Procedimiento : 2016/2727(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento : B8-0622/2016

Textos presentados :

B8-0622/2016

Debates :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votaciones :

PV 26/05/2016 - 6.6
Explicaciones de voto

Textos aprobados :


PROPUESTA DE RESOLUCIÓN
PDF 188kWORD 81k
17.5.2016
PE582.642v01-00
 
B8-0622/2016

tras las declaraciones del Consejo y de la Comisión

presentada de conformidad con el artículo 123, apartado 2, del Reglamento


sobre los flujos transatlánticos de datos (2016/2727(RSP))


Jan Philipp Albrecht, Judith Sargentini en nombre del Grupo Verts/ALE

Resolución del Parlamento Europeo sobre los flujos transatlánticos de datos (2016/2727(RSP))  
B8-0622/2016

El Parlamento Europeo,

–  Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(1) (en lo sucesivo, «la Directiva»), y, en particular, su artículo 25,

–  Visto el Reglamento (UE) no. 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE(2) (en lo sucesivo, el «Reglamento general de protección de datos»), que entró en vigor el 24 de mayo de 2016 y se aplicará a partir del 25 de mayo de 2018,

–  Vistos la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «la Carta») y el Convenio Europeo de Derechos Humanos (CEDH),

–  Vista la sentencia, de 6 de octubre de 2015, del Tribunal de Justicia de la Unión Europea en el asunto C-362/14 Maximilian Schrems / Data Protection Commissioner,

–  Visto el proyecto de Decisión de Ejecución de la Comisión, de 29 de febrero de 2016, sobre la adecuación de la protección conferida por el Escudo de Privacidad UE-EE.UU., así como los anexos al mismo en forma de cartas de la administración estadounidense y de la Comisión Federal de Comercio de Estados Unidos,

–  Vistas la Comunicación de la Comisión, de 29 de febrero de 2016, titulada «Los flujos transatlánticos de datos: recuperar la confianza instaurando estrictas salvaguardias» (COM(2016)0117), la Comunicación de la Comisión, de 27 de noviembre de 2013, sobre «El funcionamiento del Puerto Seguro desde la perspectiva de los ciudadanos de la UE y las empresas establecidas en la UE» (COM(2013)0847), y la Comunicación de la Comisión, de 27 de noviembre de 2013, titulada «Restablecer la confianza en los flujos de datos entre la UE y los EE.UU.» (COM(2013)0846),

–  Visto el dictamen sobre este asunto (WP 23) aprobado el 13 de abril de 2016 por el Grupo de Trabajo constituido conforme al artículo 29 de la Directiva, así como los dictámenes emitidos con anterioridad sobre el mismo particular (WP12, WP27 y WP32),

–  Visto el Reglamento (UE) nº. 182/2011 del Parlamento Europeo y del Consejo por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión(3), y, en particular, su artículo 5 relativo al procedimiento de examen,

–  Vista su resolución de 5 de julio de 2000 relativa al proyecto de Decisión de la Comisión sobre la adecuación de la protección conferida por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos(4),

–  Vistas su resolución de 12 de marzo de 2014 sobre el programa de vigilancia de la Agencia Nacional de Seguridad de EE.UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la Unión y en la cooperación transatlántica en materia de justicia y asuntos de interior(5), así como su resolución de 29 de octubre de 2015 sobre el seguimiento de la resolución del Parlamento Europeo de 12 de marzo de 2014 relativa a la vigilancia electrónica masiva de los ciudadanos de la Unión(6),

–  Visto el artículo 123, apartado 2, de su Reglamento,

A.  Considerando que el desarrollo de la sociedad de la información y del comercio electrónico y el desarrollo de capacidades de interceptación por parte de los servicios de inteligencia se han traducido en un incremento exponencial a nivel mundial del tráfico de datos y de comunicaciones electrónicas, así como de los riesgos asociados al uso indebido de dichos datos y a la interceptación de dichas comunicaciones;

B.  Considerando que dicho uso indebido no sólo actúa como un freno al desarrollo del comercio electrónico en el sentido de que daña la confianza de los consumidores, sino que a menudo constituye también una vulneración de los derechos y libertades de los ciudadanos, y en particular del derecho a la intimidad;

C.  Considerando que la protección de datos significa proteger a las personas a que se refiere la información procesada y que dicha protección es uno de los derechos fundamentales reconocidos por la Unión (artículo 8 de la Carta y artículo 16 del Tratado de Funcionamiento de la Unión Europea);

D.  Considerando que la Directiva, que será sustituida en 2018 por el Reglamento general de protección de datos, establece una serie de derechos para el interesado, así como las correspondientes obligaciones para quienes tratan los datos o ejercen control sobre dicho tratamiento;

