Index 
 Înapoi 
 Înainte 
 Text integral 
Procedură : 2020/2789(RSP)
Stadiile documentului în şedinţă
Stadii ale documentului : B9-0267/2021

Texte depuse :

B9-0267/2021

Dezbateri :

PV 20/05/2021 - 8
CRE 20/05/2021 - 7
CRE 20/05/2021 - 8

Voturi :

PV 20/05/2021 - 12
PV 20/05/2021 - 20
CRE 20/05/2021 - 12

Texte adoptate :

P9_TA(2021)0256

Texte adoptate
PDF 187kWORD 57k
Joi, 20 mai 2021 - Bruxelles
Data Protection Commissioner/ Facebook Ireland Limited și Maximillian Schrems („Schrems II”) - Cauza C-311/18
P9_TA(2021)0256B9-0267/2021

Rezoluția Parlamentului European din 20 mai 2021 referitoare la hotărârea CJUE din 16 iulie 2020 pronunțată în cauza C-311/18, Data Protection Commissioner/Facebook Ireland Limited și Maximillian Schrems („Schrems II”) (2020/2789(RSP))

Parlamentul European,

–  având în vedere Carta drepturilor fundamentale a Uniunii Europene („Carta”), în special articolele 7, 8, 16, 47 și 52,

–  având în vedere hotărârea Curții de Justiție din 16 iulie 2020 pronunțată în cauza C-311/18, Data Protection Commissioner/Facebook Ireland Limited și Maximillian Schrems („Schrems II”)(1),

–  având în vedere hotărârea Curții de Justiție din 6 octombrie 2015, pronunțată în cauza C-362/14, Maximillian Schrems/Data Protection Commissioner („Schrems I”)(2),

–  având în vedere hotărârea Curții de Justiție din 6 octombrie 2020, pronunțată în cauza C-623/17, Privacy International/Secretary of State for Foreign and Commonwealth Affairs și alții(3),

–  având în vedere rezoluția sa din 26 mai 2016 referitoare la fluxurile de date transatlantice(4),

–  având în vedere rezoluția sa din 6 aprilie 2017 referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA(5),

–  având în vedere rezoluția sa din 5 iulie 2018 referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA(6),

–  având în vedere rezoluția sa din 25 octombrie 2018 referitoare la folosirea datelor utilizatorilor Facebook de către Cambridge Analytica și impactul asupra protecției datelor(7),

–  având în vedere Decizia 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (notificată cu numărul C(2010) 593)(8),

–  având în vedere Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (notificată cu numărul C(2016) 4176)(9),

–  având în vedere rezoluția sa din 23 noiembrie 2020 referitoare la analiza politicii comerciale a UE(10),

–  având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)(11), în special capitolul V,

–  având în vedere propunerea Comisiei de regulament privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice (COM(2017)0010), având în vedere decizia de a iniția negocieri interinstituționale confirmată de plenul Parlamentului la 25 octombrie 2017 și abordarea generală a Consiliului adoptată la 10 februarie 2021 (6087/21),

–  având în vedere Recomandările 01/2020 ale Comitetului european pentru protecția datelor (CEPD) privind măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal și Recomandările 02/2020 ale CEPD privind garanțiile esențiale europene pentru măsurile de supraveghere, precum și declarația CEPD din 19 noiembrie 2020 referitoare la Regulamentul privind viața privată și comunicațiile electronice și la rolul viitor al autorităților de supraveghere și al CEPD,

–  având în vedere articolul 132 alineatul (2) din Regulamentul său de procedură,

A.  întrucât capacitatea de a transfera date cu caracter personal peste granițe poate constitui un factor-cheie de inovare, productivitate și competitivitate economică; întrucât acest lucru este cu atât mai important în contextul actualei pandemii de COVID-19, dat fiind că astfel de transferuri sunt esențiale pentru a asigura continuitatea activităților și a operațiunilor guvernamentale, precum și interacțiunile sociale; întrucât transferurile pot veni și în sprijinul strategiilor de ieșire din pandemie și pot contribui la redresarea economică;

B.  întrucât, în hotărârea „Schrems I”, Curtea de Justiție a Uniunii Europene (CJUE) a invalidat decizia Comisiei cu privire la „sfera de siguranță” pe baza constatărilor sale și a evidențiat că accesul nediferențiat al serviciilor de informații la conținutul comunicațiilor electronice încalcă esența dreptului la confidențialitatea comunicațiilor, prevăzut la articolul 7 din Cartă;

C.  întrucât, în hotărârea „Schrems II”, Curtea a decis că Statele Unite (SUA) nu oferă persoanelor care nu sunt cetățeni ai SUA suficiente căi de atac împotriva supravegherii în masă și că acest lucru încalcă esența dreptului la o cale de atac, prevăzut la articolul 47 din Cartă;

