Propuesta de resolución - B8-0235/2017Propuesta de resolución
B8-0235/2017

PROPUESTA DE RESOLUCIÓN sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.

29.3.2017 - (2016/3018(RSP))

tras una declaración de la Comisión
presentada de conformidad con el artículo 123, apartado 2, del Reglamento

Claude Moraes en nombre de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior


Procedimiento : 2016/3018(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento :  
B8-0235/2017

B8-0235/2017

Resolución del Parlamento Europeo sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.

(2016/3018(RSP))

El Parlamento Europeo,

–  Vistos el Tratado de la Unión Europea (TUE), el Tratado de Funcionamiento de la Unión Europea (TFUE) y los artículos 6, 7, 8, 11, 16, 47 y 52 de la Carta de los Derechos Fundamentales de la Unión Europea,

–  Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, «la Directiva sobre protección de datos»)[1],

–  Vista la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal[2],

–  Vistos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)[3], y la Directiva 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo[4],

–  Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, en el asunto C-362/14 Maximilian Schrems / Data Protection Commissioner[5],

–  Vista la Comunicación de la Comisión al Parlamento Europeo y al Consejo, de 6 de noviembre de 2015, sobre la transferencia de datos personales de la UE a los Estados Unidos de América con arreglo a la Directiva 95/46/CE de forma consiguiente a la sentencia del Tribunal de Justicia en el asunto C-362/14 (Schrems) (COM(2015)0566),

–  Vista la Comunicación de la Comisión al Parlamento Europeo y el Consejo, de 10 de enero de 2017, sobre el intercambio y la protección de los datos personales en un mundo globalizado (COM(2017)0007),

–  Vista la sentencia del Tribunal de Justicia, de 21 de diciembre de 2016, en los asuntos C-203/15, Tele2 Sverige AB contra Post- och telestyrelsen, y C-698/15, Secretary of State for the Home Department contra Tom Watson y otros[6],

–  Vista la Decisión de Ejecución de la Comisión (UE) n.º 2016/1250 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.[7],

–  Visto el dictamen 4/2016 del Supervisor Europeo de Protección de Datos sobre el proyecto de decisión relativo a la adecuación del escudo protector de la intimidad entre la UE y los EE. UU.[8],

–  Visto el dictamen del Grupo de Trabajo del artículo 29 de 13 de abril de 2016 el proyecto de decisión de adecuación sobre el Escudo de la privacidad UE-EE. UU.[9] y su declaración de 26 de julio de 2016[10],

–  Vista su Resolución, de 26 de mayo de 2016, sobre los flujos transatlánticos de datos[11],

–  Visto el artículo 123, apartado 2, de su Reglamento,

A.  Considerando que el Tribunal de Justicia de la Unión Europea, en su sentencia de 6 de octubre de 2015, en el asunto C-362/14 Maximilian Schrems/Data Protection Commissioner invalidó la Decisión de puerto seguro y aclaró que el nivel de protección adecuado debe entenderse en el sentido de que exige que un tercer país garantice un nivel de protección equivalente al garantizado en la Unión por la Directiva 95/46/CE, entendida a la luz de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «la Carta»), lo que plantea la necesidad de concluir las negociaciones sobre un nuevo acuerdo con el fin de garantizar la seguridad jurídica sobre la manera en que deberían transferirse los datos personales de la Unión a los EE. UU.;

B.  Considerando que, al examinar el nivel de protección que ofrece un tercer país, la Comisión está obligada a evaluar el contenido de las normas aplicables en ese país derivadas de su legislación nacional o de sus compromisos internacionales, así como las prácticas destinadas a garantizar el cumplimiento de dichas normas, dado que, con arreglo al artículo 25, apartado 2, de la Directiva 95/46, debe tener en cuenta todas las circunstancias que concurran en una transferencia de datos personales a un tercer país; que esa evaluación no solo debe referirse a la legislación y las prácticas relacionadas con la protección de datos personales con fines comerciales y privados, sino que también debe contemplar todos los aspectos del marco aplicable a ese país o sector, y en particular el cumplimiento de la ley, la seguridad nacional y el respeto de los derechos fundamentales, pero sin limitarse a estos;

