Resolução do Parlamento Europeu, de 5 de julho de 2018, sobre o nível de proteção adequado assegurado pelo escudo de proteção da privacidade UE-EUA (2018/2645(RSP))
O Parlamento Europeu,
– Tendo em conta o Tratado da União Europeia (TUE), o Tratado sobre o Funcionamento da União Europeia (TFUE) e os artigos 6.º, 7.º, 8.º, 11.º, 16.º, 47.º e 52.º da Carta dos Direitos Fundamentais da União Europeia (a Carta da UE),
– Tendo em conta o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (regulamento geral sobre a proteção de dados)(1) (RGPD), bem como a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou execução de sanções penais e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho(2),
– Tendo em conta o acórdão do Tribunal de Justiça da União Europeia, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems contra Data Protection Commissioner(3),
– Tendo em conta o acórdão do Tribunal de Justiça da União Europeia, de 21 de dezembro de 2016, nos processos C-203/15, Tele2 Sverige AB/Post-och telestyrelsen, e C-698/15, Secretary of State for the Home Department/Tom Watson e ooutros(4),
– Tendo em conta a Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016, relativa ao nível de proteção assegurado pelo escudo de proteção da privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho(5),
– Tendo em conta o parecer 4/2016 da Autoridade Europeia para a Proteção de Dados (AEPD), de 30 de maio de 2016, relativo ao projeto de decisão sobre o nível de proteção adequado do escudo de proteção da privacidade UE-EUA(6),
– Tendo em conta o Parecer 01/2016 do grupo de trabalho do artigo 29.º para a proteção de dados (WP29), de 13 de abril de 2016, relativo ao projeto de decisão sobre o nível de proteção adequado do escudo de proteção da privacidade UE-EUA(7) e a respetiva Declaração de 26 de julho de 2016(8),
– Tendo em conta o relatório da Comissão ao Parlamento Europeu e ao Conselho, de 18 de outubro de 2017, sobre a primeira reapreciação anual do funcionamento do escudo de proteção da privacidade UE-EUA (COM(2017)0611) e o documento de trabalho dos serviços da Comissão que acompanha o referido documento (SWD(2017)0344),
– Tendo em conta o documento do WP29 para a proteção de dados, de 28 de novembro de 2017, intitulado «EU-US Privacy Shield – First Annual Joint Review» (Escudo de proteção da privacidade UE-EUA – primeira reapreciação anual conjunta)(9),
– Tendo em conta a carta de resposta do WP29, de 11 de abril de 2018, sobre a renovação da autorização da secção 702 do Foreign Intelligence Surveillance Act (FISA) norte-americano,
– Tendo em conta a resolução do Parlamento Europeu, de 6 de abril de 2017, sobre o nível de proteção adequado assegurado pelo escudo de proteção da privacidade UE‑EUA(10),
– Tendo em conta o artigo 123.º, n.º 2, do seu Regimento,
A. Considerando que o Tribunal de Justiça da União Europeia, no seu acórdão de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems v. Data Protection Officer, invalidou a decisão «porto seguro» e esclareceu que um nível de proteção adequado num país terceiro deve ser entendido como «substancialmente equivalente» ao que é garantido na União Europeia, por força da Diretiva 95/46/CE, analisada à luz da Carta, o que requer que as negociações sobre um novo acordo sejam concluídas, de modo a garantir a segurança jurídica relativamente à forma como os dados pessoais devem ser transferidos da UE para os EUA;
B. Considerando que, ao apreciar o nível de proteção oferecido por um país terceiro, a Comissão é obrigada a avaliar o conteúdo das regras aplicáveis nesse país, decorrentes da sua legislação interna ou dos seus compromissos internacionais, bem como a prática destinada a assegurar o cumprimento dessas regras, uma vez que, nos termos do artigo 25.º, n.º 2, da Diretiva 95/46/CE, deve ter em conta todas as circunstâncias que rodeiam uma transferência de dados pessoais para um país terceiro; considerando que essa avaliação deve não só referir-se à legislação e às práticas relacionadas com a proteção de dados pessoais para fins comerciais e privados, mas também abranger todos os aspetos do quadro aplicável a esse país ou setor – em especial, mas não só, a aplicação da lei, a segurança nacional e o respeito dos direitos fundamentais;
