GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS 00665/11/ES WP 182 Dictamen 11/2011 relativo al nivel de protección de datos personales en Nueva Zelanda adoptado el 4 de abril de 2011 El Grupo de Trabajo se creó con arreglo al artículo 29 de la Directiva 95/46/CE. Es un órgano consultivo europeo independiente que se ocupa de la protección de datos y la intimidad. Sus funciones están descritas en el artículo 30 de la Directiva 95/46/CE y el artículo 15 de la Directiva 2002/58/CE. De su secretaría se ocupa la Dirección C (Derechos Fundamentales y Ciudadanía de la Unión) de la Comisión Europea, Dirección General de Justicia, B-1049 Bruselas, Bélgica, despacho No MO-59 02/013. Website: http://ec.europa.eu/justice/data-protection/index_en.htm El Grupo de Trabajo sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y, en particular, su artículo 29 y su artículo 30, apartado 1, letra b), Visto el reglamento interno del Grupo y, en particular, sus artículos 12 y 14, Ha adoptado el siguiente dictamen: 1. Introducción y antecedentes Se pidió al Grupo de Trabajo que considerara la adecuación de la legislación sobre protección de datos de Nueva Zelanda de 2009 y se otorgó este mandato al subgrupo correspondiente en el pleno de diciembre de 2009. La Comisión Europea presentó el informe que había solicitado sobre la adecuación de la protección de datos personales en Nueva Zelanda, elaborado por el Profesor Roth de la Facultad de Derecho de la Universidad de Otago, Dunedin, Nueva Zelanda. Dicho informe ha sido elaborado con la supervisión del Centre de Recherches Informatique et Droit (CRID) de la Universidad de Namur. El informe analiza en qué medida el sistema jurídico de Nueva Zelanda cumple los requisitos de la legislación sustantiva y los mecanismos de aplicación de las normas de protección de datos personales, establecidos en el documento de trabajo «Transferencia de datos personales a los terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la Unión Europea», elaborado por el Grupo de Trabajo del artículo 29 el 24 de julio de 1998 (WP 12). También tiene en cuenta las normas no jurídicas, la aplicación en la práctica y la costumbre corporativa y administrativa general que existe en relación con el derecho a la intimidad. El subgrupo tuvo en cuenta dicho informe y los comentarios sobre el mismo formulados por la Autoridad de Protección de Datos de Nueva Zelanda, el Ministro neozelandés de Justicia, así como la carta del Ministerio de Justicia sobre la Ley de reforma del derecho a la intimidad (información transfronteriza) de 2010. También solicitó al Comisario neozelandés responsable de la intimidad (Privacy Commissioner, autoridad nacional de control) más información y aclaraciones sobre ciertos aspectos que se exponen a continuación. El subgrupo pasó entonces a considerar la información recibida, que incluía directrices del Comisario responsable de la intimidad relativas a la aplicación de la Ley de reforma del derecho a la intimidad (información transfronteriza) (Privacy Amendment Act) tras su entrada en vigor el 7 de septiembre de 2010. El presente dictamen se basa en gran parte en el informe del profesor Roth, que con claridad y una estructura idónea, compara la legislación neozelandesa con todos y cada uno de los requisitos del WP 12. 2. Legislación sobre la protección de datos en Nueva Zelanda Nueva Zelanda no tiene una constitución escrita y es una democracia parlamentaria. Existen algunas leyes de carácter constitucional que son consideradas «normas superiores». Entre estas figura la Ley relativa a la Carta de Derechos de 1990 (Bill of Rights Act) y la Ley sobre los Derechos Humanos (Human Rights Act) de 1993. También existe una serie de principios y normas de Derecho 2 consuetudinario relativos a la protección de datos que reconocen los ilícitos civiles en materia de intimidad y el cohecho. La principal norma de protección de datos en Nueva Zelanda es la Ley sobre la intimidad (Privacy Act) de 1993 (en lo sucesivo la Ley), muy influida por las Directrices de la OCDE sobre la Protección de la Privacidad y los Flujos Transfronterizos de Datos Personales de 1980. Existen tres códigos de buenas prácticas en materia de intimidad que se han elaborado con arreglo al artículo 46 de la Ley y se aplican específicamente y con requisitos más exigentes a los datos médicos, la información sobre telecomunicaciones y los datos de notificación del acreedor. También existen leyes en materia de libertad de información, spam, sanciones penales por determinadas violaciones de la intimidad, cancelación de antecedentes penales, vigilancia, conservación de datos médicos, registros públicos y discriminación. Asimismo existen disposiciones relacionadas con el derecho a la intimidad como las normas sobre el secreto recogidas en la Ley electoral de 1993 que protegen la intimidad del votante. La Ley sobre la intimidad reconoce al Comisariado para la intimidad (office of Privacy Commissioner) el carácter de organismo independiente. El Comisariado ha emitido diversas directrices, folletos e informaciones que especifican los derechos y las obligaciones de las organizaciones y las personas, así como notas sobre casos anónimos de quejas concretas. En ellos imparte orientaciones sobre la aplicación práctica de los principios de intimidad. Por otra parte, la jurisprudencia sobre derechos humanos contiene directrices e interpreta los diversos aspectos de la Ley sobre la intimidad. Nueva Zelanda cuenta con dos leyes sobre libertad de información que contienen disposiciones sobre el derecho a la intimidad. La Ley de información oficial (Official Information Act) regula los organismos de la administración central y el sector público. La Ley de reuniones e información oficial de la administración local (Local Government Official Information and Meetings Act) de 1987 regula la administración local. Contienen disposiciones para proteger la intimidad en los casos en que se pretende difundir información oficial y sobre la obligación de motivar las decisiones administrativas que afectan a las personas físicas. Nueva Zelanda tiene una judicatura independiente y los asuntos relativos a la Ley de intimidad pueden someterse a un Tribunal de Derechos Humanos de segunda instancia. El tribunal de primera instancia (District Court) conoce de los asuntos civiles y penales. Los recursos contra las resoluciones de estos dos tribunales se presentan al Tribunal Superior (High Court). Por encima de este tribunal está el Tribunal de Apelación (Court of Appeal) y, a continuación, el Tribunal Supremo (Supreme Court). En materia civil se prevén recursos relativos a la intimidad, incluida la difamación, daños, acoso, falsedad dolosa, intromisión ilegítima, perjuicios causados intencionadamente, negligencia y plagio. En el ámbito penal también están tipificados varios delitos relativos a la violación de la intimidad de la persona que implican el uso o la difusión no autorizados de datos personales. Por último, hay que señalar que Nueva Zelanda es un país pequeño de aproximadamente 4,3 millones de personas y que, como se pone de relieve en el informe pericial, la gestión leal de la información se considera una actividad rentable. Ninguna entidad puede permitirse causar perjuicios en un mercado tan pequeño, y las noticias sobre prácticas poco recomendables circulan rápidamente. Esto tiene consecuencias importantes para la actividad empresarial. 