El Parlamento Europeo,

–  Vistas las declaraciones del Consejo y de la Comisión durante el debate celebrado en el Parlamento el 31 de enero de 2007, tras la pregunta oral sobre SWIFT, así como las negociaciones sobre un nuevo acuerdo sobre el registro del nombre del pasajero (PNR) entre la CE y los EE.UU.,

–  Vista la carta de respuesta del Banco Central Europeo, de 30 de enero de 2007, a la pregunta que le fue formulada, en la que se afirmaba que el BCE no informó a las autoridades responsables de protección de datos ni a los bancos nacionales de las prácticas estadounidenses consistentes en acceder a los datos relativos a las transacciones financieras generados por el sistema SWIFT, así como de utilizar su poder de persuasión moral con respecto al sistema SWIFT en este asunto,

−  Vistos los dictámenes del Grupo de protección de las personas en lo que respecta al tratamiento de datos personales previsto en el artículo 29 de la Directiva sobre protección de datos(1) (grupo de trabajo del artículo 29) sobre el futuro acuerdo PNR y del Supervisor Europeo de Protección de Datos (SEPD) sobre el papel del BCE en el asunto SWIFT,

–  Visto el apartado 2 del artículo 103 de su Reglamento,

A.  Considerando que la puesta en común de datos e información constituye una herramienta valiosa en la lucha internacional contra el terrorismo y la delincuencia conexa,

B.  Considerando que las empresas que operan a ambos lados del Atlántico se ven confrontadas cada vez con mayor frecuencia a requisitos jurídicos contradictorios de las jurisdicciones de los EE.UU. y la CE,

C.  Considerando que la puesta en común de datos personales debe basarse en un fundamento jurídico adecuado, vinculado a normas y condiciones claras, y debe estar cubierta por una protección adecuada de la privacidad y las libertades civiles de los ciudadanos,

D.  Considerando que la lucha contra el terrorismo y la delincuencia debe tener una legitimación democrática apropiada, para lo cual los programas de puesta en común de datos deben estar sujetos en todo momento al control parlamentario y a la revisión judicial,

Aspectos generales

1.  Subraya que, durante los últimos años, varios acuerdos impulsados por exigencias de los EE.UU. y aprobados sin intervención alguna del Parlamento Europeo, en particular los relativos al acuerdo PNR y al memorándum SWIFT, así como la existencia del sistema estadounidense de detección automática (ATS), han generado una situación de inseguridad jurídica con respecto a las garantías necesarias de protección de datos para compartir y transferir datos entre la UE y los EE.UU. con objeto de garantizar la seguridad pública y, en particular, prevenir y combatir el terrorismo;

2.  Insiste en que las soluciones contempladas hasta la fecha por el Consejo y por la Comisión, así como por las empresas privadas, no protegen adecuadamente los datos personales de los ciudadanos de la UE (aspecto recogido también en la carta del Sr. Schaar, Presidente del Grupo de trabajo del artículo 29, sobre el nuevo acuerdo provisional PNR), y considera que ello podría constituir una violación de la legislación comunitaria y nacional, al igual que en el caso de SWIFT (véase el dictamen 10/2006 del Grupo de trabajo del artículo 29 de 22 de noviembre de 2006 y el dictamen del SEPD de 1 de febrero de 2007);

3.  Observa que, en el marco de la lucha contra el terrorismo, el Congreso de los Estados Unidos lleva algún tiempo pidiendo al Gobierno del país que adopte medidas más específicas que garanticen mejor la privacidad y que estén sometidas al control parlamentario y judicial (tal como se solicitó cuando el Congreso tuvo conocimiento de la existencia del programa de escuchas telefónicas de la Agencia de Seguridad Nacional (NSA));

4.  Confirma sus reservas, compartidas recientemente por el Congreso de los Estados Unidos, en cuanto al método de elaboración de perfiles y extracción de datos, que consiste en acumular de forma indiscriminada un volúmen cada vez mayor de datos personales, como en el caso del sistema ATS utilizado por el Gobierno estadounidense;

5.  Celebra que el Gobierno estadounidense haya tomado nota de estas reservas recientemente y se proponga mejorar la situación con las siguientes medidas:

