Processo : 2016/2727(RSP)
Ciclo de vida em sessão
Ciclo relativo ao documento : B8-0642/2016

Textos apresentados :

B8-0642/2016

Debates :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votação :

PV 26/05/2016 - 6.6
Declarações de voto

Textos aprovados :


PROPOSTA DE RESOLUÇÃO
PDF 192kWORD 80k
23.5.2016
PE582.663v01-00
 
B8-0642/2016

apresentada na sequência de declarações do Conselho e da Comissão

nos termos do artigo 123.º, n.º 2, do Regimento


sobre a transferência transatlântica de dados (2016/2727(RSP))


Cornelia Ernst, Marina Albiol Guzmán, Barbara Spinelli, Javier Couso Permuy, Luke Ming Flanagan, Tania González Peñas, Miguel Urbán Crespo, Lola Sánchez Caldentey, Xabier Benito Ziluaga, Estefanía Torres Martínez, Stelios Kouloglou, Kostas Chrysogonos, Dimitrios Papadimoulis, Marisa Matias, Eleonora Forenza, Patrick Le Hyaric, em nome do Grupo GUE/NGL

Resolução do Parlamento Europeu sobre a transferência transatlântica de dados (2016/2727(RSP))  
B8-0642/2016

O Parlamento Europeu,

–  Tendo em conta a Diretiva 95/46/CE do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (a seguir designada «a Diretiva»(1), nomeadamente o artigo 25.º,

–  Tendo em conta o Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE(2) (a seguir designado «Regulamento Geral sobre a Proteção de Dados»), que entrou em vigor em 24 de maio de 2016 e será aplicável dois anos após essa data,

–  Tendo em conta a Carta dos Direitos Fundamentais da União Europeia e a Convenção Europeia dos Direitos do Homem,

–  Tendo em conta o acórdão do Tribunal de Justiça da União Europeia, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems/Comissário para a Proteção de Dados,

–  Tendo em conta o projeto de decisão de execução da Comissão, de 29 de fevereiro de 2016, relativa à adequação do nível de proteção assegurado pelo escudo de proteção da privacidade UE-EUA, bem como os seus anexos sob a forma de cartas da Administração e da Comissão Federal do Comércio dos Estados Unidos,

–  Tendo em conta a comunicação da Comissão, de 29 de fevereiro de 2016, sobre esta matéria (COM(2016)0117), a comunicação da Comissão, de 27 de novembro de 2013, sobre o funcionamento do sistema «porto seguro» na perspetiva dos cidadãos da UE e das empresas estabelecidas na UE (COM(2013)0847) e a comunicação da Comissão, de 27 de novembro de 2013, intitulada «Restabelecer a confiança nos fluxos de dados entre a UE e os EUA» (COM(2013)0846),

–  Tendo em conta o parecer (WP 238) sobre esta matéria, aprovado em 13 de abril de 2016 pelo grupo de trabalho instituído nos termos do artigo 29.º da diretiva e os pareceres anteriormente emitidos sobre a mesma questão (WP 12, WP 27 e WP32),

–  Tendo em conta o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão(3), nomeadamente o artigo 5.º, referente ao procedimento de exame,

–  Tendo em conta a sua Resolução, de 5 de julho de 2000, sobre o projeto de decisão da Comissão relativa ao nível de proteção assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais frequentes (FAQ) emitidas pelo Department of Commerce dos EUA(4),

–  Tendo em conta a sua Resolução, de 12 de março de 2014, sobre o programa de vigilância da Agência Nacional de Segurança dos EUA (NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos internos(5)e a Resolução, de 29 de outubro de 2015, sobre o seguimento da Resolução do Parlamento Europeu, de 12 de março de 2014, sobre o programa de vigilância eletrónica em larga escala dos cidadãos da UE(6),

–  Tendo em conta o artigo 123.º, n.º 2, do seu Regimento,

A.  Considerando que o desenvolvimento da sociedade de informação e do comércio eletrónico, bem como das capacidades de interceção por agências de informação, conduziu, mundialmente, a um aumento exponencial da circulação de dados e comunicações eletrónicas, assim como dos riscos relacionados com a utilização abusiva desses dados e a interceção dessas comunicações;

B.  Considerando que tais abusos não só entravam o desenvolvimento do comércio eletrónico pelo facto de minarem a confiança dos consumidores, como também constituem frequentemente uma violação dos direitos e liberdades das pessoas e, em particular, uma violação do direito à vida privada;

