PROPOSTA DE RESOLUÇÃO sobre o acórdão do TJUE de 16 de julho de 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems («Schrems II») – Processo C-311/18

B9‑0267/2021

Resolução do Parlamento Europeu sobre o acórdão do TJUE de 16 de julho de 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems («Schrems II») – Processo C-311/18

(2020/2789(RSP))

O Parlamento Europeu,

– Tendo em conta a Carta dos Direitos Fundamentais da União Europeia (a «Carta»), nomeadamente os artigos 7.º, 8.º, 16.º, 47.º e 52.º,

– Tendo em conta o acórdão do Tribunal de Justiça, de 16 de julho de 2020, no processo C-311/18, Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems («Schrems II»)[1],

– Tendo em conta o acórdão do Tribunal de Justiça, de 6 de outubro de 2015, no processo C-362/14, Maximillian Schrems/Data Protection Commissioner («Schrems I»)[2],

– Tendo em conta o acórdão do Tribunal de Justiça, de 6 de outubro de 2020, no processo C‑623/17, Privacy International/Secretary of State of Foreign and Commonwealth affairs e o.[3],

– Tendo em conta a sua resolução, de 26 de maio de 2016, sobre a transferência transatlântica de dados[4],

– Tendo em conta a sua resolução, de 6 de abril de 2017, sobre o nível de proteção adequado assegurado pelo Escudo de Proteção da Privacidade UE-EUA[5],

– Tendo em conta a sua resolução, de 5 de julho de 2018, sobre o nível de proteção adequado assegurado pelo Escudo de Proteção da Privacidade UE-EUA[6],

– Tendo em conta a sua resolução, de 25 de outubro de 2018, sobre a utilização pela Cambridge Analytica de dados dos utilizadores do Facebook e o impacto na proteção de dados[7],

– Tendo em conta a Decisão 2010/87/UE da Comissão, de 5 de fevereiro de 2010, relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (notificada com o número C(2010)0593)[8],

– Tendo em conta a Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho (C(2016)4176)[9],

– Tendo em conta a sua resolução, de 26 de novembro de 2020, sobre a revisão da política comercial da UE[10],

– Tendo em conta o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)[11], nomeadamente o seu capítulo V,

– Tendo em conta a proposta da Comissão de um regulamento relativo à privacidade e às comunicações eletrónicas (COM(2017)0010), a decisão de encetar negociações interinstitucionais confirmada pelo Parlamento na sessão plenária de 25 de outubro de 2017 e a orientação geral do Conselho adotada em 10 de fevereiro de 2021 (6087/21),

– Tendo em conta as Recomendações 01/2020 do Comité Europeu para a Proteção de Dados (CEPD) relativas às medidas complementares aos instrumentos de transferência para assegurar o cumprimento do nível de proteção dos dados pessoais da UE e as Recomendações 02/2020 sobre as garantias essenciais europeias relativas às medidas de vigilância, bem como a declaração do CEPD, de 19 de novembro de 2020, sobre o Regulamento Privacidade Eletrónica e o futuro papel das autoridades de supervisão e do CEPD,

– Tendo em conta o artigo 132.º, n.º 2, do seu Regimento,

A. Considerando que a capacidade de transferir dados pessoais através das fronteiras pode ser um fator essencial de inovação, produtividade e competitividade económica; que tal é ainda mais importante no contexto da atual pandemia de COVID-19, uma vez que essas transferências são essenciais para assegurar a continuidade das operações das empresas e dos governos, bem como as interações sociais; que elas podem, também, apoiar estratégias de saída da pandemia e contribuir para a recuperação económica;

B. Considerando que o Tribunal de Justiça da União Europeia (TJUE), no seu acórdão «Schrems I», declarou inválida a Decisão da Comissão sobre o «porto seguro» com base nas suas conclusões e argumentando que o acesso indiscriminado dos serviços de informação ao conteúdo das comunicações eletrónicas viola a essência do direito à confidencialidade das comunicações previsto no artigo 7.º da Carta;

C. Considerando que, no acórdão «Schrems II», o Tribunal de Justiça declarou que os Estados Unidos (EUA) não preveem vias de recurso adequadas contra a vigilância em larga escala para cidadãos não norte-americanos, o que viola a essência do direito à ação perante um tribunal previsto no artigo 47.º da Carta;

