Propuesta de resolución - B8-0244/2017Propuesta de resolución
B8-0244/2017

PROPUESTA DE RESOLUCIÓN sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.

3.4.2017 - (2016/3018(RSP))

tras una declaración de la Comisión
presentada de conformidad con el artículo 123, apartado 2, del Reglamento

Axel Voss, Anna Maria Corazza Bildt, Barbara Kudrycka en nombre del Grupo PPE
Helga Stevens en nombre del Grupo ECR

Procedimiento : 2016/3018(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento :  
B8-0244/2017
Textos presentados :
B8-0244/2017
Textos aprobados :

B8-0244/2017

Resolución del Parlamento Europeo sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.

(2016/3018(RSP))

El Parlamento Europeo,

–  Vistos el Tratado de la Unión Europea (TUE), el Tratado de Funcionamiento de la Unión Europea (TFUE), y la Carta de los Derechos Fundamentales de la Unión Europea,

–  Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, «la Directiva sobre protección de datos»)[1],

–  Vistos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)[2], y la Directiva 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo[3],

–  Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, en el asunto C-362/14 Maximilian Schrems/Data Protection Commissioner[4],

–  Vista la Comunicación de la Comisión al Parlamento Europeo y al Consejo, de 6 de noviembre de 2015, sobre la transferencia de datos personales de la UE a los Estados Unidos de América con arreglo a la Directiva 95/46/CE de forma consiguiente a la sentencia del Tribunal de Justicia en el asunto C-362/14 (Schrems) (COM(2015)0566),

–  Vista la Decisión de Ejecución de la Comisión (UE) n.º 2016/1250, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.[5],

–  Visto el dictamen 4/2016 del Supervisor Europeo de Protección de Datos sobre el proyecto de decisión relativo a la adecuación del escudo protector de la intimidad entre la UE y los EE. UU.[6],

–  Visto el dictamen del Grupo de Trabajo del Artículo 29, de 13 de abril de 2016, sobre el proyecto de decisión de adecuación sobre el Escudo de la privacidad UE-EE. UU.[7] y su declaración de 26 de julio de 2016[8],

–  Vista su Resolución, de 26 de mayo de 2016, sobre los flujos transatlánticos de datos[9],

–  Visto el artículo 123, apartado 2, de su Reglamento,

A.  Considerando que en 2015 el Tribunal de Justicia Europeo (TJUE) invalidó la Decisión de puerto seguro UE-EE. UU. sobre el intercambio de datos personales porque no ofrecía una protección suficiente de los derechos de protección de los datos de los ciudadanos de la Unión; y que, posteriormente, en 2016, la Comisión negoció un nuevo acuerdo, el Escudo de la privacidad UE-EE. UU.;

B.  Considerando que el Parlamento no participó directamente en las negociaciones pero aprobó una Resolución en mayo de 2016 sobre los flujos transatlánticos de datos mediante la que acogía favorablemente las «mejoras sustanciales» introducidas por el Escudo de la privacidad en comparación con la decisión sobre puerto seguro pero también pedía otras mejoras;

C.  Considerando que la Comisión realizará en breve su primera evaluación anual del Escudo de la privacidad y publicará sus resultados;

1.  Acoge con satisfacción la conclusión de las negociaciones entre la Unión y los EE. UU. sobre el Escudo de la privacidad UE-EE. UU., tras más de dos años de negociaciones entre la Comisión y el Departamento de Comercio de los EE. UU. y la adopción de la Decisión sobre el Escudo de la privacidad UE-EE. UU. el 12 de julio de 2016;

2.  Reconoce que las empresas podrán firmar el Escudo de la privacidad UE-EE. UU. con el Departamento de Comercio de los EE. UU., que comprobará que sus políticas de privacidad se atienen a las exigentes normas de protección de los datos del Escudo de la privacidad;

