(1)

O Regulamento (UE) 2016/679 estabelece as regras relativas à transferência de dados pessoais para países terceiros e organizações internacionais pelos responsáveis pelo tratamento e subcontratantes na União, na medida em que essa transferência seja abrangida pelo respetivo âmbito de aplicação. As regras relativas às transferências internacionais de dados são definidas no capítulo V (artigos 44.o a 50.o) do referido regulamento. Embora a circulação de dados pessoais com origem e destino a países não pertencentes à União Europeia seja essencial para o desenvolvimento do comércio transfronteiriço e da cooperação internacional, é indispensável garantir que o nível de proteção conferido aos dados pessoais na União não é comprometido por transferências para países terceiros (2).

(2)

Nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado. Nessa condição, as transferências de dados pessoais para um país terceiro podem realizar-se sem que para tal seja necessária mais nenhuma autorização, conforme previsto no artigo 45.o, n.o 1, e no considerando 103 do Regulamento (UE) 2016/679.

(3)

Conforme estabelecido no artigo 45.o, n.o 2, do Regulamento (UE) 2016/679, a adoção de uma decisão de adequação deve basear-se numa análise exaustiva da ordem jurídica do país terceiro, que abranja tanto as regras aplicáveis a importadores de dados como as limitações e garantias relativas ao acesso aos dados pessoais pelas autoridades públicas. Na sua avaliação, a Comissão tem de apurar se o país terceiro em causa garante um nível de proteção «essencialmente equivalente» ao assegurado na União Europeia [considerando 104 do Regulamento (UE) 2016/679]. A questão de saber se é esse o caso deve ser apreciada à luz da legislação da União Europeia, nomeadamente pelo Regulamento (UE) 2016/679, bem como pela jurisprudência do Tribunal de Justiça da União Europeia (3).

(4)

Conforme esclareceu o Tribunal de Justiça da União Europeia, não é exigido um nível de proteção idêntico (4). Mais concretamente, os meios a que o país terceiro em causa recorre para proteger os dados pessoais podem ser diferentes dos aplicados na União, desde que se revelem, na prática, eficazes para assegurar um nível adequado de proteção (5). Por conseguinte, o padrão de adequação não exige que as regras da União sejam replicadas ponto por ponto. Em vez disso, importa aferir sobretudo se, por meio do teor dos direitos de privacidade e da sua aplicação, controlo e execução efetivos, o sistema estrangeiro consegue, no seu conjunto, garantir o nível de proteção exigido (6). O documento de referência relativo à adequação do Comité Europeu para a Proteção de Dados, que procura clarificar esta norma, também fornece orientações a este respeito (7).

(5)

A Comissão procedeu a uma análise cuidadosa da legislação e das práticas da Coreia. Com base nas conclusões apresentadas nos considerandos (8) a (208), a Comissão conclui que a República da Coreia garante um nível adequado de proteção dos dados pessoais transferidos de um responsável pelo tratamento ou subcontratante na União (8) para entidades (por exemplo, pessoas singulares ou coletivas, organizações, instituições públicas) na Coreia abrangidas pelo âmbito de aplicação da Lei relativa à proteção de informações pessoais (Lei n.o 10465, de 29 de março de 2011, com a última redação que lhe foi dada pela Lei n.o 16930, de 4 de fevereiro de 2020), que inclui tanto os responsáveis pelo tratamento como os subcontratantes (9) na aceção do Regulamento (UE) 2016/679. A verificação da adequação não abrange o tratamento de dados pessoais para atividades missionárias por organizações religiosas e para a nomeação de candidatos por partidos políticos, ou o tratamento de informações pessoais de crédito nos termos da Lei de informações de crédito por parte dos responsáveis pelo tratamento que sejam sujeitos à supervisão da Comissão de Serviços Financeiros.

(6)

Esta conclusão tem em conta as garantias adicionais estabelecidas na Notificação n.o 2021-5 (anexo I) e as declarações, garantias e compromissos oficiais do Governo coreano perante a Comissão (anexo II).

(7)

A presente decisão tem por efeito possibilitar as transferências para os responsáveis pelo tratamento e para os subcontratantes na República da Coreia sem necessidade de obter qualquer outra autorização. A mesma não afeta a aplicação direta do Regulamento (UE) 2016/679 às referidas entidades que preencham as condições relativas ao âmbito de aplicação territorial do referido regulamento, previstas no seu artigo 3.o.

(8)

O sistema jurídico que rege a privacidade e a proteção dos dados na Coreia tem origem na Constituição coreana promulgada em 17 de julho de 1948. Embora o direito à proteção de dados pessoais não esteja expressamente consagrado na Constituição, é, no entanto, reconhecido como um direito fundamental, decorrente dos direitos constitucionais à dignidade humana e à prossecução da felicidade (artigo 10.o), da vida privada (artigo 17.o) e da privacidade das comunicações (artigo 18.o). Esta aceção foi confirmada tanto pelo Supremo Tribunal (10) como pelo Tribunal Constitucional (11). As restrições aos direitos e liberdades fundamentais (incluindo o direito à privacidade) só podem ser impostas por lei quando tal for necessário para efeitos de segurança nacional ou para a manutenção da ordem pública e não podem afetar o conteúdo essencial do direito ou liberdade em causa (artigo 37.o, n.o 2,).

(9)

Embora a Constituição se refira, em vários locais, aos direitos dos cidadãos coreanos, o Tribunal Constitucional afirmou que também os nacionais estrangeiros são objeto de direitos fundamentais (12). Em especial, o Tribunal declarou que a proteção da dignidade e do valor do ser humano, bem como o direito à felicidade, são direitos de qualquer ser humano e não apenas dos cidadãos (13). Além disso, de acordo com as declarações oficiais do Governo coreano (14), é geralmente reconhecido que os artigos 12.o a 22.o da Constituição (que incluem os direitos de privacidade) preveem direitos humanos fundamentais (15). Embora, até à data, não exista jurisprudência específica respeitante ao direito à privacidade dos nacionais estrangeiros, o seu fundamento na proteção da dignidade humana e na prossecução da felicidade apoia esta conclusão (16).

(10)

Além disso, a Coreia promulgou um conjunto de leis no domínio da proteção de dados que preveem garantias para todas as pessoas singulares, independentemente da sua nacionalidade (17). Para efeitos da presente decisão, as leis aplicáveis são:

(11)

A Lei relativa à proteção de informações pessoais estabelece o quadro jurídico geral para a proteção de dados na República da Coreia. É complementada por um decreto de execução (Decreto Presidencial n.o 23169, de 29 de setembro de 2011, com a última redação que lhe foi dada pelo Decreto Presidencial n.o 30892, de 4 de agosto de 2020) (Decreto de Execução da Lei relativa à proteção de informações pessoais), que, tal como a Lei relativa à proteção de informações pessoais, é juridicamente vinculativo e tem força executiva.

(12)

Além disso, as «notificações» regulamentares adotadas pela Comissão de Proteção de Informações Pessoais preveem regras adicionais sobre a interpretação e a aplicação da Lei relativa à proteção de informações pessoais. Com base no disposto no artigo 5.o (Obrigações do Estado) e no artigo 14.o da Lei relativa à proteção de informações pessoais (Cooperação internacional), a Comissão de Proteção de Informações Pessoais adotou a Notificação n.o 2021-5, de 1 de setembro de 2020 (com a redação que lhe foi dada pela Notificação n.o 2021-1, de 21 de janeiro de 2021, e pela Notificação n.o 2021-5 de 16 de novembro de 2021, Notificação n.o 2021-5), sobre a interpretação, aplicação e execução de determinadas disposições da Lei relativa à proteção de informações pessoais. A referida notificação fornece esclarecimentos aplicáveis a qualquer tratamento de dados pessoais ao abrigo da Lei relativa à proteção de informações pessoais, bem como garantias adicionais para os dados pessoais transferidos para a Coreia com base na presente decisão. A notificação é juridicamente vinculativa para os responsáveis pelo tratamento de dados pessoais e pode ser executada tanto pela Comissão de Proteção de Informações Pessoais como pelos tribunais (19). Uma violação das regras estabelecidas na notificação implica uma violação das disposições pertinentes da Lei relativa à proteção de informações pessoais que as mesmas complementam. Por conseguinte, o teor das garantias adicionais é analisado no âmbito da avaliação dos artigos pertinentes da Lei relativa à proteção de informações pessoais. Por fim, o Manual da Lei relativa à proteção de informações pessoais e as orientações adotadas pela Comissão de Proteção de Informações Pessoais (20) contêm orientações adicionais sobre a Lei relativa à proteção de informações pessoais e o respetivo decreto de execução, que informam a aplicação e o cumprimento das regras em matéria de proteção de dados por parte da Comissão de Proteção de Informações Pessoais.

(13)

Além disso, a Lei relativa à utilização e proteção de informações de crédito estabelece regras específicas aplicáveis tanto a operadores comerciais «normais» como a entidades especializadas no setor financeiro quando tratam informações pessoais sobre o crédito, ou seja, as informações necessárias para determinar a solvabilidade das partes em transações financeiras ou comerciais. Nas referidas informações incluem-se, nomeadamente, o nome, os dados de contacto, as transações financeiras, a notação de crédito, a situação em matéria de seguros ou o saldo do empréstimo, quando tais informações são utilizadas para determinar a solvabilidade de uma pessoa singular (21). Em contrapartida, quando essas informações são utilizadas para outros fins (como os recursos humanos), a Lei relativa à proteção de informações pessoais aplica-se em todos os seus elementos. No que respeita às disposições específicas da Lei relativa à utilização e proteção de informações de crédito em matéria de proteção de dados, o cumprimento é supervisionado, em parte, pela Comissão de Proteção de Informações Pessoais (relativamente às organizações comerciais, ver o artigo 45.o-3 da Lei relativa à utilização e proteção de informações de crédito) e, em parte, pela Comissão de Serviços Financeiros (22) (relativamente ao setor financeiro, incluindo agências de notação de crédito, bancos, companhias de seguros, caixas económicas mutualistas, sociedades financeiras de crédito especializadas, sociedades de serviços de investimento financeiro, sociedades de financiamento de valores mobiliários, cooperativas de crédito, etc., ver o artigo 45.o, n.o 1, da Lei relativa à utilização e proteção de informações de crédito, conjugado com o artigo 36.o-2 do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito e o artigo 38.o da Lei relativa à Comissão de Serviços Financeiros). A este respeito, o âmbito de aplicação da presente decisão limita-se a operadores comerciais sujeitos à fiscalização da Comissão de Proteção de Informações Pessoais (23). As regras específicas da Lei relativa à utilização e proteção de informações de crédito aplicáveis neste contexto (aplicam-se as regras gerais da Lei relativa à proteção de informações pessoais quando não existem regras específicas) encontram-se descritas no ponto 2.3.11.

(14)

Salvo disposição específica em contrário noutras leis, a proteção dos dados pessoais é regida pela Lei relativa à proteção de informações pessoais (artigo 6.o). O âmbito de aplicação material e pessoal da mesma é determinado pelos conceitos definidos de «informações pessoais», «tratamento» e «responsável pelo tratamento de informações pessoais».

(15)

O artigo 2.o, n.o 1, da Lei relativa à proteção de informações pessoais define as informações pessoais como as informações relativas a uma pessoa singular viva que a identifique diretamente, por exemplo, através do seu nome, número de registo ou imagem residente, ou indiretamente, nomeadamente quando as informações que não podem, por si só, identificar uma determinada pessoa singular podem ser facilmente combinadas com outras informações. Determinar se as informações podem ser «facilmente» combinadas depende da probabilidade razoável dessa combinação, tendo em conta a possibilidade de obter outras informações, bem como o tempo, o custo e a tecnologia necessários para identificar uma pessoa.

