COMISIA EUROPEANĂ
Bruxelles, 23.10.2019
COM(2019) 495 final
RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU
privind cea de a treia evaluare anuală a Scutului de confidențialitate UE-SUA
{SWD(2019) 390 final}
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
You are here
Document 52019DC0495
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the third annual review of the functioning of the EU-U.S. Privacy Shield
RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU privind cea de a treia evaluare anuală a Scutului de confidențialitate UE-SUA
RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU privind cea de a treia evaluare anuală a Scutului de confidențialitate UE-SUA
COM/2019/495 final
- Date of document:
- 23/10/2019
- Date of dispatch:
- 23/10/2019; Transmis Consiliului
- Date of dispatch:
- 23/10/2019; Transmis Parlamentului
- Author:
- Comisia Europeană, Direcția Generală Justiție și Consumatori
- Responsible body:
- JUST
- Form:
- Raport
- Legal basis:
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- Related document(s):
-
- 52019SC0390 Relation
- EUROVOC descriptor:
- Subject matter:
- Directory code:
-
- 13.20.60.00 Politica industrială şi piaţa internă / Politica industrială: intervenții sectoriale / Tehnologia informaţiei, telecomunicaţii şi informatică
- 16.20.00.00 Ştiinţă, informare, educaţie şi cultură / Diseminarea informaţiilor
- 19.40.00.00 Spaţiul de libertate, securitate şi justiţie / Programe
Language
HTML
DOC
PDF
1.CEA DE A TREIA EVALUARE ANUALĂ – CONTEXT, PREGĂTIRE ȘI DESFĂȘURARE
La 12 iulie 2016, Comisia a adoptat o decizie („decizia privind caracterul adecvat”) în care a constatat că Scutul de confidențialitate UE-SUA asigură un nivel adecvat de protecție a datelor cu caracter personal care au fost transferate din UE către organizații din SUA. 1 Decizia privind caracterul adecvat prevede, în special, obligația Comisiei de a efectua o revizuire anuală, pentru a evalua toate aspectele funcționării cadrului și, pe baza acesteia, de a pregăti un raport public care să fie prezentat Parlamentului European și Consiliului.
Prima evaluare anuală a avut loc în septembrie 2017, la Washington, D.C., iar în octombrie 2017, Comisia a adoptat raportul său către Parlamentul European și Consiliu, 2 însoțit de un document de lucru al serviciilor Comisiei [SWD(2017) 344 final]. 3 Comisia a concluzionat că Statele Unite continuă să asigure un nivel adecvat de protecție a datelor transferate din UE către SUA în cadrul Scutului de confidențialitate, însă a făcut 10 recomandări pentru îmbunătățirea funcționării în practică a cadrului.
A doua evaluare anuală a avut loc în octombrie 2018, la Bruxelles, iar în decembrie 2018, Comisia a adoptat raportul său către Parlamentul European și Consiliu, 4 însoțit din nou de un document de lucru al serviciilor Comisiei [SWD (2018) 487 final]. 5 Informațiile colectate în contextul celei de a doua evaluări anuale au confirmat constatările Comisiei din decizia privind caracterul adecvat, atât în ceea ce privește „aspectele comerciale” ale cadrului (și anume, aspectele legate de respectarea de către societățile certificate a cerințelor Scutului de confidențialitate, precum și de administrarea, supravegherea și asigurarea respectării acestor cerințe de către autoritățile americane competente), cât și cu privire la aspectele referitoare la accesul autorităților publice la datele cu caracter personal transferate în temeiul Scutului de confidențialitate.
În special, măsurile luate pentru a pune în aplicare recomandările formulate de Comisie în urma primei evaluări anuale au îmbunătățit mai multe aspecte ale funcționării în practică a cadrului. De exemplu, Departamentul Comerțului a introdus noi mecanisme de detectare a potențialelor probleme de conformitate, Comisia Federală pentru Comerț a adoptat o abordare mai proactivă în ceea ce privește monitorizarea conformității și asigurarea respectării legii și a fost publicat raportul Consiliului de supraveghere a vieții private și a libertăților civile (Privacy and Civil Liberties Oversight Board - PCLOB) cu privire la punerea în aplicare a Directivei de politică prezidențială nr. 28 6 . Totuși, deoarece unele dintre aceste măsuri au fost luate chiar înainte de a doua evaluare anuală și anumite procese erau încă în curs de desfășurare, Comisia a concluzionat că evoluțiile ulterioare cu privire la aceste procese și mecanisme trebuie să fie monitorizate îndeaproape.