D.  reamintește că Regulamentul general privind protecția datelor (RGPD) se aplică tuturor întreprinderilor care prelucrează date cu caracter personal ale persoanelor vizate care se află în Uniune, în cazul în care activitățile de prelucrare sunt legate de furnizarea de bunuri sau servicii unor astfel de persoane sau de monitorizarea comportamentului acestora în măsura în care comportamentul lor are loc în interiorul Uniunii;

E.  întrucât datele cetățenilor europeni stocate și transferate de operatorii de telecomunicații și de întreprinderi reprezintă o resursă esențială care contribuie la interesele strategice ale UE;

F.  întrucât supravegherea în masă, nediferențiată, efectuată de către actorii statali este în detrimentul încrederii cetățenilor, a guvernelor și a întreprinderilor europene în serviciile digitale și, prin extensie, în economia digitală;

G.  întrucât organizațiile pentru protecția consumatorilor și alte organizații ale societății civile au resurse limitate, iar punerea în aplicare a drepturilor și obligațiilor în materie de protecție a datelor nu poate depinde de acțiunile acestora; întrucât în UE există o mare diversitate de proceduri și practici naționale, ceea ce pune la încercare mecanismul de cooperare prevăzut în RGPD pentru plângerile transfrontaliere; întrucât nu există termene clare, ritmul procedurilor este, în general, lent, autoritățile de supraveghere nu dețin resurse suficiente, iar în anumite cazuri se înregistrează o lipsă de voință sau resursele deja alocate sunt utilizate ineficient; întrucât, în prezent, se înregistrează o concentrare de plângeri privind presupuse încălcări comise de marile companii din domeniul tehnologiei în mâinile unei singure autorități naționale, ceea ce a cauzat un blocaj în aplicarea legii;

H.  întrucât procedurile care au dus la această hotărâre a CJUE arată și dificultățile cu care se confruntă persoanele vizate și consumatorii în a-și apăra drepturile, ceea ce a avut un efect de descurajare asupra capacității lor de a-și apăra drepturile în fața comisarului irlandez însărcinat cu protecția datelor;

I.  întrucât, în rezoluția sa din 25 octombrie 2018, Parlamentul, indicând faptul că SUA nu au respectat termenul de 1 septembrie 2018 stabilit pentru îndeplinirea cerințelor Scutului de confidențialitate, solicitase deja Comisiei să suspende Scutul de confidențialitate până când autoritățile SUA se vor conforma cerințelor;

J.  întrucât drepturile în materie de protecție a datelor ale persoanelor vizate, care sunt garantate de legislația UE, ar trebui respectate indiferent de nivelul riscurilor pe care le implică prelucrarea datelor cu caracter personal, inclusiv în cazul transferului de date cu caracter personal către țări terțe; întrucât operatorii de date ar trebui să fie întotdeauna răspunzători pentru respectarea obligațiilor în materie de protecție a datelor, inclusiv pentru demonstrarea conformității în ceea ce privește orice prelucrare a datelor, indiferent de natura, domeniul de aplicare, contextul, scopurile prelucrării și riscurile pentru persoanele vizate;

K.  întrucât, până în prezent, în ciuda evoluțiilor semnificative ale jurisprudenței CJUE din ultimii cinci ani și a aplicării efective a RGPD începând cu 25 mai 2018, autoritățile de supraveghere nu au luat nicio decizie pentru a impune măsuri corective în legătură cu transferurile de date cu caracter personal în conformitate cu mecanismul de asigurare a coerenței prevăzut de RGPD; întrucât autoritățile de supraveghere de la nivel național nu au adoptat nicio decizie semnificativă pentru a impune măsuri corective sau amenzi în ceea ce privește transferul de date cu caracter personal către țări terțe;

L.  întrucât, în prima sa zi de mandat, președintele american Biden a numit secretarul adjunct pentru servicii din cadrul Departamentului de comerț al SUA, care va fi negociatorul-șef pentru transferurile de date comerciale cu UE; întrucât candidata președintelui pentru funcția de secretar pentru comerț al SUA, Gina Raimondo, a declarat, în timpul audierii sale de confirmare din Senat, că încheierea rapidă a negocierilor privind un acord care să succeadă Scutului de confidențialitate reprezintă o „prioritate”;