D. Recorda que o Regulamento Geral sobre a Proteção de Dados (RGPD) se aplica a todas as empresas que tratam dados pessoais de titulares de dados que se encontrem na União, sempre que as operações de tratamento estejam relacionadas com a oferta de bens ou serviços a esses titulares de dados na União ou com o controlo do seu comportamento, desde que este tenha lugar na União;

E. Considerando que os dados dos cidadãos europeus armazenados e transferidos pelos operadores e empresas de telecomunicações constituem um recurso essencial que contribui para os interesses estratégicos da UE;

F. Considerando que a vigilância indiscriminada em larga escala por entidades estatais mina a confiança dos cidadãos, das empresas e dos governos europeus nos serviços digitais e, por conseguinte, na economia digital;

G. Considerando que os consumidores e outras organizações da sociedade civil dispõem de recursos limitados e que a aplicação dos direitos e das obrigações em matéria de proteção de dados não pode depender das suas ações; que os procedimentos e práticas nacionais são uma manta de retalhos que põe à prova o mecanismo de cooperação estabelecido no RGPD para as queixas transfronteiras: os prazos não são claros, o ritmo dos processos é geralmente lento, as autoridades de controlo carecem de recursos suficientes e, em certos casos, há falta de vontade ou de eficiência na utilização dos recursos já atribuídos; que se assiste atualmente a uma concentração de queixas contra alegadas infrações cometidas por grandes empresas tecnológicas nas mãos de uma única autoridade nacional, o que provoca estrangulamentos na aplicação da legislação;

H. Considerando que o processo que conduziu a este acórdão do TJUE também ilustra a dificuldade sentida pelos titulares de dados e os consumidores para defender os seus direitos, o que cria um efeito dissuasor sobre a sua capacidade de fazer valer os seus direitos perante o comissário irlandês para a proteção de dados;

I. Considerando que, na sua resolução de 25 de outubro de 2018, o Parlamento Europeu, depois de chamar a atenção para o facto de os EUA não terem respeitado o prazo de 1 de setembro de 2018 previsto para o cumprimento do Escudo de Proteção da Privacidade, já tinha instado a Comissão a suspender o Escudo de Proteção da Privacidade até as autoridades norte-americanas respeitarem as suas disposições;

J. Considerando que os direitos dos titulares de dados garantidos pela legislação da UE em matéria de proteção de dados devem ser respeitados independentemente do nível de risco em que estes incorram devido ao tratamento de dados pessoais, inclusivamente no caso de transferência de dados pessoais para países terceiros; que os responsáveis pelo tratamento de dados devem ser sempre responsabilizados pelo cumprimento das obrigações em matéria de proteção de dados, incluindo a demonstração da conformidade do tratamento de dados, independentemente da natureza, do âmbito, do contexto, da finalidade do tratamento e dos riscos para os titulares dos dados;

K. Considerando que, até à data, e apesar da evolução significativa da jurisprudência do TJUE nos últimos cinco anos, bem como da aplicação efetiva do RGPD desde 25 de maio de 2018, as autoridades de controlo não tomaram qualquer decisão que imponha medidas corretivas em relação às transferências de dados pessoais ao abrigo do procedimento de controlo da coerência do RGPD; que as autoridades de controlo a nível nacional não adotaram qualquer decisão pertinente que imponha medidas corretivas ou coimas em relação à transferência de dados pessoais para países terceiros;

L. Considerando que, no primeiro dia do seu mandato, o Presidente dos EUA, Joe Biden, nomeou o vice-secretário adjunto para os Serviços do Departamento de Comércio dos EUA, que será o negociador principal para as transferências de dados comerciais com a UE; que, durante uma audição de confirmação no Senado, Gina Raimondo, nomeada pelo Presidente para o cargo de Secretária do Comércio dos EUA, considerou uma «prioridade absoluta» a rápida conclusão das negociações sobre um acordo que substitua o Escudo de Proteção da Privacidade;

