(1)

Il regolamento (UE) 2016/679 stabilisce le norme per il trasferimento di dati personali da titolari del trattamento o responsabili del trattamento nell'Unione verso paesi terzi e organizzazioni internazionali nella misura in cui tale trasferimento rientri nel suo ambito di applicazione. Le norme sui trasferimenti internazionali di dati sono stabilite nel capo V (articoli da 44 a 50) di tale regolamento. Sebbene la circolazione di dati personali verso e da paesi al di fuori dell'Unione europea sia essenziale per l'espansione degli scambi transfrontalieri e della cooperazione internazionale, occorre garantire che il livello di protezione offerto ai dati personali nell'Unione europea non sia compromesso da trasferimenti verso paesi terzi (2).

(2)

Ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 la Commissione può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo, o un'organizzazione internazionale garantiscono un livello di protezione adeguato. Nel rispetto di tale condizione, i trasferimenti di dati personali verso un paese terzo possono avvenire senza la necessità di ottenere ulteriori autorizzazioni, come previsto dall'articolo 45, paragrafo 1, e dal considerando 103 di tale regolamento.

(3)

Come specificato all'articolo 45, paragrafo 2, del regolamento (UE) 2016/679, l'adozione della decisione di adeguatezza deve basarsi su un'analisi completa dell'ordinamento giuridico del paese terzo, per quanto riguarda tanto le norme applicabili agli importatori di dati quanto le limitazioni e le garanzie relative all'accesso ai dati personali da parte delle autorità pubbliche. Nella propria valutazione la Commissione deve stabilire se il paese terzo in questione assicura un livello di protezione "sostanzialmente equivalente" a quello garantito all'interno dell'Unione europea (considerando 104 del regolamento (UE) 2016/679). Tale determinazione deve essere valutata facendo riferimento alla legislazione dell'UE, in particolare al regolamento (UE) 2016/679, nonché alla giurisprudenza della Corte di giustizia dell'Unione europea (3).

(4)

Come chiarito dalla Corte di giustizia dell'Unione europea, non è richiesto un livello di protezione identico (4). In particolare gli strumenti dei quali il paese terzo in questione si avvale per proteggere i dati personali possono essere diversi da quelli attuati all'interno dell'Unione, purché si rivelino efficaci, nella prassi, al fine di assicurare un livello di protezione adeguato (5). Il livello di adeguatezza non comporta pertanto una duplicazione pedissequa delle norme dell'Unione. La prova consiste, piuttosto, nel determinare se, con la sostanza dei diritti alla riservatezza e rendendone l'attuazione, l'azionabilità e il controllo effettivi, il sistema estero, nel suo insieme, offre il necessario livello di protezione (6). Anche i criteri di riferimento per l'adeguatezza del comitato europeo per la protezione dei dati, che cercano di chiarire ulteriormente tale livello, forniscono indicazioni al riguardo (7).

(5)

La Commissione ha analizzato attentamente la legge e la prassi coreane. Sulla base delle conclusioni di cui ai considerando da 8 a 208, la Commissione conclude che la Repubblica di Corea garantisce un livello di protezione adeguato per i dati personali trasferiti da un titolare del trattamento o da un responsabile del trattamento nell'Unione (8) a soggetti (ad esempio persone fisiche o giuridiche, organizzazioni, enti pubblici) in Corea rientranti nell'ambito di applicazione della legge sulla protezione delle informazioni personali (legge n. 10465 del 29 marzo 2011, modificata da ultimo dalla legge n. 16930 del 4 febbraio 2020). Rientrano in tale contesto tanto i titolari del trattamento quanto i responsabili del trattamento (denominati "outsourcee" (9), ossia fornitore esterno) ai sensi del regolamento (UE) 2016/679. L'accertamento di adeguatezza non riguarda il trattamento di dati personali per attività missionarie da parte di organizzazioni religiose e per la nomina di candidati da parte di partiti politici, oppure per il trattamento di informazioni personali creditizie ai sensi della legge sulle informazioni creditizie da parte di titolari del trattamento soggetti a vigilanza ad opera della commissione per i servizi finanziari.

(6)

Tale conclusione tiene conto delle garanzie supplementari stabilite nella notifica n. 2021-5 (allegato I) così come delle dichiarazioni, delle garanzie e degli impegni ufficiali del governo coreano presentati alla Commissione (allegato II).

(7)

Per effetto della presente decisione i trasferimenti verso titolari del trattamento e responsabili del trattamento nella Repubblica di Corea possono aver luogo senza la necessità di ottenere ulteriori autorizzazioni. La presente decisione non incide sull'applicazione diretta del regolamento (UE) 2016/679 a tali soggetti qualora siano soddisfatte le condizioni relative all'ambito di applicazione territoriale di detto regolamento, di cui all'articolo 3 dello stesso.

(8)

Il sistema giuridico che disciplina la protezione dei dati e della vita privata in Corea ha le sue radici nella costituzione coreana promulgata il 17 luglio 1948. Sebbene non sia espressamente previsto dalla costituzione, il diritto alla protezione dei dati personali è tuttavia riconosciuto come diritto fondamentale, derivante dai diritti costituzionali alla dignità umana e al perseguimento della felicità (articolo 10), alla tutela della vita privata (articolo 17) e alla riservatezza delle comunicazioni (articolo 18). Ciò è stato confermato tanto dalla Corte suprema (10) quanto dalla Corte costituzionale (11). Limitazioni dei diritti e delle libertà fondamentali (compreso il diritto alla tutela della vita privata) possono essere imposte soltanto per legge, laddove ciò sia necessario per la sicurezza nazionale o per il mantenimento dell'ordine pubblico per il benessere pubblico e non possa incidere sull'essenza del diritto o della libertà in questione (articolo 37, secondo comma).

(9)

Sebbene in più punti la costituzione faccia riferimento ai diritti dei cittadini coreani, la Corte costituzionale ha stabilito che anche i cittadini stranieri godono di diritti fondamentali (12). In particolare la Corte ha ritenuto che la tutela della propria dignità e del proprio valore in qualità di essere umano, così come il diritto alla ricerca della felicità, siano diritti spettanti a qualsiasi essere umano, non soltanto ai cittadini coreani (13). Inoltre, secondo le dichiarazioni ufficiali rilasciate dal governo coreano (14), è generalmente riconosciuto che gli articoli da 12 a 22 della costituzione (che comprendono i diritti in materia di tutela della vita privata) prevedono diritti umani fondamentali (15). Sebbene finora non esista alcuna giurisprudenza specifica in merito al diritto alla tutela della vita privata dei cittadini stranieri, il suo fondamento nella protezione della dignità umana e nel perseguimento della felicità sostiene tale conclusione (16).

(10)

La Corea ha inoltre emanato una serie di leggi in materia di protezione dei dati che forniscono garanzie a tutte le persone fisiche, indipendentemente dalla loro nazionalità (17). Ai fini della presente decisione le leggi pertinenti sono:

(11)

La legge sulla protezione delle informazioni personali fornisce il quadro giuridico generale per la protezione dei dati nella Repubblica di Corea. È integrata da un decreto di applicazione (decreto presidenziale n. 23169 del 29 settembre 2011, modificato da ultimo dal decreto presidenziale n. 30892 del 4 agosto 2020) ("decreto di applicazione della PIPA") che, come la legge sulla protezione delle informazioni personali, è giuridicamente vincolante ed esecutivo.

(12)

Inoltre le "notifiche" normative adottate dalla Personal Information Protection Commission (in appresso "PIPC", commissione per la protezione delle informazioni personali) forniscono ulteriori norme in merito all'interpretazione e all'applicazione della legge sulla protezione delle informazioni personali. Sulla base dell'articolo 5 (Obblighi dello Stato) e dell'articolo 14 (Cooperazione internazionale) della legge sulla protezione delle informazioni personali, la PIPC ha adottato la notifica n. 2021-5 del 1o settembre 2020 (come modificata dalla notifica n. 2021-1 del 21 gennaio 2021 e dalla notifica n. 2021-5 del 16 novembre 2021, in appresso "notifica n. 2021-5") sull'interpretazione, sull'applicazione e sull'esecuzione di talune disposizioni di detta legge. Tale notifica fornisce chiarimenti che si applicano a qualsiasi trattamento di dati personali nell'ambito della legge sulla protezione delle informazioni personali, nonché ulteriori garanzie per i dati personali trasferiti in Corea ai sensi della presente decisione. Tale notifica è legalmente vincolante per i titolari del trattamento delle informazioni personali e tanto la PIPC quanto gli organi giurisdizionali possono farla rispettare (19). La violazione delle norme contenute in tale notifica comporta la violazione delle pertinenti disposizioni della legge sulla protezione delle informazioni personali che esse integrano. Il contenuto delle garanzie supplementari viene quindi analizzato nel contesto della valutazione degli articoli pertinenti della legge sulla protezione delle informazioni personali. Infine ulteriori orientamenti in merito alla legge sulla protezione delle informazioni personali e al suo decreto di applicazione, che informano l'applicazione e l'esecuzione delle norme in materia di protezione dei dati da parte della PIPC, sono riportati nel manuale e nelle linee guida su tale legge adottati dalla PIPC (20).

(13)

Inoltre la legge sulle informazioni creditizie stabilisce norme specifiche che si applicano tanto agli operatori commerciali "ordinari" quanto a soggetti specializzati nel settore finanziario quando trattano informazioni creditizie personali, ossia informazioni necessarie per determinare l'affidabilità creditizia delle parti in operazioni finanziarie o commerciali. Tra tali informazioni figurano, in particolare, il nome, i dettagli di contatto, le operazioni finanziarie, il rating di credito, lo stato assicurativo o il saldo di un prestito quando tali informazioni vengono utilizzate per determinare l'affidabilità creditizia di una persona fisica (21). Al contrario, laddove tali informazioni vengano utilizzate per altre finalità (ad esempio nel settore delle risorse umane), la legge sulla protezione delle informazioni personali si applica pienamente. Per quanto concerne le disposizioni specifiche in materia di protezione dei dati di cui alla legge sulle informazioni creditizie, la conformità è controllata in parte dalla PIPC (per le organizzazioni commerciali, cfr. articolo 45-3 di tale legge) e in parte dalla commissione per i servizi finanziari (22) (per il settore finanziario, comprese le agenzie di rating del credito, le banche, le compagnie di assicurazione, le casse di risparmio, le imprese finanziarie e creditizie specializzate, le imprese finanziarie che offrono servizi di investimento, le società di finanziamento titoli, le cooperative di credito, ecc., cfr. articolo 45, primo comma, della legge sulle informazioni creditizie in combinato disposto con l'articolo 36-2 del decreto di applicazione della CIA e l'articolo 38 della legge sulla commissione per i servizi finanziari). A questo proposito, l'ambito di applicazione della presente decisione è limitato agli operatori commerciali soggetti alla vigilanza della PIPC (23). Le norme specifiche della legge sulle informazioni creditizie che si applicano in questo contesto (le norme generali della legge sulla protezione delle informazioni personali si applicano laddove non esistano norme specifiche) sono descritte nella sezione 2.3.11.

(14)

Salvo quanto diversamente previsto da altre leggi, la protezione dei dati personali è disciplinata dalla legge sulla protezione delle informazioni personali (articolo 6). L'ambito materiale e personale della sua applicazione è determinato dai concetti definiti di "informazioni personali", "trattamento" e "titolare del trattamento delle informazioni personali".

(15)

L'articolo 2, primo comma, della legge sulla protezione delle informazioni personali definisce le informazioni personali come informazioni relative a una persona fisica in vita che la identificano direttamente, ad esempio tramite il suo nome, il suo numero di registrazione come residente o una sua immagine, oppure indirettamente, ossia quando le informazioni che di per sé non possono identificare una determinata persona fisica possono essere combinate facilmente con altre informazioni. Il fatto che le informazioni possano essere combinate "facilmente" dipende dalla ragionevole probabilità di tale combinazione, tenendo conto della possibilità di ottenere altre informazioni nonché del tempo, dei costi e della tecnologia necessari per identificare una persona fisica.

(16)

Inoltre, le informazioni pseudonimizzate, ossia le informazioni che non possono identificare una persona fisica specifica senza utilizzarle o combinarle con informazioni supplementari per ripristinarle allo stato originale, sono considerate dati personali ai sensi della legge sulla protezione delle informazioni personali (articolo 2, primo comma, lettera c), di tale legge). Al contrario le informazioni completamente "anonimizzate" sono escluse dall'ambito di applicazione della legge sulla protezione delle informazioni personali (articolo 58-2 di tale legge). Si tratta di informazioni che non sono in grado di identificare una persona fisica specifica, anche se combinate con altre informazioni, tenendo conto dei tempi, dei costi e della tecnologia ragionevolmente necessari per l'identificazione.

(17)

Ciò corrisponde all'ambito di applicazione materiale del regolamento (UE) 2016/679 e alle sue nozioni di "dati personali", "pseudonimizzazione" (24) e "informazioni anonimizzate" (25).

(18)

La nozione di "trattamento" è definita in maniera ampia nella legge sulla protezione delle informazioni personali come comprendente "la raccolta, la generazione, il collegamento, l'interconnessione, la registrazione, l'archiviazione, la conservazione, l'elaborazione a valore aggiunto, la modifica, il recupero, la produzione, la correzione, il ripristino, l'uso, la fornitura e la divulgazione, nonché la distruzione di informazioni personali e altre attività analoghe" (26). Sebbene alcune disposizioni della legge sulla protezione delle informazioni personali facciano riferimento soltanto a tipi specifici di trattamento, quali "uso", "fornitura" o "raccolta" (27), la nozione di "uso" è interpretata come comprendente qualsiasi tipo di trattamento diverso dalla "raccolta" o dalla "fornitura" (a terzi). Questa ampia interpretazione del concetto di "uso" assicura quindi che non vi siano lacune nella protezione rispetto ad attività di trattamento specifiche. Il concetto di trattamento corrisponde quindi alla medesima nozione di cui al regolamento (UE) 2016/679.

(19)

La legge sulla protezione delle informazioni personali si applica ai "titolari del trattamento delle informazioni personali" ("titolari del trattamento"). Analogamente a quanto avviene per il regolamento (UE) 2016/679, in tale nozione rientra qualsiasi ente pubblico, qualsiasi persona giuridica, qualsiasi organizzazione o persona fisica che tratta dati personali direttamente o indirettamente per gestire archivi di informazioni personali nel contesto delle loro attività (28). In questo contesto il termine "fascicolo di informazioni personali" indica qualsiasi "insieme o serie di informazioni personali disposte od organizzate in modo sistematico sulla base di una determinata norma per consentire un facile accesso alle informazioni personali" (articolo 2, quarto comma, della legge sulla protezione delle informazioni personali) (29). Internamente il titolare del trattamento è tenuto a formare le persone coinvolte nel trattamento soggette alla sua direzione, quali dirigenti o dipendenti dell'impresa, nonché a esercitare un controllo e una supervisione adeguati (articolo 28, primo comma, della legge sulla protezione delle informazioni personali).

(20)

Obblighi specifici si applicano nel caso in cui un titolare del trattamento (in questo caso il soggetto che esternalizza, outsourcer) esternalizzi il trattamento dei dati personali a un soggetto terzo (il fornitore esterno di servizi di trattamento, l'outsourcee, in appresso: "il fornitore esterno"). In particolare l'esternalizzazione deve essere disciplinata da un accordo giuridicamente vincolante (solitamente un contratto) (30) che definisca l'ambito di applicazione del lavoro esternalizzato, le finalità del trattamento, le garanzie tecniche e gestionali da applicare, il controllo da parte del titolare, la responsabilità (come nel caso di risarcimento di danni cagionati da inadempimento degli obblighi contrattuali) nonché le limitazioni relative a eventuali sub-trattamenti (31) (articolo 26, primo e secondo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 28, primo comma, del decreto di applicazione) (32).

(21)

Inoltre il titolare del trattamento deve pubblicare e aggiornare continuamente i dettagli concernenti l'attività esternalizzata e l'identità del fornitore esterno o, nella misura in cui il trattamento esternalizzato riguardi attività di marketing diretto, notificare direttamente alle persone fisiche le informazioni pertinenti (articolo 26, secondo e terzo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 28, dal secondo al quinto comma, del decreto di applicazione) (33).

(22)

Inoltre, ai sensi dell'articolo 26, quarto comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 28, sesto comma, del decreto di applicazione, il titolare del trattamento è tenuto a "istruire" il fornitore esterno in merito alle misure di sicurezza necessarie, nonché a controllare, anche mediante ispezioni, che rispetti tutti gli obblighi spettanti al titolare del trattamento ai sensi di tale legge (34) e quelli derivanti dal contratto di esternalizzazione. Laddove il fornitore esterno causi danni dovuti a una violazione della legge sulla protezione delle informazioni personali, le sue azioni o le sue omissioni saranno attribuite al titolare del trattamento ai fini della responsabilità come se si trattasse di un dipendente (articolo 26, sesto comma, di tale legge).

(23)

Sebbene la legge sulla protezione delle informazioni personali non utilizzi quindi concetti diversi per "titolari del trattamento" e "responsabili del trattamento", le norme sull'esternalizzazione prevedono obblighi e garanzie sostanzialmente equivalenti a quelli che disciplinano il rapporto tra titolari e responsabili del trattamento ai sensi del regolamento (UE) 2016/679.

(24)

Sebbene la legge sulla protezione delle informazioni personali si applichi al trattamento di dati personali da parte di qualsiasi titolare del trattamento, talune disposizioni contengono norme specifiche (come lex specialis) per il trattamento di dati personali di "utenti" da parte di "fornitori di servizi di informazione e comunicazione" (35). La nozione di "utenti" comprende le persone fisiche che utilizzano servizi di informazione e comunicazione (articolo 2, primo comma, punto 4 della legge sulla promozione dell'utilizzo di reti di informazione e comunicazione e della protezione dei dati, in appresso: "legge sulle reti"). Ciò comporta il fatto che la persona fisica utilizzi direttamente servizi di telecomunicazione forniti da un operatore di telecomunicazioni coreano o utilizzi servizi di informazione (36) forniti per finalità commerciali (ossia a scopo di lucro) da un soggetto che a sua volta si affida ai servizi di un operatore di telecomunicazioni autorizzato/registrato in Corea (37). In entrambi i casi il soggetto vincolato dalle disposizioni specifiche della legge sulla protezione delle informazioni personali è quello che offre un servizio online direttamente a una persona fisica (ossia un utente).

(25)

Al contrario, un accertamento di adeguatezza riguarda esclusivamente il livello di protezione offerto ai dati personali trasferiti da un titolare del trattamento/responsabile del trattamento nell'Unione a un soggetto in un paese terzo (nel caso di specie: la Repubblica di Corea). In quest'ultimo scenario, le persone fisiche nell'Unione avranno di norma un rapporto diretto soltanto con l'"esportatore dei dati" nell'Unione e non con alcun fornitore coreano di servizi di informazione e comunicazione (38). Di conseguenza le disposizioni specifiche della legge sulla protezione delle informazioni personali relative ai dati personali degli utenti di servizi di informazione e comunicazione si applicheranno, al massimo, soltanto in situazioni limitate ai dati personali trasferiti ai sensi della presente decisione.

(26)

L'articolo 58, primo comma, della legge sulla protezione delle informazioni personali esclude l'applicazione di parte di tale legge (ossia gli articoli da 15 a 57) in relazione a quattro categorie di trattamento di dati (39). In particolare non si applicano le parti della legge sulla protezione delle informazioni personali che trattano i motivi specifici del trattamento, alcuni obblighi in materia di protezione dei dati, le norme dettagliate per l'esercizio dei diritti individuali nonché le norme che disciplinano la risoluzione delle controversie da parte del Personal Information Dispute Mediation Committee (comitato di mediazione per le controversie sulle informazioni personali). Rimangono applicabili altre disposizioni di base della legge sulla protezione delle informazioni personali, in particolare quelle sui principi di protezione dei dati (articolo 3 di tale legge), compresi ad esempio i principi di liceità, indicazione e limitazione delle finalità, minimizzazione dei dati, esattezza e sicurezza dei dati, e sui diritti individuali (di accesso, rettifica, cancellazione e sospensione, cfr. articolo 4 della medesima legge). Inoltre l'articolo 58, quarto comma, della legge sulla protezione delle informazioni personali impone obblighi specifici per tali attività di trattamento, in particolare per quanto concerne la minimizzazione dei dati, la conservazione limitata dei dati, le misure di sicurezza e la gestione dei reclami (40). Di conseguenza le persone fisiche potrebbero comunque promuovere reclamo presso la PIPC laddove tali principi e obblighi non fossero rispettati e la PIPC ha il potere di intraprendere misure di esecuzione in caso di non conformità.

(27)

Innanzitutto l'esenzione parziale riguarda dati personali raccolti ai sensi della legge sulla statistica per il trattamento da parte di enti pubblici. Secondo i chiarimenti ricevuti dal governo coreano, i dati personali trattati in tale contesto riguardano di norma cittadini coreani e potrebbero includere solo eccezionalmente informazioni in merito a stranieri, in particolare nel caso di statistiche sull'ingresso e sull'uscita dal territorio, o sugli investimenti esteri. Tuttavia, anche in tali situazioni, tali dati di norma non vengono trasferiti da titolari/responsabili del trattamento nell'Unione, ma sono piuttosto raccolti direttamente dalle autorità pubbliche in Corea (41). Inoltre, in maniera analoga a quanto previsto dal considerando 162 del regolamento (UE) 2016/679, il trattamento di dati ai sensi della legge sulla statistica è soggetta a diverse condizioni e garanzie. In particolare la legge sulla statistica impone obblighi specifici, tali da garantire esattezza, coerenza e imparzialità; garantire la riservatezza delle persone fisiche; proteggere le informazioni dei rispondenti a quesiti statistici anche al fine di impedire che tali informazioni vengano utilizzate per finalità diverse da quelle della compilazione di statistiche e di assoggettare il personale al rispetto di requisiti in materia di riservatezza (42). Le autorità pubbliche che elaborano statistiche devono rispettare tra l'altro altresì i principi di minimizzazione dei dati, limitazione della finalità e sicurezza (articolo 3 e articolo 58, quarto comma, della legge sulla protezione delle informazioni personali) e consentire alle persone fisiche di esercitare i loro diritti (di accesso, rettifica, cancellazione e sospensione; cfr. articolo 4 della legge sulla protezione delle informazioni personali). Infine i dati devono essere trattati in forma anonimizzata o pseudonimizzata laddove ciò consenta il soddisfacimento della finalità del trattamento (articolo 3, settimo comma, della legge sulla protezione delle informazioni personali).

(28)

In secondo luogo, l'articolo 58, primo comma, della legge sulla protezione delle informazioni personali fa riferimento ai dati personali raccolti o richiesti per finalità di analisi di informazioni in relazione alla sicurezza nazionale. La portata e le conseguenze di tale esenzione parziale sono descritte più in dettaglio nel considerando 149.

(29)

In terzo luogo, l'esenzione parziale si applica al trattamento temporaneo di dati personali laddove sia urgentemente necessario per motivi di sicurezza pubblica, compresa la salute pubblica. Questa categoria è interpretata in senso stretto dalla PIPC e, secondo le informazioni ricevute, non è mai stata utilizzata e si applica soltanto nelle emergenze che richiedono un'azione urgente, ad esempio per rintracciare agenti infettivi, oppure per salvare e aiutare le vittime di disastri naturali (43). Anche in tali situazioni, l'esenzione parziale riguarda soltanto il trattamento di dati personali per un periodo di tempo limitato allo svolgimento di tale azione. Le situazioni in cui ciò potrebbe applicarsi ai trasferimenti di dati oggetto della presente decisione sono ancora più limitate, data la bassa probabilità che dati personali trasferiti dall'Unione ad operatori coreani siano del tipo che potrebbe rendere il loro successivo trattamento "urgentemente necessario" per tali emergenze.

(30)

Infine l'esenzione parziale si applica ai dati personali raccolti o utilizzati dalla stampa, per le attività missionarie di organizzazioni religiose o per la nomina di candidati da parte di partiti politici. L'esenzione si applica soltanto quando i dati personali sono trattati da stampa, organizzazioni religiose o partiti politici per tali finalità specifiche (ad esempio attività giornalistica, attività missionarie e nomina di candidati politici). Laddove tali soggetti trattino dati personali per altre finalità quali la gestione delle risorse umane o l'amministrazione interna, la legge sulla protezione delle informazioni personali si applica integralmente.