6.  Considera, no obstante, que estas mejoras son insuficientes por lo que respecta a la protección de los datos de los ciudadanos de la UE y que sería muy oportuno que la Ley de Privacidad de 1974 también pudiera aplicarse a los ciudadanos de la Unión Europea con carácter recíproco, de forma que puedan tener acceso a sus datos, sin excluir la posibilidad de rectificarlos o modificarlos, así como a un mecanismo de recurso legal y a una autoridad independiente de protección de datos;

7.  Reitera su convencimiento de que tales garantías en materia de protección de datos facilitarían la puesta en común de datos, al tiempo que garantizarían la protección de la privacidad, y que esas transferencias deberían basarse en todo caso en uno o varios acuerdos internacionales con una estructura similar a la del Acuerdo CE/EE.UU. de cooperación judicial en materia penal y extradición, actualmente en curso de examen por el Congreso de los EE.UU.;

8.  Considera que, puesto que esos acuerdos internacionales afectan a los derechos fundamentales de los ciudadanos tanto de la Unión Europea como estadounidenses, el Parlamento Europeo y los Parlamentos nacionales de los Estados miembros deberían participar plenamente, al igual que el Congreso de los EE.UU.;

9.  Insiste en que, en materia de protección de datos, los acuerdos deberían aspirar a alcanzar un elevado nivel de protección de datos por lo que respecta a los riesgos de abusos y deberían ser completados con principios vinculantes a escala de la UE por lo que se refiere a la protección de datos con fines de seguridad (tercer pilar);

10.  Subraya la necesidad de adoptar una decisión marco sobre la protección de los datos personales en el tercer pilar; recuerda que, en su posición aprobada por unanimidad el 27 de septiembre de 2006(2), solicitaba que dicha decisión fuera amplia y ambiciosa en cuanto a su ámbito de aplicación y que estableciera que las normas de protección de datos incluyan también el intercambio de datos personales con terceros países;

11.  Considera necesario definir con los EE.UU. un marco común y compartido para proteger las garantías necesarias en la asociación especial UE-EE.UU. en la lucha contra el terrorismo; considera que este marco también podría contemplar todos los aspectos relacionados con la libre circulación de personas entre la UE y los Estados Unidos;

12.  Confía en que esta estrategia de la asociación transatlántica sea debatida en la próxima Cumbre UE/EE.UU. de 30 de abril de 2007, y considera que, con esta perspectiva, es necesario reforzar los contactos entre el Parlamento y el Congreso de los EE.UU.; solicita que:

Negociación del acuerdo PNR a largo plazo

13.  Subraya que, además de los puntos ya aprobados por el Parlamento en la citada posición de 27 de septiembre de 2006, un futuro acuerdo PNR a largo plazo debería basarse en los principios siguientes:

Acceso a los datos SWIFT

14.  Reitera su preocupación por el hecho de que, durante cuatro años, SWIFT, mediante mandamientos judiciales, ha estado transfiriendo al Gobierno de los Estados Unidos subconjuntos de datos tratados en su sistema estadounidense, incluidos datos que no afectaban a los ciudadanos estadounidenses y datos no generados en el territorio de los EE.UU., debido a la decisión de SWIFT, basada en razones comerciales y sistémicas, de contar con una duplicación sistemática de los datos en un sistema de información basado en los EE.UU. que actúa como espejo, violando así las legislaciones europea y nacionales en materia de protección de datos;

15.  Considera muy preocupante que esta situación, que infringe el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales y la Carta de los Derechos Fundamentales de la Unión Europea, así como los Tratados y el Derecho derivado (Directiva sobre protección de datos y Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos(4)), no haya sido criticada enérgicamente en una fase anterior por el BCE o por el Grupo de diez Bancos Centrales que supervisa las actividades de SWIFT, y que los bancos europeos y sus clientes sólo se hayan enterado recientemente de esta situación por la prensa;

16.  Lamenta profundamente que, varios meses después de que estas cuestiones salieran a la luz, el Consejo aún no haya adoptado una posición sobre un tema que afecta a tantos ciudadanos, consumidores y empresas, y que sólo siete de los veintisiete Estados miembros hayan respondido al formulario enviado por la Comisión para obtener aclaraciones sobre las legislaciones nacionales y comunitaria en materia de protección de datos;

