Processo : 2016/2727(RSP)
Ciclo de vida em sessão
Ciclo relativo ao documento : B8-0644/2016

Textos apresentados :

B8-0644/2016

Debates :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votação :

PV 26/05/2016 - 6.6
Declarações de voto

Textos aprovados :

P8_TA(2016)0233

PROPOSTA DE RESOLUÇÃO
PDF 273kWORD 77k
Ver igualmente a proposta de resolução comum RC-B8-0623/2016
23.5.2016
PE582.665v01-00
 
B8-0644/2016

apresentada na sequência de declarações do Conselho e da Comissão

nos termos do artigo 123.º, n.º 2, do Regimento


sobre a transferência transatlântica de dados (2016/2727(RSP))


Sophia in ‘t Veld em nome do Grupo ALDE

Resolução do Parlamento Europeu sobre a transferência transatlântica de dados (2016/2727(RSP))  
B8-0644/2016

O Parlamento Europeu,

–  Tendo em conta o artigo 16.º do Tratado sobre o Funcionamento da União Europeia (TFUE),

–  Tendo em conta a Carta dos Direitos Fundamentais da União Europeia e a Convenção Europeia dos Direitos do Homem, nomeadamente os artigos 7.º, 8.º, 47.º e 52.º,

–  Tendo em conta a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(1) (a seguir designada «a Diretiva», nomeadamente o artigo 25.º,

–  Tendo em conta o Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (a seguir designado «regulamento geral sobre a proteção de dados»), que entrou em vigor em 24 de maio de 2016 e será aplicável dois anos após essa data,

–  Tendo em conta o acórdão do Tribunal Europeu dos Direitos do Homem, de 4 de dezembro de 2015, no processo Roman Zakharov contra Rússia,

–  Tendo em conta o acórdão do Tribunal Europeu dos Direitos do Homem, de 12 de janeiro de 2016, no processo Zsabó e Vissy contra Hungria,

–  Tendo em conta o acórdão do Tribunal de Justiça da União Europeia, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schremscontra Comissário para a Proteção de Dados,

–  Tendo em conta o projeto de decisão de execução da Comissão, de 29 de fevereiro de 2016, relativa à adequação do nível de proteção assegurado pelo escudo de proteção da privacidade UE-EUA, bem como os seus anexos sob a forma de cartas entre a Administração e a Comissão Federal do Comércio dos Estados Unidos,

–  Tendo em conta a comunicação da Comissão, de 29 de fevereiro de 2016, sobre esta matéria (COM(2016)0117), a comunicação da Comissão, de 27 de novembro de 2013, sobre o funcionamento do sistema «porto seguro» na perspetiva dos cidadãos da UE e das empresas estabelecidas na UE (COM(2013)0847) e a comunicação da Comissão, de 27 de novembro de 2013, intitulada «Restabelecer a confiança nos fluxos de dados entre a UE e os EUA» (COM(2013)0846),

–  Tendo em conta o parecer (WP 238) aprovado em 13 de abril de 2016 pelo grupo de trabalho previsto no artigo 29.º da Diretiva e os pareceres anteriormente emitidos sobre a mesma questão (WP 12, WP 27 e WP 32),

–  Tendo em conta o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão(2), nomeadamente o artigo 5.º, referente ao procedimento de exame,

–  Tendo em conta a sua resolução, de 5 de julho de 2000, sobre o projeto de decisão da Comissão relativa ao nível de proteção assegurado pelos princípios de «porto seguro» e pelas respetivas questões mais frequentes (FAQ) emitidas pelo «Department of Commerce» dos EUA(3),

–  Tendo em conta a sua resolução, de 12 de março de 2014, sobre o programa de vigilância da Agência Nacional de Segurança dos EUA (NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos internos(4) e a sua resolução, de 29 de outubro de 2015, sobre o seguimento da resolução do Parlamento Europeu, de 12 de março de 2014, sobre o programa de vigilância eletrónica em larga escala dos cidadãos da UE(5),

