El Parlamento Europeo,

–  Vista la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), en particular, sus artículos 7, 8, 16, 47 y 52,

–  Vista la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 6 de octubre de 2015, en el asunto C-362/14 Maximillian Schrems / Data Protection Commissioner (en lo sucesivo «Schrems I»)(1),

–  Vista la sentencia del TJUE, de 16 de julio de 2020, en el asunto C-311/18 Data Protection Commissioner / Facebook Ireland Limited y Maximillian Schrems (en lo sucesivo, «Schrems II»)(2),

–  Vista su investigación sobre las revelaciones de Edward Snowden relativas a la vigilancia electrónica masiva de ciudadanos de la UE, así como las constataciones expuestas en su Resolución, de 12 de marzo de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia de varios Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la Unión y en la cooperación transatlántica en materia de justicia y asuntos de interior(3),

–  Vista su Resolución, de 26 de mayo de 2016, sobre los flujos transatlánticos de datos(4),

–  Vista su Resolución, de 6 de abril de 2017, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.(5),

–  Vista su Resolución, de 5 de julio de 2018, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.(6),

–  Vista su Resolución, de 20 de mayo de 2021, sobre la sentencia del Tribunal de Justicia de 16 de julio de 2020, Data Protection Commissioner / Facebook Ireland Limited y Maximillian Schrems («Schrems II»), C-311/18(7),

–  Visto el proyecto de Decisión de Ejecución de la Comisión, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa al nivel adecuado de protección de los datos personales en el marco de privacidad de datos UE-EE. UU.,

–  Visto el Decreto n.º 14086 del presidente de los Estados Unidos, de 7 de octubre de 2022, sobre el refuerzo de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos,

–  Visto el Decreto n.º 12333 del presidente de los Estados Unidos, de 4 de diciembre de 1981, sobre las actividades de inteligencia de los Estados Unidos,

–  Visto el Reglamento sobre el Tribunal de recurso en materia de protección de datos del Fiscal General de los Estados Unidos,

–  Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)(8), en particular su capítulo V,

–  Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas(9),

–  Vistas las referencias sobre adecuación adoptadas por el Grupo de Trabajo del Artículo 29 (WP 254 rev.01), refrendadas por el Comité Europeo de Protección de Datos (CEPD) y las Recomendaciones 01/2020 del CEPD sobre las medidas que complementan las herramientas de transferencia para garantizar el respeto del nivel de protección de la Unión de los datos personales, así como las Recomendaciones 02/2020 del CEPD sobre las garantías esenciales europeas para las medidas de vigilancia,

–  Visto el dictamen 5/2023 del Comité Europeo de Protección de Datos, de 28 de febrero de 2023, sobre el proyecto de Decisión de Ejecución de la Comisión relativa al nivel adecuado de protección de los datos personales en el marco de privacidad de datos UE-EE. UU.,

–  Visto el artículo 132, apartado 2, de su Reglamento interno,

A.  Considerando que, en la sentencia Schrems I, el TJUE anuló la Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE, sobre la adecuación de la protección conferida por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América(10), y señaló que el acceso de forma generalizada por parte de las autoridades de inteligencia al contenido de las comunicaciones electrónicas lesiona la esencia del derecho a la confidencialidad de las comunicaciones garantizado por el artículo 7 de la Carta; que el Tribunal señaló que, a efectos de una decisión de adecuación, un tercer país no tiene que garantizar un nivel de protección idéntico, sino «sustancialmente equivalente» al garantizado en el Derecho de la Unión, lo que puede hacerse por diferentes medios;

B.  Considerando que, en la sentencia Schrems II, el TJUE anuló la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.(11), y concluyó que la Decisión no preveía vías de recurso legal suficientes contra la vigilancia masiva para los ciudadanos no estadounidenses y por tanto vulneraba el contenido esencial del derecho a la tutela judicial previsto en el artículo 47 de la Carta;

C.  Considerando que, el 7 de octubre de 2022, el presidente de los Estados Unidos firmó el Decreto n.º 14086 sobre el refuerzo de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos (en lo sucesivo, «Decreto n.º 14086»);