C.  Considerando que la transferencia de datos personales entre organizaciones comerciales de la Unión y los Estados Unidos constituye un elemento importante de las relaciones transatlánticas; que estas transferencias deben realizarse en el pleno respeto del derecho a la protección de los datos personales y el derecho a la privacidad; que uno de los objetivos fundamentales de la Unión es la protección de los derechos fundamentales consagrados en la Carta;

D.  Considerando que, en su dictamen 4/2016, el Supervisor Europeo de Protección de Datos planteó diversas inquietudes sobre el proyecto de Escudo de la privacidad; que el Supervisor Europeo de Protección de Datos, en el mismo dictamen, acoge favorablemente los esfuerzos que han realizado todas las partes en aras de encontrar una solución para las transferencias de datos personales desde la Unión a los EE. UU. con fines comerciales con arreglo a un sistema de autocertificación;

E.  Considerando que, en su dictamen 01/2016 sobre el proyecto de decisión de adecuación sobre el Escudo de la privacidad UE-EE. UU., el Grupo de Trabajo del artículo 29 se mostró a favor de las importantes mejoras introducidas en el Escudo de la privacidad en comparación con la Decisión de puerto seguro, aunque también planteó una gran preocupación tanto por los aspectos comerciales como por el acceso de las autoridades públicas a los datos transferidos en el marco del Escudo de la privacidad;

F.  Considerando que el 12 de julio de 2016, tras nuevas conversaciones con el Gobierno de los EE. UU., la Comisión adoptó su Decisión de Ejecución (UE) 2016/1250, en la que declara el nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos en el marco del Escudo de la privacidad UE-EE. UU.;

G.  Considerando que el Escudo de la privacidad UE-EE. UU. está acompañado de varias cartas y declaraciones unilaterales del Gobierno de los Estados Unidos que explican, entre otros aspectos, los principios de protección de datos, el funcionamiento de la supervisión, la aplicación y las vías de recurso y las protecciones y las condiciones en las que las agencias de seguridad pueden tener acceso y tratar los datos personales;

H.  Considerando que, en su declaración de 26 de julio de 2016, el Grupo de Trabajo del artículo 29 acoge con satisfacción las mejoras aportadas por el mecanismo del Escudo de la privacidad UE-EE. UU. en comparación con el puerto seguro y felicita a la Comisión y las autoridades estadounidenses por haber tenido en cuenta sus preocupaciones; que, sin embargo, el Grupo de Trabajo del artículo 29 indica que algunas de sus preocupaciones persisten tanto por los aspectos comerciales como por el acceso de las autoridades públicas de los EE. UU. a los datos transferidos desde la Unión, como, por ejemplo, la falta de normas específicas sobre decisiones automatizadas y de un derecho de oposición general, la necesidad de garantías más estrictas sobre la independencia y las competencias mecanismo de mediación, o la ausencia de garantías concretas para que no se produzca una recopilación masiva e indiscriminada de datos personales (la recopilación en bloque);

1.  Acoge con satisfacción los esfuerzos realizados tanto por la Comisión como por el Gobierno de los Estados Unidos, para responder a las inquietudes planteadas por el Tribunal de Justicia de la Unión Europea, los Estados miembros, el Parlamento Europeo, las autoridades de protección de datos y otras partes interesadas, con el fin de permitir a la Comisión que adopte la decisión de ejecución sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.;

2.  Reconoce que el Escudo de la privacidad UE-EE. UU. contiene mejoras significativas en cuanto a la claridad de las normas en comparación con el antiguo puerto seguro UE-EE. UU., y que la autocertificación de su conformidad con las disposiciones del Escudo de la privacidad UE-EE. UU. por parte de las organizaciones estadounidenses obedece a unas normas más claras en materia de protección de datos que con arreglo al puerto seguro;