C. Considerando que as transferências de dados pessoais entre organizações comerciais da UE e dos EUA são um elemento importante das relações transatlânticas à luz da permanentemente crescente digitalização da economia mundial; considerando que estas transferências devem ser realizadas no pleno respeito do direito à proteção dos dados pessoais e do direito à privacidade; considerando que a proteção dos direitos fundamentais, como consagrada na Cartada UE, é um dos objetivos fundamentais da UE;
D. Considerando que a Facebook, signatária do escudo de proteção da privacidade, confirmou que os dados de 2,7 milhões de cidadãos da UE estavam entre os utilizados indevidamente pela consultora política Cambridge Analytica;
E. Considerando que, no seu parecer 4/2016, a AEPD levanta várias questões sobre o projeto de escudo de proteção da privacidade; considerando que, no mesmo parecer, a AEPD se congratula com os esforços envidados por todas as partes para encontrar uma solução para as transferências de dados pessoais da UE para os EUA para fins comerciais ao abrigo de um sistema de autocertificação;
F. Considerando que, no seu parecer 01/2016 sobre o projeto de decisão de execução relativa ao nível de proteção adequado assegurado pelo escudo de proteção da privacidade UE-EUA, o WP29 se congratula com as melhorias introduzidas pelo escudo de proteção da privacidade em comparação com a decisão «porto seguro», suscitando também, simultaneamente, questões sérias sobre os aspetos comerciais e o acesso por parte das autoridades públicas aos dados transferidos ao abrigo do escudo de proteção da privacidade;
G. Considerando que, em 12 de julho de 2016, após conversações suplementares com o Governo dos EUA, a Comissão adotou a Decisão de Execução (UE) 2016/1250, que declara que se verifica o nível de proteção adequado dos dados pessoais transferidos da União para organizações nos Estados Unidos, ao abrigo do escudo de proteção da privacidade UE-EUA;
H. Considerando que o escudo de proteção da privacidade UE-EUA é acompanhado de uma série de cartas e declarações unilaterais do Governo dos EUA, que explicam, entre outros, os princípios da proteção de dados, o funcionamento da supervisão, da fiscalização e das vias de recurso e as proteções e garantias nos termos das quais as forças de segurança podem ter acesso e efetuar o tratamento dos dados pessoais;
I. Considerando que, na sua declaração de 26 de julho de 2016, o WP29 se congratula com as melhorias introduzidas pelo mecanismo do escudo de proteção da privacidade UE-EUA em relação ao regime «porto seguro» e louva a Comissão e as autoridades dos EUA por terem em conta as suas preocupações; considerando que o WP29 indica que, apesar disso, algumas das suas preocupações não são resolvidas, no que respeita quer os aspetos comerciais, quer o acesso por parte das autoridades públicas dos EUA aos dados transferidos da UE, como a ausência de regras específicas em matéria de decisões automatizadas e a ausência de um direito geral de oposição, a necessidade de garantias mais rigorosas sobre a independência e os poderes do mecanismo de mediação ou a ausência de garantias concretas sobre a não realização de uma recolha maciça e indiscriminada de dados pessoais (recolha em larga escala);
J. Considerando que, na sua resolução de 6 de abril de 2017, o Parlamento, embora reconhecendo que o escudo de proteção da privacidade UE-EUA contém melhorias significativas no que diz respeito à clareza das normas em comparação com o antigo sistema «porto seguro» UE-EUA, considera ainda que permanecem sem resposta questões importantes no que se refere a determinados aspetos comerciais, à segurança nacional e à aplicação da lei; considerando que exorta a Comissão a realizar, durante a primeira reapreciação anual conjunta, uma análise exaustiva e aprofundada de todas as lacunas e deficiências e a demonstrar de que modo estas foram abordadas, a fim de garantir o cumprimento da Carta da UE e da legislação da União, assim como a avaliar meticulosamente se os mecanismos e salvaguardas indicados nas garantias e esclarecimentos da Administração dos EUA são eficazes e viáveis;
