PROPUNERE DE REZOLUȚIE referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA
29.3.2017 - (2016/3018(RSP))
în conformitate cu articolul 123 alineatul (2) din Regulamentul de procedură
Claude Moraes în numele Comisiei pentru libertăți civile, justiție și afaceri interne
B8-0235/2017
Rezoluția Parlamentului European referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA
Parlamentul European,
– având în vedere Tratatul privind Uniunea Europeană (TUE), Tratatul privind funcționarea Uniunii Europene (TFUE) și articolele 6, 7, 8, 11, 16, 47 și 52 din Carta drepturilor fundamentale a Uniunii Europene,
– având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date („Directiva privind protecția datelor”)[1],
– având în vedere Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală[2],
– având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)[3] și Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului[4],
– având în vedere Hotărârea Curții de Justiție a Uniunii Europene din 6 octombrie 2015, pronunțată în cauza C-362/14, Maximillian Schrems/Comisarul pentru protecția datelor[5],
– având în vedere Comunicarea Comisiei către Parlamentul European și Consiliu din 6 noiembrie 2015 privind transferul datelor cu caracter personal dinspre UE către Statele Unite ale Americii în temeiul Directivei 95/46/CE în urma hotărârii pronunțate de Curtea de Justiție în cauza C-362/14 (Schrems) (COM(2015)0566),
– având în vedere Comunicarea Comisiei către Parlamentul European și Consiliu din 10 ianuarie 2017 privind schimbul și protecția datelor cu caracter personal într-o lume globalizată (COM(2017)0007),
– având în vedere Hotărârea Curții de Justiție a Uniunii Europene din 21 decembrie 2016 pronunțată în cauzele C-203/15 Tele2 Sverige AB/Post- och telestyrelsen și C-698/15 Secretary of State for the Home Department/Tom Watson și alții[6],
– având în vedere Decizia de punere în aplicare a Comisiei (UE) 2016/1250 din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA[7],
– având în vedere avizul 4/2016 al Autorității Europene pentru Protecția Datelor (AEPD) referitor la proiectul de decizie privind caracterul adecvat al Scutului de confidențialitate UE-SUA[8],
– având în vedere avizul Grupului de lucru pentru protecția datelor „Articolul 29” din 13 aprilie 2016 referitor la proiectul de decizie privind caracterul adecvat al Scutului de confidențialitate UE-SUA[9] și declarația acestuia din 26 iulie 2016[10],
– având în vedere Rezoluția sa din 26 mai 2016 referitoare la fluxurile de date transatlantice[11],
– având în vedere articolul 123 alineatul (2) din Regulamentul său de procedură,
A. întrucât Curtea de Justiție a Uniunii Europene (CJUE), în Hotărârea sa din 6 octombrie 2015 în cauza C-362/14, Maximilian Schrems/Comisarul pentru protecția datelor, a invalidat decizia privind Sfera de siguranță și a clarificat faptul că un nivel adecvat de protecție într-o țară terță trebuie considerat ca fiind „în esență echivalent” cu cel garantat în cadrul Uniunii, în temeiul Directivei 95/46, interpretată în spiritul Cartei drepturilor fundamentale a Uniunii Europene (denumită în continuare „Carta UE”), subliniind necesitatea de a încheia negocierile privind un nou acord, astfel încât să se asigure securitatea juridică cu privire la modul în care ar trebui transferate datele cu caracter personal din UE către SUA;
B. întrucât, atunci când analizează nivelul de protecție asigurat de o țară terță, Comisia are obligația să evalueze fondul normelor aplicabile în țara în cauză, care emană din legislația sa internă sau din angajamentele sale internaționale, precum și practica stabilită pentru a asigura respectarea normelor în cauză, deoarece trebuie să se țină seama, în conformitate cu articolul 25 alineatul (2) din Directiva 95/46/CE, de toate împrejurările în care are loc transferul unor date cu caracter personal către o țară terță; întrucât evaluarea trebuie să vizeze nu numai legislația și practicile legate de protecția datelor cu caracter personal în scopuri comerciale și private, ci și toate aspectele cadrului aplicabil țării sau sectorului în cauză, în special, dar nu limitat la, aplicarea legii, securitatea națională și respectarea drepturilor fundamentale;
