El Parlamento Europeo,

–  Vistos el Tratado de la Unión Europea (TUE), el Tratado de Funcionamiento de la Unión Europea (TFUE) y los artículos 6, 7, 8, 11, 16, 47 y 52 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»),

–  Vistos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)(1), y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo(2),

–  Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, en el asunto C-362/14 Maximilian Schrems / Data Protection Commissioner(3),

–  Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 21 de diciembre de 2016, en los asuntos C-203/15, Tele2 Sverige AB / Post- och telestyrelsen, y C-698/15, Secretary of State for the Home Department / Tom Watson y otros(4),

–  Vista la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.(5),

–  Visto el dictamen 4/2016 del Supervisor Europeo de Protección de Datos, de 30 de mayo de 2016, sobre el proyecto de decisión relativo a la adecuación del escudo protector de la intimidad entre la UE y los Estados Unidos(6),

–  Visto el dictamen del Grupo de Trabajo del Artículo 29, de 13 de abril de 2016, sobre el proyecto de decisión de adecuación del Escudo de la privacidad UE-EE. UU.(7) y su declaración de 26 de julio de 2016(8),

–  Visto el informe de la Comisión, de 18 de octubre de 2017, al Parlamento Europeo y al Consejo sobre la primera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. (COM(2017)0611) y el documento de trabajo de los servicios de la Comisión que lo acompaña (SWD(2017)0344),

–  Visto el documento del Grupo de Trabajo del Artículo 29, de 28 de noviembre de 2017, titulado «EU-US Privacy Shield – First Annual Joint Review» (El Escudo de la Privacidad UE-EE. UU.: primera revisión conjunta anual)(9),

–  Vista la carta de respuesta del Grupo de Trabajo del Artículo 29, de 11 de abril de 2018, sobre la reautorización del artículo 702 de la Ley de Vigilancia de Inteligencia Exterior (FISA) de EE. UU.,

–  Vista su Resolución, de 6 de abril de 2017, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.(10),

–  Visto el artículo 123, apartado 2, de su Reglamento interno,

A.  Considerando que el Tribunal de Justicia de la Unión Europea (TJUE), en su sentencia de 6 de octubre de 2015, en el asunto C-362/14 Maximilian Schrems/ Data Protection Commissioner invalidó la decisión de puerto seguro y aclaró que el nivel de protección adecuado debe entenderse en el sentido de que exige que un tercer país garantice un nivel de protección equivalente al garantizado en la Unión por la Directiva 95/46/CE, entendida a la luz de la Carta, lo que plantea la necesidad de concluir las negociaciones sobre un nuevo acuerdo con el fin de garantizar la seguridad jurídica sobre la manera en que deberían transferirse los datos personales de la Unión a los Estados Unidos;

B.  Considerando que, al examinar el nivel de protección que ofrece un tercer país, la Comisión está obligada a evaluar el contenido de las normas aplicables en ese país derivadas de su legislación nacional o de sus compromisos internacionales, así como las prácticas destinadas a garantizar el cumplimiento de dichas normas, dado que, con arreglo al artículo 25, apartado 2, de la Directiva 95/46/CE, debe tener en cuenta todas las circunstancias que concurran en una transferencia de datos personales a un tercer país; que esa evaluación no solo debe referirse a la legislación y las prácticas relacionadas con la protección de datos personales con fines comerciales y privados, sino que también debe contemplar todos los aspectos del marco aplicable a ese país o sector, y en particular, pero no únicamente, el cumplimiento de la ley, la seguridad nacional y el respeto de los derechos fundamentales;

C.  Considerando que las transferencias de datos personales entre organizaciones comerciales de la Unión y los EE. UU. constituyen un elemento importante de las relaciones transatlánticas a la luz de la imparable digitalización de la economía mundial; que estas transferencias deben realizarse en el pleno respeto del derecho a la protección de los datos personales y el derecho a la privacidad; que uno de los objetivos fundamentales de la Unión es la protección de los derechos fundamentales consagrados en la Carta;

D.  Considerando que Facebook, uno de los firmantes del Escudo de la privacidad, ha confirmado que, entre los datos utilizados de forma irregular por la consultoría política Cambridge Analytica, se encontraban los datos de 2,7 millones de ciudadanos de la Unión;