(31)

In relazione al trattamento dei dati personali da parte della stampa per attività giornalistiche, la legge sull'arbitrato e sui mezzi di ricorso, ecc. per i danni causati da notizie di stampa (in appresso: "legge sulla stampa") (44) prevede un bilanciamento tra libertà di espressione e altri diritti (incluso il diritto alla tutela della vita privata). In particolare l'articolo 5 della legge sulla stampa prevede che gli organi di stampa (ossia qualsiasi organizzazione che si occupa di trasmissione radiotelevisiva, qualsiasi quotidiano, periodico o quotidiano online), qualsiasi servizio di cronaca su internet oppure qualsiasi organismo di trasmissione multimediale su internet non possa violare la vita privata di persone fisiche. Se, ciò nonostante, si verifica una violazione della vita privata, quest'ultima deve essere prontamente sanata secondo procedure specifiche previste in tale legge. A questo proposito la legge riconosce alle persone fisiche che subiscono un danno a causa di notizie di stampa una serie di diritti, quali quello di ottenere la pubblicazione di una rettifica di una dichiarazione falsa, una rettifica mediante una dichiarazione in contraddittorio oppure un'ulteriore notizia (laddove una notizia di stampa riguardi asserzioni di reati dai quali la persona fisica viene successivamente assolta) (45). I reclami promossi da persone fisiche possono essere risolti direttamente dagli organi di stampa (ricorrendo a un mediatore) (46), attraverso la conciliazione o l'arbitrato (dinanzi a una commissione arbitrale specializzata per la stampa) (47) oppure adendo gli organi giurisdizionali. Le persone fisiche possono altresì ottenere un risarcimento quando subiscono un danno pecuniario, una violazione di un diritto della personalità o qualsiasi altro disagio emotivo imputabile a un atto illecito degli organi di stampa (per dolo o negligenza) (48). Gli organi di stampa sono esentati da responsabilità ai sensi della legge in questione nella misura in cui una notizia di stampa che interferisce con i diritti di una persona fisica non sia contraria ai valori sociali e venga pubblicata con il consenso dell'interessato o nell'interesse pubblico (e qualora vi siano motivi sufficienti per ritenere che tale comunicazione corrisponda al vero) (49).

(32)

Mentre il trattamento di dati personali da parte della stampa per attività giornalistiche è quindi soggetto a specifiche garanzie che derivano dalla legge sulla stampa, non esistono tali garanzie supplementari che inquadrano il ricorso alle eccezioni per le attività di trattamento da parte di organizzazioni religiose e partiti politici in modo assimilabile agli articoli 85, 89 e 91 del regolamento (UE) 2016/679. La Commissione ritiene pertanto opportuno escludere dall'ambito di applicazione della presente decisione le organizzazioni religiose nella misura in cui trattano dati personali per le loro attività missionarie e i partiti politici nella misura in cui trattano dati personali nel contesto della nomina di candidati.

(33)

I dati personali dovrebbero essere trattati in maniera lecita e corretta.

(34)

Tale principio è sancito dall'articolo 3, primo e secondo comma, della legge sulla protezione delle informazioni personali ed è rafforzato dall'articolo 59 della medesima legge, che vieta il trattamento di dati personali "in modo fraudolento, con mezzi impropri o ingiusti", "senza disporre del potere giuridico" od "oltre i limiti dell'esercizio di un potere adeguato" (50). Tali principi generali di liceità del trattamento sono elaborati negli articoli da 15 a 19 della legge sulla protezione delle informazioni personali che stabiliscono le diverse basi giuridiche per il trattamento (raccolta, utilizzo e fornitura a terzi), comprese le circostanze in cui ciò può comportare una variazione di finalità (articolo 18 di tale legge).

(35)

Ai sensi dell'articolo 15, primo comma, della legge sulla protezione delle informazioni personali, un titolare del trattamento può raccogliere dati personali (nell'ambito della finalità prevista per la raccolta) soltanto per un numero limitato di fondamenti giuridici. Si tratta nello specifico dei seguenti: 1) il consenso dell'interessato (51) (punto 1); 2) la necessità di dare esecuzione eseguire ed attuare un contratto stipulato con l'interessato (punto 4); 3) un'autorizzazione speciale sancita dalla legge o la necessità di adempiere un obbligo sancito dalla legge (punto 2); la necessità (52) per un ente pubblico di svolgere i compiti di sua competenza previsti dalla legge; 4) la manifesta necessità di proteggere la vita, l'incolumità o gli interessi patrimoniali dell'interessato o di una terza parte rispetto a un pericolo imminente (soltanto se l'interessato non è in grado di esprimere la sua intenzione o se non è possibile ottenerne il consenso preventivo) (punto 5); 5) la necessità di conseguire l'"interesse giustificabile" del titolare del trattamento se è "manifestamente prevalente" rispetto agli interessi dell'interessato (e soltanto laddove il trattamento comporti una "relazione sostanziale" con l'interesse legittimo e non vada oltre quanto ragionevole) (punto 6) (53). Tali fondamenti per il trattamento sono sostanzialmente equivalenti a quelli di cui all'articolo 6 del regolamento (UE) 2016/679, ivi compreso quello relativo all'"interesse giustificabile" che coincide con il motivo del "legittimo interesse" di cui all'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679.

(36)

Una volta raccolti, i dati personali possono essere utilizzati nell'ambito della finalità prevista dalla raccolta (articolo 15, primo comma, della legge sulla protezione delle informazioni personali), oppure "in un ambito ragionevolmente correlato" alla finalità della raccolta, tenendo conto dei possibili svantaggi causati all'interessato e a condizione che siano state adottate le misure di sicurezza necessarie (ad esempio cifratura) (articolo 15, terzo comma, della medesima legge). Al fine di stabilire se la finalità d'uso è "ragionevolmente correlata" alla finalità originaria della raccolta, il decreto di applicazione stabilisce criteri specifici, analoghi a quelli di cui all'articolo 6, paragrafo 4, del regolamento (UE) 2016/679. In particolare deve esserci una notevole attinenza rispetto alla finalità originaria; l'uso aggiuntivo deve essere prevedibile (ad esempio alla luce delle circostanze in cui le informazioni sono state raccolte); e, ove possibile, i dati devono essere pseudonimizzati (54). I criteri specifici utilizzati da un titolare del trattamento nel contesto di tale valutazione devono essere comunicati preventivamente nella politica in materia di protezione della vita privata (55). Inoltre il responsabile della tutela della vita privata (cfr. considerando 94) è specificamente tenuto a verificare se l'ulteriore utilizzo avviene nel rispetto di tali parametri.

(37)

Norme simili (ma un po' più rigorose) si applicano alla fornitura di dati a terzi. Ai sensi dell'articolo 17, primo comma, della legge sulla protezione delle informazioni personali, la fornitura di dati personali a terzi è consentita sulla base del consenso (56) o, nel rispetto delle finalità della raccolta, quando le informazioni sono state raccolte in ragione di uno dei fondamenti giuridici di cui all'articolo 15, primo comma, punti 2, 3 e 5, della legge sulla protezione delle informazioni personali. Ciò esclude in particolare qualsiasi divulgazione basata sull'"interesse giustificabile" del titolare del trattamento. Inoltre, l'articolo 17, quarto comma, della legge sulla protezione delle informazioni personali consente la messa a disposizione di terzi "in un ambito di applicazione ragionevolmente correlato" alla finalità della raccolta, sempre tenendo conto dei possibili svantaggi causati all'interessato e purché siano state adottate le necessarie misure di sicurezza (come la cifratura). Ai fini della valutazione dell'eventualità che la messa a disposizione in questione rientri nell'ambito di applicazione ragionevolmente correlato alla finalità della raccolta e nell'applicazione delle medesime garanzie (ossia rispetto della trasparenza attraverso la politica in materia di tutela della vita privata e il coinvolgimento del responsabile della tutela della vita privata) occorre tenere conto dei medesimi fattori descritti nel considerando 36.

(38)

La ricezione di dati personali dall'Unione da parte di un titolare del trattamento coreano dei dati è considerata una "raccolta" ai sensi dell'articolo 15 della legge sulla protezione delle informazioni personali. La notifica n. 2021-5 (sezione I dell'allegato I della presente decisione) chiarisce che la finalità per la quale i dati sono stati trasferiti dal soggetto UE interessato costituisce la finalità della raccolta per il titolare del trattamento coreano dei dati. Di conseguenza i titolari coreani del trattamento dei dati che ricevono dati personali dall'Unione sono in linea di principio tenuti a trattare tali informazioni nell'ambito della finalità del trasferimento, ai sensi dell'articolo 17 della legge sulla protezione delle informazioni personali.

(39)

Si applicano limitazioni speciali nel caso in cui il titolare del trattamento cerchi di utilizzare i dati personali o di fornirli a terzi per una finalità diversa da quella della raccolta (57). Ai sensi dell'articolo 18, secondo comma, della legge sulla protezione delle informazioni personali, un titolare del trattamento privato può eccezionalmente (58) utilizzare i dati personali o fornirli a terzi per una finalità diversa: 1) sulla base del consenso aggiuntivo (ossia distinto) dell'interessato; 2) laddove ciò sia previsto da disposizioni speciali di legge; o 3) laddove ciò sia manifestamente necessario per la protezione della vita, dell'incolumità o degli interessi patrimoniali dell'interessato o di terzi rispetto a un pericolo imminente (soltanto se l'interessato non è in grado di esprimere la sua intenzione o se non è possibile ottenerne il consenso preventivo) (59).

(40)

Anche gli enti pubblici possono utilizzare i dati personali o fornirli a terzi per una finalità diversa in determinate situazioni. Tra tali casi figurano situazioni nelle quali sarebbe altrimenti impossibile per tali enti svolgere i propri compiti statutari come prescritto dalla legge, previa autorizzazione della PIPC. Inoltre gli enti pubblici possono fornire dati personali ad un'altra autorità o a un organo giurisdizionale, laddove ciò sia necessario per l'accertamento e il perseguimento di reati o per un rinvio a giudizio; affinché un organo giurisdizionale possa svolgere le sue funzioni in relazione a procedimenti giudiziari in corso; oppure per l'esecuzione di una sanzione penale oppure di un'ordinanza cautelare o di custodia cautelare (60). Gli enti pubblici possono altresì fornire dati personali a un governo straniero o a un'organizzazione internazionale per adempiere a un obbligo giuridico derivante da un trattato o da una convenzione internazionale, nel qual caso devono altresì rispettare i requisiti in materia di trasferimenti transfrontalieri di dati (cfr. considerando 90).

(41)

I principi di liceità e correttezza del trattamento trovano quindi attuazione nel quadro giuridico coreano in maniera sostanzialmente equivalente a quanto previsto dal regolamento (UE) 2016/679, consentendo il trattamento soltanto sulla base di motivi legittimi e chiaramente definiti. Inoltre, in tutti i casi menzionati, il trattamento è consentito soltanto se non è suscettibile di "violare ingiustamente" gli interessi dell'interessato o di un terzo, il che richiede un bilanciamento degli interessi. Inoltre l'articolo 18, quinto comma, della legge sulla protezione delle informazioni personali prescrive garanzie supplementari quando il titolare del trattamento fornisce i dati personali a terzi, che possono comprendere una richiesta di limitazione delle finalità e delle modalità di utilizzo o la messa in atto di misure di sicurezza specifiche. La terza parte in questione è a sua volta tenuta ad attuare le misure richieste.

(42)

Infine l'articolo 28-2 della legge sulla protezione delle informazioni personali consente il (l'ulteriore) trattamento di informazioni pseudonimizzate senza il consenso dell'interessato per finalità di compilazione di statistiche, di ricerca scientifica (61) e di archiviazione nell'interesse pubblico, fatte salve garanzie specifiche. Analogamente al regolamento (UE) 2016/679 (62), la legge sulla protezione delle informazioni personali facilita pertanto il (l'ulteriore) trattamento di dati personali per tali finalità in un quadro che prevede garanzie adeguate a tutela dei diritti delle persone fisiche. Anziché fare affidamento sulla pseudonimizzazione come possibile garanzia, la legge sulla protezione delle informazioni personali la impone come prerequisito ai fini dello svolgimento di determinate attività di trattamento per finalità di compilazione di statistiche, di ricerca scientifica e di archiviazione nell'interesse pubblico (come ad esempio per poter trattare i dati senza consenso o per combinare serie diverse di dati).

(43)

La legge sulla protezione delle informazioni personali impone inoltre una serie di garanzie specifiche, in particolare in termini di misure tecniche e organizzative necessarie, di conservazione di registri, di limitazioni alla condivisione dei dati e di gestione dei possibili rischi di reidentificazione. La combinazione delle varie garanzie di cui ai considerando da 44 a 48 assicura che il trattamento dei dati personali in questo contesto sia soggetto a tutele sostanzialmente equivalenti rispetto a quelle che sarebbero richieste ai sensi del regolamento (UE) 2016/679.

(44)

Innanzitutto e come aspetto ancora più importante, l'articolo 28-5, primo comma, della legge sulla protezione delle informazioni personali vieta il trattamento di informazioni pseudonimizzate con la finalità di identificare una determinata persona fisica. Se durante il trattamento di informazioni pseudonimizzate vengono comunque generate informazioni che potrebbero identificare una persona fisica, il titolare del trattamento deve immediatamente sospendere il trattamento e distruggere tali informazioni (articolo 28-5, secondo comma, della legge sulla protezione delle informazioni personali). Il mancato rispetto di tali disposizioni è soggetto a sanzioni amministrative pecuniarie e costituisce reato (63). Ciò significa che, anche in quelle situazioni in cui sarebbe praticamente possibile identificare nuovamente la persona fisica, tale reidentificazione è giuridicamente vietata.

(45)

In secondo luogo, quando si trattano (ulteriormente) informazioni pseudonimizzate per tali finalità, il titolare del trattamento è tenuto a mettere in atto misure tecnologiche, gestionali e fisiche specifiche per assicurare la sicurezza delle informazioni (compresa l'archiviazione e la gestione separate delle informazioni necessarie per ripristinare le informazioni pseudonimizzate al loro stato originale) (64). Occorre inoltre conservare registrazioni delle informazioni pseudonimizzate trattate, della finalità del trattamento, della cronologia di utilizzo e di eventuali destinatari terzi (articolo 29-5, secondo comma, del decreto di applicazione della PIPA).

(46)

In terzo e ultimo luogo, la legge sulla protezione delle informazioni personali prevede garanzie specifiche per impedire l'identificazione di persone fisiche da parte di terzi nel caso in cui le informazioni vengano condivise. In particolare, quando forniscono informazioni pseudonimizzate a terzi per finalità di compilazione di statistiche, di ricerca scientifica o di archiviazione nell'interesse pubblico, i titolari del trattamento non possono includere informazioni che potrebbero essere utilizzate per identificare una persona fisica specifica (articolo 28-2, secondo comma, della legge sulla protezione delle informazioni personali) (65).

(47)

In particolare sebbene consenta la combinazione di informazioni pseudonimizzate (trattate da titolari del trattamento diversi) per finalità di compilazione di statistiche, di ricerca scientifica o di archiviazione nel pubblico interesse, la legge sulla protezione delle informazioni personali riserva tale facoltà a istituzioni specializzate dotate di sistemi specifici di sicurezza (articolo 28-3, primo comma, della legge sulla protezione delle informazioni personali) (66). Nel presentare una richiesta di combinazione di dati pseudonimizzati, un titolare del trattamento deve fornire documentazione, tra l'altro, in merito ai dati da combinare, alla finalità di tale combinazione, nonché alle misure di sicurezza proposte per il trattamento dei dati combinati (67). Per consentire tale combinazione, il titolare del trattamento deve inviare i dati da combinare all'istituzione specializzata e fornire una "chiave di combinazione" (ossia le informazioni che sono state utilizzate per la pseudonimizzazione) all'Agenzia coreana per la sicurezza e internet (68). Quest'ultimo genera "dati di collegamento delle chiavi di combinazione" (che consentono di collegare le chiavi di combinazione di richiedenti diversi al fine di ottenere la combinazione delle serie di dati) e li fornisce all'istituzione specializzata (69).

(48)

Il titolare del trattamento che richiede la combinazione può analizzare le informazioni combinate presso la sede dell'istituzione specializzata, in uno spazio al quale si applicano misure di sicurezza tecniche, fisiche e amministrative specifiche (articolo 29-3 del decreto di applicazione della PIPA). I titolari del trattamento che forniscono una serie di dati per tale combinazione possono portare i dati combinati al di fuori dell'istituto specializzato soltanto a seguito di un'ulteriore pseudonimizzazione o anonimizzazione dei dati combinati e con l'approvazione di tale istituto (articolo 28-3, secondo comma, della legge sulla protezione delle informazioni personali) (70). Nel valutare se concedere o meno tale approvazione, l'istituzione valuterà il legame tra i dati combinati e la finalità del trattamento e se è stato predisposto un piano di sicurezza specifico per l'uso di tali dati (71). L'esportazione delle informazioni combinate al di fuori dell'istituzione non sarà consentita se le informazioni contengono dati che consentirebbero l'identificazione di una persona fisica (72). Infine la combinazione e il rilascio di dati pseudonimizzati da parte dell'istituzione specializzata è controllata dalla PIPC (articolo 29-4, terzo comma, del decreto di applicazione della PIPA).

(49)

Garanzie specifiche dovrebbero essere applicate al trattamento di "categorie particolari" di dati.

(50)

La legge sulla protezione delle informazioni personali contiene norme specifiche per quanto concerne il trattamento di dati sensibili (73), definiti come dati personali che rivelano informazioni in merito all'ideologia, alle convinzioni personali, all'adesione o alla revoca di adesione da un sindacato o un partito politico, alle opinioni politiche, alla salute e alla vita sessuale di una persona fisica, nonché altre informazioni personali suscettibili di ledere "in maniera significativa" la vita privata dell'interessato e che sono state prescritte essere informazioni sensibili mediante decreto presidenziale (74). Secondo i chiarimenti ricevuti dalla PIPC, il concetto di vita sessuale è interpretato comprendere anche l'orientamento o le preferenze sessuali di una persona fisica (75). L'articolo 18 del decreto di applicazione aggiunge inoltre ulteriori categorie all'ambito dei dati sensibili, in particolare le informazioni sul DNA acquisite mediante prove genetiche e i dati che costituiscono un casellario giudiziario. La recente modifica del decreto di applicazione della PIPA ha ampliato ulteriormente la nozione di dati sensibili, includendo anche i dati personali che rivelano l'origine razziale o etnica e le informazioni biometriche (76). A seguito di tale modifica, la nozione di dati sensibili ai sensi della legge sulla protezione delle informazioni personali è sostanzialmente equivalente a quella di cui all'articolo 9 del regolamento (UE) 2016/679.

(51)

Ai sensi dell'articolo 23, primo comma, della legge sulla protezione delle informazioni personali e analogamente a quanto previsto dall'articolo 9, paragrafo 1, del regolamento (UE) 2016/679, il trattamento dei dati sensibili è in genere vietato, fatto salvo il caso in cui si applichi una delle eccezioni elencate (77). Queste ultime limitano il trattamento ai casi in cui il titolare del trattamento informi l'interessato ai sensi degli articoli 15 e 17 della legge sulla protezione delle informazioni personali e ottenga un consenso distinto (ossia separato da quello per il trattamento di altri dati personali) oppure laddove il trattamento sia richiesto o consentito per legge. Le autorità pubbliche possono altresì trattare, sulla base dei fondamenti giuridici di cui sopra, informazioni biometriche, informazioni sul DNA acquisite da prove genetiche, informazioni personali che rivelano l'origine razziale o etnica e i dati che costituiscono un casellario giudiziario che sono disponibili in via esclusiva a tali autorità (ad esempio ove necessario per l'accertamento di reati o se necessario affinché un organo giurisdizionale possa procedere con una causa) (78). Di conseguenza le basi giuridiche disponibili per il trattamento di dati sensibili sono più limitate rispetto ad altri tipi di dati personali e sono persino più restrittive nel diritto coreano rispetto a quanto non lo siano ai sensi dell'articolo 9, paragrafo 2, del regolamento (UE) 2016/679.

(52)

Inoltre, l'articolo 23, secondo comma, della legge sulla protezione delle informazioni personali (il cui mancato rispetto può comportare sanzioni (79)) sottolinea la particolare importanza di garantire un'adeguata sicurezza durante il trattamento di dati sensibili affinché "non possano andare persi, venire rubati, divulgati, falsificati, alterati o danneggiati". Sebbene si tratti di un requisito generale ai sensi dell'articolo 29 della legge sulla protezione delle informazioni personali, l'articolo 3, quarto comma, chiarisce che il livello di sicurezza deve essere adattato al tipo di dati personali trattati, il che significa che occorre prendere in considerazione i rischi specifici connessi al trattamento di dati sensibili. Inoltre il trattamento dei dati deve essere sempre effettuato "in modo da ridurre al minimo la possibilità di violazione" della vita privata dell'interessato e, se possibile, "in forma anonima" (articolo 3, sesto e settimo comma, della legge sulla protezione delle informazioni personali). Tali requisiti sono particolarmente rilevanti laddove il trattamento riguardi dati sensibili.

(53)

I dati personali dovrebbero essere raccolti per una finalità specifica e in una maniera non incompatibile con la finalità del trattamento.

(54)

Tale principio è garantito dall'articolo 3, primo e secondo comma, della legge sulla protezione delle informazioni personali, secondo il quale il titolare del trattamento "specifica ed esplicita" la finalità del trattamento, tratta i dati personali in maniera adeguata rispetto a tale finalità e non li utilizza al di fuori di tale finalità. Il principio generale della limitazione delle finalità trova conferma anche nell'articolo 15, primo comma, nell'articolo 18, primo comma, nell'articolo 19 nonché, per i responsabili del trattamento (i cosiddetti outsourcee, ossia i fornitori esterni), nell'articolo 26, primo comma, punto 1 e nell'articolo 26, quinto e settimo comma, della legge sulla protezione delle informazioni personali. In particolare i dati personali possono in linea di principio essere utilizzati e forniti a terzi soltanto nell'ambito della finalità per la quale sono stati raccolti (articolo 15, primo comma, e articolo 17, primo comma, punto 2). Il trattamento per una finalità compatibile, ossia "all'interno di un contesto ragionevolmente connesso alla finalità iniziale della raccolta", può aver luogo soltanto se ciò non reca pregiudizio agli interessati coinvolti e se sono adottate le misure di sicurezza necessarie (quali la cifratura) (articolo 15, terzo comma, e articolo 17, quarto comma, della legge sulla protezione delle informazioni personali). Al fine di stabilire se l'ulteriore trattamento venga svolto per una finalità compatibile, il decreto di applicazione della PIPA elenca criteri specifici simili a quelli previsti dall'articolo 6, quarto comma, del regolamento (UE) 2016/679, cfr. considerando 36.

(55)

Come spiegato nel considerando 38, la finalità della raccolta nel caso in cui i titolari del trattamento coreani ricevano dati personali dall'Unione è la finalità per la quale i dati vengono trasferiti. Una modifica della finalità da parte del titolare del trattamento è consentita soltanto in via eccezionale, in casi specifici (elencati) (articolo 18, secondo comma, punto 1-3, della legge sulla protezione delle informazioni personali, cfr. anche considerando 39). Nella misura in cui una modifica di finalità è autorizzata dalla legge, tali leggi devono a loro volta rispettare il diritto fondamentale alla tutela della vita privata e alla protezione dei dati, nonché i principi di necessità e proporzionalità stabiliti nella costituzione coreana. Inoltre, l'articolo 18, secondo e quinto comma, della legge sulla protezione delle informazioni personali prevede garanzie supplementari, in particolare il requisito secondo il quale tale modifica di finalità non deve "violare ingiustamente l'interesse di un interessato", rendendo quindi sempre necessario un bilanciamento degli interessi. Ciò prevede un livello di protezione sostanzialmente equivalente a quello di cui all'articolo 5, primo comma, lettera b), e di cui all'articolo 6, in combinato disposto con il considerando 50, del regolamento (UE) 2016/679.

(56)

I dati personali dovrebbero essere esatti e, se necessario, dovrebbero essere aggiornati. Dovrebbero essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

(57)

Il principio di esattezza è analogamente riconosciuto all'articolo 3, terzo comma, della legge sulla protezione delle informazioni personali, che prescrive che i dati personali siano "esatti, completi e aggiornati nella misura necessaria in relazione alle finalità" per le quali sono trattati. La minimizzazione dei dati è prescritta ai sensi dell'articolo 3, primo e sesto comma, e dell'articolo 16, primo comma, della legge sulla protezione delle informazioni personali, che stabiliscono che il titolare del trattamento raccoglie dati personali (soltanto) "nella misura minima necessaria" per la finalità prevista e che a lui spetta l'onere della prova al riguardo. Laddove sia possibile adempiere la finalità della raccolta elaborando le informazioni in forma anonima, i titolari del trattamento dovrebbero sforzarsi di farlo (articolo 3, settimo comma, della legge sulla protezione delle informazioni personali).

(58)

In linea di principio i dati personali non dovrebbero essere conservati per un arco di tempo superiore a quanto necessario per il conseguimento delle finalità per le quali sono trattati.

(59)

Il principio della limitazione della conservazione è analogamente previsto dall'articolo 21, primo comma, della legge sulla protezione delle informazioni personali (80), che impone al titolare del trattamento di "distruggere" (81) i dati personali senza indugio una volta conseguita la finalità del trattamento o alla scadenza del periodo di conservazione (a seconda di quale circostanza si verifichi per prima), fatto salvo il caso in cui una conservazione ulteriore sia obbligatoria per legge (82). In quest'ultimo caso, i dati personali pertinenti "sono archiviati e gestiti separatamente dalle altre informazioni personali" (articolo 21, terzo comma, della legge sulla protezione delle informazioni personali).

(60)

L'articolo 21, primo comma, della legge sulla protezione delle informazioni personali non si applica quando i dati pseudonimizzati vengono trattati per finalità statistiche, di ricerca scientifica o di archiviazione nell'interesse pubblico (83). Al fine di assicurare il principio della conservazione limitata dei dati anche in questo caso, la notifica 2021-5 impone ai titolari del trattamento di anonimizzare le informazioni conformemente all'articolo 58-2 della legge sulla protezione delle informazioni personali laddove i dati non vengano distrutti una volta conseguita la finalità specifica perseguita dal trattamento (84).

