Propuesta de resolución - B8-0639/2016Propuesta de resolución
B8-0639/2016

PROPUESTA DE RESOLUCIÓN sobre los flujos transatlánticos de datos

23.5.2016 - (2016/2727(RSP))

tras las declaraciones del Consejo y de la Comisión
presentada de conformidad con el artículo 123, apartado 2, del Reglamento

Claude Moraes, Birgit Sippel, Emilian Pavel, Ana Gomes en nombre del Grupo S&D

Véase también la propuesta de resolución común RC-B8-0623/2016

Procedimiento : 2016/2727(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento :  
B8-0639/2016
Textos presentados :
B8-0639/2016
Textos aprobados :

B8-0639/2016

Resolución del Parlamento Europeo sobre los flujos transatlánticos de datos

(2016/2727(RSP))

El Parlamento Europeo,

–  Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, «Directiva sobre protección de datos»)[1], y, en particular, su artículo 25,

–  Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en lo sucesivo, el «Reglamento general de protección de datos»)[2], que entró en vigor el 24 de mayo de 2016 y se aplicará dos años después de dicha fecha,

–  Vistos la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «la Carta») y el Convenio Europeo de Derechos Humanos (CEDH),

–  Vista la sentencia del Tribunal Europeo de Derechos Humanos, de 4 de diciembre de 2015, en el asunto Roman Zakharov / Rusia,

–  Vista la sentencia del Tribunal Europeo de Derechos Humanos, de 12 de enero de 2016, en el asunto Zsabó y Vissy / Hungría,

–  Vista la sentencia, de 6 de octubre de 2015, del Tribunal de Justicia de la Unión Europea en el asunto C-362/14 Maximilian Schrems / Data Protection Commissioner,

–  Visto el proyecto de Decisión de Ejecución de la Comisión, de 29 de febrero de 2016, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU., así como los anexos al mismo en forma de cartas del Gobierno estadounidense y de la Comisión Federal de Comercio de Estados Unidos,

–  Vistas la Comunicación de la Comisión, de 29 de febrero de 2016, sobre esta cuestión (COM(2016)0117), la Comunicación de la Comisión, de 27 de noviembre de 2013, sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la Unión y las empresas establecidas en la Unión (COM(2013)0847), y la Comunicación de la Comisión, de 27 de noviembre de 2013, titulada «Restablecer la confianza en los flujos de datos entre la UE y los EE. UU.» (COM(2013)0846),

–  Vistos el dictamen (WP 238) aprobado el 13 de abril de 2016 por el Grupo de Trabajo constituido conforme al artículo 29 de la Directiva, así como los dictámenes emitidos con anterioridad sobre el mismo asunto (WP 12, WP 27 y WP 32),

–  Visto el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión[3], y, en particular, su artículo 5 relativo al procedimiento de examen,

–  Vista su Resolución, de 5 de julio de 2000, sobre el proyecto de decisión de la Comisión relativa a la adecuación de la protección garantizada por los principios estadounidenses de puerto seguro y preguntas más frecuentes relacionadas publicadas por el Departamento de Comercio de los EE. UU.[4],

–  Vistas su Resolución de 12 de marzo de 2014 sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la Unión y en la cooperación transatlántica en materia de justicia y asuntos de interior[5], y su Resolución de 29 de octubre de 2015 sobre el seguimiento de la Resolución del Parlamento Europeo de 12 de marzo de 2014 relativa a la vigilancia electrónica masiva de los ciudadanos de la Unión[6],

–  Vista la carta de, 16 de marzo de 2016, remitida conjuntamente por organizaciones de libertades civiles, europeas y estadounidenses, a la presidencia del Grupo de Trabajo del artículo 29, al presidente de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, y al Embajador y Representante Permanente de los Países Bajos ante la Unión,

–  Visto el artículo 123, apartado 2, de su Reglamento,

A.  Considerando que la protección de datos personales significa proteger a las personas a que se refiere la información procesada y que dicha protección es uno de los derechos fundamentales reconocidos por la Unión (artículo 8 de la Carta de los Derechos Fundamentales y artículo 16 del Tratado de Funcionamiento de la Unión Europea);

B.  Considerando que la Directiva sobre protección de datos, que será sustituida en 2018 por el Reglamento general de protección de datos, establece una serie de derechos para el interesado, así como las correspondientes obligaciones para quienes tratan los datos o ejercen control sobre dicho tratamiento;

