P8_TA(2018)0529

L-adegwatezza tal-protezzjoni tad-data personali mogħtija mill-Ġappun

Riżoluzzjoni tal-Parlament Ewropew tat-13 ta' Diċembru 2018 dwar l-adegwatezza tal-protezzjoni tad-data personali mogħtija mill-Ġappun (2018/2979(RSP))

(2020/C 388/16)

Il-Parlament Ewropew,

—	wara li kkunsidra t-Trattat dwar l-Unjoni Ewropea, it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea u l-Artikoli 6, 7, 8, 11, 16, 47 u 52 tal-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea,

—

wara li kkunsidra r-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta' April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta' data personali u dwar il-moviment liberu ta' tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (1), u kull acquis Ewropew ieħor rilevanti dwar il-protezzjoni tad-data,

—	wara li kkunsidra s-sentenza tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea tas-6 ta' Ottubru 2015 fil-Kawża C-362/14 (Maximilian Schrems vs Data Protection Commissioner) (2);

—	wara li kkunsidra s-sentenza tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea tal-21 ta' Diċembru 2016 fil-Kawżi Konġunti C-203/15 (Tele2 Sverige AB vs Post- och telestyrelsen) u C-698/15 (Secretary of State for the Home Department vs Tom Watson and Others) (3),

—	wara li kkunsidra r-riżoluzzjoni tiegħu tat-12 ta' Diċembru 2017 intitolata “Lejn strateġija għall-kummerċ diġitali” (4),

—

wara li kkunsidra d-dokument tal-Grupp ta' Ħidma mwaqqaf mill-Artikolu 29 dwar il-kriterji ta' riferiment għall-adegwatezza tas-6 ta' Frar 2018 (5), li jipprovdi gwida lill-Kummissjoni u lill-Bord Ewropew għall-Protezzjoni tad-Data (EDPB) skont ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR) għall-valutazzjoni tal-livell tal-protezzjoni tad-data f'pajjiżi terzi u f'organizzazzjonijiet internazzjonali,

—	wara li kkunsidra l-opinjoni tal-Bord Ewropew għall-Protezzjoni tad-Data tal-5 ta' Diċembru 2018 dwar l-abbozz tad-deċiżjoni ta' adegwatezza UE-Ġappun,

—	wara li kkunsidra l-abbozz ta' deċiżjoni ta' implimentazzjoni tal-Kummissjoni skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill dwar il-protezzjoni adegwata tad-data personali mill-Ġappun (COM(2018)XXXX),

—

wara li kkunsidra s-sejbiet taż-żjara fil-Ġappun f'Ottubru 2017 ta' delegazzjoni ad hoc tal-Kumitat għal-Libertajiet Ċivili, il-Ġustizzja u l-Intern, organizzata fil-kuntest tan-negozjati ta' adegwatezza sabiex tiltaqa' mal-awtoritajiet rilevanti Ġappuniżi u l-partijiet ikkonċernati fir-rigward tal-elementi essenzjali li għandhom jitqiesu mill-Kummissjoni meta tadotta d-deċiżjoni ta' adegwatezza tagħha,

—	wara li kkunsidra l-Artikolu 123(2) tar-Regoli ta' Proċedura tiegħu,

A.	billi l-GDPR ilu applikabbli mill-25 ta' Mejju 2018; billi l-Artikolu 45(2) tal-GDPR jistabbilixxi l-elementi li għandhom jitqiesu mill-Kummissjoni meta tivvaluta l-adegwatezza tal-livell ta' protezzjoni f'pajjiż terz jew f'organizzazzjoni internazzjonali;

billi l-Kummissjoni jeħtiġilha, b'mod partikolari, tqis l-istat tad-dritt, ir-rispett għad-drittijiet tal-bniedem u l-libertajiet fundamentali, il-leġiżlazzjoni rilevanti kemm ġenerali kif ukoll settorjali, inkluża dik dwar is-sigurtà pubblika, id-difiża, is-sigurtà nazzjonali, il-liġi kriminali u l-aċċess tal-awtoritajiet pubbliċi għal data personali, l-eżistenza u l-funzjonament effettiv ta' awtorità superviżorja indipendenti waħda jew aktar, u l-impenji internazzjonali li l-pajjiż terz jew l-organizzazzjoni internazzjonali jkunu ħadu;

billi l-Qorti tal-Ġustizzja tal-Unjoni Ewropea, fis-sentenza tagħha tas-6 ta' Ottubru 2015 fil-Kawża C-362/14 (Maximillian Schrems vs Data Protection Commissioner), iċċarat li livell adegwat ta' protezzjoni f'pajjiż terz irid jinftiehem li jkun essenzjalment ekwivalenti għal dak garantit fi ħdan l-Unjoni Ewropea skont id-Direttiva 95/46/KE meqjus fid-dawl tal-Karta;

