Protección de datos y derechos de los consumidores (debate)
El Presidente
De conformidad con el orden del día se procede al debate de la declaración de la Comisión sobre protección de datos y derechos de los consumidores.
Franco Frattini
Vicepresidente de la Comisión. - Señor Presidente, quiero comenzar señalando que la Directiva 95/46/CE (la Directiva sobre protección de datos) afecta a los responsables del tratamiento de los datos establecidos en la Comunidad. Es aplicable asimismo para un responsable del tratamiento no establecido en el territorio de un Estado miembros, cuando dicho responsable utilice medios ubicados en el territorio de un Estado miembro, salvo en el caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
La Directiva garantiza los derechos de todos los individuos, cualquiera que sea la nacionalidad o el lugar de residencia y con independencia de que actúen como consumidores o no. Establece disposiciones importantes que imponen obligaciones a los responsables del tratamiento de datos y reconocen los derechos de los individuos. Asimismo prescribe sanciones y recursos adecuados en el caso de infracciones y establece mecanismos de ejecución para dotarles de efectividad.
Seguimos muy de cerca los avances de la tecnología y los retos asociados, en concreto los relativos a la protección de la intimidad y los datos personales. En lo tocante a la cooperación transatlántica mantenemos contactos regulares con las autoridades de los Estados Unidos responsables del control del almacenamiento seguro -el Departamento de Comercio y la Comisión Federal de Comercio- en el contexto de los cuales se abordan los temas relacionados con la protección de los datos personales. Asimismo se analizan los asuntos suscitados por las nuevas tecnologías y su implantación a nivel mundial.
En este caso concreto, el de la fusión de Google y DoubleClick, el caso se encuentra todavía en estudio por la Comisión con el fin de decidir si la fusión planteada se ajusta al Reglamento 139/2004/CE (el Reglamento de concentraciones). Adoptaremos una decisión en breve. No obstante, se puede afirmar que la Comisión ha llevado a cabo un análisis exhaustivo de los aspectos económicos planteados por la concentración planteada, con el fin de determinar si es compatible con las normas del mercado común.
Las empresas están obligadas a cumplir las leyes nacionales sobre protección de datos que llevan a la práctica la Directiva sobre protección de datos, y las autoridades nacionales en este ámbito son los órganos responsables de imponer el cumplimiento por parte de aquellas entidades que realizan el tratamiento de datos personales dentro de su territorio.
Una concentración entre diferentes entidades no exime a las partes de la fusión de sus obligaciones conforme a los principios nacionales sobre protección de datos. De hecho, cualquier decisión que la Comisión tome para aprobar una concentración lo es sin perjuicio de las obligaciones impuestas a las partes por la legislación comunitaria en cuanto a la protección de la intimidad respecto al tratamiento de datos personales.
Con independencia de la aprobación de la concentración, la nueva entidad, en su actividad cotidiana, tendrá que respetar los derechos fundamentales reconocidos por todos los instrumentos significativos, incluida aunque no limitada a la intimidad y la protección de los datos. A las autoridades nacionales en materia de protección de datos les corresponde, por tanto, la tarea de garantizar este cumplimiento y, en caso necesario, de adoptar las medidas pertinentes para obligar al mismo.
Manfred Weber
en nombre del Grupo del PPE-DE. - (DE) Señor Presidente, señor Vicepresidente de la Comisión, Señorías, Internet constituye una gran ayuda. Ninguno de nosotros puede imaginarse trabajar hoy sin esta nueva tecnología. Además permite los intercambios de datos a una escala asombrosa. Sin embargo, nada es perfecto, y las imperfecciones se ponen de manifiesto cuando se almacenan miles de millones de registros durante períodos prolongados de tiempo.
En el caso objeto de examen, el Comisario Frattini ha dejado claro que ha sido necesario activar el marco legal de la Unión Europea para examinar la concentración de Google y DoubleClick. Esperaremos los resultados de dicho examen y luego extraeremos nuestras conclusiones políticas.