În plus, deși funcția de Ombudsman pentru Scutul de confidențialitate a fost îndeplinită de Subsecretarul de Stat interimar și mecanismul Ombudsmanului funcționa, astfel, pe deplin, Comisia a subliniat că este important ca poziția Ombudsmanului pentru Scutul de confidențialitate să fie ocupată în mod permanent și, în special, a invitat Guvernul SUA să identifice un candidat pentru această poziție înainte de 28 februarie 2019.
Reuniunea consacrată celei de a treia evaluări anuale a avut loc la Washington, D.C., la 12 și 13 septembrie 2019. Aceasta a fost deschisă de directorul general al DG Justiție și Consumatori, Tiina Astola, de Secretarul pentru comerț al SUA, Wilbur Ross, de președintele Comisiei Federale pentru Comerț, Joseph Simons, și de vicepreședintele Comitetului european pentru protecția datelor, Ventsislav Karadjov. Din partea UE, reuniunea a fost prezidată de către reprezentanți ai Direcției Generale Justiție și Consumatori din cadrul Comisiei Europene. La această reuniune au participat, de asemenea, opt reprezentanți desemnați de Comitetul european pentru protecția datelor 7 .
Din partea SUA, au participat la evaluare reprezentanți ai Departamentului Comerțului, ai Departamentului de Stat, ai Comisiei Federale pentru Comerț, ai Departamentului Transporturilor, ai Biroului directorului Serviciului național de informații, ai Departamentului Justiției și membri ai Consiliului de supraveghere a protecției vieții private și a libertăților civile, precum și Ombudsmanul numit recent (în mod permanent, a se vedea mai jos) și inspectorul general pentru comunitatea serviciilor de informații. În plus, reprezentanți ai două organizații care oferă servicii independente de soluționare a litigiilor în cadrul Scutului de confidențialitate și Asociația Americană de Arbitraj, care administrează comisia de arbitraj a Scutului de confidențialitate, au furnizat informații în cursul sesiunilor de evaluare relevante. În fine, în cadrul evaluării anuale, organizațiile certificate în cadrul Scutului de protecție au prezentat, de asemenea, măsurile pe care societățile le iau pentru a respecta cerințele cadrului.
În pregătirea celei de a treia evaluări anuale, Comisia a colectat informații de la părțile interesate relevante (în special de la societățile certificate în cadrul Scutului de confidențialitate, prin intermediul asociațiilor profesionale ale acestora, și de la organizațiile neguvernamentale active în domeniul drepturilor fundamentale, în special al drepturilor digitale și vieții private). Pe lângă colectarea de informații în scris, Comisia a avut reuniuni cu industria și asociațiile de întreprinderi la 9 septembrie 2019 și cu organizațiile neguvernamentale la 11 septembrie 2019.
La constatările Comisiei s-au adăugat informațiile furnizate de materialele disponibile pentru publicul larg, cum ar fi hotărâri judecătorești, norme de punere în aplicare și proceduri ale autorităților americane relevante, rapoarte și studii elaborate de organizații neguvernamentale, rapoarte privind transparența întocmite de societățile certificate în cadrul Scutului de confidențialitate, rapoartele anuale ale unor mecanisme independente de tratare a plângerilor, precum și relatări din mass-media.
Prezentul raport încheie cea de a treia evaluare anuală a funcționării Scutului de confidențialitate. Atât raportul, cât și documentul de lucru însoțitor al serviciilor Comisiei [SWD (2019) 390 final] au aceeași structură ca documentele privind cele două evaluări anterioare. Sunt acoperite toate aspectele legate de funcționarea Scutului de confidențialitate, cu un accent special pe elementele pe care Comisia le-a identificat în cursul celei de a doua evaluări anuale ca necesitând o monitorizare atentă.