(16)

Além disso, as informações com recurso a pseudónimos – ou seja, informações que não podem identificar uma pessoa singular específica sem as utilizar ou combinar com informações adicionais para as repor na sua situação original – são consideradas dados pessoais ao abrigo da Lei relativa à proteção de informações pessoais (artigo 2.o, n.o 1, alínea c), da Lei relativa à proteção de informações pessoais). Em contrapartida, as informações totalmente «anónimas» estão excluídas do âmbito de aplicação da Lei relativa à proteção de informações pessoais (artigo 58.o, n.o 2, da Lei relativa à proteção de informações pessoais). É o caso das informações através das quais não é possível identificar uma pessoa singular específica, mesmo que combinadas com outras informações, tendo em conta o tempo, o custo e a tecnologia razoavelmente necessários para a identificação.

(17)

Tal corresponde ao âmbito de aplicação material do Regulamento (UE) 2016/679 e aos respetivos conceitos de «dados pessoais», «pseudonimização» (24) e «informações anónimas» (25).

(18)

O conceito de «tratamento» é definido em termos gerais na Lei relativa à proteção de informações pessoais como abrangendo a recolha, a produção, a ligação, a interligação, o registo, o armazenamento, a retenção, o tratamento de valor acrescentado, a edição, a obtenção, a produção, a correção, a recuperação, a utilização, o fornecimento e a divulgação, a destruição de informações pessoais e outras atividades semelhantes (26). Embora certas disposições da Lei relativa à proteção de informações pessoais se refiram apenas a tipos específicos de tratamento, tais como «utilização», «prestação» ou «recolha» (27), a noção de «utilização» é interpretada como incluindo qualquer tipo de tratamento que não seja «recolha» ou «prestação» (por terceiros). Esta interpretação lata da noção de «utilização» garante, assim, a inexistência de lacunas na proteção no que respeita a atividades de tratamento específicas. Por conseguinte, o conceito de «tratamento» é igual ao constante do Regulamento (UE) 2016/679.

(19)

A Lei relativa à proteção de informações pessoais aplica-se aos «responsáveis pelo tratamento de informações pessoais» (responsável pelo tratamento). À semelhança do Regulamento (UE) 2016/679, o conceito inclui qualquer instituição pública, pessoa coletiva, organização ou pessoa singular que proceda ao tratamento de dados pessoais, de forma direta ou indireta, para a gestão de ficheiros de dados pessoais, como parte das respetivas atividades (28). Neste contexto, por «ficheiro de informações pessoais» entende-se qualquer conjunto ou conjuntos de informações pessoais estruturadas ou organizadas de forma sistemática, com base numa determinada regra, para facilitar o acesso às informações pessoais (artigo 2.o, n.o 4, da Lei relativa à proteção de informações pessoais) (29). A nível interno, o responsável pelo tratamento está obrigado a formar as pessoas singulares envolvidas no tratamento que se encontrem sob a sua direção, tais como dirigentes ou funcionários da empresa, e a exercer um controlo e supervisão adequados (artigo 28.o, n.o 1, da Lei relativa à proteção de informações pessoais).

(20)

Aplicam-se obrigações específicas quando um responsável pelo tratamento subcontrata o tratamento de dados pessoais a um terceiro («subcontratante»). Em especial, a subcontratação deve ser regida por um acordo juridicamente vinculativo (normalmente um contrato) (30) que defina o âmbito do trabalho subcontratado, a finalidade do tratamento, as garantias técnicas e de gestão a aplicar, a supervisão pelo responsável pelo tratamento, a responsabilidade (como a indemnização por danos causados por uma violação das obrigações contratuais), bem como as limitações a qualquer outra subcontratação ulterior (31) (artigo 26.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais conjugado com o artigo 28.o, n.o 1, do decreto de execução) (32).

(21)

Além disso, o responsável pelo tratamento tem de publicar e atualizar continuamente informações detalhadas sobre o trabalho subcontratado e a identidade do subcontratante ou, na medida em que o tratamento subcontratado diga respeito a atividades de comercialização direta, notificar diretamente as pessoas singulares sobre as informações pertinentes (artigo 26.o, n.os 2 e 3, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 28.o, n.os 2 a 5, do decreto de execução) (33).

(22)

Além disso, nos termos do artigo 26.o, n.o 4, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 28.o, n.o 6, do decreto de execução, o responsável pelo tratamento tem a obrigação de «educar» o subcontratante acerca das medidas de segurança necessárias, bem como de supervisionar, nomeadamente através de inspeções, se o subcontratante cumpre todas as obrigações do responsável pelo tratamento ao abrigo da Lei relativa à proteção de informações pessoais (34), bem como ao abrigo do contrato de subcontratação. Em caso de danos decorrentes de uma violação da Lei relativa à proteção de informações pessoais pelo subcontratante, as ações ou omissões por este cometidas serão imputadas ao responsável pelo tratamento para efeitos de responsabilidade, tal como acontece no caso de um trabalhador (artigo 26.o, n.o 6, da Lei relativa à proteção de informações pessoais).

(23)

Embora a Lei relativa à proteção de informações pessoais não utilize, por conseguinte, conceitos diferentes para «responsáveis pelo tratamento» e «subcontratantes», as regras em matéria de subcontratação preveem essencialmente obrigações e garantias equivalentes às que regulam a relação entre os responsáveis pelo tratamento e os subcontratantes ao abrigo do Regulamento (UE) 2016/679.

(24)

Embora a Lei relativa à proteção de informações pessoais se aplique ao tratamento de dados pessoais por qualquer responsável pelo tratamento, certas disposições contêm regras específicas (como lex specialis) aplicáveis ao tratamento de dados pessoais de «utilizadores» levado a cabo por «prestadores de serviços de informação e comunicação» (35). O conceito de «utilizadores» abrange pessoas singulares que utilizam serviços de informação e comunicação (artigo 2.o, n.o 1, ponto 4, da Lei relativa à promoção da utilização das redes de informação e comunicação e da proteção de dados, a seguir designada por Lei relativa às redes). Tal exige que a pessoa singular utilize diretamente serviços de telecomunicações prestados por um operador de telecomunicações coreano ou utilize serviços de informação (36) fornecidos comercialmente (ou seja, com fins lucrativos) por uma entidade que, por sua vez, depende dos serviços de um operador de telecomunicações licenciado/registado na Coreia (37). Em ambos os casos, a entidade vinculada pelas disposições específicas da Lei relativa à proteção de informações pessoais é uma entidade que disponibiliza um serviço em linha diretamente a uma pessoa singular (ou seja, um utilizador).

(25)

Em contrapartida, uma verificação de adequação diz exclusivamente respeito ao nível de proteção conferido aos dados pessoais transferidos de um responsável pelo tratamento/subcontratante na União para uma entidade num país terceiro (neste caso: a República da Coreia). Neste último cenário, as pessoas singulares na União terão normalmente uma relação direta apenas com o «exportador de dados» na União e não com qualquer prestador de serviços de informação e comunicação coreano (38). Por conseguinte, as disposições específicas da Lei relativa à proteção de informações pessoais relativas a dados pessoais dos utilizadores de serviços de informação e comunicação só se aplicarão, quando muito, em situações limitadas aos dados pessoais transferidos ao abrigo da presente decisão.

(26)

O artigo 58.o, n.o 1, da Lei relativa à proteção de informações pessoais exclui a aplicação de parte da Lei relativa à proteção de informações pessoais (ou seja, os artigos 15.o a 57.o) relativamente a quatro categorias de tratamento de dados (39). Em especial, não são aplicáveis as partes da Lei relativa à proteção de informações pessoais respeitantes aos motivos específicos para o tratamento, a certas obrigações em matéria de proteção de dados, às regras pormenorizadas para o exercício dos direitos individuais, bem como às regras que regem a resolução de litígios pelo Comité de Mediação de Litígios de Informações Pessoais. Continuam a aplicar-se outras disposições básicas da Lei relativa à proteção de informações pessoais, em especial as disposições gerais relativas aos princípios de proteção de dados (artigo 3.o da Lei relativa à proteção de informações pessoais) – incluindo, por exemplo, os princípios da legalidade, especificação da finalidade e limitação da finalidade, minimização dos dados, exatidão e segurança dos dados – e aos direitos individuais (de acesso, retificação, apagamento e suspensão, ver artigo 4.o da Lei relativa à proteção de informações pessoais). Além disso, o artigo 58.o, n.o 4, da Lei relativa à proteção de informações pessoais impõe obrigações específicas a essas atividades de tratamento, nomeadamente no que diz respeito à minimização dos dados, à conservação limitada de dados, às medidas de segurança e ao tratamento das reclamações (40). Consequentemente, as pessoas singulares podem ainda apresentar uma reclamação junto da Comissão de Proteção de Informações Pessoais se os referidos princípios e obrigações não forem respeitados e a Comissão de Proteção de Informações Pessoais estiver habilitada a tomar medidas coercivas em caso de incumprimento.

(27)

Em primeiro lugar, a isenção parcial abrange os dados pessoais recolhidos nos termos da Lei relativa a estatísticas para tratamento por parte de instituições públicas. De acordo com os esclarecimentos prestados pelo Governo coreano, os dados pessoais tratados neste contexto dizem normalmente respeito a nacionais coreanos e só excecionalmente podem incluir informações sobre estrangeiros, nomeadamente no caso de estatísticas sobre entradas e saídas do território ou sobre investimentos estrangeiros. No entanto, mesmo nestas situações, esses dados não são normalmente transferidos dos responsáveis pelo tratamento/subcontratantes na União, mas sim recolhidos diretamente pelas autoridades públicas da Coreia (41). Além disso, à semelhança do previsto no considerando 162 do Regulamento (UE) 2016/679, o tratamento de dados ao abrigo da Lei relativa a estatísticas está sujeito a várias condições e garantias. Em especial, a esta lei impõe obrigações específicas, tais como garantir a exatidão, a coerência e a imparcialidade, assegurar a confidencialidade das pessoas singulares, proteger as informações dos inquiridos no âmbito de inquéritos estatísticos, nomeadamente a fim de impedir que tais informações sejam utilizadas para outras finalidades que não a compilação de estatísticas e sujeitar os membros do pessoal a requisitos de confidencialidade (42). As autoridades públicas que tratam estatísticas devem também respeitar, nomeadamente, os princípios da minimização de dados, da limitação da finalidade e da segurança (artigos 3.o e 58.o, n.o 4, da Lei relativa à proteção de informações pessoais) e permitir que as pessoas singulares exerçam os respetivos direitos (de acesso, retificação, apagamento e suspensão, ver artigo 4.o da Lei relativa à proteção de informações pessoais). Por último, é necessário que os dados sejam tratados de forma anónima ou pseudonimizada, caso tal permita cumprir a finalidade do tratamento (artigo 3.o, n.o 7, da Lei relativa à proteção de informações pessoais).

(28)

Em segundo lugar, o artigo 58.o, n.o 1, da Lei relativa à proteção de informações pessoais refere-se aos dados pessoais recolhidos ou solicitados para a análise de informações relacionadas com a segurança nacional. O âmbito e as consequências desta isenção parcial encontram-se descritas pormenorizadamente no considerando (149).

(29)

Em terceiro lugar, a isenção parcial aplica-se ao tratamento temporário de dados pessoais quando tal seja urgentemente necessário por razões de proteção e segurança públicas, incluindo a saúde pública. Esta categoria é interpretada de forma estrita pela Comissão de Proteção de Informações Pessoais e, de acordo com as informações recebidas, nunca foi utilizada. Aplica-se apenas em situações de emergência que exijam uma ação urgente, por exemplo, para detetar agentes infecciosos ou para salvar e ajudar as vítimas de catástrofes naturais (43). Mesmo nestas situações, a isenção parcial só abrange o tratamento de dados pessoais durante um período limitado para a realização dessa ação. São ainda mais limitadas as situações em que tal se poderia aplicar às transferências de dados abrangidas pela presente decisão, tendo em conta a reduzida probabilidade de os dados pessoais transferidos da União para operadores coreanos serem do tipo suscetível de tornar o seu posterior tratamento «urgentemente necessário» para essas emergências.