3.  Toma nota de que hasta la fecha 1 937 empresas se han adherido al Escudo de la privacidad UE-EE. UU.;

4.  Acoge con satisfacción la aprobación de la Ley de Recurso Judicial por el Congreso de los EE. UU. y recuerda que durante mucho tiempo estuvo pidiendo dicha ley como requisito previo para la finalización del Acuerdo marco UE-EE. UU. y para la conclusión de las negociaciones del Escudo de la privacidad;

5.  Reconoce que el Escudo de la privacidad UE-EE. UU. difiere considerablemente del marco de puerto seguro y prevé una documentación mucho más detallada que impone obligaciones más específicas a las empresas que deseen adherirse al marco e introduce un nuevo sistema de contrapoderes que garantizará que los ciudadanos de la Unión afectados por la transferencia de datos puedan ejercer sus derechos cuando sus datos se traten en los EE. UU.;

6.  Celebra que el Grupo de Trabajo del Artículo 29 haya reconocido las importantes mejoras introducidas por el Escudo de la privacidad en comparación con la Decisión sobre puerto seguro;

7.  Toma nota de las preocupaciones expresadas por el Grupo de Trabajo del Artículo 29 y de su enfoque constructivo e insiste, por otra parte, en que el principio de limitación de la conservación de datos, al que se hace referencia en su dictamen, debe aclararse en primer lugar en la Unión dado que la situación y las normas en la Unión siguen sin estar claras tras la sentencia de 2014 del TJUE;

8.  Toma nota de la declaración de la presidenta del Grupo de Trabajo del Artículo 29, según la cual las garantías esenciales definidas por este Grupo de Trabajo también deben ser válidas para los Estados miembros de la Unión;

9.  Lamenta que el procedimiento de adopción de una decisión de adecuación no contemple una consulta formal de las partes interesadas, como las empresas, en particular las organizaciones de representación de las pymes;

10.  Señala que, mientras que el marco de puerto seguro no contemplaba limitaciones específicas del acceso del Gobierno de los EE. UU. a los datos transferidos a los EE. UU., entre los documentos del marco del Escudo de la privacidad UE-EE. UU. ahora figuran compromisos vinculantes del Gobierno de los EE. UU. en forma de cartas del director del servicio nacional de información (la «National Intelligence»), el secretario de Estado de los EE. UU. y el Departamento de Justicia de los EE. UU.;

11.  Destaca que, desde 2013, el Congreso y el Gobierno de EE. UU. han promulgado más de 24 reformas de los programas y leyes de vigilancia, como, entre otras, la Ley de Libertad de EE. UU., que prohíbe la recopilación masiva de datos; la Directiva Presidencial 28, que convierte la protección del derecho a la privacidad y de las libertades civiles de los individuos que residen fuera de EE. UU. en parte integrante de la política de vigilancia estadounidense; las enmiendas a la Ley de Vigilancia de la Inteligencia Extranjera; y la Ley de Recurso Judicial, que amplía las medidas en materia de protección de datos a los ciudadanos de la Unión; considera que esas reformas son esenciales para evaluar el efecto de las injerencias en los derechos fundamentales a la privacidad y la protección de datos, establecidos en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea;

12.  Reconoce y acoge favorablemente las iniciativas tomadas por el Gobierno y el Congreso estadounidenses, como la Ley de Privacidad del Correo Electrónico, aprobada por unanimidad por la Cámara de Representantes en abril de 2016 y por la que se modifica la Ley de Privacidad de las Comunicaciones Electrónicas de 1986 (ECPA), así como la adopción por la Cámara de Representantes, en enero de 2016, y por el Senado, en marzo de 2016, de la Ley de Mejora de la Libertad de Información (FOIA), y apoya firmemente la promulgación de la ley, que pone de manifiesto los considerables esfuerzos políticos realizados por los EE. UU. para mejorar la protección de la privacidad de todas las personas;