Observações gerais

1. Toma nota do acórdão do TJUE de 16 de julho de 2020, no qual o Tribunal confirmou, em princípio, a validade da Decisão 2010/87/UE relativa a cláusulas contratuais-tipo (CCT), que são o mecanismo mais usado para as transferências internacionais de dados; observa ainda que o Tribunal declarou inválida a Decisão 2016/1250 da Comissão relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA; assinala que, até à data, nenhum mecanismo único sustentável destinado a garantir a transferência legal de dados pessoais de natureza comercial entre a UE e os EUA resistiu a um recurso perante o TJUE;

2. Verifica que o TJUE considerou que as CCT constituem um mecanismo eficaz para garantir o cumprimento do nível de proteção assegurado na UE, mas exigiu que um responsável pelo tratamento/subcontratante estabelecido na União Europeia e o destinatário dos dados pessoais verifiquem, antes de qualquer transferência, se o nível de proteção exigido pela legislação da UE é respeitado no país terceiro em causa; recorda que tal inclui a avaliação do regime jurídico relativo ao acesso das autoridades públicas aos dados pessoais, a fim de garantir que os titulares dos dados e os seus dados transferidos não corram o risco de ser objeto de programas de vigilância dos EUA que permitam a recolha em larga escala de dados pessoais; recorda que o TJUE decidiu que, quando o destinatário não cumprir as CCT, os responsáveis pelo tratamento ou os subcontratantes são obrigados a suspender as transferências de dados e/ou a rescindir o contrato; observa, no entanto, que muitas empresas, especialmente PME, não possuem a capacidade ou os conhecimentos necessários para realizar essa verificação, o que pode provocar perturbações nas suas atividades;

3. Considera que o acórdão do TJUE, embora se centre no nível de proteção de dados concedido aos titulares de dados na UE cujos dados tenham sido transferidos para os EUA ao abrigo do Escudo de Proteção da Privacidade, também tem implicações nas decisões de adequação relativas a outros países terceiros, incluindo o Reino Unido; insiste na necessidade de clareza e segurança jurídicas, uma vez que a capacidade de transferir de forma segura dados pessoais para além das fronteiras é cada vez mais importante para as pessoas singulares no que se refere à proteção dos seus dados pessoais e dos seus direitos, bem como para todos os tipos de organizações que fornecem bens e serviços a nível internacional e para as empresas no que se refere ao regime jurídico ao abrigo do qual funcionam; sublinha, no entanto, que, até serem revogadas, substituídas ou declaradas inválidas pelo TJUE, as decisões de adequação existentes permanecem em vigor;

4. Lamenta que o comissário irlandês para a proteção de dados (CPD) tenha intentado uma ação contra Maximilian Schrems e a Facebook no Tribunal Superior da Irlanda, em vez de tomar uma decisão no âmbito das suas competências nos termos do artigo 4.º da Decisão 2010/87/UE e do artigo 58.º do RGPD; recorda, contudo, que o CPD fez uso da via jurídica que permite às autoridades responsáveis pela proteção de dados (APD) invocar, perante um órgão jurisdicional nacional, dúvidas quanto à validade de uma decisão de execução da Comissão, com vista a solicitar uma decisão prejudicial ao TJUE; manifesta profunda preocupação pelo facto de o CPD, que é a autoridade principal para estes casos, ainda não se ter pronunciado sobre várias queixas de violações do RGPD apresentadas em 25 de maio de 2018, data de entrada em vigor do RGPD, nem sobre outras queixas de organizações ativas no domínio da proteção da vida privada e de grupos de consumidores; manifesta preocupação pelo facto de o CPD interpretar a expressão «sem demora» constante do artigo 60.º, n.º 3, do RGPD – contra a intenção dos legisladores – como um período de alguns meses; manifesta preocupação pelo facto de as autoridades de controlo não terem tomado medidas pró-ativas, nos termos dos artigos 61.º e 66.º do RGPD, para obrigar o CPD a cumprir as obrigações que lhe incumbem por força do RGPD; manifesta igualmente preocupação com a falta de especialistas em tecnologia ao serviço do CPD e com a utilização de sistemas obsoletos; lamenta as repercussões da tentativa gorada do CPD de transferir as custas do processo para o demandado, o que teria tido um importante efeito dissuasor; insta a Comissão a iniciar um processo por infração contra a Irlanda, por não aplicar corretamente o RGPD;

