52018DC0860

COMISIA EUROPEANĂ

Bruxelles, 19.12.2018

COM(2018) 860 final

RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU

privind cea de a doua evaluare anuanlă a funcționării Scutului de confidențialitate UESUA

{SWD(2018) 497 final}

1.CEA DE A DOUA EVALUARE ANUALĂ – SCOP, PREGĂTIRE ȘI DESFĂȘURARE

La 12 iulie 2016, Comisia a adoptat o decizie („decizia privind caracterul adecvat”) în care a constatat că Scutul de confidențialitate UE-SUA („Scutul de confidențialitate”) asigură un nivel adecvat de protecție a datelor cu caracter personal care au fost transferate din UE către organizații din SUA 1 . Decizia privind caracterul adecvat prevede, în special, o evaluare anuală de către Comisie a tuturor aspectelor legate de funcționarea acestui cadru. Prima evaluare anuală a avut loc la 18 și 19 septembrie 2017 la Washington, D.C., iar la 18 octombrie 2017, Comisia a adoptat raportul său către Parlamentul European și Consiliu 2 , însoțit de un document de lucru al serviciilor Comisiei [SWD (2017) 344 final] 3 .

Pe baza constatărilor sale cu prilejul primei evaluări, Comisia a concluzionat că SUA a continuat să asigure un nivel adecvat de protecție a datelor cu caracter personal transferate în temeiul Scutului de confidențialitate de la Uniune către organizații din SUA. În același timp, Comisia a considerat că punerea în aplicare practică a cadrului privind Scutul de confidențialitate ar putea fi îmbunătățită în continuare pentru a se asigura că garanțiile și protecția oferite de acesta continuă să funcționeze în mod corespunzător conform intenției inițiale. În acest scop, Comisia a formulat zece recomandări.

Prezentul raport încheie cea de a doua evaluare anuală a funcționării Scutului de confidențialitate. Atât raportul, cât și documentul de lucru însoțitor al serviciilor Comisiei [SWD (2018) 497] au aceeași structură ca raportul privind prima evaluare anuală. Sunt acoperite toate aspectele legate de funcționarea Scutului de confidențialitate, având în vedere, de asemenea, evoluțiile care au avut loc în cursul anului trecut. Un element central al evaluării Comisiei a fost punerea în aplicare a recomandărilor sale din prima evaluare anuală.

În pregătirea celei de a doua evaluări anuale, Comisia a colectat informații de la părțile interesate relevante (în special de la societățile certificate în cadrul Scutului de confidențialitate, prin intermediul asociațiilor profesionale ale acestora, de la organizațiile neguvernamentale (ONG) active în domeniul drepturilor fundamentale, în special al drepturilor digitale și vieții private), precum și de la autoritățile americane relevante implicate în punerea în aplicare a cadrului.

Reuniunea consacrată celei de a doua evaluări anuale a avut loc la Bruxelles, la 18 și 19 octombrie 2018. Evaluarea a fost deschisă de comisarul pentru justiție, consumatori și egalitate de gen, Věra Jourová, de Secretarul pentru comerț al SUA, Wilbur Ross, de președintele Comisiei Federale pentru Comerț, Joseph Simons, și de președintele Comitetului european pentru protecția datelor, Andrea Jelinek. Din partea UE, reuniunea a fost prezidată de către reprezentanți ai Direcției Generale Justiție și Consumatori din cadrul Comisiei Europene. Delegația UE a inclus, de asemenea, șapte reprezentanți desemnați de Comitetul european pentru protecția datelor (organismul independent care reunește reprezentanți ai autorităților naționale de protecție a datelor din statele membre ale UE și Autoritatea Europeană pentru Protecția Datelor).

Din partea SUA, au participat la evaluare reprezentanți ai Departamentului Comerțului, ai Departamentului de Stat, ai Comisiei Federale pentru Comerț, ai Departamentului Transporturilor, ai Biroului directorului Serviciului național de informații, ai Departamentului Justiției și membri ai Consiliului de supraveghere a protecției vieții private și a libertăților civile, precum și Ombudsmanul interimar și inspectorul general pentru comunitatea serviciilor de informații. În plus, reprezentanți ai unei organizații care oferă servicii independente de soluționare a litigiilor în cadrul Scutului de confidențialitate și Asociația Americană de Arbitraj au furnizat informații în cursul sesiunilor de evaluare relevante. În fine, în cadrul evaluării, organizațiile certificate în cadrul Scutului de protecție au prezentat modul în care au respectat cerințele cadrului.