(61)

I dati personali dovrebbero essere trattati in maniera da garantirne la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. A tal fine gli operatori economici dovrebbero adottare misure tecniche od organizzative per proteggere i dati personali da possibili minacce. Tali misure dovrebbero essere valutate tenendo conto dello stato dell'arte, dei costi correlati e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti delle persone fisiche.

(62)

Un principio analogo di sicurezza è stabilito all'articolo 3, quarto comma, della legge sulla protezione delle informazioni personali, che impone ai titolari del trattamento di gestire le informazioni personali "in maniera sicura secondo i metodi, le tipologie, ecc. di trattamento delle informazioni personali, tenendo conto della possibilità di violazione dei diritti dell'interessato e della gravità dei rischi pertinenti". Inoltre il titolare del trattamento "tratta le informazioni personali in maniera tale da ridurre al minimo la possibilità di violare la vita privata di un interessato" e, in tale contesto, si sforza di trattare i dati personali in formato anonimizzato o pseudonimizzato, se possibile (articolo 3, sesto e settimo comma, della legge sulla protezione delle informazioni personali).

(63)

Tali requisiti generali sono ulteriormente elaborati all'articolo 29 della legge sulla protezione delle informazioni personali, ai sensi del quale ciascun titolare del trattamento "adotta misure tecniche, gestionali e fisiche, quali definire un piano di gestione interno e conservare registrazioni di accesso, ecc., che sono necessarie per assicurare la sicurezza come prescritto mediante decreto presidenziale affinché le informazioni personali non possano andare perse, venire rubate, divulgate, falsificate, alterate o danneggiate". L'articolo 30, primo comma, del decreto di applicazione della PIPA specifica tali misure facendo riferimento a: 1) la formulazione e l'attuazione di un piano di gestione interno per il trattamento sicuro dei dati personali; 2) controlli e limitazioni all'accesso; 3) l'adozione di tecnologia di cifratura per archiviare e trasmettere in maniera sicura i dati personali; 4) registrazioni di accessi informatici; 5) programmi di sicurezza; e 6) misure fisiche quali un sistema sicuro di archiviazione o blocco (85).

(64)

Si applicano inoltre obblighi specifici qualora si verifichi una violazione dei dati (articolo 34 della legge sulla protezione delle informazioni personali in combinato disposto con gli articoli 39 e 40 del decreto di applicazione di tale legge) (86). In particolare il titolare del trattamento è tenuto a notificare senza indugio agli interessati lesi i dettagli della violazione (87), comprese informazioni in merito a contromisure (obbligatorie) adottate dal titolare del trattamento e alle azioni che gli interessati possono intraprendere per ridurre al minimo il rischio di danni (articolo 34, primo e secondo comma, della legge sulla protezione delle informazioni personali) (88). Laddove la violazione dei dati riguardi almeno 1 000 interessati, il titolare del trattamento deve segnalare senza indugio la violazione dei dati e le contromisure adottate anche alla PIPC e all'Agenzia coreana per la sicurezza e internet, che possono fornire assistenza tecnica (articolo 34, terzo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 39 del decreto di applicazione di tale legge). I titolari del trattamento rispondono per eventuali danni derivanti da violazioni dei dati, in conformità con le disposizioni del codice civile sulla responsabilità civile (cfr. altresì sezione 2.5 sul ricorso) (89).

(65)

Nel rispettare i suoi obblighi in materia di sicurezza, il titolare del trattamento deve essere assistito da un responsabile della tutela della vita privata, i cui compiti comprendono, tra gli altri, la creazione di un sistema di controllo interno destinato a "prevenire la divulgazione, l'abuso e l'uso improprio di informazioni personali" (articolo 31, secondo comma, punto 4, della legge sulla protezione delle informazioni personali). Inoltre il titolare del trattamento è tenuto a condurre "un controllo e una supervisione adeguati" sui membri del suo personale che trattano dati personali, anche per quanto concerne la loro gestione sicura; ciò comprende la formazione necessaria ("istruzione") dei dipendenti (articolo 28, primo e secondo comma, della legge sulla protezione delle informazioni personali). Infine, in caso di sub-trattamento, il titolare del trattamento deve imporre dei requisiti al fornitore esterno, tra l'altro per quanto concerne la gestione sicura dei dati personali ("garanzie tecniche e gestionali"), e deve controllare le corrispondenti modalità di attuazione tramite ispezioni (articolo 26, primo e quarto comma, PIPA in combinato disposto con l'articolo 28, primo comma, punti 3 e 4 e con l'articolo 28, sesto comma, del decreto di applicazione di tale legge).

(66)

Gli interessati dovrebbero essere informati dei principali aspetti del trattamento dei dati personali che li riguardano.

(67)

Il sistema coreano garantisce tale aspetto in diversi modi. A parte il diritto all'informazione ai sensi dell'articolo 4, primo comma (in generale) e dell'articolo 20, primo comma (per i dati personali raccolti da terzi), della legge sulla protezione delle informazioni personali, nonché il diritto di accesso ai sensi dell'articolo 35 della medesima legge, la legge in questione prevede un requisito generale di trasparenza per quanto concerne la finalità del trattamento (articolo 3, primo comma, della medesima legge) e requisiti specifici di trasparenza nel caso in cui il trattamento sia basato sul consenso (articolo 15, secondo comma, articolo 17, secondo comma, e articolo 18, terzo comma, della medesima legge) (90). Inoltre l'articolo 20, secondo comma, della legge sulla protezione delle informazioni personali impone a determinati titolari del trattamento (coloro il cui trattamento supera determinate soglie (91)) di notificare all'interessato quali dati personali hanno ricevuto da una terza parte della fonte di informazione, la finalità del trattamento e il diritto dell'interessato di richiedere una sospensione del trattamento, fatto salvo il caso in cui tale notifica si riveli impossibile in ragione della mancanza di informazioni di contatto. Si applicano eccezioni per determinati archivi di dati personali detenuti da autorità pubbliche, in particolare archivi che contengono dati trattati per finalità di sicurezza nazionale, altri interessi nazionali particolarmente importanti ("gravi") o finalità di contrasto penale oppure nei casi in cui la notifica può minacciare la vita o ledere l'incolumità di un'altra persona oppure ledere ingiustamente gli interessi patrimoniali e di altra natura di qualsiasi altra persona, tuttavia soltanto quando l'interesse pubblico e quello privato in gioco sono "manifestamente superiori" ai diritti degli interessati in questione (articolo 20, quarto comma, della legge sulla protezione delle informazioni personali). Ciò richiede un bilanciamento degli interessi.

(68)

L'articolo 3, quinto comma, della legge sulla protezione delle informazioni personali prescrive inoltre che i titolari del trattamento debbano rendere pubblica la loro politica in materia di tutela della vita privata (e altre questioni relative al trattamento dei dati personali). Tale requisito è ulteriormente specificato nell'articolo 30 della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 31 del decreto di applicazione di tale legge. Secondo tali disposizioni, la politica pubblica in materia di tutela della vita privata deve tra le altre cose comprendere: 1) i tipi di dati personali trattati; 2) la finalità del trattamento; 3) il periodo di conservazione; 4) se i dati personali sono forniti a una terza parte (92); 5) qualsiasi sub-trattamento; 6) informazioni sui diritti dell'interessato e sulle modalità per il loro esercizio; e 7) informazioni di contatto (compreso il nome del responsabile della tutela della vita privata o il dipartimento interno competente per l'assicurazione del rispetto delle norme in materia di protezione dei dati e di gestione dei reclami). La politica in materia di tutela della vita privata deve essere resa accessibile al pubblico in modo tale che gli interessati "possano riconoscerla facilmente" (articolo 30, secondo comma, della legge sulla protezione delle informazioni personali) (93) e deve essere costantemente aggiornata (articolo 31, secondo comma, del decreto di applicazione della PIPA).

(69)

Gli enti pubblici sono soggetti all'obbligo aggiuntivo di registrare in particolare le seguenti informazioni presso la PIPC: 1) il nome dell'ente pubblico; 2) i motivi e le finalità per il trattamento dei fascicoli di dati personali; 3) i dettagli dei dati personali registrati; 4) il metodo di trattamento; 5) il periodo di conservazione; 6) il numero di interessati i cui dati personali vengono conservati; 7) il dipartimento che gestisce le richieste degli interessati e 8) i destinatari dei dati personali quando i dati vengono forniti in maniera regolare o ripetitiva (articolo 32, primo comma, della legge sulla protezione delle informazioni personali) (94). I fascicoli dei dati personali registrati sono resi pubblici dalla PIPC e anche gli enti pubblici devono farvi riferimento nella loro politica in materia di tutela della vita privata (articolo 30, primo comma, e articolo 32, quarto comma, della legge sulla protezione delle informazioni personali).

(70)

Al fine di migliorare la trasparenza per gli interessati nell'Unione i cui dati personali vengono trasferiti in Corea ai sensi della presente decisione, la sezione 3, punti i) e ii), della notifica 2021-5 (allegato I) impone requisiti supplementari in materia di trasparenza. Innanzitutto nel ricevere dati personali dall'Unione ai sensi della presente decisione i titolari coreani del trattamento devono notificare agli interessati in questione senza indebito ritardo (e in ogni caso non oltre un mese dal trasferimento) il nome e i dettagli di contatto dei soggetti che effettuano il trasferimento e che ricevono le informazioni, i dati personali (o le categorie di dati personali) trasferiti, la finalità della raccolta da parte del titolare del trattamento coreano, del periodo di conservazione e dei diritti disponibili ai sensi della legge sulla protezione delle informazioni personali. In secondo luogo, quando forniscono a terzi dati personali ricevuti dall'Unione sulla base della presente decisione, i titolari del trattamento devono informare gli interessati tra l'altro in merito al destinatario, ai dati personali o alle categorie di dati personali oggetto della fornitura, il paese al quale i dati sono forniti (ove applicabile), nonché i diritti disponibili ai sensi della legge sulla protezione delle informazioni personali (95). In questo modo la notifica garantisce che le persone fisiche dell'UE continuino ad essere informate in merito ai titolari specifici del trattamento che trattano le loro informazioni e siano in grado di esercitare i loro diritti nei confronti dei soggetti pertinenti.

(71)

La sezione 3, punto iii), della notifica (allegato I) consente alcune eccezioni limitate e qualificate a tali obblighi aggiuntivi in materia di trasparenza che sono essenzialmente equivalenti a quelle previste dal regolamento (UE) 2016/679. In particolare la notifica degli interessati nell'Unione non è richiesta: 1) quando e purché sianecessario limitare la notifica per determinate ragioni di interesse pubblico (ad esempio, se le informazioni vengono trattate per finalità di sicurezza nazionale o indagini penali in corso), nella misura in cui tali obiettivi di interesse pubblico prevalgano in maniera manifesta sui diritti dell'interessato; 2) l'interessato dispone già delle informazioni; 3) se e fintantoché la notifica può minacciare la vita o ledere l'incolumità della persona fisica o di un'altra persona o violare ingiustamente gli interessi patrimoniali di un'altra persona, laddove tali diritti o interessi prevalgano manifestamente sui diritti dell'interessato; oppure 4) quando non siano disponibili dettagli di contatto per le persone fisiche interessate o sarebbe necessario uno sforzo sproporzionato per inviare loro una notifica. Ai fini della determinazione della possibilità o meno di contattare l'interessato o dell'eventualità che ciò implichi o meno sforzi eccessivi, è opportuno prendere in considerazione la possibilità di cooperare con l'esportatore di dati nell'UE.

(72)

Le norme di cui ai considerando da 67 a 71 assicurano pertanto un livello sostanzialmente equivalente di protezione in materia di trasparenza rispetto a quanto previsto dal regolamento (UE) 2016/679.

(73)

Gli interessati dovrebbero disporre di determinati diritti azionabili nei confronti del titolare del trattamento o del responsabile del trattamento, in particolare il diritto di accesso ai dati, il diritto di rettifica, il diritto di opporsi al trattamento e il diritto di far cancellare i dati. Allo stesso tempo tali diritti possono essere soggetti a limitazioni, nella misura in cui tali limitazioni sono necessarie e proporzionate per salvaguardare obiettivi importanti di interesse pubblico generale.

(74)

Ai sensi dell'articolo 3, quinto comma, della legge sulla protezione delle informazioni personali, il titolare del trattamento deve garantire i diritti degli interessati di cui all'articolo 4 della medesima legge e come ulteriormente specificato negli articoli da 35 a 37, 39 e 39-2 della medesima legge.

(75)

Innanzitutto alle persone fisiche spettano diritti all'informazione e all'accesso. Quando il titolare del trattamento ha raccolto dati personali da una terza parte (come accadrà sempre nel caso in cui i dati vengano trasferiti dall'Unione), in generale gli interessati hanno il diritto di ricevere informazioni in merito a: 1) la "fonte" dei dati personali raccolti (ossia il soggetto cedente); 2) la finalità del trattamento; e 3) il fatto che l'interessato ha il diritto di richiedere la sospensione del trattamento (articolo 20, primo comma, della legge sulla protezione delle informazioni personali). Si applicano eccezioni limitate, ossia laddove tale notifica possa minacciare la vita o compromettere l'incolumità di un'altra persona oppure "leda ingiustamente gli interessi patrimoniali e di altra natura" di un'altra persona, ma soltanto quando tali interessi di terzi "prevalgano esplicitamente" sui diritti dell'interessato (articolo 20, quarto comma, punto 2, della legge sulla protezione delle informazioni personali).

(76)

Inoltre l'articolo 35, primo e terzo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 41, quarto comma, del decreto di applicazione della medesima legge riconosce agli interessati il diritto di accesso alle loro informazioni personali (96). Il diritto di accesso riguarda la conferma del trattamento, informazioni in merito al tipo di dati trattati, la finalità del trattamento, il periodo di conservazione, nonché qualsiasi divulgazione a terzi e la fornitura di una copia delle informazioni personali trattate (articolo 4, terzo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 41, primo comma, del decreto di applicazione di tale legge) (97). L'accesso può essere limitato (accesso parziale) (98) o negato soltanto se ciò è previsto dalla legge (99), nei casi in cui potrebbe minacciare la vita o ledere l'incolumità di una terza parte oppure una violazione ingiustificata di interessi patrimoniali o di altra natura di un'altra persona (articolo 35, quarto comma, della legge sulla protezione delle informazioni personali) (100). Quest'ultima disposizione implica che si dovrebbe stabilire un equilibrio tra i diritti e le libertà protetti dalla costituzione della persona fisica, da un lato, e quelli di altre persone, dall'altro. Quando l'accesso è limitato o negato, il titolare del trattamento deve notificarne i motivi all'interessato e le modalità per impugnare tale decisione (articolo 41, quinto comma, e articolo 42, secondo comma, del decreto di applicazione della PIPA).

(77)

In secondo luogo gli interessati hanno il diritto alla correzione o alla cancellazione (101) dei loro dati personali "salvo quanto diversamente specificamente stabilito da altre leggi" (articolo 36, primo e secondo comma, della legge sulla protezione delle informazioni personali) (102). Al ricevimento di una richiesta, il titolare del trattamento deve esaminare la questione senza indugio, adottare le misure necessarie (103) e notificare l'interessato entro 10 giorni; qualora non sia possibile accogliere la richiesta, tale requisito di notifica riguarda i motivi del rifiuto e le modalità di impugnazione (cfr. articolo 36, quarto comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 43, terzo comma, del decreto di applicazione di tale legge) (104).

(78)

Infine gli interessati hanno il diritto alla sospensione del trattamento dei loro dati personali, senza indugio (105), fatto salvo il caso in cui si applichi una delle eccezioni enumerate (articolo 37, primo e secondo comma, della legge sulla protezione delle informazioni personali) (106). Il titolare del trattamento può respingere la richiesta: 1) se ciò è specificamente autorizzato dalla legge o necessario ("inevitabile") per rispettare obblighi giuridici; 2) laddove la sospensione potrebbe minacciare la vita o ledere l'incolumità di una terza parte oppure causare una violazione ingiustificata di interessi patrimoniali e di altra natura di un'altra persona; 3) laddove sarebbe impossibile per un ente pubblico assolvere la sua funzione come prescritto dalla legge in assenza del trattamento delle informazioni in questione; oppure 4) laddove l'interessato non risolva espressamente il contratto sottostante stipulato con il titolare del trattamento anche se sarebbe impossibile dare esecuzione al contratto in assenza di tale trattamento dei dati. In questo caso il titolare del trattamento deve notificare senza indugio all'interessato i motivi del rifiuto e le modalità di impugnazione (articolo 37, secondo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 44, secondo comma, del decreto di applicazione di tale legge). Conformemente all'articolo 37, quarto comma, della legge sulla protezione delle informazioni personali, il titolare del trattamento deve, senza indugio, "adottare misure necessarie compresa la distruzione delle informazioni personali pertinenti" quando si conforma alla richiesta di sospensione (107).

(79)

Il diritto alla sospensione si applica anche nei casi in cui i dati personali vengono utilizzati per finalità di marketing diretto, ossia per promuovere beni o servizi oppure sollecitarne l'acquisto. Inoltre tale ulteriore trattamento richiede in genere il consenso specifico (aggiuntivo) dell'interessato (cfr. articolo 15, primo comma, punto 1, e articolo 17, secondo comma, punto 1, della legge sulla protezione delle informazioni personali) (108). Quando richiede tale consenso, il titolare del trattamento deve informare l'interessato in particolare in merito all'uso previsto dei dati per finalità di marketing diretto, ossia in merito al fatto che i) può essere contattato per la promozione di beni o servizi o per sollecitarne l'acquisto, in un "modo esplicitamente riconoscibile" (articolo 22, secondo e quarto comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 17, secondo comma, punto 1, del decreto di applicazione di tale legge).

(80)

Al fine di facilitare l'esercizio dei diritti individuali, il titolare del trattamento deve stabilire procedure dedicate ed annunciarle pubblicamente (articolo 38, quarto comma, della legge sulla protezione delle informazioni personali) (109). Ciò comprende procedure destinate ad aumentare le obiezioni contro la negazione di una richiesta (articolo 38, quinto comma, della legge sulla protezione delle informazioni personali). Il titolare del trattamento deve assicurare che la procedura per esercitare i diritti sia "agevole per gli interessati" e non sia più difficile rispetto a quella per la raccolta dei dati personali; ciò comporta altresì l'obbligo di fornire informazioni su tale procedura sul suo sito web (articolo 41, secondo comma, articolo 43, primo comma, e articolo 44, primo comma, del decreto di applicazione della PIPA) (110). Le persone fisiche possono autorizzare un rappresentante a presentare una tale richiesta (articolo 38, primo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 45 del decreto di applicazione di tale legge). Sebbene il titolare del trattamento abbia il diritto di imporre una commissione (e, in caso di richiesta di invio di copie di dati personali a mezzo posta, di addebitare le spese di affrancatura), l'ammontare corrispondente deve essere determinato "nel rispetto delle spese effettive necessarie per l'elaborazione del[la richiesta]"; non può essere imposta alcuna commissione (né spesa di affrancatura) qualora la richiesta sia imputabile al titolare del trattamento (articolo 38, terzo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 47 del decreto di applicazione di tale legge).

(81)

La legge sulla protezione delle informazioni personali e il suo decreto di applicazione non contengono disposizioni generali che affrontano la questione delle decisioni riguardanti l'interessato basate unicamente sul trattamento automatizzato di dati personali. Tuttavia, per quanto riguarda i dati personali raccolti nell'Unione, qualsiasi decisione basata sul trattamento automatizzato sarà generalmente presa dal titolare del trattamento nell'Unione (che ha un rapporto diretto con l'interessato) ed è, di conseguenza, soggetta al regolamento (UE) 2016/679 (111). Ciò comprende i casi di trasferimento in cui il trattamento è effettuato da un operatore economico straniero (ad esempio, coreano) che agisce in qualità di agente (responsabile del trattamento) per conto del titolare del trattamento stabilito nell'Unione (o come responsabile del trattamento in seconda battuta che agisce per conto del responsabile del trattamento dell'Unione, che ha ricevuto i dati dal titolare del trattamento dell'Unione che li ha raccolti) che, su questa base, prende la decisione. È pertanto improbabile che l'assenza di norme specifiche relative al processo decisionale automatizzato nella legge sulla protezione delle informazioni personali incida sul livello di protezione dei dati personali trasferiti ai sensi della presente decisione.

(82)

In via eccezionale, le disposizioni relative alla trasparenza su richiesta (articolo 20) e ai diritti individuali (articoli da 35 a 37), nonché il requisito di notifica individuale per i fornitori di servizi di informazione e di comunicazione (articolo 39-8 della legge sulla protezione delle informazioni personali), non si applicano alle informazioni pseudonimizzate, quando queste ultime vengono trattate per finalità di compilazione di statistiche, di ricerca scientifica o di archiviazione nell'interesse pubblico (articolo 28-7 della legge sulla protezione delle informazioni personali) (112). In linea con l'approccio di cui all'articolo 11, paragrafo 2, (in combinato disposto con il considerando 57) del regolamento (UE) 2016/679, ciò è giustificato dal fatto che, per garantire la trasparenza o concedere i diritti individuali, il titolare del trattamento dovrebbe stabilire se una parte qualsiasi dei dati (e in caso affermativo, quali) è correlata alla persona che formula la richiesta, una circostanza questa espressamente vietata nella legge sulle imprese di telecomunicazione (articolo 28-5, primo comma). Inoltre, laddove tale reidentificazione comporti l'annullamento della pseudonimizzazione per l'intera serie di dati (pseudonimizzati), ciò esporrebbe le informazioni personali di tutte le altre persone fisiche interessate a un aumento dei rischi. Considerando che il regolamento (UE) 2016/679 fa riferimento a circostanze nelle quali una reidentificazione è praticamente impossibile, la legge sulla protezione delle informazioni personali adotta un approccio più rigoroso vietando espressamente la reidentificazione in tutte le situazioni nelle quali vengono trattate informazioni pseudonimizzate.

(83)

Il sistema coreano, come descritto nei considerando da 74 a 82, contiene pertanto norme sui diritti in materia di dati che forniscono un livello di protezione essenzialmente equivalente a quello previsto dal regolamento (UE) 2016/679.

(84)

Il livello di protezione offerto ai dati personali trasferiti dall'Unione verso titolari del trattamento nella Repubblica di Corea non deve essere compromesso da ulteriori trasferimenti di tali dati a destinatari che si trovano in un paese terzo.

(85)

Tali "trasferimenti successivi" costituiscono trasferimenti internazionali dalla Repubblica di Corea dalla prospettiva del titolare del trattamento coreano. A tale riguardo la legge sulla protezione delle informazioni personali distingue tra l'esternalizzazione del trattamento a un fornitore esterno (ossia un responsabile del trattamento) e la fornitura di dati personali a terzi (113).

(86)

Innanzitutto, quando il trattamento dei dati personali è esternalizzato a un soggetto situato in un paese terzo, il titolare del trattamento coreano deve garantire il rispetto delle disposizioni della legge sulla protezione delle informazioni personali in materia di esternalizzazione (articolo 26). Ciò comprende la messa in atto di uno strumento giuridicamente vincolante che tra gli altri limita il trattamento da parte del fornitore esterno alla finalità del lavoro esternalizzato, impone l'adozione di garanzie tecniche e gestionali e limita il sub-trattamento (cfr. articolo 26, primo comma, della legge sulla protezione delle informazioni personali); nonché la pubblicazione di informazioni in merito al lavoro esternalizzato. Il titolare del trattamento è inoltre tenuto a "istruire" il fornitore esterno in merito alle misure di sicurezza necessarie, nonché a controllare, anche mediante ispezioni, il rispetto di tutti gli obblighi spettanti al titolare del trattamento ai sensi della legge sulla protezione delle informazioni personali (114) e quelli derivanti dal contratto di esternalizzazione.

(87)

Se il fornitore esterno provoca danni mediante il trattamento di dati personali in violazione della legge sulla protezione delle informazioni personali, tali danni saranno imputati al titolare del trattamento ai fini della responsabilità, come accadrebbe nel caso di dipendenti del titolare del trattamento (articolo 26, sesto comma, di tale legge). Il titolare del trattamento coreano rimane quindi responsabile per i dati personali esternalizzati e deve assicurare che il responsabile del trattamento straniero tratti le informazioni in conformità con legge sulla protezione delle informazioni personali. Se il fornitore esterno tratta le informazioni in violazione della legge sulla protezione delle informazioni personali, il titolare del trattamento coreano può essere ritenuto responsabile per mancato rispetto del suo obbligo di assicurare il rispetto della legge sulla protezione delle informazioni personali, ad esempio esercitando un controllo sul fornitore esterno. Le garanzie incluse nel contratto di esternalizzazione e la responsabilità del titolare del trattamento coreano per le azioni del fornitore esterno garantiscono la continuità della protezione quando il trattamento dei dati personali è esternalizzato a un soggetto situato al di fuori della Corea.

(88)

In secondo luogo i titolari del trattamento coreani possono fornire dati personali a una terza parte situata al di fuori della Corea. Sebbene la legge sulla protezione delle informazioni personali comprenda una serie di fondamenti giuridici che consentono la fornitura a terzi in generale, se la terza parte si trova al di fuori della Corea, in linea di principio (115) il titolare del trattamento deve ottenere il consenso (116) dell'interessato dopo avergli fornito informazioni in merito: 1) al tipo di dati personali; 2) al destinatario dei dati personali; 3) alla finalità del trasferimento nel senso della finalità di trattamento perseguita dal destinatario; 4) al periodo di conservazione per il trattamento da parte del destinatario, nonché 5) al fatto che l'interessato possa negare il consenso (articolo 17, secondo e terzo comma, della legge sulla protezione delle informazioni personali). La notifica 2021-5, nella sua sezione sulla trasparenza (cfr. considerando 70), impone che le persone fisiche vengano informate in merito al paese terzo al quale verranno forniti i loro dati. Ciò garantisce che gli interessati nell'Unione possano adottare una decisione pienamente informata in merito all'eventualità di prestare o meno il consenso a una fornitura dei dati all'estero. Inoltre il titolare del trattamento non deve stipulare un contratto con il destinatario terzo in violazione della legge sulla protezione delle informazioni personali, il che significa che il contratto non deve contenere obblighi in contraddizione con i requisiti imposti da tale legge al titolare del trattamento (117).