C.  Considerando que existe uma tendência global para as autoridades responsáveis pela aplicação do Direito público tratarem enormes quantidades de dados pessoais detidos por entidades privadas, criando um fronteira pouco nítida entre a aplicação da lei e os operadores comerciais, o que suscita graves preocupações sobre o princípio básico crucial da limitação da finalidade;

D.  Considerando que proteger os dados significa proteger as pessoas a que se referem as informações tratadas e que essa proteção constitui um dos direitos fundamentais reconhecidos pela União (artigo 8.º da Carta dos Direitos Fundamentais e artigo 16.º do TFUE);

E.  Considerando que a Diretiva 95/46/CE («Diretiva sobre a Proteção de Dados»), que será substituída em 2018 pelo Regulamento Geral sobre a Proteção de Dados, estabelece os direitos do titular dos dados, assim como as correspondentes obrigações dos responsáveis pelo tratamento de dados pessoais ou pelo controlo desse tratamento, incluindo quando os dados pessoais são transferidos para fora da União;

F.  Considerando que a adequação do nível de proteção dos dados pessoais em países terceiros deve ser avaliada através de um controlo rígido de todo o corpo legislativo, que, no seu conjunto, tem de fornecer um nível de proteção dos dados pessoais equivalente ao da União Europeia;

G.  Considerando que a legislação da UE em matéria de proteção de dados confere à Comissão o dever de assegurar, em nome dos cidadãos da União e dos seus Estados-Membros, que exista um nível de proteção adequado nos países terceiros;

H.  Considerando que, no seu acórdão de 6 de outubro de 2015, o Tribunal de Justiça da União Europeia anulou a decisão da Comissão relativa ao nível de proteção assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais frequentes (FAQ) emitidas pelo Department of Commerce dos EUA;

I.  Considerando que o Tribunal de Justiça esclareceu nesse acórdão que se deve entender por nível adequado de proteção num país terceiro um nível de proteção «substancialmente equivalente» ao garantido na União;

Introdução

1.  Manifesta o seu firme compromisso para com os direitos humanos relativos à privacidade e à proteção dos dados pessoais;

2.  Adverte contra a tendência crescente para uma cultura em que os intervenientes públicos e privados desrespeitam terminantemente o direito à proteção dos dados e criam modelos empresariais e de aplicação da lei que violam este direito fundamental, fulcral em qualquer sociedade democrática;

3.  Salienta que é perfeitamente possível realizar atividades comerciais, a nível internacional, no âmbito do quadro de proteção de dados da UE, o qual proporciona um elevado nível de proteção dos dados pessoais, como consagrado na Carta dos Direitos Fundamentais da UE;

4.  Rejeita, por conseguinte, a falsa dicotomia segundo a qual, no contexto dos direitos fundamentais, os elevados níveis de proteção da privacidade e dos dados pessoais, de alguma forma, prejudicam a transmissão livre de dados pessoais entre a Europa e os EUA;

5.  Insiste, pelo contrário, que os cidadãos em todo o mundo procuram cada vez mais as empresas que consagram o princípio da privacidade como norma nos seus produtos, o que indicia uma compreensão por parte dos cidadãos (como consumidores) e das empresas de que a privacidade é um elemento essencial da sua vida quotidiana;

6.  Chama a atenção para a evolução nos EUA onde as empresas privadas estão cada vez mais a defender-se em relação a forças intrusivas do Estado, que procuram ativamente comprometer as suas políticas de privacidade como norma e por defeito nos seus produtos e serviços;

Setor privado

7.  Sublinha que o principal problema com o acordo «porto seguro» consistiu no processo absurdo de «autocertificação», pelo qual as empresas eram encarregadas de autocertificar que asseguravam os princípios fundamentais em matéria de proteção de dados pessoais, conjugado com uma total falta de capacidade de execução pela Federal Trade Commission (FTC);

8.  Salienta que, no domínio dos direitos fundamentais, a mera autorregulação não pode garantir o equilíbrio de controlos e garantias necessário para tornar efetivo o direito fundamental;

9.  Manifesta preocupação pelo facto de o acordo relativo ao escudo de proteção, recentemente negociado, não vir a cumprir os requisitos da Carta dos Direitos Fundamentais, da Diretiva sobre a Proteção de Dados, do Regulamento Geral sobre a Proteção de Dados, ou dos acórdãos pertinentes do Tribunal de Justiça e do Tribunal Europeu dos Direitos do Homem;

