Procedimiento : 2016/2727(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento : B8-0644/2016

Textos presentados :

B8-0644/2016

Debates :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votaciones :

PV 26/05/2016 - 6.6
Explicaciones de voto

Textos aprobados :

P8_TA(2016)0233

PROPUESTA DE RESOLUCIÓN
PDF 277kWORD 76k
Véase también la propuesta de resolución común RC-B8-0623/2016
23.5.2016
PE582.665v01-00
 
B8-0644/2016

tras las declaraciones del Consejo y de la Comisión

presentada de conformidad con el artículo 123, apartado 2, del Reglamento


sobre los flujos transatlánticos de datos (2016/2727(RSP))


Sophia in ‘t Veld en nombre del Grupo ALDE

Resolución del Parlamento Europeo sobre los flujos transatlánticos de datos (2016/2727(RSP))  
B8-0644/2016

El Parlamento Europeo,

–  Visto el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE),

–  Vistos la Carta de los Derechos Fundamentales de la Unión Europea y el Convenio Europeo de Derechos Humanos, y en particular sus artículos 7, 8, 47 y 52,

–  Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, «la Directiva»)(1), y en particular su artículo 25,

–  Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en lo sucesivo, «el Reglamento general de protección de datos»), que entró en vigor el 24 de mayo de 2016 y se comenzará a aplicar dos años después de esa fecha,

–  Vista la sentencia del Tribunal Europeo de Derechos Humanos, de 4 de diciembre de 2015, en el asunto Roman Zakharov / Rusia,

–  Vista la sentencia del Tribunal Europeo de Derechos Humanos, de 12 de enero de 2016, en el asunto Zsabó y Vissy / Hungría,

–  Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, en el asunto C-362/14 Maximilian Schrems / Data Protection Commissioner,

–  Visto el proyecto de Decisión de Ejecución de la Comisión, de 29 de febrero de 2016, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU., así como los anexos al mismo en forma de cartas del Gobierno estadounidense y de la Comisión Federal de Comercio de los Estados Unidos,

–  Vistas la Comunicación de la Comisión, de 29 de febrero de 2016, sobre esta cuestión (COM(2016)0117), la Comunicación de la Comisión, de 27 de noviembre de 2013, sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la UE y las empresas establecidas en la UE (COM(2013)0847), y la Comunicación de la Comisión, de 27 de noviembre de 2013, titulada «Restablecer la confianza en los flujos de datos entre la UE y EE. UU.» (COM(2013)0846),

–  Vistos el dictamen (WP 238) aprobado el 13 de abril de 2016 por el Grupo de Trabajo constituido conforme al artículo 29 de la Directiva, así como los dictámenes emitidos con anterioridad sobre el mismo asunto (WP 12, WP 27 y WP 32),

–  Visto el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión(2), y en particular su artículo 5 relativo al procedimiento de examen,

–  Vista su Resolución, de 5 de julio de 2000, sobre el proyecto de Decisión de la Comisión relativa a la adecuación de la protección garantizada por los principios estadounidenses de puerto seguro y preguntas más frecuentes relacionadas publicadas por el Departamento de Comercio de los EE. UU.(3),

–  Vistas su Resolución, de 12 de marzo de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la UE y en la cooperación transatlántica en materia de justicia y asuntos de interior(4), y su Resolución, de 29 de octubre de 2015, sobre el seguimiento de la Resolución del Parlamento Europeo, de 12 de marzo de 2014, relativa a la vigilancia electrónica masiva de los ciudadanos de la UE(5),

–  Visto el Acuerdo rubricado entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales, que el Consejo debe firmar a propuesta de la Comisión,

–  Visto el dictamen jurídico de su Servicio Jurídico relativo al Acuerdo UE-EE. UU. sobre la protección de los datos personales y la cooperación entre las autoridades policiales y judiciales de la Unión y los EE. UU.,

–  Visto el dictamen preliminar del Supervisor Europeo de Protección de Datos sobre el Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales,

–  Vistas las preguntas formuladas a la Comisión por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior sobre el Acuerdo marco y las respuestas de la Comisión a esas preguntas,

–  Visto el artículo 123, apartado 2, de su Reglamento,

A.  Considerando que, en su sentencia de 6 de octubre de 2015, el Tribunal de Justicia declaró inválida la Decisión de la Comisión relativa a la adecuación de la protección garantizada por los principios estadounidenses de puerto seguro y las preguntas más frecuentes relacionadas publicadas por el Departamento de Comercio de EE. UU., destacando, en particular, que la legislación estadounidense en materia de seguridad nacional y cumplimiento de la ley no se limita a lo estrictamente necesario cuando autoriza de forma generalizada la conservación y el tratamiento de la totalidad de los datos personales de todas las personas cuyos datos se transfieren de la Unión a los Estados Unidos;

