COMMISSIONE EUROPEA

Bruxelles, 3.4.2023

COM(2023) 275 final

RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

sul primo riesame del funzionamento della decisione di adeguatezza relativa al Giappone

{SWD(2023) 75 final}

RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

sul primo riesame del funzionamento della decisione di adeguatezza relativa al Giappone

1.PRIMO RIESAME – CONTESTO, PREPARAZIONE E PROCESSO

Il 23 gennaio 2019 la Commissione europea ha adottato una decisione a norma dell'articolo 45 del regolamento (UE) 2016/679 (GDPR) 1 , in cui ha stabilito che il Giappone garantisce un livello adeguato di protezione dei dati personali trasferiti dall'Unione europea alle imprese che gestiscono informazioni personali 2 in Giappone 3 . Di conseguenza i trasferimenti di dati dall'UE agli operatori privati in Giappone possono aver luogo senza requisiti aggiuntivi 4 .

La decisione di adeguatezza della Commissione riguarda la legge giapponese sulla protezione delle informazioni personali (APPI), completata da norme integrative attuate per sormontare alcune differenze di rilievo tra l'APPI e il GDPR 5 . Tali garanzie aggiuntive rafforzano, ad esempio, la protezione dei dati sensibili (ampliando le categorie di informazioni personali considerate dati sensibili), l'esercizio dei diritti individuali (chiarendo che i diritti individuali possono essere esercitati anche per i dati personali detenuti per un periodo inferiore a sei mesi, il che all'epoca non era previsto dall'APPI) 6 e le condizioni alle quali i dati dell'UE possono essere ulteriormente soggetti a trasferimenti ("successivi") dal Giappone a un altro paese terzo 7 . Le norme integrative sono vincolanti per gli operatori giapponesi e possono essere rese esecutive da parte dell'autorità indipendente per la protezione dei dati (la Commissione per la protezione delle informazioni personali, PPC) o, direttamente dai cittadini dell'UE, dinanzi agli organi giurisdizionali giapponesi 8 .

Il governo giapponese ha inoltre fornito alla Commissione dichiarazioni, garanzie e impegni ufficiali per quanto riguarda le limitazioni e le garanzie relative all'accesso e all'uso delle informazioni personali da parte delle autorità pubbliche giapponesi per motivi di contrasto penale e di sicurezza nazionale, chiarendo che tale eventuale trattamento è limitato a quanto necessario e proporzionato ed è soggetto a vigilanza indipendente e a meccanismi di ricorso efficaci 9 . I meccanismi di ricorso in questo ambito comprendono una specifica procedura di risoluzione delle controversie gestita e controllata dalla PPC e istituita per i cittadini dell'UE, i cui dati personali sono trasferiti sulla base della decisione di adeguatezza 10 .

Al momento dell'adozione della decisione di adeguatezza della Commissione, il Giappone ha adottato una decisione equivalente per i trasferimenti di dati verso l'UE, creando il più grande spazio al mondo di libera circolazione dei dati sulla base di un livello elevato di protezione degli stessi 11 . Tali decisioni di adeguatezza reciproca integrano e amplificano i vantaggi dell'accordo di partenariato economico (APE) UE-Giappone, entrato in vigore a febbraio 2019 12 , e dell'accordo di partenariato strategico 13 negoziato parallelamente all'APE. Le imprese di entrambe le parti beneficiano delle sinergie tra le decisioni di adeguatezza reciproca e l'APE, in quanto la possibilità di libera circolazione dei dati tra l'UE e il Giappone agevola ulteriormente gli scambi commerciali e crea notevoli opportunità commerciali grazie a un accesso privilegiato ai rispettivi mercati. Ciò costituisce inoltre un precedente importante, in quanto dimostra chiaramente che, nell'era digitale, la promozione di elevati standard di tutela della vita privata e l'agevolazione del commercio internazionale possono e devono andare di pari passo.

