DECISIONE DI ESECUZIONE (UE) 2019/419 DELLA COMMISSIONE
del 23 gennaio 2019
a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio per quanto riguarda la protezione adeguata dei dati personali da parte del Giappone a norma della legge sulla protezione delle informazioni personali
[notificata con il numero C(2019) 304]
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (1), in particolare l’articolo 45, paragrafo 3,
sentito il garante europeo della protezione dei dati,
1. INTRODUZIONE
| (1) | Il regolamento (UE) 2016/679 stabilisce le regole per il trasferimento dei dati personali dai titolari o dai responsabili del trattamento nell’Unione ai paesi terzi e alle organizzazioni internazionali nella misura in cui tale trasferimento rientri nel suo ambito di applicazione. Le norme in materia di trasferimento internazionale di dati personali sono stabilite nel capo V di tale regolamento, in particolare agli articoli da 44 a 50. Il flusso di dati personali verso e dai paesi al di fuori dell’Unione europea è necessario all’ampliamento della cooperazione e degli scambi internazionali, garantendo al tempo stesso che il livello di protezione offerto ai dati personali nell’Unione europea non sia compromesso. |
| (2) | Ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 la Commissione può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato. In tali circostanze i trasferimenti di dati personali verso un paese terzo, un territorio, un settore o un’organizzazione internazionale possono aver luogo senza ulteriori autorizzazioni, come stabilito dall’articolo 45, paragrafo 1, e dal considerando 103 del regolamento. |
| (3) | Come specificato all’articolo 45, paragrafo 2, del regolamento (UE) 2016/679, l’adozione della decisione di adeguatezza deve basarsi su un’analisi completa del sistema giuridico del paese terzo, per quanto riguarda sia le norme applicabili agli importatori di dati sia le limitazioni e le garanzie relative all’accesso ai dati personali da parte delle autorità pubbliche. La valutazione deve determinare se il paese terzo garantisce un livello di protezione "sostanzialmente equivalente" a quello assicurato all’interno dell’Unione [considerando 104 del regolamento (UE) 2016/679]. Come chiarito dalla Corte di giustizia dell’Unione europea, non è richiesto un livello identico di protezione (2). In particolare, gli strumenti dei quali il paese terzo si avvale possono essere diversi da quelli attuati all’interno dell’Unione europea, purché si rivelino efficaci, nella prassi, al fine di assicurare un livello adeguato di protezione (3). Lo standard di adeguatezza non comporta pertanto una duplicazione pedissequa delle norme dell’UE. La prova consiste, piuttosto, nel determinare se, con la sostanza dei diritti alla riservatezza e rendendone l’attuazione, l’azionabilità e il controllo effettivi, il sistema estero, nel suo insieme, offre il necessario livello di protezione (4). |
| (4) | La Commissione ha esaminato attentamente la legge e le pratiche applicate in Giappone. In base alle constatazioni illustrate nei considerando da 6 a 175 la Commissione giunge alla conclusione che il Giappone assicura un livello adeguato di protezione dei dati personali trasferiti a organizzazioni che rientrano nell’ambito di applicazione della legge giapponese sulla protezione delle informazioni personali (5), e che sono soggette alle condizioni aggiuntive cui rimanda la presente decisione. Tali condizioni sono stabilite dalle norme integrative (allegato I) adottate dalla Commissione per la protezione delle informazioni personali (PPC) (6) e dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali presentati dal governo giapponese alla Commissione europea (allegato II). |
| (5) | La presente decisione ha per effetto che i trasferimenti da un titolare o responsabile del trattamento dello Spazio economico europeo (SEE) (7) a dette organizzazioni in Giappone possono aver luogo senza ulteriori autorizzazioni. La presente decisione non pregiudica l’applicazione diretta del regolamento (UE) 2016/679 a tali organizzazioni quando sono rispettate le condizioni dell’articolo 3 di tale regolamento. |
2. NOME APPLICABILI AL TRATTAMENTO DEI DATI DA PARTE DEGLI OPERATORI ECONOMICI
2.1. Quadro giapponese in materia di protezione dei dati
| (6) | Il sistema giuridico che disciplina la protezione dei dati e della vita privata in Giappone ha le sue radici nella costituzione promulgata nel 1946. |
