Bruxelas, 23.10.2019

COM(2019) 495 final

RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

Terceira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA

{SWD(2019) 390 final}


1.TERCEIRA REAPRECIAÇÃO ANUAL - ANTECEDENTES, PREPARAÇÃO E PROCESSO

Em 12 de julho de 2016, a Comissão adotou uma decisão («decisão de adequação») na qual considerou que o Escudo de Proteção da Privacidade UE-EUA assegura um nível de proteção adequado dos dados pessoais transferidos da UE para organizações estabelecidas nos Estados Unidos 1 . Da decisão de adequação decorre, nomeadamente, que a Comissão procede a uma análise anual para apreciar todos os aspetos do funcionamento do quadro e, com base na mesma, elabora um relatório público a apresentar ao Parlamento Europeu e ao Conselho.

A primeira análise anual teve lugar em setembro de 2017, em Washington, D.C., e, em outubro de 2017, a Comissão adotou o seu relatório ao Parlamento Europeu e ao Conselho 2 , que é acompanhado de um documento de trabalho dos seus serviços [SWD(2017)344 final] 3 . A Comissão concluiu que os Estados Unidos continuavam a assegurar um nível adequado de proteção dos dados pessoais transferidos da União para os EUA, ao abrigo do Escudo de Proteção da Privacidade mas formulou dez recomendações para se melhorar a aplicação prática do quadro.

A segunda reapreciação anual teve lugar em outubro de 2018, em Bruxelas, e, em dezembro de 2018, a Comissão adotou o seu relatório ao Parlamento Europeu e ao Conselho 4 , que é acompanhado de um documento de trabalho dos seus serviços [SWD(2018)487 final] 5 . As informações reunidas no contexto da segunda reapreciação anual confirmaram as conclusões da Comissão constantes da decisão de adequação, tanto no que diz respeito aos «aspetos comerciais» do quadro (ou seja, aspetos relativos ao cumprimento dos requisitos do Escudo de Proteção da Privacidade pelas empresas certificadas, assim como à administração, supervisão e aplicação desses requisitos pelas autoridades competentes dos EUA), como no que se refere ao acesso das autoridades públicas aos dados pessoais transferidos ao abrigo do Escudo de Proteção da Privacidade.

As medidas tomadas para aplicar as recomendações da Comissão, na sequência da primeira análise anual, em particular, tinham melhorado vários aspetos do funcionamento do quadro na prática. Por exemplo, o Department of Commerce tinha introduzido novos mecanismos para detetar potenciais problemas de conformidade, a Federal Trade Commission tinha adotado uma atitude mais proativa no que respeita à fiscalização do cumprimento dos requisitos de conformidade e às medidas de aplicação coerciva, e tinha sido tornado público o relatório da Privacy and Civil Liberties Oversight Board sobre a implementação da Presidential Policy Directive 28 6 . Todavia, dado que algumas destas medidas tinham sido tomadas imediatamente antes da segunda reapreciação anual e que alguns processos ainda estavam em curso, a Comissão concluiu que a evolução destes processos e mecanismos devia ser acompanhada de perto.

Além disso, embora a função de Provedor do Escudo de Proteção da Privacidade tenha sido desempenhada pelo subsecretário de Estado e o correspondente mecanismo estivesse, por conseguinte, plenamente operacional, a Comissão sublinhou a importância de o cargo de Provedor do Escudo de Proteção da Privacidade ser ocupado a título permanente e instou o Governo dos EUA a identificar um candidato para esse cargo antes de 28 de fevereiro de 2019.

A reunião relativa à terceira reapreciação anual teve lugar em Washington, DC, em 12 e 13 de setembro de 2019. A reunião foi aberta pela diretora-geral da Justiça e dos Consumidores, Tiina Astola, pelo secretário de Comércio dos EUA, Wilbur Ross, pelo presidente da Comissão Federal do Comércio, Joseph Simons, e pelo vice-presidente do Comité Europeu para a Proteção de Dados, Ventsislav Karadjov. Pela UE, participaram na reunião representantes da Direção-Geral da Justiça e dos Consumidores da Comissão Europeia. Participaram igualmente nesta reunião oito representantes designados pelo Comité Europeu para a Proteção de Dados 7 .