La constatările Comisiei s-au adăugat informațiile furnizate de un studiu comandat de Comisie și de materialele disponibile pentru publicul larg, cum ar fi hotărâri judecătorești, norme de punere în aplicare și proceduri ale autorităților americane relevante, rapoarte și studii elaborate de organizații neguvernamentale, rapoarte privind transparența întocmite de societățile certificate în cadrul Scutului de confidențialitate, rapoartele anuale ale unor mecanisme independente de tratare a plângerilor, precum și relatări din mass-media.

Evaluarea de anul acesta a avut loc în contextul provocărilor din sfera datelor cu caracter personal care, așa cum o demonstrează cazul Facebook/Cambridge Analytica, au un caracter din ce în ce mai global. Atât UE, cât și SUA sunt conștiente de similaritatea provocărilor cu care se confruntă atunci când este vorba de protecția datelor cu caracter personal. În cursul evaluării, ambele părți au subliniat necesitatea de a aborda astfel de abuzuri în ceea ce privește datele cu caracter personal, inclusiv prin intermediul măsurilor ferme de asigurare a respectării legii din partea Autorității Europene pentru Protecția Datelor și a Comisiei Federale pentru Comerț a SUA.

Raportul Comisiei reflectă, de asemenea, dezbaterea în curs cu privire la legislația federală privind protecția vieții private din SUA. Convergența celor două sisteme pe termen lung ar consolida bazele pe care a fost dezvoltat cadrul privind Scutul de confidențialitate.

2.CONSTATĂRI ȘI CONCLUZII

Cea de a doua evaluare anuală a vizat atât „aspectele comerciale” ale cadrului privind Scutul de confidențialitate, cât și aspectele referitoare la accesul autorităților publice la datele cu caracter personal.

În ceea ce privește „aspectele comerciale”, și anume aspectele referitoare la administrarea, supravegherea și asigurarea respectării obligațiilor care se aplică societăților certificate, Comisia a observat că, în conformitate cu recomandările sale cu prilejul primei evaluări anuale, Departamentul Comerțului a consolidat în continuare procesul de certificare și a introdus noi proceduri de supraveghere. În special, Departamentul Comerțului a adoptat un nou proces care impune solicitanților aflați la prima cerere obligația de a amâna declarațiile publice cu privire la participarea lor la Scutul de confidențialitate până la finalizarea procesului de evaluare a certificării lor de către Departamentul Comerțului. În plus, Departamentul Comerțului a introdus noi mecanisme de detectare a potențialelor probleme de conformitate, cum ar fi controale aleatorii la fața locului (la momentul evaluării anuale, fuseseră efectuate astfel de controale la fața locului la aproximativ 100 de organizații), precum și monitorizarea declarațiilor publice cu privire la practicile în materie de confidențialitate ale participanților la Scutul de confidențialitate. În căutarea unor declarații false de participare la acest cadru, în prezent, Departamentul Comerțului utilizează în prezent în mod activ o varietate de instrumente, de exemplu o reexaminare trimestrială a societăților care au fost identificate ca fiind mai susceptibile de a face declarații false și un sistem de căutare a imaginilor și a textelor pe internet. Ca urmare a acestor practici și proceduri nou introduse, de la prima evaluare anuală, Departamentul Comerțului a sesizat Comisia Federală pentru Comerț cu privire la peste 50 de cazuri. La rândul său, aceasta a luat măsuri de asigurare a respectării legii în acele cazuri în care trimiterea ca atare nu a fost suficientă pentru a asigura punerea în conformitate a societății în cauză.

În ceea ce privește asigurarea respectării legii, Comisia a remarcat faptul că Comisia Federală pentru Comerț, ca parte a eforturilor sale de a monitoriza în mod proactiv respectarea principiilor Scutului de confidențialitate, a emis recent citații administrative prin care a solicitat informații din partea mai multor participanți la Scutul de confidențialitate. Comisia Federală pentru Comerț a confirmat, de asemenea, că ancheta sa privind cazul Facebook/Cambridge Analytica este în curs de desfășurare. Deși Comisia consideră că abordarea nouă și mai proactivă a Comisiei Federale pentru Comerț în ceea ce privește monitorizarea conformității este o evoluție importantă, regretă faptul că, în această etapă, nu au putut fi furnizate mai multe informații cu privire la anchetele recente ale acesteia și va monitoriza îndeaproape orice noi evoluții în acest sens.

Cea de a doua evaluare anuală a ținut seama, de asemenea, de evoluțiile relevante din sistemul juridic al SUA în domeniul protecției vieții private. Acestea privesc, în special, consultarea inițiată de Departamentul Comerțului privind o abordare federală a confidențialității datelor, precum și procesul de reflecție al Comisiei Federale pentru Comerț referitor la competențele sale actuale în domeniul protecției vieții private și la eficacitatea utilizării autorității sale actuale de remediere.

