Índice 
 Anterior 
 Siguiente 
 Texto íntegro 
Procedimiento : 2020/2789(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento : B9-0267/2021

Textos presentados :

B9-0267/2021

Debates :

PV 20/05/2021 - 8
CRE 20/05/2021 - 7
CRE 20/05/2021 - 8

Votaciones :

PV 20/05/2021 - 12
PV 20/05/2021 - 20
CRE 20/05/2021 - 12

Textos aprobados :

P9_TA(2021)0256

Textos aprobados
PDF 174kWORD 57k
Jueves 20 de mayo de 2021 - Bruselas
Data Protection Commissioner / Facebook Ireland Limited y Maximillian Schrems («Schrems II»), C-311/18
P9_TA(2021)0256B9-0267/2021

Resolución del Parlamento Europeo, de 20 de mayo de 2021, sobre la sentencia del Tribunal de Justicia de 16 de julio de 2020, Data Protection Commissioner / Facebook Ireland Limited y Maximillian Schrems («Schrems II»), C‑311/18 (2020/2789(RSP))

El Parlamento Europeo,

–  Vista la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), en particular sus artículos 7, 8, 16, 47 y 52,

–  Vista la sentencia del Tribunal de Justicia de 16 de julio de 2020, Data Protection Commissioner / Facebook Ireland Limited y Maximillian Schrems («Schrems II»), C‑311/18(1),

–  Vista la sentencia del Tribunal de Justicia de 6 de octubre de 2015, Maximillian Schrems / Data Protection Commissioner («Schrems I»), C‑362/14(2),

–  Vista la sentencia del Tribunal de Justicia de 6 de octubre de 2020, Privacy International / Secretary of State for Foreign and Commonwealth Affairs y otros, C‑623/17(3),

–  Vista su Resolución, de 26 de mayo de 2016, sobre los flujos transatlánticos de datos(4),

–  Vista su Resolución, de 6 de abril de 2017, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.(5),

–  Vista la Resolución del Parlamento Europeo, de 5 de julio de 2018, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.(6),

–  Vista la Resolución del Parlamento Europeo, de 25 de octubre de 2018, sobre la utilización de los datos de los usuarios de Facebook por parte de Cambridge Analytica y el impacto en la protección de los datos(7),

–  Vista la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (notificada con el número C(2010) 593)(8),

–  Vista la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (notificada con el número C(2016) 4176)(9),

–  Vista su Resolución, de 26 de noviembre de 2020, sobre la revisión de la política comercial de la UE(10),

–  Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)(11), en particular su capítulo V,

–  Vista la propuesta de la Comisión de un Reglamento sobre la privacidad y las comunicaciones electrónicas (COM (2017)0010), vista la decisión de entablar negociaciones interinstitucionales confirmada por el Pleno del Parlamento el 25 de octubre de 2017, y la orientación general del Consejo aprobada el 10 de febrero de 2021 (6087/21),

–  Vistas las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos (CEPD) sobre las medidas que complementan los instrumentos de transferencia para garantizar el respeto del nivel de protección de la Unión de los datos personales y las Recomendaciones 02/2020 del CEPD sobre las garantías esenciales europeas para las medidas de vigilancia, así como la declaración del CEPD, de 19 de noviembre de 2020, relativa al Reglamento sobre la privacidad y las comunicaciones electrónicas y el futuro papel de las autoridades de control y el CEPD,

–  Visto el artículo 132, apartado 2, de su Reglamento interno,

A.  Considerando que la capacidad de transferir datos personales a través de las fronteras puede ser un motor fundamental de innovación, productividad y competitividad económica; que lo anterior es aún más importante en el contexto de la actual pandemia de COVID‑19, ya que estas transferencias son esenciales para garantizar la continuidad de las actividades empresariales y públicas, así como las interacciones sociales; que también pueden apoyar estrategias de salida de la pandemia y contribuir a la recuperación económica;

B.  Considerando que, en la sentencia Schrems I, el Tribunal de Justicia declaró inválida la Decisión de la Comisión sobre el puerto seguro basándose en sus conclusiones, y señaló que el acceso de forma generalizada por parte de las autoridades públicas al contenido de las comunicaciones electrónicas lesiona la esencia del derecho a la confidencialidad de las comunicaciones garantizado por el artículo 7 de la Carta;

C.  Considerando que, en la sentencia Schrems II, el Tribunal de Justicia declaró que los Estados Unidos («EE. UU.») no prevén acciones legales suficientes contra la vigilancia masiva para los ciudadanos no estadounidenses, y que ello vulnera el contenido esencial del derecho a la tutela judicial previsto en el artículo 47 de la Carta;