Sin embargo, esto plantea la cuestión básica de cómo tratamos la protección de datos en Internet, ya que las empresas usuarias, grandes o pequeñas, no son indiferentes a la forma en que están protegidos sus datos. No existen respuestas sencillas, ya que en el centro de este asunto se encuentra la cuestión no contestada de si una dirección de protocolo de Internet tiene carácter de información personal. En el caso de los proveedores que asignan direcciones estáticas sí lo es, pero con una multitud de proveedores distintos, la dirección IP no revela automáticamente la identidad del usuario. En tales casos, creemos que existe realmente una pérdida neta de protección de datos, ya que los datos recopilados pueden ser desvelados incluso a terceras partes.
La necesidad de normas legales debe ser juzgada siempre en función de la necesidad y la proporcionalidad. Los usuarios, desde luego, obtienen un sinfín de ventajas mediante la publicación de sus datos. El punto crucial es que tomen una decisión consciente en cuanto a facilitar sus datos y sean capaces de determinar cómo pueden usarse dichos datos. Eso significa que los usuarios tienen que tener derechos de información, es decir el derecho a que se les diga qué datos pertenecientes a ellos están almacenados, y por tanto, debe haber unas normas claras que gobiernen la transferencia y la venta de datos a terceras partes.
Por tal razón, deberíamos empezar por compromisos voluntarios, adoptando idealmente un enfoque trasatlántico -porque sencillamente no podemos regular la Internet en ausencia de iniciativas globales comunes- y en el caso de que los compromisos voluntarios resulten inadecuados, tendremos que debatir además medidas legales.
Stavros Lambrinidis
Señor Presidente, cuando los usuarios normales se conectan a la red, no son conscientes de que sus datos personales más delicados, como sus creencias políticas y filosóficas, sus finanzas, sus compras, sus viajes y sus intereses en general quedan registrados mientras realizan búsquedas sencillas, realizan compras o participan en debates. De hecho, las empresas particulares que recopilan tales datos a menudo ni siquiera son europeas. En la actualidad, ni las leyes europeas ni los acuerdos internacionales impiden a las grandes empresas particulares que utilicen nuestros datos personales. Me atrevería incluso a decir que nada impide que las autoridades de seguridad de terceros países accedan a tales datos. ¿Por qué tiene Europa la responsabilidad y el potencial para implicarse en esto? Porque, como muy bien ha dicho el señor Frattini, la Directiva sobre protección de datos es aplicable a los proveedores de servicios electrónicos y en Internet dentro y fuera de Europa. Nuestros datos personales no pierden su importancia e interés solamente porque una empresa se encuentre fuera de Europa.
Tengo tres propuestas específicas, señor Presidente:
Primero, los ciudadanos particulares deben ser llamados en persona para que den su consentimiento a cualquier recogida, cuanto más el uso, de sus datos personales, tal como dicta, en cualquier caso, la Directiva que acabo de mencionar. Es algo que debe aparecer no en letra pequeña, sino de forma clara y explícita. En la actualidad, incluso los ciudadanos que desean borrar sus datos o impedir que sean compartidos con terceras partes, por lo general no son capaces de navegar a través de confusas páginas web. Los sitios web están diseñados para ser complicados, de manera que las empresas que utilizan herramientas y software especiales puedan descubrir después los intereses de los usuarios y venderles productos, o que las autoridades de seguridad puedan localizar posteriormente a los usuarios por otros motivos.
Segundo -y me alegra que lo haya dicho el señor Frattini- la Comisión Europea debe comprender realmente que las concentraciones de tales empresas es importante en términos no sólo de análisis financiero, sino también de los datos personales de los ciudadanos, que probablemente están sufriendo abusos por parte de otros, o podrían sufrirlos en el futuro. No somos simplemente una comunidad de dinero y de mercado; somos, ante todo, una comunidad de valores.
Tercero, señor Presidente, permítame concluir: el debate de hoy plantea un tema muy amplio, cuya superficie apenas hemos arañado, aunque atañe a un problema a nivel mundial. Necesitamos una Carta internacional de derechos fundamentales para Internet. De momento no existe nada parecido. Sin embargo, en esta época, no va a hacer su aparición el Gran Hermano, señor Presidente, porque algún dictador lo ponga aquí. El Gran Hermano va a aparecer porque todas nuestras vidas están ahora registradas en forma de rastros electrónicos en Internet. Si todos nosotros juntos no podemos encontrar algunos principios básicos para protegernos, mañana podríamos amanecer en un mundo muy distinto y creo que bastante más desagradable, por muy respetuoso con el usuario, agradable y mágico que pueda parecernos todo hoy.