(89)

Senza il consenso della persona fisica, i dati personali possono essere forniti a una terza parte (all'estero) laddove la finalità della divulgazione rimanga "all'interno di un ambito di applicazione ragionevolmente correlato" alla finalità iniziale della raccolta (articolo 17, quarto comma, della legge sulla protezione delle informazioni personali - cfr. considerando 36). Tuttavia nel decidere se divulgare (o meno) i dati personali per una finalità "correlata", il titolare del trattamento deve valutare se la divulgazione provoca svantaggi alla persona fisica e se sono state adottate le misure di sicurezza necessarie (come la cifratura). Dato che il paese terzo verso il quale i dati personali vengono trasferiti potrebbe non offrire protezioni analoghe a quelle fornite nella legge sulla protezione delle informazioni personali, la sezione 2 della notifica 2021-5 riconosce che tali svantaggi possono insorgere e possono essere evitati soltanto se il titolare del trattamento coreano e il destinatario all'estero, attraverso uno strumento giuridicamente vincolante (come un contratto), assicurano un livello di protezione equivalente a detta legge, anche rispetto ai diritti degli interessati.

(90)

Norme speciali si applicano alla divulgazione "al di fuori della finalità", ossia la fornitura di dati a terzi per una finalità nuova (non correlata), che può avvenire soltanto in ragione di uno dei motivi di cui all'articolo 18, secondo comma, della legge sulla protezione delle informazioni personali come illustrato al considerando 39. Tuttavia, anche in tali condizioni, la fornitura a terzi è esclusa se è probabile che "violi ingiustamente" gli interessi dell'interessato o di una terza parte, di conseguenza è necessario stabilire un equilibrio tra gli interessi. Inoltre, ai sensi dell'articolo 18, quinto comma, della legge sulla protezione delle informazioni personali, il titolare del trattamento deve applicare ulteriori garanzie, che possono comprendere il richiedere alla terza parte di limitare la finalità e il metodo di trattamento oppure di mettere in atto misure di sicurezza specifiche. Ancora una volta, dato che il paese terzo verso il quale i dati personali vengono trasferiti potrebbe non offrire protezioni analoghe a quelle fornite nella legge sulla protezione delle informazioni personali, la sezione 2 della notifica 2021-5 riconosce che può verificarsi una "violazione ingiusta" degli interessi della persona fisica o di una terza e che ciò può essere evitato soltanto se il titolare del trattamento coreano e il destinatario all'estero, attraverso uno strumento giuridicamente vincolante (come un contratto), assicurano un livello di protezione equivalente a detta legge, anche rispetto ai diritti degli interessati.

(91)

Le norme di cui ai considerando da 86 a 90 assicurano pertanto la continuità della protezione quando i dati personali vengono ulteriormente trasferiti (a un "fornitore esterno" o a una terza parte) dalla Repubblica di Corea in un modo che è essenzialmente equivalente a quanto previsto dal regolamento (UE) 2016/679.

(92)

Secondo il principio di responsabilizzazione, i soggetti che trattano dati sono tenuti a mettere in atto misure tecniche e organizzative adeguate per rispettare efficacemente i loro obblighi in materia di protezione dei dati e per essere in grado di dimostrare tale rispetto, in particolare all'autorità di controllo competente.

(93)

Ai sensi dell'articolo 3, sesto e ottavo comma, della legge sulla protezione delle informazioni personali, il titolare del trattamento deve trattare i dati personali "in maniera tale da ridurre al minimo la possibilità di violare" la vita privata dell'interessato e deve sforzarsi di ottenere la fiducia dell'interessato rispettando e adempiendo i doveri e le responsabilità di cui alla legge sulla protezione delle informazioni personali ed altre leggi correlate. Ciò comprende l'istituzione di un piano di gestione interno (articolo 29 della legge sulla protezione delle informazioni personali), nonché una formazione e un controllo adeguati del personale (articolo 28 della medesima legge).

(94)

Come mezzo per assicurare la responsabilizzazione, l'articolo 31 della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 32 del decreto di applicazione di tale legge crea l'obbligo per i titolari del trattamento di designare un responsabile della tutela della vita privata che "si assuma la responsabilità complessiva del trattamento delle informazioni personali". In particolare tale responsabile della tutela della vita privata è incaricato dello svolgimento delle seguenti funzioni: 1) definizione e attuazione di un piano di protezione dei dati personali e redazione della politica in materia di tutela della vita privata; 2) conduzione di indagini periodiche sullo stato e sulle prassi di trattamento dei dati personali, al fine di porre rimedio a eventuali carenze; 3) gestione dei reclami e risarcimento riparatorio; 4) istituzione di un sistema di controllo interno per prevenire la divulgazione, l'abuso o l'uso improprio dei dati personali; 5) preparazione e attuazione di un programma di istruzione; 6) protezione, controllo e gestione di fascicoli di dati personali; e 7) distruzione di dati personali una volta conseguita la finalità prevista per il trattamento o scaduto il periodo di conservazione. Nello svolgere tali compiti, il responsabile della tutela della vita privata può ispezionare lo stato del trattamento dei dati personali e i relativi sistemi e può richiedere informazioni in merito (articolo 31, terzo comma, della legge sulla protezione delle informazioni personali). Se il responsabile della tutela della vita privata viene a conoscenza di qualsiasi violazione di legge sulla protezione delle informazioni personali o di altre leggi pertinenti per la protezione dei dati, attua immediatamente misure correttive e segnala tali misure alla dirigenza ("capo") del titolare del trattamento, se necessario (articolo 31, quarto comma, di tale legge). Ai sensi dell'articolo 31, quinto comma, della legge sulla protezione delle informazioni personali, il responsabile della tutela della vita privata non deve subire svantaggi ingiustificati in conseguenza dello svolgimento di tali funzioni.

(95)

Inoltre i titolari del trattamento devono tentare proattivamente di condurre una valutazione dell'impatto sulla vita privata nel caso in cui il funzionamento dei fascicoli di dati personali implichi un rischio per la vita privata (articolo 33, ottavo comma, della legge sulla protezione delle informazioni personali). Sulla base dell'articolo 33, primo e secondo comma, della legge sulla protezione delle informazioni personali in combinato disposto con gli articoli 35, 36 e 38 del decreto di applicazione di tale legge, fattori quali il tipo e la natura dei dati trattati (in particolare se costituiscono informazioni sensibili), il loro volume, il periodo di conservazione e la probabilità di violazioni dei dati saranno rilevanti ai fini della valutazione del grado di rischio per i diritti degli interessati. La valutazione dell'impatto sulla vita privata mira ad assicurare l'analisi dei fattori di rischio per la vita privata nonché di qualsiasi misura di sicurezza o altra contromisura, così come a rilevare le questioni che necessitano di miglioramento (cfr. articolo 33, primo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 38 del decreto di applicazione di tale legge).

(96)

Gli enti pubblici sono soggetti all'obbligo di svolgere una valutazione d'impatto quando trattano determinati fascicoli di dati personali che presentano un rischio più elevato di possibili violazioni in materia di vita privata (articolo 33, primo comma, del primo comma, della legge sulla protezione delle informazioni personali). Conformemente all'articolo 35 del decreto di applicazione della PIPA, ciò si verifica tra l'altro per i fascicoli che contengono informazioni sensibili riguardanti almeno 50 000 interessati, i fascicoli che saranno associati ad altri fascicoli e, di conseguenza, conterranno informazioni in merito ad almeno 500 000 interessati oppure i fascicoli che contengono informazioni su almeno un milione di interessati. Il risultato di una valutazione d'impatto condotta da un ente pubblico deve essere comunicato alla PIPC (articolo 33, primo comma, della legge sulla protezione delle informazioni personali), che può fornire il suo parere (articolo 33, terzo comma, della medesima legge).

(97)

Infine l'articolo 13 della legge sulla protezione delle informazioni personali prevede che la PIPC definisca politiche necessarie per promuovere e sostenere "attività di protezione dei dati in autoregolamentazione" da parte del titolare del trattamento, tra l'altro attraverso l'istruzione in materia di protezione dei dati, la promozione e il sostegno a favore delle organizzazioni impegnate nella protezione dei dati nonché fornendo assistenza ai titolari del trattamento nella definizione e nell'attuazione di norme di autoregolamentazione. Inoltre deve introdurre e facilitare il sistema di marchio ePRIVACY. A tale proposito, l'articolo 32-2 della legge sulla protezione delle informazioni personali in combinato disposto con gli articoli da 34-2 a 34-8 del decreto di applicazione di tale legge prevede la possibilità di certificare che il sistema o i sistemi di protezione e di trattamento dei dati personali del titolare del trattamento rispettano i requisiti di cui a detta legge. Secondo tali norme, una certificazione (118) può essere concessa (per un periodo di 3 anni) se il titolare del trattamento soddisfa i criteri di certificazione stabiliti dalla PIPC, compresa la definizione di garanzie gestionali, tecniche e fisiche per proteggere i dati personali (119). La PIPC deve esaminare i sistemi del titolare del trattamento pertinenti per la certificazione almeno una volta l'anno per mantenerne l'efficacia, che può portare alla revoca della certificazione (articolo 32, quarto comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 34-5 del decreto di applicazione di tale legge; la cosiddetta "gestione del seguito").

(98)

Il quadro coreano attua pertanto il principio di responsabilizzazione in un modo che garantisce un livello di protezione essenzialmente equivalente a quello del regolamento (UE) 2016/679, anche previa fornitura di meccanismi diversi per garantire e dimostrare la conformità rispetto alla legge sulla protezione delle informazioni personali.

(99)

Come illustrato al considerando 13 la legge sulle informazioni creditizie stabilisce norme specifiche per il trattamento di informazioni creditizie personali da parte degli operatori commerciali. Durante il trattamento di informazioni creditizie personali gli operatori commerciali devono quindi rispettare i requisiti generali della legge sulla protezione delle informazioni personali, fatto salvo il caso in cui la legge sulle informazioni creditizie contenga norme più specifiche. Ciò si verificherà ad esempio quando trattano informazioni relative a una carta di credito o un conto bancario nel contesto di un'operazione commerciale con una persona fisica. Come legislazione settoriale per il trattamento di informazioni creditizie (personali e non personali), la legge sulle informazioni creditizie non impone soltanto garanzie specifiche in materia di protezione dei dati (ad esempio in termini di trasparenza e sicurezza), ma anche più in generale le circostanze specifiche nelle quali si possono trattare informazioni creditizie personali. Ciò si rispecchia in particolare nei requisiti dettagliati per l'uso, la fornitura di dati a una terza parte e la conservazione di tali dati.

(100)

Come per la legge sulla protezione delle informazioni personali, la legge sulle informazioni creditizie rispecchia il principio di liceità e proporzionalità. Innanzitutto, come requisito generale, l'articolo 15, primo comma, della legge sulle informazioni creditizie consente soltanto la raccolta di informazioni creditizie personali con mezzi ragionevoli ed equi e nella misura minima possibile misura inferiore necessaria per soddisfare una finalità specificata, conformemente all'articolo 3, primo e secondo comma, della legge sulla protezione delle informazioni personali. In secondo luogo, la legge sulle informazioni creditizie disciplina specificamente la liceità del trattamento di informazioni creditizie personali, limitandone la raccolta, l'uso e la fornitura a una terza parte e in generale correlando tali attività di trasformazione al requisito del consenso della persona interessata.

(101)

Le informazioni creditizie personali possono essere raccolte in base a uno dei motivi forniti dalla legge sulla protezione delle informazioni personali o su un motivo specifico stabilito nella legge sulle informazioni creditizie. Dato che l'articolo 45 del regolamento (UE) 2016/679 presuppone un trasferimento di dati personali da parte di un titolare o di un responsabile del trattamento nell'Unione, ma non riguarda la raccolta diretta (ad esempio da una persona fisica o tramite un sito web) da un titolare del trattamento in Corea, soltanto il consenso e i motivi previsti nella legge sulla protezione delle informazioni personali sono pertinenti per la presente decisione. Tra tali motivi figurano in particolare gli scenari nei quali il trasferimento è necessario per dare esecuzione a un contratto con la persona fisica o in virtù degli interessi legittimi del titolare del trattamento coreano (articolo 15, primo comma, punti 4 e 6, della legge sulla protezione delle informazioni personali) (120).

(102)

Una volta raccolte, le informazioni creditizie personali possono essere utilizzate 1) per la finalità originale per la quale erano state fornite (direttamente) dalla persona fisica (121); 2) per una finalità compatibile con quella originale della raccolta (122); 3) per decidere se stabilire o mantenere una relazione commerciale richiesta dalla persona fisica (123); 4) per finalità di compilazione di statistiche, di ricerca e di archiviazione nell'interesse pubblico (124) se le informazioni sono pseudonimizzate (125); 5) se si ottiene un ulteriore consenso oppure 6) in conformità con la legge.

(103)

Se un operatore commerciale intende divulgare informazioni creditizie personali a una terza parte, deve ottenere il consenso della persona fisica (126) dopo averla informata in merito al destinatario dei dati, alla finalità del trattamento da parte del destinatario, ai dettagli dei dati da fornire, al periodo di conservazione del destinatario e al diritto di negare il consenso (articolo 32, primo comma, della legge sulle informazioni creditizie e articolo 28, secondo comma, del decreto di applicazione di tale legge) (127). Tale requisito di consenso non si applica in situazioni specifiche, ossia laddove vengano divulgate informazioni creditizie personali (128): 1) a un fornitore esterno per finalità di esternalizzazione (129); 2) a una terza parte in caso di trasferimento, divisione o fusione aziendale; 3) per finalità di compilazione di statistiche, di ricerca e di archiviazione nell'interesse pubblico se le informazioni sono pseudonimizzate; 4) per una finalità compatibile con quella originale della raccolta; 5) a una terza parte che utilizza le informazioni per recuperare un credito vantato nei confronti della persona fisica (130); 6) per rispettare l'ordinanza di un organo giurisdizionale; 7) a un pubblico ministero/funzionario della polizia giudiziaria in caso di emergenza, qualora la vita della persona fisica sia in pericolo o si prevede che quest'ultima possa subire lesioni personali e non vi è il tempo per il rilascio di un mandato giudiziario (131); 8) alle autorità fiscali competenti per rispettare le leggi in materia di tassazione; o 9) in conformità con altre leggi. In caso di divulgazione sulla base di uno di questi motivi, l'interessato deve ricevere una notifica preventiva (articolo 32, settimo comma, della legge sulle informazioni creditizie).

(104)

La legge sulle informazioni creditizie disciplina inoltre in maniera specifica la durata del trattamento delle informazioni creditizie personali sulla base di uno di tali motivi per l'uso o la fornitura a terzi dopo la fine della relazione commerciale con la persona fisica (132). Si possono conservare soltanto le informazioni necessarie per stabilire o mantenere tale relazione, previo rispetto di garanzie supplementari (le informazioni devono essere conservate separatamente dalle informazioni creditizie relative a persone fisiche con le quali è in corso una relazione commerciale, essere protette mediante misure di sicurezza specifiche ed essere accessibili soltanto a persone fisiche autorizzate) (133). Tutti gli altri dati devono essere cancellati (articolo 17-2, primo comma, punto 2, del decreto di applicazione della CIA). Ai fini della determinazione dei dati necessari per la relazione commerciale, occorre prendere in considerazione diversi fattori, compresa l'eventualità che sia possibile stabilire la relazione in assenza dei dati in questione e che si faccia riferimento direttamente ai beni o servizi forniti alla persona fisica (articolo 17-2, secondo comma, del decreto di applicazione della CIA).

(105)

Anche nei casi in cui possono in linea di principio essere conservate oltre la fine della relazione commerciale, le informazioni creditizie personali devono essere cancellate entro tre mesi dal conseguimento della finalità ulteriore del trattamento (134) o, in ogni caso, dopo cinque anni (articolo 20-2 della legge sulle informazioni creditizie). In un numero limitato di circostanze, le informazioni creditizie personali possono essere conservate per più di cinque anni, in particolare laddove ciò sia necessario per adempiere un obbligo legale; laddove ciò sia necessario per gli interessi vitali relativi alla vita, all'incolumità o al patrimonio di una persona fisica; per l'archiviazione di informazioni pseudonimizzate (utilizzate per finalità di ricerca scientifica, di compilazione di statistiche o di archiviazione nell'interesse pubblico); oppure per finalità assicurative (in particolare per i pagamenti assicurativi o per prevenire frodi assicurative) (135). In questi casi eccezionali, si applicano garanzie specifiche (quali la notifica alla persona fisica dell'uso ulteriore, la separazione delle informazioni conservate da quelle relative a persone fisiche con le quali è ancora in essere una relazione commerciale o la limitazione di diritti di accesso, cfr. articolo 17-2, primo e secondo comma, del decreto di applicazione della CIA).

(106)

La legge sulle informazioni creditizie specifica altresì ulteriormente i principi di esattezza e qualità dei dati, prescrivendo che le informazioni creditizie personali siano "registrate, modificate e gestite" in maniera da preservarne l'esattezza e l'aggiornamento (articolo 18, primo comma, della legge sulle informazioni creditizie e articolo 15, terzo comma, del decreto di applicazione della CIA) (136). Quando forniscono informazioni creditizie a determinati altri soggetti (quali le agenzie di rating del credito), gli operatori commerciali sono inoltre specificamente tenuti a verificare l'accuratezza delle informazioni per garantire che soltanto informazioni esatte vengano registrate e gestite dal destinatario (articolo 15, primo comma, del decreto di applicazione della CIA, in combinato disposto con l'articolo 18, primo comma, di tale legge). Più in generale la legge sulle informazioni creditizie prescrive la tenuta di registri sulla raccolta, sull'uso, sulla divulgazione a terzi e sulla distruzione di informazioni creditizie personali (articolo 20, secondo comma, della legge sulle informazioni creditizie) (137).

(107)

Inoltre il trattamento di informazioni creditizie personali è soggetto a requisiti specifici rispetto alla sicurezza dei dati. In particolare la legge sulle informazioni creditizie richiede l'attuazione di misure tecnologiche, fisiche e organizzative per impedire l'accesso illecito a sistemi informatici nonché l'alterazione, la distruzione o qualsiasi altro rischio per i dati trattati (ad esempio mediante controlli di accesso, cfr. articolo 19 della legge sulle informazioni creditizie e articolo 16 decreto del decreto di applicazione di tale legge). Inoltre, quando si scambiano informazioni creditizie personali con una terza parte, è necessario concludere un accordo che stabilisce misure di sicurezza specifiche (articolo 19, secondo comma, della legge sulle informazioni creditizie). Se si verifica una violazione delle informazioni creditizie personali, è necessario adottare misure per ridurre al minimo qualsiasi danno e le persone fisiche interessate devono riceverne notifica senza indugio (articolo 39-4, primo e secondo comma, della legge sulle informazioni creditizie). Inoltre si deve informare la PIPC in merito alla notifica fornita alle persone fisiche e alle misure che sono state attuate (articolo 39-4, quarto comma, della legge sulle informazioni creditizie).

(108)

La legge sulle informazioni creditizie impone altresì obblighi di trasparenza specifici quando si ottiene il consenso per l'uso o la fornitura di informazioni creditizie personali (articolo 32, quarto comma, e articolo 34-2, della legge sulle informazioni creditizie nonché articolo 30-3 del decreto di applicazione di tale legge) e, più in generale, prima di fornire informazioni a terzi (articolo 32, settimo comma, della legge sulle informazioni creditizie) (138). Inoltre le persone fisiche hanno il diritto, su richiesta, di ottenere informazioni sull'uso e sulla fornitura a terzi di loro informazioni creditizie nei tre anni antecedenti la richiesta (compresa la finalità e le date di tale uso/fornitura) (139).

(109)

Ai sensi della legge sulle informazioni creditizie, le persone fisiche hanno altresì il diritto di accedere alle loro informazioni creditizie personali (articolo 38, primo comma, della legge sulle informazioni creditizie) e di ottenere una correzione di dati inesatti (articolo 38, secondo e terzo comma, della legge sulle informazioni creditizie) (140). Inoltre, oltre al diritto generale alla cancellazione ai sensi della legge sulla protezione delle informazioni personali (cfr. considerando 77), la legge sulle informazioni creditizie prevede un diritto specifico di cancellazione delle informazioni creditizie personali conservate oltre i periodi di conservazione menzionati nel considerando 104, ossia cinque anni (per informazioni creditizie personali necessarie per stabilire o mantenere una relazione commerciale) o tre mesi (per altri tipi di informazioni creditizie personali) (141). Una richiesta di cancellazione può essere rifiutata in via eccezionale qualora sia necessaria una conservazione ulteriore nelle circostanze di cui al considerando 105. Se una persona fisica richiede la cancellazione, ma si applica una delle eccezioni, le garanzie specifiche devono essere applicate alle informazioni creditizie interessate (articolo 38-3, terzo comma, della legge sulle informazioni creditizie e articolo 33-3 del decreto di applicazione di tale legge). Ad esempio le informazioni devono essere conservate in maniera separata dalle altre informazioni, possono essere accessibili soltanto da parte di una persona autorizzata e devono essere soggette a misure di sicurezza specifiche.

(110)

Oltre ai diritti di cui al considerando 109, la legge sulle informazioni creditizie garantisce alle persone fisiche il diritto di richiedere a un titolare del trattamento di smettere di contattarle per finalità di marketing diretto (articolo 37, secondo comma, di tale legge) e il diritto alla portabilità dei dati. Per quanto concerne quest'ultimo caso, la legge sulle informazioni creditizie consente alle persone fisiche di richiedere la trasmissione delle loro informazioni creditizie personali a sé stesse o a talune terze parti (quali enti finanziari e imprese del rating di credito). Le informazioni creditizie personali devono essere trattate e trasmesse alla terza parte in un formato che può essere trattato da un dispositivo di trattamento delle informazioni (come un computer).

(111)

Nella misura in cui la legge sulle informazioni creditizie contiene norme specifiche rispetto alla legge sulla protezione delle informazioni personali, la Commissione ritiene pertanto che anche tali norme garantiscano un livello di protezione sostanzialmente equivalente a quella offerta ai sensi del regolamento (UE) 2016/679.

(112)

Al fine di garantire un livello adeguato di protezione dei dati nella pratica, dovrebbe esistere un'autorità di controllo indipendente cui siano conferiti i poteri di monitorare e assicurare il rispetto delle norme in materia di protezione dei dati. Tale autorità dovrebbe agire in piena indipendenza e imparzialità nell'esercizio delle proprie funzioni e dei propri poteri.

(113)

Nella Repubblica di Corea l'autorità indipendente incaricata di monitorare e assicurare il rispetto della legge sulla protezione delle informazioni personali è la PIPC. La PIPC è composta da un presidente, un vicepresidente e sette commissari. Il presidente e il vicepresidente sono nominati dal presidente della Repubblica di Corea su raccomandazione del primo ministro. Per quanto concerne i commissari, due sono nominati dal presidente della Repubblica di Corea su raccomandazione del presidente della commissione mentre cinque sono nominati su raccomandazione dell'Assemblea nazionale (di cui due su raccomandazione del partito politico al quale appartiene il presidente della Repubblica di Corea, mentre i tre membri rimanenti sono nominati su raccomandazione di altri partiti politici (articolo 7-2, secondo comma, della legge sulla protezione delle informazioni personali), una circostanza questa che contribuisce a contrastare la parzialità del processo di nomina) (142). La presente procedura è in linea con i requisiti applicabili alla nomina dei membri delle autorità di protezione dei dati nell'Unione (articolo 53, paragrafo 1, del regolamento (UE) 2016/679). Inoltre tutti i commissari devono astenersi da qualsiasi attività legata a profitti o attività politica, nonché dal rivestire funzioni nella pubblica amministrazione o nell'assemblea nazionale (articolo 7-6 e articolo 7-7, primo comma, punto 3, della legge sulla protezione delle informazioni personali) (143). Tutti i commissari sono soggetti a norme specifiche che impediscono loro di partecipare alle deliberazioni in caso di un possibile conflitto di interessi (articolo 7-11 della legge sulla protezione delle informazioni personali). La PIPC è assistita da un segretariato (articolo 7-13) e può stabilire sottocommissioni (composte da tre commissari) incaricate della gestione di violazioni minori e questioni ricorrenti (articolo 7-12 della legge sulla protezione delle informazioni personali).

(114)

Ciascun membro della PIPC è nominato per un mandato di tre anni e può essere rinominato una volta (articolo 7-4, primo comma, della legge sulla protezione delle informazioni personali). I commissari possono essere rimossi dal loro incarico soltanto in circostanze specifiche, in particolare se non sono più in grado di svolgere i propri compiti a causa di una disabilità mentale o fisica a lungo termine, qualora abbiano commesso atti in violazione della legge o siano soggetti all'applicazione di uno dei motivi per la rimozione dall'incarico (144) (articolo 7-5 della legge sulla protezione delle informazioni personali). Ciò fornisce loro una protezione istituzionale nell'esercizio delle loro funzioni.