13.  Celebra la creación del mecanismo de mediación en seno del Departamento de Estado, que será independiente de los servicios de seguridad nacional y contribuirá a garantizar los recursos individuales y el control independiente; pide un rápido nombramiento del primer mediador;

14.  Señala que, aunque la legislación de los EE. UU. brinda protección específica contra decisiones adversas en ámbitos en los que es muy probable que las empresas recurran al tratamiento automatizado (por ejemplo, el empleo o la concesión de créditos), en el Escudo de la privacidad UE-EE. UU. no se prevén normas específicas en lo referente a la adopción de decisiones automatizada y, por tanto, pide a la Comisión que vigile la situación, también por medio de las revisiones anuales;

15.  Observa con satisfacción que, en virtud del marco del Escudo de la privacidad UE-EE. UU., los ciudadanos de la Unión afectados por la transferencia de datos tendrán a su disposición varios medios para ejercer acciones judiciales en los EE. UU.: en primer lugar, las denuncias pueden presentarse bien directamente a la empresa o a través del Departamento de Comercio tras una remisión por parte de una autoridad de protección de datos, o bien a un organismo de resolución de litigios independiente, se podrá interponer una demanda civil ante un tribunal estadounidense, también podrá examinar reclamaciones similares el mediador independiente creado recientemente y, por último, las reclamaciones sobre injerencias en los derechos fundamentales con fines policiales y judiciales y de interés público se podrán tramitar mediante peticiones de impugnación de citaciones; anima a la Comisión y a las APD a que proporcionen orientaciones complementarias para mejorar el acceso a todas esas vías de recurso y su disponibilidad;

16.  Señala que, si bien los particulares tienen la posibilidad de oponerse ante cualquier responsable del tratamiento de la Unión a la transferencia de sus datos personales a los EE. UU., y al posterior tratamiento de dichos datos en los EE. UU. cuando la empresa del Escudo de la privacidad UE-EE. UU. actúa como encargada del tratamiento en nombre del responsable del tratamiento de la Unión, el Escudo de la privacidad UE-EE. UU. carece de normas específicas sobre un derecho general a oponerse frente a la empresa autocertificada de los EE. UU.;

17.  Señala la ausencia de principios explícitos acerca de cómo se aplican los principios del Escudo de la privacidad UE-EE. UU. a los encargados del tratamiento de datos (agentes), a la vez que reconoce que todos los principios se aplican al tratamiento de datos personales de cualquier empresa autocertificada de los EE. UU. salvo que se indique otra cosa y que la transferencia con fines de tratamiento siempre requiere un contrato con el responsable del tratamiento de la Unión que determinará la finalidad y los medios de tratamiento, incluso si el encargado del tratamiento está autorizado a llevar a cabo transferencias ulteriores (por ejemplo, para subtratamiento);

18.  Señala que la Comisión ha publicado una guía para los ciudadanos en la que explica cómo se garantizan los derechos de protección de los datos de las personas en el marco del Escudo de la privacidad UE-EE. UU. y de qué recursos disponen los particulares si consideran que se han utilizado indebidamente sus datos y que no se han respetado sus derechos a la protección de los datos; recomienda que se difunda esta guía a fin de que los ciudadanos conozcan las ventajas del Escudo de la privacidad;

19.  Acoge favorablemente el papel destacado que se otorga en el marco del Escudo de la privacidad a las APD de los Estados miembros a la hora de examinar e investigar las reclamaciones relativas a la protección de los derechos a la privacidad y a la vida familiar conforme a la Carta de los Derechos Fundamentales de la Unión Europea, así como de suspender las transferencias de datos, y la obligación impuesta al Departamento de Comercio de los EE. UU. de resolver esas reclamaciones;

20.  Recuerda que uno de los objetivos fundamentales de la Unión a este respecto debe ser la protección de los datos personales cuando se transfieren a su principal socio comercial internacional y que el Escudo de la privacidad contribuirá a garantizar que los derechos fundamentales de los sujetos de datos de la Unión acompañen en el flujo a sus datos;