10.  Observa que os princípios do escudo de proteção da privacidade (anexo II) não preveem um conjunto de princípios essencialmente equivalentes, uma vez que não exigem o consentimento do titular dos dados, não incluem o princípio da minimização dos dados e permitem o tratamento de dados pessoais para fins incompatíveis com os que determinaram a sua recolha, não cumprindo assim os princípios fulcrais da legislação da UE em matéria de proteção de dados;

11.  Salienta que os princípios do escudo de proteção da privacidade concedem autorização geral para todo o tipo de tratamento de dados pessoais sem exigir o consentimento do titular dos dados ou prever um pleno direito de formular objeções; manifesta apreensão pelo facto de mesmo as cláusulas de não participação previstas («aviso e escolha») só serem aplicáveis em caso de alteração substancial da finalidade e de divulgação a terceiros; está preocupado com o facto de, inclusive em caso de dados sensíveis, o consentimento do titular dos dados só ser exigido nessas duas situações;

12.  Salienta que a disposição complementar 2a não é consentânea com o acórdão do Tribunal de Justiça, de 13 de maio de 2014, no processo Google Spain/Costeja, (C-131/12) e com o direito ao apagamento de dados («direito a ser esquecido») previsto na legislação da UE sobre proteção de dados;

13.  Manifesta apreensão pelo facto de a execução ao abrigo dos princípios do escudo de proteção da privacidade ser extremamente exigente, dado que um titular de dados teria de cumprir cinco etapas consecutivas (queixa ao responsável pelo tratamento, resolução alternativa de litígios, queixa dirigida ao Department of Commerce ou à FTC através de uma autoridade europeia de controlo da proteção de dados, Comité do Escudo de Proteção da Privacidade, tribunal dos EUA); recorda que, de acordo com a Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, é proibida a resolução alternativa de litígios no caso dos contratos celebrados com os consumidores;

14.  Salienta que a única sanção por violação dos princípios do escudo de proteção da privacidade aplicável a um responsável pelo tratamento é a sua exclusão da lista do escudo de proteção da privacidade; considera que esta sanção não é substancialmente equivalente às sanções administrativas e a outras sanções previstas na legislação da UE sobre proteção de dados, nomeadamente no Regulamento Geral sobre a Proteção de Dados;

15.  Salienta que nem a FTC, nem o Department of Commerce ou as entidades de resolução alternativa de litígios possuem poderes de investigação comparáveis aos das autoridades europeias de supervisão; recorda que o Tribunal de Justiça declarou que a existência de efetivos poderes de supervisão é essencial para o controlo da proteção de dados ao abrigo do direito primário da UE;

16.  Insta a que o escudo de proteção da privacidade simplifique e racionalize o processo de aplicação, a fim de garantir a equivalência da aplicação, e permita a participação processual direta das autoridades nacionais de proteção de dados em nome do titular dos dados afetado;

17.  Recorda que uma decisão a favor da adequação da proteção confere aos responsáveis pelo tratamento de dados do país terceiro em causa um acesso privilegiado ao mercado da UE; manifesta preocupação pelo facto de o menor nível de exigência dos princípios do escudo de proteção da privacidade comparativamente à legislação de proteção de dados da UE dar aos responsáveis pelo tratamento e subcontratantes estabelecidos nos EUA uma vantagem competitiva sobre aqueles estabelecidos na UE;

18.  Lamenta que os Estados Unidos ainda não disponham de uma lei abrangente em matéria de proteção de dados do consumidor, apesar de terem sido envidados alguns esforços nos últimos anos;

Vigilância do governo

19.  Manifesta profunda preocupação pela possibilidade de acesso por parte das autoridades públicas aos dados transferidos no âmbito do escudo de proteção da privacidade, que não faculta elementos suficientes para excluir a recolha em larga escala e indiscriminada de dados pessoais provenientes da UE; recorda que este elemento foi fulcral no acórdão do Tribunal de Justiça no processo C-362/14 (Maximillian Schrems / Comissário para a Proteção de Dados), em que o Tribunal declarou inválida a Decisão «porto seguro» por esta não proteger o queixoso em relação aos poderes de vigilância intrusiva das autoridades dos EUA, conforme mostraram as revelações de Edward Snowden;