E.  Considerando que dicha protección será inútil si quedara confinada al territorio de la Unión y no brindara también protección, tal como establece la Directiva, en los países terceros adonde se transfieren los datos;

F.  Considerando que la adecuación de la protección de los datos personales en un tercer país debe ser valorada en función de la legislación nacional de dicho país o de sus obligaciones internacionales, y que dichos medios deben demostrarse eficaces en la práctica;

G.  Considerando que la Comisión debe garantizar, como representante que es de los intereses de los ciudadanos de la Unión y de los Estados miembros, la existencia de un adecuado nivel de protección en los terceros países de que se trate;

H.  Considerando que, en su sentencia de 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea invalidó la Decisión de la Comisión sobre la adecuación de la protección conferida por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU.;

I.  Considerando que el Tribunal de Justicia de la Unión Europea dejó claro en dicha sentencia que un adecuado nivel de protección en un tercer país debe entenderse como esencialmente equivalente a la protección dispensada en la Unión;

Introducción

1.  Celebra los esfuerzos realizados por la Comisión y por la administración estadounidense para lograr mejoras sustanciales en el Escudo de Privacidad en relación con la Decisión de Puerto Seguro;

2.  Destaca la importancia de salvaguardar los derechos fundamentales, incluidos el derecho a la protección de datos y el derecho a la intimidad;

3.  Destaca la importancia de la cooperación y el comercio transatlánticos;

4.  Destaca la importancia de la seguridad jurídica para los interesados y para los responsables del tratamiento de datos;

5.  Expresa su preocupación por la posibilidad de que el mecanismo del Escudo de Privacidad no cumpla con los requisitos estipulados en la Carta, la Directiva y el Reglamento general de protección de datos o con el contenido de las sentencias pertinentes del Tribunal de Justicia de la Unión y del Tribunal Europeo de Derechos Humanos;

Sector privado

6.  Observa que los principios del Escudo de Privacidad (Anexo II) no prevén un conjunto de principios esencialmente equivalentes, dado que no exigen el consentimiento del interesado, no incluyen el principio de la minimización de datos y permiten el tratamiento de los datos personales para fines incompatibles con el propósito para el que han sido obtenidos los datos;

7.  Señala que los principios del Escudo de Privacidad conceden autorización general para todo tipo de tratamiento de datos personales sin necesidad de consentimiento del interesado y sin un derecho de objeción pleno; expresa su preocupación por el hecho de que incluso las cláusulas de no participación («notificación y opción») se contemplan únicamente en caso de cambio sustancial de finalidad o de comunicación a terceros; expresa su preocupación por el hecho de que incluso en caso de datos sensibles el consentimiento del interesado solo se exija en estas dos situaciones;

8.  Señala que el principio complementario 2, letra a), es incompatible con la sentencia del Tribunal de Justicia de 13 de mayo de 2014 (C-131/12) Google España / Costeja, así como con el «derecho al olvido» reconocido por la legislación europea sobre protección de datos;

9.  Expresa su preocupación por el riesgo de que la aplicación de los principios del Escudo de Privacidad resulte en extremo exigente, puesto que el interesado debería dar cinco pasos consecutivos (queja al responsable de tratamiento; mecanismo alternativo de resolución de litigios; reclamación al Departamento de Comercio o a la Comisión Federal de Comercio a través de una autoridad europea de supervisión de protección de datos; panel del Escudo de Privacidad; tribunales de EE.UU.); recuerda que, en virtud de la Directiva del Consejo 93/13/CEE de 5 de abril de 1993, está prohibido todo mecanismo de resolución alternativa de litigios en el caso de los contratos celebrados con consumidores;

10.  Señala que la única sanción para un responsable de tratamiento que vulnere los principios del Escudo de Privacidad es su supresión de la lista del Escudo; no considera que esto sea esencialmente equivalente a las sanciones administrativas y otras previstas en la legislación europea sobre protección de datos, y especialmente en el Reglamento general de protección de datos;

11.  Señala que ni la Comisión Federal de Comercio ni el Departamento de Comercio ni las entidades de resolución alternativa de litigios tienen competencias de investigación comparables a las de las autoridades europeas de supervisión; recuerda que el Tribunal de Justicia de la Unión Europea ha dictaminado que la existencia de competencias de supervisión efectivas es fundamental para la supervisión de la protección de datos en virtud del Derecho primario de la UE;

12.  Recuerda que una decisión sobre el nivel adecuado de protección otorga a los responsables del tratamiento de datos del país tercero de que se trate un acceso privilegiado al mercado de la UE; se muestra preocupado por el riesgo de que el menor nivel de exigencia de los principios del Escudo de Privacidad —respecto a la legislación europea de protección de datos— otorgue una ventaja competitiva a los responsables de tratamiento de datos y a los subcontratistas radicados en Estados Unidos;