După cum arată atât cazul Facebook/Cambridge Analytica, cât și alte dezvăluiri, este important ca răspunsurile UE și SUA să devină mai convergente. În acest spirit, Comisia a urmărit cu mare interes inițiativele menționate mai sus și a transmis o contribuție scrisă în cadrul procesului de consultare al Departamentului Comerțului 4 .

În ceea ce privește aspectele legate de accesul la datele cu caracter personal și de utilizarea acestora de către autoritățile americane, cea de a doua evaluare anuală s-a concentrat asupra evoluțiilor relevante în ceea ce privește cadrul juridic al SUA, inclusiv politicile și procedurile relevante ale agențiilor, asupra tendințelor recente din activitățile de supraveghere, precum și asupra evoluțiilor înregistrate în ceea ce privește instituirea și funcționarea unor mecanisme importante de supraveghere și de recurs.

Cea mai importantă evoluție juridică în domeniul accesului autorităților publice a fost reautorizarea, la începutul anului 2018, a secțiunii 702 din Legea privind supravegherea activităților străine de spionaj (Foreign Intelligence Surveillance Act - „FISA”). Deși reautorizarea nu a dus la includerea în lege a protecției prevăzute în Directiva de politică prezidențială nr. 28, astfel cum a fost sugerat de către Comisie, aceasta nici nu a limitat vreuna dintre garanțiile prevăzute în legea care era în vigoare la momentul adoptării deciziei privind Scutul de confidențialitate. În plus, modificările nu au extins competențele comunității serviciilor de informații din SUA de a dobândi informații externe prin vizarea, în temeiul secțiunii 702, a persoanelor care nu sunt cetățeni americani. În schimb, Legea din 2017 privind aprobarea modificărilor privind reautorizarea, care modifică Legea din 1978 privind supravegherea activităților străine de spionaj, a introdus anumite garanții suplimentare limitate de protecție a vieții private, de exemplu în domeniul transparenței.

Au avut loc, de asemenea, evoluții importante în ceea ce privește Consiliul de supraveghere a vieții private și a libertăților civile (Privacy and Civil Liberties Oversight Board - PCLOB), care, la momentul primei evaluări anuale, mai avea doar un singur membru în consiliul de administrație. Prin urmare, Comisia a recomandat numirea rapidă a membrilor lipsă din PCLOB. La 11 octombrie 2018, Senatul SUA a confirmat nominalizarea președintelui Consiliului de supraveghere a protecției vieții private și a libertăților civile, precum și a altor doi membri ai consiliului de administrație, astfel încât Consiliul să fie reinstalat în întregime și să poată să-și exercite toate funcțiile. După prima evaluare anuală, Comisia a recomandat, de asemenea, publicarea raportului consiliului de administrație cu privire la Directiva de politică prezidențială nr. 28. Raportul a fost publicat la 16 octombrie 2018 5 și confirmă aplicarea deplină a Directivei de politică prezidențială nr. 28 în cadrul întregii comunități a serviciilor de informații. În special, aceasta confirmă faptul că, în urma emiterii Directivei de politică prezidențială nr. 28, elementele relevante ale comunității serviciilor de informații au adoptat norme detaliate privind punerea în aplicare a directivei și și-au modificat practicile pentru a le alinia la cerințele Directivei de politică prezidențială nr. 28.

În fine, deși Comisia a recomandat numirea rapidă a Ombudsmanului pentru Scutul de confidențialitate, la momentul prezentului raport, poziția de subsecretar din cadrul Departamentului de Stat pentru care a fost numit Ombudsmanul nu fusese încă ocupată printr-o numire permanentă. În această privință, Comisia a luat notă de faptul că, în cadrul celei de a doua evaluări anuale, guvernul SUA a recunoscut necesitatea de a se înregistra progrese rapide în ceea ce privește numirea unui subsecretar permanent și a confirmat că acest proces este în plină desfășurare.

La momentul prezentului raport, mecanismul Ombudsmanului nu primise încă nicio solicitare. Cu toate acestea, o plângere adresată Ombudsmanului a fost transmisă autorității croate pentru protecția datelor, iar controalele relevante erau în curs de desfășurare.

Constatările factuale detaliate referitoare la funcționarea tuturor aspectelor legate de cadrul privind Scutul de confidențialitate după primul an de funcționare sunt prezentate în documentul de lucru al serviciilor Comisiei privind cea de a doua evaluare anuală referitoare la funcționarea Scutului de confidențialitate UE-SUA [SWD(2018) 497 final], care însoțește prezentul raport.

Informațiile colectate în contextul celei de a doua evaluări anuale confirmă constatările Comisiei din decizia privind caracterul adecvat, atât în ceea ce privește „aspectele comerciale” ale cadrului, cât și aspectele legate de accesul la datele cu caracter personal transferate în temeiul Scutului de confidențialitate de către autoritățile SUA.