D.  Considerando que, el 13 de diciembre de 2022, la Comisión puso en marcha el proceso de adopción de una decisión de adecuación para el marco de privacidad de datos UE-EE. UU.;

E.  Considerando que, al examinar el nivel de protección ofrecido por un tercer país, la Comisión está obligada a evaluar el contenido de las normas aplicables en ese país derivadas de su legislación nacional o de sus compromisos internacionales, así como la práctica destinada a garantizar el cumplimiento de dichas normas; que, en caso de que dicha evaluación se considere insatisfactoria en términos de adecuación y equivalencia, la Comisión debe abstenerse de adoptar una decisión de adecuación, ya que está supeditada a la aplicación de las garantías pertinentes; que la Comisión está obligada a suspender la adecuación cuando deje de existir equivalencia; que el Reglamento General de Protección de Datos (RGPD) exige que la evaluación pertinente sea un proceso continuo que tenga en cuenta los cambios en las normas y prácticas aplicables;

F.  Considerando que la capacidad de transferir datos personales a través de las fronteras puede ser un motor fundamental de innovación, productividad y competitividad económica, siempre y cuando se ofrezcan unas garantías adecuadas; que estas transferencias deben realizarse con pleno respeto del derecho a la protección de los datos personales y el derecho a la privacidad; que uno de los fines de la Unión es la protección de los derechos fundamentales consagrados en la Carta;

G.  Considerando que el RGPD se aplica a todas las empresas que tratan datos personales de interesados en la Unión cuando las actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión o con el seguimiento de su comportamiento en la medida en que este tenga lugar dentro de la Unión;

H.  Considerando que la vigilancia masiva —es decir, la recopilación indiscriminada de datos sin salvaguardias que limiten la intrusión en la privacidad de las personas— por agentes estatales merma la confianza de los ciudadanos, las empresas y los Gobiernos europeos en los servicios digitales y, por ende, en la economía digital; que, aunque a las agencias estadounidenses les está prohibida la recopilación masiva de datos sobre los ciudadanos estadounidenses que viven en ese país, dicha prohibición no se aplica en el caso de los ciudadanos de la Unión; que la vigilancia masiva por parte de agentes estatales es ilegal y afecta negativamente a la confianza de los ciudadanos y las empresas de la Unión en los servicios digitales y, por ende, en la economía digital;

I.  Considerando que los responsables del tratamiento deben responder siempre del cumplimiento de las obligaciones en materia de protección de datos, lo que incluye demostrar dicho cumplimiento para cualquier tratamiento de datos con independencia de su naturaleza, alcance, contexto, fines y riesgos para los interesados;

J.  Considerando que no existe legislación federal en materia de privacidad y protección de datos en los Estados Unidos; que el Decreto n.º 14086 introduce definiciones de conceptos fundamentales de la protección de datos, como los principios de necesidad y proporcionalidad, y supone un importante paso adelante con respecto a mecanismos de transferencia anteriores; que la forma en que se interpretan dichos principios debe seguirse de cerca; que podría no ser posible evaluar exhaustivamente la manera en que dichos principios se aplican en el ordenamiento jurídico estadounidense por falta de transparencia de los procedimientos del Tribunal de recurso en materia de protección de datos de ese país (en lo sucesivo, «TRPD»);

1.  Recuerda que el respeto de la vida privada y familiar y la protección de los datos personales son derechos fundamentales legalmente aplicables consagrados en los Tratados, en la Carta de la Unión y en el Convenio Europeo de Derechos Humanos, así como en la legislación y en la jurisprudencia; hace hincapié en que las decisiones de adecuación en el marco del RGPD son decisiones jurídicas, no políticas, y que los derechos a la privacidad y a la protección de datos no deben ponderarse con respecto a intereses comerciales o políticos, sino únicamente a otros derechos fundamentales;