E.  Considerando que, en su dictamen 4/2016, el Supervisor Europeo de Protección de Datos planteó diversas inquietudes relativas al proyecto de Escudo de la privacidad; que, en ese mismo dictamen, el Supervisor Europeo de Protección de Datos acoge favorablemente los esfuerzos que han realizado todas las partes en aras de encontrar una solución para las transferencias de datos personales desde la Unión a los Estados Unidos con fines comerciales con arreglo a un sistema de autocertificación;

F.  Considerando que, en su dictamen 01/2016 sobre el proyecto de decisión ejecutiva sobre la adecuación del Escudo de la privacidad UE-EE. UU., el Grupo de Trabajo del artículo 29 se mostró a favor de las mejoras introducidas en el Escudo de la privacidad en comparación con la Decisión de puerto seguro, aunque también planteó una gran preocupación tanto por los aspectos comerciales como por el acceso de las autoridades públicas a los datos transferidos en el marco del Escudo de la privacidad;

G.  Considerando que el 12 de julio de 2016, tras nuevas conversaciones con el Gobierno de los Estados Unidos, la Comisión adoptó su Decisión de Ejecución (UE) 2016/1250, en la que declara el nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos en el marco del Escudo de la privacidad UE-EE. UU.;

H.  Considerando que el Escudo de la privacidad UE-EE. UU. está acompañado de varios compromisos y garantías unilaterales del Gobierno de los EE. UU. que explican, entre otros aspectos, los principios de protección de datos, el funcionamiento de la supervisión, la aplicación y las vías de recurso y las protecciones y las condiciones en las que las agencias de seguridad pueden tener acceso a los datos personales y tratarlos;

I.  Considerando que, en su declaración de 26 de julio de 2016, el Grupo de Trabajo del artículo 29 acoge con satisfacción las mejoras aportadas por el mecanismo del Escudo de la privacidad UE-EE. UU. en comparación con el puerto seguro y felicita a la Comisión y las autoridades estadounidenses por haber tenido en cuenta sus preocupaciones; que, sin embargo, el Grupo de Trabajo del artículo 29 indica que algunas de sus preocupaciones persisten tanto por los aspectos comerciales como por el acceso de las autoridades públicas de los EE. UU. a los datos transferidos desde la Unión, como, por ejemplo, la falta de normas específicas sobre decisiones automatizadas y la ausencia de un derecho de oposición general, la necesidad de garantías más estrictas sobre la independencia y las competencias de la figura del Defensor del Pueblo, o la ausencia de garantías concretas para que no se produzca una recopilación masiva e indiscriminada de datos personales (la recopilación en bloque);

J.  Considerando que el Parlamento, en su Resolución de 6 de abril de 2017, reconocía que el Escudo de la privacidad UE-EE. UU. contiene mejoras significativas en lo que se refiere a la claridad de las normas en comparación con el puerto seguro UE-EE. UU., aunque también consideraba que aún existen problemas en algunos aspectos comerciales, de seguridad nacional y de aplicación de las leyes; que pide a la Comisión que realice, durante la primera revisión anual conjunta, un estudio completo y en profundidad de todas las deficiencias y puntos débiles y que muestre cómo se han tratado, de modo que se garantice el cumplimiento de la Carta y del Derecho de la Unión, y que evalúe detalladamente si los mecanismos y salvaguardas indicados en las garantías y aclaraciones formuladas por la administración de los EE. UU. son efectivas y viables;

K.  Considerando que, aunque el informe de la Comisión al Parlamento y al Consejo sobre la primera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. y el documento del Grupo de Trabajo de la Comisión que lo acompaña reconocen que las autoridades de los EE. UU. han creado las estructuras y los procedimiento necesarios para garantizar el correcto funcionamiento del Escudo de la privacidad y llegan a la conclusión de que los Estados Unidos siguen garantizando un nivel adecuado de protección de los datos personales transferidos en el marco del Escudo de la privacidad, han formulado diez recomendaciones a las autoridades de los EE. UU. para abordar las cuestiones problemáticas relativas no solo a las tareas y actividades del Departamento de Comercio de los Estados Unidos como administrador responsable del control de la certificación de las organizaciones del Escudo de la privacidad y del cumplimiento de sus principios, sino también aquellos problemas relacionados con la seguridad nacional, como la reautorización del artículo 702 de la FISA o el nombramiento de un Defensor del Pueblo permanente y el hecho de que los miembros de la Junta de supervisión de la intimidad y las libertades civiles aún no hayan ocupado sus cargos;