| (7) | L’articolo 13 della costituzione recita: «Tutte le persone sono rispettate come individui. Il loro diritto alla vita, alla libertà e al perseguimento della felicità, purché non interferisca con il benessere pubblico, gode della più alta considerazione nella legislazione e nelle altre attività pubbliche». |
| (8) | Sulla base di detto articolo la Corte suprema giapponese ha precisato il diritto delle persone fisiche (persone) alla protezione delle informazioni personali. In una decisione del 1969 la Corte ha infatti riconosciuto il diritto al rispetto della vita privata e alla protezione dei dati come diritto costituzionale (8). In particolare, la Corte ha affermato che «ogni persona fisica ha la libertà di proteggere le proprie informazioni personali dalla comunicazione a terzi o dalla divulgazione senza buona ragione». In una decisione del 6 marzo 2008 («Juki-Net» (9)) la Corte suprema ha inoltre ritenuto che «la libertà dei cittadini nella vita privata è protetta contro l’esercizio del potere pubblico e si può considerare che ogni persona fisica abbia, tra le libertà della persona nella vita privata, la libertà di proteggere le proprie informazioni personali dalla comunicazione a terzi o dalla divulgazione senza buona ragione» (10). |
| (9) | Il 30 maggio 2003 il Giappone ha adottato una serie di leggi in materia di protezione dei dati:
| — | la legge sulla protezione delle informazioni personali (APPI); |
| — | la legge sulla protezione delle informazioni personali detenute da organi amministrativi (APPIHAO); |
| — | la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate (APPI-IAA). | |
| (10) | Le ultime due leggi (modificate nel 2016) contengono disposizioni applicabili alla protezione delle informazioni personali da parte di enti pubblici. Il trattamento dei dati che rientra nell’ambito di applicazione di tali leggi non è oggetto della constatazione di adeguatezza contenuta nella presente decisione, che si limita alla protezione delle informazioni personali da parte di «operatori economici che gestiscono informazioni personali» (PIHBO) ai sensi dell’APPI. |
| (11) | Negli ultimi anni l’APPI è stata modificata. La versione modificata è stata promulgata il 9 settembre 2015 ed è entrata in vigore il 30 maggio 2017. È stata introdotta una serie di nuove garanzie e sono state rafforzate alcune garanzie esistenti, avvicinando il sistema di protezione dei dati giapponese a quello europeo. Esse includono, ad esempio, una serie di diritti individuali azionabili o l’istituzione di un’autorità di controllo indipendente (PPC), incaricata della vigilanza e dell’applicazione dell’APPI. |
| (12) | Oltre all’APPI, il trattamento delle informazioni personali che rientra nell’ambito di applicazione della presente decisione è oggetto di disposizioni di attuazione emesse sulla base dell’APPI. Esse includono una modifica all’ordinanza del Gabinetto per l’attuazione della legge sulla protezione delle informazioni personali del 5 ottobre 2016 e le cosiddette disposizioni in materia di esecuzione relative alla legge sulla protezione delle informazioni personali adottate dalla PPC (11). Si tratta in entrambi i casi di norme giuridicamente vincolanti e azionabili che sono entrate in vigore contemporaneamente all’APPI modificata. |
| (13) | Il 28 ottobre 2016 il Gabinetto del Giappone (comprendente il primo ministro e i ministri che formano il suo governo) ha inoltre adottato una «politica di base» al fine di «promuovere in modo globale e integrale misure riguardanti la protezione delle informazioni personali». A norma dell’articolo 7 dell’APPI, la «politica di base» è adottata sotto forma di decisione del Gabinetto e comprende orientamenti strategici riguardanti l’attuazione dell’APPI, diretti sia al governo centrale che alle amministrazioni locali. |
| (14) | Con la decisione del Gabinetto adottata il 12 giugno 2018, il governo giapponese ha recentemente modificato la «politica di base». Per facilitare i trasferimenti di dati a livello internazionale, la decisione del Gabinetto delega alla PPC, in quanto autorità competente della gestione e dell’attuazione dell’APPI, «il potere di adottare le misure necessarie a colmare le differenze tra i sistemi e le operazioni del Giappone e quelli del paese straniero interessato sulla base dell’articolo 6 della legge, al fine di assicurare una gestione appropriata delle informazioni personali ricevute da tale paese». La decisione del Gabinetto dispone che ciò include il potere di stabilire una maggiore protezione mediante l’adozione da parte della PPC di disposizioni più rigorose che integrino e che vadano oltre quelle previste |
...
