Procedimiento : 2016/2727(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento : B8-0642/2016

Textos presentados :

B8-0642/2016

Debates :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votaciones :

PV 26/05/2016 - 6.6
Explicaciones de voto

Textos aprobados :


PROPUESTA DE RESOLUCIÓN
PDF 194kWORD 80k
23.5.2016
PE582.663v01-00
 
B8-0642/2016

tras las declaraciones del Consejo y de la Comisión

presentada de conformidad con el artículo 123, apartado 2, del Reglamento


sobre los flujos transatlánticos de datos (2016/2727(RSP))


Cornelia Ernst, Marina Albiol Guzmán, Barbara Spinelli, Javier Couso Permuy, Luke Ming Flanagan, Tania González Peñas, Miguel Urbán Crespo, Lola Sánchez Caldentey, Xabier Benito Ziluaga, Estefanía Torres Martínez, Stelios Kouloglou, Kostas Chrysogonos, Dimitrios Papadimoulis, Marisa Matias, Eleonora Forenza, Patrick Le Hyaric, en nombre del Grupo GUE/NGL

Resolución del Parlamento Europeo sobre los flujos transatlánticos de datos (2016/2727(RSP))  
B8-0642/2016

El Parlamento Europeo,

–  Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, «la Directiva»)(1), y, en particular, su artículo 25,

–  Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE(2) (en lo sucesivo, «el Reglamento general de protección de datos»), que entró en vigor el 24 de mayo de 2016 y se comenzará a aplicar dos años después de esa fecha,

–  Vistos la Carta de los Derechos Fundamentales de la Unión Europea y el Convenio Europeo de Derechos Humanos,

–  Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, en el asunto C-362/14 Maximilian Schrems / Data Protection Commissioner,

–  Visto el proyecto de Decisión de Ejecución de la Comisión, de 29 de febrero de 2016, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU., así como los anexos al mismo en forma de cartas del Gobierno estadounidense y de la Comisión Federal de Comercio de Estados Unidos (FTC),

–  Vistas la Comunicación de la Comisión, de 29 de febrero de 2016, sobre esta cuestión (COM(2016)0117), la Comunicación de la Comisión, de 27 de noviembre de 2013, sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la Unión y las empresas establecidas en la Unión (COM(2013)0847), y la Comunicación de la Comisión, de 27 de noviembre de 2013, titulada «Restablecer la confianza en los flujos de datos entre la UE y los EE. UU.» (COM(2013)0846),

–  Visto el dictamen (WP 238) sobre esta cuestión, aprobado el 13 de abril de 2016 por el Grupo de Trabajo constituido conforme al artículo 29 de la Directiva, así como los dictámenes emitidos con anterioridad sobre el mismo asunto (WP 12, WP 27 y WP 32),

–  Visto el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión(3), y, en particular, su artículo 5 relativo al procedimiento de examen,

–  Vista su resolución de 5 de julio de 2000 relativa al proyecto de Decisión de la Comisión sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos(4),

–  Vistas su resolución de 12 de marzo de 2014 sobre el programa de vigilancia de la Agencia Nacional de Seguridad de EE. UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la Unión y en la cooperación transatlántica en materia de justicia y asuntos de interior(5), así como su resolución de 29 de octubre de 2015 sobre el seguimiento de la resolución del Parlamento Europeo de 12 de marzo de 2014 relativa a la vigilancia electrónica masiva de los ciudadanos de la Unión(6),

–  Visto el artículo 123, apartado 2, de su Reglamento,

A.  Considerando que el desarrollo de la sociedad de la información y del comercio electrónico así como el desarrollo de capacidades de interceptación por parte de los servicios de inteligencia se han traducido en un incremento exponencial a nivel mundial del tráfico de datos y de comunicaciones electrónicas, así como de los riesgos asociados al uso indebido de dichos datos y a la interceptación de dichas comunicaciones;

B.  Considerando que dicho uso indebido no sólo actúa como un freno al desarrollo del comercio electrónico en el sentido de que daña la confianza de los consumidores, sino que a menudo constituye también una vulneración de los derechos y libertades de los ciudadanos, y en particular del derecho a la intimidad;