Dall'adozione delle decisioni di adeguatezza, l'UE e il Giappone, in quanto partner che condividono gli stessi principi, hanno ulteriormente intensificato la loro cooperazione sulle questioni digitali in generale, e più specificamente sui flussi di dati. A livello bilaterale, ciò si riflette in particolare nella conclusione del partenariato digitale a maggio 2022 14 e nell'avvio, a ottobre 2022, di negoziati per includere nell'APE disposizioni sui flussi transfrontalieri di dati 15 , fatto che permetterà di rafforzare ulteriormente le sinergie con l'accordo di adeguatezza reciproca. A livello multilaterale, l'UE e il Giappone hanno fatto fronte comune per promuovere, rafforzare e rendere operativo il concetto di "Data Free Flow with Trust" (libera circolazione dei dati con fiducia), avviato per iniziativa del compianto primo ministro Shinzo Abe, anche attraverso una stretta collaborazione nel quadro del G7, dell'Organizzazione mondiale del commercio (nel contesto dell'iniziativa di dichiarazione congiunta sul commercio elettronico) e dell'Organizzazione per la cooperazione e lo sviluppo economico (OCSE). In seno all'OCSE, l'intensa cooperazione tra l'UE e il Giappone su tali questioni è stata determinante, in particolare per l'adozione, per la prima volta a livello internazionale, di principi comuni sull'accesso dei governi ai dati personali in possesso del settore privato 16 . Tali aree di intervento si fondavano tutte, in misura maggiore o minore, sui valori e sui requisiti condivisi che sono alla base dell'accordo di adeguatezza reciproca UE‑Giappone.

Per verificare regolarmente che le conclusioni della decisione di adeguatezza continuino ad essere giustificate in fatto e in diritto, la Commissione è tenuta a effettuare un riesame periodico e a riferire in merito ai risultati al Parlamento europeo e al Consiglio 17 . La presente relazione, che riguarda tutti gli aspetti del funzionamento della decisione, conclude il primo riesame periodico. Per il Giappone hanno partecipato al riesame i rappresentanti della PPC, del ministero dell'Interno e delle comunicazioni, del ministero della Giustizia, del ministero della Difesa e dell'Agenzia nazionale di polizia. La delegazione dell'UE comprendeva tre rappresentanti designati dal Comitato europeo per la protezione dei dati (EDPB), nonché alcuni membri della Commissione europea.

Il 26 ottobre 2021 si è tenuta una riunione di riesame tra le due delegazioni, preceduta e seguita da numerosi scambi. In particolare, al fine di preparare il riesame, la Commissione ha raccolto informazioni dalle autorità giapponesi sul funzionamento della decisione, in particolare sull'attuazione delle norme integrative. La Commissione ha inoltre cercato di ottenere informazioni da fonti pubbliche ed esperti locali sul funzionamento della decisione e sui pertinenti sviluppi del diritto e della prassi giapponesi, sia per quanto riguarda le norme in materia di protezione dei dati applicabili agli operatori privati sia per quanto concerne l'accesso degli enti pubblici. In seguito alla riunione di riesame sono intercorsi diversi scambi tra la Commissione e la PPC al fine di dare seguito ai punti discussi in occasione di tale riunione e, in particolare, affrontare le questioni sollevate dall'introduzione nell'APPI di norme sulle informazioni personali pseudonimizzate.

2.PRINCIPALI RISULTANZE

Le risultanze dettagliate sul funzionamento di tutti gli aspetti della decisione di adeguatezza sono presentate nel documento di lavoro dei servizi della Commissione (SWD(2023) 75) che accompagna la presente relazione.

In particolare il primo riesame ha dimostrato che, dall'adozione delle decisioni di adeguatezza reciproca, i quadri in materia di protezione dei dati di UE e Giappone si sono ulteriormente ravvicinati. L'APPI è stata modificata in due occasioni: il 5 giugno 2020, tramite la legge recante modifica della legge sulla protezione delle informazioni personali del 2020 (modifica dell'APPI del 2020), entrata in vigore il 1º aprile 2022 18 ; e il 12 maggio 2021, tramite la legge sull'organizzazione di leggi correlate per la costituzione di una società digitale (modifica dell'APPI del 2021) 19 . Le norme integrative sono state adattate in consultazione con la Commissione per tener conto di tali modifiche.