3 3. 3. Evaluación del nivel de adecuación de la protección de datos prevista en la legislación de Nueva Zelanda El Grupo de Trabajo señala que su evaluación de la adecuación de la normativa sobre protección de datos vigente en Nueva Zelanda se refiere esencialmente a la Ley sobre la intimidad (Privacy Act) de 1993. Las disposiciones de esta Ley, así como la jurisprudencia de los tribunales en materia de protección de datos personales, se han comparado con las principales disposiciones de la Directiva, teniendo en cuenta el dictamen WP 12 del Grupo de Trabajo. Este dictamen enuncia una serie de principios que constituyen un «núcleo» de principios de «contenido» de protección de datos y de requisitos de «procedimiento/de aplicación», cuyo cumplimiento pudiera considerarse un requisito mínimo para juzgar adecuada la protección. 3.1. Ámbito de aplicación de la normativa La Ley regula toda la información personal en cualquier forma o soporte. Se aplica a la totalidad de los sectores público y privado, con pocas excepciones por motivos de interés público específico, como es habitual en una sociedad democrática. La Ley define los datos personales como «información sobre una persona identificable» entendiendo por persona el individuo físico vivo, e incluye información sobre la inscripción del fallecimiento en el registro civil. Para la identificación de una persona no basta únicamente con la información. En el asunto Proceedings Commissioner v Commissioner of Police [2000] NZAR 277, el Tribunal declaró que siempre que la información «permita identificar a [la persona] individuos del público en general» puede considerarse información personal a efectos de la Ley sobre la intimidad. La Ley regula todos los organismos de Nueva Zelanda, salvo excepciones. Un organismo se define como «una persona o grupo de personas, ya sean personas jurídicas o entidades sin personalidad jurídica, tanto del sector público como del privado. Para su identificación inequívoca deben incluir un departamento». Según esta definición las personas pueden ser organismos, pero no se hace referencia a datos personales de carácter doméstico (asuntos personales, familiares o del hogar de la persona). Toda persona puede elevar quejas al Comisario para la intimidad y, según la Ley de reforma del derecho a la intimidad (información transfronteriza), toda persona interesada puede solicitar acceso a un organismo de Nueva Zelanda. Las excepciones se establecen y especifican por ley. Las principales excepciones a la aplicación de la Ley se basan en motivos políticos, constitucionales y judiciales. Los nuevos medios de comunicación quedan exentos en lo que respecta a sus nuevas actividades (como en el artículo 9 de la Directiva UE) Por consiguiente, el Grupo de Trabajo considera que el ámbito de aplicación de la Ley sobre la intimidad es similar al previsto en la Directiva. 3.2. Principios relativos al contenido La Ley contiene doce principios relativos a la privacidad de la información. Estos principios no son directamente ejecutables por un tribunal, aparte del derecho de acceso a la información que obre en poder de un organismo del sector público. En caso de «intromisión en la intimidad» puede elevarse una queja al Comisario para la intimidad. La «intromisión en la intimidad» se produce cuando la 4 violación de los principios va acompañada de daños o pérdidas causados a la persona. En cuanto a los daños, el Comisario para la intimidad ha confirmado que éstos son los que define la ley en sentido amplio e incluyen «pérdidas, detrimento, daños o lesiones» que surten «efectos adversos en los derechos, beneficios, privilegios y obligaciones». Es importante señalar que los ámbitos de aplicación expresamente previstos por la Ley incluyen daños emocionales o psíquicos en forma de «graves humillaciones, pérdida de dignidad u ofensas graves contra los sentimientos». Para que exista «intromisión en la intimidad» no es necesario que se hayan producido daños o pérdidas en relación con el acceso del interesado y los principios de corrección. Principios fundamentales 1) Principio de limitación de la finalidad: los datos deben tratarse con una finalidad específica y sólo pueden utilizarse o comunicarse posteriormente si ello no es incompatible con la finalidad de la transferencia. Las únicas excepciones a esta norma serían las necesarias en una sociedad democrática por alguno de los motivos enumerados en el artículo 13 de la Directiva. El Grupo de Trabajo considera que Nueva Zelanda aplica este principio a través de sus principios de privacidad de la información 1 (finalidad de la recogida de datos personales), 10 (límites al uso de datos personales) y 11 (límites a la difusión de datos personales). El principio 1 establece que la finalidad de la recogida de datos personales por un organismo debe ser legal; debe guardar relación con la función o actividad del organismo; y debe ser necesaria para tal fin. Los principios 10 y 11 exigen que el uso o difusión de datos personales sean conformes a la finalidad para la que se obtuvieron o a una finalidad directamente relacionada. El principio 10 establece excepciones relativas a finalidades secundarias. El principio 10, letra e), establece que un organismo puede usar la información para otros fines cuando tenga motivos razonables para suponer que «la finalidad para la que se usa la información está directamente relacionada con la finalidad para la que se obtuvo la información». El principio 11, letra a), también establece que un organismo puede revelar información a una persona u organismo o agencia cuando tenga motivos razonables para suponer que «la revelación de la información es una de las finalidades para las que se obtuvo la información o está directamente relacionada con las finalidades para las que se obtuvo la información». La «finalidad directamente relacionada» es un motivo secundario para usar o difundir información personal que corresponde al requisito WP12 de que los datos personales «sólo podrán utilizarse y comunicarse posteriormente si ello no es incompatible con la finalidad de la transferencia». La mayoría de las otras excepciones al principio 10 corresponden a las excepciones previstas en el artículo 13 de la Directiva. No reflejan lo dispuesto en el artículo 7 de la Directiva en relación con las finalidades legítimas del tratamiento. Además, una excepción prevé que el Comisario para la intimidad deberá autorizar el tratamiento. Se pretende así regular circunstancias imprevistas o no reguladas por la Ley sobre la intimidad. El informe anual del Comisario para la intimidad contiene información detallada sobre estas autorizaciones. Por consiguiente, el Grupo de Trabajo considera que la legislación de Nueva Zelanda cumple este principio. 