C.  Considerando que existe una tendencia mundial, por parte de las autoridades judiciales y policiales, a tratar enormes cantidades de datos personales de propiedad privada, difuminándose así la línea que separa el cumplimiento de la ley y las operaciones comerciales, lo que plantea graves dudas en relación con el principio fundamental de la limitación de los fines;

D.  Considerando que la protección de datos significa proteger a las personas a que se refiere la información tratada y que dicha protección es uno de los derechos fundamentales reconocidos por la Unión (artículo 8 de la Carta de los Derechos Fundamentales y artículo 16 del Tratado de Funcionamiento de la Unión Europea);

E.  Considerando que la Directiva 95/46/CE (en lo sucesivo «la Directiva sobre protección de datos»), que será sustituida en 2018 por el Reglamento general de protección de datos, establece los derechos del interesado, así como las correspondientes obligaciones para quienes tratan los datos o ejercen control sobre dicho tratamiento, incluidos los casos en que los datos personales se transfieren fuera de la Unión;

F.  Considerado que el nivel de protección de los datos personales en los terceros países debe evaluarse mediante un detenido examen de su ordenamiento jurídico, que en su conjunto debe proporcionar un nivel equivalente al de la Unión;

G.  Considerando que legislación europea en materia de protección de datos confía a la Comisión la tarea de garantizar, en representación de los intereses de los ciudadanos de la Unión y de los Estados miembros, la existencia de un adecuado nivel de protección en los terceros países;

H.  Considerando que, en su sentencia de 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea invalidó la Decisión de la Comisión sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE. UU.;

I.  Considerando que el Tribunal de Justicia dejó claro en dicha sentencia que un adecuado nivel de protección en un tercer país debe entenderse como esencialmente equivalente a la protección dispensada en la Unión;

Introducción

1.  Expresa su firme compromiso con los derechos a la intimidad y a la protección de los datos personales;

2.  Advierte frente a la creciente tendencia hacia una cultura en que tanto los actores públicos como los privados desdeñan pura y llanamente el derecho a la protección de datos y diseñan modelos de actividad económica y de aplicación de la ley que infringen este derecho fundamental, que constituye una de las bases de cualquier sociedad democrática;

3.  Destaca que las actividades de comercio internacional son perfectamente posibles en el marco europeo de protección de datos, que ofrece un elevado nivel de protección de los datos personales, tal como establece la Carta de los Derechos Fundamentales;

4.  Rechaza, por ende, la falsa dicotomía según la cual, en el contexto de los derechos fundamentales, unos altos niveles de privacidad y de protección de los datos personales inhibirían de algún modo la libre circulación de datos personales entre Europa y Estados Unidos;

5.  Insiste, por el contrario, en que los ciudadanos de todo el mundo se orientan cada vez más hacia aquellas empresas que abrazan el principio de «privacidad mediante el diseño» en sus productos, lo que revela que tanto los ciudadanos (en tanto que consumidores) como las empresas coinciden en que la privacidad es un elemento esencial en la vida cotidiana de todos;

6.  Observa que en Estados Unidos las empresas se oponen cada vez más a las fuerzas invasivas del Estado que tratan activamente de perjudicar sus políticas de privacidad mediante el diseño y por defecto en sus productos y servicios;

Sector privado

7.  Destaca que el problema fundamental del Acuerdo de puerto seguro era el ridículo proceso de «autocertificación» —conforme al cual se confiaba a las empresas el que ellas mismas certificaran que cumplían los principios básicos de protección de datos personales—, junto con una ausencia absoluta de capacidad represiva por parte de la FTC;

8.  Señala que, en el ámbito de los derechos fundamentales, una mera autorregulación no puede garantizar el equilibrio de garantías y controles necesarios para hacer efectivo el derecho fundamental de que se trate;

9.  Expresa su preocupación por la posibilidad de que el recién negociado marco del Escudo de la privacidad no cumpla con los requisitos estipulados en la Carta de los Derechos Fundamentales, la Directiva sobre protección de datos y el Reglamento general de protección de datos o con el contenido de las sentencias pertinentes del Tribunal de Justicia de la Unión y del Tribunal Europeo de Derechos Humanos;