K. Considerando que o relatório da Comissão ao Parlamentoe ao Conselho sobre a primeira reapreciação anual do funcionamento do escudo de proteção da privacidade UE-EUA e o documento de trabalho dos serviços da Comissão que acompanha o referido documento, embora reconheçam que as autoridades norte-americanas criaram as estruturas e os procedimentos necessários para assegurar o correto funcionamento do escudo de proteção da privacidade e concluam que os EUA continuam a assegurar um nível adequado de proteção dos dados pessoais transferidos ao abrigo do escudo de proteção da privacidade, apresentaram dez recomendações às autoridades dos EUA, a fim de abordar questões preocupantes relacionadas não só com as tarefas e atividades do Departamento do Comércio dos EUA (DoC), enquanto administrador responsável pelo acompanhamento do processo de certificação de organizações no âmbito do escudo de proteção da privacidade e pela aplicação dos respetivos princípios, mas também com a segurança nacional, tais como a renovação de autorização da Secção 702 da FISA, ou a nomeação de um Provedor de Justiça permanente e o facto dos membros do Privacy Civil Liberties Oversight Board (PCLOB, órgão de fiscalização para a proteção da privacidade e das liberdades cívicas) não terem ainda assumido funções;
L. Considerando que o parecer doWP29, de 28 de novembro de 2017, intitulado «EU-US Privacy Shield – First Annual Joint Review» (Escudo de proteção da privacidade UE-EUA – primeira reapreciação anual conjunta), na sequência da primeira reapreciação conjunta anual, reconhece os progressos do escudo de proteção da privacidade em comparação com a decisão «porto seguro» anulada; considerando que o WP29 reconhece os esforços envidados pelas autoridades dos EUA e pela Comissão para aplicar o escudo de proteção da privacidade;
M. Considerando que o WP29 identificou uma série de importantes questões pendentes que suscitam grande preocupação, no que diz respeito tanto a questões comerciais como ao acesso por parte das autoridades públicas dos EUA aos dados transferidos para os Estados Unidos ao abrigo do escudo de proteção da privacidade (para efeitos de aplicação da lei ou de segurança nacional), que devem ser abordadas pela Comissão e pelas autoridades dos EUA; considerando o grupo solicitou a criação imediata de um plano de ação para demonstrar que todas estas preocupações serão abordadas, o mais tardar, na segunda reapreciação conjunta;
N. Considerando que se não forem resolvidas as preocupações do WP29 nos prazos definidos, os membros do WP29tomarão as medidas adequadas, incluindo o recurso contra a decisão relativa à adequação do escudo de proteção da privacidade junto dos tribunais nacionais para que estes possam remeter a questão para o TJUE para decisão prejudicial;
O. Considerando que foi interposto perante o TJUE um recurso em anulação (Processo T-738/16, processo La Quadrature du Net e outros contra Comissão) e solicitada uma consulta do Supremo Tribunal irlandês no processo entre o Data Protection Commissioner (comissário para a proteção de dados) e a Facebook Ireland Ltd e Maximilian Schrems (processo Schrems II); considerando que a consulta frisa que a vigilância em larga escala ainda prossegue e analisa se existem medidas de recurso efetivas na legislação americana para os cidadãos da UE cujos dados pessoais sejam transferidos para os Estados Unidos;
P. Considerando que, em 11 de janeiro de 2018, o Congresso dos EUA voltou a autorizar a Secção 702 do FISA por um período de seis anos, sem abordar as preocupações constantes do relatório de apreciação conjunta da Comissão e do parecer do WP29;
Q. Considerando que, enquanto parte da legislação omnibus relativa ao orçamento promulgada em 23 de março de 2018, o Congresso dos EUA aprovou o Clarifying Overseas Use of Data (CLOUD) Act, que facilita o acesso das autoridades de aplicação da lei ao conteúdo das comunicações e a outros dados conexos, permitindo às autoridades responsáveis pela aplicação da lei dos EUA obrigar à apresentação de dados de comunicações, mesmo que armazenados fora dos Estados Unidos, e permitindo que certos países estrangeiros celebrarem acordos de execução com os Estados Unidos a fim de autorizar os prestadores de serviços dos EUA a responder a determinadas decisões estrangeiras que solicitem acesso a dados de comunicações;