–  Tendo em conta o acordo rubricado entre os Estados Unidos da América e a União Europeia sobre a proteção dos dados pessoais no âmbito da prevenção, investigação, deteção e repressão de infrações penais, cuja assinatura a Comissão propôs ao Conselho,

–  Tendo em conta o parecer legal do seu serviço jurídico sobre o acordo UE-EUA relativo à proteção dos dados pessoais e à cooperação entre as autoridades responsáveis pela aplicação da lei na UE e nos EUA,

–  Tendo em conta o parecer preliminar da Autoridade Europeia para a Proteção de Dados relativo ao acordo entre os Estados Unidos da América e a União Europeia sobre a proteção dos dados pessoais no âmbito da prevenção, investigação, deteção e repressão de infrações penais,

–  Tendo em conta as perguntas apresentadas à Comissão, em 9 de março de 2016, pela Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos sobre o acordo-quadro, bem como as respostas da Comissão,

–  Tendo em conta o artigo 123.º, n.º 2, do seu Regimento,

A.  Considerando que, no seu acórdão de 6 de outubro de 2015, o Tribunal de Justiça anula a decisão da Comissão relativa ao nível de proteção assegurado pelos princípios de «porto seguro» e respetivas questões mais frequentes (FAQ) emitidas pelo «Department of Commerce» dos EUA, destacando em particular que a legislação nacional dos Estados Unidos em matéria de segurança e aplicação da lei não se limita ao estritamente necessário quando autoriza, em geral, o armazenamento e tratamento de todos os dados pessoais dos cidadãos cujos dados são transferidos da UE para os EUA;

B.  Considerando que proteger dados pessoais significa proteger as pessoas a que se referem as informações tratadas e que essa proteção constitui um dos direitos fundamentais reconhecidos pela União (artigo 8.º da Carta dos Direitos Fundamentais e artigo 16.º do TFUE);

C.  Considerando que a Diretiva 95/46/CE, que será substituída pelo regulamento geral sobre a proteção de dados em 2018, estabelece os direitos do titular dos dados, assim como as correspondentes obrigações dos responsáveis pelo tratamento de dados ou pelo controlo desse tratamento;

D.  Considerando que a Comissão deve assegurar, em nome dos cidadãos da União e dos Estados-Membros, que os dados pessoais só possam ser transferidos para países fora da UE e do EEE onde seja garantido um nível de proteção adequado;

E.  Considerando que o conceito de «nível de proteção adequado» deve ser entendido no sentido de que o país terceiro é obrigado a assegurar, em virtude da sua legislação nacional ou dos seus compromissos internacionais, um nível de proteção dos direitos e liberdades fundamentais que seja, no essencial, equivalente ao que é garantido na União Europeia, por força da Diretiva 95/46/CE interpretada à luz da Carta;

F.  Considerando que, ao determinar o nível de proteção oferecido por um país terceiro, a Comissão é obrigada a avaliar o conteúdo das regras aplicáveis nesse país decorrentes da sua legislação interna ou dos seus compromissos internacionais, bem como a prática destinada a assegurar o cumprimento dessas regras, uma vez que deve, nos termos do artigo 25.º, n.º 2, da Diretiva 95/46/CE, ter em conta todas as circunstâncias que envolvem uma transferência de dados pessoais para um país terceiro; Considerando que essa avaliação deve não só referir-se à legislação e às práticas relacionadas com a proteção de dados pessoais para fins comerciais e privados, mas também abranger todos os aspetos do quadro aplicável a esse país ou setor, em especial, mas não só, a aplicação da lei, a segurança nacional e o respeito dos direitos fundamentais;