C.  Considerando que la Comisión está obligada a garantizar, en nombre de los ciudadanos de la Unión y de sus Estados miembros, que solo pueden transferirse datos personales a países fuera de la Unión y del EEE si se asegura un nivel adecuado de protección;

D.  Considerando que el término «nivel adecuado de protección» debe entenderse como la exigencia de que el tercer país garantice, mediante su legislación nacional o sus compromisos internacionales, un nivel de protección de los derechos y las libertades fundamentales esencialmente equivalente a la protección dispensada en la Unión en virtud de la Directiva sobre protección de datos interpretada a la luz de la Carta;

E.  Considerando que, al examinar el nivel de protección que ofrece un tercer país, la Comisión está obligada a evaluar el contenido de las normas aplicables en ese país derivadas de su legislación nacional o de sus compromisos internacionales y de las prácticas diseñadas para garantizar el cumplimiento de dichas normas, puesto que, con arreglo al artículo 25, apartado 2, de la Directiva sobre protección de datos, debe tener en cuenta todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país;

F.  Considerando que los flujos de datos transfronterizos entre Estados Unidos y Europa son los más elevados del mundo, y que la transferencia y el intercambio de datos personales son un elemento fundamental que respalda los estrechos vínculos entre la Unión y EE. UU. en cuanto a actividades comerciales y en el sector de la aplicación de la ley;

G.  Considerando que, en su sentencia de 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea invalidó la Decisión de la Comisión sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE. UU.;

Introducción

1.  Destaca la necesidad de salvaguardar los derechos fundamentales, incluidos el derecho a la protección de datos y el derecho a la intimidad;

2.  Resalta la importancia de la cooperación y el comercio transatlánticos;

3.  Subraya la importancia de la seguridad jurídica para los interesados y para los responsables del tratamiento de datos tanto de la Unión como de Estados Unidos;

4.  Celebra los esfuerzos realizados por la Comisión y por el Gobierno estadounidense para lograr mejoras sustanciales en el Escudo de la privacidad en relación con la Decisión sobre puerto seguro;

5.  Acoge con satisfacción los ámbitos en los que se ha mejorado el nivel de protección en el marco del Escudo de la privacidad, por ejemplo el mecanismo para garantizar el control de la lista de dicho Escudo y las revisiones externas e internas del cumplimiento, ahora obligatorias;

6.  Acoge con satisfacción la salvaguarda del artículo 3 del proyecto de Decisión sobre el nivel adecuado de protección, según el cual las autoridades europeas encargadas de la supervisión de la protección de datos pueden suspender las transferencias de datos personales a los responsables del tratamiento de datos participantes en el Escudo de la privacidad en caso de infracción;

7.  Señala que, una vez que se aplique el Reglamento, los responsables de tratamiento de datos de Estados Unidos tendrán que cumplir directamente dicho Reglamento cuando ofrezcan servicios en el mercado de la Unión o vigilen a personas en el territorio de la Unión;

8.  Señala que, pese a determinados esfuerzos de los últimos años, Estados Unidos carece todavía de una ley horizontal y exhaustiva de protección de los datos de los consumidores;

Preocupaciones

9.  Expresa su preocupación por que el mecanismo de recurso para los interesados dentro del Escudo de la privacidad resulte demasiado complejo y difícil de utilizar, lo que hace que resulte ineficaz (queja al responsable de tratamiento; mecanismo alternativo de resolución de litigios; reclamación al Departamento de Comercio o a la Comisión Federal de Comercio de EE. UU. a través de una autoridad europea de supervisión de protección de datos; panel del Escudo de la privacidad, tribunales de EE. UU.); recuerda que, en virtud de la Directiva del Consejo 93/13/CEE de 5 de abril de 1993, está prohibido todo mecanismo de resolución alternativa de litigios en el caso de los contratos celebrados con consumidores;

10.  Señala que la única sanción para un responsable de tratamiento que vulnere los principios del Escudo de la privacidad es su supresión de la lista del Escudo, lo que no puede considerarse esencialmente equivalente a las sanciones administrativas y de otro tipo previstas en la legislación de la Unión sobre protección de datos, especialmente en el Reglamento general de protección de datos;

11.  Señala que ni la Comisión Federal de Comercio ni el Departamento de Comercio de EE. UU. ni las entidades de resolución alternativa de litigios tienen competencias de investigación esencialmente equivalentes a las de las autoridades europeas de supervisión de la protección de datos, algo que el Tribunal de Justicia ha declarado necesario para la supervisión de la protección de datos en virtud del Derecho primario de la Unión;