C. întrucât transferurile de date cu caracter personal între organizațiile comerciale din UE și SUA sunt un element important pentru relațiile transatlantice; întrucât aceste transferuri ar trebui efectuate cu respectarea deplină a dreptului la protecția datelor cu caracter personal și a dreptului la viața privată; întrucât unul dintre obiectivele fundamentale ale UE este protecția drepturilor fundamentale, conform Cartei UE;
D. întrucât, în avizul său nr. 4/2016, AEPD a ridicat o serie de probleme cu privire la proiectul de Scut de confidențialitate; întrucât AEPD salută în același aviz eforturile depuse de toate părțile implicate de găsi o soluție pentru transferurile de date cu caracter personal din UE către SUA în scopuri comerciale pe baza unui sistem de autocertificare;
E. întrucât, în avizul său 01/2016 referitor la proiectul de decizie privind caracterul adecvat al Scutului de confidențialitate UE-SUA, Grupul de lucru „Articolul 29” a salutat îmbunătățirile semnificative aduse de Scutul de confidențialitate față de decizia privind Sfera de siguranță, exprimând însă dubii majore atât cu privire la aspectele comerciale, cât și la accesul autorităților publice la datele transferate în cadrul Scutului de confidențialitate;
F. întrucât, la 12 iulie 2016, în urma unor discuții ulterioare cu administrația SUA, Comisia a adoptat Decizia de punere în aplicare (UE) 2016/1250, care declară adecvat nivelul de protecție a datelor cu caracter personal transferate din Uniune către organizații din Statele Unite în cadrul Scutului de confidențialitate UE-SUA;
G. întrucât Scutul de confidențialitate UE-SUA este însoțit de mai multe scrisori și declarații unilaterale ale administrației SUA, care explică, printre altele, principiile de protecție a datelor, funcționarea supravegherii, a impunerii respectării normelor și a căilor de atac, precum și elementele de protecție și garanție în virtutea cărora agențiile de securitate pot accesa și prelucra datele cu caracter personal;
H. întrucât, în declarația sa din 26 iulie 2016, Grupul de lucru „Articolul 29” a salutat îmbunătățirile aduse de mecanismul Scutului de confidențialitate UE-SUA, în comparație cu cel al Sferei de siguranță și a felicitat Comisia și autoritățile SUA pentru faptul că au luat în considerare preocupările sale; întrucât, cu toate acestea, Grupul de lucru „Articolul 29” menționează că rămân încă o serie de probleme, atât în ceea ce privește aspectele comerciale, cât și în ceea ce privește accesul autorităților publice din SUA la datele transferate din UE, cum ar fi lipsa unor norme specifice privind deciziile automatizate și absența unui drept general de ridica obiecții, necesitatea unor garanții mai stricte privind independența și competențele Mediatorului și lipsa unor garanții concrete că nu se vor efectua colectări masive și fără distincție ale datelor personale (colectări în masă);
1. salută eforturile depuse atât de Comisie, cât și de administrația SUA pentru a răspunde problemelor ridicate de CJUE, de statele membre, de Parlamentul European, de autoritățile de protecție a datelor (ADP) și actorii implicați, astfel încât Comisia să poată adopta decizia de punere în aplicare prin care confirmă caracterul adecvat al Scutului de confidențialitate UE-SUA;
2. ia act de faptul că Scutul de confidențialitate UE-SUA conține îmbunătățiri semnificative privind claritatea standardelor, în comparație cu fosta Sferă de siguranță UE-SUA, iar organizațiile din SUA care își autodeclară adeziunea la Scutul de confidențialitate UE-SUA vor trebui să respecte standarde mai clare de protecție a datelor decât în cadrul Sferei de siguranță;