Tali modifiche hanno avvicinato ulteriormente i sistemi dell'UE e del Giappone, in particolare rafforzando gli obblighi in materia di sicurezza dei dati (mediante l'introduzione di un obbligo di notifica delle violazioni dei dati), i diritti degli interessati (in particolare il diritto di accesso e il diritto di opposizione) e le tutele concesse in caso di trasferimenti di dati (sotto forma di requisiti supplementari in materia di informazioni e monitoraggio, comprese le informazioni sui possibili rischi connessi all'accesso dell'amministrazione pubblica nel paese di destinazione). In tale contesto è particolarmente significativo il fatto che alcune delle garanzie aggiuntive previste dalle norme integrative per i dati personali provenienti dall'UE, ossia quelle relative alla conservazione dei dati e alle condizioni per il consenso informato per i trasferimenti transfrontalieri, siano state integrate nell'APPI, rendendole in tal modo generalmente applicabili a tutti i dati personali, indipendentemente dalla loro origine o dal loro punto di raccolta 20 .

Un altro sviluppo fondamentale che la Commissione accoglie con favore è la trasformazione dell'APPI in un quadro globale in materia di protezione dei dati che interessa sia il settore pubblico che quello privato, soggetto alla vigilanza esclusiva della PPC 21 . Tale ulteriore rafforzamento del quadro giapponese in materia di protezione dei dati e dei poteri della PPC potrebbe aprire la strada a un'estensione della decisione di adeguatezza al di là degli scambi commerciali, al fine di inserirvi i trasferimenti attualmente esclusi dal suo ambito di applicazione, ad esempio nel settore della cooperazione normativa e della ricerca.

Il primo riesame si è concentrato anche sulle nuove norme relative alla creazione e all'utilizzo delle "informazioni personali pseudonimizzate", introdotte dalla modifica dell'APPI del 2020 22 . L'obiettivo di tali nuove norme è essenzialmente quello di agevolare l'utilizzo (interno) delle informazioni personali da parte delle imprese che gestiscono informazioni personali preminentemente a fini statistici (ad esempio, per individuare tendenze e modelli al fine di favorire ulteriori attività, compresa la ricerca). La riunione di riesame e i successivi scambi tra la Commissione e la PPC hanno consentito di chiarire l'interpretazione e l'applicazione di tali nuove disposizioni. A seguito di tali discussioni, al fine di tenere maggiormente conto della prevista applicazione di tali nuove disposizioni, garantendo così la certezza del diritto e la trasparenza, il 15 marzo 2023 le norme integrative sono state modificate in due modi 23 . In primo luogo, le norme integrative stabiliscono che tali informazioni possono essere utilizzate solo a fini statistici (definiti come trattamento necessario alle indagini statistiche o alla produzione di risultati statistici) per produrre dati aggregati e che i risultati del trattamento non saranno utilizzati a sostegno di misure o decisioni riguardanti persone specifiche. In secondo luogo, esse chiariscono che le informazioni personali sottoposte a pseudonimizzazione provenienti dall'UE saranno comunque considerate "informazioni personali" ai sensi dell'APPI, al fine di garantire che la continuità della protezione dei dati considerati dati personali ai sensi del GDPR non sia compromessa in caso di trasferimento sulla base della decisione di adeguatezza 24 .

Per quanto riguarda l'attuazione pratica delle garanzie di protezione dei dati, la Commissione accoglie con favore le diverse misure adottate dalla PPC. Queste comprendono l'adozione di orientamenti aggiornati, anche in materia di trasferimenti internazionali di dati. La Commissione osserva che tali orientamenti potrebbero essere chiariti anche per soddisfare i requisiti specifici che si applicano, ai sensi delle norme integrative, ai trasferimenti successivi dal Giappone di dati personali provenienti dall'Unione, tra cui, come risulta dalla norma integrativa (4) e spiegato nella decisione di adeguatezza 25 , l'esclusione dei trasferimenti successivi sulla base del sistema di norme transfrontaliere in materia di privacy (CBPR) dell'APEC. Inoltre, sebbene la PPC abbia spiegato che i PIHBO inquadrano i trasferimenti successivi di dati provenienti dall'UE "concludendo un contratto che vincola il destinatario a misure che garantiscono la continuità della protezione", attualmente la PPC non fornisce orientamenti sul contenuto raccomandato (in termini di garanzie) delle "misure equivalenti" utilizzate per i trasferimenti internazionali di dati, né sotto forma di orientamenti né sotto forma di contratti tipo relativi alla protezione dei dati. Tali ulteriori chiarimenti, che potrebbero in particolare basarsi sullo scambio di informazioni e migliori pratiche tra la PPC e la Commissione, potrebbero rivelarsi particolarmente utili, in quanto riguardano aspetti assai rilevanti per le imprese che operano in entrambe le giurisdizioni.