(115)

Più in generale l'articolo 7, primo comma, della legge sulla protezione delle informazioni personali garantisce esplicitamente l'indipendenza della PIPC e l'articolo 7-5, secondo comma, della medesima legge impone ai commissari di svolgere le loro funzioni in maniera indipendentemente, secondo la legge e la loro coscienza (145). Le garanzie istituzionali e procedurali descritte, anche rispetto alla nomina e alla rimozione dall'incarico dei suoi membri, assicurano che la PIPC agisca in assoluta indipendenza, senza essere soggetta a influenze o istruzioni esterne. Inoltre, in veste di agenzia amministrativa centrale, la PIPC propone annualmente il proprio bilancio (che è riesaminato dal ministero delle Finanze nel contesto del bilancio nazionale complessivo prima dell'adozione da parte dell'Assemblea nazionale) ed è competente per la gestione del proprio personale. La PIPC ha un bilancio attuale di circa 35 milioni di EUR e ha 154 membri del personale (di cui 40 dipendenti specializzati in tecnologie dell'informazione e della comunicazione, 32 dipendenti che si concentrano sulle indagini e 40 esperti legali).

(116)

I compiti e i poteri della PIPC sono previsti principalmente negli articoli 7-8 e 7-9, nonché negli articoli da 61 a 66 della legge sulla protezione delle informazioni personali (146). In particolare i compiti della PIPC comprendono l'erogazione di consulenza in merito a leggi e le normative relative alla protezione dei dati, lo sviluppo di politiche e orientamenti per la protezione dei dati, l'indagine di violazioni dei diritti individuali, la gestione di reclami e la mediazione di controversie, l'assicurazione del rispetto della legge sulla protezione delle informazioni personali, la garanzia dell'istruzione e della promozione nel settore della protezione dei dati nonché lo scambio e la cooperazione con autorità di protezione dei dati di paesi terzi (147).

(117)

Sulla base dell'articolo 68 della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 62 del decreto di applicazione di tale legge, alcuni compiti della PIPC sono stati delegati all'Agenzia coreana per la sicurezza e internet, ossia: 1) l'istruzione e le pubbliche relazioni; 2) la formazione di specialisti e lo sviluppo di criteri per le valutazione dell'impatto sulla vita privata; 3) la gestione di richieste di designazione di una cosiddetta istituzione per la valutazione dell'impatto sulla vita privata; 4) il trattamento delle richieste di accesso indiretto ai dati personali detenuti da autorità pubbliche (articolo 35, secondo comma, della legge sulla protezione delle informazioni personali); e 5) il compito di richiedere materiali e svolgere ispezioni in relazione ai reclami ricevuti attraverso il cosiddetto call centre per la tutela della vita privata. Nel contesto della gestione dei reclami attraverso il call centre per la tutela della vita privata, l'agenzia coreana per la sicurezza e internet trasmette il caso alla PIPC o al pubblico ministero laddove constati che si è verificata una violazione della legge. La possibilità di promuovere reclamo presso il call centre per la tutela della vita privata non impedisce alle persone fisiche di presentare un reclamo direttamente alla PIPC o dal rivolgersi alla PIPC qualora ritengano che il loro reclamo non sia stato gestito in modo soddisfacente dall'agenzia coreana per la sicurezza e internet.

(118)

Al fine di garantire il rispetto della legge sulla protezione delle informazioni personali, il legislatore ha conferito alla PIPC tanto poteri di indagine quanto quelli di esecuzione, che spaziano dalle raccomandazioni alle sanzioni amministrative pecuniarie. Tali poteri sono ulteriormente integrati da un regime di sanzioni penali.

(119)

Per quanto riguarda i poteri di indagine, in caso di sospetta violazione della legge sulla protezione delle informazioni personali o di segnalazione di una tale violazione oppure, ove necessario, per la protezione dei diritti degli interessati in relazione a violazioni, la PIPC può condurre ispezioni in loco e richiedere tutti i materiali pertinenti (quali articoli e documenti) dai titolari del trattamento dei dati personali (articolo 63 della legge di cui sopra in combinato disposto con l'articolo 60 del decreto di applicazione della stessa) (148).

(120)

In termini di esecuzione, ai sensi dell'articolo 61, secondo comma, della legge sulla protezione delle informazioni personali, la PIPC può fornire un parere ai titolari del trattamento dei dati in merito alle modalità per migliorare il livello della protezione dei dati personali di attività specifiche di trattamento. I titolari del trattamento dei dati devono effettuare sforzi in buona fede per attuare tale parere e sono tenuti a informare la PIPC in merito all'esito. Inoltre qualora vi siano motivi ragionevoli per ritenere che si sia verificata una violazione della legge sulla protezione delle informazioni personali e l'inazione potrebbe causare danni ai quali è difficile porre rimedio, la PIPC può imporre misure correttive (articolo 64, primo comma, della legge sulla protezione delle informazioni personali) (149). La sezione 5 della notifica 2021-5 (allegato I) chiarisce, con effetto vincolante, che tali condizioni sono soddisfatte in relazione alla violazione di qualsiasi disposizione della legge sulla protezione delle informazioni personali che protegge i diritti alla vita privata delle persone fisiche in merito alle informazioni personali (150). Le misure che la PIPC è autorizzata ad adottare comprendono ordinare la cessazione della condotta che causa la violazione, la sospensione temporanea del trattamento dei dati o qualsiasi altra misura necessaria. Il mancato rispetto di una misura correttiva può portare a una sanzione con irrogazione di una multa per un importo massimo di 50 milioni di KRW (articolo 75, secondo comma, punto 13, della legge sulla protezione delle informazioni personali).

(121)

Per quanto concerne determinate autorità pubbliche (quali l'Assemblea nazionale, le agenzie amministrative centrali, gli organi dell'amministrazione locale e gli organi giurisdizionali), l'articolo 64, quarto comma, della legge sulla protezione delle informazioni personali prevede che la PIPC possa "raccomandare" una qualsiasi delle misure correttive menzionate nel considerando 120 e che tali autorità siano tenute a rispettare detta raccomandazione fatto salvo il caso in cui vi siano circostanze straordinarie. Secondo la sezione 5 della notifica 2021-5, ciò fa riferimento a circostanze di fatto o di diritto straordinarie di cui la PIPC non era a conoscenza nel momento in cui ha formulato la sua raccomandazione. L'autorità pubblica interessata può invocare tali circostanze straordinarie soltanto se dimostra chiaramente che non si è verificata alcuna violazione e la PIPC constata che in effetti è così. Altrimenti l'autorità pubblica è tenuta a seguire la raccomandazione della PIPC e ad "adottare una misura correttiva, anche per fermare immediatamente l'azione e compensare i danni nel caso eccezionale in cui sia stato comunque commesso un atto illegale".

(122)

La PIPC può altresì richiedere ad altre agenzie amministrative aventi competenza specifica ai sensi della legislazione settoriale (ad esempio salute, istruzione) di svolgere indagini, in maniera indipendente o congiuntamente con la PIPC, in merito a violazioni (sospette) della tutela della vita privata da parte di titolari del trattamento che operano in tali settori soggetti alla loro competenza giurisdizionale, nonché di imporre misure correttive (articolo 63, quarto e quinto comma, della legge sulla protezione delle informazioni personali). In tal caso la PIPC stabilisce i motivi, l'oggetto e la portata dell'indagine (151). A sua volta l'agenzia amministrativa pertinente deve presentare un piano di ispezione alla PIPC e informare quest'ultima in merito all'esito dell'ispezione. La PIPC può raccomandare l'adozione di una misura correttiva specifica, che l'agenzia pertinente deve sforzarsi di attuare. In ogni caso tale richiesta non limita la competenza della PIPC in termini di svolgimento di indagini proprio o irrogazione di sanzioni.

(123)

Oltre ai suoi poteri correttivi, la PIPC può imporre sanzioni amministrative pecuniarie tra 10 e 50 milioni di KRW per violazioni di vari requisiti della legge sulla protezione delle informazioni personali (articolo 75 di tale legge) (152). Tra l'altro in tale contesto rientrano il mancato rispetto dei requisiti per la liceità del trattamento, la mancata adozione delle misure di sicurezza necessarie, la mancata notifica agli interessati in caso di violazione dei dati, il mancato rispetto dei requisiti per il sub-trattamento, la mancata definizione e divulgazione di una politica in materia di tutela della vita privata, la mancata designazione di un responsabile della tutela della vita privata o l'inazione a fronte di una richiesta dell'interessato di esercizio dei suoi diritti individuali, nonché determinate violazioni procedurali (omessa cooperazione nel corso di un'indagine). In caso di violazione di diverse disposizioni della PIPA da parte del medesimo titolare del trattamento, può essere imposta una sanzione pecuniaria per ciascuna violazione e il numero di persone fisiche interessate sarà preso in considerazione ai fini della fissazione dell'ammontare di tale sanzione pecuniaria.

(124)

Inoltre, laddove vi siano motivi ragionevoli per sospettare una violazione della legge sulla protezione delle informazioni personali o di qualsiasi altra "legge in materia di protezione dei dati", la PIPC può presentare una denuncia penale all'agenzia investigativa competente (quale un pubblico ministero, cfr. articolo 65, primo comma, della legge sulla protezione delle informazioni personali). Inoltre la PIPC può consigliare al titolare del trattamento di adottare azioni disciplinari nei confronti della persona responsabile (compreso il dirigente incaricato, cfr. articolo 65, secondo comma, della legge sulla protezione delle informazioni personali). Dopo aver ricevuto tale parere, il titolare del trattamento deve conformarvisi (153) e deve notificare alla PIPC per iscritto il risultato (articolo 65 della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 58 del decreto di applicazione della PIPA).

(125)

Per quanto riguarda il parere ai sensi dell'articolo 61, misure correttive ai sensi dell'articolo 64, l'accusa o la consulenza per azioni disciplinari ai sensi dell'articolo 65 e l'imposizione di sanzioni amministrative pecuniarie ai sensi dell'articolo 75 della legge sulla protezione delle informazioni personali, la PIPC può pubblicizzare i fatti, ossia la violazione, il soggetto che ha violato la legge e le misure imposte, pubblicandoli sul proprio sito web o in un quotidiano generale, nazionale giornaliero (articolo 66 della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 61, primo comma, del decreto di applicazione di tale legge) (154).

(126)

Infine il rispetto dei requisiti di protezione dei dati di cui alla legge sulla protezione delle informazioni personali (nonché ad altre "leggi in materia di protezione dei dati") è sostenuto da un regime di sanzioni penali. A tale riguardo gli articoli da 70 a 73 della legge sulla protezione delle informazioni personali contengono disposizioni in merito a sanzioni che possono determinare l'irrogazione di una sanzione pecuniaria (compresa tra 20 e 100 milioni di KRW) oppure una pena detentiva (con una pena massima compresa tra 2 e 10 anni). Le violazioni pertinenti comprendono, tra le altre, l'uso di dati personali o la fornitura di tali dati a terzi in assenza del necessario consenso, il trattamento di informazioni sensibili in maniera contraria al divieto di cui all'articolo 23, primo comma, della legge sulla protezione delle informazioni personali, il mancato rispetto dei requisiti di sicurezza applicabili che si traduce nella perdita, nel furto, della falsificazione, nella modifica o nel danneggiamento dei dati personali, la mancata adozione delle misure necessarie per rettificare, cancellare o sospendere i dati personali o il trasferimento illecito dei dati personali a un paese terzo (155). Ai sensi dell'articolo 74 della legge sulla protezione delle informazioni personali, in ciascuno di questi casi la responsabilità ricade sul dipendente, sull'agente o sul rappresentante del titolare del trattamento e sul titolare del trattamento stesso (156).

(127)

Oltre alle sanzioni penali previste nella legge sulla protezione delle informazioni personali, l'uso improprio di dati personali può costituire un reato anche ai sensi del codice penale. Ciò si verifica in particolare per quanto riguarda la violazione della segretezza di lettere, atti o registrazioni elettroniche (articolo 316), la divulgazione di informazioni soggette a segreto professionale (articolo 317), la frode mediante l'uso di computer (articolo 347-2) nonché il peculato e la violazione della fiducia (articolo 355).

(128)

Di conseguenza il sistema coreano combina diversi tipi di sanzioni, che spaziano da misure correttive e sanzioni amministrative fino a sanzioni penali, che possono avere un effetto deterrente particolarmente marcato sui titolari del trattamento e sulle persone fisiche che gestiscono i dati. Subito dopo la sua istituzione nel 2020, la PIPC ha iniziato a utilizzare i propri poteri. Dalla relazione annuale del 2021 della PIPC emerge che tale commissione ha già emesso una serie di raccomandazioni, sanzioni amministrative pecuniarie e ordini per misure correttive, tanto nei confronti del settore pubblico (circa 34 autorità pubbliche) quanto di operatori privati (circa 140 imprese) (157). Tra i casi degni di nota figurano ad esempio l'irrogazione di una sanzione pecuniaria di 6,7 miliardi di KRW nel dicembre del 2020 a un'impresa che agiva in violazione di diverse disposizioni della legge sulla protezione delle informazioni personali (compresi i requisiti di sicurezza, i requisiti per il consenso per la fornitura a terzi e la trasparenza) (158) e una sanzione pecuniaria di 103,3 milioni di KRW nell'aprile del 2021 ad un'impresa tecnologica attiva nel settore dell'intelligenza artificiale (colpevole di aver violato tra l'altro le norme sulla liceità del trattamento, in particolare quelle sul consenso, e sul trattamento di informazioni pseudonimizzate) (159). Nell'agosto del 2021 la PIPC ha finalizzato un'ulteriore indagine sulle attività di tre imprese che ha portato all'adozione di misure correttive e all'irrogazione di sanzioni pecuniarie per un importo fino a 6,47 miliardi di KRW (tra l'altro, per non aver informato le persone fisiche in merito alla divulgazione dei loro dati personali a terzi, compresi trasferimenti verso paesi terzi) (160). Inoltre, già prima della recente riforma, la Corea del Sud aveva registrato uno storico notevole in materia di esecuzione, dato che le autorità competenti avevano fanno uso dell'intera gamma di misure di contrasto, comprese le sanzioni amministrative pecuniarie, le misure correttive e la "denominazione e condivisione" rispetto a una varietà di titolari del trattamento, compresi i fornitori di servizi di comunicazione (commissione coreana per le comunicazioni), nonché operatori commerciali, enti finanziari, autorità pubbliche, università ed ospedali (ministero degli Interni e della sicurezza) (161). Su tale base la Commissione conclude che il sistema coreano garantisce l'applicazione efficace delle norme sulla protezione dei dati, assicurando in tal modo un livello di protezione sostanzialmente equivalente a quello previsto dal regolamento (UE) 2016/679.

(129)

Al fine di garantire una protezione adeguata e, in particolare, il rispetto dei diritti individuali, l'interessato dovrebbe avere a disposizione mezzi di ricorso efficaci in sede amministrativa e giudiziaria, compreso il risarcimento dei danni.

(130)

Il sistema coreano offre alle persone fisiche diversi meccanismi per far valere efficacemente i loro diritti e ottenere un ricorso (in sede giudiziaria).

(131)

Innanzitutto le persone fisiche che ritengono che i loro diritti o i loro interessi in materia di protezione dei dati siano stati violati possono rivolgersi al titolare del trattamento pertinente. Ai sensi dell'articolo 30, primo comma, punto 5, della legge sulla protezione delle informazioni personali, la politica in materia di tutela della vita privata del titolare del trattamento deve contenere tra l'altro informazioni sui diritti degli interessati e sulle modalità per esercitarli. Inoltre deve fornire informazioni di contatto, quali il nome e il numero di telefono del responsabile della tutela della vita privata o dell'ufficio competente per la protezione dei dati, al fine di consentire la presentazione di reclami (nell'atto legislativo coreano in inglese: grievances). All'interno dell'organizzazione del titolare del trattamento, il responsabile della tutela della vita privata è competente per la gestione dei reclami, l'adozione di misure correttive in caso di violazione della vita privata e il risarcimento riparatorio (articolo 31, secondo comma, punto 3 e articolo 31, quarto comma, della legge sulla protezione delle informazioni personali). Quest'ultimo aspetto è rilevante ad esempio in caso di una violazione dei dati in quanto il titolare del trattamento deve informare l'interessato in merito ai suoi dati di contatto per la segnalazione tra l'altro di eventuali danni (articolo 34, primo comma, punto 5, della legge sulla protezione delle informazioni personali).

(132)

Inoltre la legge sulla protezione delle informazioni personali offre diversi mezzi di ricorso alle persone fisiche nei confronti dei titolari del trattamento. Innanzitutto qualsiasi persona fisica che ritenga che i suoi diritti o i suoi interessi in materia di protezione dei dati siano stati violati dal titolare del trattamento può segnalare tale violazione direttamente alla PIPC e/o a una delle istituzioni specializzate da essa designate per ricevere e gestire i reclami; tra queste figura l'agenzia coreana per la sicurezza e internet che a tale fine gestisce un call centre sulle informazioni personali (il cosiddetto "call centre per la tutela della vita privata") (articolo 62, primo e secondo comma, della legge sulla protezione delle informazioni personali in combinato disposto con l'articolo 59 del decreto di applicazione di tale legge). Il call centre per la tutela della vita privata indaga, constata le violazioni e fornisce consulenza in relazione al trattamento dei dati personali (articolo 62, terzo comma, della legge sulla protezione delle informazioni personali) e può segnalare violazioni alla PIPC ma non può adottare provvedimenti di esecuzione in prima persona). Il call centre per la tutela della vita privata riceve numerosissimi reclami/richieste (ad esempio 177 457 nel 2020, 159 255 nel 2019 e 164 497 nel 2018) (162). Secondo le informazioni ricevute dalla PIPC, alla stessa sono pervenuti circa 1 000 reclami tra agosto del 2020 e agosto del 2021. In risposta a un reclamo la PIPC può emettere un parere per l'adozione di miglioramenti, misure correttive, una "accusa" all'agenzia investigativa competente (compreso un pubblico ministero) oppure un parere in merito ad azioni disciplinari (cfr. articoli 61, 64 e 65 della legge sulla protezione delle informazioni personali). Le decisioni della PIPC (quali un rifiuto a gestire un reclamo o un rifiuto sulla sostanza di un reclamo) possono essere impugnate ai sensi della legge sui contenziosi amministrativi (163).

(133)

In secondo luogo, conformemente agli articoli da 40 a 50 della legge sulla protezione delle informazioni personali in combinato disposto con gli articoli da 48 a 57 del decreto di applicazione della PIPA, gli interessati possono proporre reclamo presso un cosiddetto "comitato di mediazione per le controversie", costituito da rappresentanti nominati dal presidente della PIPC, da membri del servizio esecutivo di alto grado di tale commissione e persone fisiche nominate in base alla loro esperienza nel settore della protezione dei dati tra determinati gruppi ammissibili (cfr. articolo 40, secondo, terzo e settimo comma, della legge sulla protezione delle informazioni personali e articolo 48-14 del decreto di applicazione di quest'ultima legge) (164). La possibilità di fare ricorso alla mediazione dinanzi al comitato di mediazione per le controversie offre un metodo alternativo per ottenere riparazione, ma non limita il diritto della persona fisica a rivolgersi piuttosto alla PIPC o agli organi giurisdizionali. Al fine di esaminare il caso, il comitato può richiedere alle parti coinvolte nella controversia di fornire materiali necessari e/o invitare i testimoni pertinenti a comparire dinanzi al comitato stesso (articolo 45 della legge sulla protezione delle informazioni personali). Una volta chiarita la questione, il comitato prepara un progetto di decisione di mediazione (165) sulla quale una maggioranza dei suoi membri deve essere concorde. Il progetto di mediazione può comprendere la sospensione della violazione, i rimedi necessari (compresa la restituzione o il risarcimento) nonché tutte le misure necessarie per prevenire la reiterazione della medesima violazione o di una violazione analoga (articolo 47, primo comma, della legge sulla protezione delle informazioni personali). Nel caso in cui entrambe le parti concordino in merito alla decisione di mediazione, quest'ultima avrà il medesimo effetto di una transazione giudiziale (articolo 47, quinto comma, della legge sulla protezione delle informazioni personali). A nessuna delle parti è vietato avviare un'azione giudiziaria mentre la mediazione è in corso, nel qual caso quest'ultima sarà sospesa (cfr. articolo 48, secondo comma, della legge sulla protezione delle informazioni personali) (166). I dati annuali pubblicati dalla PIPC mostrano che le persone fisiche ricorrono regolarmente all'uso della procedura dinanzi il comitato di mediazione per le controversie che porta spesso ad un esito positivo. Ad esempio nel 2020 tale comitato ha gestito 126 casi, di cui 89 sono stati risolti dinanzi al comitato stesso (con 77 casi in cui le parti avevano già raggiunto un accordo prima della conclusione della procedura di mediazione e 12 casi in cui le parti hanno accettato la proposta di mediazione), facendo registrare un tasso di mediazione pari al 70,6 % (167). Analogamente nel 2019 il comitato ha gestito 139 casi, di cui 92 sono stati risolti, portando a registrare un tasso di mediazione del 62,2 %.

(134)

Inoltre, qualora almeno 50 persone fisiche subiscano danni, o i loro diritti di protezione dei dati siano stati violati nello stesso modo o in modo analogo a seguito del medesimo (tipo di) incidente (168), un interessato o un'organizzazione che si occupa di protezione dei dati può richiedere la mediazione collettiva della controversia per conto di tale collettività; altri interessati possono presentare domanda di adesione a tale mediazione, che sarà annunciata pubblicamente dal comitato di mediazione delle controversie (articolo 49, primo e terzo comma, della legge sulla protezione delle informazioni personali in combinato disposto con gli articoli da 52 a 54 del decreto di applicazione della PIPA) (169). Il comitato di mediazione per le controversie può selezionare almeno una persona che rappresenti in modo più adeguato l'interesse comune affinché agisca da parte rappresentante (articolo 49, quarto comma, della legge sulla protezione delle informazioni personali). Laddove il titolare del trattamento rifiuti la mediazione collettiva della controversia o non accetti la decisione di mediazione, alcune organizzazioni (170) possono promuovere un'azione collettiva risarcitoria per affrontare la violazione (articoli da 51 a 57 della legge sulla protezione delle informazioni personali).

(135)

In terzo luogo, nel caso di una violazione della vita privata che causa "danni" a una persona fisica, l'interessato ha diritto a un ricorso effettivo nel contesto di una "procedura rapida ed equa" (articolo 4, punto 5 e articolo 39 della legge sulla protezione delle informazioni personali) (171). Il titolare del trattamento può liberarsi dall'accusa dimostrando l'assenza di colpa ("intento doloso" o negligenza). Laddove l'interessato subisca danni in ragione della perdita, del furto, della divulgazione, della falsificazione, dell'alterazione o del danneggiamento dei suoi dati personali, un organo giurisdizionale può stabilire un risarcimento pari a fino a tre volte il danno effettivo, tenendo conto di una serie di fattori (articolo 39, terzo e quarto comma, della legge sulla protezione delle informazioni personali). In alternativa l'interessato può richiedere un "ammontare ragionevole" di risarcimento non superiore a 3 milioni di KRW (articolo 39-2, primo e secondo comma, della legge sulla protezione delle informazioni personali). Inoltre, conformemente al codice civile, il risarcimento può essere richiesto nei confronti di qualsiasi persona "che causa perdite o infligge lesioni a un'altra persona in ragione di un atto illecito, intenzionalmente o per negligenza" (172) oppure nei confronti di una persona "che ha leso l'integrità, la libertà o la fama di un'altra persona o ha inflitto qualsiasi angoscia mentale a un'altra persona" (173). Tale responsabilità civile a seguito della violazione delle norme in materia di protezione dei dati è stata confermata dalla Corte suprema (174). Se il danno è stato causato da un'azione illecita di un'autorità pubblica, è possibile presentare una richiesta di risarcimento anche ai sensi della State Compensation Act (legge sul risarcimento da parte dello Stato) (175). Una tale richiesta può essere depositata presso un "consiglio per il risarcimento" specializzato oppure direttamente adendo gli organi giurisdizionali coreani (176). La responsabilità dello Stato si applica anche a danni non materiali (quali la sofferenza mentale) (177). Se la vittima è un cittadino straniero, la legge sul risarcimento da parte dello Stato si applica nella misura in cui il suo paese di origine garantisce allo stesso modo un risarcimento da parte dello Stato a favore di cittadini coreani (178).

(136)

In quarto luogo la Corte suprema ha riconosciuto che le persone fisiche hanno il diritto di richiedere un provvedimento ingiuntivo per violazioni dei loro diritti ai sensi della costituzione, compreso il diritto alla protezione dei dati personali (179). In tale contesto un organo giurisdizionale può ad esempio ordinare ai titolari del trattamento di sospendere o interrompere qualsiasi attività illecita. Inoltre si può chiedere l'esecuzione di diritti di protezione dei dati, compresi quelli protetti dalla legge sulla protezione delle informazioni personali, tramite azioni civili. Tale applicazione orizzontale della tutela costituzionale della vita privata alle relazioni tra parti private è stata riconosciuta dalla Corte suprema (180).

(137)

Infine le persone fisiche possono presentare una denuncia penale ai sensi del codice penale (articolo 223) presso un pubblico ministero o un funzionario della polizia giudiziaria (181).