billi l-Ġappun huwa wieħed mis-sħab kummerċjali ewlenin tal-UE, li miegħu reċentement ikkonkludiet Ftehim ta' Sħubija Ekonomika (FSE) li jistabbilixxi valuri u prinċipji kondiviżi filwaqt li jissalvagwardja s-sensittivitajiet taż-żewġ sħab; billi r-rikonoxximent komuni tad-drittijiet fundamentali, inklużi l-privatezza u l-protezzjoni tad-data, jikkostitwixxi bażi importanti għad-deċiżjoni ta' adegwatezza li se tipprovdi l-bażi legali għat-trasferiment ta' data personali mill-UE lejn il-Ġappun;

billi d-delegazzjoni ad hoc tal-Kumitat għal-Libertajiet Ċivili, il-Ġustizzja u l-Intern fil-Ġappun saret taf dwar l-interess tal-awtoritajiet u l-partijiet ikkonċernati Ġappuniżi mhux biss fl-applikazzjoni tar-regoli l-ġodda tal-GDPR infushom, iżda wkoll fl-iżvilupp ta' mekkaniżmu ta' trasferiment ta' data personali robust u ta' livell għoli bejn l-UE u l-Ġappun li jkun jissodisfa l-kundizzjonijiet stabbiliti mill-qafas legali tal-UE f'termini ta' livell ta' protezzjoni kkunsidrat essenzjalment ekwivalenti għal dak mogħti mil-leġiżlazzjoni tal-UE dwar il-protezzjoni tad-data;

billi t-trasferimenti ta' data personali bejn l-UE u l-Ġappun huma element importanti tar-relazzjonijiet bejn l-UE u l-Ġappun fid-dawl tad-diġitalizzazzjoni dejjem akbar tal-ekonomija globali; billi dawn it-trasferimenti għandhom isiru b'rispett sħiħ tad-dritt għall-protezzjoni tad-data personali u tad-dritt għall-privatezza; billi wieħed mill-objettivi bażiċi tal-UE huwa l-protezzjoni tad-drittijiet fundamentali, kif minqux fil-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea;

billi l-UE u l-Ġappun nedew diskussjonijiet f'Jannar 2017 biex jiffaċilitaw it-trasferimenti ta' data personali għal skopijiet kummerċjali permezz tal-ewwel “konstatazzjoni tal-adegwatezza reċiproka” li qatt saret; billi l-Parlament, fir-riżoluzzjoni tiegħu tat-12 ta' Diċembru 2017 intitolata “Lejn strateġija għall-kummerċ diġitali”, espliċitament “jirrikonoxxi li d-deċiżjonijiet ta' adegwatezza […] jikkostitwixxu mekkaniżmu fundamentali fir-rigward tas-salvagwardja tat-trasferiment ta' data personali mill-UE lejn pajjiż terz”;

H.	billi d-deċiżjoni ta' adegwatezza għat-trasferimenti ta' data personali lejn il-Ġappun tkun l-ewwel deċiżjoni ta' dan it-tip adottati skont ir-regoli ġodda u aktar stretti tal-GDPR;

billi l-Ġappun reċentement immodernizza u saħħaħ il-leġiżlazzjoni tiegħu dwar il-protezzjoni tad-data biex jallinjaha mal-istandards internazzjonali, b'mod partikolari mas-salvagwardji u d-drittijiet individwali pprovduti mill-qafas leġiżlattiv Ewropew il-ġdid dwar il-protezzjoni tad-data; billi l-qafas legali Ġappuniż dwar l-protezzjoni tad-data huwa magħmul minn diversi pilastri, u l-Att dwar il-Protezzjoni tal-Informazzjoni Personali (APPI) huwa l-parti ċentrali tal-leġiżlazzjoni;

billi l-Kabinett tal-Ġappun adotta Ordni tal-Kabinett fit-12 ta' Ġunju 2018 li tiddelega lill-Kummissjoni għall-Protezzjoni tal-Informazzjoni Personali (PPC), bħala l-awtorità kompetenti għall-amministrazzjoni u l-implimentazzjoni tal-APPI, is-setgħa li tieħu l-azzjoni meħtieġa biex jitnaqqsu d-differenzi tas-sistemi u l-operazzjonijiet bejn il-Ġappun u l-pajjiż barrani kkonċernat abbażi tal-Artikolu 6 tal-Att bil-ħsieb li jiġi żgurat it-trattament xieraq tal-informazzjoni personali li tasal minn tali pajjiż; billi din id-deċiżjoni tistipula li dan jinkludi s-setgħa li jiġu stabbiliti protezzjonijiet msaħħa permezz tal-adozzjoni mill-PPC ta' regoli aktar stretti li jissupplimentaw u jmorru lil hinn minn dawk stabbiliti fl-APPI u l-Ordni tal-Kabinett; billi skont din id-deċiżjoni, dawn ir-regoli aktar stretti għandhom ikunu vinkolanti u infurzabbli fuq l-operaturi tan-negozju Ġappuniżi;