Per quanto riguarda la vigilanza e l'applicazione delle norme, la Commissione osserva che la PPC ha fatto maggiormente ricorso ai suoi poteri non coercitivi di orientamento e consulenza (articolo 147 dell'APPI) che ai suoi poteri coercitivi (ad es., al fine di imporre ordinanze vincolanti, articolo 148 dell'APPI) nel periodo successivo all'adozione della decisione di adeguatezza. La PPC ha inoltre riferito che, ad oggi, non sono pervenuti reclami in merito al rispetto delle norme integrative e che la PPC stessa non ha condotto, di sua iniziativa, indagini su tali questioni. Tuttavia, nel corso della riunione di riesame, la PPC ha annunciato che sta valutando la possibilità di effettuare, di propria iniziativa, controlli a campione per garantire il rispetto delle norme integrative. La Commissione accoglie con favore tale annuncio, in quanto ritiene che tali controlli a campione sarebbero molto importanti per la prevenzione, l'individuazione e la gestione di (eventuali) violazioni delle norme integrative, garantendo così l'effettivo rispetto di tali norme. Poiché le modifiche dell'APPI del 2020 e del 2021 hanno rafforzato i poteri di vigilanza della PPC, detti controlli a campione potrebbero rientrare in uno sforzo generale volto ad aumentare il ricorso a tali poteri.

Infine la Commissione accoglie con grande favore l'istituzione di appositi punti di contatto per i cittadini dell'UE che hanno interrogativi o preoccupazioni in merito al trattamento dei loro dati personali in Giappone, da parte di operatori commerciali (linea di assistenza telefonica per la richiesta di informazioni) o di autorità pubbliche (linea di assistenza telefonica per la mediazione reclami). Nel contempo segnala che sulla pagina web della linea di assistenza telefonica per la richiesta di informazioni viene indicato che l'assistenza è disponibile solo in lingua giapponese, il che potrebbe dissuadere i cittadini dell'UE dall'avvalersi di tale strumento, sebbene la PPC abbia spiegato che è possibile, in linea di principio, ricevere assistenza in lingua inglese. Alla Commissione risulta che la PPC esaminerà le modalità per facilitare l'accessibilità di tali punti di contatto per gli europei, anche fornendo chiarimenti al riguardo.

3.CONCLUSIONI

Sulla base delle risultanze generali di questo primo riesame, la Commissione conclude che il Giappone continua a garantire un livello adeguato di protezione dei dati personali trasferiti dall'Unione europea a operatori economici che gestiscono informazioni personali in Giappone e che sono soggetti all'APPI, quale completata dalle norme integrative, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali che figurano nell'allegato II della decisione. In tale contesto i servizi della Commissione riconoscono e apprezzano molto l'eccellente cooperazione, in sede di svolgimento del riesame, con le autorità giapponesi e, in particolare, con la PPC.

Alla luce dell'esito del riesame e in linea con il considerando 181 della decisione di adeguatezza, la Commissione ritiene che per i riesami futuri non sia necessario mantenere il ciclo biennale e ritiene pertanto opportuno passare a un ciclo di quattro anni a norma dell'articolo 45, paragrafo 3, del GDPR. Essa consulterà di a tale proposito il comitato istituito a norma dell'articolo 93, paragrafo 1, del GDPR 26 .

Al contempo il rafforzamento di alcuni aspetti del quadro giapponese potrebbe contribuire a potenziare ulteriormente le garanzie previste dall'APPI e dalle norme integrative. A tal fine, la Commissione formula le raccomandazioni elencate di seguito.

1.La Commissione accoglie con favore e incoraggia ulteriormente il previsto ricorso, da parte della PPC, a controlli a campione volti a garantire il rispetto delle norme integrative. Essa ritiene che tali controlli a campione potrebbero rivelarsi uno strumento efficace per l'individuazione e la gestione di (potenziali) violazioni delle norme integrative, garantendo così l'effettivo rispetto di tali norme.

2.La Commissione accoglie con favore il fatto che la PPC abbia pubblicato orientamenti aggiornati sui trasferimenti internazionali, in quanto tali orientamenti aumenteranno l'accessibilità delle norme dell'APPI in materia e le renderanno di più facile utilizzo. Tali orientamenti (o altro materiale orientativo) dovrebbero inoltre illustrare, se del caso, i requisiti specifici derivanti dalle norme integrative, anche per quanto riguarda l'esclusione della certificazione nell'ambito del sistema CBPR dell'APEC per i trasferimenti successivi di dati personali provenienti dall'UE.