R. Considerando que as empresas Facebook Inc., Cambridge Analytica e SCL Elections Ltd são empresas certificadas no âmbito do escudo de proteção da privacidade e, como tal, beneficiaram da decisão de adequação como fundamento jurídico para a transferência e o tratamento posterior de dados pessoais a partir da União Europeia para os Estados Unidos;
S. Considerando que, nos termos do artigo 45.º, n.º 5, do RGPD, sempre que as informações disponíveis revelem que um país terceiro não assegura um nível de proteção adequado, a Comissão deve revogar, alterar ou suspender a sua decisão de adequação;
1. Destaca as deficiências persistentes do escudo de proteção da privacidade no que se refere ao respeito pelos direitos fundamentais dos titulares dos dados; sublinha o crescente risco de o TJUE poder invalidar a Decisão de Execução (UE) 2016/1250 da Comissão sobre o escudo de proteção da privacidade;
2. Regista as melhorias em relação ao acordo «porto seguro», nomeadamente a inclusão de definições fundamentais, de obrigações mais rigorosas relativamente à conservação de dados e a transferências ulteriores para países terceiros, a criação de um Provedor de Justiça para garantir reparações individuais e a supervisão independente, controlos e equilíbrios que assegurem o respeito dos direitos dos titulares dos dados (PCLOB), verificações de conformidade externas e internas, documentação e acompanhamento mais regulares e rigorosos, disponibilidade de várias formas de exercício de vias de recurso e o papel de relevo conferido às autoridades nacionais de proteção de dados na instrução das queixas;
3. Recorda que o WP29 estabeleceu o prazo de 25 de maio de 2018 para resolver as questões pendentes, sob pena de poder recorrer do escudo de proteção da privacidade junto dos tribunais nacionais para que estes possam remeter a questão para o TJUE para decisão prejudicial(11);
Questões institucionais/Nomeações
4. Lamenta que tenha sido extremamente demorada a decisão de nomear dois membros adicionais, juntamente com a nomeação do presidente da PCLOB, e insta o Senado a examinar os perfis dos candidatos indigitados, de modo a ratificar a designação para repor o quórum do organismo independente e permitir que cumpra as suas missões de prevenção do terrorismo e de garantia de proteção da privacidade e das liberdades cívicas;
5. Manifesta a sua preocupação pelo facto de a ausência de presidente e a falta de quórum terem limitado a capacidade do PCLOB agir e cumprir as suas obrigações; destaca que, durante o período em que não está reunido quórum, o PCLOB não pode iniciar novos projetos de aconselhamento ou de supervisão, nem contratar pessoal; recorda que a PCLOB ainda não publicou o seu há muito aguardado relatório sobre a execução da fiscalização nos termos do Decreto Presidencial 12333 para fornecer informações sobre o funcionamento concreto do referido Decreto Presidencial e sobre a sua necessidade e proporcionalidade no que diz respeito a ingerências no domínio da proteção de dados neste contexto; observa que este relatório é altamente desejado, tendo em conta a incerteza e imprevisibilidade da forma como o Decreto Presidencial 12333 é utilizado; lamenta que a PCLOB não tenha publicado um novo relatório sobre a Secção 702 da FISA antes de esta ter sido novamente autorizada, em janeiro de 2018; considera que a falta de quórum compromete seriamente as garantias de cumprimento e fiscalização dadas pelas autoridades dos EUA neste domínio; insta, por conseguinte, as autoridades dos EUA a nomear e confirmar os novos membros do conselho de administração, sem demora;
6. Tendo em conta o facto de a Presidential Policy Directive 28 (PPD 28) ser um dos principais elementos nos quais assenta o escudo de proteção da privacidade, solicita a divulgação do relatório da PCLOB sobre a PPD 28, ainda sujeito ao privilégio presidencial e, por conseguinte, ainda não publicado;