3. ia act de faptul că, până la 23 martie 2017, 1 893 organizații din SUA au aderat la Scutul de confidențialitate UE-SUA; regretă faptul că Scutul de confidențialitate se bazează pe autocertificare voluntară și, prin urmare, se aplică doar organizațiilor americane care au aderat în mod voluntar, multe întreprinderi neintrând, astfel, sub incidența reglementării;
4. ia act de faptul că Scutul de confidențialitate UE-SUA facilitează transferurile de date de la IMM-uri și alte întreprinderi din Uniune către SUA;
5. ia act de faptul că, în conformitate cu hotărârea CJUE în cauza Schrems, competențele APD europene nu sunt afectate de decizia privind caracterul adecvat și, în consecință, își pot exercita competențele, inclusiv suspendarea sau interzicerea transferurilor de date către o organizație înregistrată în cadrul Scutului de confidențialitate UE-SUA; salută rolul important conferit de cadrul privind Scutul de confidențialitate autorităților naționale de protecție a datelor din statele membre în ceea ce privește examinarea și investigarea plângerilor referitoare la protecția drepturilor la viața privată și la viața de familie în temeiul Cartei UE și suspendarea transferurilor de date, precum și obligația impusă Departamentului de Comerț din SUA de a soluționa aceste plângeri;
6. ia act cu satisfacție că, în temeiul Scutului de confidențialitate, cetățenii UE vizați dispun de mai multe mijloace de a face uz de căi de atac în justiție în SUA: în primul rând, plângerile pot fi depuse fie direct la întreprindere, fie prin intermediul Departamentului Comerțului, în urma sesizării din partea unei autorități de protecție a datelor (APD), sau la un organism independent de soluționare a litigiilor; în al doilea rând, în ceea ce privește ingerințele în drepturile fundamentale în scopul securității naționale, se poate intenta o acțiune civilă în fața instanțelor din SUA, iar plângeri similare pot fi adresate și de ombudsmanul independent, recent creat; în sfârșit, reclamațiile privind ingerințele în drepturile fundamentale în scopul asigurării respectării legii și al interesului general pot fi tratate prin moțiuni împotriva citațiilor; încurajează Comisia și autoritățile naționale de protecție a datelor să ofere mai multe orientări pentru a se asigura că aceste căi de atac sunt mai accesibile și mai disponibile;
7. ia act de angajamentul clar al Departamentului Comerțului al SUA de a urmări îndeaproape respectarea de către organizațiile din această țară a principiilor Scutului de confidențialitate UE-SUA, precum și de intenția de a lua măsuri coercitive împotriva entităților care nu se conformează;
8. reiterează apelul său adresat Comisiei de a solicita clarificări cu privire la statutul juridic al „asigurărilor scrise” oferite de SUA și de a asigura că orice angajamente sau aranjamente prevăzute în Scutul de confidențialitate sunt respectate ca urmare a preluării funcției de către o nouă administrație în SUA;
9. consideră că, în pofida angajamentelor și a asigurărilor prezentate de guvernul SUA în scrisorile atașate la acordul referitor la Scutul de confidențialitate, există în continuare întrebări majore cu privire la anumite aspecte comerciale, la securitatea națională și la asigurarea respectării legii;
10. remarcă, în special, diferența semnificativă dintre protecția prevăzută la articolul 7 din Directiva 95/46/CE și principiul „notificării și al opțiunii” din acordul referitor la Scutul de confidențialitate, precum și diferențele considerabile dintre articolul 6 din Directiva 95/46/CE și principiul „integrității datelor și limitării scopului” din acordul referitor la Scutul de confidențialitate; subliniază faptul că în locul necesității unui temei juridic (cum ar fi consimțământul sau contractul) care se aplică tuturor operațiunilor de prelucrare a datelor, drepturile persoanelor vizate în temeiul principiilor Scutului de confidențialitate se aplică doar în cazul a două operațiuni limitate de prelucrare a datelor (divulgarea și modificarea scopului) și prevede doar dreptul la obiecție („renunțare”);