5. Está preocupado com o nível insuficiente de aplicação do RGPD, em particular no domínio das transferências internacionais; manifesta preocupação com a ausência de prioridades e de controlo global por parte das autoridades nacionais de controlo no que diz respeito à transferência de dados pessoais para países terceiros, apesar da importante evolução da jurisprudência do TJUE nos últimos cinco anos; lamenta a ausência de decisões e medidas corretivas pertinentes a este respeito e insta o CEPD e as autoridades nacionais de controlo a incluírem as transferências de dados pessoais nas suas estratégias em matéria de auditoria, conformidade e aplicação; assinala que são necessários procedimentos administrativos vinculativos harmonizados em matéria de representação dos titulares dos dados e de admissibilidade, a fim de garantir segurança jurídica e tratar as queixas transfronteiras;

6. Toma nota do projeto de decisão de execução da Comissão sobre cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para países terceiros; exorta o CEPD a publicar mais orientações sobre as transferências internacionais de dados para as empresas, em particular as PME, incluindo uma lista de controlo para a avaliação das transferências, ferramentas para avaliar se os governos estão autorizados ou podem ter acesso aos dados, e informações sobre as medidas adicionais necessárias para a realização de transferências através de CCT; convida o CEPD a procurar também obter o contributo de académicos independentes sobre a legislação nacional dos principais parceiros comerciais que possa ser incompatível;

7. Recorda que, em conformidade com as Diretrizes 2/2018[12] do CEPD relativas às derrogações do artigo 49.º do Regulamento (UE) 2016/679, quando as transferências são efetuadas à margem de decisões de adequação ou de outros instrumentos que ofereçam garantias adequadas, mas se baseiam em derrogações para situações específicas nos termos do artigo 49.º do RGPD, devem ser interpretadas de forma estrita, para que a exceção não se torne a regra; observa, no entanto, que, desde a anulação do Escudo de Proteção da Privacidade UE-EUA, os fluxos transatlânticos de dados se mantiveram para fins de publicidade digital, apesar das dúvidas quanto à sua base jurídica para transferências com fins publicitários; insta o CEPD e as APD a garantirem uma interpretação coerente no âmbito da aplicação e do controlo dessas derrogações, em conformidade com as Diretrizes 2/2018 do CEPD;

8. Congratula-se com os debates a nível internacional sobre os fluxos de dados pessoais transfronteiras conformes com o RGPD e a Diretiva sobre a Proteção de Dados na Aplicação da Lei[13]; salienta que o RGPD, a Diretiva sobre a Proteção de Dados na Aplicação da Lei, as regras relativas à privacidade em linha e outras medidas atuais e futuras que protejam os direitos fundamentais à privacidade e à proteção dos dados pessoais não devem ser postos em causa por acordos comerciais internacionais nem incorporados nestes últimos; insta a Comissão a seguir e a não se desviar da posição horizontal[14] da UE de 2018, e a ter em conta os compromissos assumidos por países terceiros ao abrigo do direito comercial ao avaliar a respetiva adequação, nomeadamente no que se refere a ulteriores transferências de dados;

Cláusulas contratuais-tipo

9. Toma nota do projeto de decisão de execução da Comissão e do projeto de CCT; congratula-se com o facto de a Comissão ter procurado recolher opiniões das partes interessadas, mediante a organização de uma consulta pública sobre este projeto; observa que o CEPD e a AEPD, num parecer conjunto emitido em 15 de janeiro de 2021[15], teceram comentários positivos sobre o projeto de CCT, mas propuseram várias melhorias; confia em que a Comissão tenha em conta os contributos recebidos antes de dar início ao procedimento de comitologia;

10. Recorda que um grande número de PME recorre às CCT; salienta que todas as empresas necessitam urgentemente de orientações claras e assistência para garantir a segurança jurídica na aplicação e interpretação do acórdão do Tribunal;