(30)

Por último, a isenção parcial aplica-se aos dados pessoais recolhidos ou utilizados pela imprensa, para atividades missionárias por organizações religiosas ou para a nomeação de candidatos por partidos políticos. A isenção só se aplica quando os dados pessoais são tratados pela imprensa, organizações religiosas ou partidos políticos para essas finalidades específicas (ou seja, atividades jornalísticas, trabalho missionário e nomeação de candidatos políticos). Quando essas entidades tratam dados pessoais para outras finalidades, como a gestão de recursos humanos ou a administração interna, a Lei relativa à proteção de informações pessoais aplica-se na íntegra.

(31)

No que respeita ao tratamento de dados pessoais pela imprensa para atividades jornalísticas, o equilíbrio entre a liberdade de expressão e outros direitos (incluindo o direito à privacidade) é proporcionado pela Lei relativa a arbitragem e vias de recurso por danos causados por notícias da imprensa («Lei da imprensa») (44). Em especial, o artigo 5.o da Lei relativa à imprensa prevê que a imprensa (ou seja, qualquer organismo de radiodifusão, jornal, periódico ou em linha), qualquer serviço noticioso na Internet ou organismo de radiodifusão multimédia na Internet não pode violar a privacidade das pessoas singulares. Se, ainda assim, ocorrer uma violação da privacidade, esta deve ser rapidamente sanada, em conformidade com os procedimentos específicos previstos na referida lei. A este respeito, a Lei relativa à imprensa concede um conjunto de direitos às pessoas singulares que sofrem danos devido a uma notícia de imprensa, tais como a publicação de uma correção de uma falsa declaração, uma retificação através de uma declaração contraditória ou de uma nova notícia (quando a notícia de imprensa disser respeito a alegações de crimes de que a pessoa singular é posteriormente absolvida) (45). As reclamações apresentadas podem ser resolvidas diretamente pelos órgãos de comunicação social (através de um provedor de justiça) (46), por conciliação ou arbitragem (perante uma Comissão de Arbitragem de Imprensa especializada) (47) ou perante os tribunais. As pessoas singulares podem igualmente ser indemnizadas quando sofrem danos patrimoniais, pela violação de um direito de personalidade ou qualquer outro sofrimento emocional devido a um ato ilegal da imprensa (por dolo ou negligência) (48). Nos termos da Lei relativa à imprensa, a imprensa será responsável na medida em que uma notícia de imprensa que interfira com os direitos de uma pessoa singular não seja contrária aos valores sociais e seja publicada com o consentimento da pessoa singular em causa ou no interesse público (e existam motivos suficientes para considerar que a notícia corresponde à verdade) (49).

(32)

Embora o tratamento de dados pessoais pela imprensa para atividades jornalísticas esteja, por conseguinte, sujeito a garantias específicas decorrentes da Lei relativa à imprensa, não existem garantias adicionais que enquadrem a utilização das exceções para as atividades de tratamento por parte de organizações religiosas e partidos políticos de uma forma comparável aos artigos 85.o, 89.o e 91.o do Regulamento (UE) 2016/679. Por conseguinte, a Comissão considera adequado excluir do âmbito de aplicação da presente decisão as organizações religiosas, na medida em que tratem dados pessoais para as suas atividades missionárias, e os partidos políticos, na medida em que tratem dados pessoais no contexto da nomeação de candidatos.

(33)

Os dados pessoais devem ser objeto de um tratamento lícito e leal.

(34)

Este princípio está consagrado no artigo 3.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais e é reforçado pelo disposto no artigo 59.o da Lei relativa à proteção de informações pessoais, que proíbe o tratamento de dados pessoais «por meio fraudulento, inadequado ou injusto», «sem autoridade legal» ou «sem ser a autoridade competente» (50). Estes princípios gerais do tratamento lícito são estabelecidos nos artigos 15.o a 19.o da Lei relativa à proteção de informações pessoais, que estabelecem as diferentes bases jurídicas para o tratamento (recolha, utilização e fornecimento a terceiros), incluindo as circunstâncias em que tal pode implicar uma alteração da finalidade (artigo 18.o da Lei relativa à proteção de informações pessoais).

(35)

Nos termos do artigo 15.o, n.o 1, da Lei relativa à proteção de informações pessoais, um responsável pelo tratamento só pode recolher dados pessoais (no âmbito da finalidade da recolha) com base num número limitado de fundamentos jurídicos. Trata-se de: 1) consentimento do titular dos dados (51) (ponto 1); 2) necessidade de celebrar e executar um contrato com o titular dos dados (ponto 4); 3) uma autorização especial nos termos da lei ou a necessidade de cumprimento de uma obrigação legal (ponto 2); a necessidade (52) de uma instituição pública desempenhar as funções no âmbito da sua jurisdição, conforme previsto na lei; 4) a necessidade manifesta de proteção da vida, do corpo ou dos interesses patrimoniais do titular dos dados ou de um terceiro perante um perigo iminente (apenas se o titular dos dados não estiver em condições de manifestar a sua intenção ou se não for possível obter o consentimento prévio) (ponto 5); 5) a necessidade de alcançar o «interesse justificável» do responsável pelo tratamento se este for «manifestamente superior» aos interesses do titular dos dados (e apenas quando o tratamento apresentar uma «relação significativa» com o interesse legítimo e não exceder o que é razoável) (ponto 6) (53). Estes fundamentos para o tratamento são essencialmente equivalentes aos previstos no artigo 6.o do Regulamento (UE) 2016/679, incluindo o fundamento de «interesse justificável» que é igual ao fundamento de «interesse legítimo» previsto no artigo 6.o, n.o 1, alínea f), do Regulamento (UE) 2016/679.

(36)

Uma vez recolhidos, os dados pessoais podem ser utilizados para a finalidade de recolha (artigo 15.o, n.o 1, da Lei relativa à proteção de informações pessoais), ou «no âmbito razoavelmente relacionado» com a finalidade da recolha, tendo em conta eventuais desvantagens causadas ao titular dos dados e desde que tenham sido adotadas as medidas de segurança necessárias (por exemplo, cifragem) (artigo 15.o, n.o 3, da Lei relativa à proteção de informações pessoais). Para determinar se a finalidade de utilização está «razoavelmente relacionada» com a finalidade de recolha inicial, o decreto de execução estabelece critérios específicos semelhantes aos do artigo 6.o, n.o 4, do Regulamento (UE) 2016/679. Em especial, deve existir uma relevância considerável para a finalidade inicial, uma previsibilidade da utilização adicional (por exemplo, à luz das circunstâncias em que as informações foram recolhidas e, sempre que possível, os dados devem ser pseudonimizados (54). Os critérios específicos utilizados por um responsável pelo tratamento nesta avaliação devem ser previamente divulgados na política de privacidade (55). Além disso, o responsável pela privacidade (ver considerando (94)) é especificamente obrigado a verificar se a utilização posterior ocorre dentro desses parâmetros.

(37)

Aplicam-se regras semelhantes (mas algo mais rigorosas) ao fornecimento de dados a terceiros. Nos termos do artigo 17.o, n.o 1, da Lei relativa à proteção de informações pessoais, o fornecimento de dados pessoais a terceiros é permitido com base no consentimento (56) ou, no âmbito da finalidade da recolha, se a informação tiver sido recolhida com base num dos fundamentos jurídicos previstos no artigo 15.o, n.o 1, pontos 2, 3 e 5, da Lei relativa à proteção de informações pessoais. Tal exclui, em especial, qualquer divulgação baseada no «interesse justificável» do responsável pelo tratamento. Além do mencionado, o artigo 17.o, n.o 4, da Lei relativa à proteção de informações pessoais permite a disponibilização a um terceiro «no âmbito razoavelmente relacionado» com a finalidade da recolha, também tendo em conta eventuais desvantagens causadas ao titular dos dados e desde que tenham sido adotadas as medidas de segurança necessárias (por exemplo, cifragem). Devem ser tidos em conta os mesmos fatores que os descritos no considerando (36) para avaliar se a disposição está no âmbito razoavelmente relacionado com a finalidade de recolha e se são aplicáveis as mesmas garantias (ou seja, no que respeita à transparência através da política de privacidade e à participação do responsável pela privacidade).

(38)

A receção de dados pessoais pela União por um responsável pelo tratamento coreano é considerada uma «recolha» na aceção do artigo 15.o da Lei relativa à proteção de informações pessoais. A Notificação n.o 2021-5 (anexo I, ponto I, da presente decisão) esclarece que a finalidade para a qual os dados foram transferidos pela entidade da UE em causa constitui a finalidade da recolha para o responsável pelo tratamento de dados coreano. Consequentemente, os responsáveis coreanos pelo tratamento de dados que recebem dados pessoais da União são, em princípio, obrigados a tratar essas informações no âmbito da finalidade da transferência, em conformidade com o disposto no artigo 17.o da Lei relativa à proteção de informações pessoais.

(39)

Aplicam-se limitações especiais no caso de o responsável pelo tratamento procurar utilizar os dados pessoais ou fornecê-los a terceiros para uma finalidade diferente da finalidade de recolha (57). Nos termos do artigo 18.o, n.o 2, da Lei relativa à proteção de informações pessoais, um responsável pelo tratamento privado pode excecionalmente (58) utilizar dados pessoais ou fornecê-los a terceiros para uma finalidade diferente: 1) tendo por base o consentimento adicional (no sentido de «autónomo») do titular dos dados; 2) quando tal esteja previsto em disposições legais especiais; ou 3) quando seja manifestamente necessário para a proteção da vida, do corpo ou dos interesses patrimoniais do titular dos dados ou de um terceiro perante um perigo iminente (apenas se o titular dos dados não estiver em condições de manifestar a sua intenção e se não for possível obter o consentimento prévio) (59).

(40)

As instituições públicas podem também utilizar dados pessoais ou fornecê-los a terceiros para uma finalidade diferente em certas situações. Tal inclui os casos em que, de outro modo, as instituições públicas não poderiam exercer as suas funções estatutárias, conforme previsto na lei, sob reserva de autorização da Comissão de Proteção de Informações Pessoais. Além disso, as instituições públicas podem fornecer dados pessoais a outra autoridade ou tribunal, sempre que tal seja necessário para a investigação e a ação penal por crimes ou para um despacho de acusação, para que um tribunal exerça as suas funções relacionadas com processos judiciais em curso, ou para a execução de uma sanção penal ou de um despacho de guarda ou de detenção (60). Podem também fornecer dados pessoais a um governo estrangeiro ou a uma organização internacional para cumprir uma obrigação legal decorrente de um tratado ou de uma convenção internacional, caso em que têm também de cumprir os requisitos aplicáveis às transferências transfronteiriças de dados (ver considerando (90)).

(41)

Os princípios da licitude e da lealdade do tratamento são, por conseguinte, aplicados no quadro jurídico coreano de uma forma essencialmente equivalente à do Regulamento (UE) 2016/679, autorizando o tratamento apenas com base em fundamentos legítimos e claramente definidos. Além disso, em todos os casos mencionados, o tratamento só é permitido se não for suscetível de «violar injustamente» os interesses do titular dos dados ou de um terceiro, o que exige uma ponderação de interesses. Além disso, o artigo 18.o, n.o 5, da Lei relativa à proteção de informações pessoais prevê garantias adicionais quando o responsável pelo tratamento fornece os dados pessoais a terceiros, o que pode incluir um pedido para restringir a finalidade e o método de utilização ou a implementação de medidas de segurança específicas. Por sua vez, os terceiros ficam obrigados a executar as medidas solicitadas.