11. consideră că numeroasele preocupări existente ar putea duce, în viitor, la contestarea din nou în instanță a deciziei privind caracterul adecvat al protecției; insistă asupra consecințelor negative atât în ceea ce privește respectarea drepturilor fundamentale, cât și în ceea ce privește securitatea juridică necesară pentru actorii implicați;
12. remarcă, printre altele, lipsa unor norme specifice privind procesele decizionale automatizate și dreptul general de a formula obiecții, precum și absența unor principii clare privind modul în care principiile Scutului de confidențialitate se aplică operatorilor (agenților);
13. remarcă faptul că, deși persoanele au posibilitatea de a se opune transferului datelor lor cu caracter personal de către operatorul din UE către SUA și prelucrării ulterioare a datelor respective în SUA, unde, în conformitate cu Scutul de confidențialitate, compania acționează în numele operatorului din UE în calitate de persoană împuternicită de către operator, Scutul de confidențialitate nu prevede norme specifice privind dreptul general de a formula obiecții față de societatea americană autocertificată;
14. remarcă faptul că numai o parte din organizațiile din SUA care au aderat la Scutul de confidențialitate au ales să utilizeze o APD din UE pentru mecanismul de soluționare a litigiilor; își exprimă îngrijorarea cu privire la faptul că acest lucru constituie un dezavantaj pentru cetățenii UE atunci când încearcă să își exercite drepturile;
15. remarcă lipsa principiilor explicite privind modul în care principiile Scutului de confidențialitate se aplică operatorilor (agenților), recunoscând, în același timp, faptul că toate principiile se aplică la prelucrarea datelor cu caracter personal de către orice societate americană autocertificată, „cu excepția cazului în care se prevede altfel”, și că transferul în scopul prelucrării necesită întotdeauna încheierea unui contract cu operatorul din UE care va stabili scopurile prelucrării și mijloacele de prelucrare a datelor, inclusiv dacă operatorul respectiv este autorizat să efectueze transferuri ulterioare (de exemplu, în cazul subcontractării);
16. subliniază că, în ceea ce privește securitatea și supravegherea la nivel național, în pofida clarificărilor aduse de Oficiul Directorului Serviciului național de informații (ODNI) în scrisorile anexate la cadrul Scutului de confidențialitate, „supravegherea în masă” rămâne posibilă, chiar dacă autoritățile SUA utilizează o terminologie diferită; regretă faptul că conceptul de supraveghere în masă nu este definit în mod uniform și că s-a adoptat terminologia americană, și, prin urmare, solicită o definiție uniformă în spirit european a supravegherii în masă, în care evaluarea nu va fi făcută în funcție de selecție; subliniază că orice tip de supraveghere în masă încalcă Carta UE;
17. reamintește că în anexa VI (scrisoare din partea dlui Robert S. Litt, ODNI) se precizează faptul că, în temeiul directivei nr. 28 de politică prezidențială (denumită în continuare „PPD-28”), în șase cazuri se permite în continuare colectarea în masă a datelor și comunicațiilor cu caracter personal ale persoanelor din afara SUA; subliniază că acest tip de colectare în masă trebuie doar să fie „adaptată pentru a fi fezabilă” și „rezonabilă”, ceea ce nu implică respectarea criteriilor necesității și proporționalității prevăzute în cartă;
18. regretă faptul că Scutul de confidențialitate UE-SUA nu interzice colectarea în masă în scopul asigurării aplicării legii;
19. subliniază faptul că, în Hotărârea sa din 21 decembrie 2016, CJUE a clarificat faptul că Carta „trebuie interpretată în sensul că se opune unei reglementări naționale care prevede, în scopul combaterii infracționalității, o păstrare generalizată și nediferențiată a ansamblului datelor de transfer și al datelor de localizare ale tuturor abonaților și utilizatorilor înregistrați în ceea ce privește toate mijloacele de comunicare electronică”; subliniază faptul că, prin urmare, „supravegherea în masă” din SUA nu prevede un nivel în esență echivalent de protecție a datelor cu caracter personal și a comunicațiilor;