La realizarea evaluării, Comisia a ținut seama, de asemenea, de evoluțiile ulterioare care au avut loc în ultimul an, inclusiv de litigiul pendinte privind Scutul de confidențialitate în fața Curții de Justiție a Uniunii Europene. 8 În această privință, evaluarea a oferit Comisiei ocazia de a obține clarificări din partea autorităților americane cu privire la anumite aspecte specifice ale cadrului juridic al SUA care guvernează colectarea de informații externe, care au fost aduse în discuție în contextul așa-numitei cauze Schrems II. Cu toate acestea, după ce Curtea se pronunță asupra cauzelor pendinte, Comisia poate fi nevoită să reevalueze situația.
2.CONSTATĂRI
În al treilea an de funcționare, Scutul de confidențialitate care, la data reuniunii consacrate evaluării anuale, avea peste 5 000 de societăți participante, a trecut de la faza inițială la o fază mai operațională. Acoperind atât aspectele comerciale, cât și aspectele referitoare la accesul autorităților publice la datele cu caracter personal, cea de a treia evaluare anuală s-a concentrat asupra experienței și a lecțiilor învățate din aplicarea practică a cadrului.
Constatările detaliate referitoare la funcționarea cadrului privind Scutul de confidențialitate după cel de al treilea an de funcționare sunt prezentate în documentul de lucru al serviciilor Comisiei privind cea de a treia evaluare anuală referitoare la funcționarea Scutului de confidențialitate UE-SUA [SWD(2019)390 final], care însoțește prezentul raport.
2.1.Aspecte comerciale
Având în vedere constatările evaluării anuale de anul trecut, evaluarea de către Comisie a aspectelor comerciale s-a concentrat, în special, asupra progreselor înregistrate de Departamentul Comerțului cu privire la (i) procesul de recertificare, (ii) eficacitatea mecanismelor introduse de Departamentul Comerțului pentru monitorizarea proactivă a conformității din partea societăților certificate (așanumitele „controale prin sondaj”), (iii) instrumentele introduse pentru a detecta declarațiile false, (iv) progresele și rezultatele măsurilor de asigurare a respectării legii ale Comisiei Federale pentru Comerț cu privire la încălcări ale Scutului de confidențialitate și (v) evoluțiile referitoare la orientările care vizează datele privind resursele umane.
În ceea ce privește procesul de recertificare, la cea de a treia evaluare anuală s-a constatat că este o practică obișnuită ca, la expirarea perioadei de (re)certificare, dacă o societate nu a finalizat încă procesul de recertificare, Departamentul Comerțului, în urma unei proceduri interne, să acorde societății în cauză o „perioadă de grație” cu o durată semnificativă. În această perioadă (de aproximativ 3,5 luni sau chiar mai lungă, în unele situații și în funcție de momentul la care Departamentul Comerțului detectează că procesul de recertificare nu a fost finalizat), societatea rămâne pe lista de „societăți active” în cadrul Scutului de confidențialitate. Atât timp cât societatea figurează ca participând la Scutul de confidențialitate, obligațiile în temeiul cadrului rămân aplicabile și pe deplin executorii. Totuși, o perioadă atât de lungă în care termenul de recertificare al societății a expirat, în timp ce societatea figurează în continuare ca participând în mod activ la Scutul de confidențialitate, reduce transparența și claritatea listei Scutului de confidențialitate atât pentru întreprinderi, cât și pentru persoanele fizice din UE. De asemenea, aceasta nu stimulează societățile participante să respecte cu rigurozitate cerința de recertificare anuală.