2) Calidad de los datos y principio de proporcionalidad: los datos serán precisos y, cuando sea necesario, se mantendrán actualizados. Los datos deben ser adecuados, 5 pertinentes y no excesivos con relación a los fines para los que se transfieran o se traten posteriormente. El Grupo de Trabajo considera que el principio de calidad de los datos se cumple a través de los principios relativos a la privacidad de la información 7 (corrección de la información personal), 8 (precisión, etc., de la información personal que debe comprobarse antes de su uso) y 9 (el organismo no conservará la información personal más tiempo del necesario). El principio de proporcionalidad se cumple en virtud del principio de privacidad de la información 1 (finalidad de la recogida de datos personales). El principio 8 establece que «Un organismo que posee información personal no la utilizará sin haber tomado las medidas (en su caso) que sean, habida cuenta de las circunstancias, razonables para garantizar que, con respecto a la finalidad para la que se propone usar la información, ésta sea precisa, actualizada, completa, pertinente y no engañosa». El principio 7(2) impone a los organismos la obligación de corregir la información, ya sea por propia iniciativa o a petición del interesado, para garantizar que la información sea precisa, actualizada, completa y no engañosa. Si una persona solicita una corrección que el organismo no desea realizar, la persona podrá solicitar que se adjunte a la información existente una declaración de corrección. La retención de datos es objeto del principio 9, que establece que «Un organismo que posee información personal no conservará esta información más tiempo del necesario para la finalidad para la que dicha información pueda usarse legalmente». La comprobación de si la información puede utilizarse legalmente se recoge en el principio 10, que limita el uso de información personal. La proporcionalidad está prevista en el principio de privacidad de la información 1 (a), que establece que la información recogida estará «relacionada con una función o actividad del organismo». El principio 1 (b) establece que la recogida de la información debe ser «necesaria» para la finalidad que motivó su recogida. Las notas de asuntos tratados por el Comisario para la intimidad y los asuntos del Tribunal de Derechos Humanos de segunda instancia interpretan el término «no excesivo» y la norma de necesidad. Por consiguiente, el Grupo de Trabajo considera que la legislación de Nueva Zelanda cumple este principio. 3) Principio de transparencia: los interesados serán informados de la finalidad del tratamiento de datos y de la identidad del responsable del tratamiento en el tercer país, así como de cualquier otro aspecto necesario para garantizar un trato equitativo. Las únicas excepciones permitidas son las previstas en el artículo 11, apartado 2, y en el artículo 13 de la Directiva. El Grupo de Trabajo considera que los requisitos de transparencia se inscriben en los principios de privacidad de la información 2 (fuente de la información personal), 3 (recogida de información del interesado), y 4 (forma de recogida de la información personal). El principio 2(1) establece que «Cuando un organismo recoge información personal, deberá hacerlo directamente del interesado». El principio 3(1) establece que «cuando un organismo recoja información personal directamente del interesado, el organismo debe adoptar las medidas razonables, habida cuenta de las circunstancias, para garantizar que los interesados conozcan ...» y a 6 continuación enumera la información que deberá facilitarse a la persona. Esta lista incluye y amplía los elementos del artículo 10 de la Directiva. La Ley sobre la intimidad no prevé la notificación a la persona cuando la información se recoge de una fuente distinta de la persona porque, aunque existen algunas excepciones, el principio legal es que la información no debe recabarse de nadie que no sea el interesado. En todo caso, la persona está protegida por todos los demás principios de privacidad de la información. El principio 4 regula la cuestión de equidad al prever que el organismo no puede recoger información personal: a) por medios ilegales; o b) por medios que, en las circunstancias del caso, i) sean injustos; o ii)constituyan una intromisión no justificada en los asuntos personales de la persona de que se trate. Algunas excepciones al principio de transparencia corresponden a las previstas en el artículo 11, apartado 2, y el artículo 13 de la Directiva. No obstante, algunas excepciones no se corresponden con ninguna excepción de la Directiva. Son las que se analizan a continuación. v) El organismo tiene motivos razonables para suponer que el interesado ha dado su autorización. La Ley usa el término «autorización» más que el «consentimiento fundamentado». Sin embargo, el Comisario para la intimidad y el Tribunal han interpretado el término «autorización» en el sentido de una forma activa y deliberada de consentimiento con conocimiento de causa. En un asunto tratado por el Comisario para la intimidad se señala que «la autorización requiere un acto positivo» y que la falta de oposición no constituye una autorización. vi) El organismo tiene motivos razonables para suponer que el incumplimiento del principio no dañará los intereses de las personas a las que se refieren los datos Esta excepción procede del sistema de daños adoptado en Nueva Zelanda. Su espíritu es similar al de la prueba de equilibrio prevista en el artículo 7, f), de la Directiva, aunque en Nueva Zelanda la prueba se refiere a los daños o pérdidas que pueden causar las acciones de la organización. Para ser cautas, las organizaciones pueden optar por notificar a la persona y obtener la autorización para actuar. Esto encaja obviamente con el enfoque adoptado en Nueva Zelanda, donde la Ley regula toda la información personal, incluidas conversaciones, chismes e información que posee la persona. En este contexto, se requiere cierta flexibilidad para que la Ley pueda aplicarse en la práctica, y el sistema de daños adoptado es una manera de conseguirlo. El enfoque difiere del europeo, pero es improbable que pueda menoscabar los derechos y libertades de las personas. La información personal relativa a esta