(138)

Il sistema coreano offre pertanto svariati modi per ottenere risarcimento che spaziano da opzioni facilmente accessibili e a basso costo (ad esempio contattando il call centre per la tutela della vita privata oppure tramite la mediazione (collettiva)) fino alle opzioni amministrative (rivolgendosi alla PIPC) e alle vie giudiziarie, disponendo altresì della possibilità di ottenere un risarcimento dei danni.

(139)

La Commissione ha valutato altresì le limitazioni e le garanzie, compresi i meccanismi di vigilanza e di ricorso individuale disponibili nella normativa coreana per quanto riguarda la raccolta e il successivo utilizzo da parte di autorità pubbliche coreane dei dati personali trasferiti verso operatori economici in Corea per motivi di interesse pubblico, in particolare per finalità di contrasto penale e di sicurezza nazionale ("accesso da parte di pubbliche amministrazioni"). A tale riguardo il governo coreano ha fornito alla Commissione le dichiarazioni, le garanzie e gli impegni ufficiali, firmati al più alto livello dei ministeri e delle agenzie, che figurano nell'allegato II della presente decisione.

(140)

Nel valutare se le condizioni in base alle quali l'accesso da parte delle pubbliche amministrazioni ai dati trasferiti verso la Corea ai sensi della presente decisione soddisfino la verifica dell'"equivalenza sostanziale" ai sensi dell'articolo 45, paragrafo 1, del regolamento (UE) 2016/679, come interpretato dalla Corte di giustizia dell'Unione europea alla luce della Carta dei diritti fondamentali, la Commissione ha tenuto conto in particolare dei criteri illustrati in appresso.

(141)

Innanzitutto qualsiasi limitazione nell'esercizio del diritto alla protezione dei dati personali deve essere prevista dalla legge e implica che la base giuridica che consente l'ingerenza in tali diritti deve definire essa stessa la portata della limitazione dell'esercizio del diritto considerato (182).

(142)

In secondo luogo, per soddisfare il requisito di proporzionalità secondo cui le deroghe e le limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario in una società democratica per soddisfare gli obbiettivi specifici di interesse generale equivalenti a quelli riconosciuti dall'Unione, la legislazione del paese terzo in questione che consente tale ingerenza deve prevedere regole chiare e precise che disciplinino la portata e l'applicazione della misura in questione e impongano requisiti minimi in modo che le persone i cui dati sono trasferiti dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi (183). In particolare, essa deve indicare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di siffatti dati (184) nonché assoggettare il soddisfacimento di tali requisiti alla vigilanza indipendente (185).

(143)

In terzo luogo tale legislazione e i suoi requisiti devono essere legalmente vincolanti ai sensi del diritto interno. Ciò riguarda innanzitutto tutte le autorità del paese terzo in questione, ma tali requisiti giuridici devono altresì poter essere fatti valere dinanzi agli organi giurisdizionali nei confronti di tali autorità (186). In particolare gli interessati devono disporre della possibilità di esperire mezzi di ricorso dinanzi a un giudice indipendente e imparziale al fine di avere accesso a dati personali che li riguardano, o di ottenere la rettifica o la soppressione di tali dati (187).

(144)

Le limitazioni e le garanzie che si applicano alla raccolta e all'uso successivo dei dati personali da parte delle autorità pubbliche coreane derivano dal quadro costituzionale globale, da leggi specifiche che disciplinano le loro attività nei settori del contrasto penale e della sicurezza nazionale, nonché dalle norme che si applicano specificamente al trattamento dei dati personali.

(145)

Innanzitutto l'accesso ai dati personali da parte delle autorità pubbliche coreane è disciplinato da principi generali di legalità, necessità e proporzionalità che derivano dalla costituzione coreana (188). In particolare diritti e libertà fondamentali (compreso il diritto alla tutela della vita privata e il diritto alla tutela della vita privata della corrispondenza) (189) possono essere limitati soltanto per legge e laddove necessario per la sicurezza nazionale o il mantenimento dell'ordine pubblico per il benessere pubblico. Tali limitazioni non possono incidere sull'essenza del diritto o della libertà in questione. Per quanto riguarda nello specifico le perquisizioni e i sequestri, la costituzione prevede che tali attività possano essere condotte soltanto come previsto dalla legge, sulla base di un mandato emesso da un giudice e in relazione a un giusto processo (190). Infine le persone fisiche possono invocare i loro diritti e le loro libertà dinanzi alla Corte costituzionale se ritengono che siano stati violati dalle autorità pubbliche nell'esercizio delle loro funzioni (191). Analogamente le persone fisiche che hanno subito danni in ragione di un atto illecito commesso da un funzionario pubblico nello svolgimento delle sue funzioni ufficiali hanno il diritto di richiedere un risarcimento equo (192).

(146)

In secondo luogo, come descritto in maggior dettaglio nelle sezioni 3.2.1 e 3.3.1, i principi generali di cui al considerando 145 si rispecchiano altresì nelle leggi specifiche che disciplinano i poteri delle autorità di contrasto e di quelle di sicurezza nazionale. Ad esempio, per quanto concerne le indagini penali, il codice di procedura penale prevede che misure obbligatorie possano essere adottate soltanto se esplicitamente previste in tale codice, e nella minima misura necessaria ai fini del conseguimento della finalità dell'indagine (193). Analogamente l'articolo 3 della legge sulla tutela della vita privata nelle comunicazioni (in appresso: "legge sulle comunicazioni") vieta l'accesso a comunicazioni private, fatta eccezione in base alla legge e nel rispetto di limitazioni e garanzie ivi stabilite. Nel settore della sicurezza nazionale, la National Intelligence Service Act (legge sul servizio nazionale di intelligence, in appresso: "legge sul NIS") prevede che qualsiasi accesso a comunicazioni o informazioni relative all'ubicazione debba rispettare la legge e assoggetta l'abuso di potere e violazioni della legge a sanzioni penali (194).

(147)

In terzo luogo il trattamento dei dati personali da parte delle autorità pubbliche, anche per finalità di contrasto e di sicurezza nazionale, è soggetto alle norme in materia di protezione dei dati di cui alla legge sulla protezione delle informazioni personali (195). Come principio generale, l'articolo 5, primo comma, della legge sulla protezione delle informazioni personali impone alle autorità pubbliche di sviluppare politiche destinate a prevenire "l'abuso e l'uso improprio di informazioni personali, la sorveglianza e il tracciamento indiscreti, ecc. nonché a migliorare la dignità degli esseri umani e la vita privata individuale". Inoltre, qualsiasi titolare del trattamento deve trattare i dati personali in modo tale da ridurre al minimo la possibilità di violazione della tutela della vita privata dell'interessato (articolo 3, sesto comma, della legge sulla protezione delle informazioni personali).

(148)

Tutti i requisiti della legge sulla protezione delle informazioni personali, come descritti in dettaglio nella sezione 2, si applicano al trattamento dei dati personali per finalità di contrasto. Rientrano in tale contesto i principi fondamentali (quali la liceità e la correttezza, la limitazione della finalità, l'esattezza, la minimizzazione dei dati, la limitazione della conservazione, la sicurezza e la trasparenza), le obbligazioni (ad esempio in relazione alla notifica di violazioni di dati ed a dati sensibili) e i diritti (di ottenere accesso, di rettifica, di cancellazione e di sospensione).

(149)

Mentre il trattamento di dati personali per finalità di sicurezza nazionale è soggetto a una serie più limitata di disposizioni ai sensi della legge sulla protezione delle informazioni personali, si applicano i principi fondamentali, nonché le norme in materia di vigilanza, esecuzione e ricorso (196). Più in particolare, gli articoli 3 e 4 della legge sulla protezione delle informazioni personali stabiliscono i principi generali in materia di protezione dei dati (liceità e correttezza, limitazione della finalità, correttezza, minimizzazione dei dati, sicurezza e trasparenza) e diritti individuali (il diritto di essere informato, il diritto di accesso e i diritti di rettifica, cancellazione e sospensione) (197). L'articolo 4, quinto comma, della legge sulla protezione delle informazioni personali riconosce inoltre alle persone fisiche il diritto a un risarcimento adeguato per i danni derivanti dal trattamento dei loro dati personali nel contesto di una procedura rapida ed equa. Ciò è integrato da obblighi più specifici che impongono di trattare i dati personali esclusivamente nella misura minima necessaria per il conseguimento della finalità prevista e per il periodo minimo, di mettere in atto le misure necessarie per garantire una gestione sicura dei dati e un trattamento adeguato (quali garanzie tecniche, gestionali e fisiche), oltre a mettere in atto misure per la gestione adeguata di reclami (198). Infine i principi generali di legalità, necessità e proporzionalità derivanti dalla costituzione coreana (cfr. considerando 145) si applicano anche al trattamento dei dati personali per finalità di sicurezza nazionale.

(150)

Tali limitazioni e garanzie generali possono essere invocate da persone fisiche rivolgendosi all'organismo indipendente di vigilanza (ad esempio la PIPC e/o la National Human Rights Commission, (NHRC, commissione nazionale per i diritti umani), cfr. considerando 177 e 178) e adendo organi giurisdizionali (cfr. considerando da 179 a 183) per ottenere risarcimento.

(151)

Il diritto della Repubblica di Corea impone una serie di limitazioni in materia di accesso e uso di dati personali per finalità di contrasto penale e prevede meccanismi di vigilanza e ricorso che sono in linea con i requisiti di cui ai considerando da 141 a 143 della presente decisione. Le condizioni in cui tale accesso può avvenire e le garanzie applicabili all'uso di tali poteri sono valutate in dettaglio nelle sezioni che seguono.

(152)

I dati personali trattati dai titolari del trattamento coreani che sarebbero trasferiti dall'Unione ai sensi della presente decisione (199) possono essere raccolti dalle autorità coreane per finalità di contrasto penale nel contesto di una perquisizione o di un sequestro (ai sensi del codice di procedura penale), accedendo a informazioni sulle comunicazioni (sulla base della legge sulle comunicazioni) oppure ottenendo i dati dell'abbonato attraverso richieste di divulgazione volontaria (sulla base della legge sulle imprese di telecomunicazione) (200).

(153)

Il codice di procedura penale prevede che una perquisizione o un sequestro possa avvenire soltanto se una persona è sospettata della commissione di un reato, se ciò è necessario ai fini dell'indagine e se è stato stabilito un legame tra l'indagine e la persona da sottoporre a perquisizione o ai beni da ispezionare e sequestrare (201). Inoltre una perquisizione o un sequestro (come qualsiasi misura obbligatoria) può essere autorizzato/a o condotta/o soltanto nella minima misura necessaria (202). Se una perquisizione riguarda il disco rigido di un computer o un altro supporto di memorizzazione dati, in linea di principio saranno sequestrati soltanto i dati necessari (copiati o stampati) anziché l'intero supporto (203). Quest'ultimo può essere sequestrato soltanto quando viene considerato sostanzialmente impossibile stampare o copiare i dati richiesti separatamente o quando è considerato sostanzialmente impraticabile conseguire diversamente la finalità della perquisizione (204). Il codice di procedura penale stabilisce quindi norme chiare e precise sull'ambito di applicazione e sull'applicazione di tali misure, garantendo così che l'ingerenza nei diritti delle persone in caso di perquisizione o sequestro sia limitata/o a quanto necessario per una specifica indagine penale e proporzionata/o alla finalità perseguita.

(154)

In termini di garanzie procedurali, il codice di procedura penale prescrive che per effettuare una perquisizione o un sequestro sia necessario ottenere un mandato (205). Una perquisizione o un sequestro in assenza di mandato è consentita/o soltanto in via eccezionale, ossia in circostanze urgenti (206), in loco al momento dell'arresto o del trattenimento di un indiziato per un reato (207) oppure laddove un oggetto sia gettato o prodotto volontariamente da un indiziato per un reato o una terza persona (per quanto concerne i dati personali, dalla persona fisica in questione) (208). Perquisizioni e sequestri illegali sono soggetti a sanzioni penali (209) e qualsiasi elemento di prova ottenuto in violazione del codice di procedura penale è considerato inammissibile (210). Infine occorre sempre notificare senza indugio (211) le persone fisiche interessate in merito a una perquisizione o a un sequestro (anche in caso di sequestro dei loro dati); una circostanza questa che a sua volta faciliterà l'esercizio dei diritti sostanziali della persona fisica e il diritto al ricorso (cfr. in particolare la possibilità di impugnare l'esecuzione di un mandato di sequestro, cfr. considerando 180).

(155)

Sulla base della legge sulle comunicazioni, le autorità coreane di contrasto in materia penale possono adottare due tipi di misure (212): da un lato, la raccolta di "dati di conferma di comunicazioni" (213), che comprende la data delle telecomunicazioni, il loro orario di inizio e di fine, il numero di chiamate in uscita e in arrivo, nonché il numero dell'abbonato dell'altro capo, la frequenza d'uso, i file di registro sull'uso dei servizi di telecomunicazione e le informazioni relative all'ubicazione (ad esempio dalle torri di trasmissione presso le quali vengono ricevuti i segnali); e, dall'altro, "misure di limitazione delle comunicazioni", relative tanto alla raccolta del contenuto della corrispondenza per posta tradizionale quanto l'intercettazione diretta del contenuto di telecomunicazioni (214).

(156)

I dati di conferma di comunicazioni possono essere accessibili soltanto quando necessario per condurre un'indagine penale o dare esecuzione a una sentenza (215), sulla base di un mandato rilasciato da un organo giurisdizionale (216). A tale riguardo, la legge sulle comunicazioni richiede la fornitura di informazioni dettagliate tanto nella domanda per l'ottenimento di un mandato (ad esempio in merito ai motivi della richiesta, alla relazione con la persona/l'abbonato in questione e ai dati necessari) quanto nel mandato stesso (ad esempio in merito all'obiettivo, all'oggetto e alla portata della misura) (217). La raccolta in assenza di mandato può verificarsi soltanto quando motivi di urgenza rendono impossibile ottenere l'autorizzazione da parte dell'organo giurisdizionale, nel qual caso il mandato deve essere ottenuto e comunicato al fornitore di servizi di telecomunicazione immediatamente dopo aver richiesto i dati (218). Laddove l'organo giurisdizionale rifiuti la concessione dell'autorizzazione conseguente, le informazioni raccolte devono essere distrutte (219).

(157)

In termini di garanzie supplementari rispetto alla raccolta dei dati di conferma di comunicazioni, la legge sulle comunicazioni impone requisiti specifici in materia di tenuta di registri e trasparenza (220). In particolare tanto le autorità di contrasto in materia penale (221) quanto i fornitori di servizi di telecomunicazione (222) devono tenere registri delle richieste e delle divulgazioni effettuate. Inoltre, in linea di principio, le autorità di contrasto penale devono notificare alle persone fisiche la raccolta dei loro dati di conferma di comunicazioni (223). Tale notifica può essere differita soltanto in circostanze eccezionali, sulla base di un'autorizzazione del direttore di un ufficio distrettuale del pubblico ministero competente (224). Tale autorizzazione può essere rilasciata soltanto quando è probabile che la notifica: 1) comprometta la sicurezza nazionale, nonché la sicurezza e l'ordine pubblici; 2) causi decessi o lesioni personali; 3) ostacoli procedimenti giudiziari equi (ad esempio determinando la distruzione di elementi di prova o minacce ai testimoni); oppure 4) diffami l'indiziato, le vittime o altre persone collegate al caso oppure invada la loro vita privata. In tali casi la notifica deve essere fornita entro 30 giorni dal momento in cui motivo o i motivi per il differimento cessano di esistere (225). All'atto della notifica, le persone fisiche hanno il diritto di ottenere informazioni sui motivi della raccolta dei loro dati (226).

(158)

Norme più severe si applicano per quanto concerne le misure di limitazione delle comunicazioni, che possono essere utilizzate soltanto quando esiste un motivo sostanziale per sospettare che siano stati pianificati o commessi o che saranno commessi determinati reati gravi specificatamente elencati nella legge sulle comunicazioni (227). Misure di limitazione delle comunicazioni possono inoltre essere adottate soltanto come misura di ultima istanza e laddove sia altrimenti difficile prevenire la commissione di un reato, arrestare un criminale o raccogliere elementi di prova (228). Tali misure devono essere interrotte immediatamente non appena non sono più necessarie, in maniera da assicurare che la violazione della vita privata delle comunicazioni sia limitata il più possibile (229). Le informazioni che sono state ottenute illecitamente mediante misure di limitazione delle comunicazioni non sono ammesse come elementi di prova nel contesto di procedimenti giudiziari o disciplinari (230).

(159)

In termini di garanzie procedurali, la legge sulle comunicazioni prescrive che per attuare misure di limitazione delle comunicazioni sia necessario ottenere un mandato (231). Ancora una volta la legge sulle comunicazioni richiede che la domanda di rilascio di un mandato e il mandato stesso contengano informazioni dettagliate (232), anche in merito alla giustificazione della richiesta, nonché alle comunicazioni da raccogliere (che devono essere quelle della persona sospettata soggetta ad indagine) (233). Tali misure possono essere adottate in assenza di un mandato soltanto in caso di una minaccia imminente di un atto di criminalità organizzata o qualora sia imminente un altro reato grave che può causare direttamente la morte o lesioni gravi, nonché in presenza di un'emergenza che rende impossibile seguire la procedura normale (234). Tuttavia, in tal caso, occorre presentare una domanda di rilascio di un mandato immediatamente dopo l'adozione della misura (235). Le misure di limitazione delle comunicazioni possono essere attuate soltanto per un periodo massimo di due mesi (236) e la loro durata può essere prorogata soltanto con l'approvazione dell'organo giurisdizionale laddove continuino ad essere soddisfatte le condizioni per l'attuazione delle misure (237). La durata prorogata non può superare complessivamente un anno oppure tre anni per alcuni reati particolarmente gravi (quali i reati relativi a insurrezione, aggressione straniera, sicurezza nazionale) (238).

(160)

Come nel caso della raccolta di dati di conferma di comunicazioni, la legge sulle comunicazioni impone ai fornitori di servizi di telecomunicazione (239) e alle autorità di contrasto (240) di tenere registri relativi all'esecuzione di misure di limitazione delle comunicazioni e prevede la notifica alla persona fisica interessata, che può essere differita in via eccezionale laddove necessario sulla base di importanti motivi di interesse pubblico (241).

(161)

Infine il mancato rispetto di diverse limitazioni e garanzie della legge sulle comunicazioni (nonché ad esempio degli obblighi di ottenimento di un mandato, di tenuta di registri e di notifica alla persona fisica), per quanto concerne tanto la raccolta di dati di conferma di comunicazioni quanto il ricorso a misure di limitazione delle comunicazioni, è soggetto a sanzioni penali (242).

(162)

I poteri delle autorità di contrasto in materia penale in relazione alla raccolta di dati relativi alle comunicazioni ai sensi della legge sulle comunicazioni (in termini tanto di contenuto di comunicazioni quanto di dati di conferma di comunicazioni) sono quindi circoscritti da norme chiare e precise e sono soggetti a numerose garanzie. Tali garanzie assicurano in particolare la vigilanza sull'esecuzione di tali misure, tanto ex ante (attraverso l'approvazione giudiziaria preventiva) quanto ex post (attraverso requisiti di tenuta di registri e di segnalazione), e facilitano l'accesso da parte delle persone fisiche a mezzi di ricorso effettivi (garantendo che siano informati in merito alla raccolta dei loro dati).

(163)

Oltre a fare affidamento sulle misure obbligatorie illustrate nei considerando da 153 a 162, le autorità di contrasto coreane possono chiedere ai fornitori di servizi di telecomunicazione di trasmettere loro "dati relativi alle comunicazioni" su base volontaria, a sostegno di un procedimento penale, di un'indagine o dell'esecuzione di una sentenza (articolo 83, terzo comma, della legge sulle imprese di telecomunicazione). Questa possibilità esiste soltanto in relazione a serie limitate di dati, ossia il nome, il numero di registrazione come residente, l'indirizzo e il numero di telefono di utenti, le date nelle quali gli utenti si abbonano o disdicono il loro abbonamento nonché i codici di identificazione utente (ossia i codici utilizzati per identificare l'utente legittimo di sistemi informatici o reti di comunicazione) (243). Dato che soltanto le persone fisiche che acquistano direttamente servizi da un fornitore di servizi di telecomunicazione coreano sono considerati "utenti" (244), le persone fisiche dell'UE i cui dati vengono trasferiti alla Repubblica di Corea non rientrano di norma in tale categoria (245).

(164)

A tali divulgazioni volontarie si applicano diverse limitazioni, tanto in termini di esercizio dei poteri da parte dell'autorità di contrasto quanto di risposta dell'operatore di telecomunicazioni. Come requisito generale, le autorità di contrasto devono agire nel rispetto dei principi costituzionali di necessità e proporzionalità (articolo 12, primo comma, e articolo 37, secondo comma, della costituzione), anche quando richiedono informazioni su base volontaria. Inoltre devono rispettare la legge sulla protezione delle informazioni personali, in particolare raccogliere dati personali in misura minima, ossia nella misura necessaria al conseguimento di una finalità legittima, in maniera da ridurre al minimo l'impatto sulla vita privata delle persone fisiche (come previsto ad esempio dall'articolo 3, primo e sesto comma, della legge sulla protezione delle informazioni personali). Più specificamente, le richieste di ottenimento di dati relativi alle comunicazioni ai sensi della legge sulle imprese di telecomunicazione devono essere formulate per iscritto e indicare i motivi della richiesta, il legame con l'utente pertinente e la portata dei dati richiesti (246).

(165)

I fornitori di servizi di telecomunicazione non sono tenuti a ottemperare a tali richieste e possono farlo solo in conformità con la legge sulla protezione delle informazioni personali. Ciò significa, segnatamente, che devono trovare un equilibrio tra i diversi interessi in gioco e non possono fornire i dati qualora farlo potrebbe violare ingiustamente gli interessi della persona fisica in questione o di una terza parte (247). Ciò si verificherebbe ad esempio nel caso in cui sia evidente che l'autorità richiedente ha abusato della propria autorità (248). Gli operatori di telecomunicazioni devono tenere registri delle divulgazioni ai sensi della legge sulle imprese di telecomunicazione e riferire due volte l'anno al ministro della Scienza e delle tecnologie dell'informazione e della comunicazione (ministro della Scienza e delle TIC) (249).

(166)

Inoltre, in conformità con la sezione 3 della notifica n. 2021-5 (allegato I), i fornitori di servizi di telecomunicazione devono in linea di principio inviare una notifica alla persona fisica in questione qualora si conformino volontariamente a una richiesta (250). Ciò consentirà a sua volta alla persona fisica di esercitare i propri diritti e, nel caso in cui i propri dati vengano divulgati illecitamente, di ottenere un risarcimento, dal titolare del trattamento (ad esempio per aver divulgato dati in violazione di legge sulla protezione delle informazioni personali o per aver risposto a una richiesta che era palesemente sproporzionata) oppure nei confronti dell'autorità di contrasto (ad esempio per aver agito oltre i limiti di quanto necessario e proporzionato oppure per non aver rispettato i requisiti procedurali della legge sulle imprese di telecomunicazione).

(167)

Il trattamento dei dati personali raccolti dalle autorità coreane di contrasto in materia penale è soggetto a tutti i requisiti di cui alla legge sulla protezione delle informazioni personali, inclusi quelli concernenti la limitazione della finalità (articolo 3, primo e secondo comma), la liceità dell'uso e della fornitura di dati a terzi (articoli 15, 17 e 18), i trasferimenti internazionali (articoli 17 e 18 della legge, in combinato disposto con la sezione 2 della notifica 2021-5) (251), la proporzionalità/minimizzazione dei dati (articolo 3, primo e sesto comma) e la limitazione della conservazione (articolo 21) (252).

(168)

Per quanto concerne il contenuto di comunicazioni acquisite attraverso l'esecuzione di misure di limitazione delle comunicazioni, la legge sulle comunicazioni limita specificamente il loro possibile utilizzo a: un'indagine, un'azione giudiziaria o la prevenzione di reati gravi (253); procedimenti disciplinari per i medesimi reati; richieste di risarcimento danni avanzate da una parte coinvolta nelle comunicazioni o laddove ciò sia specificamente consentito da altre leggi (254). Inoltre il contenuto raccolto delle telecomunicazioni trasmesse tramite internet può essere conservato soltanto previa approvazione dell'organo giurisdizionale che ha autorizzato le misure di limitazione delle comunicazioni (255), in vista di utilizzarlo per l'indagine, l'azione giudiziaria o la prevenzione di reati gravi (256). Più in generale la legge sulle comunicazioni vieta la divulgazione di informazioni riservate ottenute tramite misure di limitazione delle comunicazioni e l'uso di tali informazioni per danneggiare la reputazione di coloro che erano soggetti a tali misure (257).

(169)

In Corea, le attività delle autorità di contrasto in materia penale sono soggette a vigilanza da parte di diversi organismi (258).