11. Toma nota das Recomendações 01/2020 do CEPD relativas às medidas complementares aos instrumentos de transferência para assegurar o cumprimento do nível de proteção dos dados pessoais da UE[16]; congratula-se pelo facto de o CEPD ter organizado uma consulta pública sobre as suas recomendações; manifesta a sua preocupação com os potenciais conflitos entre estas recomendações e a proposta da Comissão relativa às CCT; convida a Comissão e o CEPD a cooperarem na finalização dos respetivos documentos, a fim de garantir a segurança jurídica na sequência do acórdão do TJUE; considera que a Comissão deve seguir as orientações do CEPD;

12. Congratula-se, em particular, com as recomendações do CEPD relativas à necessidade de os responsáveis pelo tratamento se basearem em fatores objetivos ao avaliarem se, no caso das transferências em causa, alguma disposição da legislação ou prática do país terceiro pode afetar a eficácia das garantias adequadas incorporadas nos instrumentos de transferência, e não em fatores subjetivos, como a probabilidade de as autoridades públicas obterem acesso aos dados de uma forma não conforme com as normas da UE, que têm sido repetidamente rejeitados pelo TJUE; insta a Comissão, neste contexto, a assegurar o pleno alinhamento da sua proposta relativa às CCT pela jurisprudência aplicável do TJUE;

13. Sublinha que é fundamental que as empresas da UE que transferem dados pessoais para fora da UE possam recorrer a mecanismos sólidos que sejam conformes com o acórdão do TJUE; entende, a este respeito, que a atual proposta da Comissão relativa a um modelo de CCT deve ter devidamente em conta todas as recomendações pertinentes do CEPD; apoia a criação de um conjunto de medidas suplementares, como, por exemplo, a certificação de segurança e de proteção de dados, salvaguardas em matéria de encriptação e pseudonimização aceites pelas entidades reguladoras e recursos acessíveis ao público sobre a legislação pertinente dos principais parceiros comerciais da UE;

14. Salienta que, para os responsáveis pelo tratamento de dados abrangidos pelo âmbito de aplicação da Lei de Vigilância de Informações Externas dos EUA (FISA), não é possível transferir dados pessoais da União ao abrigo destas CCT, devido ao elevado risco de vigilância em larga escala; espera que, se não for rapidamente alcançado um acordo com os EUA que garanta um nível de proteção essencialmente equivalente ao proporcionado pelo RGPD e pela Carta da UE e, por conseguinte, adequado, estas transferências sejam suspensas até que se resolva a situação; destaca a conclusão do TJUE segundo a qual nem a secção 702 da FISA nem o Decreto  Executivo n.º 12333 (E.O. 12333), lidos em articulação com a Diretiva política presidencial (PPD-28), correspondem aos requisitos mínimos inerentes, no direito da União, ao princípio da proporcionalidade, pelo que não se pode considerar que os programas de vigilância baseados nessas disposições se limitem ao estritamente necessário; salienta a necessidade de resolver de forma sustentável os problemas identificados no acórdão do Tribunal, a fim de garantir aos titulares dos dados uma proteção adequada dos dados pessoais; recorda que nenhum contrato entre empresas pode assegurar proteção contra o acesso indiscriminado das autoridades de informação ao conteúdo das comunicações eletrónicas, do mesmo modo que nenhum contrato entre empresas pode assegurar vias de recurso suficientes contra a vigilância em larga escala; sublinha que tal exige uma reforma da legislação e das práticas de supervisão dos EUA, a fim de garantir que o acesso das autoridades de segurança norte-americanas aos dados transferidos a partir da UE seja limitado ao que é necessário e proporcionado e que os titulares de dados europeus tenham acesso a vias de recurso judicial eficazes perante os tribunais dos EUA;

15. Destaca o limitado poder de negociação e a limitada capacidade jurídica e financeira das PME europeias, assim como das organizações e associações sem fins lucrativos, que, ao terem de avaliar por si próprias a adequação do nível de proteção assegurado por países terceiros, deverão navegar pelos complexos quadros jurídicos de diferentes países terceiros; insta a Comissão e o CEPD a fornecerem orientações sobre a utilização prática de medidas suplementares fiáveis, especialmente para as PME;