billi l-abbozz ta' deċiżjoni ta' implimentazzjoni tal-Kummissjoni dwar il-protezzjoni adegwata tad-data personali mill-Ġappun huwa akkumpanjat minn, bħala l-Anness I tiegħu, ir-Regoli Supplementari adottati mill-PPC fil-15 ta' Ġunju 2018, li huma bbażati fuq l-Artikolu 6 tal-APPI, li b'mod espliċitu jippermetti lill-PPC tadotta regoli aktar stretti, inkluż għall-fini li jiġu ffaċilitati t-trasferimenti internazzjonali tad-data; billi r-Regoli Supplementari għadhom mhumiex disponibbli pubblikament;

billi l-iskop ta' dawn ir-Regoli Supplementari jkun li jiġu indirizzati d-differenzi rilevanti bejn il-liġi dwar il-protezzjoni tad-data Ġappuniża u tal-UE bil-ħsieb li jiġi żgurat it-trattament xieraq tal-informazzjoni personali li tasal mill-UE abbażi ta' deċiżjoni ta' adegwatezza, b'mod partikolari rigward informazzjoni personali li t-trattament tagħha jeħtieġ attenzjoni speċjali (“data sensittiva”), data personali miżmuma, li tispeċifika skop ta' użu, restrizzjoni minħabba skop ta' użu, restrizzjoni fuq il-forniment lil parti terza f'pajjiż barrani, u informazzjoni pproċessata b'mod anonimu;

billi r-Regoli Supplementari jkunu legalment vinkolanti fuq kwalunkwe operatur ekonomiku inkarigat mit-trattament tal-informazzjoni personali li jirċievi data personali ttrasferita mill-UE abbażi ta' deċiżjoni ta' adegwatezza u li allura jkun marbut li jirrispetta dawk ir-regoli u kwalunkwe dritt u obbligu relatat u jkunu infurzabbli kemm mill-PPC kif ukoll mill-qrati Ġappuniżi;

billi, sabiex jiġi żgurat livell essenzjalment ekwivalenti ta' protezzjoni għal data personali ttrasferita mill-UE lejn il-Ġappun, ir-Regoli Supplementari joħolqu protezzjonijiet addizzjonali li għandhom ikunu applikabbli fuq bażi ta' kundizzjonijiet jew limitazzjonijiet aktar stretti għall-ipproċessar ta' data personali ttrasferita mill-UE, pereżempju fil-każijiet ta' informazzjoni personali li t-trattament tagħha jeħtieġ attenzjoni speċjali, trasferimenti ulterjuri, data anonima u limitazzjoni tal-iskop;

O.	billi l-qafas legali Ġappuniż dwar il-protezzjoni tad-data jagħmel distinzjoni bejn “informazzjoni personali” u “data personali” u għal xi każijiet jirreferi għal kategorija speċifika ta' data personali, jiġifieri “data personali miżmuma”;

billi, skont l-Artikolu 2(1) tal-APPI, il-kunċett ta' “informazzjoni personali” jinkludi kull informazzjoni relatata ma' individwu ħaj li tippermetti l-identifikazzjoni ta' dak l-individwu; billi d-definizzjoni tiddistingwi bejn żewġ kategoriji ta' informazzjoni personali, jiġifieri (i) kodiċijiet ta' identifikazzjoni individwali u (ii) informazzjoni personali oħra, li permezz tagħha individwu speċifiku jista' jiġi identifikat; billi din l-aħħar kategorija tinkludi informazzjoni li waħedha ma tippermettix l-identifikazzjoni iżda tista', meta “tinġabar faċilment” ma' informazzjoni oħra, tippermetti l-identifikazzjoni ta' individwu speċifiku;

billi, skont l-Artikolu 2(4) tal-APPI, “data personali” tfisser informazzjoni personali li tikkostitwixxi bażi ta' data ta' informazzjoni personali, eċċ; billi l-Artikolu 2(1) tal-APPI jispeċifika li l-informazzjoni f'dawn il-bażijiet ta' data tiġi rranġata b'mod sistematiku, bl-istess mod bħall-kunċett ta' sistema ta' arkivjar skont l-Artikolu 2(1) tal-GDPR; billi skont l-Artikolu 4(1) tal-GDPR, “data personali” tfisser kull informazzjoni relatata ma' persuna fiżika identifikata jew identifikabbli. billi persuna fiżika identifikabbli hija persuna li tista' tiġi identifikata, direttament jew indirettament, b'mod partikolari b'referenza għal mezz ta' identifikazzjoni bħal isem, numru ta' identifikazzjoni, data ta' lokalizzazzjoni, identifikatur online jew għal fattur wieħed jew aktar speċifiċi għall-identità fiżika, fiżjoloġika, ġenetika, mentali, ekonomika, kulturali jew soċjali ta' dik il-persuna fiżika. billi sabiex jiġi ddeterminat jekk persuna fiżika hijiex identifikabbli, għandhom jitqiesu l-mezzi kollha li raġonevolment x'aktarx ikunu jintużaw, bħas-singolarizzazzjoni, mill-kontrollur jew minn kwalunkwe persuna oħra sabiex persuna fiżika tiġi identifikata direttament jew indirettament.