Sophia in 't Veld
en nombre del Grupo ALDE. - (NL) Me hubiese gustado ver hoy sentada a la señora Neelie-Kroes, compañera del señor Frattini, junto a él, ya que pienso que la distinción estricta entre reglas de mercado y reglas de intimidad está caduca. Sabemos que la concentración entre Google y DoubleClick va a producirse y, por supuesto, el Parlamento Europeo no desea entrar en los detalles de dicha fusión, pero nosotros queremos saber qué garantías van a existir en materia de intimidad. Los datos personales se han convertido en un gran negocio. La información sobre clientes, usuarios y sus costumbres y preferencias proporcionan a las empresas una ventaja competitiva inestimable. Por tanto, la protección de los datos personales no debería seguir contemplándose aisladamente de la política sobre la competencia.
La Comisión ha optado por un enfoque muy tradicional para la competencia, que ya no resulta apropiada para tratar con la publicidad conductista del siglo XXI. La competencia deberá incluir protecciones para la intimidad y el consumidor cuando las concentraciones vayan a traducirse en grupos gigantes que posean gran cantidad de información sobre sus usuarios, como en el caso de Google/DoubleClick, por ejemplo, o pudieran darse a raíz de una unión entre Microsoft y Yahoo, Yahoo y Rupert Murdoch, o Reed Elsevier y ChoicePoint, etc.
Los datos personales pueden utilizarse para excluir del mercado a los recién llegados y la cuestión es que, en una situación sanamente competitiva, el consumidor puede exigir la intimidad, una empresa puede castigar a los transgresores, como ocurrió con Facebook, por ejemplo. Y también tenemos normas para las concentraciones de los medios de comunicación. Así pues, ¿por qué no incluimos la protección de la intimidad en la política sobre competencia? Las direcciones IP pueden considerarse datos personales. Y eso puede tener implicaciones potencialmente de gran alcance para el sector, pero también para los usuarios. Existe una necesidad urgente de normas europeas, pero sobre todo internacionales, para este sector. La Unión Europea debe marcar aquí el camino y trabajar en todo este asunto con los Estados Unidos, previa consulta con la industria. Por tanto sugiero que este tema se incorpore al orden del día para el Consejo Económico Trasatlántico.
Por último, redunda asimismo en beneficio de las empresas que la gente se sienta confiada en que su intimidad está debidamente salvaguardada. Acabo de mencionar el caso de Facebook, donde la gente utilizó todas sus fuerzas para obligar a Facebook a ser más cuidadosa con su intimidad. Quiero pedir a la Comisión Europea que adopte un enfoque diferente, que conjugue la política sobre competencia, la protección de los consumidores y la protección de los datos personales o la intimidad.
David Hammerstein
en nombre del Grupo Verts/ALE. - (ES) Señor Presidente, estamos preocupados ante una fusión que más bien no es una fusión: es juntar a dos empresas que son complementarias. Una empresa, Google, que tiene muchísimos datos, más datos que nadie en el mundo, y otra empresa, DoubleClick, que tiene la capacidad de procesar estos datos y manipular estos datos y canalizar estos datos sobre los hábitos de los consumidores.
Esto debe preocupar a la Comisión Europea porque es un matrimonio peligroso para la ciudadanía europea, para la privacidad de nuestros hábitos cotidianos. La estructura de esta fusión puede poner en peligro esta privacidad y las autoridades nacionales no tienen la capacidad de saber cómo se están manipulando y cada consumidor no sabrá adónde van sus datos y cómo sus datos están siendo utilizados por terceros.
Carl Schlyter
. - (SV) Señor Presidente, el consumidor está indefenso en Internet. Si alguien desea utilizar servicios populares, no puede seleccionar la opción de "no registrar datos sobre mí". Ni tampoco es posible averiguar qué ocurre con los datos de uno. Realizamos una búsqueda, compramos algo. Si una misma compañía es capaz de combinar toda esa información, puede conseguir una enorme ventaja competitiva y acumular un montón de información sobre todos los que utilizamos Internet. Lo mismo puede decirse si se desea descargar legalmente una película de Internet. Uno se ve obligado a utilizar el software de una sola compañía, a saber, Windows.