2.  Toma nota de los esfuerzos realizados en el Decreto n.º 14086 para fijar límites a las actividades de inteligencia de señales de los Estados Unidos haciendo que los principios de proporcionalidad y necesidad sean aplicables al marco jurídico estadounidense en materia de inteligencia de señales e incorporando una lista de objetivos legítimos para dichas actividades; señala que estos principios serían vinculantes para todos los servicios de inteligencia estadounidenses y podrían ser invocados por los interesados en el marco del procedimiento previsto en el Decreto n.º 14086; subraya que dicho Decreto prevé importantes mejoras destinadas a garantizar que estos principios sean sustancialmente equivalentes a los contemplados en el Derecho de la Unión; señala, no obstante, que estos principios son desde hace tiempo elementos clave del régimen de protección de datos de la Unión y que sus definiciones sustantivas recogidas en el Decreto n.º 14086 no están en consonancia con su definición en el Derecho de la Unión y su interpretación por parte del TJUE; señala, además, que, a efectos del marco de privacidad de datos UE-EE. UU., estos principios se interpretarían únicamente a la luz del Derecho y las tradiciones jurídicas de los Estados Unidos y no de la Unión; observa que el Decreto n.º 14086 enumera doce objetivos legítimos que pueden perseguirse al recopilar inteligencia de señales y cinco objetivos para los que está prohibida dicha recopilación; observa que el presidente de los Estados Unidos puede modificar y ampliar la lista de objetivos legítimos de seguridad nacional sin obligación de hacer públicas las correspondientes actualizaciones ni de informar a la UE; señala que el Decreto n.º 14086 exige que la inteligencia de señales se lleve a cabo de manera necesaria y proporcionada respecto a la «prioridad de inteligencia validada», lo que parece ser una interpretación en sentido amplio de estos conceptos; subraya que, para llevar a cabo una evaluación exhaustiva de los principios de proporcionalidad y necesidad en el contexto del Decreto n.º 14086, estos tendrían que ponerse en práctica y aplicarse en las políticas y los procedimientos de las agencias de inteligencia estadounidenses; expresa su preocupación, no obstante, por que no sea obligatorio que los analistas evalúen la proporcionalidad para cada decisión de vigilancia;

3.  Observa que el Decreto n.º 14086 permite en algunos casos la recopilación masiva de datos (incluido el contenido de las comunicaciones) mediante inteligencia de señales; toma nota, al mismo tiempo, de que el Decreto n.º 14086 establece que debe darse prioridad a la recogida selectiva frente a la recogida masiva; recuerda que, si bien el Decreto n.º 14086 contiene varias garantías en caso de recogida masiva, no prevé —como tampoco hace el Decreto n.º 12333— una autorización previa independiente para la recogida masiva; recuerda que, en el asunto Schrems II, el TJUE explicó que la vigilancia de los EE. UU. no cumplía el Derecho de la Unión porque no exigía un «criterio objetivo» que permitiese justificar la injerencia del Gobierno en la privacidad; señala que esto socavaría la finalidad de los objetivos como garantías para limitar las actividades de inteligencia de los EE. UU.; recuerda que, tras la Directiva de Política Presidencial 28, que constituyó la base de la decisión de adecuación relativa al «Escudo de la privacidad», la Junta de supervisión de la intimidad y las libertades civiles publicó un informe de revisión(12) y concluyó que, esencialmente, la Directiva de Política Presidencial 28 mantenía las prácticas que ya venía aplicando la comunidad de inteligencia; expresa su convicción de que la Directiva de Política Presidencial 28 no pondrá fin a la vigilancia electrónica masiva de los ciudadanos de la Unión por parte de las autoridades estadounidenses;

4.  Comparte las preocupaciones del CEPD por que el Decreto n.º 14086 no proporcione garantías suficientes respecto a la recopilación masiva de datos al no prever una autorización previa independiente, carecer de normas claras y estrictas sobre la conservación de los datos, permitir una recopilación masiva «temporal» y no establecer exigencias más estrictas en relación con la difusión de los datos recopilados de forma masiva; señala, en particular, la preocupación específica de que, si no se aplican restricciones adicionales a la transmisión a las autoridades estadounidenses, los servicios de seguridad podrían acceder a datos a los que, de otro modo, se les habría prohibido acceder; recuerda que las transferencias ulteriores multiplican de hecho los riesgos para la protección de datos; observa que el CEPD ha pedido la inclusión de una obligación jurídicamente vinculante de analizar y determinar si un tercer país ofrece un nivel mínimo aceptable de garantías;