D.  Considerando que el Reglamento General de Protección de Datos (RGPD) se aplica a todas las empresas que tratan datos personales de interesados en la Unión, cuando las actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, o con el seguimiento de su comportamiento en la medida en que este tenga lugar dentro de la Unión;

E.  Considerando que los datos de los ciudadanos europeos almacenados y transferidos por operadores y empresas de telecomunicaciones constituyen un recurso esencial que contribuye a los intereses estratégicos de la Unión;

F.  Considerando que la vigilancia masiva e indiscriminada por agentes estatales merma la confianza de los ciudadanos, las empresas y los Gobiernos europeos en los servicios digitales y, por ende, en la economía digital;

G.  Considerando que las organizaciones de consumidores y otras organizaciones de la sociedad civil disponen de recursos limitados, y que el cumplimiento de los derechos y obligaciones en materia de protección de datos no puede depender de su actuación; que los procedimientos y prácticas nacionales conforman un mosaico que dificulta el funcionamiento del mecanismo de cooperación establecido en el RGPD en caso de reclamaciones transfronterizas: falta de claridad en los plazos, procedimientos generalmente lentos, falta de recursos suficientes para las autoridades de control y, en determinados casos, falta de voluntad o de eficiencia en el uso de los recursos ya asignados; considerando que asistimos a una concentración de denuncias contra presuntas infracciones por parte de grandes empresas tecnológicas en manos de una única autoridad nacional, lo que provoca un cuello de botella en la aplicación de la legislación;

H.  Considerando que el procedimiento que culminó con esa sentencia del Tribunal de Justicia también pone de manifiesto las dificultades experimentadas por los interesados y por los consumidores a la hora de defender sus derechos, lo que crea un efecto disuasorio sobre su capacidad de defender sus derechos ante el comisario irlandés para la protección de datos;

I.  Considerando que, en su Resolución de 25 de octubre de 2018, el Parlamento, tras señalar que los Estados Unidos no habían respetado el plazo del 1 de septiembre de 2018 para cumplir plenamente con el Escudo de la privacidad, ya pedía a la Comisión que suspendiera el Escudo de la privacidad hasta que los Estados Unidos se atuvieran a sus disposiciones;

J.  Considerando que los derechos de los interesados garantizados por la legislación de la Unión en materia de protección de datos deben respetarse independientemente del nivel de riesgo en que estos últimos incurran a causa del tratamiento de los datos personales en cuestión, también cuando se trate de la transferencia de datos personales a terceros países; que los responsables del tratamiento deben responder en todos los casos del cumplimiento de las obligaciones en materia de protección de datos, incluida la demostración de la conformidad de cualquier tratamiento de datos con independencia de su naturaleza, alcance, contexto o fines del tratamiento y de los riesgos para los interesados;

K.  Considerando que, hasta la fecha y a pesar de las importantes novedades jurisprudenciales del Tribunal de Justicia en los últimos cinco años y de la aplicación efectiva del RGPD desde el 25 de mayo de 2018, las autoridades de control no han adoptado ninguna decisión por la que se impongan medidas correctoras en relación con las transferencias de datos personales en el marco del mecanismo de coherencia del RGPD; considerando que las autoridades de control a nivel nacional no han adoptado ninguna decisión significativa por la que se impongan medidas correctoras o multas en relación con la transferencia de datos personales a terceros países;

L.  Considerando que, en su primer día en el cargo, el presidente de los Estados Unidos, Joe Biden, nombró al secretario adjunto para los servicios del Departamento de Comercio, que encabezará por parte estadounidense las negociaciones sobre transferencias comerciales de datos con la Unión; que, durante una audiencia de confirmación del Senado, la candidata del presidente a secretaria de Comercio de los Estados Unidos, Gina Raimondo, calificó de «prioridad absoluta» la rápida conclusión de las negociaciones sobre el acuerdo que sustituya al Escudo de la privacidad;

Observaciones generales

1.  Toma nota de la sentencia del Tribunal de Justicia de 16 de julio de 2020, en la que el Tribunal confirma, en principio, la validez de la Decisión 2010/87/UE relativa a las cláusulas contractuales tipo, que son el mecanismo más ampliamente utilizado para transferencias internacionales de datos; observa, además, que el Tribunal invalidó la Decisión de Ejecución (UE) 2016/1250 de la Comisión sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.; observa que, hasta la fecha, ningún mecanismo único sostenible que garantice la transferencia legal de datos personales comerciales entre la Unión y los Estados Unidos ha sido objeto de recurso ante el TJUE;