3.  Toma nota de que, a 23 de marzo de 2017, 1 893 organizaciones de los Estados Unidos se han adherido al Escudo de la privacidad UE-EE. UU.; lamenta que el Escudo de la privacidad se base exclusivamente en la autocertificación voluntaria y que, por ello, solo se aplique a las organizaciones de los Estados Unidos que se adhieren al mismo de forma voluntaria y que, de este modo, muchas empresas no entren en el ámbito de aplicación del acuerdo;

4.  Reconoce que el Escudo de la privacidad UE-EE. UU. facilita las transferencias de datos por parte de las pymes y de las empresas de la Unión a los Estados Unidos;

5.  Toma nota de que, en consonancia con la sentencia del Tribunal de Justicia en el asunto Schrems, las competencias de las autoridades europeas de protección de datos no se verán afectadas por la decisión sobre la adecuación y, por lo tanto, podrán ejercerlas, incluida la suspensión o la prohibición de las transferencias de datos a una organización inscrita en el Escudo de la privacidad UE-EE. UU.; acoge favorablemente el papel destacado que se otorga en el marco del Escudo de la privacidad a las APD de los Estados miembros a la hora de examinar e investigar las reclamaciones relativas a la protección de los derechos a la privacidad y a la vida familiar conforme a la Carta, así como de suspender las transferencias de datos, y la obligación impuesta al Departamento de Comercio de los EE. UU. de resolver esas reclamaciones;

6.  Observa con satisfacción que, en virtud del marco del Escudo de la privacidad, los ciudadanos de la Unión afectados por la transferencia de datos tendrán a su disposición varios medios para ejercer acciones judiciales en los EE. UU.: en primer lugar, las denuncias pueden presentarse bien directamente a la empresa o a través del Departamento de Comercio tras una remisión por parte de una autoridad de protección de datos, o bien a un organismo de resolución de litigios independiente, se podrá interponer una demanda civil ante un tribunal estadounidense, también podrá examinar reclamaciones similares el mediador independiente creado recientemente y, por último, las reclamaciones sobre injerencias en los derechos fundamentales con fines policiales y judiciales y de interés público se podrán tramitar mediante peticiones de impugnación de citaciones; anima a la Comisión y a las autoridades de protección de datos a que proporcionen orientaciones complementarias para mejorar el acceso a todas esas vías de recurso y su disponibilidad;

7.  Reconoce el claro compromiso del Departamento de Comercio de los Estados Unidos de seguir de cerca el cumplimiento por parte de las organizaciones de los Estados Unidos de los principios del Escudo de la privacidad UE-EE. UU., así como su intención de adoptar medidas coercitivas contra las entidades infractoras;

8.  Reitera su petición a la Comisión de que esclarezca el estatuto jurídico de las «garantías por escrito» ofrecidas por los EE. UU. y para que vele por que se mantenga cualquier compromiso o disposición previsto en el Escudo de la privacidad tras la entrada en funciones del nuevo Gobierno de los Estados Unidos;

9.  Considera que, a pesar de los compromisos y garantías formulados por el Gobierno de los EE. UU. mediante las cartas adjuntas al acuerdo de Escudo de la privacidad, subsisten preguntas importantes por lo que respecta a determinados aspectos comerciales, la seguridad nacional o el cumplimiento de la ley;