G.  Considerando que o grupo de proteção de dados do artigo 29.º (WP 29) avaliou as consequências do acórdão Schrems para todas as transferências de dados para os Estados Unidos, através de um inventário e de uma análise da jurisprudência do TJUE relacionada com os artigos 7.º, 8.º e 47.º da Carta dos Direitos Fundamentais da União Europeia (a seguir designada «a Carta») e da jurisprudência do Tribunal Europeu dos Direitos do Homem (a seguir designado TEDH) relacionada com o artigo 8.º da Convenção Europeia dos Direitos do Homem (a seguir designada CEDH) sobre questões de vigilância nos Estados parte na CEDH; considerando que, em consequência, o WP 29 identificou quatro «garantias essenciais europeias», nomeadamente que o tratamento deve basear-se em regras claras, precisas e acessíveis; devem ser demonstradas necessidade e proporcionalidade em relação aos objetivos legítimos prosseguidos; deve existir um mecanismo de controlo independente; e devem ser disponibilizadas ao indivíduo vias de recurso efetivas;

H.  Considerando que os fluxos transfronteiriços de dados entre os EUA e a Europa são os mais elevados do mundo – 50 % superiores aos fluxos de dados entre os EUA e a Ásia e quase o dobro dos fluxos de dados entre os EUA e a América Latina – e que a transferência e o intercâmbio de dados pessoais constitui um elemento essencial para as ligações estreitas entre a União Europeia (UE) e os Estados Unidos (EUA), tanto no domínio comercial como no setor de aplicação da lei;

I.  Considerando que uma dimensão importante das relações transatlânticas é a capacidade de a UE, os Estados-Membros e os EUA responderem eficazmente às ameaças e desafios comuns no domínio da segurança, de forma cooperante e coordenada, com base, nomeadamente, na capacidade de proceder ao intercâmbio de dados pessoais no quadro da cooperação policial e judiciária em matéria penal, sendo assim necessário um quadro abrangente e juridicamente conforme, a fim de assegurar a legalidade de tal transferência;

J.  Considerando que, no verão de 2015, a UE e os EUA concluíram as suas negociações sobre um acordo internacional em matéria de proteção de dados no domínio da aplicação da lei, o «acordo-quadro» UE-EUA relativo à proteção de dados, rubricado em 8 de setembro de 2015, no Luxemburgo, e considerando que a Lei sobre o Recurso Judicial dos EUA, que prevê a igualdade de tratamento entre os cidadãos da UE e os cidadãos dos EUA, ao abrigo da Lei da Privacidade de 1974 dos EUA, foi aprovada pelo Congresso em 10 de fevereiro de 2016 e promulgada em 24 de fevereiro de 2016;

1.  Congratula-se com os esforços envidados pela Comissão e a Administração dos EUA no sentido de conseguir melhorias substanciais no escudo de proteção da privacidade em relação à Decisão «porto seguro», nomeadamente a inclusão de definições fundamentais, como «dados pessoais», «tratamento» e «responsável pelo tratamento», os mecanismos criados para assegurar a supervisão da lista do «escudo de proteção» e a atual obrigatoriedade de verificações de conformidade externas ou internas;

2.  Reconhece os esforços envidados pela Administração dos EUA para proporcionar uma melhor compreensão do quadro jurídico no que diz respeito à interferência com dados pessoais transferidos ao abrigo do escudo de proteção da privacidade entre a UE e os EUA para efeitos de aplicação da lei, incluindo as limitações e salvaguardas aplicáveis;

3.  Regista com satisfação que, de acordo com o artigo 3.º do projeto de decisão de execução da Comissão, as autoridades de controlo da proteção de dados da UE continuam a poder suspender as transferências de dados pessoais para os responsáveis pelo tratamento de dados abrangidos pelo acordo relativo ao escudo de proteção da privacidade; observa que esta disposição é consentânea com o artigo 4.º da Decisão 2001/497/CE da Comissão relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros;

4.  Reconhece e saúda os progressos realizados no sentido de um maior acesso a vias de recurso judicial para os cidadãos da UE nos EUA, com a adoção pelo Congresso dos EUA da Lei sobre o Recurso Judicial dos EUA, promulgada em 24 de fevereiro de 2016;

Assegurar um instrumento legal e sustentável para os fluxos de dados transatlânticos