20.  Observa que o anexo VI (carta de Robert S. Litt, Office of the Director of National Intelligence (ODNI)) clarifica que, de acordo com a Presidential Policy Directive 28 (PPD-28), a recolha em larga escala de comunicações e de dados pessoais de cidadãos não americanos continua a ser permitida em seis casos; salienta que essa recolha em larga escala apenas tem de ser «tão orientada quanto possível» e «razoável», o que não satisfaz os critérios de necessidade e proporcionalidade mais rigorosos exigidos ao abrigo da Carta; assinala que, no ano passado, o Tribunal Europeu dos Direitos do Homem considerou que, para assegurar a devida aplicação do teste de necessidade e proporcionalidade, uma autorização de interceção deve identificar claramente a pessoa específica a colocar sob vigilância ou o conjunto único de instalações visado pela autorização solicitada e que a referida identificação pode ser efetuada através de nomes, endereços, números de telefone ou outras informações pertinentes (RomanZakharov/Rússia (2015), 47143/06 , 4 de dezembro de 2015, ponto 264); sublinha que, no ano passado, o TEDH precisou igualmente que o teste de necessidade implica que a ingerência seja estritamente necessária à obtenção de informações indispensáveis no âmbito de uma operação específica (Szabó e Vissy/Hungria, 37138/14, 12 de janeiro de 2016, ponto 73);

21.  Observa que o anexo VI clarifica igualmente que as comunicações e os dados pessoais podem ser conservados durante cinco anos, ou mesmo por períodos mais longos, se isso for considerado do interesse da segurança nacional dos Estados Unidos; receia que esta disposição viole o acórdão do Tribunal de Justiça da União Europeia, de 2014, sobre a conservação de dados (processos apensos C-293/12 e C-594/12);

22.  Observa que a PPD-28 impõe novas regras que restringem a utilização e a divulgação de comunicações e dados pessoais de cidadãos não americanos, mas não limita a sua recolha em larga escala; observa também que PPD-28 clarifica na nota de rodapé n.º 5 que a recolha em larga escala, na ótica da administração dos EUA, não inclui a vigilância em larga escala de comunicações ou dados pessoais e o acesso aos mesmos, mas apenas o armazenamento em massa desses dados ou comunicações; receia que esta prática viole o acórdão do Tribunal de Justiça no processo Schrems, segundo o qual uma legislação «que permita às autoridades públicas aceder de modo generalizado ao conteúdo das comunicações eletrónicas deve ser considerada lesiva do conteúdo essencial do direito fundamental ao respeito da vida privada»;

23.  Observa que a exceção geral referente à segurança nacional prevista no anexo II, ponto 5, dos princípios do escudo de proteção da privacidade é uma transcrição exata do texto dos princípios de «porto seguro», e não é sujeita a outras restrições;

24.  Regista a nomeação de um Provedor de Justiça no Departamento de Estado dos EUA como ponto de contacto para as autoridades de supervisão da UE no que diz respeito à vigilância do governo; salienta que, nos termos do artigo 47.º da Carta, tem contudo de ser assegurada a possibilidade de recurso pelo titular dos dados; observa que o anexo III (carta do Secretário de Estado John F. Kerry) estabelece que o Provedor de Justiça não confirmará ou negará se a pessoa foi alvo de vigilância, e não confirmará a aplicação de uma medida de correção específica (n.º 4, alínea e)); observa ainda que o Provedor de Justiça carece da necessária independência em relação ao poder executivo, dado que depende do Secretário de Estado;

25.  Observa que, desde a anulação da decisão «porto seguro», os EUA não tomaram quaisquer medidas para reduzir os programas de vigilância referidos pelo Tribunal de Justiça, tendo, pelo contrário, adotado em 2015 a lei sobre a partilha de informações de cibersegurança («Cybersecurity Information Sharing Act») e estando atualmente a ultimar as alterações ao artigo 41.º da regulamentação federal de processo penal, o que irá comprometer ainda mais a privacidade dos cidadãos não americanos;