7. Reitera a sua posição de que o mecanismo de provedor criado pelo Departamento de Estado dos EUA não é suficientemente independente e não está dotado de poderes suficientes para exercer as suas funções e proporcionar vias de recurso efetivas aos cidadãos da UE; salienta que as competências exatas do mecanismo de provedor devem ser clarificadas, em especial no que diz respeito às suas competências em relação à comunidade da informação e ao nível de recurso efetivo contra as suas decisões; lamenta que o provedor só possa solicitar ação e informações aos organismos governamentais dos EUA, não podendo ordenar às autoridades que façam cessar ou suspender a vigilância ilegal, ou destruir permanentemente a informação; salienta que, embora exista um provedor em exercício, até à data, a administração dos EUA ainda não nomeou um novo provedor permanente, o que não contribui para a confiança mútua; considera que, perante a falta de um provedor independente, experiente e investido de poderes suficientes, as garantias apresentadas pelos EUA no que diz respeito à disponibilização de vias de recurso efetivas aos cidadãos da EU são nulas e sem efeito;
8. Reconhece a recente confirmação, por parte do Senado, de um novo presidente da Comissão Federal do Comércio (FTC) e de quatro comissários da FTC; lamenta que, até à referida confirmação, quatro dos cinco lugares da FTC tenham permanecido vagos, considerando que a FTC é a agência competente para impor às organizações dos EUA o respeito dos princípios do escudo de proteção da privacidade;
9. Salienta que as recentes revelações sobre as práticas da Facebook e da Cambridge Analytica frisam a necessidade de uma supervisão pró-ativa e de medidas de execução, que não só se baseiem em denúncias mas incluam controlos sistemáticos da conformidade, na prática, das políticas de privacidade com os princípios do escudo de proteção da privacidade ao longo de todo o ciclo de certificação; insta as autoridades competentes em matéria de proteção de dados da UE a tomarem as medidas adequadas e suspenderem as transferências em caso de não cumprimento;
Questões Comerciais
10. Considera que, a fim de garantir a transparência e evitar falsas declarações de certificação, o DoC não deve tolerar que as empresas dos EUA façam declarações públicas sobre a sua certificação antes de ter terminado o processo de certificação e as ter registado na lista de organizações do escudo de proteção da privacidade; manifesta a sua preocupação com o facto de o DoC não ter aproveitado a possibilidade prevista no escudo de proteção da privacidade de solicitar cópias das cláusulas contratuais utilizadas por empresas certificadas nos seus contratos com terceiros para garantir a conformidade; considera, por conseguinte, que não existe qualquer controlo eficaz do cumprimento efetivo, por parte das empresas certificadas, das disposições do escudo de proteção da privacidade; insta o DoC a realizar, de forma pró-ativa e numa base regular, verificações ex officio para monitorizar a o cumprimento efetivo, por parte das empresas, das regras e dos requisitos do escudo de proteção da privacidade;
11. Considera que os diversos procedimentos de recurso para os cidadãos da UE se podem revelar demasiado complexos, difíceis de utilizar, e, por conseguinte, ser menos eficazes; assinala que, tal como sublinhado pelas empresas que disponibilizam mecanismos de recurso independentes, a maioria das queixas são apresentadas diretamente às empresas por pessoas que procuram informações gerais sobre o escudo de proteção da privacidade e o tratamento dos seus dados; recomenda, por conseguinte, que se as autoridades dos EUA ofereçam informações mais concretas no sítio Web do escudo de proteção da privacidade, de uma forma acessível e facilmente compreensível para os cidadãos, relativamente aos seus direitos e aos recursos e compensações disponíveis;
12. Insta as autoridades norte-americanas responsáveis pela aplicação do escudo de proteção da privacidade, tendo em conta as recentes revelações de utilização abusiva de dados pessoais por empresas certificadas ao abrigo do referido escudo, como a Facebook e a Cambridge Analytica, a reagir, sem demora, a tais revelações, no pleno respeito das garantias e dos compromissos assumidos para respeitar o atual acordo relativo ao escudo de proteção da privacidade e, se necessário, retirar essas empresas da lista do escudo de proteção da privacidade; insta igualmente as autoridades de proteção de dados da UE competentes investigarem em estas revelações e, se for caso disso, a suspenderem ou proibirem as transferências de dados ao abrigo do escudo de proteção da privacidade; considera que as revelações mostram claramente que o mecanismo do escudo de proteção da privacidade não proporciona uma proteção adequada do direito à proteção dos dados pessoais;