10.  Señala expresamente la importante diferencia existente entre la protección prevista en el artículo 7 de la Directiva 95/46/CE y los principios de «notificación y opción» del régimen del Escudo de la privacidad, así como las notables diferencias entre el artículo 6 de la Directiva 95/46/CE y el principio de «integridad de los datos y de limitación de la finalidad» del régimen del Escudo de la privacidad; señala que en lugar de recoger la necesidad de una base jurídica (como el consentimiento o el contrato) que se aplica a todas las operaciones de tratamiento, los derechos de los titulares de los datos en el marco de los principios del Escudo de la privacidad únicamente se aplican a dos operaciones de tratamiento limitadas (la divulgación y el cambio de finalidad) y que solamente prevé un derecho a objetar («exclusión voluntaria»);

11.  Opina que las numerosas dudas referidas podrían culminar, en un futuro, en una nueva impugnación de la decisión de adecuación de la protección ante los tribunales; destaca las consecuencias nefastas desde el punto de vista del respeto de los derechos fundamentales y por lo que respecta a la seguridad jurídica de los agentes afectados;

12.  Toma nota, entre otras cuestiones, de la falta de normas específicas sobre la toma de decisiones automatizadas, y sobre un derecho general de oposición, así como de la ausencia de unos principios claros sobre la aplicación del Escudo de la privacidad a los subcontratantes (agentes);

13.  Señala que, si bien las personas disponen de la posibilidad de oponerse ante cualquier responsable del tratamiento de la Unión a la transferencia de sus datos personales a los EE. UU., y al posterior tratamiento de dichos datos en los EE. UU. cuando la empresa del Escudo de la privacidad actúa como encargado del tratamiento en nombre del responsable del tratamiento de la Unión, el Escudo de la privacidad carece de normas específicas en lo que respecta a un derecho general a oponerse frente a la empresa autocertificada;

14.  Señala que únicamente una parte de las organizaciones estadounidenses que se han unido al Escudo de la privacidad han optado por recurrir a una autoridad de protección de datos de la Unión para el mecanismo de resolución de litigios; expresa preocupación por que ello constituya una desventaja para los ciudadanos de la Unión cuando traten de hacer valer sus derechos;

15.  Señala la ausencia de principios explícitos acerca de cómo se aplican los principios del Escudo de la privacidad a los encargados del tratamiento de datos (agentes), a la vez que reconoce que todos los principios se aplican al tratamiento de datos personales de cualquier empresa autocertificada de los EE. UU. «[s]alvo que se indique otra cosa» y que la transferencia con fines de tratamiento siempre requiere un contrato con el responsable del tratamiento de la Unión que determinará la finalidad y los medios de tratamiento, incluso si el encargado del tratamiento está autorizado para llevar a cabo transferencias ulteriores (por ejemplo, subtratamiento);

16.  Subraya que, en lo que respecta a la seguridad nacional y la vigilancia, sin perjuicio de las precisiones aportadas por la oficina del Director de la National Intelligence (ODNI, servicio nacional de información) en las cartas adjuntas al marco del Escudo de la privacidad, la vigilancia masiva sigue siendo posible, a pesar de la distinta terminología utilizada por las autoridades estadounidenses; lamenta que no exista una definición uniforme del término «vigilancia masiva» y la adopción de la terminología estadounidense, y pide, por ello, que se establezca una definición uniforme de la vigilancia masiva vinculada al concepto europeo, y en la que la evaluación no se haga depender de una selección; hace hincapié en que cualquier tipo de vigilancia masiva incumple la Carta;

17.  Subraya, a este respecto, que el anexo VI (carta de Robert S. Litt, Oficina del Director de la Inteligencia Nacional) deja claro que, en virtud de la Directiva Presidencial 28 (en lo sucesivo «la PPD-28»), la recopilación masiva de comunicaciones y datos personales de ciudadanos no estadounidenses sigue estando permitida en seis supuestos; señala que esta recopilación en bloque únicamente debe ser «lo más adaptada posible» y «razonable», cosa que no responde a los criterios más estrictos de necesidad y proporcionalidad establecidos en la Carta;

18.  Lamenta que el Escudo de la privacidad UE-EE. UU. no prohíba la recopilación de datos a gran escala con fines policiales y judiciales;