13.  Lamenta que, pese a los esfuerzos realizados en los últimos años, Estados Unidos carezca todavía de una ley exhaustiva de protección de los datos de los consumidores;

Vigilancia estatal

14.  Observa que el Anexo VI (carta de Robert S. Litt, Oficina del Director de la Inteligencia Nacional) deja claro que, en virtud de la Directiva de Política Presidencial 28 (en lo sucesivo «la PPD-28»), el uso de comunicaciones y datos personales de ciudadanos no estadounidenses recopilados en bloque sigue permitido en seis supuestos; señala que esta recopilación en bloque únicamente debe ser «lo más adaptada posible» y «razonable», cosa que no responde a los criterios más estrictos de necesidad y proporcionalidad establecidos en la Carta; destaca que al año pasado el Tribunal Europeo de Derechos Humanos determinó que, para garantizar una correcta aplicación de la prueba de necesidad y proporcionalidad, toda autorización de interceptación debe identificar claramente la persona específica que se someterá a vigilancia o bien un conjunto único de instalaciones como objeto de la interceptación autorizada, pudiendo dicha identificación realizarse por el nombre, la dirección, el número de teléfono u otra información relevante (Zajarov / Rusia (2015), apartado 264); destaca asimismo que el año pasado el citado tribunal señaló que la prueba de necesidad exige que la interferencia sea la estrictamente necesaria, como consideración particular, para la obtención de informaciones indispensables en el marco de una operación concreta (Szabó / Hungría (2015), apartado 73);

15.  Observa que el Anexo VI aclara asimismo que las comunicaciones y datos personales podrán ser retenidos hasta cinco años e incluso más si se entiende que ello sirve a «los intereses de seguridad nacional de Estados Unidos»; muestra su preocupación por la posibilidad de que este aspecto vulnere la sentencia del Tribunal de Justicia de la Unión Europea sobre retención de datos, de 2014 (asuntos acumulados C-293/12 y C-594/12);

16.  Observa que la PPD-28 impone nuevas reglas limitadoras del uso y la divulgación de las comunicaciones y datos personales de los ciudadanos no estadounidenses pero no restringe la recopilación en bloque; observa que la nota al pie de la PPD-28 clarifica que la recopilación en bloque según la interpretación de la administración estadounidense no incluye la vigilancia masiva de las comunicaciones y datos personales ni el acceso a los mismos sino únicamente su almacenamiento en masa; expresa su preocupación por la posibilidad de que ello vulnere la sentencia del Tribunal de Justicia de la Unión en el asunto Schrems según la cual debe considerarse que toda legislación que permita «un acceso generalizado al contenido de las comunicaciones electrónicas compromete la esencia del derecho fundamental al respeto de la vida privada»;

17.  Constata que la PPD-28 no equivale a una ley estadounidense y que puede ser revocada unilateralmente por cualquier futuro presidente de Estados Unidos; advierte de que este hecho crea inseguridad jurídica para los ciudadanos de la Unión que disponen del Escudo de Privacidad, en la medida en que todos los datos transferidos a Estados Unidos podrían perder en el futuro la protección dispensada por el Escudo, sin posibilidad de recurso, proceso legislativo o aviso previo;

18.  Observa que la excepción general en materia de seguridad nacional contemplada en el punto 5 del Anexo II de los principios del Escudo de Privacidad está copiada literalmente de los principios de Puerto Seguro, sin más restricciones;

19.  Toma nota el nombramiento de un Defensor del Pueblo en el Departamento de Estado de EE.UU. como punto de contacto para las autoridades europeas de supervisión en relación con la vigilancia estatal; señala, sin embargo, que en virtud del artículo 47 de la Carta se requiere una posibilidad de recurso legal para el interesado; constata que el Anexo III (carta del Secretario de Estado John F. Kerry) indica que el Defensor del Pueblo no confirmará ni desmentirá que la persona ha sido sometida a vigilancia, ni tampoco confirmará el recurso específico (apartado 4, letra e); señala asimismo que el Defensor del Pueblo carece de la necesaria independencia del poder ejecutivo, puesto que depende jerárquicamente del Secretario de Estado;

20.  Observa que, desde la anulación de la Decisión de Puerto Seguro, EE.UU. no ha tomado ninguna medida para limitar los programas de vigilancia a que se refiere el Tribunal de Justicia de la Unión sino que, al contrario, ha aprobado la «Cybersecurity Information Sharing Act» (Ley de comunicación de informaciones sobre ciberseguridad) en 2015, y está actualmente ultimando la reforma del artículo 41 del Código Federal de Enjuiciamiento Criminal, que socavaría todavía más el derecho a la intimidad de los no estadounidenses;