17.  Reitera su preocupación en lo que se refiere al actual sistema de supervisión de SWIFT, cuya responsabilidad corresponde al Grupo de diez bancos centrales, bajo el control del BCE, pero sin competencia formal; pide al Consejo y al BCE que reflexionen juntos sobre la manera de mejorar este sistema para garantizar el funcionamiento correcto del proceso de alerta con todas sus consecuencias en relación con las medidas que deben adoptarse;

18.  Respalda la opinión del SEPD sobre el papel del BCE y pide al BCE que:

19.  Reitera su convencimiento de que, en condiciones claramente definidas, los datos generados en las transacciones financieras pueden utilizarse exclusivamente a fines de investigación judicial en conexión con la sospecha de financiación del terrorismo, y recuerda que tanto la UE como los EE.UU. han aplicado la Recomendación VII del FATF en sus legislaciones respectivas (Reglamento (CE) nº 1781/2006 del Parlamento Europeo y del Consejo, de 15 de noviembre de 2006, relativo a la información sobre los ordenantes que acompaña a las transferencias de fondos(5) y Ley del Secreto Bancario);

20.  Recuerda que, desde el 31 de diciembre de 2006, y de conformidad con la Recomendación VII del FATF, las instituciones financieras están obligadas a recopilar y conservar registros de algunos datos específicos en relación con las transferencias de fondos de al menos 1 000 dólares en Europa (3 000 dólares en los EE.UU.), y que todos estos registros deben entregarse o ponerse a disposición de las autoridades previa petición(6);

21.  Considera que la UE y los EE.UU. son aliados esenciales y leales en la lucha contra el terrorismo y que, por consiguiente, este marco legislativo debería constituir la base de la negociación sobre un posible acuerdo internacional, basado en el supuesto de que SWIFT, como empresa belga, está sujeta a la legislación belga y es por tanto responsable del tratamiento de los datos de conformidad con el artículo 4, apartado 1, de la Directiva 95/46/CE; señala que la consecuencia natural sería que SWIFT fuera obligada a poner fin a su práctica actual de reflejar todos los datos relativos a ciudadanos y empresas de la UE en su sitio estadounidense o bien a desplazar su base de datos alternativa fuera de la jurisdicción estadounidense; insta a que este acuerdo internacional ofrezca garantías suficientes contra el abuso de datos con fines económicos y comerciales;

22.  Señala que SWIFT también presta servicios fuera de la Unión Europea y de los Estados Unidos, por lo que considera que cualquier medida que se adopte debe tener en cuenta el aspecto global de los servicios de SWIFT;

23.  Pide a la Comisión, competente tanto para la protección de datos como para la legislación sobre los sistemas de pago, que analice el potencial de espionaje económico y comercial resultante del diseño actual de los sistemas de pago en su sentido más amplio, que incluye, en particular, a los proveedores de servicios de mensajería, y que informe sobre las posibilidades para solucionar este problema;

24.  Observa que los servicios financieros pueden quedar exentos del Acuerdo de puerto seguro, tal como afirma el Grupo de trabajo del artículo 29 en su dictamen 10/2006; manifiesta su preocupación por el hecho de que las empresas y los sectores europeos que operan en los Estados Unidos y no están cubiertos por el Acuerdo de puerto seguro puedan ser obligados actualmente a facilitar datos personales a las autoridades estadounidenses, en particular a las filiales estadounidenses de bancos, compañías de seguros, instituciones de la seguridad social y prestadores de servicios de telecomunicaciones europeos; pide a la Comisión que investigue urgentemente esta situación;

o
o   o

25.  Encarga a su Presidente que transmita la presente Resolución al Consejo, a la Comisión y a los Gobiernos y los Parlamentos de los Estados miembros, así como al Congreso de los Estados Unidos.

(1) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31). (2) Textos Aprobados, P6_TA(2006)0370. (3) DO L 220 de 29.7.1989, p. 1. (4) DO L 8 de 12.1.2001, p. 1. (5) DO L 345 de 8.12.2006, p. 1. (6) Véase el informe publicado el 17 de enero de 2006 por FinCEN Financial Crimes Enforcement Network sobre la facilitación de datos sobre las transferencias electrónicas transfronterizas: http://www.fincen.gov/news_release_cross_border.html).