În ceea ce privește controalele proactive ale respectării de către societăți a cerințelor Scutului de confidențialitate, în aprilie 2019 Departamentul Comerțului a introdus un sistem în care verifică 30 de societăți în fiecare lună. Comisia salută faptul că Departamentul Comerțului efectuează în mod regulat și sistematic controale proactive ale conformității la fața locului , ceea ce este extrem de important pentru îmbunătățirea conformității generale cu cadrul și pentru detectarea cazurilor care necesită măsuri de asigurare a respectării legii din partea Comisiei Federale pentru Comerț. Totuși, Comisia observă că aceste controale la fața locului tind să se limiteze la cerințele formale, cum ar fi lipsa răspunsului din partea punctelor de contact desemnate sau inaccesibilitatea online a politicii de confidențialitate a unei societăți. Deși ele sunt, cu siguranță, aspecte relevante privind respectarea cerințelor Scutului de confidențialitate, aceste verificări ar trebui să acopere, de asemenea, obligațiile de fond, de exemplu, respectarea principiului responsabilității pentru transferurile ulterioare, utilizând pe deplin instrumentele pe care Departamentul Comerțului se poate baza în temeiul cadrului. Cerințele pentru transferurile ulterioare au fost consolidate semnificativ în cadrul Scutului de confidențialitate, deoarece o lipsă a garanțiilor în astfel de situații ar submina protecțiile garantate de cadru. În timp ce controalele la fața locului ar trebui să fie efectuate în continuare în mod regulat și sistematic, respectarea acestor cerințe de fond este, de asemenea, esențială pentru continuitatea Scutului de confidențialitate și ar trebui să facă obiectul monitorizării stricte și al asigurării respectării legii de către autoritățile americane.
În ceea ce privește căutarea de către Departamentul Comerțului a unor declarații false de participare la Scutul de confidențialitate, Comisia a observat că Departamentul Comerțului a efectuat în continuare căutări trimestrial, ceea ce a condus la detectarea unui număr semnificativ de cazuri de declarații false, cu privire la care, în unele situații, a fost sesizată Comisia Federală pentru Comerț. Totuși, până în prezent, aceste căutări au vizat doar societățile care, într-un anumit mod, au fost certificate deja sau au solicitat certificarea în temeiul Scutului de confidențialitate (dar, de exemplu, nu au fost certificate). Este important ca acestea să vizeze, de asemenea, societăți care nu au solicitat niciodată certificarea în temeiul Scutului de confidențialitate. Dintre toate tipurile de declarații false, declarațiile false ale societăților care nu au solicitat niciodată certificarea sunt, probabil, cele mai dăunătoare. Acest lucru este adevărat din punctul de vedere al vieții private a persoanelor fizice, deoarece societățile care nu au solicitat niciodată certificarea nu au pus în aplicare niciuna dintre protecțiile garantate de Scutul de confidențialitate în practicile lor comerciale. Este adevărat, de asemenea, din perspectiva unei întreprinderi, deoarece condițiile de concurență echitabile dintre societăți sunt slăbite dacă organizațiile care nu respectă cerințele cadrului pot pretinde beneficiile certificării.
Comisia a observat în mod pozitiv că un număr tot mai mare de persoane vizate din UE fac uz de drepturile care le revin în temeiul Scutului de confidențialitate și că mecanismele de recurs relevante funcționează în mod adecvat. Numărul de plângeri transmise mecanismelor independente de tratare a plângerilor a crescut și acestea au fost soluționate în mod satisfăcător pentru cetățenii UE în cauză. În plus, cererile cetățenilor UE au fost tratate în mod adecvat de către societățile participante.
În ceea ce privește asigurarea respectării legii, Comisia a observat că, de anul trecut, Comisia Federală pentru Comerț a finalizat șapte măsuri de asigurare a respectării legii legate de încălcări ale Scutului de confidențialitate, inclusiv ca urmare a verificărilor anunțate efectuate din oficiu. Toate cele șapte cazuri au vizat declarații false de participare la cadru. Două dintre aceste cazuri s-au referit și la încălcarea unor cerințe de fond ale Scutului de confidențialitate, cum ar fi lipsa verificării printr-o autoevaluare sau printr-un control extern al conformității privind faptul că afirmațiile pe care le face societatea cu privire la practicile din cadrul Scutului de confidențialitate sunt adevărate și că aceste practici au fost puse în aplicare. Comisia salută măsura de asigurare a respectării legii adoptată de Comisia Federală pentru Comerț în al treilea an de funcționare a Scutului de confidențialitate. În același timp, având în vedere anunțul de anul trecut al agenției și asigurările oferite în cursul celei de a doua evaluări anuale, Comisia ar fi așteptat o abordare mai fermă cu privire la măsurile de asigurare a respectării legii privind încălcările de fond ale principiilor Scutului de confidențialitate.