B.  Considerando que proteger los datos personales significa proteger a las personas a que se refiere la información tratada y que dicha protección es uno de los derechos fundamentales reconocidos por la Unión (artículo 8 de la Carta de los Derechos Fundamentales y artículo 16 del TFUE);

C.  Considerando que la Directiva 95/46/CE, que será sustituida en 2018 por el Reglamento general de protección de datos, establece una serie de derechos para el interesado, así como las correspondientes obligaciones para quienes tratan los datos personales o ejercen control sobre dicho tratamiento;

D.  Considerando que la Comisión debe garantizar, en nombre de los ciudadanos de la Unión y de sus Estados miembros, que solo puedan transferirse datos personales a países fuera de la Unión y del EEE si se garantiza un nivel de protección adecuado;

E.  Considerando que los términos «nivel de protección adecuado» deben entenderse como la exigencia de que el tercer país garantice, mediante su legislación nacional o sus compromisos internacionales, un nivel de protección de los derechos y las libertades fundamentales que sea esencialmente equivalente a la protección dispensada en la Unión en virtud de la Directiva 95/46 interpretada a la luz de la Carta;

F.  Considerando que, al examinar el nivel de protección que ofrece un tercer país, la Comisión está obligada a evaluar el contenido de las normas aplicables en ese país derivadas de su legislación nacional o de sus compromisos internacionales, así como las prácticas destinadas a garantizar el cumplimiento de dichas normas, dado que, con arreglo al artículo 25, apartado 2, de la Directiva 95/46, debe tener en cuenta todas las circunstancias que concurran en una transferencia de datos personales a un tercer país; que esa evaluación no solo debe referirse a la legislación y las prácticas relacionadas con la protección de datos personales con fines comerciales y privados, sino que también debe contemplar todos los aspectos del marco aplicable a ese país o sector, y en particular, pero no únicamente, el cumplimiento de la ley, la seguridad nacional y el respeto de los derechos fundamentales;

G.  Considerando que el Grupo de Trabajo del artículo 29 (WP 29) ha evaluado las consecuencias de la sentencia Schrems para todas las transferencias de datos a Estados Unidos mediante un inventario y análisis de la jurisprudencia del Tribunal de Justicia de la Unión Europea en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales (en lo sucesivo, «la Carta») y de la jurisprudencia del Tribunal Europeo de Derechos Humanos (en lo sucesivo, «el TEDH») en relación con el artículo 8 del Convenio Europeo de Derechos Humanos (en lo sucesivo, «el CEDH»), sobre cuestiones de vigilancia en los Estados Partes del CEDH; que, a raíz de ello, el WP 29 estableció cuatro «garantías esenciales europeas», a saber: el tratamiento debe basarse en normas claras, precisas y accesibles; deben demostrarse la necesidad y la proporcionalidad en relación con los objetivos legítimos perseguidos; debe existir un mecanismo independiente de control; y los ciudadanos deben disponer de vías de recurso efectivas;

H.  Considerando que los flujos transfronterizos de datos entre EE. UU. y Europa son los más elevados del mundo —un 50 % más elevados que los flujos de datos entre EE. UU. y Asia y casi el doble de los flujos de datos entre EE. UU. y América Latina—, y que la transferencia y el intercambio de datos personales son un elemento fundamental que respalda los estrechos vínculos entre la Unión y EE. UU. tanto en el sector comercial como en el sector policial y judicial;

I.  Considerando que una dimensión importante de la relación transatlántica es la capacidad de la Unión, los Estados miembros y EE. UU. de reaccionar eficazmente ante retos y amenazas comunes para la seguridad de forma concertada y coordinada, recurriendo, en particular, a la capacidad para intercambiar datos personales en el marco de la cooperación policial y judicial en materia penal, lo que requiere un marco exhaustivo y jurídicamente conforme para garantizar la legalidad de esas transferencias;

J.  Considerando que, en el verano de 2015, la Unión y EE. UU. concluyeron sus negociaciones sobre un acuerdo internacional en materia de protección de datos en el ámbito policial y judicial, el Acuerdo marco UE-EE. UU. sobre protección de datos, rubricado el 8 de septiembre de 2015 en Luxemburgo, y que la Ley de Recurso Judicial de EE. UU., que prevé la igualdad de trato entre los ciudadanos de la Unión y de EE. UU. en virtud de la Ley de Protección de la Privacidad de EE. UU. de 1974, fue aprobada por el Congreso el 10 de febrero de 2016 y promulgada el 24 de febrero de 2016;