No podemos protegernos contra estas grandes empresas a menos que nuestra legislación nos ayude. Lo endeble que puede llegar a ser la protección de los datos queda patente, por ejemplo, si se incluye además la lucha contra las infracciones de los derechos de autor. La persona que comparte un archivo sufre la inspección de su ordenador y el examen de toda su información privada. Esta información se envía entonces a las empresas de medios de comunicación con el fin de determinar lo que estaba protegido por derechos de autor y lo que no. Cuando las empresas de medios tienen acceso al material de investigación policial, ¿cómo se puede proteger a los consumidores? Va siendo hora de que se proporcione un empujón decidido a la protección de datos.
Alexander Alvaro
(DE) Señor Presidente, he de admitir que me gusta este mecanismo de catch the eye, sobre todo la parte antes de que comience la cuenta atrás.
Indudablemente es mucho lo que tenemos que debatir en el ámbito de la protección de datos. Algunos diputados del Grupo Verts/ALE se han referido al tema de los datos pertenecientes a empresas e individuos privados. Las concentraciones como la de Google y DoubleClick ciertamente plantean algunas cuestiones. No obstante, hay que llevar cuidado para no confundir una cosa con otra. Por muchas que sean las ranas que canten, el resultado siempre será solamente un sonido de croar de ranas. A lo que me refiero es que no deberíamos olvidar la necesidad de comprender también los procesos técnicos subyacentes.
Nosotros -y mi Grupo político ciertamente no constituye ninguna excepción- a menudo demostramos un interés excesivo en los asuntos relacionados con Internet y, por supuesto, el carácter privado de los datos y frecuentemente respondemos a ellos de manera muy visceral. Pero para comprender cómo funciona Internet y la captura de datos, antes he de entender la tecnología que subyace.
A este respecto, creo que son muchas las ventajas que presenta el planteamiento del señor Weber de analizar, ante todo, el grado en que las direcciones IP pueden ser datos personales dentro del espíritu de la Directiva 2002/50 sobre la protección de la intimidad en el sector de las comunicaciones electrónicas, ya que en determinados casos la dirección IP, junto con los datos del usuario, puede constituir la clave para la recogida de información personal. Por otra parte, dado el estado de desarrollo tecnológico actual, en el que los refrigeradores, por ejemplo, pueden extraer automáticamente recetas desde Internet, la cuestión de si la dirección IP de mi refrigerador constituye en verdad un dato personal está obsoleta.
Eva Lichtenberger
(DE) Señor Presidente, como muy acertadamente ha mencionado el orador anterior, es necesario estudiar el trasfondo técnico de estas normas. He aquí un caso que es algo enrevesado por cuanto no cuadra totalmente bajo el epígrafe de la jurisprudencia sobre competencia, y sin embargo implica superar una masa crítica, lo cual plantea problemas graves.
Al final, va a resultar sumamente difícil para las autoridades nacionales de protección de datos y la legislación sobre la misma abordar cualquier infracción que surja de esta concentración, ya que los datos cedidos a DoubleClick serán de nuevo procesados de una forma totalmente diferente. Se nos presenta un problema técnico que hemos de resolver. Creo que la acumulación de un potencial tan inmenso en manos de un grupo es extremadamente nociva para el mercado, ya que excluye a nuevos competidores.
Franco Frattini
Vicepresidente de la Comisión. - (IT) Señor Presidente, Señorías, yo también creo que las inquietudes expresadas por muchos oradores son preocupaciones que todos compartimos, en el sentido de que por ahora no contamos con un sistema satisfactorio para proteger los datos personales en lo concerniente a las nuevas tecnologías y a Internet.
La misma atención, posiblemente incluso mayor, hay que prestar a la protección de los datos personales durante una investigación de la lucha contra el terrorismo, cuando mis datos personales son revelados no a un tribunal, sino a un grupo industrial privado.