În această privință, Comisia a luat act de explicația oferită în cadrul celei de a treia evaluări anuale privind faptul că o serie de anchete în curs durează mai mult timp, deoarece Comisia Federală pentru Comerț analizează întreaga gamă de încălcări posibile. Totuși, informațiile furnizate de Comisia Federală pentru Comerț au fost prea limitate pentru a evalua în mod adecvat progresele înregistrate în privința asigurării respectării legii. Deși aceste informații pot fi restricționate din considerente legitime de confidențialitate, nu pare justificat faptul că Comisia Federală pentru Comerț nu poate să prezinte, chiar și într-o formă agregată și anonimă, mai multe elemente privind verificările din oficiu care sunt efectuate. Această abordare nu este în conformitate cu spiritul de cooperare între autorități, pe care se bazează Scutul de confidențialitate, iar Comisia Federală pentru Comerț ar trebui să găsească modalități de a prezenta informații semnificative cu privire la activitatea sa de asigurare a respectării legii Comisiei și autorităților UE pentru protecția datelor care dețin în comun responsabilitatea asigurării respectării cadrului.
Problema modului în care sunt tratate datele privind resursele umane în temeiul Scutului de confidențialitate a fost discutată din nou în cursul evaluării. Astfel cum au confirmat părțile interesate, elaborarea unor orientări comune de către Departamentul Comerțului, Comisia Federală pentru Comerț și autoritățile UE pentru protecția datelor ar reprezenta o valoare adăugată reală. În această privință, Comisia observă că recent au avut loc contacte și că acestea au condus la realizarea unor progrese în ceea ce privește înțelegerea problemelor, însă fără a conduce încă la un rezultat concret.
2.2.Accesul la datele cu caracter personal și utilizarea acestora de către autoritățile americane
În ceea ce privește aspectele legate de accesul la datele cu caracter personal și utilizarea acestora de către autoritățile americane, cea de a treia evaluare anuală a vizat, în primul rând, confirmarea faptului că toate limitările și garanțiile pe care se bazează decizia privind caracterul adecvat rămân în vigoare. În plus, cea de a treia evaluare anuală a oferit ocazia de a fi analizate noile evoluții și de a se aduce clarificări suplimentare privind anumite aspecte ale cadrului juridic, precum și diferitele mecanisme de supraveghere și posibilitățile de recurs, în special cu privire la tratarea și soluționarea plângerilor de către Ombudsman.
Deși nu au existat evoluții juridice noi cu privire la colectarea de informații externe în temeiul secțiunii 702 din Legea privind supravegherea activităților străine de spionaj (Foreign Intelligence Surveillance Act), Comisia a salutat clarificările primite de autoritățile americane privind modul în care este direcționată colectarea de informații în cadrul programelor de informații desfășurate în temeiul secțiunii 702 din Legea privind supravegherea activităților străine de spionaj (și anume, Prism și Upstream). Aceste clarificări au confirmat constatările Comisiei din decizia privind caracterul adecvat potrivit cărora colectarea de informații externe în temeiul secțiunii 702 din Legea privind supravegherea activităților străine de spionaj este direcționată întotdeauna prin utilizarea de selectoare, iar alegerea selectoarelor este guvernată de lege, sub rezerva supravegherii judiciare și legislative independente.