16. Exorta as APD a cumprirem as sua obrigação, sublinhada no acórdão do TJUE, de assegurar uma aplicação correta e rápida do RGPD, acompanhando de perto a utilização de CCT; solicita às APD que apoiem as empresas no cumprimento da jurisprudência do Tribunal; exorta as APD a também fazerem uso de todos os seus poderes de investigação e de correção referidos no artigo 58.º do RGPD nos casos em que os exportadores de dados transfiram dados pessoais, apesar de no país terceiro de destino existir legislação que impede o importador dos dados de cumprir as CCT e não haver medidas suplementares eficazes; recorda que o TJUE concluiu que a autoridade de controlo «não deixa de estar obrigada a cumprir com toda a diligência exigida a sua missão de zelar pelo pleno respeito do RGPD»;

Escudo de Proteção da Privacidade

17. Observa que o TJUE considerou que o Escudo de Proteção da Privacidade UE-EUA não garante um nível de proteção essencialmente equivalente ao proporcionado pelo RGPD e pela Carta e, por conseguinte, adequado, em particular devido ao acesso em larga escala das autoridades públicas dos EUA aos dados pessoais transferidos ao abrigo do Escudo de Proteção da Privacidade, situação que não respeita os princípios da necessidade e da proporcionalidade, e devido ao facto de os titulares de dados da UE não terem direitos oponíveis às autoridades americanas nos tribunais ou junto de qualquer outra autoridade independente que atue como tribunal; espera que a atual administração dos EUA se empenhe em maior medida no cumprimento das suas obrigações ao abrigo de eventuais futuros mecanismos de transferência do que as administrações anteriores, que mostraram falta de empenho político no cumprimento e na aplicação das normas de «porto seguro» e na aplicação das normas do Escudo de Proteção da Privacidade;

18. Salienta que, em reação ao acórdão no processo Schrems II, algumas empresas reviram de forma precipitada as suas declarações de privacidade e os contratos com terceiros no âmbito dos seus compromissos ao abrigo do Escudo de Proteção da Privacidade, sem avaliar as melhores medidas para a transferência legal de dados;

19. Lamenta que, apesar dos numerosos apelos do Parlamento à Comissão, nas suas resoluções de 2016, 2017 e 2018, para que tome todas as medidas necessárias para garantir que o Escudo de Proteção da Privacidade cumpra plenamente o RGPD e a Carta da UE, a Comissão não tenha agido em conformidade com o artigo 45.º, n.º 5, do RGPD; lamenta que a Comissão tenha ignorado os apelos do Parlamento no sentido de suspender o Escudo de Proteção da Privacidade até que as autoridades norte-americanas cumpram as suas condições, sublinhando o risco de o TJUE invalidar o Escudo de Proteção da Privacidade; recorda que o Grupo do Artigo 29.º e o CEPD abordaram repetidamente os problemas associados ao funcionamento do Escudo de Proteção da Privacidade;

20. Deplora o facto de a Comissão colocar as relações com os EUA acima dos interesses dos cidadãos da UE, deixando assim nas mãos destes últimos a tarefa de defender o direito da UE;

Vigilância em larga escala e quadro jurídico

21. Incentiva a Comissão a continuar a controlar de forma pró-ativa a utilização de tecnologias de vigilância em larga escala nos Estados Unidos, assim como noutros países terceiros que são ou poderão vir a ser objeto de uma verificação de adequação, nomeadamente o Reino Unido; insta a Comissão a não adotar decisões de adequação relativamente a países em que a legislação e os programas de vigilância em larga escala não cumpram os critérios do TJUE, tanto na letra como no espírito;

22. Toma nota do facto de ter recentemente entrado em vigor nos EUA a Lei sobre a privacidade do consumidor da Califórnia (CCPA); toma nota dos debates e das propostas legislativas sobre esta questão a nível federal; salienta que, apesar de representarem passos na direção certa, nem a (CCPA) nem nenhuma das propostas federais satisfazem, até agora, os requisitos do RGPD relativos a uma verificação de adequação; encoraja vivamente o legislador dos EUA a adotar legislação que satisfaça esses requisitos e, deste modo, contribuir para assegurar que a legislação norte-americana proporcione um nível de proteção essencialmente equivalente ao atualmente garantido na UE;