2.  Toma nota de que el TJUE consideró que las cláusulas contractuales tipo (CCT) son un mecanismo eficaz para garantizar el respeto del nivel de protección previsto en la Unión, siempre que un responsable o encargado del tratamiento establecido en la Unión Europea y el destinatario de los datos personales verifiquen, antes de cualquier transferencia, si el nivel de protección exigido por la legislación de la Unión se respeta en el tercer país de que se trate; recuerda que esto incluye la evaluación del régimen jurídico relativo al acceso de las autoridades públicas a los datos personales, a fin de garantizar que los interesados y sus datos transferidos no corran el riesgo de estar sujetos a programas de vigilancia de los EE.UU. que permitan la recogida masiva de datos personales; recuerda que el TJUE dictaminó que, cuando el destinatario no puede cumplir las CCT, los responsables o encargados del tratamiento están obligados a suspender las transferencias de datos o a rescindir el contrato; observa, no obstante, que muchas empresas, especialmente las pymes, no poseen los conocimientos o la capacidad necesarios para llevar a cabo dicha verificación, lo que puede provocar perturbaciones en su actividad;

3.  Considera que la sentencia del Tribunal de Justicia, al tiempo que se centra en el nivel de protección de datos que ampara a los interesados en la Unión cuyos datos se transfirieron a los Estados Unidos en el marco del mecanismo del Escudo de la privacidad, también tiene implicaciones significativas para las decisiones de adecuación relativas a terceros países, incluido el Reino Unido; reafirma la necesidad de claridad y seguridad jurídicas, ya que la capacidad de transferir datos personales de forma segura a través de las fronteras es cada vez más importante para la protección y los derechos de las personas físicas, así como para todos los tipos de organizaciones que suministran bienes y servicios a escala internacional y para las empresas en lo que atañe al régimen jurídico en el que operan; subraya, no obstante, que hasta que el TJUE las revoque, sustituya o invalide, las decisiones de adecuación actuales siguen en vigor;

4.  Muestra su decepción por el hecho de que el comisario irlandés para la protección de datos (CPD) llevara a Maximilian Schrems y a Facebook ante el Tribunal Superior de Justicia irlandés, en lugar de adoptar una decisión en el marco de las competencias que le confiere el artículo 4 de la Decisión 2010/87/UE y el artículo 58 del RGPD; recuerda, no obstante, que el comisario para la protección de datos se sirvió de la vía jurídica que permite a las autoridades en materia de protección de datos plantear ante un órgano jurisdiccional nacional sus dudas sobre la validez de una decisión de ejecución de la Comisión con miras a solicitar una decisión prejudicial al Tribunal de Justicia; muestra su profunda preocupación por el hecho de que el comisario irlandés para la protección de datos, que es la autoridad principal en estos asuntos, aún no se haya pronunciado sobre varias denuncias de infracciones del RGPD presentadas el 25 de mayo de 2018, fecha a partir de la cual el RGDP era de aplicación, pero también sobre otras denuncias de grupos de consumidores, entre otros; muestra su preocupación por el hecho de que dicho comisario para la protección de datos interprete la expresión «sin dilación» del artículo 60, apartado 3, del RGPD —en contra de la intención de los legisladores— como un período superior a unos cuantos meses; muestra su preocupación por el hecho de que las autoridades de control no hayan adoptado medidas proactivas en virtud de los artículos 61 y 66 del RGPD para obligar al comisario irlandés para la protección de datos a cumplir las obligaciones que le incumben en virtud del RGPD; le preocupa asimismo el número insuficiente de especialistas en tecnología que trabajan al servicio del comisario irlandés para la protección de datos y su uso de sistemas obsoletos; lamenta las consecuencias del fracasado intento del CPD irlandés de condenar al acusado al pago de las costas del proceso, lo que habría tenido un enorme efecto disuasorio; pide a la Comisión que incoe procedimientos de infracción contra Irlanda por no aplicar correctamente el RGPD;

5.  manifiesta su preocupación por el insuficiente nivel de aplicación del RGPD, en particular en el ámbito de las transferencias internacionales; expresa su preocupación por la falta de prioridades y de supervisión general por parte de las autoridades nacionales de control en relación con la transferencia de datos personales a terceros países, a pesar de las importantes novedades jurisprudenciales del Tribunal de Justicia en los últimos cinco años; lamenta la ausencia de decisiones y medidas correctoras significativas a este respecto, e insta al CEPD y a las autoridades nacionales de control a que incluyan las transferencias de datos personales en sus estrategias de auditoría, conformidad y garantía del cumplimiento; señala que se necesitan procedimientos administrativos vinculantes armonizados en materia de admisibilidad y representación de los interesados para ofrecer seguridad jurídica y tramitar las denuncias transfronterizas;