billi, skont l-Artikolu 2(7) tal-APPI, “data personali miżmuma” tfisser data personali li operatur ta' negozju tal-immaniġġjar ta' informazzjoni personali għandu l-awtorità li jiżvela, jikkoreġi, iżid jew iħassar il-kontenut tagħha, iwaqqaf l-utilizzazzjoni tagħha, iħassar jew iwaqqaf il-forniment tagħha lill-partijiet terzi, u li ma għandha tkun la dik preskritta minn ordni ta' kabinett bħala li x'aktarx tagħmel ħsara lill-pubbliku jew interess ieħor jekk il-preżenza jew l-assenza tagħha tkun saret magħrufa, u lanqas dik li għandha titħassar fi żmien mhux aktar minn sena li jkun preskritt minn ordni ta' kabinett; billi r-Regoli Supplementari jallinjaw il-kunċett ta' “data personali miżmuma” mal-kunċett ta' “data personali” biex jiżguraw li ċerti limitazzjonijiet għad-drittijiet individwali marbuta ma' tal-ewwel ma japplikawx għad-data ttrasferita mill-UE;

billi l-liġi Ġappuniża dwar il-protezzjoni tad-data li hija s-suġġett tal-abbozz ta' deċiżjoni ta' implimentazzjoni teskludi mill-kamp ta' applikazzjoni tagħha diversi setturi meta jipproċessaw data personali għal finijiet speċifiċi; billi l-abbozz ta' deċiżjoni ta' implimentazzjoni ma japplikax għat-trasferiment ta' data personali mill-UE għal riċevitur li jaqa' fi ħdan xi waħda mill-eċċezzjonijiet imsemmija hawn fuq previsti mil-liġi Ġappuniża dwar il-protezzjoni tad-data;

billi fir-rigward tat-trasferimenti ulterjuri ta' data personali tal-UE mill-Ġappun lejn pajjiż terz, l-abbozz ta' deċiżjoni ta' implimentazzjoni jeskludi l-użu, għal tali trasferimenti ulterjuri, ta' strumenti ta' trasferiment li ma joħolqux relazzjoni vinkolanti bejn l-esportatur tad-data Ġappuniż u l-importatur tad-data tal-pajjiż terz u ma jiggarantixxux il-livell meħtieġ ta' protezzjoni; billi dan ikun il-każ, pereżempju, għas-sistema ta' Regoli dwar il-Privatezza Transfruntiera Asja-Paċifiku (APEC CBPR), li fiha l-Ġappun huwa ekonomija parteċipanti, peress li f'dik is-sistema l-protezzjonijiet ma jirriżultawx minn arranġament li jorbot lil esportatur u lil importatur fil-kuntest tar-relazzjoni bilaterali tagħhom, u huma b'mod ċar ta' livell aktar baxx minn dak garantit mill-kombinazzjoni tal-APPI u r-Regoli Supplementari;

billi, fl-opinjoni tiegħu tal-5 ta' Diċembru 2018, il-Bord Ewropew għall-Protezzjoni tad-Data jivvaluta, abbażi tad-dokumentazzjoni mqiegħda għad-dispożizzjoni mill-Kummissjoni, jekk il-qafas legali tal-protezzjoni tad-data Ġappuniż jagħtix biżżejjed garanziji għal livell adegwat ta' protezzjoni tad-data għall-individwi; billi l-Bord Ewropew għall-Protezzjoni tad-Data jilqa' l-isforzi li saru mill-Kummissjoni u mill-PPC Ġappuniża biex tiżdied il-konverġenza bejn l-oqfsa legali tal-Ġappun u tal-Ewropa sabiex jiġu ffaċilitati t-trasferimenti ta' data personali; billi l-Bord Ewropew għall-Protezzjoni tad-Data jirrikonoxxi li t-titjib miġjub mir-Regoli Supplimentari biex jonqsu xi ftit mid-differenzi bejn iż-żewġ oqfsa huwa importanti ħafna u ntlaqa' tajjeb; billi jinnota li xorta għad fadal xi tħassib, bħall-protezzjoni tad-data personali ttrasferita mill-UE għall-Ġappun tul iċ-ċiklu kollu tal-ħajja tagħha, u jirrakkomanda li l-Kummissjoni tagħti aktar evidenza u spjegazzjonijiet dwar il-kwistjonijiet imqajma, u li tissorvelja mill-qrib l-applikazzjoni effettiva tar-regoli;