13. Manifesta-se seriamente preocupado com a alteração das condições de utilização do Facebook para utilizadores de países terceiros fora dos Estados Unidos e do Canadá, que até agora beneficiavam de direitos nos termos da legislação de proteção de dados da UE e que agora têm de aceitar a Facebook U.S., em vez da Facebook Ireland, como responsável pelo tratamento de dados; considera que tal constitui uma transferência de dados pessoais de cerca de 1,5 mil milhões de utilizadores para um país terceiro; duvida seriamente que uma tal limitação, em grande escala e sem precedentes, dos direitos fundamentais dos utilizadores de uma plataforma que beneficia de monopólio de facto corresponda à finalidade pretendida com o escudo de proteção da privacidade; insta as autoridades de proteção de dados da UE a investigarem este assunto;
14. Manifesta a sua profunda preocupação pelo facto de, se a questão não for abordada, tais utilizações abusivas de dados pessoais por várias entidades com vista a manipular opiniões políticas ou comportamentos de voto poderem ameaçar o processo democrático e a sua lógica subjacente, segundo a qual os eleitores podem fazer escolhas informadas e tomar decisões baseadas em factos, por si próprios;
15. Saúda e apoia os apelos dirigidos ao legislador norte-americano no sentido de envidar esforços em prol da adoção legislação abrangente em matéria de privacidade e de proteção de dados;
16. Recorda as suas preocupações relativamente à falta de regras e de garantias específicas no escudo de proteção da privacidade no que respeita a decisões baseadas num tratamento/definição de perfis automatizado, que produz efeitos jurídicos ou afeta significativamente as pessoas singulares; reconhece a intenção da Comissão de encomendar um estudo para recolher provas factuais e avaliar a relevância das decisões automatizadas de transferências de dados ao abrigo do escudo de proteção da privacidade; insta a Comissão a prever regras específicas sobre decisões automatizadas para oferecer salvaguardas suficientes se o estudo o recomendar; regista, a este respeito, as informações resultantes da revisão conjunta, segundo as quais não podem ser tomadas decisões automatizadas com base em dados pessoais transferidos no âmbito do escudo de proteção da privacidade; lamenta que, de acordo com o grupo de trabalho do artigo 29.º, o feedback das empresas tenha sido muito geral, deixando pouco claro se estas afirmações correspondem à realidade de todas as empresas aderentes ao escudo de proteção da privacidade; salienta, além disso, a aplicabilidade do Regulamento Geral sobre a Proteção de Dados, nas condições previstas no artigo 3.º, n.º 2, do RGPD;
17. Frisa que devem ser introduzidas mais melhorias no que respeita à interpretação e ao tratamento de dados no domínio dos recursos humanos devido à leitura diferente da noção de «dados no domínio dos recursos humanos » do Governo dos EUA, por um lado, e da Comissão e do grupo de trabalho do artigo 29.º, por outro lado; concorda plenamente com o apelo do grupo de trabalho do artigo 29.º à Comissão para que encete negociações com as autoridades dos EUA para alterar o mecanismo do escudo de proteção da privacidade a este respeito;
18. Reitera a sua preocupação de que os princípios do escudo de proteção da privacidade não seguem o modelo da UE de tratamento baseado no consentimento prévio, apenas permitindo, pelo contrário, a autoexclusão ou o exercício do direito de oposição em circunstâncias muito específicas; exorta o DoC, por conseguinte, à luz da reapreciação conjunta, a colaborar com as autoridades de proteção de dados europeias para fornecer orientações mais precisas no que diz respeito aos princípios essenciais do escudo de proteção da privacidade, como o princípio da escolha, o princípio da notificação, as transferências ulteriores, as relações entre o responsável pelo tratamento e o subcontratante e o acesso, que beneficiam de uma harmonização bem superior com os direitos do titular dos dados nos termos do Regulamento (UE) 2016/679;