21.  Celebra que las empresas no se encuentren ya abandonadas en un limbo jurídico, pues el Escudo de la privacidad UE-EE. UU. ofrece una base jurídica para la transferencia de datos;

22.  Recuerda asimismo que la seguridad jurídica, en particular unas normas claras y uniformes, es un elemento clave para el desarrollo y el crecimiento de las empresas, en particular para las pymes, por lo que advierte en contra de toda tentativa que suponga riesgos para el marco del Escudo de la privacidad UE-EE. UU., lo que situaría a miles de empresas de todas las clases y todos los tamaños, de la Unión Europea y de los Estados Unidos, ante la incertidumbre, y repercutiría gravemente en sus operaciones y su capacidad para hacer negocios a través del Atlántico;

23.  Insiste en que las pymes representan el 60 % de las empresas que dependen del acuerdo de puerto seguro y en que son las que más ganarán con el nuevo Escudo de la privacidad UE-EE. UU. y pide a la Comisión que, en estrecha colaboración con las APD, aporte más claridad, precisión y accesibilidad en cuanto a la aplicación y el funcionamiento de Escudo de la privacidad UE-EE. UU. para estas empresas;

24.  Considera que el Escudo de la privacidad es primordial para salvar la brecha entre los enfoques europeo y estadounidense en materia de privacidad, por lo que es esencial para restablecer la confianza transatlántica; expresa su confianza en que el Escudo de la privacidad UE-EE. UU. estará sujeto a un control estricto por parte de las autoridades reguladoras y de la Comisión Europea a través del mecanismo anual de revisión conjunta a medida que vaya evolucionando hacia un marco establecido de cumplimiento, a fin de velar por su robustez y su validez jurídica;

25.  Pide a la Comisión que ejerza plenamente su responsabilidad, en virtud del marco del Escudo de la privacidad UE-EE. UU., de revisar periódicamente su comprobación de la adecuación y sus justificaciones jurídicas, con el fin de garantizar la protección adecuada de los datos personales y el funcionamiento eficaz del marco sin menoscabar innecesariamente otros derechos fundamentales, como el derecho a la privacidad y a la seguridad, el derecho a recibir y comunicar informaciones, y la libertad de empresa, y le pide asimismo que informe anualmente al Parlamento sobre sus comprobaciones específicas y el seguimiento de estas;

26.  Pide a la Comisión que garantice que el mecanismo de revisión anual conjunta se centre en el número de quejas conocidas de ciudadanos, la eficacia de los mecanismos de recurso, incluido el mediador, y su accesibilidad por parte de sujetos de los datos de la Unión, los progresos de las reformas estadounidenses de la legislación en materia de vigilancia, la cooperación entre las APD de la Unión y el Departamento de Comercio (DC) y la Comisión Federal de Comercio (CFC), el papel del DC y la CFC de control y garantía de la observancia por parte de las empresas estadounidenses del Escudo de la privacidad y sus políticas de privacidad, y el número de empresas firmantes;

27.  Reconoce que el Escudo de la privacidad UE-EE. UU. forma parte de un diálogo más amplio entre la Unión y terceros países, incluidos los Estados Unidos, sobre privacidad de los datos, comercio, seguridad y derechos conexos y objetivos de interés común; pide, por consiguiente, a todas las partes que colaboren con miras a la creación y la mejora constante de marcos internacionales viables y legislaciones nacionales que permitan alcanzar esos objetivos;

28.  Lamenta el calendario previsto para este debate y considera la presentación de la primera revisión anual conjunta el momento más adecuado para extraer las primeras conclusiones sobre el funcionamiento del Escudo de la privacidad UE-EE. UU.;

29.  Encarga a su presidente que transmita la presente Resolución a la Comisión, al Consejo, a los Parlamentos nacionales de los Estados miembros y al Congreso y el Gobierno de los Estados Unidos.