billi l-abbozz ta' deċiżjoni ta' implimentazzjoni huwa akkumpanjat ukoll minn ittra tal-Ministru tal-Ġustizzja tal-14 ta' Settembru 2018 li tirreferi għal dokument imfassal mill-Ministeru tal-Ġustizzja u diversi ministeri u aġenziji dwar il-ġbir u l-użu ta' informazzjoni personali minn awtoritajiet pubbliċi Ġappuniżi għal finijiet ta' infurzar tal-liġi kriminali u ta' sigurtà nazzjonali, li fih ħarsa ġenerali lejn il-qafas legali applikabbli u l-għoti lill-Kummissjoni ta' rappreżentazzjonijiet, assigurazzjonijiet u impenji uffiċjali ffirmati fl-ogħla livell ministerjali u tal-aġenziji, mehmuż bħala Anness II mad-deċiżjoni ta' implimentazzjoni;

Jieħu nota tal-analiżi dettaljata pprovduta mill-Kummissjoni fl-abbozz tagħha ta' deċiżjoni ta' implimentazzjoni ta' adegwatezza fir-rigward tas-salvagwardji, inklużi mekkaniżmi ta' sorveljanza u ta' rimedju, applikabbli għall-ipproċessar ta' data minn operaturi kummerċjali kif ukoll għall-aċċess għal data mill-awtoritajiet pubbliċi Ġappuniżi, b'mod partikolari fil-qasam tal-infurzar tal-liġi u s-sigurtà nazzjonali;

Jinnota l-fatt li l-Ġappun qed iħejji wkoll b'mod simultanju r-rikonoxximent tal-livell ta' protezzjoni tad-data personali ttrasferita mill-Ġappun lejn l-UE skont l-Artikolu 23 tal-APPI, li jirriżulta fl-ewwel konstatazzjoni tal-adegwatezza “bidirezzjonali” fid-dinja kollha li jwassal għall-ħolqien tal-akbar żona ta' flussi ta' data ħielsa u sikuri fid-dinja;

Jilqa' dan l-iżvilupp bħala espressjoni ta' kemm l-istandards għoljin tal-protezzjoni tad-data qed jinfirxu globalment; jirrimarka, madankollu, li dan m'għandu bl-ebda mod iwassal għal approċċi ta' “għajn għal għajn” fid-deċiżjonijiet ta' adegwatezza tal-UE; ifakkar li, għall-finijiet ta' deċiżjoni ta' adegwatezza skont il-GDPR, il-Kummissjoni trid tivvaluta b'mod oġġettiv is-sitwazzjoni legali u prattika fil-pajjiż terz, it-territorju, is-settur jew l-organizzazzjoni internazzjonali;

Jirrimarka li l-Qorti tal-Ġustizzja tal-Unjoni Ewropea qatgħetha li t-terminu “livell adegwat ta' protezzjoni” ma jirrikjedix livell ta' protezzjoni identiku għal dak garantit fl-UE, iżda jrid jinftiehem fis-sens li l-pajjiż terz jiżgura, bis-saħħa tal-liġi domestika jew l-impenji internazzjonali tiegħu, livell ta' protezzjoni tad-drittijiet u l-libertajiet fundamentali li jkun essenzjalment ekwivalenti għal dak garantit fl-Unjoni Ewropea skont il-GDPR meqjus fid-dawl tal-Karta;

Jinnota li d-dritt għall-privatezza u għall-protezzjoni tad-data personali huwa garantit fil-livell kostituzzjonali kemm fil-Ġappun kif ukoll fl-UE, iżda li ma jistax ikun hemm allinjament sħiħ tar-regoli tal-UE u tal-Ġappun minħabba d-differenzi fl-istruttura kostituzzjonali kif ukoll fil-kultura;

Jieħu nota tal-emendi tal-APPI li daħlu fis-seħħ fit-30 ta' Mejju 2017; jilqa' t-titjib sostanzjali li sar;

Jinnota li l-kategoriji ta' attivitajiet kummerċjali u ta' pproċessar li huma esklużi mill-kamp ta' applikazzjoni materjali tal-APPI ġew espressament esklużi mill-kamp ta' applikazzjoni tal-konstatazzjoni tal-adegwatezza;;

Iqis li, wara l-adozzjoni tal-APPI emendat u tal-GDPR fl-2016, is-sistemi ta' protezzjoni tad-data Ġappuniżi u tal-UE jikkondividu livell għoli ta' konverġenza f'termini ta' prinċipji, salvagwardji u drittijiet individwali, kif ukoll mekkaniżmi ta' sorveljanza u infurzar; jenfasizza, b'mod partikolari, il-ħolqien ta' awtorità ta' superviżjoni indipendenti, il-PPC, permezz tal-APPI emendat;

Jinnota, madankollu, li l-PPC nfisha tqis li minkejja livell għoli ta' konverġenza bejn iż-żewġ sistemi, hemm xi differenzi rilevanti; jinnota wkoll li sabiex jingħata livell ogħla ta' protezzjoni għad-data personali ttrasferita mill-UE, fil-15 ta' Ġunju 2018 il-PPC adottat Regoli Supplementari;

10.