L.  Considerando que el dictamen posterior a la primera revisión conjunta anual emitido por el Grupo de Trabajo del Artículo 29, de 28 de noviembre de 2017, titulado «EU-US Privacy Shield – First Annual Joint Review» (El Escudo de la Privacidad UE-EE. UU.: primera revisión conjunta anual), reconoce los avances del Escudo de la privacidad respecto a la decisión de puerto seguro invalidada; que el Grupo de Trabajo del Artículo 29 reconoce los esfuerzos realizados por las autoridades de los EE. UU. y por la Comisión para aplicar el Escudo de la privacidad;

M.  Considerando que el Grupo de Trabajo del Artículo 29 ha detectado un importante número de cuestiones no resueltas altamente preocupantes que necesitan ser abordadas por la Comisión y por las autoridades de los EE. UU., relativas tanto a asuntos comerciales como a aquellos relacionados con el acceso de las autoridades públicas de los EE. UU. a datos transferidos allí en el marco del Escudo de la privacidad (ya sea con fines de aplicación de la ley o de seguridad nacional); que ha solicitado la creación inmediata de un plan de acción para demostrar que se van tratar todas esas cuestiones, a más tardar en la segunda revisión conjunta;

N.  Considerando que, en caso de que no se solucionen los problemas planteados por el Grupo de Trabajo del Artículo 29 en los plazos previstos, los miembros de dicho Grupo adoptarán las medidas adecuadas, incluido someter a los tribunales nacionales la decisión sobre la adecuación del Escudo de privacidad para que soliciten al TJUE una decisión prejudicial;

O.  Considerando que se han presentado al TJUE un recurso de anulación (asunto T-738/16 La Quadrature du Net y otros / Comisión) y una remisión por el Tribunal Superior irlandés en el asunto entre el comisario de Protección de Datos de Irlanda y Facebook Ireland Limited y Maximilian Schrems (asunto Schrems II); que la remisión toma nota de que la vigilancia masiva continúa aún y hace un análisis sobre si existe un recurso efectivo en la legislación de los EE. UU. para los ciudadanos de la Unión cuyos datos personales han sido transferidos a los Estados Unidos;

P.  Considerando que el 11 de enero de 2018 el Congreso de los EE. UU. reautorizó y enmendó por seis años el artículo 702 de la FISA, sin abordar las preocupaciones del informe de la revisión conjunta de la Comisión ni del dictamen del Grupo de Trabajo del Artículo 29;

Q.  Considerando que, como parte de la legislación presupuestaria general aprobada el 23 de marzo de 2018, el Congreso de los EE. UU. promulgó la Clarifying Overseas Use of Data Act (Ley de aclaración de la utilización de datos extranjeros), que facilita el acceso policial al contenido de comunicaciones y otros datos relacionados, autorizando a las fuerzas del orden de los EE. UU. obligar a presentar datos de comunicaciones incluso cuando están almacenados fuera de los Estados Unidos y permitiendo que algunos países extranjeros celebren acuerdos ejecutivos con los Estados Unidos para autorizar a los proveedores de servicios de estadounidenses responder a ciertas órdenes extranjeras para acceder a datos de comunicaciones;

R.  Considerando que Facebook Inc., Cambridge Analytica y SCL Elections Ltd. son empresas certificadas en el marco del Escudo de la privacidad y que, como tales, se benefician de la decisión sobre la adecuación como base jurídica para la transferencia y posterior tratamiento de datos personales de la Unión Europea a los Estados Unidos;

S.  Considerando que, en virtud del artículo 45, apartado 5, del Reglamento general de protección de datos, cuando la información disponible muestre que un tercer país ya no garantiza un nivel de protección adecuado, la Comisión derogará, modificará o suspenderá su decisión de adecuación;