(42)

Por último, o artigo 28.o-2 da Lei relativa à proteção de informações pessoais permite o tratamento (posterior) de informações pseudonimizadas sem o consentimento da pessoa singular em causa para efeitos de estatísticas, de investigação científica (61) e de arquivo no interesse público, sob reserva de garantias específicas. À semelhança do Regulamento (UE) 2016/679 (62), a Lei relativa à proteção de informações pessoais facilita, por conseguinte, o tratamento (posterior) de dados pessoais para essas finalidades, num quadro que preveja garantias adequadas para proteger os direitos das pessoas singulares. Em vez de recorrer à pseudonimização como possível garantia, a Lei relativa à proteção de informações pessoais impõe-na como condição prévia para a realização de determinadas atividades de tratamento para efeitos de estatísticas, de investigação científica e de arquivo no interesse público (por exemplo, para poder tratar os dados sem consentimento ou combinar diferentes conjuntos de dados).

(43)

Além disso, a Lei relativa à proteção de informações pessoais impõe um conjunto de garantias específicas, em especial em termos de medidas técnicas e organizativas necessárias, conservação de registos, limitações à partilha de dados e resolução de eventuais riscos de reidentificação. A combinação das várias garantias descritas nos considerandos (44) a (48) garante que o tratamento de dados pessoais neste contexto está sujeito a proteções essencialmente equivalentes às que seriam exigidas em conformidade com o Regulamento (UE) 2016/679.

(44)

Em primeiro lugar, e mais importante ainda, o artigo 28.o-5, n.o 1, da Lei relativa à proteção de informações pessoais proíbe o tratamento de informações pseudonimizadas com a finalidade de identificar uma determinada pessoa. Se, ainda assim, forem geradas informações suscetíveis de identificar uma pessoa singular durante o tratamento de informações pseudonimizadas, o responsável pelo tratamento deve suspender imediatamente o tratamento e destruir essas informações (artigo 28.o-5, n.o 2, da Lei relativa à proteção de informações pessoais). O incumprimento destas disposições está sujeito a coimas e constitui uma infração penal (63). Tal significa que, mesmo nas situações em que seria possível, na prática, reidentificar a pessoa, essa reidentificação é proibida por lei.

(45)

Em segundo lugar, quando se tratar (posteriormente) informações pseudonimizadas para essas finalidades, o responsável pelo tratamento deve adotar medidas tecnológicas, de gestão e físicas específicas para garantir a segurança das informações (incluindo o armazenamento e a gestão separados das informações necessárias para repor a informação pseudonimizadas no seu estado original) (64). Além disso, devem ser conservados registos das informações pseudonimizadas tratadas, da finalidade do tratamento, do histórico de utilização e de quaisquer terceiros destinatários (artigo 29.o-5, n.o 2, do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(46)

Em terceiro e último lugar, a Lei relativa à proteção de informações pessoais prevê garantias específicas para impedir a identificação de pessoas singulares por terceiros em caso de partilha de informações. Em especial, ao fornecerem informações pseudonimizadas a terceiros para efeitos de estatísticas, de investigação científica ou de arquivo de interesse público, os responsáveis pelo tratamento não podem incluir informações que possam ser utilizadas para identificar uma pessoa singular específica (artigo 28.o-2, n.o 2, da Lei relativa à proteção de informações pessoais) (65).

(47)

Mais especificamente, embora a Lei relativa à proteção de informações pessoais permita a combinação de informações pseudonimizadas (tratadas por diferentes responsáveis pelo tratamento) para efeitos de estatísticas, de investigação científica ou de arquivo no interesse público, a Lei relativa à proteção de informações pessoais reserva esse poder a instituições especializadas dotadas de instalações de segurança específicas (artigo 28.o-3, n.o 1, da Lei relativa à proteção de informações pessoais) (66). Ao solicitar uma combinação de dados pseudonimizados, o responsável pelo tratamento deve apresentar documentação sobre, entre outros elementos, os dados a combinar, a finalidade da combinação, bem como as medidas de segurança propostas para o tratamento dos dados combinados (67). Para permitir a combinação, o responsável pelo tratamento tem de enviar os dados para serem combinados à instituição especializada e fornecer uma «chave de combinação» (ou seja, as informações que foram utilizadas na pseudonimização) à Agência de Internet e Segurança da Coreia (68). Esta última gera «dados de ligação da chave de combinação» (que permite associar as chaves de combinação de diferentes requerentes a fim de obter a combinação dos conjuntos de dados) e fornece-os à instituição especializada (69).

(48)

O responsável pelo tratamento que solicita a combinação pode analisar as informações combinadas nas instalações da instituição especializada, num espaço em que são aplicadas medidas de segurança técnica, física e administrativa específicas (artigo 29.o-3 do Decreto de Execução da Lei relativa à proteção de informações pessoais). Os responsáveis pelo tratamento que contribuem com um conjunto de dados para essa combinação só podem recolher os dados combinados fora da instituição especializada na sequência de uma maior pseudonimização ou anonimização dos dados combinados e com a aprovação dessa instituição (artigo 28.o-3, n.o 2, da Lei relativa à proteção de informações pessoais) (70). Ao ponderar se deve ou não conceder essa aprovação, a instituição avaliará a ligação entre os dados combinados e a finalidade do tratamento e se foi elaborado um plano de segurança específico para a utilização desses dados (71). A exportação de informações combinadas para fora da instituição não será permitida se as informações contiverem dados que permitam a identificação de uma pessoa (72). Por último, a combinação e a divulgação de dados pseudonimizados pela instituição especializada são supervisionadas pela Comissão de Proteção de Informações Pessoais (artigo 29.o-4, n.o 3, do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(49)

Devem existir garantias específicas aplicáveis ao tratamento de «categorias especiais» de dados.

(50)

A Lei relativa à proteção de informações pessoais contém regras específicas relativas ao tratamento de dados sensíveis (73), que são definidos como dados pessoais que revelem informações sobre ideologia, crença, admissão ou saída de um sindicato ou partido político, opiniões políticas, saúde e vida sexual de uma pessoa, bem como outras informações pessoais suscetíveis de ameaçar «notoriamente» a privacidade do titular dos dados e que tenham sido prescritas como informações sensíveis por decreto presidencial (74). De acordo com os esclarecimentos prestados pela Comissão de Proteção de Informações Pessoais, a vida sexual é interpretada como abrangendo também a orientação ou preferências sexuais da pessoa (75). Além disso, o artigo 18.o do decreto de execução acrescenta outras categorias ao âmbito de dados sensíveis, em especial as informações de ADN obtidas a partir de testes genéticos e os dados que constituem o registo criminal. A recente alteração do Decreto de Execução da Lei relativa à proteção de informações pessoais alargou ainda mais o conceito de dados sensíveis, incluindo também dados pessoais que revelem a origem racial ou étnica e informações biométricas (76). 'Na sequência dessa alteração, o conceito de dados sensíveis ao abrigo da Lei relativa à proteção de informações pessoais é essencialmente equivalente à constante do artigo 9.o do Regulamento (UE) 2016/679.

(51)

Nos termos do artigo 23.o, n.o 1, da Lei relativa à proteção de informações pessoais e à semelhança do disposto no artigo 9.o, n.o 1, do Regulamento (UE) 2016/679, o tratamento de dados sensíveis é, em geral, proibido, salvo se se aplicar uma das exceções elencadas (77). Estas limitam o tratamento aos casos em que o responsável pelo tratamento informa o titular dos dados em conformidade com os artigos 15.o e 17.o da Lei relativa à proteção de informações pessoais e obtém consentimento separado (ou seja, separado do consentimento para o tratamento de outros dados pessoais) ou em que o tratamento é exigido ou permitido por lei. As autoridades públicas podem também tratar informações biométricas, informações de ADN obtidas a partir de testes genéticos, informações pessoais que revelem a origem racial ou étnica e dados que constituam um registo criminal por motivos exclusivamente disponíveis (por exemplo, quando necessário para a investigação de crimes ou, se necessário, para que um tribunal prossiga um processo) (78). Como tal, as bases jurídicas disponíveis para o tratamento de dados sensíveis são mais limitadas do que para outros tipos de dados pessoais e ainda mais restritivas no direito coreano do que as previstas no artigo 9.o, n.o 2, do Regulamento (UE) 2016/679.

(52)

Além disso, o artigo 23.o, n.o 2, da Lei relativa à proteção de informações pessoais – incumprimento que pode conduzir a sanções (79) – sublinha a importância, em particular, de assegurar segurança adequada no tratamento de dados sensíveis, de modo que estes não possam ser extraviados, furtados, divulgados, forjados, alterados ou danificados. Embora este seja um requisito geral ao abrigo do artigo 29.o da Lei relativa à proteção de informações pessoais, o artigo 3.o, n.o 4, esclarece que o nível de segurança tem de se adaptar ao tipo de dados pessoais que são tratados, o que significa ser necessário ter em conta os riscos em particular envolvidos no tratamento de dados sensíveis. Além disso, o tratamento de dados deve ser sempre efetuado de forma a minimizar a possibilidade de violar a privacidade do titular dos dados e, se possível, de forma anónima (artigo 3.o, n.os 6 e 7, da Lei relativa à proteção de informações pessoais). Estes requisitos são particularmente pertinentes quando o tratamento diz respeito a dados sensíveis.

(53)

Os dados pessoais devem ser recolhidos para uma finalidade específica e de um modo que não seja incompatível com a finalidade do tratamento.

(54)

Este princípio é assegurado pelo artigo 3.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais, segundo o qual o responsável pelo tratamento deve «especificar e explicitar» a finalidade do tratamento, tratar os dados pessoais de forma adequada e não os utilizar para além dessa finalidade. O princípio geral da limitação da finalidade é igualmente confirmado no artigo 15.o, n.o 1, no artigo 18.o, n.o 1, no artigo 19.o e – para os subcontratantes – no artigo 26.o, n.o 1, ponto 1, n.os 5 e 7, da Lei relativa à proteção de informações pessoais. Em especial, os dados pessoais só podem, em princípio, ser utilizados e fornecidos a terceiros no âmbito da finalidade para a qual foram recolhidos (artigo 15.o, n.o 1, e artigo 17.o, n.o 1, ponto 2). O tratamento para uma finalidade compatível, ou seja, «dentro do âmbito razoavelmente relacionado com a finalidade inicial da recolha», só pode ocorrer se não afetar negativamente os titulares dos dados em causa e se forem adotadas medidas de segurança (como a cifragem) necessárias (artigo 15.o, n.o 3, e artigo 17.o, n.o 4, da Lei relativa à proteção de informações pessoais). Para determinar se o tratamento posterior se destina a uma finalidade compatível, o Decreto de Execução da Lei relativa à proteção de informações pessoais enumera critérios específicos semelhantes aos previstos no artigo 6.o, n.o 4, do Regulamento (UE) 2016/679, ver o considerando (36).

(55)

Conforme explicado no considerando (38), a finalidade da recolha no caso de os responsáveis pelo tratamento coreanos receberem dados pessoais da União é a finalidade para a qual os dados são transferidos. Uma alteração de finalidade pelo responsável pelo tratamento só é autorizada a título excecional, em casos específicos (enumerados) (artigo 18.o, n.o 2, pontos 1 a 3, da Lei relativa à proteção de informações pessoais, ver também o considerando (39)). Na medida em que uma alteração da finalidade é autorizada por lei, esta legislação deve, por sua vez, respeitar o direito fundamental à privacidade e à proteção de dados, bem como os princípios da necessidade e da proporcionalidade estabelecidos na Constituição coreana. Além disso, o artigo 18.o, n.os 2 e 5, da Lei relativa à proteção de informações pessoais prevê garantias adicionais, em especial o requisito de que essa alteração de finalidade não pode violar injustamente os interesses do titular dos dados, o que implica sempre uma ponderação de interesses. Esta disposição prevê um nível de proteção essencialmente equivalente ao previsto no artigo 5.o, n.o 1, alínea b), e no artigo 6.o, conjugado com o considerando 50 do Regulamento (UE) 2016/679.