Observații generale

1.  ia act de hotărârea CJUE din 16 iulie 2020, în care Curtea a confirmat, în principiu, validitatea Deciziei 2010/87/UE privind clauzele contractuale tip, care reprezintă instrumentul cel mai utilizat pentru transferurile internaționale de date; constată, de asemenea, că Curtea a invalidat Decizia (UE) 2016/1250 a Comisiei privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA; constată că, până în prezent, niciun mecanism unic sustenabil care vizează să garanteze transferul legal de date comerciale cu caracter personal între UE și SUA nu a făcut obiectul unei acțiuni în justiție în fața CJUE;

2.  ia act de faptul că CJUE a considerat clauzele contractuale tip ca fiind un instrument eficace pentru a garanta respectarea nivelului de protecție asigurat în UE, dar a solicitat ca un operator/o persoană împuternicită de operator stabilit/ă în Uniunea Europeană și destinatarul datelor cu caracter personal să aibă obligația de a verifica, înainte de orice transfer, dacă nivelul de protecție impus de legislația UE este respectat în țara terță în cauză; reamintește că acest lucru include evaluarea regimului juridic privind accesul autorităților publice la datele cu caracter personal, pentru a se asigura că persoanele vizate și datele lor transferate nu riscă să facă obiectul programelor de supraveghere ale SUA, care permit colectarea în masă a datelor cu caracter personal; reamintește că, în cazul în care destinatarul nu poate respecta clauzele contractuale tip, CJUE a hotărât că operatorii sau persoanele împuternicite de operatori sunt obligate să suspende transferurile de date și/sau să rezilieze contractul; constată, cu toate acestea, că multe întreprinderi, în special IMM-urile, nu posedă cunoștințele sau capacitatea necesare pentru a efectua o astfel de verificare, ceea ce le poate perturba activitatea;

3.  consideră că hotărârea CJUE, deși se concentrează pe nivelul de protecție a datelor acordat persoanelor din UE ale căror date au fost transferate către SUA în cadrul mecanismului Scutului de confidențialitate, are implicații și pentru deciziile privind caracterul adecvat al nivelului de protecție în ceea ce privește alte țări terțe, inclusiv Regatul Unit; reafirmă nevoia de claritate și securitate juridice, întrucât capacitatea de a transfera în condiții de siguranță date cu caracter personal la nivel transfrontalier a devenit din ce în ce mai importantă pentru protecția datelor cu caracter personal și drepturile persoanelor fizice legate de aceste date, precum și pentru toate tipurile de organizații care furnizează bunuri și servicii la nivel internațional și pentru întreprinderi în ceea ce privește regimul juridic în temeiul căruia își desfășoară activitatea; subliniază, cu toate acestea, că, până la revocarea, înlocuirea sau declararea invalidității lor de către CJUE, deciziile existente privind caracterul adecvat al nivelului de protecție rămân în vigoare;

4.  își exprimă dezamăgirea cu privire la faptul că comisarul irlandez pentru protecția datelor a introdus o acțiune împotriva lui Maximilian Schrems și Facebook la Înalta Curte din Irlanda, în loc să adopte o decizie în limitele competențelor care îi sunt conferite în temeiul articolului 4 din Decizia 2010/87/UE și al articolului 58 din RGPD; reamintește însă că comisarul însărcinat cu protecția datelor a recurs la calea juridică care permite autorităților pentru protecția datelor să aducă în atenția unei instanțe naționale îndoielile legate de validitatea unei decizii de punere în aplicare a Comisiei, în vederea depunerii unei cereri de decizie preliminară la CJUE; își exprimă profunda îngrijorare cu privire la faptul că mai multe plângeri privind încălcări ale RGPD depuse la 25 mai 2018, ziua în care RGPD a intrat în vigoare, dar și alte plângeri din partea unor organizații active în domeniul protejării vieții private și a unor grupuri de consumatori, nu au fost încă soluționate de comisarul irlandez însărcinat cu protecția datelor, care este autoritatea principală responsabilă pentru aceste cazuri; este preocupat de faptul că respectivul comisar pentru protecția datelor interpretează expresia „fără întârziere” din articolul 60 alineatul (3) din RGPD - contrar intenției legiuitorilor - ca pe o perioadă mai mare de câteva luni; este îngrijorat de faptul că autoritățile de supraveghere nu au luat măsuri proactive în temeiul articolului 61 și al articolului 66 din RGPD pentru a obliga comisarul irlandez pentru protecția datelor să își respecte obligațiile care îi revin în conformitate cu RGPD; își exprimă, de asemenea, îngrijorarea cu privire la numărul insuficient de experți în tehnologie care lucrează pentru acest comisar și cu privire la utilizarea unor sisteme învechite; regretă consecințele încercării nereușite a comisarului irlandez pentru protecția datelor de a imputa acuzatului costurile procedurii judiciare, ceea ce ar fi avut un enorm efect de descurajare; invită Comisia să inițieze proceduri de constatare a neîndeplinirii obligațiilor împotriva Irlandei, deoarece nu a pus în aplicare în mod corespunzător RGPD;