Do lado dos EUA, tomaram parte na reapreciação representantes do Department of Commerce, do Department of State, da Federal Trade Commission, do Department of Transportation, do Office of the Diretor of National Intelligence, do Department of Justice e membros da Privacy and Civil Liberties Oversight Board, bem como o Provedor de Justiça recém-nomeado (sobre a nomeação a título permanente, ver abaixo) e o Inspetor-Geral da Intelligence Community. Além disso, durante as pertinentes sessões de análise, prestaram informações representantes de duas organizações que prestam serviços independentes de resolução de litígios no âmbito do Escudo de Proteção da Privacidade e da Associação Americana de Arbitragem, que administra o painel de arbitragem do Escudo de Proteção da Privacidade. Por último, foram também tidas em conta na reapreciação anual as apresentações de organizações certificadas pelo Escudo de Proteção da Privacidade sobre as medidas tomadas pelas empresas para cumprirem os requisitos do quadro.

Em preparação da terceira reapreciação anual, a Comissão tinha recolhido informações junto das partes interessadas (em especial as empresas certificadas pelo Escudo de Proteção da Privacidade, através das respetivas associações comerciais e organizações não governamentais ativas no domínio dos direitos fundamentais, em particular os direitos digitais e a privacidade). Para além da recolha de contributos escritos, a Comissão reuniu-se com associações industriais e empresariais, em 9 de setembro de 2019, e com organizações não governamentais, em 11 de setembro de 2019.

As conclusões da Comissão apoiaram-se ainda em material disponível ao público, tais como decisões judiciais, normas de execução e procedimentos das autoridades competentes dos EUA, relatórios e estudos de organizações não governamentais, relatórios de transparência emitidos por empresas certificadas pelo Escudo de Proteção da Privacidade, relatórios anuais dos mecanismos de recurso independentes, bem como notícias dos meios de comunicação social.

O presente relatório conclui a terceira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade. Este relatório, bem como o documento de trabalho dos serviços da Comissão [SWD(2019)390 final], seguem a mesma estrutura dos documentos sobre as duas reapreciações precedentes. O relatório abrange todos os aspetos do funcionamento do Escudo de Proteção da Privacidade, com especial destaque para os elementos que a Comissão identificou na segunda reapreciação anual como necessitando de ser acompanhados de perto.

Na sua apreciação, a Comissão teve igualmente em conta a evolução verificada durante o último ano, incluindo os litígios relativos ao Escudo de Proteção da Privacidade que se encontram pendentes no Tribunal de Justiça da União Europeia 8 . A este respeito, a reapreciação constituiu uma oportunidade para a Comissão obter das autoridades esclarecimentos dos EUA sobre determinados aspetos específicos do quadro jurídico deste país que rege a recolha de informações estrangeiras, que foram suscitados no contexto do «processo Schrems II». Não obstante, depois de o Tribunal se pronunciar sobre os processos pendentes, a Comissão pode ter de reapreciar a situação.

2.VERIFICAÇÕES

No seu terceiro ano de funcionamento, o Escudo de Proteção da Privacidade, que, à data da reunião de reapreciação anual, tinha mais de 5 000 empresas participantes, passou da fase inicial para uma fase mais operacional. Abrangendo tanto aspetos comerciais como questões relacionadas com o acesso do governo aos dados pessoais, a terceira reapreciação anual centrou-se na experiência e nos ensinamentos retirados da aplicação prática do quadro.

As verificações pormenorizadas sobre o funcionamento do Escudo de Proteção da Privacidade após três anos de operacionalidade são apresentadas no documento de trabalho dos serviços da Comissão sobre a terceira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA [SWD(2019)390 final], que acompanha o presente relatório.