21.  Observa que, pese a estas actuaciones, EE.UU. sigue siendo el único país que ha adoptado medidas para proteger los derechos fundamentales ante las revelaciones sobre operaciones de vigilancia masivas, con la aprobación en 2015 de la «USA Freedom Act», que ha restringido la vigilancia masiva por parte de las agencias de inteligencia estadounidenses en el interior del país; manifiesta, no obstante, su preocupación por la falta de cambios en la situación legal de la vigilancia masiva por agencias de inteligencia estadounidenses fuera de EE.UU. y de la vigilancia de ciudadanos no estadounidenses en EE.UU., situación que se define en el «US Code» (título 50, apartado 1881a (sección 702)); considera que EE.UU. debería aprobar una nueva legislación para subsanar esta situación;

22.  Señala que diversos países, incluidos Francia, Países Bajos y Reino Unido, están estudiando aprobar, o ya han aprobado, medidas legales para incrementar notablemente sus competencias y capacidades de vigilancia, contraviniendo lo dispuesto en los artículos 7 y 8 de la Carta así como la jurisprudencia del Tribunal de Justicia de la Unión y del Tribunal Europeo de Derechos Humanos; pide a la Comisión que incoe procedimientos de infracción contra estos Estados miembros;

Otros asuntos

23.  Señala que la Comisión no ha realizado ninguna evaluación de los derechos y del grado de protección de los ciudadanos de la Unión en los casos en que sus datos personales son transferidos por un responsable de tratamiento de datos de EE.UU. cubierto por el Escudo de Privacidad a una autoridad judicial o policial estadounidense; señala que el Anexo VII (carta de Bruce C. Swartz, Departamento de Justicia) sobre el acceso de las autoridades judiciales y policiales a los datos se refiere únicamente al acceso a los datos almacenados por las empresas, pero no aborda la cuestión del interesado y del derecho de recurso judicial de las personas a cuyos datos se accede;

24.  Celebra que, en virtud del artículo 3 del proyecto de Decisión de Ejecución de la Comisión, las autoridades europeas encargadas de la supervisión de la protección de datos sigan pudiendo suspender las transferencias de datos personales a los responsables del tratamiento de datos participantes en el Escudo de Privacidad; señala que este punto concuerda con el artículo 4 de la Decisión 2001/497/CE de la Comisión relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país;

25.  Destaca el principio de localización de mercado introducido por el Reglamento general de protección de datos; señala que, una vez se aplique dicho Reglamento, numerosos responsables de tratamiento de datos de EE.UU. que han utilizado el marco del Puerto Seguro y podrían servirse del Escudo de Privacidad deberán cumplir directamente el Reglamento cuando ofrezcan servicios en el mercado de la Unión y vigilen a personas dentro del territorio de la Unión;

Conclusiones

26.  Concluye que el mecanismo del Escudo de Privacidad y la situación en EE.UU. no ofrece una mejora sustancial suficiente en comparación con el marco de Puerto Seguro;

27.  Señala la elevada probabilidad de que el proyecto de Decisión sobre el nivel adecuado de protección, una vez aprobado, sea recurrido una vez más en los tribunales; destaca que esto genera una situación de inseguridad jurídica tanto para particulares como para empresas; observa que los expertos en protección de datos y las organizaciones empresariales ya están aconsejando a las empresas que utilicen otros medios para transferir datos personales a Estados Unidos;

28.  Expresa su preocupación por la posibilidad de que la Comisión se exceda en sus competencias de ejecución decidiendo que el mecanismo del Escudo de Privacidad proporciona un adecuado nivel de protección en Estados Unidos sin efectuar una valoración completa del sistema estadounidense y sin tener en cuenta las cuestiones planteadas en la presente resolución;

29.  Pide a la Comisión que prosiga el diálogo con Estados Unidos para incentivar nuevas mejoras en el Escudo de Privacidad, teniendo en cuenta sus actuales deficiencias, a fin de minimizar el riesgo de anulación judicial de la Decisión sobre el nivel adecuado de protección;

30.  Pide a la Comisión que como mínimo incluya una cláusula de extinción que limite a dos años la validez de la citada Decisión, y que inicie nuevas negociaciones con Estados Unidos sobre la mejora del marco sobre la base del Reglamento general de protección de datos;

31.  Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y los Parlamentos de los Estados miembros y al Gobierno y el Congreso de los Estados Unidos.

(1)

DO L 281 de 23.11.1995, p. 31.

(2)

DO L 119 de 4.5.2016, p. 1.

(3)

DO L 55 de 28.2.2011, p. 13.

(4)

DO C 121 de 24.4.2001, p. 152.

(5)

Textos Aprobados, P7_TA(2014)0230.

(6)

Textos Aprobados, P8_TA(2015)0388.

Aviso jurídico