5.  Señala que el Decreto n.º 14086 no se aplica a los datos a los que acceden las autoridades públicas por otros medios, por ejemplo en virtud de la Ley de Computación en la Nube de los Estados Unidos o la Ley Patriótica de los Estados Unidos, mediante adquisiciones de datos comerciales o mediante acuerdos voluntarios de intercambio de datos;

6.  Señala que el problema subyacente es la vigilancia sobre ciudadanos no estadounidenses con arreglo a la legislación estadounidense y la incapacidad de los ciudadanos europeos para interponer recurso judicial efectivo contra ello; pide que los ciudadanos de la Unión tengan los mismos derechos y privilegios que los estadounidenses en lo que respecta a las actividades de los servicios de inteligencia de los EE. UU. y el acceso a los tribunales estadounidenses;

7.  Señala que, según la interpretación de los EE. UU., la «inteligencia de señales» comprende cualquier método de acceso a datos previsto en la Ley de Vigilancia de Inteligencia Exterior, incluida la obtención de datos proporcionados por proveedores de «servicios informáticos a distancia», añadida en 2008 por la Ley 1881a de enmienda de la Ley de Vigilancia de Inteligencia Exterior; pide a la Comisión que aclare en futuras negociaciones la definición y el alcance del término «inteligencia de señales» utilizado en el Decreto n.º 14086; recuerda que, en virtud del artículo 702 de la Ley de Vigilancia de Inteligencia Exterior, el Gobierno de los EE. UU. sigue considerándose facultado para señalar como objetivo a cualquier persona no estadounidense situada fuera de ese país a efectos de obtener inteligencia exterior, definida en sentido amplio;

8.  Señala que se ha creado un nuevo mecanismo de recurso que permite a los interesados de la Unión presentar una reclamación; subraya al mismo tiempo que las decisiones del TRPD estarían clasificadas y no se harían públicas ni se pondrían a disposición del demandante, a quien solo se le informaría de que la revisión no ha detectado ninguna de las infracciones contempladas o de que el TRPD ha emitido una constatación en la que se exige la adopción de medidas adecuadas, algo que socava el derecho de los interesados a acceder a sus datos o rectificarlos; expresa su preocupación por que esto signifique que la persona que interponga un recurso no tenga ninguna oportunidad de ser informada del resultado sustantivo del asunto y la decisión sea definitiva; observa que el procedimiento de recurso propuesto no prevé una vía de recurso ante un tribunal federal, por lo que, entre otras cosas, no ofrece ninguna posibilidad de que el demandante reclame daños y perjuicios; pide a la Comisión que prosiga las negociaciones con los Estados Unidos para lograr los cambios necesarios a fin de responder a estas preocupaciones;

9.  Observa que el Decreto n.º 14086 introduce algunas garantías para velar por la independencia de los jueces del TRPD, como también reconoce el CEPD en su dictamen; señala que el TRPD forma parte del poder ejecutivo y no del poder judicial y que sus jueces son nombrados para un mandato fijo de cuatro años; destaca que el presidente de los Estados Unidos puede revocar las decisiones del TRPD e incluso hacerlo en secreto; señala que, aunque el nuevo mecanismo de recurso no permite al fiscal general de los Estados Unidos destituir y supervisar a los jueces del TRPD, no afecta a las facultades correspondientes del presidente de los Estados Unidos; subraya que, mientras el presidente de los Estados Unidos pueda destituir a los jueces del TRPD durante su mandato, la independencia de estos no estará garantizada; en caso de adopción, la Comisión debería seguir de cerca la aplicación de salvaguardas que garanticen la independencia en la práctica; señala que los demandantes estarían representados por un «abogado especial» designado por el TRPD y no sujeto a requisitos de independencia; pide a la Comisión que, en caso de que se adopte una decisión de adecuación, vele por que se introduzca un requisito de independencia; concluye que, a día de hoy, el TRPD no cumple las normas de independencia e imparcialidad establecidas en el artículo 47 de la Carta; observa que, si bien la Junta de supervisión de la intimidad y las libertades civiles examinaría de forma independiente el funcionamiento del nuevo proceso de recurso, el alcance de este examen sería limitado;