19.  Hace hincapié en que, en su sentencia de 21 de diciembre de 2016, el Tribunal de Justicia de la Unión Europea aclaró que la Carta «debe interpretarse en el sentido de que se opone a una normativa nacional que establece, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica»; señala que la vigilancia masiva en EE. UU. no ofrece, por consiguiente, un nivel de protección de los datos y las comunicaciones personales esencialmente equivalente;

20.  Expresa su alarma ante las recientes revelaciones sobre actividades de vigilancia llevadas a cabo a petición de la National Security Agency (NSA) y del FBI por un proveedor estadounidense de servicios de comunicaciones electrónicas respecto de todos los mensajes electrónicos que llegaban a sus servidores, y ello en una fecha tan tardía como 2015, es decir, un año después de la adopción de la PPD 28 y durante las negociaciones sobre el Escudo de la privacidad UE-EE. UU.; insiste en que la Comisión trata de obtener una aclaración completa de las autoridades de los EE. UU. y pone a disposición del Consejo, el Parlamento y las autoridades nacionales de protección de datos las respuestas proporcionadas; considera esto un motivo para dudar seriamente de las garantías presentadas por la ODNI; Es consciente de que el Escudo de la privacidad UE-EE. UU. se basa exclusivamente en la PPD 28, adoptada por el presidente y que cada futuro presidente puede volver a derogar sin la aprobación del Congreso;

21.  Expresa gran preocupación ante la publicación de los «Procedimientos de acceso y difusión de información de inteligencia de señales en bruto de la Agencia de Seguridad Nacional, en la sección 2.3 de la Orden Ejecutiva 12333», aprobada por el Fiscal General el 3 de enero de 2017, lo que permite a la NSA compartir enormes cantidades de datos privados recabados sin orden judicial, resoluciones judiciales o autorización del Congreso, con otras 16 agencias, incluido el FBI, la Agencia Antidroga Norteamericana y el Departamento de Seguridad del Territorio Nacional; pide a la Comisión que evalúe de inmediato la compatibilidad de estas nuevas normas con los compromisos contraídos por las autoridades estadounidenses en el marco del Escudo de la privacidad, así como su repercusión en el nivel de protección de la protección de datos personales de los Estados Unidos;

22.  Lamenta que ni los principios del Escudo de la privacidad ni las cartas del Gobierno de los Estados Unidos, en las que se ofrecen explicaciones y garantías, ponen de manifiesto la existencia de vías de recurso judicial efectivo para los ciudadanos de la Unión cuyos datos personales se transfieran a una organización estadounidense, de conformidad con los principios del Escudo de la privacidad, y a los que accedan y procesen las autoridades públicas estadounidenses, en cumplimiento de la legislación y por motivos de interés público, en los que hizo hincapié el Tribunal de Justicia en su sentencia del 6 de octubre de 2015, como la esencia del derecho fundamental en el artículo 47 de la Carta;

23.  Recuerda su Resolución de 26 de mayo de 2016, en la que considera que el mecanismo de mediación creado por el Departamento de Estado de los Estados Unidos no es lo bastante independiente y no está dotado de suficientes poderes efectivos para llevar a cabo sus funciones y proporcionar unas vías de recurso eficaces para los ciudadanos de la Unión; señala que, de acuerdo con las declaraciones y garantías facilitadas por el Gobierno de los EE. UU., el mediador es independiente de los servicios de inteligencia estadounidenses, está libre de cualquier influencia indebida que pueda afectar a su función y, además, trabaja conjuntamente con otros órganos de control independientes con poderes efectivos de supervisión sobre la comunidad de inteligencia estadounidense; muestra su preocupación, sobre todo, por el hecho de que una persona afectada por un incumplimiento solo puede solicitar información y la eliminación de sus datos o que estos no se sigan procesando, pero no tiene derecho a una indemnización;

