Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti
Banner BA-01
Servicii JURIDICE.ro
Banner BA-02
Cyberlaw Data protection Dreptul Uniunii Europene Jurnalul Oficial al Uniunii Europene SELECTED

Rezoluția PE ref. caracterul adecvat al protecției oferite de Cadrul UE-SUA privind confidențialitatea datelor

19 decembrie 2023 | JURIDICE.ro

În Jurnalul Oficial al Uniunii Europene, seria C din 15 noiembrie 2023 a fost publicată Rezoluția Parlamentului European din 11 mai 2023 referitoare la caracterul adecvat al protecției oferite de Cadrul UE-SUA privind confidențialitatea datelor (2023/2501(RSP)).

Parlamentul European:

1. reamintește că respectarea vieții private și de familie și protecția datelor cu caracter personal reprezintă drepturi fundamentale exercitabile legal consacrate în tratate, în Cartă și în Convenția europeană a drepturilor omului, precum și în legislație și jurisprudență; subliniază că deciziile privind caracterul adecvat al nivelului de protecție în temeiul RGPD sunt decizii juridice, nu alegeri politice, și că drepturile la viață privată și la protecția datelor nu pot fi puse în balanță cu interesele comerciale sau politice, ci numai cu alte drepturi fundamentale;

2. recunoaște eforturile făcute în Decretul nr. 14086 de a stabili limite pentru activitățile SUA de colectare a informațiilor pe baza semnalelor electromagnetice, aplicând principiile proporționalității și necesității în cazul cadrului juridic al SUA privind colectarea informațiilor pe baza semnalelor electromagnetice și furnizând o listă de obiective legitime pentru astfel de activități; observă că aceste principii ar fi obligatorii pentru întreaga comunitate a serviciilor de informații din SUA și ar putea fi invocate de persoanele vizate în cadrul procedurii prevăzute în Decretul nr. 14086; accentuează că acest decret prevede îmbunătățiri semnificative menite să asigure că aceste principii sunt, în esență, echivalente în temeiul legislației UE; subliniază totuși că aceste principii sunt elemente-cheie care se înscriu de mult în regimul UE de protecție a datelor și că definițiile lor materiale din Decretul nr. 14086 nu sunt conforme cu definițiile lor din dreptul UE și nici cu interpretarea lor de către CJUE; subliniază, de asemenea, că, în sensul Cadrului UE-SUA privind confidențialitatea datelor, aceste principii ar fi interpretate exclusiv în lumina dreptului și tradițiilor juridice ale SUA, nu și a celor ale UE; observă că Decretul nr. 14086 enumeră 12 obiective legitime care pot fi urmărite atunci când se efectuează colectarea de informații pe baza semnalelor electromagnetice și cinci obiective pentru care colectarea de informații pe baza semnalelor electromagnetice este interzisă; constată că lista obiectivelor legitime de securitate națională poate fi modificată și extinsă de Președintele SUA, fără obligația de a face publice actualizările relevante și nici de a informa UE; subliniază că Decretul nr. 14086 impune o colectare de informații pe baza semnalelor electromagnetice care să fie efectuată în mod necesar și proporțional cu „prioritatea validată în materie de informații”, ceea ce pare a fi o interpretare largă a acestor concepte; evidențiază că, pentru o evaluare cuprinzătoare a principiilor proporționalității și necesității în contextul Decretului nr. 14086, acestea ar trebui să fie operaționalizate și puse în aplicare în politicile și procedurile serviciilor de informații ale SUA; este preocupat totuși că nu există o cerință ca analiștii să efectueze o evaluare a proporționalității pentru fiecare decizie de supraveghere;

3. observă că Decretul nr. 14086 permite colectarea în masă a datelor prin intermediul informațiilor colectate pe baza semnalelor electromagnetice în anumite cazuri, inclusiv a conținutului comunicațiilor; în același timp, observă că Decretul nr. 14086 prevede că colectarea direcționată ar trebui să aibă prioritate față de colectarea în masă; reamintește că, deși Decretul nr. 14086 conține mai multe garanții în cazul colectării în masă, acesta nu prevede o autorizare prealabilă independentă pentru colectarea în masă, care nu este prevăzută nici în Decretul nr. 12333; reamintește că, în cauza „Schrems II”, CJUE a explicat că supravegherea SUA nu a respectat legislația UE, deoarece nu a impus un „criteriu obiectiv”„care să poată justifica” ingerința guvernului în viața privată; subliniază că acest lucru ar submina scopul obiectivelor de a garanta limitarea activităților serviciilor de informații ale SUA; reamintește că, după Directiva de politică prezidențială nr. 28 (PPD-28), care a constituit baza pentru decizia privind caracterul adecvat al nivelului de protecție oferit de „Scutul de confidențialitate”, Comitetul de supraveghere a vieții private și a libertăților civile (PCLOB) a emis un raport de reexaminare și a concluzionat că PPD-28 a menținut, în esență, practicile existente ale serviciilor de informații; este convins că PPD-28 nu va opri supravegherea electronică în masă a cetățenilor UE de către autoritățile SUA;