20. este alarmat de recentele dezvăluiri cu privire la activitățile de supraveghere a tuturor e-mailurilor care au ajuns pe serverele sale, desfășurate de un furnizor de servicii de comunicații electronice la solicitarea Agenției Naționale de Securitate (NSA) și a FBI până în anul 2015, adică la un an după adoptarea Directivei 28 de politică prezidențială și în timpul negocierilor privind Scutul de confidențialitate UE-SUA; solicită insistent Comisiei să ceară clarificări depline din partea autorităților din SUA și să pună răspunsurile primite la dispoziția Consiliului, a Parlamentului și a APD naționale; consideră acest lucru ca fiind un motiv puternic de îndoială față de asigurările aduse de Oficiul Directorului Serviciului național de informații (ODNI); este conștient de faptul că Scutul de confidențialitate UE-SUA se bazează pe directiva PPD-28, care a fost emisă de către președinte și care poate fi, de asemenea, abrogată de orice viitor președinte fără aprobarea Congresului;
21. își exprimă profunda îngrijorare cu privire la emiterea „Procedurilor de punere la dispoziție sau de diseminare a informațiilor brute pe baza semnalelor electromagnetice de către Agenția Națională de Securitate (NSA), prin Ordinul executiv nr. 12333 secțiunea 2.3”, aprobată de Procurorul general la 3 ianuarie 2017, care permite NSA să transmită un volum mare de date cu caracter personal, colectate fără mandat, hotărâre judecătorească sau autorizație a Congresului, altor 16 agenții, inclusiv FBI, Agenția Națională Antidrog și Departamentul pentru Securitate Internă; invită Comisia să efectueze o evaluare imediată a compatibilității acestor noi norme cu angajamentele făcute de autoritățile din SUA în temeiul Scutului de confidențialitate și, de asemenea, a impactului acestora asupra nivelului de protecție a datelor cu caracter personal în SUA;
22. regretă faptul că nici principiile Scutului de confidențialitate, nici scrisorile în care administrația SUA oferă clarificări și garanții nu demonstrează existența unor drepturi reale la căi de atac pentru persoanele din UE ale căror date cu caracter personal sunt transferate unei organizații din SUA în conformitate cu principiile Scutului de confidențialitate și accesate și prelucrate ulterior de către autoritățile publice din SUA în scopul asigurării respectării legii sau în scopuri de interes general care au fost evidențiate de CJUE în hotărârea sa din 6 octombrie 2015 ca fiind esența dreptului fundamental prevăzut la articolul 47 din Carta UE;
23. reamintește rezoluția sa din 26 mai 2016, în care subliniază că mecanismul Ombudsmanului instituit de Departamentul de Stat al SUA nu este suficient de independent și nu este investit cu competențe efective suficiente pentru a-și îndeplini atribuțiile și a asigura căi de atac eficace pentru cetățenii UE; observă faptul că, potrivit declarațiilor și garanțiilor oferite de guvernul SUA, Oficiul Ombudsmanului este independent de serviciile de informații ale SUA, liber de orice influență necorespunzătoare care i-ar putea afecta funcționarea și, în plus, colaborează cu alte organisme de supraveghere independente cu competențe efective de control asupra comunității serviciilor de informații din SUA; este îngrijorat în special de faptul că o persoană afectată de încălcarea dispozițiilor poate solicita numai accesul la date și ștergerea acestora sau oprirea prelucrării lor, fără a avea însă dreptul la despăgubiri;
24. regretă că procedura de adoptare a unei decizii privind caracterul adecvat nu prevede o consultare formală cu actorii implicați, cum ar fi întreprinderile, și în special organizațiile reprezentative ale IMM-urilor;