De asemenea, Comisia a observat că unele dintre autorizările pentru obținerea de informații externe în temeiul secțiunii 501 din Legea privind supravegherea activităților străine de spionaj, modificată prin Legea SUA privind libertatea (USA FREEDOM Act) din 2015, sunt programate să expire la 15 decembrie 2019. Deoarece colectarea în temeiul secțiunii 501 din Legea privind supravegherea activităților străine de spionaj este relevantă în contextul Scutului de confidențialitate și, prin urmare, a fost evaluată în decizia Comisiei privind caracterul adecvat, este important ca, în cazul reautorizării, limitările și garanțiile existente, cum ar fi interzicerea colectării în masă, să rămână în vigoare.
În ceea ce privește Directiva de politică prezidențială nr. 28, autoritățile americane au confirmat în mod explicit că aceasta rămâne în vigoare și nu a făcut obiectul niciunui amendament. De asemenea, nu au existat modificări ale procedurilor de punere în aplicare a Directivei de politică prezidențială nr. 28 în cadrul diferitelor agenții ale comunității serviciilor de informații. În plus, Comisia a luat act de explicațiile oferite de autoritățile americane, prin care se clarifică faptul că dispozițiile privind colectarea în masă din Directiva de politică prezidențială nr. 28, inclusiv dispozițiile privind achiziția temporară, nu se aplică pentru colectarea de informații externe pe teritoriul SUA (de exemplu, pentru colectarea de informații de la o societate certificată care prelucrează datele transferate din UE în temeiul Scutului de confidențialitate), cum ar fi colectarea efectuată în temeiul secțiunii 702 din Legea privind supravegherea activităților străine de spionaj în cadrul programului Prism sau Upstream, deoarece această colectare este întotdeauna direcționată.
În ceea ce privește Consiliul de supraveghere a protecției vieții private și a libertăților civile, un organism de supraveghere important în domeniul supravegherii guvernamentale, Comisia a salutat faptul că, prin confirmarea recentă a doi membri suplimentari ai consiliului de către Senatul SUA, Consiliul de supraveghere a protecției vieții private și a libertăților civile are, pentru prima dată din 2016, un portofoliu complet de cinci membri. De asemenea, Comisia a observat că personalul consiliului s-a dublat de la ultima evaluare anuală și că acesta a adoptat un program de lucru ambițios, format din 10 proiecte de supraveghere în curs, unele dintre acestea fiind deosebit de relevante pentru evaluarea periodică a Scutului de confidențialitate de către Comisie.
În ceea ce privește mecanismul Ombudsmanului al Scutului de confidențialitate, președintele SUA a anunțat, la 18 ianuarie 2019, numirea lui Keith Krach în funcția de Subsecretar de Stat, care acționează, de asemenea, în calitate de Ombudsman. La 20 iunie 2019, dl Krach a fost confirmat de Senat. Comisia salută numirea dlui Krach în funcția de Ombudsman pentru Scutul de confidențialitate, care asigură faptul că această poziție este ocupată în mod permanent.
În ceea ce privește prima plângere adresată mecanismului Ombudsmanului, care a fost transmisă prin intermediul autorității croate pentru protecția datelor chiar înainte de ultima evaluare anuală, această plângere a fost declarată inadmisibilă, deoarece se referea la fapte care au fost finalizate înainte de adoptarea deciziei privind Scutul de confidențialitate. Totuși, plângerea a oferit ocazia de a testa în practică funcționarea procedurilor relevante. Atât reprezentanții Comitetului european pentru protecția datelor la evaluarea anuală, cât și Ombudsmanul au confirmat că toate etapele relevante ale procedurii au fost declanșate și finalizate în mod satisfăcător. Comisia salută prelucrarea cu succes a acestei prime cereri ca fiind un indiciu important al faptului că mecanismul Ombudsmanului își poate realiza funcțiile în mod adecvat.