(56)

Os dados pessoais devem ser exatos e, se necessário, atualizados. Devem ser adequados, pertinentes e limitar-se ao que é necessário relativamente às finalidades para que são tratados.

(57)

O princípio da exatidão é igualmente reconhecido no artigo 3.o, n.o 3, da Lei relativa à proteção de informações pessoais, que exige que os dados pessoais sejam exatos e completos, e que estejam atualizados na medida do necessário em relação às finalidades para que os dados são tratados. A minimização dos dados é exigida nos termos do artigo 3.o, n.os 1 e 6, e do artigo 16.o, n.o 1, da Lei relativa à proteção de informações pessoais, que estipulam que o responsável pelo tratamento deve recolher dados pessoais (apenas) «na medida do necessário» para a finalidade a que se destinam, recaindo nele o ónus da prova a este respeito. Se for possível cumprir o objetivo da recolha através do tratamento de forma anónima de informações, os responsáveis pelo tratamento devem esforçar-se por o fazer (artigo 3.o, n.o 7, da Lei relativa à proteção de informações pessoais).

(58)

Em princípio, os dados pessoais não devem ser conservados mais tempo do que o necessário para as finalidades para que são tratados.

(59)

O princípio da limitação da conservação está igualmente previsto no artigo 21.o, n.o 1, da Lei relativa à proteção de informações pessoais (80), que exige que o responsável pelo tratamento «destrua» (81) os dados pessoais imediatamente após a consecução da finalidade do tratamento ou após o termo do período de conservação dos dados (consoante o que ocorrer primeiro), salvo se a lei exigir conservação posterior (82). Neste caso, os dados pessoais pertinentes devem ser armazenados e geridos separadamente de outras informações pessoais (artigo 21.o, n.o 3, da Lei relativa à proteção de informações pessoais).

(60)

O artigo 21.o, n.o 1, da Lei relativa à proteção de informações pessoais não se aplica quando os dados pseudonimizados são tratados para efeitos de estatísticas, de investigação científica ou de arquivo no interesse público (83). Para garantir o princípio da conservação limitada de dados também neste caso, a Notificação n.o 2021-5 exige que os responsáveis pelo tratamento anonimizem as informações, em conformidade com o artigo 58.o-2 da Lei relativa à proteção de informações pessoais, se os dados não tiverem sido destruídos após o cumprimento da finalidade específica do tratamento (84).

(61)

Os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo proteção contra tratamento não autorizado ou ilícito e contra perda, destruição ou danos acidentais. Para este fim, os operadores comerciais devem tomar as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra eventuais ameaças. Estas medidas devem ser avaliadas tendo em conta o estado da técnica, os custos conexos e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos das pessoas singulares.

(62)

O artigo 3.o, n.o 4, da Lei relativa à proteção de informações pessoais estabelece um princípio semelhante de segurança, que exige a gestão das informações pessoais pelos responsáveis pelo tratamento de forma segura, de acordo com os métodos de tratamento, os tipos, entre outros aspetos, das informações pessoais, tendo em conta a possibilidade de violação dos direitos dos titulares dos dados e a gravidade dos riscos relevantes. Além disso, o responsável pelo tratamento deve tratar as informações pessoais de forma a minimizar a possibilidade de violar a privacidade do titular dos dados e esforçar-se por tratar os dados pessoais de forma anónima ou pseudonimizada, se possível (artigo 3.o, n.os 6 e 7, da Lei relativa à proteção de informações pessoais).

(63)

Estes requisitos gerais são aprofundados no artigo 29.o da Lei relativa à proteção de informações pessoais, nos termos do qual qualquer responsável pelo tratamento deve tomar as medidas técnicas, de gestão e físicas, como a elaboração de um plano de gestão interno e a preservação de registos de acesso, entre outros, que sejam necessárias, conforme estipulado em decreto presidencial, de modo que as informações pessoais não possam ser extraviadas, furtadas, divulgadas, forjadas, alteradas ou danificadas. O artigo 30.o, n.o 1, do Decreto de Execução da Lei relativa à proteção de informações pessoais especifica essas medidas por referência 1) à formulação e execução de um plano de gestão interna para o tratamento seguro de dados pessoais, 2) aos controlos e restrições de acesso, 3) à adoção de tecnologia de cifragem para o armazenamento e a transmissão seguros de dados pessoais, 4) aos registos de acesso, 5) aos programas de segurança e 6) às medidas físicas, tais como um sistema seguro de armazenamento ou bloqueio (85).

(64)

Além disso, aplicam-se obrigações específicas em caso de violação de dados (artigo 34.o da Lei relativa à proteção de informações pessoais, conjugado com os artigos 39.o e 40.o do Decreto de Execução da Lei relativa à proteção de informações pessoais) (86). Em especial, o responsável pelo tratamento é obrigado a notificar sem demora aos titulares dos dados lesados os pormenores da violação (87), incluindo informações sobre as contramedidas (obrigatórias) tomadas pelo responsável pelo tratamento e o que os titulares dos dados podem fazer para minimizar o risco de danos (artigo 34.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais) (88). Se a violação de dados disser respeito a, pelo menos, mil titulares de dados, o responsável pelo tratamento deve também comunicar sem demora a violação de dados e as contramedidas tomadas à Comissão de Proteção de Informações Pessoais e à Agência de Internet e Segurança da Coreia, que pode prestar assistência técnica (artigo 34.o, n.o 3, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 39.o do Decreto de Execução da Lei relativa à proteção de informações pessoais). Os responsáveis pelo tratamento são responsáveis pelos danos resultantes de violações de dados, em conformidade com as disposições da Lei Civil sobre responsabilidade civil (ver também o ponto 2.5 sobre reparação) (89).

(65)

No cumprimento das suas obrigações em matéria de segurança, o responsável pelo tratamento deve ser coadjuvado por um responsável pela privacidade, cujas funções incluem, nomeadamente, a criação de um sistema de controlo interno para prevenir a divulgação, o abuso e a utilização indevida de informações pessoais (artigo 31.o, n.o 2, ponto 4, da Lei relativa à proteção de informações pessoais). Além disso, o responsável pelo tratamento tem o dever de efetuar o controlo e a supervisão adequados dos membros do seu pessoal que tratam dados pessoais, nomeadamente no que respeita à gestão segura dos mesmos. Tal inclui a formação necessária («ensino») dos trabalhadores (artigo 28.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais). Por último, no caso de subcontratação ulterior, o responsável pelo tratamento deve impor requisitos ao «subcontratante», nomeadamente no que respeita à gestão segura dos dados pessoais («garantias técnicas e de gestão»), bem como supervisionar a forma como os requisitos são aplicados através de inspeções (artigo 26.o, n.os 1 e 4, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 28.o, n.o 1, pontos 3 e 4, e n.o 6, do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(66)

Os titulares dos dados devem ser informados sobre as principais características do tratamento dos respetivos dados pessoais.

(67)

Tal é assegurado de diferentes formas no sistema coreano. Além do direito à informação previsto no artigo 4.o, ponto 1, (em geral) e no artigo 20.o, n.o 1, da Lei relativa à proteção de informações pessoais (para os dados pessoais recolhidos junto de terceiros), bem como o direito de acesso nos termos do artigo 35.o da Lei relativa à proteção de informações pessoais, esta lei inclui um requisito geral de transparência no que respeita à finalidade do tratamento (artigo 3.o, n.o 1, da Lei relativa à proteção de informações pessoais) e requisitos específicos de transparência no caso de o tratamento se basear no consentimento (artigo 15.o, n.o 2, artigo 17.o, n.o 2, e artigo 18.o, n.o 3, da Lei relativa à proteção de informações pessoais) (90). Além disso, o artigo 20.o, n.o 2, da Lei relativa à proteção de informações pessoais exige que certos responsáveis pelo tratamento – aqueles cujo tratamento excede determinados limiares (91) – notifiquem o titular dos dados, cujos dados pessoais tenham sido recebidos de um terceiro, da fonte de informação, da finalidade do tratamento e do direito do titular de exigir a suspensão do tratamento, a menos que tal notificação se revele impossível devido à inexistência de informações de contacto. São aplicáveis exceções a determinados ficheiros de dados pessoais na posse de autoridades públicas, em especial ficheiros que contenham dados tratados para efeitos de segurança nacional, outros interesses nacionais («graves») especialmente importantes, ou para fins de aplicação do direito penal, ou quando a notificação seja suscetível de causar danos não patrimoniais a outra pessoa ou causar injustificadamente danos ao direito de propriedade e a outros interesses materiais de outra pessoa, mas apenas quando os interesses públicos ou privados em causa forem «manifestamente superiores» aos direitos dos titulares dos dados em causa (artigo 20.o, n.o 4, da Lei relativa à proteção de informações pessoais). Tal requer uma ponderação de interesses.

(68)

Além disso, o artigo 3.o, n.o 5, da Lei relativa à proteção de informações pessoais estabelece que os responsáveis pelo tratamento devem tornar pública a sua política de privacidade (e outras questões relacionadas com o tratamento de dados pessoais). Este requisito é especificado em maior pormenor no artigo 30.o da Lei relativa à proteção de informações pessoais, conjugado com o artigo 31.o do Decreto de Execução da Lei relativa à proteção de informações pessoais. Em conformidade com essas disposições, a política de privacidade pública deve incluir, entre outros elementos, 1) os tipos de dados pessoais tratados, 2) a finalidade do tratamento, 3) o período de conservação, 4) se os dados pessoais são fornecidos a terceiros (92), 5) qualquer subcontratação ulterior, 6) informações sobre os direitos do titular dos dados e a forma de os exercer e 7) informações de contacto (incluindo o nome do responsável pela privacidade ou do serviço interno responsável por assegurar o cumprimento das regras em matéria de proteção de dados e tratamento de reclamações). A política de proteção da vida privada deve ser disponibilizada ao público, de modo que as pessoas em causa possam reconhecê-la com facilidade (artigo 30.o, n.o 2, da Lei relativa à proteção de informações pessoais) (93) e ser permanentemente atualizada (artigo 31.o, n.o 2, do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(69)

As instituições públicas estão sujeitas a uma obrigação adicional de registo, nomeadamente, das seguintes informações junto da Comissão de Proteção de Informações Pessoais: 1) o nome da instituição pública, 2) os motivos e finalidades para o tratamento dos ficheiros de dados pessoais, 3) os elementos dos dados pessoais registados, 4) o método de tratamento, 5) o período de conservação, 6) o número de titulares de dados cujos dados pessoais são conservados, 7) o serviço que trata os pedidos dos titulares dos dados e 8) os destinatários dos dados pessoais quando os dados são fornecidos de forma rotineira ou reiterada (artigo 32.o, n.o 1, da Lei relativa à proteção de informações pessoais) (94). Os ficheiros de dados pessoais registados são tornados públicos pela Comissão de Proteção de Informações Pessoais e devem também ser mencionados pelas instituições públicas na sua política de proteção da vida privada (artigo 30.o, n.o 1, e artigo 32.o, n.o 4, da Lei relativa à proteção de informações pessoais).

(70)

A fim de aumentar a transparência para os titulares de dados na União cujos dados pessoais são transferidos para a Coreia com base na presente decisão, o ponto 3, alíneas i) e ii), da Notificação n.o 2021-5 (anexo I) impõe requisitos adicionais de transparência. Em primeiro lugar, ao receber dados pessoais da União com base na presente decisão, os responsáveis pelo tratamento coreanos devem notificar os titulares dos dados em causa sem demora injustificada (e, em qualquer caso, o mais tardar um mês após a transferência) do nome e dos dados de contacto das entidades que transferem e recebem as informações, dos dados pessoais (ou categorias de dados pessoais) transferidos, da finalidade da recolha pelo responsável pelo tratamento coreano, do período de conservação e dos direitos disponíveis ao abrigo da Lei relativa à proteção de informações pessoais. Em segundo lugar, ao fornecer a terceiros dados pessoais recebidos da União com base na presente decisão, os titulares dos dados devem ser informados, nomeadamente, do destinatário, dos dados pessoais ou das categorias de dados pessoais a fornecer, do país para o qual os dados são fornecidos (se for caso disso), bem como dos direitos disponíveis ao abrigo da Lei relativa à proteção de informações pessoais (95). Desta forma, a notificação assegura que as pessoas singulares da UE continuam a ser informadas dos responsáveis pelo tratamento específicos que tratam as informações que lhe dizem respeito e estão em condições de exercer os seus direitos perante as entidades competentes.