6.  Toma nota del proyecto de Decisión de Ejecución de la Comisión sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países; insta al CEPD a publicar más orientaciones sobre las transferencias internacionales de datos para las empresas, en particular para las pymes, incluidas una lista de control para la evaluación de las transferencias, herramientas para evaluar si los Gobiernos están autorizados o pueden acceder a los datos e información sobre las salvaguardias adicionales necesarias para las transferencias al amparo de cláusulas contractuales tipo; pide al CEPD que consulte a personalidades independientes del mundo académico en relación con la legislación nacional de los principales socios comerciales que pudiera ser fuente de conflicto;

7.  Recuerda que, en consonancia con las Directrices 2/2018 del CEPD(12) sobre las excepciones contempladas en el artículo 49 del Reglamento (UE) 2016/679, cuando las transferencias tengan lugar fuera del marco de las decisiones de adecuación u otros instrumentos que ofrezcan las garantías adecuadas, las transferencias amparadas en las excepciones para situaciones específicas previstas en el artículo 49 del RGPD deben interpretarse restrictivamente, de modo que la excepción no se convierta en la regla; observa, no obstante, que desde la invalidación del Escudo de la privacidad UE-EE. UU., los flujos de datos transatlánticos se han mantenido con fines de publicidad digital, a pesar de las dudas en cuanto a su fundamento jurídico para transferencias con fines publicitarios; pide al CEPD y a las autoridades de protección de datos que garanticen una interpretación coherente en la aplicación y el control de dichas excepciones en consonancia con las Directrices del CEPD;

8.  Acoge con satisfacción las conversaciones internacionales sobre los flujos transfronterizos de datos personales conformes con el RGPD y la Directiva sobre protección de datos en el ámbito penal(13); hace hincapié en que el RGPD, la Directiva de protección de datos en el ámbito penal, las normas sobre privacidad digital y otras medidas actuales y futuras de protección de los derechos fundamentales a la privacidad y a la protección de los datos personales no deben verse debilitadas por los acuerdos comerciales internacionales ni ser incorporadas a los mismos; insta a la Comisión a que mantenga la posición horizontal de la Unión de 2018(14) y no se desvíe de ella, y a que tenga en cuenta los compromisos pertinentes de terceros países en virtud del Derecho mercantil a la hora de evaluar la adecuación de estos, también en lo que respecta a las transferencias ulteriores de datos;

Cláusulas contractuales tipo

9.  Toma nota del proyecto de Decisión de Ejecución de la Comisión y del proyecto de cláusulas contractuales tipo; acoge con satisfacción el hecho de que la Comisión esté recabando opiniones de las partes interesadas sobre este proyecto; toma nota de que el CEPD y el SEPD, mediante dictamen conjunto emitido el 15 de enero de 2021(15), formularon observaciones positivas sobre el proyecto de cláusulas contractuales tipo, pero propusieron algunas mejoras; confía en que la Comisión tenga en cuenta las aportaciones recibidas antes de iniciar el procedimiento de comitología;

10.  Recuerda que un gran número de pymes hacen uso de las cláusulas contractuales tipo; subraya que las empresas de todo tipo necesitan urgentemente directrices claras y asistencia para garantizar la seguridad jurídica en la aplicación e interpretación de la sentencia del Tribunal de Justicia;

11.  Toma nota de las Recomendaciones 01/2020 del CEPD(16) sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE; acoge con satisfacción el hecho de que el CEPD organizara una consulta pública sobre sus recomendaciones; manifiesta su preocupación por los posibles conflictos entre dichas recomendaciones y la propuesta de la Comisión relativa a las cláusulas contractuales tipo; pide a la Comisión y al CEPD que cooperen en la finalización de sus respectivos documentos para garantizar la seguridad jurídica tras la sentencia del Tribunal de Justicia; considera que la Comisión debería seguir las recomendaciones del CEPD;