Pe baza acestor constatări, Comisia concluzionează că Statele Unite continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniune către organizații din Statele Unite în cadrul Scutului de confidențialitate.

În special, măsurile luate pentru a pune în aplicare recomandările formulate de Comisie în urma primei evaluări anuale au îmbunătățit mai multe aspecte ale funcționării în practică a cadrului pentru a se asigura faptul că nu este afectat nivelul de protecție a persoanelor fizice garantat prin decizia privind caracterul adecvat.

Cu toate acestea, unele dintre aceste măsuri au fost luate abia recent, iar procesele relevante sunt încă în curs de desfășurare. Prin urmare, orice evoluții ulterioare cu privire la aceste procese trebuie să fie monitorizate îndeaproape, în special deoarece acestea afectează elemente esențiale pentru continuitatea constatării privind caracterul adecvat. Este vorba, în special, de:

1.eficacitatea mecanismelor introduse de Departamentul Comerțului în cel de al doilea an de funcționare a cadrului pentru monitorizarea proactivă a respectării de către societățile certificate a principiilor Scutului de confidențialitate, în special a cerințelor și a obligațiilor de fond;

2.eficacitatea instrumentelor introduse de Departamentul Comerțului de la prima evaluare anuală pentru a detecta declarațiile false de participare la acest cadru, cu un accent special pe căutarea declarațiilor false din partea unor societăți care nu au solicitat niciodată certificarea;

3.progresele și rezultatele verificărilor efectuate din oficiu de către Comisia Federală pentru Comerț în al doilea an de funcționare a Scutului de confidențialitate prin intermediul unor citații administrative pentru a detecta încălcări de fond ale Scutului de confidențialitate;

4.elaborarea unor orientări suplimentare comune de către Departamentul Comerțului, Comisia Federală pentru Comerț și autoritățile UE pentru protecția datelor cu privire la elementele care necesită clarificări suplimentare (de exemplu, date privind resursele umane);

5.numirea Ombudsmanului permanent pentru Scutul de confidențialitate;

6.eficacitatea gestionării și soluționării plângerilor de către Ombudsman.

În special, Comisia își reiterează apelul către administrația SUA de a-și confirma angajamentul politic față de mecanismul Ombudsmanului prin numirea în mod prioritar a unui Ombudsman permanent pentru Scutul de confidențialitate. Mecanismul Ombudsmanului este un element important al cadrului privind Scutul de confidențialitate și, în timp ce Ombudsmanul interimar continuă să îndeplinească funcțiile relevante, absența unui responsabil permanent este extrem de nesatisfăcătoare și ar trebui să fie remediată cât mai curând posibil. Comisia se așteaptă ca guvernul SUA să identifice un candidat pentru a ocupa în mod permanent poziția Ombudsmanului până la 28 februarie 2019 și să informeze Comisia cu privire la persoana nominalizată. Dacă acest lucru nu are loc până la data respectivă, Comisia va lua în considerare luarea de măsuri adecvate, în conformitate cu Regulamentul general privind protecția datelor 6 . De asemenea, Comisia așteaptă să primească informații precise și detaliate cu privire la toate aspectele menționate mai sus, pentru a putea evalua dacă măsurile luate sunt eficace în practică.

În final, Comisia va continua să urmărească îndeaproape dezbaterea în curs cu privire la legislația federală privind protecția vieții private din SUA. având în vedere importanța fluxurilor transatlantice de date, Comisia speră ca SUA să adopte un sistem cuprinzător de protecție a vieții private și a datelor și să devină parte la Convenția 108 a Consiliului Europei. Printr-o astfel de abordare cuprinzătoare, ar putea fi realizată pe termen lung convergența dintre cele două sisteme, ceea ce ar consolida, totodată, bazele pe care a fost dezvoltat cadrul privind Scutul de confidențialitate.

(1)

Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, JO L 207, 1.8.2016, p. 1.

(2)

Raportul Comisiei către Parlamentul European și Consiliu privind prima evaluare anuală privind funcționarea Scutului de confidențialitate UE-SUA [COM (2017) 611 final], a se vedea http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(3)

Documentul de lucru al serviciilor Comisiei care însoțește Raportul Comisiei către Parlamentul European și Consiliu privind prima evaluare anuală privind funcționarea Scutului de confidențialitate UESUA [SWD (2017) 344 final], a se vedea http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(4)

Disponibilă la https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf

(5)

„Report to the President on the Implementation of Presidential Policy Directive 28: Signals Intelligence Activities”, disponibil la adresa : https://www.pclob.gov/reports/report-PPD28/

(6)

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Choose the experimental features you want to try