5.  este preocupat de nivelul insuficient de aplicare a RGPD, în special în domeniul transferurilor internaționale; își exprimă îngrijorarea cu privire la lipsa de ierarhizare și de control global din partea autorităților naționale de supraveghere în ceea ce privește transferurile de date cu caracter personal către țări terțe, în ciuda evoluțiilor semnificative ale jurisprudenței CJUE din ultimii cinci ani; regretă absența unor decizii și a unor măsuri corective semnificative în acest sens și îndeamnă CEPD și autoritățile naționale de supraveghere să includă transferurile de date cu caracter personal în strategiile lor de audit, de conformitate și de asigurare a respectării legii; subliniază că sunt necesare proceduri administrative obligatorii armonizate privind reprezentarea persoanelor vizate și admisibilitatea pentru a oferi securitate juridică și pentru a trata plângerile transfrontaliere;

6.  ia act de proiectul de decizie de punere în aplicare a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către țări terțe; îndeamnă CEPD să publice mai multe orientări privind transferurile internaționale de date pentru întreprinderi, în special pentru IMM-uri, inclusiv o listă de verificare pentru evaluarea transferurilor, instrumente pentru a evalua dacă guvernele sunt autorizate să acceseze datele sau pot accesa datele, precum și informații privind garanțiile suplimentare necesare pentru transferurile care utilizează clauze contractuale tip; invită CEPD să consulte și cadre universitare independente cu privire la legislația națională a principalilor parteneri comerciali, care ar putea fi contradictorie;

7.  reamintește că, în conformitate cu Orientările 2/2018(12) ale CEPD privind derogările de la articolul 49 din Regulamentul (UE) 2016/679, atunci când transferurile au loc în afara cadrului deciziilor privind caracterul adecvat al nivelului de protecție sau al altor instrumente care oferă garanții adecvate, dar se bazează pe derogări pentru situații specifice în temeiul articolului 49 din RGPD, acestea trebuie interpretate în mod strict, astfel încât excepția să nu devină regulă; constată însă că, de la invalidarea Scutului de confidențialitate UE-SUA, au fost menținute fluxurile transatlantice de date în scopuri publicitare digitale, în ciuda îndoielilor legate de temeiul juridic al transferurilor în scopuri publicitare; invită CEPD și autoritățile pentru protecția datelor să asigure o interpretare coerentă în ceea ce privește aplicarea și controlul unor astfel de derogări, în conformitate cu Orientările CEPD;

8.  salută dezbaterile internaționale privind fluxurile transfrontaliere de date cu caracter personal conforme RGPD și Directivei privind protecția datelor în materie de asigurare a respectării legii(13); subliniază că RGPD, Directiva privind protecția datelor în materie de asigurare a respectării legii, normele privind confidențialitatea și comunicațiile electronice și alte măsuri curente și viitoare care protejează drepturile fundamentale la viață privată și protecția datelor cu caracter personal nu trebuie să fie subminate de acordurile comerciale internaționale sau încorporate în acestea; îndeamnă Comisia să respecte poziția orizontală(14) a UE din 2018 și să nu se abată de la aceasta, precum și să ia în considerare angajamentele relevante ale țărilor terțe în temeiul dreptului comercial, atunci când evaluează adecvarea lor, inclusiv pentru transferurile ulterioare de date;

Clauzele contractuale tip

9.  ia act de proiectul de decizie de punere în aplicare a Comisiei și de proiectul de clauze contractuale tip; salută faptul că, pentru acest proiect, Comisia a solicitat părților interesate să-și exprime opinia; ia act de faptul că CEPD și AEPD, printr-un aviz comun emis la 15 ianuarie 2021(15), au formulat observații pozitive cu privire la proiectele de clauze contractuale tip, dar au propus și unele îmbunătățiri; se așteaptă ca, înainte de a lansa procedura de comitologie, Comisia să țină seama de contribuțiile primite;

10.  reamintește că un număr mare de IMM-uri utilizează clauzele contractuale tip; subliniază că toate tipurile de întreprinderi au nevoie urgentă de orientări clare și de asistență pentru a asigura securitatea juridică în ceea ce privește aplicarea și interpretarea hotărârii Curții;

11.  ia act de Recomandările 01/2020 ale CEPD(16) privind măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal; salută faptul că CEPD a organizat o consultare publică cu privire la recomandările sale; este preocupat de potențialele conflicte dintre aceste recomandări și propunerea Comisiei privind clauzele contractuale tip; invită Comisia și CEPD să coopereze în ceea ce privește finalizarea documentelor fiecăreia pentru a asigura securitatea juridică în urma hotărârii CJUE; consideră că Comisia ar trebui să urmeze orientările CEPD;