2.1.Aspetos comerciais

Atendendo às conclusões da reapreciação anual do ano passado, a apreciação dos aspetos comerciais levada a cabo pela Comissão centrou-se, nomeadamente, nos progressos realizados pelo Department of Commerce i) no processo de recertificação, ii) na eficácia dos mecanismos introduzidos pelo Department of Commerce para controlar proativamente o cumprimento dos requisitos pelas empresas certificadas («fiscalização inesperada»), iii) nos instrumentos introduzidos para detetar alegações falsas, iv) nos progressos e nos resultados das medidas coercivas da Federal Trade Commission contra as violações do Escudo de Proteção da Privacidade e v) na evolução das orientações em matéria de dados relativos aos recursos humanos.

No que diz respeito ao processo de recertificação, verificou-se na terceira reapreciação anual que, como prática corrente, no final do período de (re)certificação, se uma empresa ainda não tiver concluído o processo de recertificação, o Department of Commerce, na sequência de um procedimento interno, concede à empresa um «período de tolerância» de duração significativa. Durante este período (cerca de três meses e meio, ou, em alguns casos e consoante o momento em que o Department of Commerce deteta que o processo de recertificação não foi concluído, um período mais longo), a empresa permanece na lista «ativa» do Escudo de Proteção da Privacidade. Enquanto a empresa constar da lista como participante no Escudo de Proteção da Privacidade, os deveres decorrentes do quadro permanecem vinculativos e aplicáveis coercivamente na íntegra. Contudo, tão longo período, em que a empresa continua a constar da lista como participante ativa no Escudo de Proteção da Privacidade apesar de o prazo para a recertificação da empresa ter terminado, reduz a transparência e a legibilidade da lista do Escudo de Proteção da Privacidade, tanto para as empresas como para as pessoas singulares na UE. Tão-pouco incentiva as empresas participantes a cumprirem rigorosamente o requisito de renovação anual da certificação.

No que diz respeito aos controlos proativos do cumprimento dos requisitos do Escudo de Proteção da Privacidade pelas empresas, o Department of Commerce introduziu, em abril de 2019, um sistema pelo qual controla mensalmente 30 empresas. A Comissão congratula-se com o facto de o Department of Commerce efetuar, regular e sistematicamente, controlos proativos da conformidade, o que é muito importante para se melhorar a conformidade geral com o quadro e para se detetarem casos que exijam medidas coercivas da Federal Trade Commission. Contudo, observa que estes controlos tendem a limitar-se a requisitos formais, tais como a falta de resposta de pontos de contacto designados ou a inacessibilidade em linha da política de privacidade de uma empresa. Embora estes sejam, sem dúvida, aspetos relevantes do cumprimento dos requisitos do Escudo de Proteção da Privacidade, tais controlos devem abranger também deveres substantivos; por exemplo, o cumprimento do princípio de responsabilização por transferências ulteriores, recorrendo plenamente aos instrumentos com que o Department of Commerce pode contar no âmbito do quadro. Os requisitos para transferências ulteriores foram significativamente reforçados no Escudo de Proteção da Privacidade, uma vez que a falta de salvaguardas em tais situações comprometeria as proteções garantidas pelo quadro. Se, por um lado, os controlos no local devem continuar a ser efetuados regular e sistematicamente, o cumprimento destes requisitos mais substantivos é também crucial para a continuidade do Escudo de Proteção da Privacidade, devendo ser objeto de fiscalização e aplicação coerciva rigorosos pelas autoridades dos EUA.

No que respeita à pesquisa de falsas declarações de participação no Escudo de Proteção da Privacidade pelo Department of Commerce, a Comissão observou que este departamento governamental norte-americano continuou a efetuar pesquisas trimestrais, o que levou à deteção de um número significativo de alegações falsas, algumas das quais foram igualmente remetidas para a Federal Trade Commission. Todavia, até à data, estas pesquisas tiveram por alvo unicamente empresas que, de algum modo, já estavam certificadas ou tinham pedido certificação pelo Escudo de Proteção da Privacidade (mas que, por exemplo, não estavam recertificadas). É importante que também visem empresas que nunca tenham apresentado um pedido de certificação pelo Escudo de Proteção da Privacidade. De todos os tipos de declarações falsas, as de empresas que nunca solicitaram a certificação são potencialmente as mais prejudiciais. Tal é verdade do ponto de vista da privacidade das pessoas singulares, uma vez que as empresas que nunca solicitaram a certificação não aplicaram nas suas práticas comerciais nenhuma das proteções garantidas pelo Escudo de Proteção da Privacidade. É também verdade do ponto de vista das empresas, uma vez que a igualdade de condições de concorrência é prejudicada se organizações que não cumprem os requisitos do quadro puderem reclamar os benefícios da certificação.