Todos ellos son, por tanto, inquietudes graves y, desde luego, aunque relativamente nueva, la idea que ha expuesto el señor Lambrinidis en el sentido de una especie de mapa mundial de protección de datos es totalmente coherente con la naturaleza global de Internet.
Como es sabido, y tal como he expuesto en mi introducción, las normas existentes se aplican en función del territorio en que está establecido un determinado proveedor, pero esta limitación geográfica no se ajusta bien a Internet. Así pues, esa es la dirección en que creo deberíamos movernos y pienso igualmente que es importante encontrar un vínculo entre los aspectos de la competencia y los de la política de protección de los consumidores, incluidos sus datos personales.
Es algo sobre lo que no hemos hecho sino empezar a hablar y, como ustedes saben, la Comisión está haciendo un seguimiento de los desarrollos en muchos ámbitos de la protección de datos que no están cubiertos por la legislación europea. Entre ellos se encuentran las iniciativas del Consejo de Europa, las Naciones Unidas y la Conferencia Internacional sobre Protección de Datos.
No obstante, existe un riesgo que debemos tener presente. Permítanme plantear la siguiente pregunta: ¿no podría debilitar un mapa mundial de protección de datos dicha protección, ya que tendría que cubrir un número extraordinariamente grande de personas? En cualquier caso deja claro que hemos de contemplar nuestra legislación europea como un ejemplo -si se me permite ser tan directo- a exportar y no aceptar unas normas más endebles sobre protección de datos, solamente porque dichas normas hayan de ser aplicadas dentro de un contexto geográfico mucho más amplio.
En conclusión, puedo decirles que a fin de poner en marcha el trabajo práctico, el denominado "Grupo de Trabajo del Artículo 29", del que todos los implicados en este trabajo son conscientes, y que es un Grupo de Trabajo responsable de coordinar las medidas de protección de datos, está elaborando un dictamen razonado sobre protección de datos en relación con los motores de búsqueda y los proveedores de servicios.
En otras palabras, estamos abordando este aspecto, y se ha enviado un cuestionario que va a constituir un punto de partido para este dictamen razonado; el cuestionario contempla políticas de protección de datos y ha sido remitido a un gran número de personalidades significadas, gerentes de motores de búsqueda y proveedores de servicios. Mi opinión es que las respuestas recogidas y el dictamen que, estoy seguro, será publicado lo más rápidamente posible, tal vez antes de las vacaciones estivales, podría proporcionar tal vez por primera vez una respuesta coordinada en cuanto a los problemas implicados y las direcciones que deberían seguir los trabajos.
El Presidente
Se cierra el debate.
Declaraciones por escrito (Artículo 142)
Silvia-Adriana Ţicău  
por escrito. - (RO) Actualmente cada vez más ciudadanos europeos utilizan servicios de la Sociedad de la Información, ya sean servicios financieros, sistemas de transporte inteligente, sistemas de tarifación para uso de infraestructuras de carreteras, sistemas informatizados para la atención sanitaria, Internet, cámaras de vigilancia y control o el uso de datos biométricos. La seguridad y la protección de tales servicios resultan vitales para la confianza de los usuarios.
La seguridad de las redes electrónicas y los sistemas informatizados, junto con las tecnologías para incrementar la protección de los datos personales, constituyen la principal preocupación de la Estrategia para una sociedad de la información segura, aprobaba por la Comisión en 2006. En una Comunicación fechada en mayo de 2007, la Comisión presentó los posibles riesgos relacionados con el uso de la tecnología de la información, como el hurto de identidad, la vigilancia o incluso el fraude.
Con el fin de alcanzar una Sociedad de la Información más segura, los productos y servicios específicos deberían incluir mecanismos para la protección de datos incluso desde la propia fase de diseño. Análogamente, es necesario que los procesos y principios aplicables para proporcionar seguridad en la Sociedad de la Información estén definidos y accesibles a todos los participantes en el diseño, la operación y uso de los sistemas informatizados. Pido a la Comisión que estudie la necesidad de determinadas reglamentaciones comunitarias sobre la seguridad de los servicios de comunicación electrónica y los sistemas informatizados.
Cualquier proveedor de servicios específicos de la Sociedad de la Información debe respetar la legislación nacional e internacional sobre protección de datos.