1.  Destaca las persistentes deficiencias que se observan en el Escudo de la privacidad en cuanto al respeto de los derechos fundamentales de las personas registradas; subraya el riesgo creciente de que el TJUE invalide la Decisión de Ejecución (UE) 2016/1250 de la Comisión relativa al Escudo de la privacidad;

2.  Toma nota de las mejoras respecto al acuerdo de puerto seguro, incluida la inserción de definiciones clave, obligaciones estrictas relativas a la conservación de los datos y las transferencias ulteriores a terceros países, la creación de un Defensor del Pueblo para garantizar la reparación individual y una supervisión independiente, la existencia de controles y contrapesos que garanticen los derechos de los titulares de los datos, revisiones externas e internas del cumplimiento, una documentación y un control más regulares y rigurosos, la disponibilidad de diversas vías de recurso y el papel destacado de las autoridades nacionales de protección de datos en la investigación de demandas;

3.  Recuerda que el Grupo de Trabajo del Artículo 29 fijó el 25 de mayo de 2018 como plazo para resolver todas las cuestiones pendientes, a falta de lo cual podría decidir someter el Escudo de la privacidad a los tribunales nacionales para que remitan el caso al TJUE para que este emita una decisión prejudicial(11);

Cuestiones institucionales / Designaciones

4.  Lamenta que se haya tardado tanto en designar a los dos miembros adicionales combinados con el nombramiento del presidente del PCLOB (Consejo de Supervisión de la Privacidad y de las Libertades Civiles de los Estados Unidos) e insta al Senado a estudiar sus perfiles para ratificar la designación, de modo que la agencia independiente recupere su quorum y pueda cumplir sus funciones de prevención del terrorismo y garantizar la necesidad de proteger la vida privada y las libertades civiles;

5.  Manifiesta su preocupación por la ausencia de un presidente y de quorum, lo que ha limitado la capacidad del PCLOB para actuar y cumplir sus obligaciones; destaca que, durante un período sin quorum, el PCLOB no puede iniciar nuevos proyectos de asesoría o supervisión ni contratar personal; recuerda que el PCLOB todavía no ha publicado su muy esperado informe sobre la realización de una investigación en el marco del Decreto 12333 para aportar información sobre el funcionamiento concreto de dicha orden y sobre su necesidad y proporcionalidad respecto a las interferencias en la protección de datos en este contexto; señala que este informe es muy deseable, considerando la inseguridad y el carácter imprevisible del modo de utilización del Decreto 12333; lamenta que el PCLOB no haya publicado un nuevo informe sobre el artículo 702 de la FISA antes de su reautorización en enero de 2018; considera que la ausencia de quorum socava gravemente las garantías de cumplimiento y supervisión dadas por las autoridades de los Estados Unidos; insta, por tanto, a dichas autoridades a designar y confirmar sin demora a los nuevos miembros del Consejo;

6.  Dado que la Directiva de Política Presidencial 28 es uno de los elementos centrales en los que se basa el Escudo de la privacidad, pide se desbloquee el informe del PCLOB sobre dicha Directiva, que es una prerrogativa presidencial y, por tanto, no ha sido publicada aún;

7.  Reitera su posición de que la figura de Defensor del Pueblo creada por el Departamento de Estado de los Estados Unidos no es lo bastante independiente y no está dotada de suficientes poderes efectivos para llevar a cabo sus tareas y proporcionar unas vías de recurso eficaces para los ciudadanos de la Unión; subraya que es necesario aclarar los poderes concretos de la figura de Defensor del Pueblo, especialmente en relación con sus poderes respecto a los servicios de inteligencia y el nivel de recurso efectivo de sus decisiones; lamenta que la figura del Defensor del Pueblo solo pueda reclamar una actuación a partir de una información de los organismos gubernamentales de los Estados Unidos y no pueda ordenar a las autoridades que cesen e interrumpan una vigilancia ilegal o que destruyan información definitivamente; señala que, aunque existe un Defensor del Pueblo en funciones, hasta ahora la administración de los Estados Unidos no ha efectuado un nombramiento definitivo, lo que no contribuye a la confianza mutua; opina que, mientras no sea nombrado un Defensor del Pueblo independiente, experimentado y dotado de facultades suficientes, las garantías de los Estados Unidos en cuanto a la disponibilidad de vías de recurso eficaces para los ciudadanos de la Unión serán nulas de pleno derecho;