10.  Observa que los principios del Escudo de la privacidad (Anexo II) no prevén un conjunto de principios esencialmente equivalentes, dado que no exigen el consentimiento del interesado, no incluyen el principio de la minimización de datos y permiten el tratamiento de los datos personales para fines incompatibles con aquel para el que han sido obtenidos los datos, incumpliendo de este modo los principios fundamentales de la legislación europea sobre protección de datos;

11.  Señala que los principios del Escudo de la privacidad conceden autorización general para todo tipo de tratamiento de datos personales sin necesidad de consentimiento del interesado y sin un derecho de objeción pleno; expresa su preocupación por el hecho de que incluso las cláusulas de no participación («notificación y opción») se contemplan únicamente en caso de cambio sustancial de finalidad o de comunicación a terceros; expresa su preocupación por el hecho de que incluso en caso de datos sensibles el consentimiento del interesado solo se exija para esas dos situaciones;

12.  Señala que el principio complementario 2, letra a), es incompatible con la sentencia del Tribunal de Justicia de 13 de mayo de 2014 (C-131/12) Google España / Costeja, así como con el «derecho al olvido» reconocido por la legislación europea sobre protección de datos;

13.  Expresa su preocupación por el riesgo de que la aplicación de los principios del Escudo de la privacidad resulte un proceso en extremo exigente, puesto que el interesado debería dar cinco pasos consecutivos (queja al responsable de tratamiento; mecanismo alternativo de resolución de litigios; reclamación al Departamento de Comercio o a la FTC a través de una autoridad europea de supervisión de protección de datos; panel del Escudo de la privacidad; tribunales de EE. UU.); recuerda que, en virtud de la Directiva del Consejo 93/13/CEE de 5 de abril de 1993, está prohibido todo mecanismo de resolución alternativa de litigios en el caso de los contratos celebrados con consumidores;

14.  Señala que la única sanción para un responsable de tratamiento que vulnere los principios del Escudo de la privacidad es su supresión de la lista del Escudo; no considera que esto sea esencialmente equivalente a las sanciones administrativas y otras previstas en la legislación europea sobre protección de datos, y especialmente en el Reglamento general de protección de datos;

15.  Señala que ni la FTC ni el Departamento de Comercio ni las entidades de resolución alternativa de litigios tienen competencias de investigación comparables a las de las autoridades europeas de supervisión; recuerda que el Tribunal de Justicia ha dictaminado que la existencia de competencias de supervisión efectivas es necesaria para la supervisión de la protección de datos en virtud del Derecho primario de la Unión;

16.  Pide que el Escudo de la privacidad simplifique y racionalice el procedimiento de ejecución, a fin de garantizar una ejecución equivalente, y que permita la participación directa en el procedimiento de la autoridad nacional de protección de datos en nombre del interesado afectado;

17.  Recuerda que una decisión sobre el nivel adecuado de protección otorga a los responsables del tratamiento de datos del país tercero de que se trate un acceso privilegiado al mercado de la Unión; se muestra preocupado por el riesgo de que el menor nivel de exigencia de los principios del Escudo de la privacidad —respecto a la legislación europea de protección de datos— otorgue una ventaja competitiva a los responsables de tratamiento de datos y a los subcontratistas radicados en Estados Unidos;

18.  Lamenta que, pese a los esfuerzos realizados en los últimos años, Estados Unidos carezca todavía de una ley exhaustiva de protección de los datos de los consumidores;

Vigilancia estatal

19.  Se muestra en extremo preocupado por la posibilidad de que las autoridades públicas accedan a datos transferidos en el marco del Escudo de la privacidad, que no contiene los detalles suficientes para excluir la recogida masiva e indiscriminada de datos personales con origen en la Unión Europea; recuerda que este fue el elemento fundamental en la sentencia del Tribunal de Justicia en el asunto C-362/14 (Maximillian Schrems / Data Protection Commissioner), en el que se invalidó la Decisión sobre puerto seguro por no proteger al demandante frente a las competencias de vigilancia invasivas de las autoridades estadounidenses, según se puso de manifiesto en las revelaciones de Snowden;