excepción sigue estando regida por otros principios de privacidad de la información. viii) El organismo tiene motivos razonables para suponer que el cumplimiento del principio sería perjudicial para la finalidad de la recogida de datos Aunque no se corresponde exactamente con ninguna excepción de la Directiva, esta excepción es un reflejo de las excepciones previstas en los artículos 13, letras a) a f), y podría utilizarse en relación con las actividades de control y vigilancia, especialmente en materia de empleo y servicios coercitivos. xi) Autorización especial concedida por el Comisario para la intimidad Esta excepción se refiere a circunstancias imprevistas no reguladas por la Ley en las que el tratamiento de datos personales resulta conveniente o necesario. El Comisario sólo otorgará una autorización si está convencido de que el interés público «prevalece, en grado significativo» sobre 7 cualquier posible daño a una persona como consecuencia de la concesión de la autorización, o de que la autorización implica un «beneficio evidente para la persona afectada que prevalece» sobre cualquier posible daño resultante. El Comisario para la intimidad no podrá conceder una autorización si la persona interesada no ha autorizado la recogida, el uso o la difusión de información personal. Esto significa que el organismo debe intentar obtener en primer lugar el consentimiento de la persona. Si la persona no da su consentimiento, el Comisario no podrá conceder la autorización. Aunque el enfoque adoptado en Nueva Zelanda sobre la transparencia difiere del enfoque europeo en diversos aspectos, el Grupo de Trabajo celebra que la Ley observe este principio, ya que la norma básica de esta Ley es que la información personal debe recopilarse siempre directamente del interesado, con notificación de la finalidad y otros particulares que se produzcan en el momento de recogida de la información. La recogida de información a partir de otras fuentes o la falta de la notificación requerida en el momento de la recogida se consideran una excepción a esta norma básica. 4) Principio de seguridad: el responsable del tratamiento debe adoptar las medidas técnicas y organizativas necesarias contra los riesgos derivados del tratamiento. Las personas que actúen bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, no tratarán los datos a menos que reciban instrucciones del responsable. El Grupo de Trabajo considera que el principio 5 (almacenamiento y seguridad de la información personal) cubre los requisitos del principio de seguridad. Este se basa en el principio de garantías de seguridad de la OCDE y su redacción es similar a la del artículo 17, apartados 1 y 2, de la Directiva, en cuanto a que las medidas de seguridad deben proteger contra la pérdida, acceso, uso, modificación, divulgación y uso indebido. Los organismos deben hacer todo lo que esté razonablemente a su alcance para evitar el acceso no autorizado y la divulgación en los casos en que la información se transfiera a un encargado. Los encargados que utilicen la información al margen de las instrucciones del responsable estarán vulnerando varios principios de la Ley. Según las notas de un asunto tratado por el Comisario para la intimidad, la información especialmente sensible o privada (como los datos bancarios) debe protegerse con medidas de seguridad rigurosas. Este principio es vinculante para los responsables y encargados del tratamiento. Por consiguiente, el Grupo de Trabajo considera que la legislación de Nueva Zelanda cumple el principio de seguridad. 5) Derecho de acceso, rectificación y oposición Toda persona tiene derecho a una copia de todos los datos referentes a ella y derecho a rectificar cualquier dato que sea inexacto. En algunas situaciones, la persona también puede oponerse al tratamiento de sus datos. Las únicas excepciones a estos derechos serían las previstas en el artículo 13 de la Directiva. El Grupo de Trabajo considera que la Ley establece derechos de acceso y corrección en los principios 6 (acceso a la información personal) y 7 (corrección de la información personal). Anteriormente, los derechos de acceso y corrección sólo se reconocían a las personas que eran nacionales, residentes o que se encontraban físicamente en Nueva Zelanda. Ahora bien, la Ley de reforma del derecho a la intimidad (información transfronteriza) de 2010 modificó la Ley de intimidad para que cualquier persona pueda presentar «solicitudes relativas a la información personal». Entre estas se incluyen: solicitudes para obtener confirmación sobre la posesión de datos personales por un organismo, solicitudes de acceso y solicitudes de corrección. En cuanto a los organismos del sector público, el derecho de acceso se ejercita directamente y su titular puede dirigirse al tribunal para que lo ejecute en lugar de dirigirse al Comisario responsable de la intimidad. 8 La mayoría de las excepciones al derecho de acceso son conformes a lo dispuesto en el artículo 13 de la Directiva. La excepción relativa a la defensa y seguridad nacionales también afecta a las relaciones internacionales con otros países y organizaciones internacionales, lo cual no está previsto expresamente en la Directiva. No obstante, el Grupo de Trabajo no considera que esto afecte al grado de adecuación. Hay diversas excepciones que corresponden al artículo 13, letra g), pero este artículo de la Ley que nos ocupa también incluye excepciones relativas a la administración que no están previstas en la Directiva. Son las que se analizan a continuación. El acceso puede denegarse cuando «la solicitud es frívola o vejatoria, o se solicita información trivial». El objetivo es evitar el abuso del derecho de acceso y es similar a las disposiciones de la normativa europea sobre la libertad de información. Hay tres excepciones administrativas de carácter práctico en el supuesto de que la información «no sea fácilmente disponible», el supuesto de que «no exista o no pueda encontrarse» y el supuesto de que no la posea el organismo competente y no haya motivos para suponer que obre en poder de otro organismo o que esté más estrechamente relacionada con las funciones o actividades de otro organismo. En este último supuesto, el organismo está obligado a transferir la solicitud de acceso al otro organismo competente. En cuanto a los derechos de oposición, la legislación neozelandesa no reconoce un derecho directo. Sin embargo, con arreglo al principio 3 (recogida de información del interesado), las personas pueden oponerse al tratamiento en el momento en que se les notifica. De acuerdo con el principio 3(1)(e) y (f), se debe notificar a las personas lo siguiente: e) Si la recogida de información está autorizada o es requerida por ley e) la ley particular que autoriza o requiere la recogida de información; y ii) el carácter