25. regretă faptul că procedura de adoptare a deciziei de punere în aplicare a Comisiei a fost condusă de aceasta din urmă într-un mod care nu a permis practic Parlamentului să își exercite efectiv dreptul de control asupra proiectului de act de punere în aplicare;
26. invită Comisia să ia toate măsurile necesare pentru a se asigura că Scutul de confidențialitate va respecta întru totul Regulamentul (UE) nr. 2016/679 care se aplică de la 16 mai 2018 și Carta UE;
27. invită Comisia să se asigure, în special, de faptul că datele cu caracter personal care au fost transferate către SUA în temeiul Scutului de confidențialitate pot fi transferate către o altă țară terță numai dacă acel transfer este compatibil cu scopul pentru care datele au fost inițial colectate și dacă norme similare privind accesul specific și orientat în scopul aplicării legii se aplică și în țara terță respectivă;
28. invită Comisia să monitorizeze dacă datele cu caracter personal care nu mai sunt necesare pentru scopul pentru care au fost inițial colectate sunt șterse, inclusiv de către autoritățile de asigurare a respectării legii;
29. invită Comisia să monitorizeze îndeaproape dacă Scutul de confidențialitate permite APD să își exercite pe deplin competențele și, în caz contrar, să identifice dispozițiile care duc la obstrucționarea exercitării competențelor acestora;
30. invită Comisia să realizeze, în cadrul primei revizuiri anuale comune, o examinare completă și aprofundată a tuturor lacunelor și deficiențelor menționate în prezenta rezoluție și în rezoluția sa din 26 mai 2016 referitoare la fluxurile de date transatlantice, precum și cele identificate de Grupul de lucru „Articolul 29”, AEPD și actorii implicați, să demonstreze modul în care au fost abordate, astfel încât să fie asigurată conformitatea cu Carta UE și cu legislația Uniunii și să evalueze cu atenție dacă mecanismele și garanțiile indicate în asigurările și clarificările oferite de administrația SUA sunt efective și fezabile;
31. invită Comisia ca, la examinarea anuală comună, să se asigure că toți membrii echipei au acces total și fără nicio restricție la toate documentele și incintele necesare pentru îndeplinirea sarcinilor lor, inclusiv la elementele care să le permită să efectueze o evaluare corespunzătoare a necesității și a proporționalității colectării datelor și a accesului la datele transferate de autoritățile publice, fie în scopul asigurării respectării legii, fie în scopuri legate de securitatea națională;
32. subliniază faptul că tuturor membrilor echipei care efectuează examinarea anuală comună trebuie să li se asigure independența în îndeplinirea sarcinilor lor și să li se confere dreptul de a-și exprima opiniile divergente în raportul final al examinării comune care va fi făcut public și va fi anexat la raportul comun;
33. solicită APD din Uniune să monitorizeze funcționarea Scutului de confidențialitate UE-SUA, precum și să își exercite competențele, inclusiv prin suspendarea sau interdicția definitivă a transferurilor de date cu caracter personal către o organizație din cadrul Scutului de confidențialitate UE-SUA, în cazul în care consideră că drepturile fundamentale la viață privată și la protecția datelor cu caracter personal ale persoanelor vizate din Uniune nu sunt respectate;
34. subliniază că Parlamentul ar trebui să aibă un acces complet la toate documentele relevante legate de examinarea anuală comună;
35. încredințează Președintelui sarcina de a transmite prezenta rezoluție Comisiei, Consiliului, guvernelor și parlamentelor naționale ale statelor membre, precum și guvernului și Congresului SUA.
- [1] JO L 281, 23.11.1995, p. 31.
- [2] JO L 350, 30.12.2008, p. 60.
- [3] JO L 119, 4.5.2016, p. 1.
- [4] JO L 119, 4.5.2016, p. 89.
- [5] ECLI:EU:C:2015:650.
- [6] ECLI:EU:C:2016:970.
- [7] JO L 207, 1.8.2016, p. 1.
- [8] JO C 257, 15.7.2016, p. 8.
- [9] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
- [10] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
- [11] Texte adoptate, P8_TA(2016)0233.