20.  Observa que el Anexo VI (carta de Robert S. Litt, Oficina del Director de la Inteligencia Nacional) deja claro que, en virtud de la Directiva de Política Presidencial 28 (en lo sucesivo «la PPD-28»), el uso de comunicaciones y datos personales de ciudadanos no estadounidenses recogidos en bloque sigue permitido en seis supuestos; señala que esta recogida en bloque únicamente debe ser «lo más adaptada posible» y «razonable», cosa que no responde a los criterios más estrictos de necesidad y proporcionalidad previstos en la Carta; destaca que al año pasado el Tribunal Europeo de Derechos Humanos determinó que, para garantizar una correcta aplicación de la prueba de necesidad y proporcionalidad, toda autorización de interceptación debe identificar claramente la persona específica que se someterá a vigilancia o bien un conjunto único de instalaciones como objeto de la interceptación autorizada, pudiendo dicha identificación realizarse por el nombre, la dirección, el número de teléfono u otra información relevante (Roman Zajarov / Rusia (2015), 47143/06, 4.12.15, n.o 264); destaca que el citado tribunal asimismo puntualizó el año pasado que la prueba de necesidad exige que la interferencia sea la estrictamente necesaria, como consideración particular, para la obtención de informaciones indispensables en el marco de una operación concreta (Szabó y Vissy / Hungría, 37138/14, 12.01.16, n.o 73);

21.  Observa que el Anexo VI aclara asimismo que las comunicaciones y datos personales podrán ser retenidos hasta cinco años o incluso más si se entiende que ello sirve a los intereses de seguridad nacional de Estados Unidos; muestra su preocupación por la posibilidad de que este aspecto vulnere la sentencia del Tribunal de Justicia de 2014 sobre retención de datos (asuntos acumulados C-293/12 y C-594/12);

22.  Observa que la PPD-28 impone nuevas reglas limitadoras del uso y la divulgación de las comunicaciones y datos personales de los ciudadanos no estadounidenses pero no restringe la recogida de datos en bloque; observa asimismo que la PPD-28, en su nota a pie de página n.o 5, aclara que la recogida de datos en bloque según la interpretación del Gobierno de EE. UU. no incluye la vigilancia masiva de las comunicaciones y datos personales ni el acceso a los mismos sino únicamente su almacenamiento en masa; expresa su preocupación por la posibilidad de que ello vulnere la sentencia del Tribunal de Justicia en el asunto Schrems según la cual debe considerarse que toda legislación que permita «un acceso generalizado al contenido de las comunicaciones electrónicas compromete la esencia del derecho fundamental al respeto de la vida privada»;

23.  Observa que la excepción general en materia de seguridad nacional contemplada en el punto 5 del Anexo II de los principios del Escudo de la privacidad está copiada literalmente de los principios de puerto seguro, sin más restricciones;

24.  Toma nota del nombramiento de un Defensor del Pueblo en el Departamento de Estado de EE. UU. como punto de contacto para las autoridades europeas de supervisión en relación con la vigilancia estatal; señala, sin embargo, que en virtud del artículo 47 de la Carta se requiere una posibilidad de recurso legal para el interesado; constata que el Anexo III (carta del Secretario de Estado John F. Kerry) indica que el Defensor del Pueblo no confirmará ni desmentirá que la persona ha sido sometida a vigilancia, ni tampoco confirmará el recurso específico aplicado (apartado 4, letra e); señala asimismo que el Defensor del Pueblo carece de la necesaria independencia del poder ejecutivo, puesto que depende jerárquicamente del Secretario de Estado;

25.  Observa que, desde la anulación de la Decisión sobre puerto seguro, EE.UU. no ha tomado ninguna medida para limitar los programas de vigilancia a que se refiere el Tribunal de Justicia sino que, al contrario, ha aprobado la «Cybersecurity Information Sharing Act» (Ley de comunicación de informaciones sobre ciberseguridad) en 2015, y está actualmente ultimando la reforma del artículo 41 del Código Federal de Enjuiciamiento Criminal, que socavaría todavía más el derecho a la intimidad de los no estadounidenses;