voluntario u obligatorio del suministro de información por esa persona; y f) las consecuencias (en su caso) para la persona en caso de no suministrar toda o parte de la información requerida. Se ha informado de dos casos en los que el Comisario para la intimidad investigó quejas por denegación de la posibilidad de objetar. En uno de los casos, relativo a la normativa de pesca, el organismo modificó su política con objeto de formular únicamente preguntas pertinentes al interesado. En el otro caso, relativo a las condiciones de adhesión a un club, el reglamento del club establecía claramente el tipo de información recogida, la finalidad de la recogida y los destinatarios, por lo que no se produjo violación del principio. El WP 12 declara que el derecho de oposición sólo debe reconocerse a las personas en determinadas situaciones, y que este derecho existe para los datos UE en la UE antes de su transferencia a Nueva Zelanda. Por consiguiente, el Grupo de Trabajo considera que la legislación de Nueva Zelanda cumple el principio relativo a los derechos de acceso, rectificación y oposición. 6) Restricciones de las transferencias posteriores a otros países: las transferencias sucesivas de datos personales desde el tercer país de destino a otro país sólo se permitirán si este último también garantiza un nivel de protección adecuado. Las únicas excepciones serían las previstas en el artículo 26, apartado 1, de la Directiva. 9 La normativa neozelandesa se basa en las directrices OCDE, por lo que no existe ninguna disposición específica sobre protección y garantías en caso de transferencia de datos personales a un tercer país. El artículo 10 de la Ley se aplica en el caso de que los organismos neozelandeses posean información en un tercer país, lo cual evita que los organismos eludan los principios de la Ley por el hecho de estar fuera de Nueva Zelanda. Esta disposición también se aplica a la información que se encuentre en un tercer país en poder de un encargado que actúe en nombre de un organismo neozelandés. El principio 11 limita la difusión e incluye a los organismos en los terceros países. Las excepciones a esta disposición son coherentes en gran medida con las excepciones previstas en el artículo 26 de la Directiva. Cuando la información está en un tercer país, los organismos neozelandeses siguen siendo responsables por los daños o pérdidas derivados del uso o la difusión en dicho tercer país, por lo que están interesados en reducir los riesgos y aplicar garantías adecuadas en ese lugar. La Ley de reforma del derecho a la intimidad (información transfronteriza) de 2010 introdujo disposiciones para someter las quejas transfronterizas a la autoridad competente y para facultar al Comisario para la intimidad, en casos excepcionales, a prohibir la transferencia ulterior de la información personal recibida de ultramar. El Comisario ha impartido directrices sobre la puesta en práctica de la disposición y la forma en que se propone ejercer las nuevas facultades. El Comisario puede dictar una orden de prohibición de transferencia y el incumplimiento de la misma puede dar lugar a enjuiciamiento penal y multa de 10 000 $. Para notificar la orden, el Comisario debe asegurarse de que: • la información personal haya sido recibida de otro Estado y será transmitida a un tercer Estado donde no estará sujeta a una ley que prevea garantías comparables a las de la Ley sobre la intimidad; y • existe la posibilidad de que la transferencia vulnere los principios básicos de aplicación nacional establecidos en las directrices de la OCDE. Antes de ejercer su discrecionalidad para prohibir una transferencia, el Comisario deberá considerar: • las cuestiones a que se refiere el artículo 114 (derechos humanos y otros aspectos sociales relacionados con el derecho a la intimidad; las obligaciones internacionales de Nueva Zelanda; los principios de protección de datos; los principios de protección de datos del registro público); • si la transferencia propuesta de información personal afecta o puede afectar a las personas; • la conveniencia de facilitar el libre flujo de información entre Nueva Zelanda y otros Estados; y • cualquier directriz internacional existente o en vías de adopción que pueda aplicarse al intercambio de datos a nivel internacional (incluidas las directrices OCDE y la Directiva UE). Para una ejecución transfronteriza eficiente, las disposiciones y las directrices del Comisario implican que cuando las autoridades europeas de protección de datos avisen al Comisario de una transferencia, éste dará prioridad al asunto y podrá notificar una orden de prohibición en caso necesario. El Comisario también tiene facultades para investigar y descubrir, de forma proactiva, posibles acuerdos de transferencias que puedan justificar el ejercicio de la facultad de prohibición de la transferencia. El Grupo de Trabajo ha manifestado cierta preocupación por la eficacia práctica de las disposiciones, pues no está claro cómo el Comisario tendrá conocimiento de transferencias fuera de Nueva Zelanda si no es por las autoridades de protección de datos. No obstante, las modificaciones de la legislación y las directrices del Comisario han advertido a las empresas de la necesidad de la 10 «adecuación» de toda transferencia posterior, son pena de recibir una notificación de prohibición de la transferencia. En realidad, teniendo en cuenta la lejanía geográfica de Nueva Zelanda con respecto a Europa, su tamaño y las características de su economía, es improbable que los organismos de Nueva Zelanda tengan un interés mercantil en enviar volúmenes significativos de datos generados en la UE a los terceros países. Aunque el Grupo de Trabajo no considera que la legislación neozelandesa cumpla plenamente el principio de transferencia posterior, no cree que se trate de una deficiencia grave ni que constituya un obstáculo en términos de «adecuación». Principios complementarios El documento WP12 menciona algunos principios que deberían aplicarse a tipos específicos de tratamiento y, en particular: 1) Datos sensibles: en el caso de categorías de datos «sensibles» (enumeradas en el artículo 8 de la Directiva), deben establecerse garantías complementarias como el requisito de que las personas den su consentimiento expreso para el tratamiento de los datos. La Ley no distingue entre datos sensibles y no sensibles en el mismo sentido que la Directiva. Considera que todos los datos son sensibles en potencia y, por tanto, están sujetos a las mismas normas de protección. Las categorías de datos establecidas en el artículo 8 de la Directiva se rigen por la Ley de Derechos Humanos de 1993. Como la normativa neozelandesa de protección de datos es anterior a la Directiva UE, está basada en el enfoque de las directrices de la OCDE. Esto significa concretamente que el criterio