10.  Observa que, si bien los Estados Unidos han previsto un nuevo mecanismo de recurso para las cuestiones relacionadas con el acceso de las autoridades públicas a los datos, siguen existiendo dudas sobre la efectividad de las vías de recurso disponibles en materia comercial, respecto a las cuales la decisión de adecuación no introduce cambios; observa que los mecanismos para resolver estas cuestiones se dejan en gran medida a la discreción de las empresas, que pueden elegir vías alternativas de solución, como los mecanismos de resolución de litigios o el uso de los programas de privacidad de las empresas; pide a la Comisión que, en caso de que se adopte una decisión de adecuación, supervise de cerca la eficacia de estos mecanismos de recurso;

11.  Señala que las empresas europeas necesitan y merecen seguridad jurídica; subraya que la sucesión de distintos mecanismos de transferencia de datos, posteriormente anulados por el TJUE, generó costes adicionales para las empresas europeas; reconoce, por tanto, la necesidad de garantizar la seguridad jurídica y evitar una situación en la que las empresas deban adaptarse constantemente a nuevas soluciones jurídicas, algo que podría resultar especialmente gravoso para las microempresas y las pymes; expresa su preocupación por que, en caso de adoptarse, la decisión de adecuación pueda ser invalidada por el TJEU (al igual que sus predecesoras), lo que haría que se mantuviese la falta de seguridad jurídica y daría lugar a costes y perturbaciones adicionales para la ciudadanía y las empresas europeas;

12.  Señala que, a diferencia de todos los demás terceros países que han recibido una decisión de adecuación en virtud del RGPD, los Estados Unidos no cuentan con una ley federal de protección de datos; señala que la aplicación del Decreto n.º 14086 no es clara, precisa ni previsible, ya que puede ser modificado en cualquier momento por el presidente de los EE. UU., quien también está facultado para emitir decretos secretos; observa que la revisión de la decisión de adecuación tendría lugar transcurrido un año a partir de la fecha de notificación de la decisión de adecuación a los Estados miembros y, posteriormente, al menos cada cuatro años; pide a la Comisión que, en caso de que en el futuro se adopte una decisión de adecuación, lleve a cabo las revisiones posteriores al menos cada tres años, tal como solicitó el CEPD en su dictamen; manifiesta su preocupación ante la ausencia de una cláusula de extinción que establezca que la decisión expira automáticamente cuatro años después de su entrada en vigor, tras lo cual la Comisión tendría que adoptar una nueva decisión; expresa su preocupación por que esta falta de una cláusula de extinción en la decisión de adecuación suponga una posición más indulgente hacia los EE. UU. a pesar de que el marco de privacidad de este país se basa en un Decreto que permite enmiendas secretas y puede modificarse sin la aprobación del Congreso y sin informar a sus homólogos de la Unión; pide, por tanto, a la Comisión que introduzca una cláusula de este tipo;

13.  Comparte las preocupaciones expresadas por el CEPD en relación con los derechos de los interesados, la ausencia de definiciones fundamentales y de normas específicas sobre la toma de decisiones automatizada y sobre la elaboración de perfiles, la falta de claridad sobre la aplicación de los principios del marco de privacidad a los encargados del tratamiento y la necesidad de evitar que las transferencias ulteriores socaven el nivel de protección;

14.  Hace hincapié en que las decisiones de adecuación deben incluir mecanismos claros y estrictos de seguimiento y revisión a fin de garantizar que las decisiones estén preparadas para el futuro o que puedan revocarse o modificarse según proceda, y que se garantice en todo momento el derecho fundamental de los ciudadanos de la Unión a la protección de datos; subraya que cualquier futura decisión de adecuación debe estar sujeta a una revisión permanente en función de la evolución jurídica y práctica en los EE. UU.;