24.  Lamenta que el procedimiento de adopción de una decisión de adecuación no contemple una consulta formal de las partes interesadas, como las empresas, en particular las organizaciones de representación de las pymes;

25.  Lamenta que la Comisión iniciara el procedimiento para la adopción de la decisión de ejecución de la Comisión en términos prácticos que, de hecho, no han permitido al Parlamento ejercer su derecho de control sobre el proyecto de acto de ejecución de manera eficaz;

26.  Pide a la Comisión que adopte todas las medidas necesarias para garantizar que el Escudo de la privacidad se adecúe plenamente a lo dispuesto en el Reglamento (UE) 2016/679, aplicable a partir del 16 de mayo de 2018, y en la Carta;

27.  Pide a la Comisión que garantice, en concreto, que los datos personales que se hayan transferido a los EE. UU. en el marco del Escudo de la privacidad únicamente puedan transferirse a otro tercer país si dicha transferencia resulta compatible con el finalidad para la que se recabaron los datos originalmente, y si en el tercer país son de aplicación las mismas normas de acceso selectivo y específico para la aplicación de la ley;

28.  Pide a la Comisión que garantice que los datos personales que ya no sean necesarios para los fines para los que se recabaron originalmente sean eliminados, también por las fuerzas o cuerpos de seguridad;

29.  Pide a la Comisión que vigile de cerca si el Escudo de la privacidad permite que las autoridades de protección de datos ejerzan plenamente todas sus competencias y, en caso de no hacerlo, que determine qué disposiciones obstaculizan el ejercicio de competencias de dichas autoridades;

30.  Pide a la Comisión que, durante la primera revisión anual conjunta, lleve a cabo un examen profundo y pormenorizado de todas las lagunas y deficiencias mencionadas en la presente resolución y en su Resolución de 26 de mayo de 2016 sobre los flujos de datos transatlánticos, así como las identificadas por el Grupo de Trabajo del artículo 29, el Supervisor Europeo de Protección de Datos y las partes interesadas, y demuestre la manera en que se han tenido en cuenta, con el fin de garantizar la conformidad con la Carta y con la legislación de la Unión; y que evalúe minuciosamente si los mecanismos y garantías indicadas en las garantías y aclaraciones presentadas por el Gobierno de los EE. UU. son efectivos y viables;

31.  Pide a la Comisión que garantice que, para la realización de la revisión anual conjunta, todos los miembros del equipo tendrán acceso pleno e ilimitado a todos los documentos y locales necesarios para el ejercicio de sus funciones, también a elementos que posibiliten una evaluación adecuada de la necesidad y proporcionalidad de la recopilación y el acceso a los datos transferidos por las autoridades públicas, ya sea con fines de cumplimiento de la ley o de seguridad nacional;

32.  Subraya que debe garantizarse la independencia en el desempeño de sus funciones a cualquier miembro del equipo de revisión conjunta, y que todos ellos deben tener derecho a expresar sus propias opiniones discrepantes en el informe final de la revisión conjunta, que se publicará y anexará al informe conjunto;

33.  Pide a las autoridades de protección de datos de la Unión que lleven a cabo un seguimiento del funcionamiento del Escudo de la privacidad UE-EE. UU. y ejerzan sus facultades, incluida la suspensión o la prohibición definitiva de las transferencias de datos personales a una organización integrada dentro del Escudo de la privacidad UE-EE. UU., cuando consideren que los derechos fundamentales a la intimidad y a la protección de los datos personales de titulares de los datos de la Unión no están garantizados;

34.  Hace hincapié en que el Parlamento Europeo debería tener pleno acceso a todos los documentos pertinentes relacionados con la revisión anual conjunta;

35.  Encarga a su Presidente que transmita la presente Resolución a la Comisión, al Consejo, a los Gobiernos y a los Parlamentos nacionales de los Estados miembros, y al Gobierno y al Congreso de los Estados Unidos.