3.Durante il riesame si è discusso di come rendere più accessibili agli stranieri le linee di assistenza telefonica per la richiesta di informazioni/mediazione della PPC per le domande e i reclami dei singoli. In tale contesto sarebbe importante chiarire sul sito web dedicato che, in linea di principio, è possibile ricevere assistenza in lingua inglese.

Il riesame ha inoltre consentito di individuare alcuni possibili ambiti di cooperazione futura. Come già menzionato, attualmente la PPC non fornisce orientamenti sul contenuto raccomandato (in termini di garanzie) delle misure equivalenti utilizzate per i trasferimenti internazionali di dati, né sotto forma di orientamenti né sotto forma di contratti tipo relativi alla protezione dei dati. Data la crescente importanza delle clausole tipo e il loro potenziale quale strumento globale per i trasferimenti di dati, come riconosciuto ad esempio dal G7 27 e dall'OCSE 28 , la Commissione ha manifestato interesse per la cooperazione futura con il Giappone nell'elaborazione di tali clausole. L'estensione dell'ambito di applicazione della decisione di adeguatezza al di là dei trasferimenti tra operatori commerciali è un altro settore che la Commissione intende esplorare insieme alla PPC.

La Commissione continuerà a monitorare attentamente il quadro giapponese in materia di protezione dei dati e le prassi attuali. A tale riguardo, attende con interesse i futuri scambi con le autorità giapponesi su sviluppi rilevanti ai fini della decisione 29 , nonché un ulteriore rafforzamento della cooperazione a livello internazionale in un momento in cui vi è una crescente domanda di norme globali in materia di vita privata e flussi di dati.

(1)    GU L 119 del 4.5.2016, pag. 1 (GDPR).

(2)    Nella versione della legge giapponese sulla protezione delle informazioni personali (APPI) in vigore al momento dell'adozione della decisione di adeguatezza, tale nozione era così formulata: "operatore economico che gestisce informazioni personali" (PIHBO). L'articolo 16, paragrafo 2, dell'APPI modificata definisce un'impresa che gestisce informazioni personali "una persona che utilizza banche dati di informazioni personali o equivalenti a scopi commerciali", ad esclusione degli enti governativi e amministrativi a livello centrale e locale. Ai sensi dell'APPI la nozione di "attività commerciale" è molto ampia e include non soltanto le attività esercitate da qualsiasi organizzazione o persona con scopo di lucro ma anche quelle che ne sono prive. L'uso "a scopi commerciali" include inoltre le informazioni personali che non sono utilizzate nei rapporti commerciali (esterni) dell'operatore, ma internamente, ad esempio per il trattamento dei dati dei dipendenti. Cfr. i considerando da 32 a 34 della decisione.

(3)    Decisione di esecuzione (UE) 2019/419 della Commissione, del 23 gennaio 2019, a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio per quanto riguarda la protezione adeguata dei dati personali da parte del Giappone a norma della legge sulla protezione delle informazioni personali, GU L 76 del 19.3.2019, pag. 1.

(4)    Cfr. l'articolo 45 del GDPR e il considerando 5 della decisione.

(5)    Si veda l'allegato I della decisione.

(6)

   Nel frattempo la modifica dell'APPI del 2020 ha rivisto la definizione di "dati personali detenuti dall'impresa" in maniera tale da non escludere più i dati personali "destinati a essere cancellati" entro un periodo di sei mesi (articolo 16, paragrafo 4, dell'APPI modificata). Nella versione dell'APPI in vigore al momento dell'adozione della decisione di adeguatezza, tale nozione era così formulata: "dati personali conservati".

(7)    Considerando 26, 31, 43, 49-51, 63, 68, 71, da 76 a 79 e 101 della decisione.

(8)    Considerando 15 della decisione.

(9)    Considerando da 113 a 170 e allegato II della decisione.

(10)    Considerando da 141 a 144, 149 e 169 della decisione.

(11)    Cfr. il comunicato stampa pubblicato in seguito alla conclusione dei colloqui sull'adeguatezza reciproca, disponibile all'indirizzo: https://ec.europa.eu/commission/presscorner/detail/it/IP_18_4501 .