23. Salienta que tal legislação em matéria de proteção de dados e privacidade dos consumidores não será suficiente, por si só, para solucionar os problemas fundamentais constatados pelo Tribunal no que diz respeito à vigilância em larga escala por parte dos serviços de informação dos EUA e ao acesso insuficiente a vias de recurso; exorta o legislador dos EUA a alterar a secção 702 da FISA, e o Presidente norte-americano a alterar o E.O. 12333 e a PPD-28, nomeadamente no que diz respeito à vigilância em larga escala e à concessão do mesmo nível de proteção a cidadãos da UE e dos EUA; incentiva os EUA a preverem mecanismos para garantir que os cidadãos recebam notificações (com atraso) e possam contestar a vigilância indevida nos termos da secção 702 e do E.O. 12333, bem como a criarem um mecanismo legal para garantir que os cidadãos não norte-americanos gozem de direitos oponíveis para além da Lei relativa ao recurso judicial;

24. Recorda que os Estados-Membros continuam a proceder ao intercâmbio de dados pessoais com os Estados Unidos ao abrigo do Programa de Deteção do Financiamento do Terrorismo (TFTP), do Acordo UE-EUA sobre o Registo de Identificação dos Passageiros (PNR) e do intercâmbio automático de informações fiscais com base nos acordos intergovernamentais que aplicam a Lei de Cumprimento Fiscal para Contas no Estrangeiro (FATCA), o que afeta negativamente os «americanos acidentais», tal como referido na resolução do Parlamento, de 5 de julho de 2018, sobre os efeitos negativos da Lei de Cumprimento Fiscal para Contas no Estrangeiro (FATCA) dos EUA em cidadãos da UE e, em particular, em «norte-americanos acidentais»[17]; recorda que os EUA continuam a ter acesso às bases de dados policiais dos Estados-Membros que contêm impressões digitais e dados de ADN dos cidadãos da UE; solicita à Comissão que analise o impacto dos acórdãos «Schrems I e II» nestes intercâmbios de dados e que, até 30 de junho de 2021, publique e apresente por escrito à Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos a sua análise e a forma como tenciona adaptar esses intercâmbios aos acórdãos em questão;

25. Insta igualmente a Comissão a analisar a situação dos prestadores de serviços de computação em nuvem abrangidos pela secção 702 da FISA que transferem dados através de CCT; solicita igualmente à Comissão que analise as consequências para os direitos concedidos em virtude do Acordo-Quadro UE-EUA, incluindo o direito de recurso judicial, tendo em conta que os EUA só concedem explicitamente este direito aos cidadãos de determinados países que permitem a transferência de dados para os EUA para fins comerciais; considera inaceitável que, um ano após o prazo previsto, a Comissão ainda não tenha publicado as suas conclusões sobre a primeira revisão conjunta do Acordo-Quadro e exorta a Comissão a, se necessário, adaptar sem demora o acordo às normas estabelecidas pelos acórdãos do TJUE;

26. Considera necessário, tendo em conta as lacunas detetadas na proteção dos dados dos cidadãos europeus transferidos para os Estados Unidos, apoiar o investimento em ferramentas europeias de conservação de dados (por exemplo, serviços de computação em nuvem), a fim de reduzir a dependência da União em termos de capacidade de armazenamento em relação a países terceiros e reforçar a autonomia estratégica da União em matéria de gestão e proteção de dados;

Decisões de adequação

27. Insta a Comissão a tomar todas as medidas necessárias para assegurar que qualquer nova decisão de adequação que diga respeito aos EUA cumpra plenamente o Regulamento (UE) 2016/679, a Carta dos Direitos Fundamentais da UE e todos os aspetos dos acórdãos do TJUE; recorda que os quadros de adequação facilitam significativamente a atividade económica, em particular para as PME e as empresas em fase de arranque, que, ao contrário das grandes empresas, nem sempre dispõem da capacidade financeira, jurídica e técnica necessária para utilizar outros instrumentos de transferência; insta os Estados-Membros a celebrarem acordos de «não espionagem» com os EUA; exorta a Comissão a utilizar os seus contactos com os seus homólogos norte-americanos para transmitir a mensagem de que, se as leis e práticas de vigilância dos EUA não forem alteradas, a única opção viável para facilitar uma futura decisão de adequação seria a celebração de acordos de «não espionagem» com os Estados-Membros;