8.  Reconoce la reciente confirmación por el Senado de los Estados Unidos de un nuevo presidente de la Comisión Federal de Comercio y de cuatro comisarios de la misma; deplora que, hasta esa confirmación, cuatro de los cinco puestos en la Comisión Federal de Comercio hayan estado vacantes, teniendo en cuenta que la Comisión Federal de Comercio es la agencia competente para el cumplimiento de los principios del Escudo de la privacidad por parte de las organizaciones de los Estados Unidos;

9.  Subraya que las recientes revelaciones relativas a las prácticas de Facebook y Cambridge Analytica destacan la necesidad de supervisar de forma proactiva y de ejecutar acciones que no estén solo basadas en reclamaciones, sino que incluyan controles sistemáticos del cumplimiento práctico de los principios del Escudo de la privacidad por parte de las políticas de privacidad a lo largo del ciclo de certificación; pide a las autoridades de la Unión competentes para la protección de datos que adopten las medidas adecuadas y suspendan las transferencias en casos de incumplimiento;

Cuestiones comerciales

10.  Considera que, para garantizar la transparencia y evitar declaraciones falsas de certificación, el Departamento de Comercio de los Estados Unidos no debería tolerar que las empresas hicieran manifestaciones públicas de su certificación del Escudo de la privacidad antes de terminar el procedimiento de certificación y de su inclusión en su lista; muestra su preocupación por que el Departamento de Comercio no haya hecho uso de la posibilidad que le ofrece el Escudo de privacidad de solicitar copias de las condiciones contractuales utilizadas por las empresas certificadas en su contratos con terceras partes para garantizar el cumplimiento; considera, por tanto, que no existe un control efectivo sobre el cumplimiento real de las empresas con las disposiciones del Escudo de la privacidad; pide al Departamento de Comercio que efectúe de forma proactiva y con regularidad revisiones del cumplimiento para supervisar que las empresas cumplan efectivamente con las normas y requisitos del Escudo de la privacidad;

11.  Considera que los diversos procedimientos de recurso para los ciudadanos de la Unión pueden resultar demasiado complejos, difíciles de utilizar y, en consecuencia, menos eficaces; señala que, como subrayan las empresas que proporcionan mecanismos de recurso independientes, la mayoría de las reclamaciones se presentan directamente a las empresas por personas que buscan información general sobre el escudo de la privacidad y el tratamiento de sus datos; recomienda, por tanto, que las autoridades de los Estados Unidos ofrezcan información más concreta en la página web del Escudo de la privacidad de forma más accesible y comprensible, para personas interesadas en sus derechos y en los recursos y soluciones disponibles;

12.  A la vista de las recientes revelaciones de uso indebido de datos personales por empresas certificadas en el marco del Escudo de la privacidad, como Facebook y Cambridge Analytica, pide a las autoridades de los Estados Unidos responsables de la aplicación del Escudo de la privacidad que actúen sin demora tras esas revelaciones, en plena conformidad con las garantías y compromisos adquiridos para la defensa del acuerdo actual del Escudo de la privacidad y, si fuera necesario, que eliminen a esas empresas de la lista del Escudo de la privacidad; pide también a las autoridades de la Unión competentes para la protección de datos que investiguen esas revelaciones y, si fuera necesario, suspendan y prohíban la transferencia de datos en el marco del Escudo de la privacidad; considera que las revelaciones muestran claramente que el mecanismo del Escudo de la privacidad no proporciona la protección adecuada del derecho a la protección de los datos;

13.  Manifiesta su grave preocupación por el cambio de las condiciones del servicio de Facebook para los usuarios que no pertenecen a la Unión fuera de los Estados Unidos y Canadá, que hasta ahora han disfrutado de sus derechos bajo la legislación de protección de datos de la Unión y ahora deben aceptar el control de los datos por Facebook US en lugar de Facebook Ireland; considera que esto supone una transferencia de datos personales de aproximadamente 1 500 millones de usuarios a un tercer país; tiene serias dudas de que esa limitación a gran escala sin precedentes de los derechos fundamentales de los usuarios de una plataforma que ejerce un monopolio de hecho fuera lo que se pretendía con el Escudo de la privacidad; pide a las autoridades de protección de datos de la Unión que investiguen esta cuestión;