12.  Acoge con satisfacción, en particular, las recomendaciones del CEPD relativas a la necesidad de que los responsables del tratamiento se basen en factores objetivos a la hora de evaluar si alguna disposición de la legislación o las prácticas del tercer país puede afectar a la eficacia de las garantías adecuadas incorporadas en los instrumentos de transferencia; y no en factores subjetivos, como la probabilidad de que las autoridades públicas accedan a los datos de una manera contraria a las normas de la Unión, que han sido reiteradamente rechazados por el TJUE; pide a la Comisión, a este respecto, que garantice la plena armonización de su propuesta de cláusulas contractuales tipo con la jurisprudencia aplicable del Tribunal de Justicia;

13.  Subraya que es fundamental que las empresas que transfieren datos personales fuera de la Unión puedan basarse en mecanismos sólidos que se ajusten a la sentencia del Tribunal de Justicia; considera, a este respecto, que la actual propuesta de la Comisión relativa a un modelo de cláusulas contractuales tipo debe tener debidamente en cuenta todas las recomendaciones pertinentes del CEPD; se muestra favorable al establecimiento de un conjunto de medidas complementarias, a elegir entre, por ejemplo, la certificación de seguridad y protección de datos, las salvaguardias de cifrado o la seudonimización, que sean aceptadas por los reguladores, así como recursos públicamente disponibles sobre la legislación pertinente de los principales socios comerciales de la Unión;

14.  Señala que, en el caso de los responsables del tratamiento que entran en el ámbito de aplicación de la Ley de Vigilancia de Inteligencia Exterior de los EE. UU., no es posible transferir datos personales desde la Unión en virtud de estas cláusulas contractuales tipo, debido al elevado riesgo de vigilancia masiva; espera que, si no se llega rápidamente a un acuerdo con los EE. UU. que garantice un nivel de protección sustancialmente equivalente —y, por ende, adecuado— al otorgado por el RGPD y la Carta, se prohíban todas estas transferencias hasta que se resuelva la situación; subraya la conclusión del Tribunal de Justicia de que ni el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior de los EE. UU. (FISA) ni el Decreto 123333, en relación con la Directiva Presidencial 28, cumplen las garantías mínimas derivadas, en virtud del Derecho de la Unión, del principio de proporcionalidad, con el resultado de que los programas de vigilancia basados en dichas disposiciones no pueden considerarse limitados a lo estrictamente necesario; destaca la necesidad de resolver de manera sostenible los problemas puestos en evidencia por la sentencia del Tribunal de Justicia para ofrecer una adecuada protección de los datos personales para los interesados; recuerda que ningún contrato entre empresas puede ofrecer protección frente al acceso indiscriminado de las autoridades de inteligencia al contenido de las comunicaciones electrónicas, ni ningún contrato entre empresas puede ofrecer vías jurídicas suficientes contra la vigilancia masiva; destaca que esto requiere una reforma de la legislación y las prácticas estadounidenses en materia de vigilancia con el fin de garantizar que el acceso de las autoridades de seguridad estadounidenses a los datos transferidos desde la Unión se limite a lo que es necesario y proporcionado, y que los interesados europeos tengan acceso a la tutela efectiva de los tribunales estadounidenses;

15.  Destaca que el poder de negociación y la capacidad jurídica y financiera de las pymes europeas son limitados, al igual que los de las asociaciones y organizaciones sin ánimo de lucro, y que, al imponerles que evalúen por sí mismas la adecuación de terceros países, se espera de ellas que sepan moverse por los complejos marcos jurídicos de distintos terceros países; insta a la Comisión y al CEPD a que ofrezcan orientaciones sobre el uso práctico de medidas adicionales fiables, especialmente para las pymes;

16.  Insta a las autoridades de protección de datos a que cumplan sus obligaciones, subrayadas por la sentencia del TJUE, para garantizar una aplicación adecuada y rápida del RGPD mediante un estrecho seguimiento del uso de las CCT; pide a las autoridades de protección de datos que ayuden a las empresas a respetar la jurisprudencia del Tribunal; insta también a las autoridades nacionales de control a que hagan uso de toda la panoplia de competencias de investigación y correctivas a que se refiere el artículo 58 del RGPD en aquellos casos en que los exportadores de datos transfieran datos personales a pesar de que en el tercer país de destino existan leyes que impidan al importador de datos cumplir las cláusulas contractuales tipo y de que no haya medidas adicionales eficaces; recuerda la afirmación del TJUE de que todas las autoridades de control están «obligada[s] a llevar a cabo [...] su misión de velar por el pleno cumplimiento del RGPD»;