12.  salută în special recomandările CEPD privind necesitatea ca operatorii să se bazeze pe factori obiectivi atunci când evaluează dacă vreun element din legislația sau practica din țara terță poate afecta eficacitatea garanțiilor adecvate din cadrul instrumentelor de transfer pentru transferurile în cauză, mai degrabă decât pe factori subiectivi cum ar fi probabilitatea ca autoritățile publice să obțină acces la date într-un mod care nu este în concordanță cu standardele UE, care au fost respinse în mod repetat de CJUE; invită, în acest sens, Comisia să asigure alinierea deplină a propunerii sale privind clauzele contractuale tip la jurisprudența CJUE aplicabilă;

13.  subliniază că este esențial ca întreprinderile din UE care transferă date în afara UE să poată să se bazeze pe mecanisme solide, care să fie în conformitate cu hotărârea CJUE; consideră, în acest sens, că actuala propunere a Comisiei privind un model de clauze contractuale tip ar trebui să țină seama în mod corespunzător de toate recomandările relevante ale CEPD; sprijină crearea un set de măsuri suplimentare, de exemplu certificarea de securitate și de protecție a datelor, garanții de criptare și pseudonimizare, care să fie acceptate de autoritățile de reglementare, și resurse disponibile public în legătură cu legislația relevantă a principalilor parteneri comerciali ai Uniunii;

14.  subliniază că, în cazul operatorilor de date care intră în domeniul de aplicare al Legii SUA privind supravegherea activităților străine de spionaj (FISA), transferul de date cu caracter personal din Uniune nu este posibil în temeiul acestor clauze contractuale tip din cauza riscului ridicat de supraveghere în masă; așteaptă ca, în cazul în care nu se ajunge la un acord rapid cu SUA care să garanteze un nivel de protecție adecvat și în esență echivalent cu cel oferit de RGPD și de Cartă, toate aceste transferuri să fie suspendate până la rezolvarea situației; subliniază constatarea CJUE potrivit căreia nici secțiunea 702 din FISA, nici Ordinul executiv 12333, coroborate cu Directiva prezidențială 28 nu se corelează cu garanțiile minime care rezultă în temeiul legislației UE din principiul proporționalității, cu consecința că programele de supraveghere bazate pe aceste dispoziții nu pot fi considerate ca fiind limitate la ceea ce este strict necesar; accentuează necesitatea de a aborda sustenabil problemele identificate în hotărârea Curții pentru a proteja adecvat datelor cu caracter personal ale persoanelor vizate; reamintește că niciun contract între întreprinderi nu poate oferi protecție împotriva accesului nediferențiat al autorităților guvernamentale de informații la conținutul comunicațiilor electronice și nici un contract între întreprinderi nu poate oferi suficiente căi de atac împotriva supravegherii în masă; subliniază că acest lucru necesită o reformă a legislației și practicilor SUA în materie de supraveghere pentru a se garanta că accesul autorităților guvernamentale de securitate din SUA la datele transferate din UE este limitat la ceea ce este necesar și proporțional și că persoanele vizate din Europa au acces la căi de atac judiciare eficace în fața instanțelor din SUA;

15.  subliniază puterea de negociere și capacitatea juridică și financiară limitate ale IMM-urilor europene și ale organizațiilor și asociațiilor fără scop lucrativ, de la care se așteaptă să se descurce în cadrele juridice complexe ale diferitelor țări terțe prin intermediul autoevaluării adecvării prevăzute de aceste țări; îndeamnă Comisia și CEPD să ofere orientări cu privire la utilizarea practică de măsuri suplimentare sigure, în special pentru IMM-uri;

16.  îndeamnă autoritățile pentru protecția datelor să își respecte obligațiile, subliniate în hotărârea CJUE, de a asigura o aplicare adecvată și rapidă a RGPD prin monitorizarea îndeaproape a utilizării clauzelor contractuale tip; invită autoritățile pentru protecția datelor să ajute întreprinderile să respecte jurisprudența Curții; solicită insistent autorităților naționale de supraveghere să își exercite pe deplin și competențele de investigare și de corectare menționate la articolul 58 din RGPD în cazurile în care exportatorii de date transferă date cu caracter personal în pofida existenței în țările terțe de destinație a unei legislații care împiedică importatorul de date să respecte clauzele contractuale tip și în pofida absenței de măsuri suplimentare eficace; reamintește că CJUE a constatat că orice autoritate de supraveghere este „obligată să își îndeplinească cu toată diligența necesară sarcina care constă în a asigura respectarea deplină a RGPD”;