Jilqa' għadd ta' kjarifiki importanti fir-Regoli Supplementari, inkluż l-allinjament ta' “informazzjoni personali anonimizzata” fl-APPI mad-definizzjoni ta' “informazzjoni anonima” fil-GDPR;

11.

Iqis li l-protezzjonijiet addizzjonali tar-Regoli Supplementari jkopru biss trasferimenti fil-qafas tad-deċiżjonijiet ta' adegwatezza; ifakkar li, fid-dawl tal-kamp ta' applikazzjoni tad-deċiżjoni ta' adegwatezza, se jsiru xi trasferimenti ta' data taħt dawn il-mekkaniżmi l-oħrajn;

12.

Jirrikonoxxi li l-protezzjonijiet addizzjonali stipulati fir-Regoli Supplementari huma limitati għad-data personali ttrasferita mill-Ewropa, u b'hekk l-operaturi tan-negozju li jridu jipproċessaw simultanjament id-data personali Ġappuniża u Ewropea se jkunu obbligati jirrispettaw ir-Regoli Supplementari, billi jiżguraw, pereżempju, mezzi tekniċi (“tagging”) jew organizzattivi (pereżempju, il-ħażna f'database dedikata) sabiex tali data personali tkun tista' tiġi identifikata tul “iċ-ċiklu tal-ħajja” tagħha; jistieden lill-Kummissjoni ssegwi s-sitwazzjoni biex jiġu evitati lakuni li permezz tagħhom l-operaturi jistgħu jevitaw l-obbligi stabbiliti fir-Regoli Supplementari billi jittrasferixxu data permezz ta' pajjiżi terzi;

13.

Jinnota li d-definizzjoni ta' “data personali” fl-APPI teskludi d-data preskritta minn ordni tal-kabinett bħala waħda li ftit li xejn għandha l-possibbiltà li tagħmel ħsara lid-drittijiet u l-interessi ta' individwu meta jitqies il-mod kif tintuża; iħeġġeġ lill-Kummissjoni tivvaluta jekk dan l-approċċ ibbażat fuq il-ħsara huwiex kompatibbli mal-approċċ tal-UE, li jipprevedi li l-ipproċessar kollu tad-data personali jaqa' fil-kamp ta' applikazzjoni tal-liġi dwar il-protezzjoni tad-data; jinnota wkoll, madankollu, li dan l-approċċ ikun japplika f'sitwazzjonijiet limitati ħafna;

14.

Jinnota, barra minn hekk, li d-definizzjoni ta' “informazzjoni personali” fl-APPI hija limitata għal informazzjoni li biha individwu speċifiku jista' jiġi identifikat; jinnota wkoll li din id-definizzjoni ma tinkludix il-kjarifika mogħtija mill-GDPR li l-informazzjoni personali għandha titqies ukoll bħala data personali meta tkun tista' tintuża biex sempliċement “tiddistingwi” persuna, kif stabbilit b'mod ċar mill-Qorti tal-Ġustizzja tal-Unjoni Ewropea;

15.

Jinsab imħasseb li d-definizzjoni aktar stretta ta' “data personali” (ibbażata fuq id-definizzjoni ta' “informazzjoni personali”) fl-APPI tista' ma tissodisfax l-istandard ta' “essenzjalment ekwivalenti” għall-GDPR u għall-ġurisprudenza tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea; iqajjem dubji, għalhekk, dwar id-dikjarazzjoni fl-abbozz ta' deċiżjoni ta' implimentazzjoni li d-data tal-UE dejjem se taqa' fil-kategorija ta' “data personali” fl-ambitu tal-APPI; jistieden lill-Kummissjoni ssegwi mill-qrib l-implikazzjonijiet prattiċi tal-kunċetti differenti fl-applikazzjoni tad-deċiżjoni ta' adegwatezza u r-rieżami perjodiku tagħha;

16.

Jistieden lill-Kummissjoni tipprovdi aktar kjarifiki, u – jekk ikun hemm bżonn – titlob aktar regoli supplementari vinkolanti mingħand l-awtoritajiet Ġappuniżi, sabiex jiġi żgurat li d-data personali kollha fis-sens tal-GDPR tkun protetta meta tiġi ttrasferita fil-Ġappun;

17.