A Comissão considera positivo que um número crescente de titulares de dados da UE exerça os seus direitos ao abrigo do Escudo de Proteção da Privacidade e que os pertinentes mecanismos de recurso funcionem bem. O número de queixas apresentadas a mecanismos de recurso independentes aumentou, tendo aquelas sido resolvidas a contento dos cidadãos da UE em causa. Além disso, os pedidos dos cidadãos da União foram adequadamente tratados pelas empresas participantes.

No que diz respeito à aplicação coerciva, a Comissão observou que, desde o ano passado, a Federal Trade Commission concluiu sete medidas coercivas relacionadas com violações do Escudo de Proteção da Privacidade, resultantes, entre outras, das ações de fiscalização ex officio anunciadas. Os sete casos diziam todos respeito a falsas declarações de participação no quadro. Dois destes casos estavam também relacionados com o incumprimento de requisitos mais substantivos do Escudo de Proteção da Privacidade, tais como a não verificação, através de uma autoavaliação ou de um controlo da conformidade externo, de que as asserções da empresa sobre as suas práticas do Escudo de Proteção da Privacidade são verdadeiras e foram implementadas. A Comissão congratula-se com as medidas coercivas tomadas pela Federal Trade Commission no terceiro ano de aplicação do Escudo de Proteção da Privacidade. Por outro lado, à luz do anunciado pela agência no ano passado e das garantias dadas no decurso da segunda reapreciação anual, a Comissão esperava uma abordagem mais vigorosa no que se refere a medidas coercivas contra violações substantivas dos princípios do Escudo de Proteção da Privacidade.

A este respeito, a Comissão tomou nota da explicação dada na terceira reapreciação anual de que alguns inquéritos em curso estão a levar mais tempo porque a Federal Trade Commission verifica todas as possibilidades de violação. No entanto, as informações comunicadas pela Federal Trade Commission foram demasiado limitadas para avaliar adequadamente os progressos na aplicação coerciva. Embora essas informações possam ser limitadas por considerações de confidencialidade legítimas, não parece justificável que a Federal Trade Commission não possa partilhar, nem sequer de forma coletiva e anónima, mais elementos dos inquéritos ex officio que estão a ser realizados. Esta abordagem não se coaduna com o espírito de cooperação entre as autoridades, em que se baseia o Escudo de Proteção da Privacidade, pelo que a Federal Trade Commission deve encontrar formas de partilhar, com a Comissão e com as autoridades de proteção de dados da UE que são corresponsáveis pela aplicação do quadro, informações úteis sobre a sua atividade repressiva.

A forma como os dados relativos aos recursos humanos são tratados no âmbito do Escudo de Proteção da Privacidade foi novamente debatida durante a reapreciação. Tal como confirmado pelas partes interessadas, a elaboração de orientações conjuntas pelo Department of Commerce, a Federal Trade Commission e as autoridades de proteção de dados da UE teria um verdadeiro valor acrescentado. A este respeito, a Comissão observa que foram recentemente realizados contactos que conduziram a alguns progressos na compreensão destas questões, mas sem que tenha ainda daí advindo nenhum resultado concreto.

2.2.Acesso e utilização de dados pessoais pelas autoridades públicas dos EUA

No respeitante aos aspetos relacionados com o acesso e a utilização de dados pessoais pelas autoridades públicas dos EUA, a terceira reapreciação anual visava, em primeiro lugar, confirmar que todas as limitações e salvaguardas nas quais se baseia a decisão de adequação permanecem ativas. Além disso, a terceira reapreciação anual constituiu uma oportunidade para analisar a evolução e clarificar determinados aspetos do quadro jurídico, bem como os diferentes mecanismos de supervisão e as possibilidades de recurso, em especial no que diz respeito ao tratamento e à resolução de queixas pelo Provedor de Justiça.