(71)

O ponto 3, alínea iii), da notificação (anexo I) permite certas exceções limitadas e qualificadas a estas obrigações adicionais de transparência, que são essencialmente equivalentes às previstas no Regulamento (UE) 2016/679. Em especial, a notificação dos titulares de dados na União não é exigida 1) quando e enquanto for necessário limitar a notificação por razões de interesse público (por exemplo, quando as informações são tratadas para efeitos de segurança nacional ou investigações criminais em curso), na medida em que os objetivos de interesse público sejam manifestamente superiores aos direitos do titular dos dados; 2) quando o titular dos dados já tenha conhecimento das informações; 3) quando e enquanto a notificação for suscetível de causar danos não patrimoniais da pessoa singular ou de outra pessoa ou de constituir a violação injustificada de interesses patrimoniais de outra pessoa, quando esses direitos ou interesses forem manifestamente superiores aos direitos do titular dos dados; ou 4) quando não existirem dados de contacto para as pessoas singulares em causa ou se for necessário envidar um esforço desproporcionado para as notificar. Para determinar se é ou não possível contactar o titular dos dados ou se tal implica esforços excessivos, é necessário ter em conta a possibilidade de cooperação com o exportador de dados na União.

(72)

Por conseguinte, no que respeita a transparência, as regras enunciadas nos considerandos (67) a (71) asseguram um nível de proteção essencialmente equivalente ao previsto no Regulamento (UE) 2016/679.

(73)

Os titulares dos dados devem ter determinados direitos que podem ser exercidos contra o responsável pelo tratamento ou subcontratante, nomeadamente o direito de acesso aos dados, o direito de retificação, o direito de oposição ao tratamento e o direito de apagamento dos dados. Ao mesmo tempo, tais direitos podem estar sujeitos a limitações, na medida em que estas sejam necessárias e proporcionadas para assegurar objetivos importantes do interesse público geral.

(74)

Nos termos do artigo 3.o, n.o 5, da Lei relativa à proteção de informações pessoais, o responsável pelo tratamento garante aos titulares dos dados os direitos enumerados no artigo 4.o da Lei relativa à proteção de informações pessoais e especificados nos artigos 35.o a 37.o, 39.o e 39.o-2 da Lei relativa à proteção de informações pessoais.

(75)

Em primeiro lugar, as pessoas singulares têm direito à informação e direito de acesso. Quando o responsável pelo tratamento tiver recolhido dados pessoais de um terceiro – como será sempre o caso quando os dados são transferidos da União – os titulares dos dados têm geralmente o direito de receber informações sobre 1) a «fonte» dos dados pessoais recolhidos (ou seja, o transmitente), 2) a finalidade do tratamento e 3) o facto de o titular dos dados ter o direito de exigir a suspensão do tratamento (artigo 20.o, n.o 1, da Lei relativa à proteção de informações pessoais). Aplicam-se exceções limitadas, nomeadamente quando a notificação for suscetível de causar danos não patrimoniais a outra pessoa ou causar injustificadamente danos ao direito de propriedade e a outros interesses materiais de outra pessoa, mas apenas quando os interesse de terceiros sejam explicitamente superiores aos direitos do titular dos dados (artigo 20.o, n.o 4, ponto 2, da Lei relativa à proteção de informações pessoais).

(76)

Além disso, o artigo 35.o, n.os 1 e 3, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 41.o, n.o 4, do Decreto de Execução da Lei relativa à proteção de informações pessoais, confere aos titulares dos dados o direito de acesso às informações pessoais que lhe digam respeito (96). O direito de acesso abrange a confirmação do tratamento, informações sobre o tipo de dados tratados, a finalidade do tratamento, o período de conservação, bem como qualquer divulgação a terceiros e o fornecimento de uma cópia das informações pessoais tratadas (artigo 4.o, ponto 3, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 41.o, n.o 1, do Decreto de Execução da Lei relativa à proteção de informações pessoais) (97). O acesso só pode ser limitado (acesso parcial) (98) ou recusado quando a lei preveja essa possibilidade (99), quando o mesmo for suscetível de causar danos não patrimoniais a um terceiro ou constituir a violação injustificada do direito de propriedade e de outros interesses materiais de outra pessoa (artigo 35.o, n.o 4, da Lei relativa à proteção de informações pessoais) (100). Neste caso, é necessário proceder a uma ponderação entre os direitos e liberdades constitucionalmente protegidos da pessoa singular, por um lado, e de outras pessoas, por outro. Nos casos em que o acesso é limitado ou recusado, o responsável pelo tratamento deve notificar o titular dos dados dos motivos e das vias ao seu dispor para recorrer da decisão (artigo 41.o, n.o 5, e artigo 42.o, n.o 2, do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(77)

Em segundo lugar, os titulares dos dados têm direito à retificação ou apagamento (101) dos dados pessoais que lhe digam respeito, salvo disposição específica em contrário prevista noutra legislação (artigo 36.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais) (102). Após a receção de um pedido, o responsável pelo tratamento deve investigar sem demora o assunto, tomar as medidas necessárias (103) e notificar o titular dos dados desse facto no prazo de dez dias. Se o pedido não puder ser deferido, esta obrigação de notificação abrange os motivos da recusa e as vias de recurso (ver artigo 36.o, n.o 4, conjugado com o artigo 43.o, n.o 3, do Decreto de Execução da Lei relativa à proteção de informações pessoais) (104).

(78)

Por último, os titulares dos dados têm direito à suspensão imediata do tratamento dos dados pessoais que lhes digam respeito (105), a não ser que seja aplicável uma das exceções enumeradas (artigo 37.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais) (106). O responsável pelo tratamento pode recusar o pedido 1) quando tal for especificamente autorizado por lei ou se for necessário («inevitável») para o cumprimento de obrigações legais, 2) quando a suspensão for suscetível de causar danos não patrimoniais a um terceiro ou constituir a violação injustificada do direito de propriedade e de outros interesses materiais, 3) quando for impossível para uma instituição pública o exercício das respetivas funções previstas na lei sem proceder ao tratamento das informações, ou 4) quando o titular dos dados não denuncie expressamente o contrato subjacente com o responsável pelo tratamento, mesmo que seja impossível executar o contrato sem esse tratamento. Neste caso, o responsável pelo tratamento deve, sem demora, notificar o titular dos dados dos motivos da recusa e das vias de recurso (artigo 37.o, n.o 2, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 44.o, n.o 2, do Decreto de Execução da Lei relativa à proteção de informações pessoais). Nos termos do artigo 37.o, n.o 4, da Lei relativa à proteção de informações pessoais, no cumprimento do pedido de suspensão, o responsável pelo tratamento deve tomar imediatamente as medidas necessárias, incluindo a destruição das informações pessoais pertinentes (107).

(79)

O direito de suspensão aplica-se igualmente quando os dados pessoais são utilizados para fins de comercialização direta, ou seja, para promover bens ou serviços ou para solicitar a aquisição de bens ou serviços. Além disso, esse tratamento posterior exige geralmente o consentimento (adicional) específico do titular dos dados (ver artigo 15.o, n.o 1, ponto 1, artigo 17.o, n.o 2, ponto 1, da Lei relativa à proteção de informações pessoais) (108). Ao solicitar este consentimento, o responsável pelo tratamento deve informar o titular dos dados, em especial, no que respeita à utilização prevista dos dados para fins de comercialização direta – ou seja, o facto de poder ser contactado no âmbito da promoção de bens ou serviços ou de um pedido da sua aquisição – «de forma explicitamente reconhecível» (artigo 22.o, n.os 2 e 4, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 17.o, n.o 2, ponto 1, do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(80)

A fim de facilitar o exercício dos direitos individuais, o responsável pelo tratamento deve estabelecer procedimentos específicos e anunciá-los publicamente (artigo 38.o, n.o 4, da Lei relativa à proteção de informações pessoais) (109). Tal inclui procedimentos para a formulação de objeções perante a recusa de um pedido (artigo 38.o, n.o 5, da Lei relativa à proteção de informações pessoais). O responsável pelo tratamento deve assegurar que o procedimento para o exercício de direitos é de fácil utilização pelo titular dos dados e não mais difícil do que o procedimento para a recolha dos dados pessoais. Inclui-se aqui também a obrigação de prestar informações sobre o procedimento no respetivo sítio Web (artigo 41.o, n.o 2, artigo 43.o, n.o 1, e artigo 44.o, n.o 1, do Decreto de Execução da Lei relativa à proteção de informações pessoais) (110). As pessoas singulares podem autorizar um representante para apresentar esse pedido (artigo 38.o, n.o 1, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 45.o do Decreto de Execução da Lei relativa à proteção de informações pessoais). Embora o responsável pelo tratamento tenha o direito de cobrar uma taxa (e, no caso de um pedido de envio de cópias de dados pessoais, portes de correio), o montante tem de ser determinado dentro dos limites das despesas efetivamente necessárias para o tratamento do pedido. Não podem ser cobradas taxas (nem portes de correio) quando o responsável pelo tratamento tiver sido a causa do pedido (artigo 38.o, n.o 3, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 47.o do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(81)

A Lei relativa à proteção de informações pessoais e o respetivo decreto de execução não contêm disposições gerais que contemplem a questão das decisões respeitantes ao titular dos dados e se baseiem exclusivamente no tratamento automatizado dos dados pessoais. No entanto, no que se refere aos dados pessoais recolhidos na União, qualquer decisão baseada num tratamento automatizado será, normalmente, tomada pelo responsável pelo tratamento na União (que tem uma relação direta com o titular dos dados em causa), estando, por conseguinte, sujeita ao Regulamento (UE) 2016/679 (111). Tal inclui cenários de transferência em que o tratamento seja realizado por um operador comercial estrangeiro (por exemplo, coreano), que atua como agente (subcontratante) do responsável pelo tratamento na União (ou como subcontratante ulterior do subcontratante da União, o qual por sua vez recebeu os dados de um responsável pelo tratamento da União que os recolheu) que, nesta base, toma então a decisão. Deste modo, não é provável que a inexistência na Lei relativa à proteção de informações pessoais de regras específicas sobre a tomada de decisões automatizadas afete o nível de proteção dos dados pessoais transferidos ao abrigo da presente decisão.

(82)

A título de exceção, as disposições relativas à transparência mediante pedido (artigo 20.o) e aos direitos individuais (artigos 35.o a 37.o), bem como à obrigação de notificação individual para os prestadores de serviços de informação e comunicação (artigo 39.o-8.o da Lei relativa à proteção de informações pessoais), não se aplicam às informações pseudonimizadas quando estas são tratadas para efeitos de estatísticas, de investigação científica ou de arquivo no interesse público (artigo 28.o-7 da Lei relativa à proteção de informações pessoais) (112). Em conformidade com a abordagem do artigo 11.o, n.o 2 (conjugado com o considerando 57) do Regulamento (UE) 2016/679, tal justifica-se pelo facto de, para garantir a transparência ou conceder direitos individuais, o responsável pelo tratamento teria de identificar se os dados (e, em caso afirmativo, quais) estão relacionados com a pessoa singular que apresenta o pedido, o que é expressamente proibido ao abrigo da Lei relativa à proteção da privacidade das comunicações (artigo 28.o-5, n.o 1, da Lei relativa à proteção da privacidade das comunicações). Além disso, se essa reidentificação implicar a anulação da pseudonimização para todo o conjunto de dados (pseudonimizados), tal exporia a riscos acrescidos as informações pessoais das restantes pessoas singulares em causa. Enquanto o Regulamento (UE) 2016/679 se refere a situações em que a reidentificação é praticamente impossível, a Lei relativa à proteção de informações pessoais adota uma abordagem mais rigorosa ao proibir expressamente a reidentificação em todas as situações em que são tratadas informações pseudonimizadas.