19. Reitera as suas preocupações com a rejeição pelo Congresso, em março de 2017, da norma apresentada pela Comissão Federal para as Comunicações relativa à «Proteção da privacidade dos clientes de serviços de banda larga e de outros serviços de telecomunicações», o que, na prática, elimina as normas de proteção da privacidade nos serviços de banda larga que obrigam os fornecedores de serviços de acesso à Internet a obter o consentimento explícito dos consumidores antes de venderem ou partilharem dados relativos à navegação na Internet e outras informações privadas a anunciantes e outras empresas; considera que isto constitui mais uma ameaça às salvaguardas em matéria de privacidade nos Estados Unidos;
Questões relacionadas com a aplicação da lei e com a segurança nacional
20. Considera que o conceito de «segurança nacional» no mecanismo do escudo de proteção da privacidade não é especificamente circunscrito para garantir que as violações da proteção de dados possam ser efetivamente revistas em tribunal para garantir a conformidade com um teste rigoroso do que pode ser considerado necessário e proporcional; apela, por conseguinte, a uma definição clara de «segurança nacional»;
21. Regista que o número de objetivos nos termos da Secção 702 do FISA aumentou devido à evolução das tecnologias e dos padrões de comunicação, bem como a um contexto de ameaças em evolução;
22. Lamenta que os EUA não tenham aproveitado a oportunidade da recente renovação da autorização da Secção 702 do FISA para incluir as salvaguardas previstas na PPD 28; apela à apresentação de elementos de prova e a compromissos juridicamente vinculativos para garantir que a recolha de dados no âmbito da Secção 702 do FISA não seja indiscriminada e que o acesso não seja generalizado (recolha em larga escala), em contraste com a Carta da UE; regista as explicações da Comissão no seu documento de trabalho, segundo as quais a vigilância ao abrigo da Secção 702 do FISA é sempre baseada em seletores e, por conseguinte, não permite a recolha em larga escala; une a sua voz, por conseguinte, aos apelos do grupo de trabalho do artigo 29.º a que a PCLOB apresente um relatório atualizado sobre a definição de «metas», a «escolha de seletores» e o processo concreto de aplicação dos seletores no contexto do programa UPSTREAM, para clarificar e avaliar se o acesso em larga escala a dados pessoais ocorre nesse quadro; deplora que os cidadãos da UE sejam excluídos da proteção suplementar prevista na renovação da autorização da Secção 702 do FISA; lamenta que a renovação da autorização da Secção 702 contenha várias alterações que são meramente processuais e não dão resposta às questões mais problemáticas, como também já constatado pelo grupo de trabalho do artigo 29.º; insta a Comissão a encarar com toda a seriedade a próxima análise da Secção 702 do FISA por parte do grupo de trabalho do artigo 29.º e a agir em conformidade;
23. Afirma que a renovação da autorização da Secção 702 do FISA por mais seis anos põe em causa a legalidade do escudo de proteção da privacidade;
24. Reitera as suas preocupações relativamente ao Decreto Presidencial 12333, que autoriza a NSA a partilhar vastas quantidades de dados privados recolhidos sem mandato, ordens judiciais ou autorização do Congresso, com 16 agências, incluindo o FBI, a Drug Enforcement Agência e o Department of Homeland Security; lamenta a ausência de qualquer fiscalização jurisdicional das atividades de vigilância efetuadas com base no Decreto Presidencial 12333;
25. Realça os obstáculos que subsistem no tocante ao recurso dos cidadãos não americanos sujeitos a uma medida de vigilância com base na Secção 702 do FISA ou do Decreto Presidencial 12333, devido aos requisitos processuais relacionados com a competência para agir («standing»), tal como atualmente interpretados pelos tribunais dos EUA, para permitir que os cidadãos não americanos intentem ações judiciais perante os tribunais dos EUA contra as decisões que lhes digam respeito.