(170)

Innanzitutto, la polizia è soggetta a vigilanza interna da parte di un ispettore generale (259), il quale attua un controllo della legalità, anche in relazione a possibili violazioni dei diritti umani. L'ispettore generale è stato istituito per attuare l'Act on Public Sector Audits (legge sulle attività di revisione nel settore pubblico), che incoraggia la creazione di organismi di controllo interno e stabilisce requisiti specifici per la loro composizione nonché i loro compiti. In particolare, tale legge prescrive che il capo di un organismo di controllo interno sia nominato dall'esterno dell'autorità competente (come nel caso di ex giudici, professori) per un periodo da due a cinque anni (260), possa essere rimosso dall'incarico soltanto per ragioni giustificate (ad esempio quando non riesce a svolgere le proprie funzioni in ragione di motivi di salute oppure quando è soggetto ad azioni disciplinari) (261) e disponga di un'indipendenza garantita nella misura massima possibile (262). L'ostruzione di un controllo interno è soggetta sanzioni amministrative pecuniarie (263). Le relazioni di controllo interno (che possono comprendere raccomandazioni, richieste di azione disciplinare e richieste di risarcimento o rettifica) sono comunicate al capo dell'autorità pubblica pertinente, al Board of Audit and Inspection (BAI, consiglio di revisione e ispezione) (264) e, in genere, rese pubbliche (265). Anche i risultati dell'attuazione della relazione devono essere notificati al consiglio di revisione e ispezione (266) (cfr. considerando 173 sul ruolo di vigilanza e sui poteri di tale organismo).

(171)

In secondo luogo, la PIPC vigila sul rispetto da parte del trattamento di dati condotto dalle autorità di contrasto in materia penale della legge sulla protezione delle informazioni personali e di altre leggi che tutelano la vita privata delle persone fisiche, comprese le leggi che disciplinano la raccolta di elementi di prova (elettronici) per finalità di contrasto penale, come descritto nella sezione 3.2. 1 (267). In particolare, dato che la vigilanza della PIPC si estende alla liceità e alla correttezza della raccolta e del trattamento dei dati (articolo 3, primo comma, della legge sulla protezione delle informazioni personali), che verrà violata qualora i dati personali siano accessibili e utilizzati in violazione di tali leggi (268), la PIPC può altresì indagare e far rispettare le limitazioni e le garanzie di cui sezione 3.2.1 (269). Nell'esercizio di tale ruolo di vigilanza, la PIPC può esercitare tutti i suoi poteri di indagine e di imposizione di misure correttive, come descritto in dettaglio nella sezione 2.4.2. Già prima della recente riforma della legge sulla protezione delle informazioni personali (ossia nel suo precedente ruolo di vigilanza per il settore pubblico), la PIPC ha svolto diverse attività di vigilanza nel contesto del trattamento dei dati personali da parte delle autorità di contrasto in materia penale, ad esempio nel contesto dell'esame di indiziati (caso n. 2013-16, 26 agosto 2013), in merito alla fornitura di notifiche a persone fisiche circa l'imposizione di sanzioni amministrative pecuniarie (caso n. 2015-02-04, 26 gennaio 2015), la condivisione di dati con altre autorità (caso n. 2018-15-146, 9 luglio 2018, caso n. 2018-25-308, 10 dicembre 2018; caso n. 2019-02-015, 29 gennaio 2019), la raccolta di impronte digitali o fotografie (caso n. 2019-17-273, 9 settembre 2019), l'uso di droni (caso n. 2020-01-004, 13 gennaio 2020). In tali casi la PIPC ha esaminato il rispetto di diverse disposizioni della legge sulla protezione delle informazioni personali (ad esempio liceità del trattamento, principi di limitazione e minimizzazione dei dati), ma anche le disposizioni pertinenti di altre leggi quali il codice di procedura penale e, ove necessario, ha emesso raccomandazioni per allineare il trattamento ai requisiti in materia di protezione dei dati.

(172)

In terzo luogo, la commissione nazionale per i diritti umani ("NHRC") (270) attua una vigilanza indipendente. Tale organismo può infatti indagare in merito a violazioni dei diritti alla tutela della vita privata e della vita privata nella corrispondenza nel contesto del suo mandato generale di tutelare i diritti fondamentali di cui agli articoli da 10 a 22 della costituzione. La NHRC è costituita da 11 commissari che devono soddisfare qualifiche specifiche (271) e sono nominati dal presidente della Repubblica di Corea in conformità con le procedure stabilite dalla legge. In particolare, quattro commissari assumono il loro incarico su nomina dell'Assemblea nazionale, quattro su nomina del presidente della Repubblica di Corea e tre su nomina del giudice capo della Corte suprema (272). Il presidente della commissione è nominato dal presidente della Repubblica di Corea tra i commissari e deve essere confermato dall'Assemblea nazionale (273). I commissari (compreso il presidente della commissione) sono nominati per un termine rinnovabile di tre anni e possono essere rimossi dall'incarico soltanto se vengono condannati a una pena detentiva o non sono più in grado di adempiere le loro funzioni in ragione di una debolezza fisica o mentale prolungata (nel qual caso due terzi dei commissari devono concordate con la rimozione dall'incarico) (274). Nel contesto di un'indagine, la NHRC può richiedere la presentazione di materiali pertinenti, condurre ispezioni e convocare persone fisiche affinché prestino testimonianza (275). In termini di poteri di imposizione di misure correttive, la NHRC può emettere raccomandazioni (pubbliche) destinate a migliorare o correggere politiche e pratiche specifiche, alle quali le autorità pubbliche devono rispondere proponendo un piano di attuazione (276). Se l'autorità interessata non attua le raccomandazioni, deve informarne la commissione (277), che può a sua volta riferire tale mancanza all'Assemblea nazionale e/o renderla pubblica. Secondo la dichiarazione ufficiale del governo coreano (sezione 2.3.5 dell'allegato II), in genere le autorità coreane si conformano alle raccomandazioni della NHRC e sono fortemente incentivate a farlo in quanto la loro attuazione è stata esaminata nel contesto di una valutazione generale e continua condotta sotto l'egida dell'ufficio del primo ministro. Dai dati annuali sulle sue attività emerge che la NHRC vigila attivamente sulle attività delle autorità di contrasto in materia penale, sulla base di istanze individuali o tramite indagini d'ufficio (278).

(173)

In quarto luogo, la vigilanza generale in merito alla liceità delle attività delle autorità pubbliche è condotta dal BAI, che esamina le entrate e le spese dello Stato, ma che, più in generale, vigila sull'adempimento dei doveri delle autorità pubbliche al fine di migliorare il funzionamento della pubblica amministrazione (279). Il BAI si colloca formalmente al di sotto del presidente della Repubblica di Corea, ma mantiene uno stato indipendente per quanto concerne i suoi doveri (280). Inoltre, è concessa piena indipendenza rispetto alla nomina, alla revoca dell'incarico e all'organizzazione del suo personale, nonché alla compilazione del suo bilancio (281). Il BAI è costituito da un presidente (nominato dal presidente della Repubblica di Corea, con il consenso dell'Assemblea nazionale) (282) e sei commissari (nominati dal presidente della Repubblica di Corea su raccomandazione del presidente del BAI) (283), che devono soddisfare le qualifiche specifiche stabilite dalla legge (284) e possono essere rimossi dall'incarico soltanto in caso di messa in stato di accusa, condanna a una pena detentiva o incapacità di adempiere le proprie funzioni in ragione di una debolezza mentale o fisica prolungata (285). Il BAI conduce una revisione generale su base annuale, ma può altresì effettuare revisioni specifiche in merito a questioni di interesse speciale. Nello svolgere una revisione o un'ispezione, il BAI può richiedere la presentazione dei documenti e la partecipazione di persone fisiche (286). Il BAI può emettere raccomandazioni, richiedere l'adozione di azioni disciplinari oppure depositare una denuncia penale (287).

(174)

Infine l'Assemblea nazionale svolge attività di vigilanza parlamentare delle autorità pubbliche attraverso indagini e ispezioni (288) delle loro attività (289). Può richiedere la divulgazione di documenti, imporre la comparizione di testimoni (290), raccomandare misure correttive (laddove concluda che hanno avuto luogo attività illecite o improprie) (291) e rendere pubblici i risultati delle sue conclusioni (292). Se l'Assemblea nazionale richiede l'adozione di misure correttive che possono ad esempio comprendere il riconoscimento di un risarcimento, l'adozione di azioni disciplinari o il miglioramento delle procedure interne, l'autorità pubblica interessata è tenuta ad agire senza indugio e a riferire in merito all'esito all'Assemblea nazionale (293).

(175)

Il sistema coreano offre diversi mezzi (giudiziari) per ottenere ricorso, compreso il risarcimento dei danni.

(176)

Innanzitutto la legge sulla protezione delle informazioni personali fornisce alle persone fisiche un diritto di accesso, di rettifica, di cancellazione e di sospensione rispetto ai dati personali trattati per finalità di contrasto penale (294).

(177)

In secondo luogo, le persone fisiche possono fare ricorso ai diversi meccanismi di ricorso offerti da legge sulla protezione delle informazioni personali qualora i loro dati siano trattati da un'autorità di contrasto in materia penale in violazione di tale legge oppure in violazione delle limitazioni e delle garanzie che disciplinano la raccolta di dati personali in altre leggi (ossia il codice di procedura penale o la legge sulle comunicazioni, cfr. considerando 171). In particolare le persone fisiche possono promuovere un reclamo presso la PIPC (anche attraverso il call centre per la tutela della vita privata gestito dall'agenzia coreana per la sicurezza e internet (295)) o il comitato di mediazione per le controversie sui dati (296). Tali possibilità di ricorso non sono soggette a ulteriori requisiti di ammissibilità. Ai sensi della legge sui contenziosi amministrativi, le persone fisiche possono inoltre impugnare le decisioni o l'inazione della PIPC (cfr. considerando 132).

(178)

In terzo luogo, qualsiasi persona fisica (297) può promuovere un reclamo presso la NHRC in relazione a una violazione del diritto alla vita privata e alla protezione dei dati da parte di un'autorità coreana di contrasto in materia penale. La NHRC può raccomandare la rettifica o il miglioramento di qualsiasi statuto, istituzione, politica o pratica pertinente (298) oppure l'attuazione di mezzi di ricorso quali la mediazione (299), la cessazione della violazione di diritti umani, il risarcimento dei danni e misure destinate a prevenire la reiterazione della stessa violazione o di violazioni analoghe (300). Secondo la dichiarazione ufficiale rilasciata dal governo coreano (sezione 2.4.2 dell'allegato II), in tale contesto può figurare anche la cancellazione di dati personali raccolti in maniera illecita. Sebbene la NHRC non disponga del potere di rilasciare decisioni vincolanti, offre un mezzo di ricorso più informale, a basso costo e facilmente accessibile, in particolare dato che, come spiegato all'allegato II, sezione 2.4.2, non richiede la dimostrazione di un pregiudizio a livello fattuale affinché un reclamo sia oggetto di indagine (301). Ciò assicura che i reclami promossi da persone fisiche in relazione alla raccolta dei loro dati possano essere soggette a indagine, anche se una persona fisica non è in grado di dimostrare che i suoi dati sono stati in effetti raccolti (ad esempio perché la notifica alla persona fisica non ha ancora avuto luogo). Dalle relazioni annuali di attività della NHRC emerge che le persone fisiche utilizzano questo mezzo di ricorso nella pratica anche per impugnare attività delle autorità di contrasto in materia penale, anche in relazione alla gestione di dati personali (302). Se una persona fisica non è soddisfatta dell'esito di una procedura dinanzi la NHRC, può impugnare le decisioni (ad esempio una decisione di non continuare l'indagine in merito a un reclamo (303)) e le raccomandazioni di quest'ultima adendo gli organi giurisdizionali coreani ai sensi della legge sui contenziosi amministrativi (cfr. considerando 181) (304). Inoltre, una procedura dinanzi la NHRC può facilitare ulteriormente l'accesso agli organi giurisdizionali, dato che una persona fisica potrebbe chiedere ulteriormente ricorso contro l'autorità pubblica che ha trattato i suoi dati in maniera illecita sulla base delle constatazioni della NHRC, in conformità con le procedure illustrate ai considerando da 181 a 183.

(179)

Infine sono disponibili diversi ricorsi giurisdizionali che consentono alle persone fisiche di invocare le limitazioni e le garanzie di cui alla sezione 3.2.1 per ottenere riparazione (305).

(180)

Per quanto concerne i sequestri (anche di dati), il codice di procedura penale prevede la possibilità di opporsi all'esecuzione di un mandato o di impugnare tale esecuzione attraverso un "quasi-reclamo", presentando un'istanza presso l'organo giurisdizionale competente contenente una richiesta di annullamento o di modifica di una disposizione formulata da un pubblico ministero o un funzionario di polizia (306).

(181)

Più in generale, le persone fisiche possono impugnare le azioni (307) o le omissioni (308) di autorità pubbliche (comprese quelle delle autorità di contrasto in materia penale) ai sensi della legge sui contenziosi amministrativi (309). Un'azione amministrativa è considerata una "disposizione impugnabile" se incide direttamente sui diritti e sugli obblighi civili (310), una circostanza questa che, come confermato dal governo coreano (sezione 2.4.3 dell'allegato II), si verifica per le misure destinate a raccogliere dati personali, direttamente (ad esempio tramite l'intercettazione di comunicazioni), tramite richieste di divulgazione obbligatoria (ad esempio rivolte a fornitori di servizi) oppure richieste di cooperazione volontaria. Affinché un'impugnazione ai sensi della legge sui contenziosi amministrativi sia ammissibile, una persona fisica deve avere un interesse giuridico nel perseguire l'istanza (311). Secondo la giurisprudenza della Corte suprema, la nozione di "interesse giuridico" è interpretata come un "interesse protetto dalla legge", ossia un interesse diretto e specifico protetto da leggi e normative sulle quali si basano disposizioni amministrative (il che significa interessi non generali, indiretti e astratti di interessi del pubblico) (312). Le persone fisiche hanno un tale interesse giuridico in caso di violazione delle limitazioni e delle garanzie che si applicano alla raccolta dei loro dati personali per finalità di contrasto penale (a norma di leggi specifiche o della legge sulla protezione delle informazioni personali). Ai sensi della legge sui contenziosi amministrativi, un organo giurisdizionale può decidere di revocare o modificare una disposizione illecita, emettere una constatazione di nullità (ossia una decisione che constati l'assenza di effetto giuridico di una disposizione oppure la sua non esistenza nell'ordinamento giuridico) oppure emettere una constatazione che attesti l'illegalità di un'omissione (313). Una sentenza definitiva ai sensi della legge sui contenziosi amministrativi è vincolante sulle parti (314).

(182)

Oltre a impugnare un'azione di un soggetto governativo tramite un contenzioso amministrativo, le persone fisiche possono altresì promuovere un reclamo costituzionale presso la Corte costituzionale in merito a qualsiasi violazione dei loro diritti fondamentali imputabile all'esercizio o al mancato esercizio di un potere governativo (escludendo le sentenze di organi giurisdizionali) (315). Se sono disponibili altri mezzi di ricorso, occorre che vengano esperiti prima di adire la Corte costituzionale. Secondo la giurisprudenza della Corte costituzionale, i cittadini stranieri possono presentare un reclamo costituzionale nella misura in cui i loro diritti fondamentali siano riconosciuti nel contesto della costituzione coreana (cfr. spiegazioni di cui alla sezione 1.1) (316). La Corte costituzionale può invalidare l'esercizio del potere governativo che ha causato l'infrazione o confermare che una determinata inazione è incostituzionale (317). In tal caso, l'autorità competente è tenuta ad adottare misure per conformarsi alla decisione della Corte.

(183)

Inoltre le persone fisiche possono ottenere un risarcimento per danni adendo gli organi giurisdizionali coreani. In tale contesto figura innanzitutto la possibilità di richiedere un risarcimento per violazioni della legge sulla protezione delle informazioni personali commesse da autorità di contrasto in materia penale, conformemente all'articolo 39 (cfr. anche considerando 135). Più in generale le persone fisiche possono richiedere un risarcimento per danni causati da funzionari pubblici nello svolgimento delle loro funzioni ufficiali in violazione della legge, ai sensi della legge sul risarcimento da parte dello Stato (cfr. anche considerando 135) (318).

(184)

I meccanismi illustrati ai considerando da 176 a 183 offrono agli interessati mezzi di ricorso effettivi in sede amministrativa e giudiziale che consentono loro in particolare di ottenere l'applicazione dei loro diritti, compreso il diritto di avere accesso ai propri dati personali o di ottenerne la rettifica o la cancellazione.

(185)

Il diritto della Repubblica di Corea contempla una serie di limitazioni e garanzie in relazione all'accesso e all'uso di dati personali per finalità di sicurezza nazionale e prevede meccanismi di vigilanza e ricorso in questo settore che sono in linea con i requisiti di cui ai considerando da 141 a 143 della presente decisione. Le condizioni in cui tale accesso può avvenire e le garanzie applicabili all'uso di tali poteri sono valutate in dettaglio nelle sezioni che seguono.

(186)

Nella Repubblica di Corea, è possibile accedere a dati personali per finalità di sicurezza nazionale ai sensi della legge sulle comunicazioni, della legge sulle imprese di telecomunicazione e della legge antiterrorismo per la protezione dei cittadini e della sicurezza pubblica ("legge antiterrorismo") (319). L'autorità principale (320) avente competenze nel settore della sicurezza nazionale è il Servizio nazionale di intelligence (National Intelligence Service, NIS) (321). La raccolta e l'uso dei dati personali da parte del NIS devono rispettare i requisiti giuridici pertinenti (compresa la legge sulla protezione delle informazioni personali e la legge sulle comunicazioni) (322) nonché le linee guida generali preparate dal presidente della Repubblica di Corea e riviste dall'Assemblea nazionale (323). Come principio generale, il NIS deve mantenere la neutralità politica e proteggere la libertà e i diritti delle persone fisiche (324). Inoltre il personale del NIS non deve abusare della sua autorità ufficiale per costringere alcuna istituzione, organizzazione o persona fisica a compiere alcuna azione che non sia tenuta a compiere (ai sensi della legge), né ostacolare l'esercizio da parte di qualsiasi persona dei suoi diritti (325).

(187)

Ai sensi della legge sulle comunicazioni, le autorità pubbliche coreane (326) possono raccogliere dati di conferma di comunicazioni (ossia la data di telecomunicazioni, il loro orario di inizio e fine, il numero di chiamate in uscita e in arrivo nonché il numero dell'abbonato dall'altro capo, la frequenza di utilizzo, i file di registro sull'uso dei servizi di telecomunicazione nonché informazioni relative all'ubicazione, cfr. considerando 155 e il contenuto di comunicazioni (mediante misure di limitazione delle comunicazioni, cfr. considerando 155) per finalità di sicurezza nazionale (come stabilito dal mandato del NIS, cfr. nota 332). Tali poteri si estendono a due tipi di informazioni: 1) comunicazioni nel contesto delle quali una o entrambe parti sono cittadini coreani (327); e 2) comunicazioni di a) paesi ostili alla Repubblica di Corea, b) agenzie, gruppi o cittadini stranieri sospettati di essere coinvolti in attività anti-coreane (328) oppure c) membri di gruppi che operano all'interno della penisola coreana ma di fatto al di fuori della sovranità della Repubblica di Corea e i loro gruppi ombrello con sede in paesi stranieri (329). Le comunicazioni di persone fisiche dell'UE trasferite dall'Unione verso la Repubblica di Corea sulla base della presente decisione possono pertanto essere raccolte soltanto ai sensi della legge sulle comunicazioni per finalità di sicurezza nazionale (fatte salve le condizioni di cui ai considerando da 188 a 192) se avvengono tra una persona fisica dell'UE e un cittadino coreano oppure se riguardano comunicazioni esclusivamente tra cittadini non coreani e rientrano in una delle tre categorie menzionate alle lettere a), b) e c) del punto 2.

(188)

In entrambi gli scenari, la raccolta di dati di conferma di comunicazioni può avvenire soltanto allo scopo di prevenire minacce alla sicurezza nazionale (330) mentre misure di limitazione delle comunicazioni possono essere adottate soltanto in presenza di un rischio grave per la sicurezza nazionale e quando tale raccolta è necessaria per prevenirlo (331). Inoltre è possibile accedere al contenuto di comunicazioni soltanto come misura di ultima istanza e si devono compiere sforzi per ridurre al minimo la violazione della vita privata delle comunicazioni (332), garantendo in tal modo che tale attività sia proporzionata all'obiettivo di sicurezza nazionale perseguito. La raccolta tanto del contenuto di comunicazioni quanto dei dati di conferma di comunicazioni può durare soltanto per un periodo massimo di quattro mesi e deve essere interrotta immediatamente qualora l'obiettivo perseguito sia conseguito prima (333). Se le condizioni pertinenti continuano ad essere soddisfatte, tale termine può essere prorogato, con la preventiva autorizzazione di un organo giurisdizionale (per le misure di cui al considerando 189) o del presidente della Repubblica di Corea (per le misure di cui al considerando 190) (334), per un massimo di quattro mesi.

(189)

Le stesse garanzie procedurali si applicano alla raccolta di dati di conferma di comunicazioni e del contenuto di comunicazioni (335). In particolare qualora almeno una delle persone coinvolte nella comunicazione sia un cittadino coreano, l'agenzia di intelligence deve presentare una richiesta scritta all'Ufficio dell'Alta Procura, che a sua volta deve richiedere l'emissione di un mandato da parte di un giudice di alto livello dell'Alta Corte (336). La legge sulle comunicazioni elenca le informazioni che devono essere fornite nella richiesta al pubblico ministero, nella domanda di mandato e nel mandato stesso, che comprendono in particolare la giustificazione della richiesta e i motivi principali del sospetto nutrito, i materiali a sostegno, nonché informazioni sull'obiettivo, sull'oggetto (ossia la persona o le persone oggetto della misura), la portata e la durata della misura proposta (337). Una raccolta in assenza di mandato può avvenire soltanto in presenza di un atto di cospirazione che minaccia la sicurezza nazionale ed esista un'emergenza che rende impossibile l'espletamento delle procedure di cui sopra (338). Tuttavia, anche in tal caso, occorre presentare una domanda di rilascio di un mandato immediatamente dopo l'adozione della misura (339). La legge sulle comunicazioni definisce chiaramente la portata e le condizioni di tali tipi di raccolta e le assoggetta a garanzie (procedurali) specifiche (inclusa l'approvazione giudiziaria preventiva), che garantisce che l'uso di tali misure sia limitato a quanto necessario e proporzionato. Inoltre l'obbligo di fornire informazioni dettagliate tanto nella domanda di rilascio di un mandato quanto nel mandato stesso esclude la possibilità di un accesso indiscriminato.

(190)

Per le comunicazioni tra cittadini non coreani che rientrano in una delle tre categorie specifiche di cui al considerando 187, occorre presentare una domanda al direttore del NIS che, dopo un riesame dell'adeguatezza delle misure proposte, deve richiedere l'approvazione scritta preventiva al presidente della Repubblica di Corea (340). La domanda preparata dall'agenzia di intelligence deve comprendere le medesime informazioni dettagliate di una domanda per il rilascio di un mandato da parte dell'organo giurisdizionale (cfr. considerando 189), in particolare in merito alla giustificazione della richiesta e ai motivi principali del sospetto nutrito, materiali di sostegno e informazioni su obiettivi, persone fisiche interessate, portata e durata delle misure proposte (341). In situazioni di emergenza (342), occorre ottenere l'approvazione preventiva da parte del ministro al quale l'agenzia di intelligence pertinente fa riferimento, sebbene l'agenzia di intelligence debba richiedere l'approvazione del presidente della Repubblica di Corea immediatamente dopo l'adozione di misure di emergenza (343). Anche rispetto alla raccolta di comunicazioni tra cittadini esclusivamente non coreani, la legge sulle comunicazioni limita pertanto l'uso di tali misure a quanto necessario e proporzionato, circoscrivendo in maniera chiara le categorie limitate di persone fisiche che possono essere soggette a tali misure e definendo i criteri dettagliati che le agenzie di intelligence devono dimostrare per giustificare una domanda per la raccolta di informazioni. Inoltre ciò esclude ancora una volta la possibilità di accesso indiscriminato. Sebbene non vi sia alcuna approvazione preventiva indipendente di tali misure, la vigilanza indipendente è garantita ex post, in particolare, dalla PIPC e dalla NHRC (cfr. considerando 199 e 200).

(191)

La legge sulle comunicazioni impone altresì diverse garanzie supplementari che contribuiscono alla vigilanza ex post e facilitano l'accesso alle persone fisiche a rimedi efficaci. Innanzitutto, per quanto riguarda qualsiasi tipo di raccolta per finalità di sicurezza nazionale, la legge sulle comunicazioni prevede diversi requisiti in materia di tenuta di registri e segnalazione. In particolare quando richiedono la cooperazione di operatori privati, le agenzie di intelligence devono fornire il mandato dell'organo giurisdizionale/l'autorizzazione presidenziale o una copia della copertina di una dichiarazione di censura di emergenza, che il soggetto tenuto a cooperare deve conservare nei suoi registri (344). Se gli operatori privati sono tenuti a cooperare, tanto l'autorità pubblica richiedente quanto l'operatore pertinente devono tenere registrazioni in merito alla finalità e all'oggetto delle misure, nonché alla data di esecuzione (345). Inoltre le agenzie di intelligence devono riferire al direttore del NIS in merito alle informazioni che hanno raccolto e all'esito dell'attività di sorveglianza (346).

(192)

In secondo luogo occorre notificare alle persone fisiche la raccolta dei loro dati (dati di conferma di comunicazioni o contenuto di comunicazioni) per finalità di sicurezza nazionale laddove ciò riguardi comunicazioni nel contesto delle quali almeno una delle parti è un cittadino coreano (347). Tale notifica deve essere effettuata per iscritto entro 30 giorni dalla data in cui la raccolta è terminata (anche laddove i dati siano stati ottenuti in conformità con la procedura di emergenza) e può essere differita soltanto se e nella misura in cui metterebbe a rischio la sicurezza nazionale o la vita e la sicurezza fisica della popolazione (348). Indipendentemente da tale notifica, le persone fisiche possono ottenere una riparazione in modi diversi, come spiegato in maniera più dettagliata nella sezione 3.3.4.