1.  Acoge con satisfacción los esfuerzos de la Comisión y del Gobierno estadounidense por introducir mejoras sustanciales en el Escudo de la privacidad en comparación con la Decisión sobre puerto seguro y, en particular, la inclusión de definiciones clave como «datos personales», «tratamiento» y «responsable del tratamiento de datos», los mecanismos establecidos para garantizar el control de la lista del Escudo de la privacidad, y las revisiones externas e internas de la conformidad, ahora obligatorias;

2.  Reconoce los esfuerzos realizados por el Gobierno estadounidense para aclarar el marco jurídico relativo a la interferencia con los datos personales transferidos en virtud del Escudo de la privacidad UE-EE. UU. con fines policiales y judiciales, incluidas la limitaciones y salvaguardias aplicables;

3.  Observa con satisfacción que, en virtud del artículo 3 del proyecto de Decisión de Ejecución de la Comisión, las autoridades de la Unión encargadas de la supervisión de la protección de datos aún pueden suspender las transferencias de datos personales a los responsables del tratamiento de datos participantes en el Escudo de la privacidad; señala que este punto concuerda con el artículo 4 de la Decisión 2001/497/CE de la Comisión relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país;

4.  Reconoce y valora positivamente los avances realizados para mejorar el acceso de los ciudadanos de la Unión a las vías de recurso en EE. UU. mediante la adopción por el Congreso de la Ley de Recurso Judicial de EE. UU., promulgada el 24 de febrero de 2016;

Garantizar un instrumento lícito y sostenible para los flujos transatlánticos de datos

5.  Insiste en que la seguridad jurídica de la transferencia de datos personales entre la Unión y EE. UU. constituye un elemento esencial para la confianza de los consumidores, el desarrollo empresarial transatlántico y la cooperación en el ámbito judicial y policial, por lo que, para su eficacia y aplicación a largo plazo, es imprescindible que los instrumentos que permiten esas transferencias respeten tanto el Derecho primario como el Derecho derivado de la Unión;

6.  Insiste en que el mecanismo del Escudo de la privacidad debe respetar el Derecho primario y el Derecho derivado de la Unión, así como las sentencias pertinentes del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos; pide a la Comisión que adapte el mecanismo y su proyecto de decisión en consecuencia;

7.  Insta a la Comisión a que solicite una aclaración completa sobre el estatuto jurídico de las «garantías por escrito» ofrecidas por EE. UU.;

Consideraciones relativas al sector privado

8.  Insiste en que los principios del Escudo de la privacidad (anexo II) prevén un conjunto de principios esencialmente equivalentes, incluido el principio de la minimización de datos, que permite el tratamiento de los datos personales solo para fines compatibles con el propósito para el que se han recogido los datos; observa que sería preocupante que se autorizaran ciertos tipos de tratamiento de datos personales sin necesidad de contar con el consentimiento del interesado y sin un derecho de objeción pleno de este;

9.  Recuerda que la adopción de una decisión de adecuación otorga a los responsables del tratamiento de datos del país tercero de que se trate un acceso privilegiado al mercado de la Unión; teme que, si el nivel de exigencia de los principios del Escudo de la privacidad resulta ser inferior al previsto en la legislación de la Unión en materia de protección de datos, pueda otorgarse a los responsables y encargados del tratamiento de datos establecidos en Estados Unidos una ventaja competitiva en comparación con los establecidos en la Unión;

Vigilancia por parte del Gobierno, acceso de las autoridades policiales y judiciales y exención por motivos de seguridad nacional

10.  Recuerda que, para demostrar la existencia de una injerencia en el derecho fundamental al respeto de la vida privada, carece de relevancia que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia (sentencia Digital Rights Ireland y otros, C-293/12 y C-594/12, EU:C:2014:238, apartado 33);

11.  Subraya, a este respecto, que el anexo VI (carta de Robert S. Litt, Oficina del Director de la Inteligencia Nacional) deja claro que, en virtud de la Directiva Presidencial 28 (en lo sucesivo «la PPD-28»), la recopilación masiva de comunicaciones y datos personales de ciudadanos no estadounidenses sigue estando permitida en seis supuestos; destaca que si bien la PPD-28 impone nuevas reglas que limitan el uso y la divulgación de comunicaciones y datos personales de los ciudadanos no estadounidenses, no restringe su recopilación masiva; observa que, según la interpretación del Gobierno estadounidense, la «recopilación masiva» no incluye la vigilancia masiva de comunicaciones o datos personales y el acceso a estos, sino tan solo el almacenamiento masivo de esos datos o comunicaciones, lo que puede estar en contradicción con la sentencia Schrems del TJUE, que establece que una normativa que permite «acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada»;