14.  Manifiesta su enorme preocupación por que, si no se aborda este asunto, esos usos indebidos de datos personales por parte de diversas entidades con el objetivo de manipular la opinión política o el comportamiento electoral pueden suponer una amenaza para el proceso democrático y la idea subyacente de que los electores son capaces de tomar por sí mismos decisiones informadas y basadas en hechos;

15.  Acoge con satisfacción y respalda los llamamientos a los legisladores de los Estados Unidos para que avancen hacia la consecución de una ley general de privacidad y protección de datos;

16.  Recuerda sus preocupaciones sobre la falta de normas y garantías específicas en el Escudo de la privacidad para decisiones basadas en procesos automáticos, que tienen efectos jurídicos o afectan de forma importante a las personas; reconoce la intención de la Comisión de encargar un estudio para recoger pruebas objetivas y evaluar mejor la pertinencia de las decisiones automatizadas para las transferencias de datos en el marco del Escudo de la privacidad; pide a la Comisión que proporcione normas específicas sobre las decisiones automatizadas para aportar garantías suficientes, si el estudio lo recomienda; toma nota, en este sentido, de la información aportada por la revisión conjunta, según la cual las decisiones automatizadas no pueden producirse sobre la base de los datos personales transferidos en el marco del Escudo de la privacidad; deplora que, según el Grupo de Trabajo del Artículo 29, los comentarios de las empresas son muy generales y no aclaran si esas afirmaciones corresponden a la realidad de todas las empresas participantes en el Escudo de la privacidad; destaca, además, la aplicabilidad del Reglamento general de protección de datos, con arreglo a las condiciones de su artículo 3, apartado 2;

17.  Subraya que son necesarias más mejoras en la interpretación y el tratamiento de datos de recursos humanos, debido a la lectura diferente del concepto de «datos de recursos humanos» por parte del Gobierno de los Estados Unidos, por una parte, y la Comisión y el Grupo de Trabajo del Artículo 29, por otra; comparte plenamente la petición del Grupo de Trabajo del Artículo 29 a la Comisión de iniciar negociaciones con las autoridades de los Estados Unidos para modificar el Escudo de la privacidad en esta cuestión;

18.  Reitera su preocupación por que los principios del escudo de la privacidad no siguen el modelo de la Unión de tratamiento basado en el consentimiento, sino que solo permite la exclusión / el derecho de oposición en circunstancias muy específicas; pide, por tanto, a la luz de la revisión conjunta, que el Departamento de Comercio de los Estados Unidos trabaje con las autoridades europeas de protección de datos para proporcionar una orientación más precisa respecto a los principios esenciales del Escudo de la privacidad, como el principio de elección, el principio de notificación, las transferencias ulteriores, la relación responsable-encargado y el acceso, que se adaptan mucho más a los derechos de los titulares de los datos conforme al Reglamento (UE) 2016/679;

19.  Reitera su preocupación por el rechazo en el Congreso, en marzo de 2017, de la norma presentada por la Comisión Federal de Comunicaciones relativa a la protección de la privacidad de los clientes de servicios de banda ancha y otros servicios de telecomunicaciones, con lo cual se eliminan en la práctica reglas de privacidad aplicables a la banda ancha que hubieran obligado a los proveedores de servicios de internet a recabar el consentimiento expreso de los consumidores antes de vender a anunciantes y empresas privadas o compartir con ellos datos de la navegación en la red y otras informaciones privadas; considera que ello supone una amenaza más a las salvaguardias de la privacidad en los Estados Unidos;

Cuestiones de aplicación de la ley y de seguridad nacional

20.  Considera que el término «seguridad nacional» en el mecanismo del Escudo de la privacidad no está definido específicamente para garantizar que las infracciones a la protección de datos puedan revisarse eficazmente en los tribunales para garantizar el cumplimiento de un control estricto de lo que es necesario y proporcionado; pide, en consecuencia, una definición clara de «seguridad nacional»;

21.  Toma nota de que el número de objetivos del artículo 702 de la FISA se ha incrementado debido a modificaciones en los modelos de tecnología y comunicación, así como a un entorno de amenazas en evolución;