(193)

La legge antiterrorismo prevede che il NIS possa raccogliere dati su sospetti terroristici (349) in conformità con le limitazioni e le garanzie stabilite in altre leggi (350). In particolare il NIS può ottenere dati relativi alle comunicazioni (ai sensi della legge sulle comunicazioni) e altre informazioni personali (attraverso una richiesta di divulgazione volontaria) (351). Per quanto concerne la raccolta di informazioni sulle comunicazioni (ossia contenuto di comunicazioni o dati di conferma di comunicazioni), si applicano le limitazioni e le garanzie di cui alla sezione 3.3.1.1, compreso il requisito di ottenere un mandato omologato da un organo giurisdizionale. Per quanto concerne le richieste di divulgazione volontaria di altri tipi di dati personali di sospetti terroristi, il NIS deve rispettare i requisiti di cui alla costituzione e alla legge sulla protezione delle informazioni personali in materia di necessità e proporzionalità (cfr. considerando 164) (352). I titolari del trattamento che ricevono tali richieste possono conformarvisi volontariamente nel rispetto delle condizioni di cui alla legge sulla protezione delle informazioni personali (ad esempio in conformità con il principio di minimizzazione dei dati e limitando l'impatto sulla vita privata della persona fisica in questione) (353). In tal caso devono altresì rispettare il requisito di notifica alla persona fisica interessata derivante dalla notifica n. 2021-5 (cfr. considerando 166).

(194)

Sulla base della legge sulle imprese di telecomunicazione, i fornitori di servizi di telecomunicazione possono divulgare volontariamente i dati degli abbonati (cfr. considerando 163) su richiesta di un'agenzia di intelligence che intende raccogliere tali informazioni per prevenire una minaccia per la sicurezza nazionale (354). Per quanto concerne tali richieste del NIS, si applicano le stesse limitazioni (derivanti dalla costituzione, dalla legge sulla protezione delle informazioni personali e dalla legge sulle imprese di telecomunicazione) applicate nel settore delle attività di contrasto penale, come indicato al considerando 164 (355). I fornitori di servizi di telecomunicazione non sono tenuti a conformarsi a tali richieste e possono farlo nel rispetto delle condizioni di cui alla legge sulla protezione delle informazioni personali (in particolare in conformità con il principio di minimizzazione dei dati nonché limitando l'impatto sulla vita privata della persona fisica in questione; cfr. anche considerando 193). Gli stessi requisiti per quanto riguarda la tenuta di registri e la notifica alla persona fisica in questione si applicano come nel settore delle attività di contrasto penale (cfr. considerando 165 e 166).

(195)

Il trattamento di dati personali raccolti dalle autorità coreane per finalità di sicurezza nazionale è soggetto ai principi di limitazione della finalità (articolo 3, primo e secondo comma, della legge sulla protezione delle informazioni personali), di liceità e correttezza del trattamento (articolo 3, primo comma, della medesima legge), di proporzionalità/minimizzazione dei dati (articolo 3, primo e sesto comma, e articolo 58 della medesima legge), esattezza (articolo 3, terzo comma, della medesima legge), trasparenza (articolo 3, quinto comma, della medesima legge), sicurezza (articolo 58, quarto comma, della medesima legge) e limitazione della conservazione (articolo 58, quarto comma, della medesima legge) (356). La possibile divulgazione di dati personali a terzi (compresi paesi terzi) può avvenire soltanto nel rispetto di tali principi (in particolare di limitazione della finalità e minimizzazione dei dati), dopo aver valutato il rispetto dei principi di necessità e proporzionalità (articolo 37, secondo comma, della costituzione) e tenendo conto dell'impatto sui diritti delle persone fisiche interessate (articolo 3, sesto comma, della legge sulla protezione delle informazioni).

(196)

Per quanto concerne il contenuto di comunicazioni e i dati di conferma di comunicazioni, la legge sulle comunicazioni limita ulteriormente l'uso di tali dati ai procedimenti giudiziari, nel contesto dei quali una parte coinvolta nella comunicazione fa affidamento su tali informazioni per avanzare una richiesta di risarcimento dei danni; oppure usi consentiti ai sensi di altre leggi (357).

(197)

Le attività delle autorità di sicurezza nazionale coreane sono soggette a vigilanza da parte di organismi diversi (358).

(198)

Innanzitutto la legge antiterrorismo prevede meccanismi di vigilanza specifici per le attività di antiterrorismo, compresa la raccolta di dati su persone sospettate di atti di terrorismo. In particolare, a livello dell'esecutivo, le attività di antiterrorismo sono soggette a vigilanza da parte della commissione antiterrorismo (359), alla quale il direttore del NIS è tenuto a riferire in merito alle indagini e al tracciamento di sospetti terroristi per raccogliere informazioni o materiali necessari per le attività antiterrorismo (360). Inoltre il responsabile della tutela dei diritti umani vigila specificamente sulla conformità delle attività antiterrorismo rispetto ai diritti fondamentali (361). Tale responsabile è nominato dal presidente della commissione antiterrorismo tra persone fisiche che soddisfano qualifiche specifiche elencate nel decreto di applicazione di tale legge (362) per un termine (rinnovabile) di due anni e può essere rimosso dal suo incarico soltanto per motivi specifici e limitati e per giusta causa (363). Nell'esercizio della sua funzione di vigilanza, il responsabile della tutela dei diritti umani può emettere raccomandazioni generali destinate a migliorare la tutela dei diritti umani (364) nonché raccomandazioni specifiche relative a misure correttive qualora sia stata constata una violazione dei diritti umani (365). Le autorità pubbliche sono tenute a informare tale responsabile in merito al seguito dato alle sue raccomandazioni (366).

(199)

In secondo luogo la PIPC vigila sul rispetto da parte delle autorità di sicurezza nazionale rispetto alle norme in materia di protezione dei dati; tale contesto comprende tanto le disposizioni applicabili della legge sulla protezione delle informazioni personali (cfr. considerando 149) quanto le limitazioni e le garanzie che si applicano alla raccolta di dati personali nel contesto di altre leggi (la legge sulle comunicazioni, la legge antiterrorismo e la legge sulle imprese di telecomunicazione; cfr. anche considerando 171) (367). Nell'esercizio di tale ruolo di vigilanza, la PIPC può esercitare tutti i suoi poteri di indagine e di imposizione di misure correttive, come descritto in dettaglio nella sezione 2.4.2.

(200)

In terzo luogo le attività delle autorità di sicurezza nazionale sono soggette alla vigilanza indipendente della NHRC, in conformità con le procedure di cui al considerando 172 (368).

(201)

In quarto luogo, la funzione di vigilanza del BAI si estende anche alle autorità di sicurezza nazionale, sebbene, in circostanze eccezionali, il NIS possa rifiutarsi di fornire determinate informazioni o determinati materiali, ossia quando costituiscono segreti di Stato e la loro conoscenza da parte del pubblico inciderebbe in maniera significativa sulla sicurezza nazionale (369).

(202)

Infine la vigilanza parlamentare sulle attività del NIS è svolta dall'Assemblea nazionale (attraverso un comitato specializzato per l'intelligence) (370). La legge sulle comunicazioni stabilisce un ruolo specifico di vigilanza per l'Assemblea nazionale in merito al ricorso a misure di limitazione delle comunicazioni per finalità di sicurezza nazionale (371). In particolare l'Assemblea nazionale può condurre ispezioni in loco di apparecchiature di intercettazione e può richiedere al NIS e agli operatori di telecomunicazioni che hanno divulgato il contenuto di comunicazioni di riferire in merito a tali divulgazioni. L'Assemblea nazionale può altresì svolgere le sue funzioni generali di vigilanza (in conformità con le procedure di cui al considerando 174). La legge sul NIS prescrive che il direttore del NIS risponda senza indugio quando il comitato per l'intelligence richiede una relazione su una questione specifica (372), prevedendo norme specifiche per talune informazioni particolarmente sensibili. Concretamente il direttore del NIS può rifiutarsi di rispondere o di testimoniare dinanzi il comitato soltanto in circostanze eccezionali, ossia se la richiesta riguarda segreti di Stato relativi a questioni militari, diplomatiche o concernenti la Corea del Nord che potrebbero avere un grave impatto sul "destino nazionale" del paese qualora diventassero di dominio pubblico (373). In tal caso il comitato per l'intelligence può richiedere al primo ministro di fornire una spiegazione e, in assenza di tale spiegazione entro sette giorni, la risposta o la testimonianza non può essere rifiutata.

(203)

Anche nel settore della sicurezza nazionale il sistema coreano offre diversi mezzi (giudiziari) per ottenere ricorso, compreso il risarcimento dei danni. Tali meccanismi offrono agli interessati mezzi di ricorso effettivi in sede amministrativa e giudiziale che consentono loro in particolare di ottenere l'applicazione dei loro diritti, compreso il diritto di avere accesso ai propri dati personali o di ottenerne la rettifica o la cancellazione.

(204)

Innanzitutto, ai sensi dell'articolo 3, quinto comma, dell'articolo 4, primo, terzo e quarto comma, della legge sulla protezione delle informazioni personali, le persone fisiche possono esercitare i loro diritti di accesso, di rettifica, di cancellazione e di sospensione nei confronti delle autorità di sicurezza nazionale. La sezione 6 della notifica n. 2021-5 (allegato I della presente decisione) chiarisce ulteriormente le modalità di applicazione di tali diritti nel contesto del trattamento di dati per finalità di sicurezza nazionale. In particolare un'autorità di sicurezza nazionale può limitare o negare l'esercizio di un tale diritto soltanto nella misura e per il tempo necessari e proporzionati a proteggere un importante obiettivo di interesse pubblico (ad esempio nella misura in cui e per il tempo per il quale la concessione del diritto in questione comprometterebbe un'indagine in corso o costituirebbe una minaccia per la sicurezza nazionale) oppure qualora concedere il diritto in questione possa minacciare la vita o compromettere l'incolumità di una terza parte. Invocare tale limitazione richiede quindi la definizione di un equilibrio tra i diritti e gli interessi della persona fisica rispetto all'interesse pubblico pertinente e non può, in alcun caso, incidere sull'essenza del diritto in questione (articolo 37, secondo comma, della costituzione). Laddove la richiesta venga negata o limitata, la persona fisica deve ricevere una notifica dei motivi senza indugio.

(205)

In secondo luogo, le persone fisiche hanno il diritto di ottenere una riparazione ai sensi della legge sulla protezione delle informazioni personali qualora i loro dati siano stati trattati da un'autorità di sicurezza nazionale in violazione di tale legge o delle limitazioni e delle garanzie stabilite in altre leggi che disciplinano la raccolta di dati personali (in particolare la legge sulle comunicazioni, cfr. considerando 171) (374). Tale diritto può essere esercitato attraverso un reclamo presentato alla PIPC (anche tramite il call centre per la tutela della vita privata gestito dall'agenzia coreana per la sicurezza e internet) (375). Inoltre, al fine di facilitare l'accesso a una riparazione nei confronti di autorità coreane di sicurezza nazionale, le persone fisiche dell'UE possono presentare un reclamo alla PIPC attraverso la loro autorità nazionale di protezione dei dati (376). In tal caso la PIPC invierà una notifica alla persona fisica attraverso quest'ultima autorità una volta conclusa l'indagine (fornendo altresì, laddove applicabile, informazioni in merito a misure correttive imposte). Ai sensi della legge sui contenziosi amministrativi, le persone fisiche possono inoltre impugnare le decisioni o l'inazione della PIPC (cfr. considerando 132).

(206)

In terzo luogo le persone fisiche possono promuovere un reclamo presso il responsabile della tutela dei diritti umani in merito alla violazione del loro diritto alla vita privata/alla protezione dei dati nel contesto di attività di antiterrorismo (ossia ai sensi della legge antiterrorismo) (377), il quale può raccomandare azioni correttive. Dato che non vi sono requisiti di ammissibilità per rivolgersi al responsabile della tutela dei diritti umani, un reclamo verrà gestito anche se la persona fisica in questione non è in grado di dimostrare di aver subito in effetti un pregiudizio (ad esempio in ragione della presunta raccolta illecita dei suoi dati da parte di un'autorità di sicurezza nazionale) (378). L'autorità pertinente deve informare il responsabile della tutela dei diritti umani di eventuali misure adottate per attuare le sue raccomandazioni.

(207)

In quarto luogo le persone fisiche possono presentare un reclamo presso la NHRC in relazione alla raccolta dei loro dati da parte delle autorità di sicurezza nazionale e ottenere una riparazione in conformità con la procedura di cui al considerando 178 (379).

(208)

Infine sono disponibili diversi ricorsi giurisdizionali (380) che consentono alle persone fisiche di invocare le limitazioni e le garanzie di cui alla sezione 3.3.1 per ottenere una riparazione. In particolare le persone fisiche possono contestare la legalità delle azioni delle autorità di sicurezza nazionale ai sensi della legge sui contenziosi amministrativi (secondo la procedura illustrata al considerando 181 o la legge sulla Corte costituzionale (cfr. considerando 182). Possono inoltre ottenere un risarcimento dei danni ai sensi della legge sul risarcimento da parte dello Stato (come illustrato in maggior dettaglio al considerando 183).

(209)

La Commissione ritiene che la Repubblica di Corea, attraverso la legge sulla protezione delle informazioni personali, le norme speciali applicabili a determinati settori (come analizzate nella sezione 2) e le garanzie supplementari di cui alla notifica n. 2021-5 (allegato I), assicuri un livello di protezione dei dati personali trasferiti dall'Unione europea sostanzialmente equivalente a quello garantito dal regolamento (UE) 2016/679.

(210)

Inoltre la Commissione ritiene che, nel complesso, i meccanismi di vigilanza e i mezzi di ricorso previsti dalla normativa coreana consentano di individuare e affrontare nella pratica le violazioni delle norme in materia di protezione dei dati commesse dai titolari del trattamento in Corea e offrano all'interessato mezzi di ricorso che gli consentono di accedere ai dati personali che lo riguardano e, in ultima analisi, di ottenerne la rettifica o la cancellazione.

(211)

Infine, sulla base delle informazioni disponibili sull'ordinamento giuridico coreano, comprese le dichiarazioni, le garanzie e gli impegni del governo coreano figuranti nell'allegato II, la Commissione ritiene che qualsiasi ingerenza attuata nell'interesse pubblico, in particolare per finalità di contrasto penale e di sicurezza nazionale, da parte di autorità pubbliche coreane in relazione ai diritti fondamentali delle persone i cui dati personali sono trasferiti dall'Unione europea alla Repubblica di Corea sarà limitata a quanto strettamente necessario a conseguire l'obiettivo legittimo in questione, e che contro tali ingerenze esista un'efficace tutela giuridica.

(212)

Di conseguenza, in considerazione delle risultanze di cui alla presente decisione, si dovrebbe decidere che la Repubblica di Corea garantisce un livello di protezione adeguato ai sensi dell'articolo 45 del regolamento (UE) 2016/679, interpretato alla luce della Carta dei diritti fondamentali dell'Unione europea, per i dati personali trasferiti dall'Unione europea alla Repubblica di Corea a titolari del trattamento di dati personali in tale Stato soggetti alla legge sulla protezione delle informazioni personali, fatta eccezione per le organizzazioni religiose nella misura in cui trattano dati personali per le loro attività missionarie, i partiti politici nella misura in cui trattano dati personali nel contesto della nomina di candidati e i titolari del trattamento che sono soggetti a vigilanza da parte della commissione per i servizi finanziari per il trattamento delle informazioni creditizie personali ai sensi della legge sulle informazioni creditizie, nella misura in cui trattino tali informazioni.

(213)

Gli Stati membri e i loro organi sono tenuti ad adottare le misure necessarie per conformarsi agli atti delle istituzioni dell'Unione, che si presumono legittimi e producono pertanto effetti giuridici, finché non siano stati revocati o annullati nel contesto di un ricorso per annullamento ovvero dichiarati invalidi a seguito di un rinvio pregiudiziale o di un'eccezione di illegittimità.

(214)

Di conseguenza, una decisione di adeguatezza adottata dalla Commissione a norma dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 è vincolante per tutti gli organi degli Stati membri che ne sono i destinatari, comprese le autorità di controllo indipendenti. In particolare i trasferimenti da un titolare del trattamento o un responsabile del trattamento nell'Unione europea verso titolari del trattamento nella Repubblica di Corea possono avvenire senza la necessità di ottenere ulteriori autorizzazioni.

(215)

È opportuno ricordare che, ai sensi dell'articolo 58, paragrafo 5, del regolamento (UE) 2016/679, e come spiegato dalla Corte di giustizia nella sentenza Schrems (381), quando un'autorità nazionale di protezione dei dati mette in dubbio, anche in seguito a un reclamo, la compatibilità di una decisione di adeguatezza della Commissione con i diritti fondamentali della persona fisica concernenti la tutela della vita privata e la protezione dei dati, il diritto nazionale deve prevedere mezzi di ricorso per l'affermazione di tali obiezioni dinanzi un organo giurisdizionale nazionale, che può essere tenuto a effettuare un rinvio pregiudiziale alla Corte di giustizia (382).

(216)

Secondo la giurisprudenza della Corte di giustizia (383), e come riconosciuto dall'articolo 45, paragrafo 4, del regolamento (UE) 2016/679, la Commissione dovrebbe monitorare costantemente gli sviluppi nel paese terzo registrati dopo l'adozione di una decisione di adeguatezza, al fine di valutare se il paese terzo continui a garantire un livello di protezione sostanzialmente equivalente. Tale verifica è in ogni caso obbligatoria quando la Commissione riceve informazioni che fanno sorgere un dubbio giustificato al riguardo.

(217)

La Commissione dovrebbe pertanto controllare su base continuativa la situazione nella Repubblica di Corea per quanto riguarda il quadro giuridico e la prassi effettiva del trattamento dei dati personali valutati dalla presente decisione, compreso il rispetto da parte delle autorità coreane delle dichiarazioni, delle garanzie e degli impegni figuranti nell'allegato II. Per agevolare tale processo, le autorità coreane dovrebbero essere invitate a informare prontamente la Commissione degli sviluppi sostanziali rilevanti ai fini della presente decisione, per quanto concerne il trattamento dei dati personali da parte degli operatori economici e delle autorità pubbliche, nonché le limitazioni e le garanzie applicabili all'accesso ai dati personali da parte delle autorità pubbliche.

(218)

Inoltre, al fine di consentire alla Commissione di svolgere in modo efficace la propria funzione di monitoraggio, gli Stati membri dovrebbero informarla delle eventuali azioni intraprese dalle autorità nazionali di protezione dei dati, in particolare per quanto riguarda eventuali domande o reclami presentati da interessati dell'UE relativamente al trasferimento di dati personali dall'Unione europea verso titolari del trattamento nella Repubblica di Corea. La Commissione dovrebbe inoltre essere informata di eventuali indicazioni del fatto che le azioni delle autorità pubbliche della Repubblica di Corea responsabili della prevenzione, dell'indagine, dell'accertamento o del perseguimento dei reati ovvero della sicurezza nazionale, compresi gli organismi di vigilanza, non garantiscono il necessario livello di protezione.

(219)

In applicazione dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 (384) e alla luce del fatto che il livello di protezione assicurato dall'ordinamento giuridico coreano può evolversi, la Commissione, successivamente all'adozione della presente decisione, dovrebbe riesaminare periodicamente se le constatazioni relative al livello di protezione assicurato dalla Repubblica di Corea continuino ad essere giustificate in fatto e in diritto.

(220)

A tal fine la presente decisione dovrebbe essere oggetto di un primo riesame entro tre anni dall'entrata in vigore. A seguito del primo riesame, e tenuto conto del suo esito, la Commissione deciderà, in stretta consultazione con il comitato istituito a norma dell'articolo 93, paragrafo 1, del regolamento (UE) 2016/679, se mantenere il ciclo di tre anni. In ogni caso i successivi riesami dovrebbero avvenire almeno ogni quattro anni (385). Detto riesame dovrebbe riguardare tutti gli aspetti del funzionamento della presente decisione, in particolare: l'applicazione delle garanzie supplementari di cui all'allegato I della presente decisione, con particolare riguardo alle tutele offerte in caso di trasferimenti successivi; gli sviluppi pertinenti della giurisprudenza; le norme sul trattamento di informazioni pseudonimizzate per finalità di compilazione di statistiche, di ricerca scientifica e di archiviazione nell'interesse pubblico, nonché l'applicazione delle eccezioni di cui all'articolo 28, settimo comma, della legge sulla protezione delle informazioni personali; l'efficacia dell'esercizio dei diritti individuali, anche dinanzi la PIPC riformata di recente, nonché l'applicazione di eccezioni a tali diritti; l'applicazione di esenzioni parziali nel contesto della legge sulla protezione delle informazioni personali; così come le limitazioni e le garanzie per quanto concerne l'accesso da parte di pubbliche amministrazioni (come indicato nell'allegato II della presente decisione), compresa la cooperazione della PIPC con le autorità di protezione dei dati dell'UE in merito a reclami da parte di persone fisiche. Dovrebbe inoltre includere l'efficacia della vigilanza e delle attività di contrasto, per quanto riguarda la legge sulla protezione delle informazioni personali nonché nel settore delle attività di contrasto penale e della sicurezza nazionale (in particolare da parte della PIPC e della NHRC).

(221)

Per effettuare il riesame, la Commissione dovrebbe incontrare la PIPC, accompagnata, se del caso, da altre autorità coreane competenti per l'accesso delle pubbliche amministrazioni, compresi i pertinenti organismi di vigilanza. Alla riunione dovrebbero poter partecipare i rappresentanti dei membri del comitato europeo per la protezione dei dati. Nel quadro del riesame la Commissione dovrebbe chiedere alla PIPC di fornire informazioni complete su tutti gli aspetti pertinenti alla constatazione di adeguatezza, incluse le limitazioni e le garanzie relativamente all'accesso delle pubbliche amministrazioni (386). La Commissione dovrebbe inoltre chiedere delucidazioni in merito a qualsiasi informazione ricevuta risultata pertinente ai fini della presente decisione, comprese le relazioni pubbliche delle autorità coreane o di altri portatori di interessi in Corea, del comitato europeo per la protezione dei dati, delle singole autorità di protezione dei dati e dei gruppi della società civile, le informazioni dei mezzi di comunicazione o qualsiasi altra fonte di informazioni disponibile.

(222)

La Commissione dovrebbe elaborare, sulla base del riesame, una relazione pubblica da presentare al Parlamento europeo e al Consiglio.

(223)

Se dalle informazioni disponibili, in particolare da quelle risultanti dal monitoraggio della presente decisione o fornite dalle autorità coreane o degli Stati membri, risulta che il livello di protezione offerto dalla Repubblica di Corea potrebbe non essere più adeguato, la Commissione dovrebbe informare prontamente le autorità coreane competenti e richiedere che adottino misure adeguate entro un periodo di tempo specificato e ragionevole.

(224)

Laddove alla scadenza di tale periodo di tempo specificato le autorità coreane competenti non abbiano adottato tali misure o non dimostrino altrimenti in modo soddisfacente che la presente decisione continua ad essere basata su un livello di protezione adeguato, la Commissione avvierà la procedura di cui all'articolo 93, paragrafo 2, del regolamento (UE) 2016/679 al fine di sospendere o abrogare parzialmente o completamente la presente decisione.

(225)

In alternativa, la Commissione avvierà tale procedura al fine di modificare la presente decisione, in particolare imponendo ulteriori condizioni per i trasferimenti di dati o limitando il riconoscimento dell'adeguatezza soltanto ai trasferimenti di dati per cui continua ad essere garantito un livello di protezione adeguato.

(226)

In particolare, la Commissione dovrebbe avviare la procedura di sospensione o abrogazione in caso di indicazioni del fatto che le garanzie supplementari di cui all'allegato I non sono rispettate dagli operatori economici che ricevono dati personali a norma della presente decisione e/o non sono effettivamente fatte rispettare, oppure del fatto che le autorità coreane non rispettano le dichiarazioni, le garanzie e gli impegni figuranti nell'allegato II della presente decisione.

(227)

La Commissione dovrebbe inoltre valutare l'opportunità di avviare la procedura di modifica, sospensione o abrogazione della presente decisione se, nel contesto del riesame o in altro contesto, le autorità coreane competenti non forniscano le informazioni o i chiarimenti necessari alla valutazione del livello di protezione offerto ai dati personali trasferiti dall'Unione europea alla Repubblica di Corea o per quanto concerne la conformità alla presente decisione. A tale riguardo, la Commissione dovrebbe tener conto della misura in cui le informazioni pertinenti possono essere ottenute da altre fonti.

(228)

In ragione di motivi imperativi d'urgenza debitamente giustificati, la Commissione farà ricorso alla possibilità di adottare, conformemente alla procedura di cui all'articolo 93, paragrafo 3, del regolamento (UE) 2016/679, atti di esecuzione immediatamente applicabili destinati a sospendere, abrogare o modificare la presente decisione.

(229)

Il comitato europeo per la protezione dei dati ha pubblicato il proprio parere (387), del quale si è tenuto conto nell'elaborazione della presente decisione.

(230)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito a norma dell'articolo 93, paragrafo 1, del regolamento (UE) 2016/679,