(12)    Decisione (UE) 2018/1907 del Consiglio, del 20 dicembre 2018, relativa alla conclusione dell'accordo tra l'Unione europea e il Giappone per un partenariato economico, GU L 330 del 27.12.2018, pag. 1. L'APE riduce gli ostacoli commerciali che le imprese europee devono affrontare quando esportano in Giappone e le aiuta a competere in modo più efficace su tale mercato.

(13)    Accordo di partenariato strategico (APS) tra l'Unione europea e i suoi Stati membri, da una parte, e il Giappone, dall'altra, GU L 216 del 24.8.2018, pag. 4. L'APS costituisce il quadro giuridico all'interno del quale sviluppare ulteriormente il solido rapporto instaurato da tempo tra l'Unione, i suoi Stati membri e il Giappone in un'ampia serie di ambiti, tra cui dialogo politico, energia, trasporti, diritti umani, istruzione, scienza e tecnologia, giustizia, asilo e migrazione.

(14)    Consultabile all'indirizzo:      https://www.consilium.europa.eu/media/56091/ cov E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Il partenariato digitale istituisce un forum che darà impulso e orientamento politico al lavoro congiunto sulle tecnologie digitali in settori quali la sicurezza delle tecnologie 5G, "oltre il 5G"/6G, le applicazioni sicure ed etiche dell'intelligenza artificiale o la resilienza delle catene di approvvigionamento globali nell'industria dei semiconduttori. 

(15)    Cfr. ad esempio https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .

(16)    Dichiarazione dell'OCSE sull'accesso del governo ai dati personali detenuti da entità del settore privato, del 14 dicembre 2022.

(17)    Considerando da 180 a 183 e articolo 3, paragrafo 4, della decisione.

(18)    Una traduzione in inglese è disponibile al seguente indirizzo:      https://www.ppc.go.jp/files/pdf/APPI_english.pdf .

(19)    Una traduzione in inglese è disponibile al seguente indirizzo:      https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .

(20)    Articolo 16, paragrafo 4 e articolo 28, paragrafo 2, dell'APPI modificata.

(21)    In particolare, la modifica dell'APPI del 2021 consolida l'APPI, la legge sulla protezione delle informazioni personali detenute da organi amministrativi e la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate, ecc. in un'unica legge sulla protezione dei dati che si applica sia agli enti privati che alle autorità pubbliche, ampliando di conseguenza le competenze della PPC. Tale modifica è entrata in vigore il 1º aprile 2023, ma alcune sue parti erano entrate in vigore il 1º settembre 2021 e il 1º aprile 2022.

(22)    Le informazioni personali pseudonimizzate sono definite nell'APPI modificata come informazioni relative a una persona che possono essere "elaborate in modo tale da rendere impossibile l'identificazione di una persona specifica se non sono collegabili ad altre informazioni" mediante le misure stabilite nella legge e specificate nelle norme esecutive. Cfr. l'articolo 16, paragrafo 5, e l'articolo 41 dell'APPI modificata.

(23)

   Le norme integrative rivedute, adottate dalla PPC il 15 marzo 2023, sono entrate in vigore il 1º aprile 2023.

(24)    Ciò esclude l'applicazione dell'articolo 42 dell'APPI modificata, che mantiene solo un numero limitato di garanzie per le informazioni personali pseudonimizzate non considerate informazioni personali.

(25)

   Cfr. il considerando 79 della decisione.

(26)    Cfr. il considerando 181 della decisione.

(27)    Cfr. la dichiarazione ministeriale convenuta in occasione della riunione dei ministri del Digitale del G7 dell'11 maggio 2022, allegato 1 (piano d'azione del G7 per la promozione della libera circolazione dei dati con fiducia) intitolata Building on commonalities in order to foster future interoperability e fa riferimento a pratiche sempre più comuni come le clausole contrattuali tipo.

(28)    Cfr. il Going Digital Toolkit dell'OCSE, Interoperability of privacy and data protection frameworks (consultabile all'indirizzo:      https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), pag. 18.

(29)    Cfr. il considerando 177 della decisione, secondo cui le autorità giapponesi dovrebbero informare la Commissione degli sviluppi sostanziali rilevanti ai fini della decisione, per quanto riguarda il trattamento dei dati personali da parte degli operatori economici e le limitazioni e le garanzie applicabili all'accesso ai dati personali da parte delle autorità pubbliche.