Embora não houvesse desenvolvimentos jurídicos relativos à recolha de informações estrangeiras nos termos da secção 702 do Foreign Intelligence Surveillance Act, a Comissão congratulou-se com os esclarecimentos recebidos pelas autoridades dos EUA sobre a forma como a recolha de informações é orientada no âmbito dos programas de informações realizados nos termos da secção 702 do Foreign Intelligence Surveillance Act (ou seja, Prism and Upstream). Estes esclarecimentos confirmaram as conclusões da Comissão constantes da decisão de adequação de que a recolha de informações estrangeiras, nos termos da secção 702 do Foreign Intelligence Surveillance Act, é sempre orientada através do recurso a seletores e que a escolha dos seletores é regulada por lei, sob reserva de uma supervisão judicial e legislativa independente.

A Comissão observou igualmente que algumas das autorizações para obter informações estrangeiras ao abrigo da secção 501 do Foreign Intelligence Surveillance Act, com a redação que lhe foi dada pelo Freedom Act de 2015, expiram a 15 de dezembro de 2019. Uma vez que a recolha nos termos da secção 501 do Foreign Intelligence Surveillance Act é relevante no contexto do Escudo de Proteção da Privacidade e foi, por conseguinte, avaliada na decisão de adequação da Comissão, é importante que, em caso de nova autorização, permaneçam em vigor as limitações e salvaguardas existentes, como a proibição da recolha em larga escala.

No que se refere à Presidential Policy Directive 28, as autoridades dos EUA confirmaram explicitamente que permanece plenamente em vigor e que não foi objeto de quaisquer alterações. Também não houve alterações aos procedimentos de aplicação da Presidential Policy Directive 28 nas diferentes agências do setor das Informações. A Comissão tomou também nota das explicações prestadas pelas autoridades dos EUA, segundo as quais as disposições da Presidential Policy Directive 28 sobre a recolha em larga escala, incluindo as relativas à aquisição temporária, não se aplicam à recolha de informações estrangeiras nos EUA (por exemplo, à recolha de informações de uma empresa certificada que trate dados transferidos da UE ao abrigo do Escudo de Proteção da Privacidade), como a recolha realizada nos termos da secção 702 do Foreign Intelligence Surveillance Act no âmbito dos programas Prism ou Upstream, uma vez que esta recolha é sempre orientada.

No que respeita à Privacy and Civil Liberties Oversight Board, um importante organismo de supervisão no domínio da vigilância governamental, a Comissão congratulou-se com o facto de, com as recentes confirmações de mais dois membros pelo Senado dos EUA, a Privacy and Civil Liberties Oversight Board ter, pela primeira vez desde 2016, uma lista completa de cinco membros. A Comissão observou igualmente que os funcionários deste organismo duplicaram desde a última revisão anual e que o organismo adotou um ambicioso programa de trabalho, constituído por dez projetos de supervisão, que se encontram em curso, alguns dos quais são particularmente importantes para a reapreciação periódica do Escudo de Proteção da Privacidade efetuada pela Comissão.

No que diz respeito ao mecanismo do Provedor para o Escudo de Proteção da Privacidade, o presidente dos EUA anunciou, em 18 de janeiro de 2019, a nomeação de Keith Krach para o cargo de subsecretário de Estado, que também desempenha as funções de Provedor de Justiça. Keith Krach foi confirmado pelo Senado em 20 de junho de 2019. A Comissão congratula-se com a nomeação de Krach como Provedor do Escudo de Proteção da Privacidade, que garante o provimento permanente do lugar.