Conclusiones

15.  Recuerda que, en su Resolución de 20 de mayo de 2021, el Parlamento pidió a la Comisión que no adoptase ninguna nueva decisión de adecuación en relación con los EE. UU. a menos que se introduzcan reformas significativas, en particular con fines de seguridad nacional e inteligencia; no considera que el Decreto n.º 14086 sea suficientemente significativo; reitera que la Comisión no debe permitir que la protección de los derechos fundamentales de la ciudadanía de la Unión recaiga sobre el Tribunal de Justicia de la Unión Europea a raíz de reclamaciones de ciudadanos particulares;

16.  Recuerda que la Comisión debe evaluar la adecuación de un tercer país sobre la base de la legislación y las prácticas vigentes, no solo en cuanto al fondo, sino también en la práctica, tal como se establece en los asuntos Schrems I y Schrems II y en el RGPD (considerando 104);

17.  Observa que los principios del marco de privacidad de datos publicados por el Departamento de Comercio de los Estados Unidos no se han modificado lo suficiente con respecto a los del Escudo de la privacidad para ofrecer una protección sustancialmente equivalente a la prevista en el RGPD;

18.  Observa que, si bien los Estados Unidos están asumiendo un importante compromiso de mejora en cuanto al acceso a las vías de recurso y a las normas sobre el tratamiento de datos por parte de las autoridades públicas, los servicios de inteligencia de este país tienen hasta octubre de 2023 para actualizar sus políticas y prácticas en consonancia con el compromiso del Decreto n.º 14086, y que el abogado general de los EE. UU. aún no ha designado a la Unión y a sus Estados miembros como países cualificados para poder acceder a la vía de recurso disponible ante el TRPD; subraya que esto significa que la Comisión no ha podido evaluar la eficacia «en la práctica» de las vías de recurso propuestas y las medidas propuestas en materia de acceso a los datos; concluye, por tanto, que la Comisión solo podrá pasar al siguiente paso de una decisión de adecuación una vez que los Estados Unidos hayan alcanzado estos plazos e hitos, a fin de garantizar que los compromisos se cumplen en la práctica;

19.  Concluye que el marco de privacidad de datos UE-EE. UU. no da lugar a una equivalencia sustancial en el nivel de protección; pide a la Comisión que prosiga las negociaciones con sus homólogos estadounidenses con el objetivo de crear un mecanismo que garantice dicha equivalencia y que proporcione el nivel adecuado de protección exigido por la legislación de la Unión en materia de protección de datos y la Carta, según la interpretación del TJUE; pide a la Comisión que no adopte la decisión de adecuación hasta que no se hayan aplicado plenamente todas las recomendaciones formuladas en la presente Resolución y en el dictamen del CEPD;

20.  Pide a la Comisión que actúe en interés de las empresas y la ciudadanía de la Unión garantizando que el marco propuesto proporcione una base jurídica sólida, suficiente y orientada al futuro para las transferencias de datos entre la UE y los EE. UU.; prevé que, si se adopta cualquier decisión de adecuación, esta sea impugnada ante el TJUE; subraya la responsabilidad que recaería sobre la Comisión por no proteger los derechos de la ciudadanía de la Unión en caso de que el TJEU invalidase de nuevo la decisión de adecuación;

o
o   o

21.  Encarga a su presidenta que transmita la presente Resolución al Consejo y a la Comisión y al presidente y al Congreso de los Estados Unidos de América.

(1) Sentencia de 6 de octubre de 2015, Maximillian Schrems / Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650. (2) Sentencia de 16 de julio de 2020, Data Protection Commissioner / Facebook Ireland Limited y Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559. (3) DO C 378 de 9.11.2017, p. 104. (4) DO C 76 de 28.2.2018, p. 82. (5) DO C 298 de 23.8.2018, p. 73. (6) DO C 118 de 8.4.2020, p. 133. (7) DO C 15 de 12.1.2022, p. 176. (8) DO L 119 de 4.5.2016, p. 1. (9) DO L 201 de 31.7.2002, p. 37. (10) DO L 215 de 25.8.2000, p. 7. (11) DO L 207 de 1.8.2016, p. 1. (12) Junta de supervisión de la intimidad y las libertades civiles, Report to the President on the Implementation of Presidential Directive 28: Signals Intelligence Activities.