de finalidad de la recogida de información determinará las circunstancias de su uso y difusión con arreglo a los principios 10 y 11. Por otra parte, la parte 11 y el plan 5 de la Ley sobre la intimidad regulan en detalle el acceso a la información sobre los servicios coercitivos por parte de los organismos del sector público. Nueva Zelanda ha seguido también las directrices OCDE al «distinguir» ciertas categorías de información que requieren una atención particular. Para ello, se utilizan códigos de prácticas específicos y vinculantes. La información médica se rige por el Código de protección de datos médicos de 1994, que contiene disposiciones más exigentes que la Ley. Otros códigos son el Código de protección de datos de telecomunicaciones de 2003 y el Código de protección de datos del acreedor de 2004. El Código de datos del acreedor exige que la notificación de los acreedores «no incluya datos personales a efectos de notificación, salvo si se trata de informaciones de crédito». La Ley prevé recursos individuales en caso de «humillación grave, pérdida de dignidad u ofensa contra los sentimientos». El daño emocional causado se juzga considerando la forma en que la vulneración ha afectado a la persona, no la forma en que podría afectar razonablemente a una persona hipotética. Al igual que las disposiciones contra la discriminación recogidas en la normativa de derechos humanos, otras normas prevén la protección de determinadas categorías de datos. Por ejemplo, la Ley penal de 1961 regula delitos contra la intimidad e incluye prohibiciones sobre interceptaciones. La Ley de investigadores privados y guardias de seguridad de 1974 establece que los investigadores privados no pueden fotografiar ni grabar a una persona sin el consentimiento previo por escrito de la misma, y que las fotografías y grabaciones no se admiten como pruebas en los procedimientos civiles. Como sucede en algunos países europeos, la normativa sobre libertad de información contiene disposiciones para prevenir la divulgación cuando ésta «pueda implicar la divulgación indebida de los asuntos de otra persona» y no prevalezca el interés público. También hay una serie de casos en que se ha constatado, con arreglo a la Ley sobre la intimidad, que la información ha 11 causado humillación grave, pérdida de dignidad u ofensas a los sentimientos de las personas a través de su recogida no autorizada, uso o divulgación, y estas categorías de datos están fuera de lo establecido en el artículo 8 de la Directiva. Por consiguiente, el Grupo de Trabajo considera que la legislación de Nueva Zelanda cumple el principio relativo a los datos sensibles. 2) Comercialización directa: en el caso de que los datos se transfieran para fines de comercialización directa, la persona podrá negarse a que sus datos sean utilizados para este fin en cualquier momento. Al considerar este principio, el Grupo de Trabajo admite que Nueva Zelanda es un país pequeño y las actividades de comercialización directa no están tan desarrolladas como en otros países. Aunque la Ley no contiene ninguna disposición específica sobre la comercialización directa, los principios de privacidad de la información se aplican igualmente en este ámbito. Entre ellos figura el principio general de que la información personal, incluida la utilizada para la comercialización directa, debería obtenerse directamente de la persona. Son poco frecuentes, si es que se dan en absoluto, las circunstancias en que la información personal se transfiere de la UE a Nueva Zelanda y se utiliza en Nueva Zelanda para la comercialización directa. Además, el Código de protección de datos de las comunicaciones de 2003 limita el tipo de información que puede recogerse y su uso. El Código se aplica a los operadores de redes, proveedores de servicios de telecomunicaciones, editores de guías y organismos de investigación, prestadores de servicios de Internet, call centres que prestan servicios de call centre bajo contrato a otro organismo y minoristas de teléfonos móviles. El Código permite únicamente el uso de la información de telecomunicaciones para fines de comercialización directa con el consentimiento del interesado. La Ley sobre mensajes electrónicos no solicitados de 2007 trata del spam y regula el correo electrónico, la mensajería instantánea, los SMS y MMS de carácter comercial. Se aplica de forma similar a la Directiva 2002/58/CE porque los mensajes sólo pueden enviarse a quienes han dado su consentimiento y debe existir un mecanismo para poner fin al abono. El Comisario ha resuelto favorablemente numerosas quejas relativas a la comercialización directa. En cuanto a la autorregulación, la Asociación neozelandesa de comercialización y la Autoridad de normas publicitarias se han mostrado proactivas en la formación de sus miembros para proteger la intimidad de las personas. Han publicado un código de prácticas cuyos principios deberán respetar todos los operadores del mercado. Hay un servicio de resolución de quejas gratuito para los interesados. La Asociación neozelandesa de comercialización también presta servicios gratuitos llamados Do Not Mail y Do Not Call, que tratan de mensajes electrónicos y llamadas telefónicas no solicitadas, aunque las copias de las listas actualizadas sólo se envían a sus miembros Aunque el marco para tratar la comercialización directa en Nueva Zelanda difiere del europeo, en la práctica las personas pueden optar por diversas maneras de autoexclusión. Incluso sin disfrutar por ley del derecho a la autoexclusión, las personas pueden quejarse al Comisario para la intimidad, que ha reconocido la necesidad de reforzar la normativa en la materia. En realidad, es muy improbable que se practique la venta a distancia a personas en la UE desde Nueva Zelanda, así que el Grupo de Trabajo considera que, aunque la legislación neozelandesa no cumple plenamente el principio de comercialización directa, no existe ninguna deficiencia grave ni ello constituye un obstáculo en términos de «adecuación». 