4. împărtășește preocupările CEPD cu privire la incapacitatea Decretului nr. 14086 de a oferi garanții suficiente în cazul colectării în masă a datelor, și anume lipsa unei autorizații prealabile independente, lipsa unor norme clare și stricte de păstrare a datelor, colectarea în masă „temporară” și lipsa unor garanții mai stricte privind diseminarea datelor colectate în masă; evidențiază mai ales preocuparea specifică legată de faptul că, fără mai multe restricții privind diseminarea către autoritățile SUA, autoritățile de aplicare a legii ar putea să acceseze date pe care altfel nu ar fi avut permisiunea de a le accesa; reamintește că transferurile ulterioare înmulțesc efectiv riscurile la adresa protecției datelor; constată că CEPD a solicitat includerea unei obligații juridice de a analiza și de a stabili dacă o țară terță oferă un nivel minim acceptabil de garanții;

5. subliniază că Decretul nr. 14086 nu se aplică datelor accesate de autoritățile publice prin alte mijloace, de exemplu prin Legea Cloud (Cloud Act) sau Legea Patriot (Patriot Act) din SUA, prin achiziționarea de date comerciale sau prin acorduri voluntare privind schimbul de date;

6. subliniază că problema subiacentă este supravegherea persoanelor care nu au cetățenie SUA în temeiul legislației SUA și incapacitatea cetățenilor europeni de a recurge la căi de atac eficace în această privință; solicită ca cetățenii UE să aibă aceleași drepturi și privilegii pe care le au cetățenii SUA când este vorba despre activitățile comunității serviciilor de informații ale SUA și accesul la instanțele SUA;

7. observă că, în conformitate cu interpretarea SUA, „colectarea de informații pe baza semnalelor electromagnetice” acoperă toate metodele de acces la date prevăzute în Legea privind supravegherea activităților străine de spionaj (FISA), inclusiv de la furnizorii de „servicii de informatică la distanță” adăugați prin Actul de modificare a FISA § 1881a din 2008; invită Comisia să clarifice în cadrul negocierilor viitoare definiția și domeniul de aplicare ale „colectării de informații pe baza semnalelor electromagnetice” din Decretul nr. 14086; reamintește că, în conformitate cu secțiunea 702 din FISA, Guvernul SUA încă revendică competența de a viza orice persoană din străinătate care nu este cetățean american pentru a obține informații externe, definite în sens larg;

8. evidențiază că a fost creat un nou mecanism de recurs care permite persoanelor vizate din UE să depună o plângere; subliniază, în același timp, că deciziile DPRC ar fi clasificate și nu ar fi făcute publice sau puse la dispoziția reclamantului, care doar ar fi informat fie că reexaminarea nu a identificat niciuna dintre încălcările menționate, fie că DPRC a emis o hotărâre care impune luarea unor măsuri adecvate, subminând astfel dreptul său de a accesa sau de a rectifica datele proprii; este preocupat că acest lucru înseamnă că o persoană care ar sesiza instanța nu ar avea nicio șansă de a fi informată cu privire la soluționarea cauzei pe fond, iar decizia ar fi definitivă; observă că procedura de recurs propusă nu prevede posibilitatea unei căi de atac în fața unei instanțe federale și, prin urmare, nu oferă reclamantului, printre altele, nicio posibilitate de a solicita despăgubiri; invită Comisia să continue negocierile cu Statele Unite pentru a realiza modificările necesare pentru a răspunde acestor preocupări;

9. observă că Decretul nr. 14086 introduce unele garanții pentru a asigura independența judecătorilor DPRC, astfel cum a recunoscut CEPD în avizul său; subliniază că DPRC face parte din puterea executivă și nu din cea judiciară, iar judecătorii săi sunt numiți pentru un mandat fix de patru ani; accentuează că Președintele SUA poate anula deciziile DPRC chiar și în secret; subliniază că deși noul mecanism de recurs nu permite Procurorului General al SUA să demită și să supervizeze judecătorii DPRC, nu afectează competențele relevante ale Președintelui SUA; evidențiază că, atât timp cât Președintele SUA poate revoca judecătorii DPRC în cursul mandatului lor, independența acestor judecători nu este garantată; observă că, în cazul adoptării, Comisia ar trebui să monitorizeze îndeaproape aplicarea garanțiilor pentru a asigura independența în practică; subliniază că un reclamant ar fi reprezentat de un „avocat special” desemnat de DPRC, care nu trebuie să fie independent; invită Comisia să asigure introducerea unei cerințe de independență în cazul adoptării unei decizii privind caracterul adecvat al nivelului de protecție; conchide că, în forma actuală, DPRC nu îndeplinește standardele de independență și imparțialitate prevăzute la articolul 47 din Cartă; observă că, deși PCLOB ar reexamina în mod independent funcționarea noului proces de recurs, domeniul de aplicare al acestei reexaminări ar fi limitat;