12.  Lamenta que la excepción general en materia de seguridad nacional contemplada en el anexo II, punto 5, de los principios del Escudo de la privacidad esté copiada literalmente de los principios de puerto seguro y no esté sujeta a otras restricciones;

13.  Señala que la Comisión no ha efectuado evaluación alguna de los derechos y del grado de protección de los ciudadanos de la Unión en aquellos casos en que sus datos personales son transferidos por un responsable del tratamiento de datos de EE. UU. contemplado en el Escudo de la privacidad a una autoridad policial o judicial estadounidense; señala que el anexo VII (carta de Bruce C. Swartz, Departamento de Justicia) sobre el acceso de las autoridades policiales y judiciales a los datos se refiere únicamente al acceso a los datos almacenados por las empresas, pero no aborda la cuestión del interesado ni el derecho de recurso judicial de las personas a cuyos datos se accede;

Mecanismos de recurso

14.  Manifiesta su preocupación ante la complejidad y falta de claridad de la arquitectura global del mecanismo para el ejercicio del derecho de recurso de los ciudadanos de la Unión, que podrían repercutir negativamente en su aplicación efectiva;

15.  Celebra que las autoridades estadounidenses hayan creado un Defensor del Pueblo como nuevo mecanismo de recurso, pero considera que esta nueva institución no es lo suficientemente independiente, no se le han otorgado competencias adecuadas para ejercer efectivamente y hacer respetar su función, y, por ende, no garantiza un recurso satisfactorio en caso de desacuerdo; lamenta que no se otorgue a los ciudadanos de la Unión afectados por la transferencia de datos ninguna vía de recurso judicial contra una decisión del Defensor del Pueblo, al contrario de lo que exige el TEDH;

Recomendaciones

16.  Pide a la Comisión que tenga debidamente en cuenta y responda a las consideraciones formuladas en la presente Resolución, así como al dictamen n.º 1/2016 del Grupo de Trabajo del artículo 29 sobre el proyecto de decisión de adecuación sobre el Escudo de la privacidad UE-EE. UU., antes de adoptar su propia decisión de adecuación, especialmente por lo que se refiere a las cuatro garantías esenciales siguientes: el tratamiento debe basarse en normas claras, precisas y accesibles; deben demostrarse la necesidad y la proporcionalidad en relación con los objetivos legítimos perseguidos; debe existir un mecanismo independiente de control; y los ciudadanos deben disponer de vías de recurso efectivas;

17.  Insta especialmente a la Comisión a que examine las preocupaciones formuladas por el Grupo de Trabajo del artículo 29 en su dictamen sobre esta cuestión, a saber, que los términos utilizados en el proyecto de decisión de adecuación no obligan a las organizaciones a suprimir los datos que ya no sean necesarios, que el Gobierno estadounidense no excluye totalmente que continúe la recopilación masiva e indiscriminada de datos incluso si tal recopilación de datos representa una injerencia injustificada en los derechos fundamentales de las personas, y que es necesario aclarar las competencias y la posición del Defensor del Pueblo para demostrar que se trata de un cargo realmente independiente que puede ofrecer una vía de recurso efectiva en caso de tratamiento de datos no conforme;

18.  Pide a la Comisión que aplique la decisión de adecuación tan solo provisionalmente, a la espera de los resultados de las nuevas negociaciones con Estados Unidos relativas a la mejora del marco sobre la base del Reglamento general de protección de datos;

19.  Pide a la Comisión que garantice que los ciudadanos de la Unión afectados por la transferencia tengan a su disposición vías de recurso administrativas y judiciales efectivas cuando las autoridades policiales y judiciales estadounidenses accedan y traten los datos personales que les conciernen y que hayan sido transferidos en el marco del Escudo de la privacidad, con el fin de garantizar el respeto de la Carta;

20.  Insta a la Comisión a que dé seguimiento a las preocupaciones formuladas, dado que de otro modo podría excederse en sus competencias de ejecución decidiendo que el mecanismo del Escudo de la privacidad proporciona un nivel de protección adecuado en Estados Unidos sin llevar a cabo una valoración completa del sistema estadounidense;

21.  Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y los Parlamentos de los Estados miembros y al Gobierno y el Congreso de Estados Unidos.

(1)

DO L 281 de 23.11.1995, p. 31.

(2)

DO L 55 de 28.2.2011, p. 13.

(3)

DO C 121 de 24.4.2001, p. 152.

(4)

Textos Aprobados, P7_TA(2014)0230.

(5)

Textos Aprobados, P8_TA(2015)0388.

Aviso jurídico