Jinnota bi tħassib li, fir-rigward tal-proċess deċiżjonali awtomatizzat u t-tfassil ta' profili, b'differenza mil-liġi tal-UE, la l-APPI u lanqas il-Linji Gwida tal-PPC ma jinkludu dispożizzjonijiet legali, u li ċerti regoli settorjali biss jindirizzaw din il-kwistjoni, mingħajr ma jipprovdu qafas legali ġenerali komprensiv bi protezzjonijiet sostanzjali u b'saħħithom kontra l-proċess deċiżjonali awtomatizzat u t-tfassil ta' profili; jistieden lill-Kummissjoni turi kif dan huwa indirizzat fil-qafas Ġappuniż dwar il-protezzjoni tad-data b'tali mod li jiġi żgurat livell ta' protezzjoni ekwivalenti; iqis li dan huwa partikolarment rilevanti fid-dawl tal-każijiet ta' tfassil ta' profili riċenti ta' Facebook/Cambridge Analytica;

18.

Iqis, li fid-dawl tal-kriterji ta' Riferiment għall-Adegwatezza tal-EDPB, hemm bżonn kjarifiki aktar fil-fond dwar il-kummerċjalizzazzjoni diretta, minħabba n-nuqqas ta' dispożizzjonijiet speċifiċi fl-APPI, sabiex tingħata prova tal-ekwivalenza tal-livell Ġappuniż fil-protezzjoni tad-data personali;

19.

Jieħu nota tal-opinjoni tal-Bord Ewropew għall-Protezzjoni tad-Data, li jidentifika diversi kwistjonijiet ta' tħassib, bħall-protezzjoni tad-data personali ttrasferita mill-UE għall-Ġappun tul iċ-ċiklu kollu tal-ħajja tagħha; jistieden lill-Kummissjoni biex, fid-deċiżjoni ta' implimentazzjoni, tindirizza kif xieraq u tagħti aktar evidenza u spjegazzjoni li jagħtu prova tal-eżistenza ta' salvagwardji xierqa;

20.

Jistieden lill-Kummissjoni tiċċara jekk, fir-rigward tat-trasferimenti ulterjuri, is-soluzzjoni prevista mir-Regoli Supplementari, li tikkonsisti fl-obbligu ta' kunsens minn qabel min-naħa tas-suġġetti tad-data tal-UE għall-approvazzjoni tat-trasferiment ulterjuri lil parti terza f'pajjiż barrani hija nieqsa minn ċerti elementi essenzjali li jippermettu lis-suġġetti tad-data jifformulaw il-kunsens tagħhom, peress li ma tiddefinixxix espressament x'inhu kopert mill-kunċett ta' “informazzjoni dwar iċ-ċirkustanzi tat-trasferiment meħtieġa biex is-suġġett tad-data jieħu deċiżjoni dwar il-kunsens tiegħu”, f'konformità mal-Artikolu 13 tal-GDPR, pereżempju l-pajjiż terz tad-destinazzjoni tat-trasferiment ulterjuri; jistieden lill-Kummissjoni tiċċara ulterjorment il-konsegwenzi għas-suġġett tad-data jekk dan jirrifjuta li jagħti l-kunsens għat-trasferiment ulterjuri tad-data personali tiegħu;

21.

Jiddispjaċih li, fir-rigward tal-infurzar effikaċi tal-APPI, il-livell ta' multi li jkunu jistgħu jiġu imposti mill-awtoritajiet penali mhuwiex biżżejjed biex tiġi żgurata konformità effettiva mal-Att, billi ma jidhirx li huwa proporzjonat, effettiv jew dissważiv meta titqies il-gravità tal-ksur; jinnota, madankollu, li l-APPI jipprevedi wkoll sanzjonijiet kriminali, inkluża l-priġunerija; jistieden lill-Kummissjoni tagħti informazzjoni dwar l-użu reali ta' multi amministrattivi u sanzjonijiet kriminali fil-passat;

22.

Jieħu nota li filwaqt li l-PPC ma tagħmilx sorveljanza tal-attivitajiet tal-ipproċessar tad-data fis-settur tal-infurzar tal-liġi, jeżistu mekkaniżmi superviżorji oħra, inkluża s-sorveljanza min-naħa tal-kummissjoni prefettorali indipendenti dwar is-sikurezza pubblika; jinnota li l-bord li jeżamina d-divulgazzjoni tal-informazzjoni u l-protezzjoni tal-informazzjoni personali għandu wkoll ċerti kompetenzi f'dan il-qasam, inkluż li janalizza t-talbiet għal aċċess u li jippubblika opinjonijiet, iżda jirrimarka li dawn is-setgħat mhumiex legalment vinkolanti; jilqa' l-fatt li l-UE u l-Ġappun qablu li jistabbilixxu mekkaniżmu ta' rimedju speċifiku, amministrat u sorveljat mill-PPC, li jkun japplika għall-ipproċessar ta' data personali fis-setturi tal-infurzar tal-liġi u tas-sigurtà nazzjonali;

23.