26.  Observa que, pese a estas actuaciones, EE. UU. sigue siendo el único país que ha adoptado medidas para proteger los derechos fundamentales ante las revelaciones sobre operaciones de vigilancia masivas, con la aprobación en 2015 de la «USA Freedom Act», que ha restringido la vigilancia masiva por parte de las agencias de inteligencia estadounidenses en el interior del país; manifiesta, no obstante, su preocupación por la falta de cambios en la situación legal en relación con la vigilancia masiva por agencias de inteligencia estadounidenses fuera de EE. UU. y de la vigilancia de ciudadanos no estadounidenses en EE. UU., situación que se define en el 50 USC, n.o 1881a (sección 702)); considera que EE.UU. debería aprobar una nueva legislación para subsanar esta situación;

27.  Señala que diversos países, incluidos Francia y el Reino Unido, están estudiando aprobar, o han aprobado, medidas legales para incrementar notablemente sus competencias y capacidades de vigilancia, contraviniendo lo dispuesto en los artículos 7 y 8 de la Carta o la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos; pide a la Comisión que incoe procedimientos de infracción contra estos Estados miembros;

Otros asuntos

28.  Señala que la Comisión no ha realizado ninguna evaluación de los derechos y del grado de protección de los ciudadanos de la Unión en los casos en que sus datos personales son transferidos por un responsable de tratamiento de datos de EE. UU. cubierto por el Escudo de la privacidad a una autoridad judicial o policial estadounidense; señala que el Anexo VII (carta de Bruce C. Swartz, Departamento de Justicia) sobre el acceso de las autoridades judiciales y policiales a los datos se refiere únicamente al acceso a los datos almacenados por las empresas, pero no aborda la cuestión del interesado y del derecho de recurso judicial de las personas a cuyos datos se accede;

29.  Celebra que, en virtud del artículo 3 del proyecto de Decisión de Ejecución de la Comisión, las autoridades europeas encargadas de la supervisión de la protección de datos sigan pudiendo suspender las transferencias de datos personales a los responsables del tratamiento de datos participantes en el Escudo de la privacidad; señala que este punto concuerda con el artículo 4 de la Decisión 2001/497/CE de la Comisión relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país;

30.  Destaca el principio de localización de mercado introducido por el Reglamento general de protección de datos; señala que, una vez se aplique dicho Reglamento, numerosos responsables de tratamiento de datos de EE. UU. que han utilizado el marco de puerto seguro y podrían servirse del Escudo de la privacidad deberán cumplir directamente el Reglamento cuando ofrezcan servicios en el mercado de la Unión y vigilen a personas dentro del territorio de la Unión, inclusive con el régimen de ejecución establecido en el Reglamento;

Conclusiones

31.  Concluye que el marco del Escudo de la privacidad y la situación en EE.UU. no ofrecen una mejora sustancial suficiente en comparación con el marco de puerto seguro;

32.  Señala la elevada probabilidad de que el proyecto de Decisión sobre el nivel adecuado de protección, una vez aprobado, sea recurrido una vez más en los tribunales; destaca que ello genera una situación de inseguridad jurídica tanto para particulares como para empresas; observa que los expertos en protección de datos y las organizaciones empresariales ya están aconsejando a las empresas que utilicen otros medios para transferir datos personales a Estados Unidos;

33.  Expresa su preocupación por la posibilidad de que la Comisión se exceda en sus competencias de ejecución decidiendo que el mecanismo del Escudo de la privacidad proporciona un adecuado nivel de protección en Estados Unidos sin efectuar una valoración completa del sistema estadounidense y sin tener en cuenta las cuestiones planteadas en la presente Resolución;

34.  Pide a la Comisión que incluya una cláusula de extinción que limite a dos años la validez de la decisión sobre el nivel de protección adecuado, y que inicie nuevas negociaciones con Estados Unidos para la mejora del marco sobre la base del Reglamento general de protección de datos;

35.  Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y los Parlamentos de los Estados miembros y al Gobierno y el Congreso de Estados Unidos.

(1)

DO L 281 de 23.11.1995, p. 31.

(2)

DO L 119 de 4.5.2016, p. 1.

(3)

DO L 55 de 28.2.2011, p. 13.

(4)

DO C 121 de 24.4.2001, p. 152.

(5)

Textos Aprobados, P7_TA(2014)0230.

(6)

Textos Aprobados, P8_TA(2015)0388.

Aviso jurídico