La Directiva de protecció de dades (oficialment, Directiva 95/46/EC relativa a la protecció de persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades) és una directiva de la Unió Europea adoptada el 1995 que regula el processament de dades personals dins de la Unió Europea. És un component important de la legislació europea relativa a la privadesa i als drets humans. El gener del 2012, la Comissió Europea va proposar una gran reforma que hauria d'estar completada el 2015.[1]
La legislació relativa a la privadesa és una àrea altament desenvolupada a Europa. Tots els estats membres de la Unió Europea són també signataris del Conveni Europeu de Drets Humans. L'article 8 del conveni estableix el dret al respecte per tothom per "la vida privada i familiar, la seva casa i la seva correspondència", subjecte a certes restriccions. El Tribunal Europeu de Drets Humans ha donat a aquest article una interpretació molt àmplia en la seva jurisprudència.
El 1980, en un esforç per crear un sistema de protecció de dada comprensible pertot arreu Europa, l'Organització de Cooperació i Desenvolupament Econòmic (OCED) va emetre les seves "Recomanacions del Consell respecte a les directrius que governen la protecció de la privadesa i el flux transfronterer de dades personals".[2] Els set principis que governen les recomanacions de l'OCED per la protecció de dades personals eren:
Les directrius de l'OCDE, tanmateix, no són vinculants i la legislació al voltant de la privadesa de dades encara era variada per tot Europa.[3]
La Comissió Europea es va adonar que una legislació divergent de protecció de dades entre els estats membres de la UE impedia el flux lliure de dades dins de la UE i en conseqüència va proposar la Directiva de protecció de dades. Els set principis de l'OCDE van ser incorporats a la directiva.
La directiva regula el processament de dades personal independentment de si tal processament és automatitzat o no.
Les dades personals es defineixen com "tota informació relativa a una persona física identificada o identificable ("l'interessat"); es considera identificable tota persona que es pugui determinar la seva identitat, directament o indirecta, en particular mitjançant un número d'identificació o un o diversos elements específics, característics de la seva identitat física, fisiològica, psíquica, econòmica, cultural o social". (art. 2 a)
Aquesta definició és significada per ser molt àmplia. Les dades són "dades personals" quan algú és capaç de relacionar la informació a una persona, fins i tot si la mateixa persona interessada no pot establir aquesta relació. Alguns exemples de "dades personals" són: adreça, número de targeta de crèdit, comptabilitat bancària, antecedents penals, etc.
El concepte de “tractament” significa «qualsevol operació o conjunt d'operacions realitzades sobre dades personals, per mitjans automatitzats o no, com la recopilació, registre, organització, conservació, elaboració o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma que faciliti l'accés, comparació o combinació, així com el blocatge, supressió o destrucció.» (art. 2 b)
El «responsable del tractament» és la persona física o jurídica, autoritat pública, agència o qualsevol altre organisme que sol o conjuntament amb d'altres determina la finalitat i els mitjans del tractament de dades personals; (art. 2 d)
Les disposicions de protecció de dades són aplicables no només quan el responsable està establert en territori de la UE, sinó sempre que el responsable utilitzi mitjans pel tractament de dades situats en territori de la UE. (Art. 4) Els responsables del tractament establerts fora de la UE, tractant dades de la UE, hauran de seguir la regulació de protecció de dades. En principi, qualsevol empresa que comerciï en línia amb ciutadans de la UE estaria tractant alguna dada personal i estaria utilitzant mitjans en la UE per tractar les dades (per exemple, l'ordinador del client). En conseqüència, l'operador del lloc web hauria de complir amb les disposicions de protecció de dades europees. La directiva va ser escrita abans de la irrupció d'Internet, i fins ara hi ha poca jurisprudència en aquest tema.
La proposta de reforma, anunciada el 2012, estén l'abast de la llei de protecció de dades de la UE a totes les empreses estrangeres que processen dada de residents de la Unió Europea.[1]
Les dades personals no hauria de ser tractades en absolut, excepte quan es compleixen certes condicions. Aquestes condicions s'agrupen en tres categories: transparència, legitimitat i proporcionalitat.
L'interessat té el dret a ser informat quan les seves dades personals han de ser recollides. El responsable del tractament ha de proporcionar el seu nom i adreça, la finalitat del tractament, els destinataris de les dades i tota altra informació que sigui necessària per garantir un tractament lleial amb l'interessat. (Art. 10 i 11)
Les dades poden ser tractades només sota les circumstàncies següents. (Art. 7):
Les dades personals només poden ser recollides per a finalitats determinades, explícites i legítimes, i no poden ser tractades posteriorment de manera incompatible amb aquestes finalitats. (Art. 6 b).
Les dades personals tractades només poden ser les adequades, pertinents i no excessives amb relació a la finalitat per a la qual van ser recollides. Les dades han de ser exactes i, quan sigui necessari, actualitzades; s'hauran de prendre les mesures raonables per suprimir o rectificar les dades inexactes o incompletes, respecte a la finalitat amb la qual van ser recopilades. Les dades han de ser conservades d'una forma que permeti la identificació dels interessats durant un període no superior al necessari per a la finalitat per la qual van ser recopilades. (Art. 6).
S'apliquen uns tractaments especials quan les dades personals són sensibles: origen racial o ètnic, opinions polítiques, conviccions religioses o filosòfiques, afiliació a sindicats, salut o sexualitat. (Art. 8)
L'interessat pot oposar-se en qualsevol moment al tractament de dades personals amb la finalitat de prospecció de mercat. (Art. 14)
Les directives de la UE són adreçades als estats membres i, en principi, no són legalment vinculants per als ciutadans. Els estats membres han de transposar la directiva a les lleis locals. La Directiva 95/46/EC relativa a la protecció de dades personals havia de ser transposada al final de 1998. Tanmateix, a Espanya la directiva no fou transposada fins al desembre del 1999 mitjançant la Llei orgànica de protecció de dades (LOPD) que entrà en vigor el gener del 2000.[4] Tots els estats membres han establert la seva pròpia legislació de protecció de dades.