22.  Lamenta que los Estados Unidos no hayan aprovechado la oportunidad de la reciente reautorización del artículo 702 de la FISA para incluir la garantías contempladas en la Directiva de Política Presidencial 28; pide pruebas y compromisos jurídicamente vinculantes que garanticen que la recogida de datos en virtud del artículo 702 de la FISA no sea indiscriminada y su acceso no se realice sobre una base generalizada (recopilación masiva), en contradicción con la Carta; toma nota de la explicación de la Comisión en su documento de trabajo, según la cual la vigilancia en virtud del artículo 702 de la FISA siempre se basa en selectores y, por tanto, no permite la recopilación masiva; se suma, en consecuencia, a la petición del Grupo de Trabajo del Artículo 29 de un informe actualizado del Consejo de Supervisión de la Privacidad y de las Libertades Civiles de los Estados Unidos (PCLOB) sobre la definición de los «objetivos», sobre la «asignación de selectores» y sobre el proceso concreto de aplicación de selectores en el contexto del programa UPSTREAM para aclarar y evaluar si se produce un acceso masivo a los datos personales en ese contexto; deplora que los ciudadanos de la Unión estén excluidos de la protección adicional que proporciona la reautorización del artículo 702 de la FISA; lamenta que la reautorización del artículo 702 de la FISA contenga varias modificaciones meramente procedimentales y no aborde las cuestiones más problemáticas, como las planteadas por el Grupo de Trabajo del Artículo 29; pide a la Comisión que se tome en serio el próximo análisis del Grupo de Trabajo del Artículo 29 sobre el artículo 702 de la FISA y que actúe en consecuencia;

23.  Afirma que la ley de reautorización del artículo 702 de la FISA por seis años más pone en cuestión la legalidad del Escudo de la privacidad;

24.  Reitera su preocupación por el Decreto 12333, que permite a la NSA compartir una gran cantidad de datos privados reunidos sin garantías, órdenes judiciales o autorizaciones del Congreso con otras dieciséis agencias, incluido el FBI, la Agencia Antidroga Norteamericana y el Departamento de Seguridad del Territorio Nacional; lamenta la falta de revisión judicial de las actividades de vigilancia llevadas a cabo sobre la base del Decreto 12333;

25.  Destaca los obstáculos persistentes relativos a la compensación para los ciudadanos no estadounidenses sujetos a medidas de vigilancia basadas en el artículo 702 de la FISA o el Decreto 12333, debido a los requisitos procedimentales de «vigente», tal como lo interpretan los tribunales de los Estados Unidos, con el fin de permitir a esos ciudadanos emprender acciones legales ante los tribunales de los Estados Unidos contra decisiones que les afecten;

26.  Manifiesta su preocupación por las consecuencias del Decreto 13768, sobre la mejora de la seguridad pública en el interior de los Estados Unidos, para las compensaciones judiciales y administrativas disponibles para las personas en los Estados Unidos, porque las protecciones de la ley de confidencialidad ya no se aplican a los que no sean ciudadanos de los Estados Unidos; toma nota de la posición de la Comisión, según la cual la evaluación de adecuación no se basa en las protecciones de la ley de confidencialidad y, por tanto, este Decreto no afecta al Escudo de la privacidad; considera que ese Decreto 13768 indica, sin embargo, la intención del ejecutivo de los Estados Unidos de cancelar las garantías de protección de datos otorgadas previamente a los ciudadanos de la Unión e ignorar los compromisos adquiridos con la Unión durante la presidencia de Obama;

27.  Manifiesta su gran preocupación respecto a la reciente adopción de la Ley de Aclaración del Uso Legítimo de los Datos en el Extranjero (CLOUD, H.R. 4943), que amplía la capacidad de las fuerzas de seguridad norteamericanas y extranjeras para buscar y acceder a datos de personas a través de las fronteras internacionales sin hacer uso de los instrumentos de los tratados de asistencia judicial mutua, que proporcionan las garantías adecuadas y respetan las competencias judiciales de los países en los que se encuentra la información; destaca que la ley CLOUD podría tener graves consecuencias para la Unión, ya que tiene un alcance muy amplio y crea un conflicto potencial con las leyes de protección de datos de la Unión;