10. constată că SUA a prevăzut un nou mecanism de recurs pentru problemele legate de accesul autorităților publice la date, dar că persistă întrebări legate de eficiența căilor de atac disponibile în materie comercială, care rămân nemodificate în temeiul deciziei privind caracterul adecvat al nivelului de protecție; constată că mecanismele care vizează rezolvarea acestor aspecte sunt lăsate în mare măsură la latitudinea întreprinderilor, care pot alege căi alternative de atac, cum ar fi mecanismele de soluționare a litigiilor sau utilizarea programelor de protecție a vieții private ale întreprinderilor; invită Comisia ca, în cazul în care se adoptă o decizie privind caracterul adecvat al nivelului de protecție, să analizeze îndeaproape eficacitatea acestor mecanisme de recurs;

11. constată că întreprinderile europene au nevoie de securitate juridică și merită această securitate; subliniază că succesiunea mecanismelor de transfer de date, care au fost ulterior abrogate de CJUE, a creat costuri suplimentare pentru întreprinderile europene; recunoaște, prin urmare, necesitatea de a asigura securitatea juridică și de a evita situația în care întreprinderile trebuie să se adapteze constant la noi soluții juridice, care ar putea fi deosebit de împovărătoare pentru microîntreprinderi și pentru întreprinderile mici și mijlocii; este preocupat că decizia privind caracterul adecvat al nivelului de protecție, în cazul adoptării, ar putea fi invalidată de CJUE (la fel ca deciziile anterioare), ceea ce ar duce la o lipsă continuă de securitate juridică, la costuri suplimentare și la perturbări pentru cetățenii și întreprinderile europene;

12. evidențiază că, spre deosebire de toate celelalte țări terțe care au primit o decizie privind caracterul adecvat al nivelului de protecție în temeiul RGPD, SUA nu dispune încă de o lege federală privind protecția datelor; subliniază că aplicarea Decretului nr. 14086 nu este clară, precisă sau previzibilă, deoarece acesta poate fi modificat sau revocat în orice moment de către Președintele SUA, care are totodată competența de a emite decrete secrete; observă că reexaminarea constatării privind caracterul adecvat al nivelului de protecție ar avea loc după un an de la data notificării deciziei privind caracterul adecvat al nivelului de protecție către statele membre și, ulterior, cel puțin o dată la patru ani; invită Comisia ca, în cazul în care se adoptă orice decizie viitoare privind caracterul adecvat al nivelului de protecție, să efectueze reexaminări ulterioare cel puțin o dată la trei ani, astfel cum se solicită în avizul CEPD; își exprimă îngrijorarea cu privire la absența unei clauze de caducitate astfel încât decizia să expire automat la patru ani de la intrarea sa în vigoare, după care Comisia ar trebui să ia o nouă hotărâre; este preocupat că lipsa respectivă a unei clauze de caducitate în această decizie privind caracterul adecvat al nivelului de protecție reprezintă o abordare mai indulgentă față de SUA, deși cadrul de confidențialitate al SUA se bazează pe un decret care permite modificări secrete și care poate fi modificat fără consultarea Congresului sau fără informarea omologilor din UE; invită, prin urmare, Comisia să introducă o astfel de clauză;

13. împărtășește preocupările exprimate de CEPD în legătură cu drepturile persoanelor vizate, absența unor definiții-cheie și a unor norme specifice privind procesul decizional automatizat și crearea de profiluri, lipsa de claritate cu privire la aplicarea principiilor Cadrului UE-SUA privind confidențialitatea datelor în cazul persoanelor împuternicite de operator și necesitatea de a evita transferuri ulterioare care subminează nivelul de protecție;

14. subliniază că deciziile privind caracterul adecvat al nivelului de protecție trebuie să includă mecanisme clare și stricte de monitorizare și reexaminare pentru a se asigura că deciziile sunt adaptate exigențelor viitorului, ori abrogate sau modificate după cum este necesar, și că dreptul fundamental al cetățenilor UE la protecția datelor este garantat în orice moment; evidențiază că orice viitoare decizie privind caracterul adecvat al nivelului de protecție ar trebui să facă obiectul unei reexaminări continue, ținând seama de evoluțiile juridice și practice din SUA;