Scutul de confidențialitate

17.  ia act de faptul că CJUE a considerat că Scutul de confidențialitate UE-SUA nu garantează un nivel de protecție echivalent în esență cu cel oferit de RGPD și de Carta drepturilor fundamentale a UE și, prin urmare, un nivel adecvat de protecție, în special din cauza accesului masiv al autorităților publice americane la datele cu caracter personal transferate în cadrul Scutului de confidențialitate, ceea ce nu respectă principiul necesității și proporționalității, și din cauza absenței, pentru persoanele vizate din UE, a unor drepturi opozabile autorităților americane în fața instanțelor judecătorești sau a oricărei autorități independente cu puteri judecătorești; așteaptă din partea actualei administrații a SUA să se implice mai mult în respectarea obligațiilor care îi revin în temeiul unor posibile mecanisme viitoare de transfer decât administrațiile anterioare, care au arătat o lipsă de angajament politic în respectarea și aplicarea normelor privind „sfera de siguranță” și asigurarea respectării normelor Scutului de confidențialitate;

18.  subliniază că este posibil ca unele întreprinderi, ca reacție la hotărârea Schrems II, să își fi revizuit în mod precipitat declarațiile de confidențialitate și contractele cu părți terțe referitoare la angajamentele asumate în temeiul Scutului de confidențialitate, fără a evalua cele mai bune măsuri disponibile pentru transferul legal de date;

19.  deplânge faptul că, în pofida numeroaselor apeluri adresate de Parlament Comisiei în rezoluțiile sale din 2016, 2017 și 2018 de a lua toate măsurile necesare pentru a garanta că Scutul de confidențialitate respectă pe deplin RGPD și Carta UE, Comisia nu a acționat în conformitate cu articolul 45 alineatul (5) din RGPD; regretă că Comisia a ignorat apelurile Parlamentului de a suspenda Scutul de confidențialitate până când autoritățile SUA respectă termenii acestuia, apeluri care au subliniat riscul invalidării Scutului de confidențialitate de către CJUE; reamintește că problemele legate de funcționarea Scutului de confidențialitate au fost aduse în discuție în mod repetat de Grupul de lucru „articolul 29” și de CEPD;

20.  regretă că Comisia a plasat relațiile cu SUA înaintea intereselor cetățenilor UE și că, prin urmare, Comisia a abandonat obligația de a apăra dreptul UE în favoarea unor cetățeni individuali;

Supravegherea în masă și cadrul juridic

21.  încurajează Comisia să monitorizeze activ utilizării tehnologiilor de supraveghere în masă în Statele Unite și în alte țări cu care sunt sau ar putea fi în curs negocieri privind caracterul adecvat al nivelului de protecție, cum ar fi Regatul Unit; îndeamnă Comisia să nu adopte decizii privind caracterul adecvat al nivelului de protecție vizând țările în care legile și programele de supraveghere în masă nu respectă litera sau spiritul criteriilor CJUE.

22.  ia act de recenta intrare în vigoare în SUA a Legii statului California privind protecția vieții private a consumatorilor (CCPA); ia act de discuțiile conexe și de propunerile legislative la nivel federal; subliniază că, deși sunt pași în direcția bună, nici CCPA, nici vreuna dintre propunerile federale de până acum nu îndeplinesc cerințele RGPD privind un nivel adecvat de protecție; încurajează ferm legiuitorul american să adopte o legislație care să satisfacă aceste cerințe și să contribuie astfel la garantarea oferirii de către legislația SUA a unui nivel de protecție în esență echivalent cu cel garantat actualmente în UE;

23.  subliniază că o astfel de legislație privind protecția datelor consumatorilor și a vieții private nu va fi suficientă pentru a remedia, în sine, problemele fundamentale constatate de Curte în ceea ce privește supravegherea în masă de către serviciile de informații ale SUA și accesul insuficient la căi de atac; încurajează legiuitorul federal american să modifice secțiunea 702 din Legea FISA și pe președintele SUA să modifice Ordinul executiv 12333 și Directiva prezidențială 28, în special în ceea ce privește supravegherea în masă și acordarea aceluiași nivel de protecție cetățenilor UE și cetățenilor SUA; încurajează SUA să creeze mecanisme care să garanteze că persoanele fizice primesc notificări (ulterioare) și că pot să conteste supravegherea neîntemeiată conform secțiunii 702 și Ordinului executiv 12333, și să creeze un mecanism legal care să garanteze că persoanele care nu au cetățenia SUA beneficiază de drepturi opozabile în afară de Legea privind căile de atac judiciare;