12 3) Decisión individual automatizada: cuando el objetivo de la transferencia es adoptar una decisión de forma automatizada, en el sentido del artículo 15 de la Directiva, la parte interesada tendrá derecho a conocer la motivación de dicha decisión y deberán adoptarse otras medidas para proteger los intereses legítimos de la persona. El informe pericial deja claro que la toma de decisiones automatizadas no es corriente en Nueva Zelanda y existen varias normas que disuaden de esta práctica. Algunos programas públicos de verificación de información que permiten cierto grado de automatización en la toma de decisiones se regulan en la parte 10 (aceptación de información) y el plan 4 (reglas de aceptación de información) de la Ley sobre la intimidad. El Comisario ejerce la función de supervisión de estos programas. Las normas exigen garantías para las personas como el control de validez de los resultados automatizados e informar a las personas de cualquier discrepancia y acción potencial contra ellas. Generalmente, la persona debe ser informada de la finalidad de la recogida de información personal en el momento de la recogida (principio 3); la exactitud de la información personal debería garantizarse antes de su utilización (principio 8); la información personal no puede utilizarse en principio para una finalidad distinta de aquella para la que se recabó (principio 10). Los organismos que adoptan decisiones de forma automatizada pueden incurrir en responsabilidad si sus acciones causan daños o pérdidas a las personas. Con respecto al sector público, las personas tienen por ley el derecho a conocer la motivación de las decisiones que les afectan, en virtud de la Ley sobre información oficial y la Ley de reuniones e información oficial de la administración local. No obstante, esto se aplica únicamente a ciudadanos y residentes de Nueva Zelanda o a quienes se encuentran físicamente en este país. Por consiguiente, el Grupo de Trabajo considera que la legislación de Nueva Zelanda cumple suficientemente el principio relativo a las decisiones individuales automatizadas. 3.3. Sistemas de procedimiento y ejecución El WP12 indica que, a fin de sentar unas bases de evaluación de la adecuación de la protección dispensada, es necesario definir los objetivos subyacentes del procedimiento de protección de datos, y evaluar a partir de ahí el conjunto de los diversos mecanismos judiciales y extrajudiciales que se utilizan en los terceros países. A este respecto, los objetivos del sistema de protección de datos son los siguientes: - alcanzar un nivel satisfactorio de cumplimiento de las normas; - ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos; - ofrecer vías adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas. a) Alcanzar un nivel satisfactorio de cumplimiento de las normas: un buen sistema se caracteriza generalmente por un alto grado de conocimiento de sus obligaciones por los responsables del tratamiento de datos y, entre los interesados, por un alto grado de conocimiento de sus derechos y del modo de ejercerlos. La existencia de sanciones efectivas y disuasorias es importante a la hora de garantizar la observancia de las normas, al igual que lo son los sistemas de verificación directa por las autoridades, los auditores o funcionarios independientes responsables de la protección de datos. 13 Conocimiento por parte de los responsables y los interesados La Ley sobre la intimidad está en vigor desde 1003 y exige que cada organismo público o privado tenga al menos una persona responsable de protección de la intimidad. Estas personas son responsables de fomentar el cumplimiento por su organismo de los principios de protección de la información; de tramitar las solicitudes de acceso; de trabajar con el Comisario para la intimidad en caso de investigación; y de garantizar de cualquier otra manera el respeto por su organismo de la Ley sobre la intimidad. Existen varias redes de responsables de protección de la intimidad que cubren todo el país y se reúnen periódicamente. El Comisariado para la intimidad dispone de amplia información en su sitio Web y publica un boletín trimestral y notas sobre casos anónimos de investigaciones concretas. El Comisariado organiza sesiones de formación regularmente y talleres en todo el país destinados a los responsables de protección de la intimidad y otros interesados, y participa en la Semana Asia-Pacífico de protección de la intimidad que se celebra anualmente. El Comisariado realiza estudios cada pocos años para determinar el conocimiento y la eficiencia de la acción del Comisario. El Comisariado para la intimidad El Comisario para la intimidad es un cargo de la Corona que debe actuar con independencia en el desempeño de sus funciones, obligaciones y facultades. Es nombrado por el Gobernador General (representante del Jefe de Estado en Nueva Zelanda) a propuesta del Ministro responsable, el Ministro de Justicia. El nombramiento por el Gobernador General es un procedimiento especial de alto nivel reservado a un reducido número de nombramientos legales importantes. A la hora de proponer el nombramiento de un Comisario, el Ministro responsable debe asegurarse de que la persona propuesta tenga los conocimientos, cualificaciones y experiencia adecuados para ayudar al ente legal a realizar sus objetivos y desempeñar sus funciones. El artículo 13(1A) de la Ley sobre la intimidad establece que el Comisario debe actuar con independencia en el desempeño de sus funciones y deberes y en el ejercicio de sus facultades reglamentarias El Comisariado para la intimidad debe presentar un informe anual al Parlamento. Estos informes incluyen detalles de todos los programas de adecuación de información autorizados que se han realizado durante el año y la evaluación de su aplicación. El Comisario para la intimidad actúa como un Defensor del Pueblo investigando e intentando conciliar en las quejas, así como promoviendo investigaciones de oficio. También ejerce las funciones establecidas en la Ley, como educación, control del seguimiento, asesoramiento político, responder a indagaciones, informar al Primer Ministro y otras. Para ello, la parte 9 de la Ley confiere al Comisario facultades de citación e interrogatorio de testigos bajo juramento, y le exige que facilite información y documentación en el plazo de 20 días laborables. El Comisionado también tiene facultades, funciones y obligaciones en virtud de otras leyes distintas de la Ley sobre la intimidad (como la Ley de la salud, la Ley de la seguridad social, la Ley sobre violencia doméstica y la Ley sobre pasaportes). El Comisariado para la intimidad también está acreditado ante la Conferencia internacional de Comisarios de Protección de Datos y de la Intimidad; ha sido admitido como participante en el Acuerdo transfronterizo APEC para la aplicación del derecho a la intimidad; y ha sido reconocido como miembro de la Red global de aplicación del derecho a la intimidad. 