datos personales pueden efectuarse en línea, para lo cual se localizará la solicitud clausurada y se pulsará el botón «Solicitar supresión de datos personales».

Pantalla de una autoridad competente que solicita la supresión anticipada de datos personales

IMAGEN OMITIDA EN PÁGINA 27

Pantalla de una autoridad competente a la que se consulta sobre la supresión anticipada de datos personales

IMAGEN OMITIDA EN PÁGINA 27

La Comisión introducirá también algunas mejoras en el sistema, como los recordatorios automáticos de aceptación de las respuestas o de clausura oficial de las solicitudes cuando haya una respuesta satisfactoria.

Es importante también recordar que en relación con los datos almacenados fuera del IMI por las autoridades competentes se aplica la legislación nacional en materia de protección de datos.

13. COOPERACIÓN CON LAS AUTORIDADES NACIONALES DE PROTECCIÓN DE DATOS Y CON EL SEPD

Las autoridades nacionales de protección de datos y el SEPD constituyen una de las garantías más sólidas del buen funcionamiento de nuestro sistema de protección de datos. Las autoridades competentes pueden recurrir a ellos para asesorarse siempre que se enfrenten a un caso difícil no contemplado en las presentes directrices. Los coordinadores nacionales del IMI están llamados a desempeñar una importante función a este respecto. En la sección sobre protección de datos del sitio web del IMI figura una lista de personas de contacto de las autoridades de protección de datos.

Las autoridades competentes deben también saber que puede ser necesario que notifiquen previamente su participación en el IMI a sus respectivas autoridades nacionales de protección de datos. En algunos Estados miembros puede ser necesaria una autorización previa. Los coordinadores del IMI deben desempeñar un papel activo de coordinación a la hora de contactar con las autoridades de protección de datos, si fuera necesario.

Acciones en curso

En 2009, de cara a una nueva versión del IMI, se introducirán las siguientes mejoras, que redundarán en beneficio de la protección de datos:

a) Cuando el intercambio de información afecte a datos sensibles (por ejemplo, sobre salud, antecedentes penales o medidas disciplinarias), un aviso recordará que la información es sensible y la persona que gestiona el caso solo debe solicitarla si es absolutamente necesaria y está directamente relacionada con el ejercicio de la actividad profesional o con la prestación de un determinado servicio.

b) Se implantará un procedimiento en línea (similar al ya existente para la supresión anticipada de datos a instancia de las autoridades competentes) para la rectificación, supresión o bloqueo de los datos que hayan sido tratados ilícitamente o que sean inexactos.

c) Se implantarán recordatorios automáticos y listas de urgencias para la aceptación de una respuesta, a fin de que las solicitudes no permanezcan abiertas más tiempo del necesario.

d) Se adoptarán las medidas oportunas para gestionar los nuevos flujos de información derivados de la Directiva sobre servicios, esto es, en relación con el mecanismo de alerta y las excepciones caso por caso. En general, estas medidas seguirán las mismas pautas que en los intercambios generales de información, por ejemplo: recordatorios de la naturaleza sensible de estos flujos de información, recordatorios para cerrar las alertas a la mayor brevedad, y posibles formas de informar a las personas sobre el intercambio de información y su derecho de acceso a los datos y, en su caso, de bloqueo, supresión o rectificación de los mismos. Podría ser necesario introducir otras garantías adicionales de protección de los datos. Tales garantías se formularán en consulta con el SEPD.

14. CLÁUSULA DE REVISIÓN

El IMI es un sistema de información pionero que está aún en fase de desarrollo. La Comisión recaba permanentemente información de los coordinadores y de las autoridades competentes con el fin de mejorar el sistema, por lo que cabe prever cambios en los próximos meses. Algunos de estos cambios pueden no afectar a la protección de datos, pero otros sí.

Así pues, las presentes directrices no deben considerarse definitivas y deberán actualizarse a partir de la experiencia cotidiana del IMI. A más tardar un año después de adoptarse la presente Recomendación, la Comisión confeccionará un informe de situación, en el que analizará, entre otras cosas, la posibilidad de adoptar otro acto legal.