5.  Insiste em que a segurança jurídica para a transferência de dados pessoais entre a UE e os EUA constitui um elemento essencial para a confiança dos consumidores, o desenvolvimento empresarial transatlântico e a cooperação em matéria de aplicação da lei, pelo que é imperativo para a sua eficácia e aplicação a longo prazo que os instrumentos que permitem essa transferência respeitem tanto o direito primário como o direito secundário da UE;

6.  Insiste em que o acordo relativo ao escudo de proteção da privacidade deve ser conforme com o direito primário e secundário da UE, bem como com os acórdãos relevantes do Tribunal de Justiça e do Tribunal Europeu dos Direitos do Homem; exorta a Comissão a adaptar o acordo e o seu projeto de decisão em conformidade;

7.  Insta a Comissão a procurar esclarecer totalmente o estatuto jurídico das «garantias escritas» prestadas pelos EUA;

Considerações respeitantes ao setor privado

8.  Insiste em que os princípios do escudo de proteção da privacidade (anexo II) preveem um conjunto de princípios essencialmente equivalentes, nomeadamente o princípio da minimização dos dados, permitindo o tratamento de dados pessoais apenas para fins compatíveis com a finalidade para a qual os dados foram recolhidos; entende que seria preocupante se determinados tratamentos de dados pessoais fossem autorizados sem a necessidade de consentimento da pessoa em causa ou o seu pleno direito de oposição;

9.  Recorda que a adoção de uma decisão a favor da adequação da proteção confere aos responsáveis pelo tratamento de dados do país terceiro em causa um acesso privilegiado ao mercado da UE; receia que, se os requisitos dos princípios do escudo de proteção da privacidade se revelarem inferiores aos previstos pela legislação da UE sobre proteção de dados, os responsáveis pelo tratamento e os seus subcontratantes sediados nos Estados Unidos possam ter uma vantagem competitiva sobre os estabelecidos na União;

Vigilância do governo, acesso das autoridades de aplicação da lei aos dados e derrogação em matéria de segurança nacional

10.  Recorda que, para demonstrar a existência de uma interferência no direito fundamental ao respeito da vida privada, pouco importa que as informações em questão relativas à vida privada sejam sensíveis ou que as pessoas em causa tenham sofrido consequências negativas devido a essa interferência (acórdão Digital Rights Ireland e o., C-293/12 e C-594/12, EU:C:2014:238, n.º 33);

11.  Acentua, neste contexto, que o anexo VI (carta de Robert S. Litt, ODNI) clarifica que, de acordo com a diretiva política presidencial (a seguir designada «PPD-28»), a utilização de dados pessoais e comunicações de cidadãos não americanos recolhidos por grosso continua a ser permitida em seis casos; sublinha que, embora imponha novas regras que restringem a utilização e a divulgação de dados pessoais e comunicações de cidadãos não americanos, a PPD-28 não limita a sua recolha por grosso; observa que «recolha por grosso», no entendimento da Administração dos EUA, não inclui a vigilância em larga escala e o acesso a dados pessoais ou comunicações, mas apenas o armazenamento maciço desses dados ou comunicações, contradizendo assim potencialmente o acórdão Schrems do Tribunal de Justiça, que estabelece que a legislação que permite o «acesso numa base generalizada ao conteúdo das comunicações eletrónicas deve ser considerada como comprometendo a essência do direito fundamental ao respeito pela vida privada»;

12.  Lamenta que a exceção geral referente à segurança nacional prevista no anexo II, ponto 5, dos princípios do escudo de proteção da privacidade seja uma transcrição exata do texto dos princípios de «porto seguro», não estabelecendo novas restrições;

13.  Salienta que a Comissão não realizou qualquer avaliação referente aos direitos e proteções dos cidadãos da UE quando os seus dados pessoais são transferidos por um responsável pelo tratamento de dados dos EUA abrangido pelo escudo de proteção da privacidade para uma autoridade de aplicação da lei do seu país; sublinha que o anexo VII (carta de Bruce C. Swartz, Ministério da Justiça) sobre o acesso das autoridades de aplicação da lei aos dados apenas se refere ao acesso aos dados armazenados por empresas, não abordando os direitos do titular dos dados e o direito de recurso judicial da pessoa cujos dados foram consultados;