12.  Observa que el anexo VI (carta de Robert S. Litt, Oficina del Director de la Inteligencia Nacional, ODNI) deja claro que, en virtud de la Directiva de Política Presidencial 28 (en lo sucesivo «la PPD-28»), la recopilación en bloque de comunicaciones y datos personales de ciudadanos no estadounidenses sigue permitida en seis supuestos; señala que esta recopilación en bloque únicamente debe ser «lo más adaptada posible» y «razonable», cosa que no responde a los criterios más estrictos de necesidad y proporcionalidad establecidos en la Carta;

13.  Celebra el nombramiento de un Defensor del Pueblo en el Departamento de Estado de EE. UU. como punto de contacto para las autoridades europeas de supervisión en relación con la vigilancia estatal; constata que el anexo III (carta del Secretario de Estado John F. Kerry) indica que el Defensor del Pueblo no confirmará ni desmentirá que la persona ha sido sometida a vigilancia, ni tampoco confirmará el recurso específico (apartado 4, letra e); manifiesta su inquietud ante el hecho de que el Defensor del Pueblo carezca de las competencias adecuadas y de la necesaria independencia del poder ejecutivo, puesto que depende jerárquicamente del Secretario de Estado;

14.  Acoge con satisfacción la aprobación por parte de EE. UU. de la «USA Freedom Act» en 2015, que ha restringido la vigilancia masiva por parte de las agencias de inteligencia estadounidenses en el interior del país; manifiesta, no obstante, su preocupación por la falta de cambios en la situación jurídica de la vigilancia masiva por agencias de inteligencia estadounidenses fuera de EE. UU. y de la vigilancia de ciudadanos no estadounidenses en este país, situación que se define en el «US Code» (título 50, apartado 1881a (sección 702));

15.  Señala que el estatuto jurídico de los principios de puerto seguro, tal como se definen en el anexo II, y las garantías y los compromisos del Gobierno estadounidense, tal como se definen en los anexos III a V, siguen sin ser claros; manifiesta su preocupación ante el hecho de que un Gobierno estadounidense futuro podría retirar las garantías y los compromisos sin consecuencias para la validez de la decisión sobre el nivel adecuado de protección;

16.  Señala que la Comisión no ha realizado ninguna evaluación de los derechos y del grado de protección de los ciudadanos de la Unión en los casos en que sus datos personales son transferidos por un responsable de tratamiento de datos de EE. UU. cubierto por el Escudo de la privacidad a una autoridad judicial o policial estadounidense;

17.  Expresa su preocupación, visto lo anterior y vistos los dictámenes de las autoridades en materia de protección de datos, representantes del mundo académico y organizaciones de protección de la vida privada y los datos personales, ante la posibilidad de que el mecanismo del Escudo de la privacidad no cumpla los requisitos estipulados en la Carta, la Directiva sobre protección de datos, el Reglamento general de protección de datos o las sentencias pertinentes del Tribunal de Justicia de la Unión y del Tribunal Europeo de Derechos Humanos;

Conclusiones

18.  Manifiesta su inquietud por el hecho de que el acuerdo del Escudo de la privacidad en su formulación actual y la situación jurídica en Estados Unidos no suponen una mejora sustancial suficiente en comparación con el Acuerdo de puerto seguro y no garantizan la legalidad de la decisión sobre el nivel adecuado de protección;

19.  Señala la elevada probabilidad de que el proyecto de Decisión sobre el nivel adecuado de protección, una vez aprobado, sea recurrido una vez más ante los tribunales; destaca que esto genera una situación de inseguridad jurídica tanto para particulares como para empresas; observa que los expertos en protección de datos y las organizaciones empresariales ya aconsejan a las empresas que utilicen otros medios para transferir datos personales a Estados Unidos;

20.  Pide a la Comisión que tenga debidamente en cuenta el dictamen 01/2016 del Grupo de Trabajo del artículo 29 sobre la decisión relativa al nivel adecuado de protección del Escudo de la privacidad UE-EE. UU., y que incorpore completamente sus recomendaciones en el proyecto de texto;

21.  Pide a la Comisión que incluya una cláusula de extinción que limite a dos años la validez de la citada decisión, y que inicie nuevas negociaciones con Estados Unidos relativas a la mejora del marco sobre la base del Reglamento general de protección de datos, a fin de garantizar que el nivel más elevado de protección de la Unión se incorpore plenamente en el nuevo instrumento;

22.  Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión, a los Gobiernos y Parlamentos de los Estados miembros, y al Gobierno y al Congreso de EE. UU.