Escudo de la privacidad

17.  Señala que el Tribunal de Justicia concluyó que el Escudo de la privacidad UE‑EE. UU. no garantiza un nivel de protección sustancialmente equivalente, y por tanto adecuado, al otorgado por el RGPD y la Carta, en particular debido al acceso masivo de las autoridades públicas estadounidenses a los datos personales transferidos en virtud del Escudo de la privacidad, que no cumplen los principios de necesidad y proporcionalidad, y debido a la falta, para los interesados de la Unión, de derechos exigibles a las autoridades estadounidenses ante los tribunales de los EE. UU. o ante cualquier otra autoridad independiente que actúe como tribunal; espera que el actual Gobierno de los EE.UU. esté más comprometido con el cumplimiento de sus obligaciones en virtud de posibles mecanismos de transferencia futuros que los anteriores, que mostraron una falta de compromiso político con el cumplimiento y la aplicación de las normas de puerto seguro y la aplicación de las normas del Escudo de la privacidad;

18.  Señala que algunas empresas, en respuesta a la sentencia Schrems II, han revisado de manera precipitada sus declaraciones de confidencialidad y contratos con terceros en el marco de los compromisos adquiridos en virtud del Escudo de la privacidad, sin haber evaluado las mejores medidas para la transferencia legal de datos;

19.  Lamenta que, pese a los numerosos llamamientos del Parlamento a la Comisión en sus Resoluciones de 2016, 2017 y 2018 para que adopte todas las medidas necesarias para garantizar que el Escudo de la privacidad respete plenamente el RGPD y la Carta, la Comisión no haya actuado de conformidad con el artículo 45, apartado 5, del RGPD; lamenta que la Comisión haya hecho caso omiso de los llamamientos del Parlamento a suspender el Escudo de la privacidad hasta que las autoridades estadounidenses se atengan a sus disposiciones, y en los que subrayaba el riesgo de que el Tribunal de Justicia invalide el Escudo de la privacidad; recuerda que el Grupo de Trabajo del Artículo 29 y el CEPD plantearon en repetidas ocasiones problemas relacionados con el funcionamiento del Escudo de la privacidad;

20.  Lamenta que la Comisión anteponga las relaciones con los EE. UU. a los intereses de la ciudadanía de la Unión y que, de este modo, la Comisión haya dejado en manos de ciudadanos particulares la tarea de defender el Derecho de la Unión;

Vigilancia masiva y marco jurídico

21.  Anima a la Comisión a supervisar proactivamente el uso de tecnologías de vigilancia masiva en los EE. UU. y en otros terceros países que son o podrían ser objeto de una constatación de adecuación, como el Reino Unido; insta a la Comisión a que no adopte decisiones de adecuación en relación con países en los que la legislación y los programas de vigilancia masiva no cumplan los criterios del Tribunal de Justicia, tanto en su letra como en su espíritu;

22.  Toma nota de la reciente entrada en vigor en los EE. UU. de la Ley de California sobre la privacidad de los consumidores (LCPC); toma nota de los debates y las propuestas legislativas relacionadas con dicha ley a nivel federal; señala que, aunque se han dado pasos en la dirección correcta, ni la LCPC ni ninguna de las propuestas federales cumplen hasta ahora los requisitos del RGPD relativos a una constatación de adecuación; anima encarecidamente al legislador de los EE.UU. a que promulgue legislación que cumpla estos requisitos y contribuya así a garantizar que la legislación estadounidense ofrece un nivel de protección esencialmente equivalente al garantizado actualmente en la UE;

23.  Señala que dicha legislación en materia de protección de datos de los consumidores y de protección de la intimidad no bastará para solucionar por sí sola las cuestiones fundamentales constatadas por el Tribunal de Justicia en relación con la vigilancia masiva por parte de los servicios de inteligencia estadounidenses y el acceso insuficiente a vías de recurso; anima al legislador de los EE. UU. a modificar el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior, y al presidente de los EE. UU. a modificar el Decreto 12333 y la Directiva de Política Presidencial 28, en particular en lo que se refiere a la vigilancia masiva, y a otorgar el mismo nivel de protección a los ciudadanos de la UE y de los EE. UU.; anima a los EE. UU. a que prevean mecanismos para garantizar que los particulares reciban notificaciones (atrasadas) y puedan impugnar la vigilancia indebida en virtud del artículo 702 arriba mencionado y del Decreto 12333, y a que establezcan un mecanismo jurídicamente consagrado que garantice que los ciudadanos no estadounidenses gozan de derechos exigibles, más allá de la Ley de recurso judicial;