Mecanismos de recurso

14.  Manifesta a sua preocupação quanto à complexidade e falta de clareza da arquitetura global do mecanismo para o exercício dos direitos de recurso dos cidadãos da UE, que podem ter um impacto negativo sobre a sua aplicação efetiva;

15.  Congratula-se com a criação, por parte das autoridades dos EUA, de um Provedor de Justiça que será um novo mecanismo de recurso, mas considera que esta nova instituição não é suficientemente independente e não está investida de poderes adequados para exercer e executar eficazmente a sua missão, não garantindo assim um recurso satisfatório em caso de desacordo; lamenta que não seja concedido qualquer recurso judicial aos titulares de dados da UE contra uma decisão do Provedor de Justiça, contrariando as disposições do TEDH;

Recomendações

16.  Insta a Comissão a ter em devida conta e a responder às considerações tecidas na presente resolução, bem como no Parecer 01/2016 do Grupo de Trabalho do Artigo 29.º para a proteção de dados sobre o projeto de decisão de adequação do Escudo de Privacidade UE-EUA, antes de adotar a sua própria decisão de adequação, em especial no que se refere às seguintes quatro garantias essenciais: o tratamento deve basear-se em regras claras, precisas e acessíveis; devem ser demonstradas necessidade e proporcionalidade em relação aos objetivos legítimos prosseguidos; deve existir um mecanismo de controlo independente; e devem ser disponibilizadas ao indivíduo vias de recurso efetivas;

17.  Solicita, em particular, que a Comissão aborde as preocupações expressas pelo Grupo de Trabalho do Artigo 29.º no seu parecer sobre esta matéria, nomeadamente que a língua utilizada no projeto de decisão de adequação não obriga as organizações a apagar os dados se estes deixarem de ser necessários, que a Administração dos EUA não exclui totalmente a recolha continuada, maciça e indiscriminada de dados, mesmo que essa recolha constitua uma interferência injustificada em relação aos direitos fundamentais dos indivíduos, e que os poderes e a posição do Provedor de Justiça devem ser clarificados, a fim de demonstrar que o seu papel é verdadeiramente independente e pode oferecer um recurso efetivo para o tratamento de dados não conforme com as normas;

18.  Insta a Comissão a aplicar apenas temporariamente a decisão de adequação, enquanto se aguarda o resultado das novas negociações com os Estados Unidos sobre um quadro melhorado com base no regulamento geral sobre a proteção de dados;

19.  Exorta a Comissão a assegurar que os titulares de dados da UE beneficiem de vias de recurso administrativas e judiciais efetivas quando os seus dados pessoais, transferidos no âmbito do escudo de proteção da privacidade, forem consultados e tratados pelas autoridades dos EUA responsáveis pela aplicação da lei para efeitos de aplicação desta última, a fim de garantir a conformidade com a Carta;

20.  Solicita à Comissão que aborde as preocupações manifestadas, uma vez que, caso contrário, poderá exceder os seus poderes de execução ao decidir que o acordo relativo ao escudo de proteção da privacidade prevê um nível de proteção adequado nos EUA, sem efetuar uma avaliação completa do sistema norte-americano;

21.  Encarrega o seu Presidente de transmitir a presente resolução ao Conselho, à Comissão, aos governos e aos parlamentos dos Estados-Membros e ao governo e ao Congresso dos EUA.

 

(1)

JO L 281 de 23.11.1995, p. 31.

(2)

JO L 55 de 28.2.2011, p. 13.

(3)

JO C 121 de 24.4.2001, p. 152.

(4)

Textos aprovados, P7_TA(2014)0230.

(5)

Textos aprovados, P8_TA(2015)0388.

Aviso legal - Política de privacidade