26. Manifesta a sua preocupação com as consequências do Decreto Presidencial 13768 sobre o reforço da segurança pública no interior dos Estados Unidos no que respeita às vias de recurso administrativo e judicial disponíveis para as pessoas nos EUA, uma vez que as proteções do Privacy Act já não se aplicam aos cidadãos não americanos; regista a posição da Comissão de que a avaliação da adequação não se baseia nas proteções do Privacy Act e que, por conseguinte, este decreto presidencial não afeta o escudo de proteção da privacidade; considera que o Decreto Presidencial 13768 demonstra, no entanto, a intenção do executivo dos EUA de inverter as garantias de proteção de dados previamente concedidas aos cidadãos da UE e de ignorar os compromissos assumidos com a UE durante a presidência de Barack Obama;
27. Manifesta a sua profunda preocupação com a recente adoção do Clarifying Lawful Overseas Use of Data Act, ou ato CLOUD, (H.R. 4943), que alarga as capacidades das agências de aplicação da lei americanas e estrangeiras a aceder aos dados da população além das fronteiras internacionais, sem utilizar o tratado de auxílio judiciário mútuo (MLAT), que prevê salvaguardas adequadas e respeita as competências judiciárias dos países onde se encontra a informação; sublinha que o ato CLOUD poderia ter graves implicações para a UE, uma vez que é abrangente e cria um conflito potencial com a legislação da UE sobre proteção de dados;
28. Considera que uma solução mais equilibrada teria sido a de reforçar o atual sistema internacional de MLATs, tendo em vista promover a cooperação internacional e judiciária; reitera que, conforme previsto no artigo 48.º do Regulamento (UE) 679/2016 RGPD, os acordos de auxílio judicial mútuo e outros acordos internacionais constituem os mecanismos preferenciais de concessão de acesso a dados pessoais em países estrangeiros;
29. Lamenta que as autoridades dos EUA não tenham respeitado, de forma pró-ativa, o compromisso de fornecer à Comissão informações atempadas e exaustivas sobre qualquer evolução que possa ser de interesse para o escudo de proteção da privacidade, incluindo a não notificação à Comissão das alterações do quadro jurídico dos EUA, por exemplo, no que diz respeito ao Decreto Presidencial 13768 do Presidente Trump sobre o reforço da segurança pública no interior dos Estados Unidos, ou à revogação das regras de privacidade para os fornecedores de serviços via Internet;
30. Recorda que, como indicado na sua resolução de 6 de abril de 2017, nem o escudo de proteção da privacidade nem as cartas da Administração dos EUA fornecem esclarecimentos e garantias que demonstrem a existência de direitos de recurso judicial efetivo para os cidadãos na UE no contexto da utilização dos seus dados pessoais pelas autoridades dos EUA para fins policiais e de interesse público, o que foi sublinhado pelo TJUE, no seu acórdão de 6 de outubro de 2015 como constituindo a essência do direito fundamental consagrado no artigo 47.º da Carta da UE;
Conclusões
31. Insta a Comissão a tomar todas as medidas necessárias para assegurar que o escudo de proteção da privacidade respeite plenamente o Regulamento (UE) 2016/679, que deve ser aplicado a partir de 25 de maio de 2018, e a Carta da UE, de modo a que a adequação não suscite lacunas nem traga vantagens competitivas para as empresas dos EUA;
32. Lamenta que a Comissão e as autoridades competentes dos EUA não tenham retomado os debates sobre o escudo de proteção da privacidade e não tenham criado qualquer plano de ação para solucionar o mais rapidamente possível as deficiências identificadas, como solicitado pelo grupo de trabalho do artigo 29.º no seu relatório de dezembro sobre a reapreciação conjunta; insta a Comissão e as autoridades competentes dos EUA a fazê-lo sem mais demora;
33. Recorda que a privacidade e a proteção de dados são direitos fundamentais juridicamente vinculativos, consagrados nos Tratados, na Carta dos Direitos Fundamentais da União Europeia e na Convenção Europeia dos Direitos do Homem, bem como em leis e na jurisprudência; salienta que estes direitos devem ser defendidos de forma a não dificultar desnecessariamente o comércio ou as relações internacionais, mas que não podem ser contrabalançados com os interesses comerciais ou políticos;
34. Considera que o atual escudo de proteção da privacidade não oferece o nível de proteção adequado exigido pela legislação da União em matéria de proteção de dados e pela Carta, tal como interpretado pelo Tribunal de Justiça da União Europeia;
35. Considera que, a menos que os EUA garantam a plena conformidade até 1 de setembro de 2018, a Comissão não agiu em conformidade com o artigo 45.º, n.º 5, do RGPD; insta, por conseguinte, a Comissão a suspender o escudo de proteção da privacidade, até as autoridades dos EUA respeitarem plenamente os seus termos;
36. Encarrega a sua Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos de continuar a acompanhar os desenvolvimentos neste domínio, nomeadamente em processos perante o TJUE, assim como a monitorizar o seguimento dado às recomendações formuladas na resolução;
o o o
37. Encarrega o seu Presidente de transmitir a presente resolução ao Conselho, à Comissão, aos governos e parlamentos dos Estados-Membros e ao Conselho da Europa.