Jinnota li, skont l-Att Ġappuniż dwar il-Protezzjoni tal-Informazzjoni Personali miżmuma minn Organi Amministrattivi (APPIHAO), l-operaturi ekonomiċi jistgħu jagħtu data lill-awtoritajiet tal-infurzar tal-liġi anki fuq “bażi volontarja”; jirrimarka li dan mhuwiex previst fil-GDPR jew fid-Direttiva tal-Pulizija u jistieden lill-Kummissjoni tivvaluta jekk dawn huwiex konformi mal-istandard ta' “ekwivalenza essenzjali” mal-GDPR;

24.

Jinsab konxju ta' rapporti fil-midja dwar id-Direttorat Ġappuniż għall-Intelligence tas-Sinjali (DFS), li jimpjega madwar 1 700 persuna u għandu tal-anqas sitt faċilitajiet ta' sorveljanza li jinterċettaw il-ħin kollu t-telefonati, l-emails u komunikazzjonijiet oħra (6); jinsab inkwetat li dan l-element ta' sorveljanza indiskriminata tal-massa lanqas biss jissemma fl-abbozz tad-deċiżjoni ta' implimentazzjoni; jistieden lill-Kummissjoni tagħti aktar informazzjoni dwar din is-sorveljanza min-naħa tal-Ġappun; jinsab serjament inkwetat li din is-sorveljanza tal-massa mhix se tgħaddi mit-test tal-kriterji stabbiliti mill-Qorti tal-Ġustizzja tal-Unjoni Ewropea fis-sentenza Schrems (Kawża C-362/14);

25.

Jiddispjaċih li d-dokument dwar il-ġbir u l-użu ta' informazzjoni personali mill-awtoritajiet pubbliċi Ġappuniżi għal finijiet ta' infurzar tal-liġi kriminali u ta' sigurtà nazzjonali, li jifforma parti mill-Anness II tal-abbozz ta' deċiżjoni ta' implimentazzjoni, m'għandux l-istess effett legalment vinkolanti li għandhom ir-Regoli Supplementari;

Konklużjonijiet

26.

Jistieden lill-Kummissjoni tagħti aktar evidenza u spjegazzjoni dwar il-kwistjonijiet imsemmija hawn fuq, fosthom dawk identifikati mill-Bord Ewropew għall-Protezzjoni tad-Data fl-opinjoni tiegħu tal-5 ta' Diċembru 2018, sabiex tingħata prova li l-qafas legali Ġappuniż dwar il-protezzjoni tad-data jiżgura livell adegwat ta' protezzjoni essenzjalment ekwivalenti għal dak tal-qafas legali Ewropew dwar il-protezzjoni tad-data;

27.

Jemmen li din id-deċiżjoni ta' adegwatezza tista', barra minn hekk, tibgħat sinjal qawwi lill-pajjiżi madwar id-dinja li l-konverġenza mal-istandards għoljin tal-UE għall-protezzjoni tad-data toffri riżultati tanġibbli ħafna; jenfasizza, f'dan ir-rigward, l-importanza ta' din id-deċiżjoni ta' adegwatezza bħala preċedent għal sħubijiet futuri ma' pajjiżi oħra li adottaw liġijiet moderni dwar il-protezzjoni tad-data;

28.

Jagħti istruzzjonijiet lill-Kumitat għal-Libertajiet Ċivili, il-Ġustizzja u l-Intern biex ikompli jsegwi l-iżviluppi f'dan il-qasam, inkluż fil-kawżi mressqa quddiem il-Qorti tal-Ġustizzja, u jsegwi l-azzjonijiet meħuda skont ir-rakkomandazzjonijiet magħmula f'din ir-riżoluzzjoni;

o o

29.

Jagħti istruzzjonijiet lill-President tiegħu biex jgħaddi din ir-riżoluzzjoni lill-Kunsill, lill-Kummissjoni, lill-gvernijiet u l-parlamenti tal-Istati Membri, lill-Bord Ewropew għall-Protezzjoni tad-Data, lill-Kontrollur Ewropew għall-Protezzjoni tad-Data, lill-Kumitat stabbilit skont l-Artikolu 93(1) tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data, lill-Kunsill tal-Ewropa u lill-Gvern tal-Ġappun.

(1) ĠU L 119, 4.5.2016, p. 1.

(2) ECLI:EU:C:2015:650.

(3) ECLI:EU:C:2016:970.

(4) ĠU C 369, 11.10.2018, p. 22.

(5) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; li ġie approvat mill-EDPB fl-ewwel laqgħa plenarja tiegħu.

(6) Ryan Gallagher, “The Untold Story of Japan's Secret Spy Agency”, The Intercept, 19 ta' Mejju 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/