14 Medios de aplicación y sanciones La parte 9 de la Ley (procedimiento del Comisario) establece el procedimiento de investigación y las facultades del Comisario para la intimidad. Se considera una infracción sancionada con multa de hasta 2 000 $ la no colaboración o la interferencia en las investigaciones del Comisario para la intimidad. Si el Comisario no puede resolver una queja, ésta puede someterse al Tribunal de Derechos Humanos de segunda instancia si el reclamante o el Director del procedimiento de Derechos Humanos decide proseguir con el asunto. El reclamante puede pedir al Director que someta el caso al Tribunal aunque el Comisario rehúse hacerlo. Ante el Tribunal se dispone de numerosas vías de recurso que pueden dar lugar al reconocimiento de daños y perjuicios y a ordenes de requerimiento y acciones de cesación. Los medios de comunicación suelen informar de estas decisiones, y al ser Nueva Zelanda un pequeño país, la publicidad negativa tiene un efecto disuasorio. Si el Director del procedimiento de Derechos Humanos decide no representar al reclamante, generalmente será el Comisario quien le represente en el procedimiento cuando, como suele suceder, el reclamante no está representado por un letrado y se dirime una cuestión jurídica importante relativa a la Ley sobre la intimidad. El derecho del Comisario para la intimidad a comparecer o representar en estos casos significa que puede hacerlo en cualquier procedimiento en que el Director de Derechos Humanos estaría facultado para comparecer y ser oído, pero rehúsa hacerlo. El Director también puede presentar una querella colectiva en nombre de varias personas, aunque todavía no ha sucedido. Como se ha mencionado anteriormente, la Ley de reforma del derecho a la intimidad (información transfronteriza) de 2010 reconoce al Comisario la facultad de dictar órdenes de prohibición de transferencias desde Nueva Zelanda hasta los terceros países sin un nivel de protección adecuado. A la vista de lo anterior, el Grupo de Trabajo considera que la legislación de Nueva Zelanda ha introducido los elementos necesarios para alcanzar un nivel satisfactorio de aplicación de las normas de protección de datos. b) Ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos, Las personas podrán ejercer sus derechos sin demora, de forma eficaz y sin costes prohibitivos. Para ello, es necesario que exista algún tipo de mecanismo institucional que permita investigar las quejas de forma independiente. Como se ha mencionado anteriormente, el Comisario para la intimidad debe desempeñar sus funciones, facultades y deberes con independencia. En los últimos años, el Comisariado ha aplicado mecanismos para tramitar de forma más eficiente las quejas y reducir los desfases. El Comisario puede convocar a las partes a reuniones obligatorias para tratar de la queja, con objeto de identificar las cuestiones importantes e intentar que las partes lleguen a un acuerdo. En algunos casos el Comisariado puede decidir realizar una mediación independiente o interna para solucionar el conflicto. Los diversos organismos pueden alcanzar acuerdos para aplicar soluciones no previstas expresamente en la Ley sobre la intimidad. La presentación de quejas al Comisario o el hecho de ser representado por el Director del procedimiento de Derechos Humanos ante el tribunal no supone ningún gasto para las personas. Los propios reclamantes pueden presentar sus casos ante el Tribunal de Derechos Humanos de segunda instancia sin ningún gasto y no necesitan estar representados por un letrado. No obstante, si el reclamante pierde el caso, se le puede exigir una contribución a los gastos judiciales efectivos y razonables de la parte ganadora. 15 El Grupo de Trabajo considera que la legislación de Nueva Zelanda contiene suficientes mecanismos para ayudar y prestar asistencia a las personas. c) ofrecer vías adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas. Es un elemento clave que requiere un sistema judicial o de arbitraje que conceda el pago de indemnizaciones y la imposición de sanciones, en su caso. La mayoría de las quejas relativas al derecho a la intimidad las resuelve el Comisario o no se tramitan más allá de la investigación. El número de casos sometidos al Tribunal de Derechos Humanos de segunda instancia suele ser de aproximadamente 20 al año. El Tribunal puede hacer declaraciones, dictar órdenes restrictivas, suprimir los detalles de un caso o decidir que la totalidad o parte de la audiencia sea a puerta cerrada. También puede conceder indemnizaciones por daños y perjuicios hasta un importe máximo de 200 000 $. La mayor cantidad concedida hasta la fecha con arreglo a la Ley de intimidad ha sido 40 000 $ por «humillación, pérdida de dignidad y ofensa a los sentimientos de la víctima». Cuando la cantidad reclamada por daños y perjuicios supera los 200 000 $, el Tribunal puede someter el asunto al Tribunal Superior para que éste conceda la indemnización. El Tribunal puede dictar órdenes que especifiquen las medidas que deberá adoptar el organismo como, por ejemplo, revelar la información para la que se denegó el acceso. Las resoluciones del Tribunal pueden recurrirse ante el Tribunal Superior cuando se trata de cuestiones de hecho y ante el Tribunal de Apelación cuando sólo se trate de cuestiones de Derecho. Si el Tribunal Superior no admite el recurso, el Tribunal de Apelación puede admitirlo si considera que contiene una cuestión jurídica suficientemente importante para ser tratada. El mismo procedimiento se aplica a los recursos ante el Tribunal Supremo. Por consiguiente, el Grupo de Trabajo considera que el Derecho neozelandés prevé unas vías de recurso adecuadas. 4. Resultado de la evaluación La normativa neozelandesa sobre derecho a la intimidad y protección de datos es muy anterior a la Directiva UE y aplica las directrices OCDE. Recientemente se han introducido algunas modificaciones específicas que responden a cierta preocupación sobre la «adecuación» de las transferencias de datos personales procedentes de la UE. El Grupo de Trabajo señala que, aunque persiste cierta preocupación, la adecuación no significa equivalencia con la Directiva. El Grupo de Trabajo considera que Nueva Zelanda garantiza un nivel de protección adecuado según lo dispuesto en el artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Ahora bien, el Grupo de Trabajo anima a las autoridades neozelandesas a adoptar las medidas necesarias para subsanar las deficiencias del actual marco jurídico. En particular, anima al Comisario para la intimidad a seguir solicitando el refuerzo de la normativa relativa a la comercialización directa; y a seguir manteniendo una supervisión eficaz de las transferencias desde Nueva Zelanda a los terceros países que no están sujetos a una decisión de adecuación. El Grupo de Trabajo también solicita que, además de tener en cuenta las directrices OCDE y la Directiva UE, el Comisario para la intimidad considere asimismo las decisiones pertinentes de la Comisión Europea 16 y las directrices del Grupo de Trabajo del artículo 29 a la hora de dictar órdenes de decisión de transferencia. El Grupo de Trabajo también señala que, en el marco de las decisiones de la Comisión, seguirá de cerca la evolución de la protección de datos en Nueva Zelanda y la forma en que el Comisariado aplica los principios de protección de datos mencionados en el documento WP12 y el presente documento. Bruselas, 4 de abril de 2011. Por el Grupo de Trabajo El Presidente Jacob KOHNSTAMM 17