24.  reamintește că statele membre continuă să facă schimb de date cu caracter personal cu Statele Unite în cadrul Programului de urmărire a finanțărilor în scopuri teroriste (TFTP), al Acordului UE-SUA privind registrul cu numele pasagerilor (PNR), al schimbului automat de informații fiscale prin intermediul acordurilor interguvernamentale de punere în aplicare a Legii SUA privind conformitatea fiscală în străinătate (FATCA), care îi afectează în mod negativ pe „americanii accidentali”, așa cum se menționează în Rezoluția Parlamentului din 5 iulie 2018 referitoare la efectele negative ale Legii SUA referitoare la conformitatea fiscală aplicabilă conturilor din străinătate (FATCA) asupra cetățenilor UE și îndeosebi asupra „americanilor accidentali”(17); reamintește că SUA continuă să aibă acces la bazele de date în materie de aplicare a legii ale statelor membre care conțin amprente digitale și date ADN ale cetățenilor UE; solicită Comisiei să analizeze impactul hotărârilor Schrems I și II asupra acestor schimburi de date și să prezinte public și în scris Comisiei pentru libertăți civile, justiție și afaceri interne, până la 30 septembrie 2021, analiza sa și modul în care intenționează să le alinieze la hotărârile pronunțate;

25.  solicită, de asemenea, Comisiei să analizeze situația furnizorilor de servicii de cloud care intră sub incidența secțiunii 702 din FISA și care transferă date utilizând clauze contractuale tip; mai solicită Comisiei să analizeze efectul asupra drepturilor acordate în temeiul acordului-cadru UE-SUA, inclusiv asupra dreptului la o cale de atac judiciară, având în vedere că SUA acordă în mod explicit acest drept numai cetățenilor din țări desemnate care permit transferurile de date către SUA în scopuri comerciale; consideră inacceptabil faptul că Comisia nu a publicat încă concluziile primei analize comune a acordului-cadru, la un an după termenul-limită, și invită Comisia, dacă este necesar, să alinieze fără întârziere acordul la standardele stabilite în hotărârile CJUE;

26.  consideră că este necesar, având în vedere lacunele majore în protecția datelor cetățenilor europeni transferate în Statele Unite, să fie sprijinite investițiile în instrumente europene de păstrare a datelor (de exemplu servicii „cloud”) pentru a reduce dependența UE de capacitățile de stocare din țări terțe și pentru a întări autonomia strategică a UE din punctul de vedere al gestionării și protecției datelor;

Decizii privind caracterul adecvat al nivelului de protecție

27.  invită Comisia să adopte toate măsurile necesare pentru a se asigura că orice decizie privind caracterul adecvat al nivelului de protecție cu privire la SUA respectă pe deplin Regulamentul (UE) 2016/679, Carta și toate aspectele hotărârii CJUE; reamintește că cadrele de asigurare a unui nivel de protecție adecvat ușurează mult activitatea economică, în special pentru IMM-uri și întreprinderile nou-înființate, care adesea, spre deosebire de marile companii, nu dispun de capacitatea financiară, juridică și tehnică necesară pentru a utiliza alte instrumente de transfer; invită statele membre să încheie cu SUA acorduri de interzicere a spionajului; invită Comisia să folosească contactele cu omologii săi din SUA pentru a transmite mesajul că, în cazul în care nu se modifică legislația și practicile de supraveghere ale SUA, singura opțiune fezabilă pentru a facilita deciziile privind caracterul adecvat al nivelului de protecție ar fi încheierea de acorduri de interzicere a spionajului cu statele membre;

28.  consideră că orice viitoare decizie privind caracterul adecvat al nivelului de protecție adoptată de Comisie nu ar trebui să se bazeze pe un sistem de autocertificare, așa cum s-a întâmplat în cazul „sferei de siguranță” și al Scutului de confidențialitate; invită Comisia să implice pe deplin CEPD în evaluarea respectării și a punerii în aplicare a oricărei noi decizii privind caracterul adecvat al nivelului de protecție în legătură cu SUA; invită Comisia, în acest sens, să ajungă la un acord cu guvernul american cu privire la măsurile necesare pentru a permite CEPD să îndeplinească efectiv această sarcină; așteaptă din partea Comisiei să ia mai serios în considerare poziția Parlamentului European privind orice nouă decizie privind caracterul adecvat al nivelului de protecție în legătură cu SUA înainte de a adopta respectiva decizie;