De asemenea, autoritățile americane au oferit explicații suplimentare privind modul în care Ombudsmanul va lucra cu alte organisme de supraveghere independente și modul în care va remedia încălcările. Acestea au confirmat, în special, că inspectorul general independent al comunității serviciilor de informații va fi informat în mod sistematic cu privire la orice plângere adresată Ombudsmanului și va efectua propria sa evaluare. În plus, autoritățile americane au explicat că, în cazul în care o plângere adresată Ombudsmanului dezvăluie o încălcare a procedurilor de direcționare prevăzute în secțiunea 702 din Legea privind supravegherea activităților străine de spionaj, această încălcare va fi raportată Curții de Supraveghere a Activităților Străine de Spionaj, care va efectua o evaluare independentă și, dacă este necesar, va dispune ca agenția de informații relevantă să adopte măsuri de remediere. Această remediere poate varia de la măsuri individuale la măsuri structurale, de exemplu, de la ștergerea datelor obținute în mod ilegal până la o modificare a practicii de colectare, inclusiv în ceea ce privește orientarea și formarea personalului.
În fine, s-a confirmat faptul că, în cazul în care o încălcare a legislației SUA (inclusiv o încălcare a decretelor, a politicilor prezidențiale și a normelor și procedurilor agențiilor, cum ar fi, de exemplu, procedurile de direcționare și de reducere la minimum aprobate de Curtea de supraveghere a Activităților Străine de Spionaj) este identificată în cursul evaluării unei plângeri adresate Ombudsmanului, datele colectate în mod ilegal vor fi șterse din toate bazele de date guvernamentale și orice trimitere la aceste date va fi eliminată din toate rapoartele de informații. Astfel, un cetățean din UE ar putea să obțină ștergerea datelor sale cu caracter personal dacă acestea au fost colectate și prelucrate în mod ilegal de către comunitatea serviciilor de informații din SUA.
Comisia salută aceste explicații suplimentare, care demonstrează modul în care cooperarea dintre diferitele organisme de supraveghere independente consolidează eficiența mecanismului Ombudsmanului. De asemenea, a fost important să se clarifice faptul că, utilizând mecanismul Ombudsmanului, cetățenii din UE își pot exercita, de fapt, dreptul de ștergere, care este un element fundamental al dreptului la protecția datelor cu caracter personal.
3.CONCLUZII
Informațiile colectate în contextul celei de a treia evaluări anuale confirmă constatările Comisiei din decizia privind caracterul adecvat, atât în ceea ce privește aspectele comerciale ale cadrului, cât și aspectele legate de accesul la datele cu caracter personal transferate în temeiul Scutului de confidențialitate de către autoritățile publice. În această privință, Comisia a observat o serie de îmbunătățiri în ceea ce privește funcționarea cadrului, precum și numirile în cadrul organismelor-cheie de supraveghere.
Totuși, având în vedere unele probleme care au rezultat din experiența zilnică sau au devenit mai relevante în contextul punerii în aplicare practică a cadrului, Comisia concluzionează că trebuie să fie adoptate o serie de măsuri concrete pentru a asigura mai bine funcționarea eficace a Scutului de confidențialitate în practică:
1.Departamentul Comerțului ar trebui să scurteze diferitele perioade acordate societăților pentru finalizarea proceselor de recertificare. O perioadă totală de cel mult 30 de zile ar părea rezonabilă pentru a acorda societăților timp suficient pentru recertificare, inclusiv pentru rectificarea oricăror probleme identificate în procesul de recertificare, asigurând, în același timp, eficacitatea acestui proces. În cazul în care, la sfârșitul acestei perioade, recertificarea nu este finalizată, Departamentul Comerțului ar trebui să transmită fără întârziere o scrisoare de avertizare.
2.În contextul procedurii sale de control la fața locului, Departamentul Comerțului ar trebui să evalueze respectarea de către societăți a principiului responsabilității pentru transferurile ulterioare, utilizând inclusiv posibilitatea prevăzută de Scutul de confidențialitate de a solicita un rezumat sau o copie reprezentativă a dispozițiilor de confidențialitate ale unui contract încheiat de o societate certificată în cadrul Scutului de confidențialitate în scopul transferului ulterior.
3.În mod prioritar, Departamentul Comerțului ar trebui să dezvolte instrumente pentru detectarea declarațiilor false de participare la Scutul de confidențialitate ale unor societăți care nu au solicitat niciodată certificarea și să utilizeze aceste instrumente în mod regulat și sistematic.