No respeitante à primeira queixa ao mecanismo do Provedor, que tinha sido apresentada através da autoridade croata de proteção de dados imediatamente antes da última reapreciação anual, essa queixa acabou por ser considerada inadmissível, uma vez que dizia respeito a factos concluídos antes da adoção da decisão relativa ao Escudo de Proteção da Privacidade. Não obstante, a queixa constituiu uma oportunidade para testar o funcionamento na prática dos procedimentos pertinentes. Tanto os representantes do Comité Europeu para a Proteção de Dados na reapreciação anual como o Provedor confirmaram que todas as fases relevantes do procedimento tinham sido desencadeadas e concluídas de forma satisfatória. A Comissão congratula-se com o êxito do tratamento deste primeiro pedido, que constitui uma indicação importante de que o mecanismo do Provedor pode desempenhar corretamente as suas funções.

As autoridades dos EUA também prestaram explicações adicionais sobre a forma como o Provedor trabalhará com outros organismos de supervisão independentes e sobre a forma como corrigirá as violações. Confirmaram, nomeadamente, que o inspetor-geral independente do setor das Informações seria sistematicamente informado de qualquer queixa apresentada ao Provedor e efetuaria a sua própria apreciação. Além disso, explicaram que, se uma queixa apresentada ao Provedor revelar uma violação dos procedimentos de orientação estabelecidos na secção 702 do Foreign Intelligence Surveillance Act, tal violação seria comunicada ao Foreign Intelligence Surveillance Court, que efetuaria uma análise independente e, se necessário, ordenaria aos serviços de informações competentes que tomassem medidas corretivas. As medidas corretivas podem ir desde medidas individuais até medidas estruturais; por exemplo, da supressão de dados obtidos ilegalmente à alteração das práticas de recolha, inclusivamente as referentes à orientação e à formação do pessoal.

Por último, confirmou-se que, se for detetada uma violação do direito dos EUA (inclusivamente de decretos executivos, de políticas presidenciais e de normas e procedimentos das agências, como, por exemplo, os procedimentos de orientação e minimização aprovados pelo Foreign Intelligence Surveillance Court) no âmbito da análise de uma queixa ao Provedor, todas as bases de dados governamentais seriam purgadas dos dados recolhidos ilegalmente e qualquer referência a esses dados seria suprimida dos relatórios de informações. Uma pessoa singular na UE poderá, assim, obter a supressão dos seus dados pessoais se estes forem ilegalmente recolhidos e tratados pelo setor das Informações dos EUA.

A Comissão congratula-se com estas explicações adicionais, que demonstram a forma como a cooperação entre os diferentes organismos de supervisão independentes reforça a eficiência do mecanismo do Provedor. É igualmente importante esclarecer que, recorrendo ao mecanismo do Provedor, as pessoas singulares na UE podem, de facto, exercer o seu direito à supressão de dados, que é um elemento fundamental do direito à proteção dos dados pessoais.

3.CONCLUSÃO

As informações recolhidas no contexto da terceira reapreciação anual confirmam as conclusões da Comissão constantes da decisão de adequação, tanto no que diz respeito aos aspetos comerciais do quadro como aos relacionados com o acesso aos dados pessoais transferidos ao abrigo do Escudo de Proteção da Privacidade pelas autoridades públicas. A este respeito, a Comissão registou uma série de melhorias no funcionamento do quadro, bem como nomeações para os principais organismos de supervisão.

Todavia, à luz de algumas questões decorrentes da experiência quotidiana, ou que se tornaram mais relevantes no contexto da aplicação prática do quadro, a Comissão conclui que é necessário tomar uma série de medidas concretas para assegurar o funcionamento eficaz do Escudo de Proteção da Privacidade:

1.O Department of Commerce deverá encurtar os diferentes prazos concedidos às empresas para a conclusão do processo de recertificação. Um prazo total de 30 dias, no máximo, afigura-se razoável para que as empresas disponham de tempo suficiente para a recertificação, incluindo a resolução de qualquer problema detetado durante o processo de recertificação, assegurando, ao mesmo tempo, a eficácia deste processo. Se, no termo desse prazo, a recertificação não estiver concluída, o Department of Commerce deve enviar a carta de advertência sem demora.