Concluzii

15. reamintește că, în rezoluția sa din 20 mai 2021, Parlamentul a solicitat Comisiei să nu adopte o nouă decizie privind caracterul adecvat al nivelului de protecție în legătură cu SUA, cu excepția cazului în care se introduc reforme semnificative, în special în scopuri legate de securitatea națională și de serviciile de informații; nu consideră că Decretul nr. 14086 este suficient de semnificativ; reiterează că Comisia nu ar trebui să lase misiunea de a proteja drepturile fundamentale ale cetățenilor UE în sarcina Curții de Justiție a Uniunii Europene în urma plângerilor depuse cu titlu individual de acești cetățeni;

16. reamintește că Comisia trebuie să evalueze caracterul adecvat al nivelului de protecție oferit de o țară terță pe baza legislației și a practicilor în vigoare, nu numai pe fond, ci și în practică, astfel cum se prevede în Schrems I, Schrems II și RGPD (considerentul 104);

17. observă că principiile Cadrului privind confidențialitatea datelor publicat de Departamentul Comerțului al SUA nu au făcut obiectul unor modificări suficiente, în comparație cu cele ale Scutului de confidențialitate, pentru a oferi, în esență, o protecție echivalentă cu cea prevăzută în RGPD;

18. constată că, deși SUA își asumă un angajament important de a îmbunătăți accesul la căile de atac și normele privind prelucrarea datelor de către autoritățile publice, comunitatea serviciilor de informații ale SUA trebuie să își actualizeze politicile și practicile până în octombrie 2023, în conformitate cu angajamentul din Decretul nr. 14086, și că Avocatul General al SUA trebuie încă să desemneze UE și statele sale membre drept țări eligibile pentru a avea acces la căile de atac disponibile în fața DPRC; subliniază că acest lucru înseamnă că Comisia nu a fost în măsură să evalueze „în practică” eficacitatea căilor de atac și a măsurilor privind accesul la date care au fost propuse; concluzionează, prin urmare, că Comisia poate să treacă la următoarea etapă a unei decizii privind caracterul adecvat al nivelului de protecție numai după ce aceste termene și etape au fost mai întâi finalizate de SUA pentru a se asigura că angajamentele au fost îndeplinite în practică;

19. conchide că Cadrul UE-SUA privind confidențialitatea datelor nu creează o echivalență esențială în ceea ce privește nivelul de protecție; invită Comisia să continue negocierile cu omologii săi din SUA pentru a crea un mecanism care să asigure această echivalență și să ofere nivelul adecvat de protecție impus de legislația Uniunii privind protecția datelor și de Cartă potrivit interpretării CJUE; invită Comisia să nu adopte constatarea privind caracterul adecvat al nivelului de protecție până când nu sunt puse în aplicare pe deplin toate recomandările formulate în prezenta rezoluție și în avizul CEPD;

20. invită Comisia să acționeze în interesul întreprinderilor și cetățenilor UE, asigurându-se că cadrul propus oferă un temei juridic solid, suficient și orientat spre viitor pentru transferurile de date între UE și SUA; se așteaptă ca orice decizie privind caracterul adecvat al nivelului de protecție, dacă este adoptată, să fie contestată din nou la CJUE; subliniază responsabilitatea Comisiei pentru neprotejarea drepturilor cetățenilor UE în cazul în care decizia privind caracterul adecvat al nivelului de protecție va fi invalidată din nou de CJUE;

Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

 
Homepage J JURIDICE   Cariere   Evenimente   Dezbateri   Profesionişti   Lawyers Week   Video
 
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Sustenabilitate
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi
Drept maritim
Parteneri ⁞ 
Specialişti
Arii de practică
Business ⁞ 
Litigation ⁞ 
Protective
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul penal al afacerilor
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul sportului
Articole
Essentials
Interviuri
Opinii
Revista de note şi studii juridice ISSN
Note de studiu ⁞ 
Studii
Revista revistelor
Autori ⁞ 
Publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională a României
Înalta Curte de Casaţie şi Justiţie
Dezlegarea unor chestiuni de drept
Recurs în interesul legii
Jurisprudenţă curentă ÎCCJ
Curţi de apel
Tribunale
Judecătorii
Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene
Flux noutăţi
Selected
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi
RSS ⁞ 
Publicare comunicate
Proiecte speciale
Cărţi
Condoleanţe
Covid-19 Legal React
Creepy cases
Life
Poezii
Povestim cărţi
Poveşti juridice
Războiul din Ucraina
Wisdom stories
Women in Law

Servicii J JURIDICE   Membership   Catalog   Recrutare   Talent Search   Comunicare   Documentare   Evenimente   Website   Logo   Foto   Video   Partnership