4.În mod prioritar, Comisia Federală pentru Comerț ar trebui să găsească modalități de a prezenta informații semnificative cu privire la anchetele în curs Comisiei și autorităților UE pentru protecția datelor care au, de asemenea, responsabilități de asigurare a respectării legii în temeiul Scutului de confidențialitate.
5.Autoritățile UE pentru protecția datelor, Departamentul Comerțului și Comisia Federală pentru Comerț ar trebui să elaboreze, în următoarele luni, orientări comune privind definiția și tratarea datelor resurselor umane.
Comisia va continua să monitorizeze îndeaproape evoluțiile ulterioare referitoare la elementele specifice ale cadrului privind Scutul de confidențialitate, în special (i) funcționarea mecanismului Ombudsmanului, îndeosebi în cazul unei noi plângeri; (ii) rezultatul proiectelor de supraveghere în curs, care au fost inițiate de Consiliul de supraveghere a protecției vieții private și a libertăților civile și care sunt deosebit de relevante pentru Scutul de confidențialitate [de exemplu, cu privire la interogarea datelor obținute în temeiul secțiunii 702 din Legea privind supravegherea activităților străine de spionaj de către Biroul Federal de Investigații (Federal Bureau of Investigation), punerea în aplicare a recomandărilor consiliului privind Directiva de politică prezidențială nr. 28 etc.]; (iii) reautorizarea secțiunii 501 din Legea privind supravegherea activităților străine de spionaj, în special dacă garanțiile existente rămân în vigoare și (iv) jurisprudența SUA în continuă evoluție privind căile de atac în domeniul supravegherii guvernamentale, în special cu privire la problema calității procesuale în fața instanțelor.
În fine, Comisia va continua să urmărească îndeaproape dezbaterea în curs cu privire la legislația federală privind protecția vieții private din SUA. O abordare cuprinzătoare a protecției vieții private și a datelor ar spori convergența dintre sistemul UE și cel al SUA și acest lucru ar consolida bazele pe care a fost dezvoltat cadrul privind Scutul de confidențialitate.
-
(1)
Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, JO L 207, 1.8.2016, p. 1.
-
(2)
Raport al Comisiei către Parlamentul European și Consiliu privind prima evaluare anuală privind funcționarea Scutului de confidențialitate UESUA [COM(2017)611 final], a se vedea http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(3)
Documentul de lucru al serviciilor Comisiei care însoțește Raportul Comisiei către Parlamentul European și Consiliu privind prima evaluare anuală privind funcționarea Scutului de confidențialitate UE-SUA [SWD(2017)344 final], a se vedea http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(4)
Raport al Comisiei către Parlamentul European și Consiliu privind cea de a doua evaluare anuală a funcționării Scutului de confidențialitate UESUA [COM (2018) 860 final], a se vedea https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52018DC0860&qid=1571580402397&from=EN .
-
(5)
Documentul de lucru al serviciilor Comisiei care însoțește Raportul Comisiei către Parlamentul European și Consiliu privind cea de a doua evaluare anuală a funcționării Scutului de confidențialitate UESUA [SWD(2018)497 final], a se vedea https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
-
(6)
Directiva de politică prezidențială nr. 28: Activitățile de colectare de informații pe baza semnalelor electromagnetice, 17 ianuarie 2014, care prevede limitări și garanții importante pentru persoanele care nu sunt cetățeni americani în domeniul colectării de informații pe baza semnalelor electromagnetice.
-
(7)
Organismul independent care reunește reprezentanți ai autorităților naționale de protecție a datelor din statele membre ale UE și Autoritatea Europeană pentru Protecția Datelor.
-
(8)
A se vedea cauza T-738/16 La Quadrature du Net/Comisia. Întrebări referitoare la Scutul de confidențialitate au fost formulate, de asemenea, în contextul cauzei C-311/18 Data Protection Commissioner și Facebook Ireland, Maximilian Schrems („Schrems II”), în cadrul căreia a avut loc o audiere în fața Marei Camere a Curții de Justiție la 9 iulie 2019.
All