2.No âmbito do seu procedimento de controlos no local, o Department of Commerce deve avaliar o cumprimento, pelas empresas, do princípio da responsabilização pela transferência ulterior, recorrendo, inclusivamente, à possibilidade, oferecida pelo Escudo de Proteção da Privacidade, de pedir um resumo ou uma cópia representativa das disposições em matéria de privacidade para efeitos de transferência ulterior de um contrato celebrado por uma empresa certificada com o Escudo de Proteção da Privacidade.

3.O Department of Commerce deve conceber, com caráter prioritário, instrumentos para detetar declarações falsas de participação no Escudo de Proteção da Privacidade por empresas que nunca tenham apresentado um pedido de certificação e utilizar esses instrumentos de forma regular e sistemática.

4.A Federal Trade Commission deve, com caráter prioritário, encontrar formas de partilhar com a Comissão, bem como com as autoridades de proteção de dados da UE que também têm responsabilidades de execução ao abrigo do Escudo de Proteção da Privacidade, informações úteis sobre as investigações em curso.

5.As autoridades de proteção de dados da UE, o Department of Commerce e a Federal Trade Commission devem elaborar, nos próximos meses, orientações comuns sobre a definição e o tratamento dos dados relativos aos recursos humanos.

A Comissão continuará a acompanhar de perto a evolução da situação no que respeita a elementos específicos do quadro do Escudo de Proteção da Privacidade, nomeadamente i) o funcionamento do mecanismo do Provedor, em especial se houver nova queixa; ii) o resultado dos projetos de supervisão em curso que foram iniciados pela Privacy and Civil Liberties Oversight Board e que são particularmente relevantes para o Escudo de Proteção da Privacidade (por exemplo, sobre a consulta de dados obtidos nos termos da secção 702 do Foreign Intelligence Surveillance Act pelo Federal Bureau of Investigation, a implementação das recomendações da Privacy and Civil Liberties Oversight Board sobre a Presidential Policy Directive 28, etc.); iii) a renovação da autorização da secção 501 do Foreign Intelligence Surveillance Act, nomeadamente a manutenção das salvaguardas existentes; iv) a evolução da jurisprudência dos EUA em matéria de recurso judicial no domínio da vigilância governamental, em especial no que se refere à questão da legitimidade processual.

Por último, a Comissão continuará a acompanhar de perto o debate em curso nos EUA sobre a legislação federal relativa à privacidade. Uma abordagem global em matéria de privacidade e proteção de dados aumentaria a convergência entre os sistemas da UE e dos EUA, o que reforçaria os fundamentos nos quais se baseia o desenvolvimento do quadro do Escudo de Proteção da Privacidade.

(1)

     Decisão de Execução (UE) 2016/1250 da Comissão, de 12 de julho de 2016, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, JO L 207 de 1.8.2016, p. 1.

(2)

     Relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a primeira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA [COM(2017)611 final], ver http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(3)

     Documento de trabalho dos serviços da Comissão que acompanha o relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a primeira reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA [SWD(2017)344 final], ver http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(4)

     Relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a segunda reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA [COM(2018)860 final], ver http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(5)

     Documento de trabalho dos serviços da Comissão que acompanha o relatório da Comissão ao Parlamento Europeu e ao Conselho sobre a segunda reapreciação anual do funcionamento do Escudo de Proteção da Privacidade UE-EUA [SWD(2018)497 final], ver http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(6)

     Presidential Policy Directive 28: Signals Intelligence Activities, 17 de janeiro de 2014, que estabelece limitações e salvaguardas importantes para os cidadãos de países terceiros no domínio da recolha de informações de origem eletromagnética.

(7)

     Órgão independente que reúne representantes das autoridades nacionais de proteção de dados dos Estados-Membros da UE e da Autoridade Europeia para a Proteção de Dados.

(8)

     Ver processo T-738/16, La Quadrature du Net contra Comissão. Foram igualmente suscitadas questões sobre o Escudo de Proteção da Privacidade no âmbito do processo C-311/18, Comissário para a Proteção de Dados contra Facebook Ireland, Maximilian SchremsSchrems II »), durante o qual teve lugar, em 9 de julho de 2019, uma audiência na Grande Secção do Tribunal de Justiça.