24.  Recuerda que los Estados miembros siguen intercambiando datos personales con los EE. UU. en el marco del Programa de Seguimiento de la Financiación del Terrorismo y del Acuerdo UE‑EE. UU. sobre el registro de nombres de los pasajeros, el intercambio automático de información fiscal con los EE. UU. a través de los acuerdos intergubernamentales por los que se aplica la Ley de Cumplimiento Tributario de Cuentas Extranjeras de los EE. UU., que afecta negativamente a los «estadounidenses accidentales», como se los llama en la Resolución el Parlamento, de 5 de julio de 2018, sobre los efectos negativos de la Ley de Cumplimiento Tributario de Cuentas Extranjeras (FATCA) de los Estados Unidos sobre los ciudadanos de la Unión y, en particular, los denominados «estadounidenses accidentales»(17); recuerda que los EE. UU. siguen teniendo acceso a las bases de datos policiales de los Estados miembros que contienen impresiones dactilares y datos del ADN de los ciudadanos de la Unión; pide a la Comisión que analice el impacto de las sentencias Schrems I y II en esos intercambios de datos y que presente por escrito a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior su análisis y la manera en que se propone adaptar dichos intercambios a las sentencias en cuestión, a más tardar el 30 de septiembre de 2021;

25.  Pide asimismo a la Comisión que analice la situación de los proveedores de servicios en nube que entran en el ámbito de aplicación de la sección 702 de la FISA y que transfieren datos utilizando CCT; pide a la Comisión que analice el efecto sobre los derechos otorgados en virtud del Acuerdo marco UE-EE. UU., incluido el derecho a la tutela judicial, teniendo en cuenta que los EE. UU. solo conceden explícitamente este derecho a los ciudadanos de países designados que permiten la transferencia de datos a los EE. UU. con fines comerciales; considera inaceptable que, un año después del plazo previsto, la Comisión siga sin publicar sus conclusiones sobre la primera revisión conjunta del Acuerdo marco, y le pide que, si es necesario, adapte sin demora el acuerdo a las normas establecidas por las sentencias del TJUE;

26.  Considera necesario, en vista de las lagunas detectadas en la protección de los datos de los ciudadanos europeos transferidos a los EE. UU., apoyar la inversión en herramientas europeas de conservación de datos (por ejemplo, servicios en la nube) con el fin de reducir la dependencia de las capacidades de almacenamiento de la Unión con respecto a terceros países y de reforzar la autonomía estratégica de la Unión en materia de gestión y protección de datos;

Decisiones de adecuación

27.  Pide a la Comisión que adopte todas las medidas necesarias para garantizar que cualquier nueva decisión de adecuación en relación con los EE. UU. respete plenamente el Reglamento (UE) 2016/679, la Carta y todos los aspectos de las sentencias del Tribunal de Justicia; recuerda que los marcos de adecuación facilitan considerablemente la actividad económica, en particular a las pymes y las empresas emergentes, que, a diferencia de las grandes empresas, no suelen disponer de la capacidad financiera, jurídica y técnica necesaria para utilizar otros instrumentos de transferencia; pide a los Estados miembros que celebren acuerdos de «no espionaje» con los EE.UU.; pide a la Comisión que utilice sus contactos con sus homólogos estadounidenses para transmitir el mensaje de que, si no se modifican las leyes y prácticas de vigilancia de los EE. UU., la única opción viable para facilitar las decisiones de adecuación sería la celebración de acuerdos de «no espionaje» con los Estados miembros;

28.  Considera que cualquier futura decisión de adecuación de la Comisión no debe basarse en un sistema de autocertificación, como ocurrió tanto con el sistema de puerto seguro como con el Escudo de la privacidad; pide a la Comisión que implique plenamente al CEPD en la evaluación del cumplimiento y la ejecución de cualquier nueva decisión de adecuación en relación con los EE. UU.; pide a la Comisión, en este sentido, que acuerde con el Gobierno de los EE. UU. las medidas necesarias para que el CEPD pueda desempeñar este papel con eficacia; espera que la Comisión se tome más en serio la posición del Parlamento Europeo sobre cualquier nueva decisión de adecuación en relación con los EE. UU. antes de adoptar la decisión en cuestión;

29.  Recuerda que la Comisión está revisando actualmente todas las decisiones de adecuación adoptadas en virtud de la Directiva 95/46/CE; destaca que la Comisión debe aplicar las normas más estrictas establecidas por el RGPD y por las sentencias Schrems I y II del TJUE para evaluar si se concede un nivel de protección sustancialmente equivalente al que ofrece el RGPD, también en términos de acceso a una tutela judicial efectiva y protección contra el acceso indebido a los datos personales por parte de las autoridades del tercer país; insta a la Comisión a que finalice estas revisiones con carácter de urgencia y a que revoque o suspenda cualquiera de las decisiones previas al RGPD si considera que el tercer país en cuestión no ofrece un nivel de protección sustancialmente equivalente y que no puede ponerse remedio a la situación;