(83)

O sistema coreano, conforme descrito nos considerandos (74) a (82), contém, por conseguinte, regras sobre os direitos dos titulares de dados que proporcionam um nível de proteção essencialmente equivalente ao previsto no Regulamento (UE) 2016/679.

(84)

O nível de proteção conferido aos dados pessoais transferidos da União para responsáveis pelo tratamento na República da Coreia não pode ser prejudicado pela transferência subsequente desses dados para destinatários num país terceiro.

(85)

Essas «transferências ulteriores» constituem transferências internacionais da República da Coreia na perspetiva do responsável pelo tratamento coreano. A este respeito, a Lei relativa à proteção de informações pessoais distingue entre a subcontratação do tratamento a um subcontratante e o fornecimento de dados pessoais a terceiros (113).

(86)

Em primeiro lugar, quando o tratamento de dados pessoais é objeto de subcontratação a uma entidade localizada num país terceiro, o responsável pelo tratamento coreano tem de assegurar o cumprimento das disposições da Lei relativa à proteção de informações pessoais em matéria de subcontratação (artigo 26.o da Lei relativa à proteção de informações pessoais). Tal inclui a implementação de um instrumento juridicamente vinculativo que, entre outros aspetos, limite o tratamento pelo subcontratante ao objetivo do trabalho objeto de subcontratação, imponha garantias técnicas e de gestão e limite a subcontratação ulterior (ver artigo 26.o, n.o 1, da Lei relativa à proteção de informações pessoais), e a publicação de informações sobre o trabalho objeto de subcontratação. Além disso, o responsável pelo tratamento tem a obrigação de «ensinar» o subcontratante acerca das medidas de segurança necessárias e supervisionar, nomeadamente através de inspeções, o cumprimento de todas as obrigações do responsável pelo tratamento ao abrigo da Lei relativa à proteção de informações pessoais (114), bem como do contrato de subcontratação.

(87)

Se o subcontratante causar danos ao tratar dados pessoais em violação da Lei relativa à proteção de informações pessoais, tal será imputado ao responsável pelo tratamento para efeitos de responsabilidade, tal como aconteceria com os trabalhadores do responsável pelo tratamento (artigo 26.o, n.o 6, da Lei relativa à proteção de informações pessoais). Por conseguinte, o responsável pelo tratamento coreano continua a ser responsável pelos dados pessoais que foram objeto de subcontratação e deve assegurar que o subcontratante no estrangeiro trata as informações em conformidade com a Lei relativa à proteção de informações pessoais. Se o subcontratante tratar as informações em violação do disposto na Lei relativa à proteção de informações pessoais, o responsável pelo tratamento coreano pode ser considerado responsável pelo incumprimento da sua obrigação de assegurar o cumprimento da Lei relativa à proteção de informações pessoais, nomeadamente através da sua supervisão do subcontratante. As garantias incluídas no contrato de subcontratação e a responsabilidade do responsável pelo tratamento coreano pelas ações do subcontratante asseguram a continuidade da proteção quando o tratamento de dados pessoais é objeto de subcontratação a uma entidade fora da Coreia.

(88)

Em segundo lugar, os responsáveis pelo tratamento coreanos podem fornecer dados pessoais a terceiros localizados fora da Coreia. Embora a Lei relativa à proteção de informações pessoais inclua uma série de fundamentos jurídicos que permitem a prestação a terceiros em geral, se o terceiro estiver localizado fora da Coreia, o responsável pelo tratamento tem, em princípio (115), de obter o consentimento do titular dos dados (116) depois de ter fornecido informações sobre 1) o tipo de dados pessoais, 2) o destinatário dos dados pessoais, 3) a finalidade da transferência na aceção da finalidade do tratamento prosseguido pelo destinatário, 4) o período de conservação dos dados para o tratamento pelo destinatário, bem como 5) o facto de o titular dos dados poder recusar o consentimento (artigo 17.o, n.os 2 e 3, da Lei relativa à proteção de informações pessoais). A Notificação n.o 2021-5, no ponto relativo à transparência (ver considerando (70)), exige que as pessoas singulares sejam informadas sobre o país terceiro ao qual os seus dados serão fornecidos. Tal garante que os titulares de dados na União possam tomar uma decisão plenamente informada sobre consentir ou não um fornecimento ao estrangeiro. Além disso, o responsável pelo tratamento não pode celebrar um contrato com o destinatário terceiro em violação da Lei relativa à proteção de informações pessoais, o que significa que o contrato não pode conter obrigações que contrariem os requisitos impostos pela Lei relativa à proteção de informações pessoais ao responsável pelo tratamento (117).

(89)

Sem o consentimento da pessoa, os dados pessoais podem ser fornecidos a terceiros (no estrangeiro) se a finalidade da divulgação se mantiver num âmbito razoavelmente relacionado com a finalidade inicial da recolha (artigo 17.o, n.o 4, da Lei relativa à proteção de informações pessoais, ver considerando (36)). No entanto, ao decidir divulgar (ou não) dados pessoais para uma finalidade relacionada, o responsável pelo tratamento deve ter em conta se a divulgação causa desvantagens à pessoa singular e se foram tomadas as medidas de segurança necessárias (tal como a cifragem). Uma vez que o país terceiro para o qual os dados pessoais são transferidos não pode oferecer proteções semelhantes às previstas na Lei relativa à proteção de informações pessoais, a Notificação n.o 2021-5, ponto 2, reconhece que tais desvantagens podem surgir e só podem ser evitadas se o responsável pelo tratamento coreano e o destinatário no estrangeiro, com recurso a um instrumento juridicamente vinculativo (como um contrato), garantirem um nível de proteção equivalente à Lei relativa à proteção de informações pessoais, incluindo no que respeita aos direitos dos titulares dos dados.

(90)

Aplicam-se regras especiais à divulgação para uma finalidade não prevista, ou seja, ao fornecimento de dados a terceiros para uma nova finalidade (não relacionada), o que só pode acontecer por uma das razões previstas no artigo 18.o, n.o 2, da Lei relativa à proteção de informações pessoais, conforme descrito no considerando (39). No entanto, mesmo nessas condições, o fornecimento a terceiros é excluído se for suscetível de constituir uma violação injustificada dos interesses do titular dos dados ou de um terceiro, o que exige uma ponderação de interesses. Além disso, nos termos do artigo 18.o, n.o 5, da Lei relativa à proteção de informações pessoais, o responsável pelo tratamento deve aplicar garantias adicionais, o que pode incluir pedir ao terceiro a restrição da finalidade e do método de tratamento ou a implementação de medidas de segurança específicas. Mais uma vez, tendo em conta que o país terceiro para o qual os dados pessoais são transferidos não pode oferecer proteções semelhantes às previstas na Lei relativa à proteção de informações pessoais, a Notificação n.o 2021-5, ponto 2, reconhece que uma violação injustificada dos interesses da pessoa singular ou de um terceiro pode surgir e só pode ser evitada se o responsável pelo tratamento coreano e o destinatário no estrangeiro, com recurso a um instrumento juridicamente vinculativo (como um contrato), garantirem um nível de proteção equivalente à Lei relativa à proteção de informações pessoais, incluindo no que respeita aos direitos dos titulares dos dados.

(91)

As regras enunciadas nos considerandos (86) a (90), por conseguinte, asseguram a continuidade da proteção quando os dados pessoais são transferidos ulteriormente (para um subcontratante ou para um terceiro) da República da Coreia de uma forma essencialmente equivalente à prevista no Regulamento (UE) 2016/679.

(92)

De acordo com o princípio da responsabilização, as entidades responsáveis pelo tratamento de dados são obrigadas a aplicar medidas técnicas e organizativas adequadas para cumprir as suas obrigações de proteção dos dados de forma eficaz e poder demonstrar esse cumprimento, em particular junto da autoridade de controlo competente.

(93)

Nos termos do artigo 3.o, n.os 6 e 8, da Lei relativa à proteção de informações pessoais, o responsável pelo tratamento deve tratar os dados pessoais de forma a minimizar a possibilidade de violar a privacidade da pessoa em causa e esforçar-se por obter a confiança do titular dos dados, observando e exercendo as obrigações e as responsabilidades previstas na Lei relativa à proteção de informações pessoais e noutra legislação conexa. Tal inclui o estabelecimento de um plano de gestão interna (artigo 29.o da Lei relativa à proteção de informações pessoais), bem como a formação e a supervisão adequadas do pessoal (artigo 28.o da Lei relativa à proteção de informações pessoais).

(94)

Como forma de assegurar a responsabilização, o artigo 31.o da Lei relativa à proteção de informações pessoais, conjugado com o artigo 32.o do Decreto de Execução da Lei relativa à proteção de informações pessoais, estabelece a obrigação de os responsáveis pelo tratamento designarem um responsável pela privacidade que assuma de forma exaustiva a responsabilidade pelo tratamento de informações pessoais. Em especial, esse responsável pela privacidade fica encarregado de desempenhar as seguintes funções: 1) estabelecimento e aplicação de um plano de proteção de dados pessoais e elaboração da política de privacidade, 2) realização de inquéritos regulares sobre a situação e as práticas de tratamento de dados pessoais, com vista a melhorar eventuais deficiências, 3) tratamento de reclamações e indemnizações corretivas, 4) estabelecimento de um sistema de controlo interno para prevenir a divulgação, o abuso ou a utilização abusiva de dados pessoais, 5) elaboração e execução de um programa de ensino, 6) proteção, controlo e gestão de ficheiros de dados pessoais e 7) destruição dos dados pessoais uma vez atingida a finalidade do tratamento ou o termo do período de conservação dos dados. No exercício destas funções, o responsável pela privacidade pode inspecionar a situação do tratamento de dados pessoais e dos sistemas conexos e solicitar informações a esse respeito (artigo 31.o, n.o 3, da Lei relativa à proteção de informações pessoais). Se o responsável pela privacidade tomar conhecimento de qualquer violação da Lei relativa à proteção de informações pessoais ou de outra legislação pertinente em matéria de proteção de dados, deve tomar imediatamente medidas corretivas e comunicá-las ao órgão de gestão («chefe») do responsável pelo tratamento, se necessário (artigo 31.o, n.o 4, da Lei relativa à proteção de informações pessoais). Nos termos do artigo 31.o, n.o 5, da Lei relativa à proteção de informações pessoais, o responsável pela privacidade não pode sofrer desvantagens injustificadas em consequência do exercício destas funções.

(95)

Além disso, os responsáveis pelo tratamento devem ser pró-ativos no esforço para realizar uma avaliação do impacto na privacidade nos casos em que o funcionamento dos ficheiros de dados pessoais implique um risco para a privacidade (artigo 33.o, n.o 8, da Lei relativa à proteção de informações pessoais). Com base no artigo 33.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais, conjugado com os artigos 35.o, 36.o e 38.o do Decreto de Execução da Lei relativa à proteção de informações pessoais, fatores como o tipo e a natureza dos dados tratados (em especial, se constituem informações sensíveis), o seu volume, o período de conservação dos dados e a probabilidade de violações de dados serão pertinentes para avaliar o grau de risco para os direitos dos titulares dos dados. O objetivo da avaliação do impacto na privacidade é assegurar que os fatores de risco em matéria de privacidade, bem como quaisquer contramedidas de segurança ou de outra natureza, são analisados e indicar as questões que necessitam de melhorias (ver artigo 33.o, n.o 1, da Lei relativa à proteção de informações pessoais, em conjugação com o artigo 38.o do Decreto de Execução da Lei relativa à proteção de informações pessoais).