28.  Considera que una solución más equilibrada hubiera sido reforzar el sistema internacional actual de los tratados de asistencia judicial mutua, con el fin de favorecer la cooperación internacional y judicial; reitera que, como se contempla en el artículo 48 del Reglamento general de protección de datos, los acuerdos de asistencia jurídica mutua y otros acuerdos internacionales son el mecanismo preferido para permitir el acceso a los datos personales fuera del país;

29.  Deplora que las autoridades de los Estados Unidos no hayan cumplido de forma proactiva su compromiso de proporcionar a la Comisión información oportuna y exhaustiva sobre los cambios que pudieran ser importantes en el Escudo de la privacidad, incluida la falta de notificación a la Comisión de los cambios en el marco legal de los Estados Unidos, por ejemplo, en relación con el Decreto Presidencial 13768 sobre la mejora de la seguridad pública en el interior de los Estados Unidos o la revocación de las normas de privacidad para los proveedores de servicios de internet;

30.  Recuerda que, como indicó en su Resolución de 6 de abril de 2017, ni los principios del Escudo de la privacidad ni las cartas de las administración de los Estados Unidos aportan aclaraciones ni garantías que demuestren la existencia de derechos de recurso judicial efectivos para ciudadanos de la Unión en relación con la utilización de sus datos personales por parte de las autoridades de los Estados Unidos para fines de aplicación de la ley o de interés público, lo que destacó el TJUE en su sentencia de 6 de octubre de 2015 como la esencia del derecho fundamental del artículo 47 de la Carta;

Conclusiones

31.  Pide a la Comisión que adopte todas las medidas necesarias para garantizar que el Escudo de la privacidad cumpla plenamente el Reglamento (UE) 2016/679, que se aplicará a partir del 25 de mayo de 2018, y la Carta, de modo que la adecuación no produzca lagunas o una ventaja competitiva para las empresas de los Estados Unidos;

32.  Deplora que la Comisión y las autoridades competentes de los Estados Unidos no hayan reanudado las conversaciones sobre el acuerdo del Escudo de la privacidad y no hayan establecido ningún plan de acción para tratar lo antes posible las deficiencias detectadas, como pedía el Grupo de Trabajo del Artículo 29 en su informe de diciembre sobre la revisión conjunta; pide a la Comisión y a las autoridades competentes de los Estados Unidos que lo hagan sin demora;

33.  Recuerda que la privacidad y la protección de los datos son derechos fundamentales legalmente aplicables consagrados en los Tratados, en la Carta y en el Convenio Europeo de Derechos Humanos, así como en la legislación y en la jurisprudencia; hace hincapié en que se deben aplicar de forma que no obstaculicen innecesariamente el comercio o las relaciones internacionales, pero que no pueden «compensarse» con intereses comerciales o políticos;

34.  Opina que el actual acuerdo del Escudo de la privacidad no proporciona el nivel adecuado de protección exigido por la legislación de protección de datos de la Unión y la Carta, tal como los interpreta el TJUE;

35.  Considera que, a menos que los Estados Unidos cumplan plenamente el 1 de septiembre de 2018, la Comisión habrá dejado de actuar de conformidad con el artículo 45, apartado 5, del Reglamento general de protección de datos; pide, por tanto, a la Comisión que suspenda el Escudo de la privacidad hasta que las autoridades de los Estados Unidos cumplan con sus condiciones;

36.  Encarga a su Comisión de Libertades Civiles, Justicia y Asuntos de Interior que continúe controlando la evolución en este ámbito, incluidos los asuntos presentados ante el TJUE, y que haga un control del seguimiento de las recomendaciones realizadas en la Resolución;

o
o   o

37.  Encarga a su presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y Parlamentos de los Estados miembros y al Consejo de Europa.

(1) DO L 119 de 4.5.2016, p. 1. (2) DO L 119 de 4.5.2016, p. 89. (3) ECLI:EU:C:2015:650. (4) ECLI:EU:C:2016:970. (5) DO L 207 de 1.8.2016, p. 1. (6) DO C 257 de 15.7.2016, p. 8. (7) http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf (8) http://ec.europa.eu/justice/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf (9) WP 255 disponible en: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621 (10) Textos Aprobados, P8_TA(2017)0131. (11) https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782