28. Considera que qualquer futura decisão de adequação tomada pela Comissão não deve basear-se num sistema de autocertificação, como foi o caso do sistema de «porto seguro» e do Escudo de Proteção da Privacidade; insta a Comissão a associar plenamente o CEPD à avaliação do cumprimento e da aplicação de qualquer nova decisão de adequação em relação aos EUA; exorta a Comissão, neste contexto, a chegar a acordo com a administração dos EUA sobre as medidas necessárias para que o CEPD possa desempenhar este papel de forma eficaz; espera que a Comissão examine com maior seriedade a posição do Parlamento Europeu sobre qualquer nova decisão de adequação em relação aos EUA, antes de a adotar;

29. Recorda que a Comissão procede atualmente à reavaliação de todas as decisões de adequação aprovadas ao abrigo da Diretiva 95/46/CE; salienta que a Comissão deve aplicar as normas mais rigorosas estabelecidas no RGPD e nos acórdãos «Schrems I e II» do TJUE, a fim de avaliar se é concedido um nível de proteção essencialmente equivalente ao assegurado pelo RGPD, incluindo em termos de acesso a um recurso efetivo e de proteção contra o acesso indevido a dados pessoais por parte das autoridades do país terceiro; insta a Comissão a concluir estas reavaliações com caráter de urgência e a revogar ou suspender as decisões anteriores ao RGPD se considerar que o país terceiro em questão não oferece um nível de proteção essencialmente equivalente e se não for possível resolver a situação;

30. Considera que, ao nomear um perito experiente em matéria de privacidade como negociador principal do sistema que substituirá o Escudo de Proteção da Privacidade, a administração Biden demonstrou o seu empenho em dar prioridade à obtenção de uma solução para as transferências de dados comerciais entre a UE e os EUA; espera que o diálogo entre a Comissão e os seus homólogos norte-americanos, encetado logo após o acórdão do TJUE, se intensifique nos próximos meses;

31. Insta a Comissão a não aprovar qualquer nova decisão de adequação em relação aos EUA, a menos que sejam introduzidas reformas substanciais, sobretudo para fins de segurança nacional e de informação, o que pode ser alcançado através de uma reforma clara, juridicamente sustentável, juridicamente vinculativa e não discriminatória das leis e das práticas norte-americanas; reitera, neste contexto, a importância de salvaguardas sólidas no domínio do acesso aos dados pessoais por parte das autoridades públicas; exorta a Comissão a pôr em prática as suas «ambições geopolíticas» para assegurar nos EUA e noutros países terceiros um nível de proteção de dados essencialmente equivalente ao da UE;

32. Recomenda que, se a Comissão adotar qualquer nova decisão de adequação em relação aos EUA sem a realização dessas reformas substanciais, as autoridades nacionais de proteção de dados suspendam a transferência de dados pessoais a que as autoridades públicas dos EUA podem ter acesso;

33. Congratula-se com o facto de a Comissão seguir os critérios estabelecidos no referencial de adequação adotado pelo Grupo do Artigo 29.º ao abrigo do RGPD[18] (aprovado pelo CEPD) e na Recomendação 01/2021 do CEPD sobre os critérios de referência para a adequação no quadro da Diretiva sobre a Proteção de Dados na Aplicação da Lei[19]; considera que a Comissão deve aplicar, pelo menos, estes critérios ao avaliar se um país terceiro cumpre as condições para beneficiar de uma decisão de adequação; toma nota de que o CEPD atualizou recentemente as suas Recomendações sobre as garantias essenciais europeias relativas às medidas de vigilância, à luz da jurisprudência do TJUE[20];

°

° °

34. Encarrega o seu Presidente de transmitir a presente resolução à Comissão, ao Conselho Europeu, ao Conselho da União Europeia, ao Comité Europeu para a Proteção de Dados, aos parlamentos nacionais dos Estados-Membros, ao Congresso e ao Governo dos Estados Unidos da América e ao Parlamento e ao Governo do Reino Unido;