26.  Observa que, não obstante estas medidas, os EUA continuam a ser o único país que tomou providências para proteger os direitos fundamentais na sequência das revelações sobre as operações globais de vigilância, tendo adotado, em 2015, o «USA Freedom Act», que restringiu a vigilância em larga escala das agências de informação norte-americanas dentro dos Estados Unidos; está, no entanto, preocupado com o facto de a situação jurídica da vigilância em larga escala por agências de informação norte-americanas fora dos EUA e sobre cidadãos não americanos no interior do seu território, prevista no Código dos EUA (título 50, parágrafo 1881-A («Secção 702»)), não ter sido alterada; considera que os EUA devem aprovar legislação que corrija esta situação;

27.  Salienta que vários Estados-Membros da UE, incluindo a França e o Reino Unido, estão a ponderar adotar ou já adotaram legislação que aumenta significativamente os seus poderes e capacidades de vigilância, mas que não cumpre o disposto nos artigos 7.º e 8.º da Carta dos Direitos Fundamentais ou a jurisprudência do Tribunal de Justiça e do Tribunal Europeu dos Direitos do Homem; insta a Comissão a instaurar processos por infração contra esses Estados-Membros;

Outros assuntos

28.  Salienta que a Comissão não realizou qualquer avaliação referente aos direitos e proteções dos cidadãos da UE quando os seus dados pessoais são transferidos por um responsável pelo tratamento de dados dos EUA abrangido pelo escudo de proteção da privacidade a uma autoridade de aplicação da lei do seu país; sublinha que o anexo VII (carta de Bruce C. Swartz, Department of Justice) sobre o acesso das autoridades de aplicação da lei aos dados apenas se refere ao acesso aos dados armazenados por empresas, não abordando os direitos do titular dos dados e o direito de recurso judicial da pessoa cujos dados foram consultados;

29.  Congratula-se com o facto de, de acordo com artigo 3.º do projeto de decisão de execução da Comissão, as autoridades de controlo da proteção de dados da UE continuarem a poder suspender as transferências de dados pessoais para os responsáveis pelo tratamento de dados abrangidos pelo acordo relativo ao escudo de proteção da privacidade; salienta que esta disposição é consentânea com o artigo 4.º da Decisão 2001/497/CE da Comissão relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros;

30.  Destaca o princípio da aplicação da legislação vigente no local em que se verifica o exercício da atividade, introduzido no Regulamento Geral sobre a Proteção de Dados; salienta que, assim que o regulamento for aplicável, muitos dos responsáveis pelo tratamento dos dados dos EUA que tenham recorrido ao acordo «porto seguro» e possam beneficiar do acordo relativo ao escudo de proteção da privacidade terão de cumprir diretamente o regulamento quando oferecerem serviços no mercado da UE ou monitorizarem pessoas que se encontrem na União, incluindo o regime de execução previsto no regulamento;

Conclusões

31.  Conclui que o acordo relativo ao escudo de proteção da privacidade e a situação nos Estados Unidos não apresentam melhorias substanciais suficientes em relação ao acordo «porto seguro»;

32.  Salienta que é altamente provável que, uma vez adotado, o projeto de decisão sobre o nível adequado de proteção seja novamente contestado em tribunal; destaca que esta possibilidade cria uma situação de incerteza jurídica para os cidadãos e as empresas; observa que vários peritos em matéria de proteção de dados e associações empresariais estão já a aconselhar as empresas a utilizar outros meios para transferir dados pessoais para os EUA;

33.  Receia que a Comissão possa exceder os seus poderes de execução se decidir que o acordo relativo ao escudo de proteção da privacidade prevê um nível de proteção adequado nos EUA, sem efetuar uma avaliação completa do sistema norte-americano e sem ter em conta as questões levantadas na presente resolução;

34.  Insta a Comissão a incluir uma cláusula de caducidade de dois anos para a validade da decisão sobre o nível adequado de proteção, bem como a encetar novas negociações com os Estados Unidos visando a melhoria do enquadramento, com base no Regulamento Geral sobre a Proteção de Dados;

35.  Encarrega o seu Presidente de transmitir a presente resolução ao Conselho, à Comissão, aos governos e aos parlamentos dos Estados-Membros, e ao Governo e ao Congresso dos EUA.

 

(1)

JO L 281 de 23.11.1995, p. 31.

(2)

JO L 119 de 4.5.2016, p. 1.

(3)

JO L 55 de 28.2.2011, p. 13.

(4)

JO C 121 de 24.4.2001, p. 152.

(5)

Textos Aprovados, P7_TA(2014)0230.

(6)

Textos Aprovados, P8_TA(2015)0388.

Aviso legal - Política de privacidade