30.  Considera que el Gobierno de Biden ha demostrado su compromiso de encontrar una solución para las transferencias de datos comerciales entre la Unión y los EE. UU. con carácter prioritario, al nombrar a un especialista experimentado en materia de privacidad como negociador principal del sistema sucesor del Escudo de la privacidad; espera que el diálogo entre la Comisión y sus homólogos estadounidenses, que comenzó justo después de la sentencia del TJUE, se intensifique en los próximos meses;

31.  Pide a la Comisión que no adopte ninguna nueva decisión de adecuación en relación con los EE. UU. a menos que se introduzcan reformas significativas, en particular con fines de seguridad nacional e inteligencia, que pueden lograrse mediante una reforma clara, jurídicamente sostenible, ejecutable y no discriminatoria de las leyes y prácticas estadounidenses; reitera, a este respecto, la importancia de unas garantías sólidas en el ámbito del acceso de las autoridades públicas a los datos personales; pide a la Comisión que ponga en práctica sus «ambiciones geopolíticas» para aplicar en los EE. UU. y en otros terceros países una protección de datos fundamentalmente equivalente a la de la Unión;

32.  Recomienda a las autoridades nacionales de protección de datos que, de no producirse estas reformas significativas, suspendan la transferencia de datos personales a los que puedan acceder las autoridades públicas estadounidenses en caso de que la Comisión adopte una nueva decisión de adecuación en relación con los EE. UU.;

33.  Acoge con satisfacción el hecho de que la Comisión siga los criterios de referencia para la adecuación establecidos en el Grupo de Trabajo del Artículo 29 en el marco del RGPD(18) (refrendado por el CEPD) y las Recomendaciones 01/2021 del CEPD relativas a las referencias sobre adecuación en el marco de la Directiva sobre protección de datos en el ámbito penal(19); considera que la Comisión debería aplicar como mínimo estos criterios al evaluar si un tercer país cumple los requisitos para una decisión de adecuación; toma nota de que el CEPD ha actualizado recientemente sus Recomendaciones sobre las garantías esenciales a la luz de la jurisprudencia del TJUE(20);

o
o   o

34.  Encarga a su presidente que transmita la presente Resolución a la Comisión, al Consejo Europeo, al Consejo de la Unión Europea, al Comité Europeo de Protección de Datos y a los Parlamentos nacionales de los Estados miembros, al Congreso y al Gobierno de los Estados Unidos de América y al Parlamento y al Gobierno del Reino Unido.

(1) Sentencia del Tribunal de Justicia de 16 de julio de 2020, Data Protection Commissioner / Facebook Ireland Limited y Maximilian Schrems, C-311/18, ECLI:EU:C:2020:559.
(2) Sentencia del Tribunal de Justicia de 6 de octubre de 2015, Maximillian Schrems / Data Protection Commissioner, C‑362/14, ECLI:EU:C:2015:650.
(3) Sentencia del Tribunal de Justicia de 6 de octubre de 2020, Privacy International / Secretary of State for Foreign and Commonwealth Affairs y otros, C‑623/17, ECLI:EU:C:2020:790.
(4) DO C 76 de 28.2.2018, p. 82.
(5) DO C 298 de 23.8.2018, p. 73.
(6) DO C 118 de 8.4.2020, p. 133.
(7) DO C 345 de 16.10.2020, p. 58.
(8) DO L 39 de 12.2.2010, p. 5.
(9) DO L 207 de 1.8.2016, p. 1.
(10) Textos Aprobados, P9_TA(2020)0337.
(11) DO L 119 de 4.5.2016, p. 1.
(12) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_es.pdf
(13) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(14) Propuesta de la Unión de disposiciones sobre flujos de datos transfronterizos y protección de los datos personales y de la privacidad, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf
(15) Dictamen conjunto EDPB-SEPD 2/2021 sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, de 14 de enero de 2021: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_es
(16) Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE, de 11 de noviembre de 2020 https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_es.pdf
(17) DO C 118 de 8.4.2020, p. 141.
(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
(19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_es
(20) https://edpb.europa.eu/our-work-tools/our-documents/preporki/recommendations-022020-european-essential-guarantees_es

Última actualización: 9 de septiembre de 2021Aviso jurídico - Política de privacidad