29.  reamintește că, în prezent, Comisia revizuiește toate deciziile privind caracterul adecvat al nivelului de protecție adoptate în temeiul Directivei 95/46/CE; subliniază că Comisia ar trebui să aplice standardele mai stricte stabilite de RGPD și de hotărârile CJUE în cauzele Schrems I și II pentru a evalua dacă este asigurat un nivel de protecție în esență echivalent cu cel oferit de RGPD, inclusiv în ceea ce privește accesul la o cale de atac eficientă și protecția împotriva accesului nejustificat al autorităților din țara terță la datele cu caracter personal; solicită insistent Comisiei să finalizeze de urgență aceste revizuiri și să revoce sau să suspende oricare dintre deciziile anterioare RGPD dacă constată că țara terță în cauză nu oferă un nivel de protecție în esență echivalent și dacă situația nu poate fi remediată;

30.  consideră că, prin numirea unui expert cu experiență în domeniul protecției vieții private în calitate de negociator-șef pentru succesorul Scutului de confidențialitate, administrația Biden și-a demonstrat angajamentul de a găsi cu prioritate o soluție pentru transferurile de date comerciale între UE și SUA; așteaptă ca dialogul dintre Comisie și omologii săi din SUA, demarat imediat după hotărârea CJUE, să se intensifice în lunile următoare;

31.  invită Comisia să nu adopte nicio nouă decizie privind caracterul adecvat al nivelului de protecție în legătură cu SUA, cu excepția cazului în care sunt introduse reforme semnificative, în special în scopuri de securitate națională și de informații, care pot fi realizate printr-o reformă a legilor și practicilor SUA clară, sustenabilă din punct de vedere juridic, aplicabilă și nediscriminatorie; reiterează, în acest sens, importanța unor garanții solide în domeniul accesului autorităților publice la date cu caracter personal; invită Comisia să își pună în practică „ambițiile geopolitice” pentru a asigura o protecție a datelor în SUA și în alte țări terțe în mod esențial echivalentă cu cea din UE;

32.  recomandă autorităților naționale de protecție a datelor să suspende transferul de date cu caracter personal care pot face obiectul accesului autorităților publice din SUA în cazul în care Comisia adoptă o nouă decizie privind caracterul adecvat al nivelului de protecție în legătură cu SUA în absența unor astfel de reforme semnificative;

33.  salută faptul că Comisia respectă criteriile stabilite în documentul Grupului de lucru „articolul 29” intitulat „Criterii de referință privind caracterul adecvat al nivelului de protecție în temeiul RGPD”(18) (așa cum a fost aprobat de CEPD) și în Recomandarea 01/2021 a CEPD cu privire la criteriile de referință privind caracterul adecvat al nivelului de protecție în temeiul Directivei privind protecția datelor în materie de aplicare a legii(19); consideră că Comisia ar trebui să urmărească strict aceste criterii atunci când evaluează dacă o țară terță îndeplinește condițiile pentru a beneficia de o decizie privind caracterul adecvat al nivelului de protecție; ia act de faptul că CEPD și-a actualizat recent recomandările privind garanțiile esențiale europene pentru măsurile de supraveghere în lumina jurisprudenței CJUE(20);

o
o   o

34.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Comisiei, Consiliului European, Consiliului Uniunii Europene, Comitetului european pentru protecția datelor, parlamentelor naționale ale statelor membre, Congresului și guvernului Statelor Unite ale Americii și parlamentului și guvernului Regatului Unit.

(1) Hotărârea Curții de Justiție din 16 iulie 2020, Data Protection Commissioner/Facebook Ireland Limited și Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
(2) Hotărârea Curții de Justiție din 6 octombrie 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
(3) Hotărârea Curții de Justiție din 6 octombrie 2020, Privacy International/Secretary of State for Foreign and Commonwealth Affairs și alții, C-623/17, ECLI:EU:C:2020:790.
(4) JO C 76, 28.2.2018, p. 82.
(5) JO C 298, 23.8.2018, p. 73.
(6) JO C 118, 8.4.2020, p. 133.
(7) JO C 345, 16.10.2020, p. 58.
(8) JO L 39, 12.2.2010, p. 5.
(9) JO L 207, 1.8.2016, p. 1.
(10) Texte adoptate, P9_TA(2020)0337.
(11) JO L 119, 4.5.2016, p. 1.
(12) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_ro.pdf
(13) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
(14) Propunerea UE de dispoziții privind fluxurile transfrontaliere de date și protecția datelor cu caracter personal și a vieții private, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf
(15) Avizul comun 2/2021 al CEPD-AEPD din 14 ianuarie 2021 privind clauzele contractuale tip pentru transferul de date cu caracter personal către țările terțe: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_ro
(16) Recomandările 01/2020 ale CEPD din 11 noiembrie 2020 privind măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_ro.pdf
(17) JO C 118, 8.4.2020, p. 141.
(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
(19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_ro 01/2021
(20) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_ro

Ultima actualizare: 9 septembrie 2021Aviz juridic - Politica de confidențialitate