(96)

As instituições públicas têm a obrigação de realizar uma avaliação de impacto aquando do tratamento de determinados ficheiros de dados pessoais que apresentam um risco mais elevado de eventuais violações da privacidade (artigo 33.o, n.o 1, da Lei relativa à proteção de informações pessoais). Em conformidade com o artigo 35.o do Decreto de Execução da Lei relativa à proteção de informações pessoais, este é o caso, nomeadamente, dos ficheiros que contêm informações sensíveis sobre pelo menos 50 mil titulares de dados, dos ficheiros que serão confrontados com outros ficheiros e consequentemente irão conter informações sobre pelo menos 500 mil titulares de dados, ou dos ficheiros que contêm informações sobre pelo menos um milhão de titulares de dados. O resultado de uma avaliação de impacto realizada por uma instituição pública deve ser comunicado à Comissão de Proteção de Informações Pessoais (artigo 33.o, n.o 1, da Lei relativa à proteção de informações pessoais), que pode emitir o seu parecer (artigo 33.o, n.o 3, da Lei relativa à proteção de informações pessoais).

(97)

Por último, o artigo 13.o da Lei relativa à proteção de informações pessoais prevê que a Comissão de Proteção de Informações Pessoais estabeleça as políticas necessárias para promover e apoiar atividades de autorregulação em matéria de proteção de dados por parte dos responsáveis pelo tratamento, nomeadamente através de ensino em matéria de proteção de dados, da promoção e do apoio às organizações envolvidas na proteção de dados, e prestando assistência aos responsáveis pelo tratamento na definição e aplicação de regras de autorregulação. Além disso, deve introduzir e facilitar o sistema de marcação de privacidade eletrónica. A este respeito, o artigo 32.o-2 da Lei relativa à proteção de informações pessoais, conjugado com os artigos 34.o-2 a 34.o-8 do Decreto de Execução da Lei relativa à proteção de informações pessoais, prevê a possibilidade de certificar que os sistemas de tratamento e proteção de dados pessoais do responsável pelo tratamento cumprem os requisitos da Lei relativa à proteção de informações pessoais. De acordo com estas regras, pode ser concedida uma certificação (118) (por um período de 3 anos) se o responsável pelo tratamento cumprir os critérios de certificação determinados pela Comissão de Proteção de Informações Pessoais, incluindo o estabelecimento de garantias de gestão, técnicas e físicas para proteger os dados pessoais (119). A Comissão de Proteção de Informações Pessoais deve examinar os sistemas do responsável pelo tratamento pertinente para efeitos de certificação, pelo menos, uma vez por ano, a fim de manter a sua eficácia, o que pode conduzir à revogação da certificação (artigo 32.o, n.o 4, da Lei relativa à proteção de informações pessoais, conjugado com o artigo 34.o-5 do Decreto de Execução da Lei relativa à proteção de informações pessoais, a chamada «gestão de acompanhamento»).

(98)

Por conseguinte, o quadro coreano aplica o princípio da responsabilização de forma a assegurar um nível de proteção essencialmente equivalente ao previsto no Regulamento (UE) 2016/679, nomeadamente com a previsão de diferentes mecanismos para assegurar e demonstrar a conformidade com a Lei relativa à proteção de informações pessoais.

(99)

Conforme descrito no considerando (13), a Lei relativa à utilização e proteção de informações de crédito estabelece regras específicas para o tratamento de informações pessoais de crédito por parte de operadores comerciais. Ao processar informações pessoais de crédito, os operadores comerciais devem, por conseguinte, cumprir os requisitos gerais da Lei relativa à proteção de informações pessoais, a menos que a Lei relativa à utilização e proteção de informações de crédito contenha regras mais específicas. Este será, por exemplo, o caso quando tratam informações relativas a um cartão de crédito ou a uma conta bancária no âmbito de uma transação comercial com uma pessoa singular. Enquanto legislação setorial para o tratamento de informações (tanto pessoais como não pessoais) de crédito, a Lei relativa à utilização e proteção de informações de crédito não só impõe garantias específicas em matéria de proteção de dados (por exemplo, em termos de transparência e segurança), mas também, de um modo mais geral, regula as circunstâncias específicas em que é possível tratar as informações pessoais sobre crédito. Tal reflete-se, em especial, nos requisitos pormenorizados para a utilização, o fornecimento de dados a terceiros e a conservação desses dados.

(100)

Tal como a Lei relativa à proteção de informações pessoais, a Lei relativa à utilização e proteção de informações de crédito reflete o princípio da licitude e da proporcionalidade. Em primeiro lugar, como requisito geral, o artigo 15.o, n.o 1, da Lei relativa à utilização e proteção de informações de crédito apenas permite a recolha de informações pessoais de crédito por meios razoáveis e equitativos e na medida do necessário para cumprir uma finalidade específica, em conformidade com o artigo 3.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais. Em segundo lugar, a Lei relativa à utilização e proteção de informações de crédito regula especificamente a licitude do tratamento das informações pessoais de crédito, restringindo a sua recolha, utilização e fornecimento a terceiros e associando, de um modo geral, essas atividades de tratamento ao requisito do consentimento da pessoa em causa.

(101)

As informações pessoais de crédito podem ser recolhidas com base num dos motivos previstos pela Lei relativa à proteção de informações pessoais ou em motivos específicos estabelecidos na Lei relativa à utilização e proteção de informações de crédito. Uma vez que o artigo 45.o do Regulamento (UE) 2016/679 pressupõe uma transferência de dados pessoais por um responsável pelo tratamento ou subcontratante na União, mas não abrange a recolha direta (por exemplo, a partir da pessoa singular ou de um sítio Web) por um responsável pelo tratamento na Coreia, apenas o consentimento e os motivos previstos ao abrigo da Lei relativa à proteção de informações pessoais são relevantes para a presente decisão. Esses motivos incluem, em especial, as situações em que a transferência é necessária para a execução de um contrato com a pessoa singular ou para os interesses legítimos do responsável pelo tratamento coreano (artigo 15.o, n.o 1, pontos 4 e 6, da Lei relativa à proteção de informações pessoais) (120).

(102)

Uma vez recolhidas, as informações pessoais de crédito podem ser utilizadas 1) para a finalidade inicial para a qual foram (diretamente) fornecidas pela pessoa singular (121), 2) para uma finalidade compatível com a finalidade inicial da recolha (122), 3) para determinar se se deve estabelecer ou manter uma relação comercial a pedido da pessoa singular (123) 4) para efeitos de estatísticas, de investigação e de arquivo no interesse público (124), se as informações forem pseudonimizadas (125), 5) se for obtido um novo consentimento ou 6) nos termos da lei.

(103)

Se um operador comercial pretender divulgar informações pessoais de crédito a um terceiro, deve obter o consentimento da pessoa singular (126) depois de a ter informado sobre o destinatário dos dados, a finalidade do tratamento pelo destinatário, os pormenores dos dados a fornecer, o período de conservação pelo destinatário e o direito de recusar o consentimento (artigo 32.o, n.o 1, da Lei relativa à utilização e proteção de informações de crédito e artigo 28.o, n.o 2, do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito) (127). Este requisito de consentimento não se aplica em situações específicas, nomeadamente quando são divulgadas informações pessoais de crédito (128): 1) a um subcontratante para efeitos de subcontratação (129); 2) a terceiros em caso de transmissão, cisão ou fusão de empresas; 3) para efeitos de estatísticas, de investigação e de arquivo no interesse público, se as informações forem pseudonimizadas; 4) para uma finalidade compatível com a finalidade inicial da recolha; 5) a terceiros que utilizem as informações para cobrar uma dívida da pessoa singular (130); 6) dar cumprimento a uma decisão judicial; 7) a um procurador/agente da polícia judiciária numa situação de emergência em que a vida da pessoa singular esteja em perigo ou se preveja ofensas à sua integridade física e não haja tempo disponível para emitir um mandado judicial (131); 8) às autoridades tributárias competentes para cumprimento da legislação fiscal; ou 9) em conformidade com outra legislação. Em caso de divulgação baseada num destes motivos, o titular dos dados deve ser previamente notificado desse facto (artigo 32.o, n.o 7, da Lei relativa à utilização e proteção de informações de crédito).

(104)

A Lei relativa à utilização e proteção de informações de crédito também regula especificamente a duração do tratamento das informações pessoais de crédito com base num desses motivos para a utilização ou o fornecimento a terceiros após o termo da relação comercial com a pessoa singular (132). Só podem ser conservadas as informações necessárias para estabelecer ou manter essa relação, sob reserva de garantias adicionais (devem ser conservadas separadamente das informações de crédito relativas a pessoas singulares com as quais esteja em curso uma relação comercial, protegidas por medidas de segurança específicas e acessíveis apenas a pessoas autorizadas) (133). Todos os outros dados devem ser suprimidos (artigo 17.o-2, n.o 1, ponto 2, do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito). Para determinar quais os dados necessários para a relação comercial, importa ter em conta diferentes fatores, nomeadamente se teria sido possível estabelecer a relação sem os dados e os mesmos estão diretamente relacionados com os bens ou serviços fornecidos à pessoa singular (artigo 17.o-2, n.o 2, do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito).

(105)

Mesmo nos casos em que as informações pessoais de crédito possam, em princípio, ser conservadas após o fim da relação comercial, as mesmas devem ser eliminadas no prazo de três meses após a consecução da finalidade do tratamento (134) ou, em qualquer caso, decorridos cinco anos (artigo 20.o-2 da Lei relativa à utilização e proteção de informações de crédito). Num número limitado de circunstâncias, as informações pessoais de crédito podem ser conservadas por um período superior a cinco anos, em especial se tal for necessário para cumprir uma obrigação legal, se tal for necessário para os interesses vitais da vida, do corpo ou do património de um indivíduo, para o arquivo de informações pseudonimizadas (que foram utilizadas para efeitos de estatísticas, de investigação científica e de arquivo no interesse público) ou para efeitos de seguros (em especial para pagamentos de seguros ou para prevenir a fraude em matéria de seguros) (135). Nestes casos excecionais, aplicam-se garantias específicas (tais como notificar a pessoa singular da utilização posterior, separar as informações conservadas das informações relativas às pessoas singulares com as quais ainda existe uma relação comercial, limitar os direitos de acesso, ver o artigo 17.o-2, n.os 1 e 2, do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito).

(106)

A Lei relativa à utilização e proteção de informações de crédito especifica ainda os princípios da exatidão e da qualidade dos dados, exigindo que as informações pessoais de crédito sejam registadas, modificadas e geridas, a fim de as manter exatas e atualizadas (artigo 18.o, n.o 1, da Lei relativa à utilização e proteção de informações de crédito e artigo 15.o, n.o 3, do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito) (136). Ao fornecerem informações de crédito a outras entidades (como as agências de notação do risco de crédito), os operadores comerciais são também especificamente obrigados a verificar a exatidão das informações, a fim de garantir que apenas as informações exatas são registadas e geridas pelo destinatário (artigo 15.o, n.o 1, do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito, conjugado com o artigo 18.o, n.o 1, da Lei relativa à utilização e proteção de informações de crédito). De um modo mais geral, a Lei relativa à utilização e proteção de informações de crédito exige a conservação de registos sobre a recolha, a utilização, a divulgação a terceiros e a destruição de informações pessoais de crédito (artigo 20.o, n.o 2, da Lei relativa à utilização e proteção de informações de crédito) (137).

(107)

Além disso, o tratamento de informações pessoais de crédito está sujeito a requisitos específicos em matéria de segurança dos dados. Em especial, a Lei relativa à utilização e proteção de informações de crédito exige a aplicação de medidas tecnológicas, físicas e organizativas para impedir o acesso ilícito a sistemas informáticos, bem como a alteração, destruição ou qualquer outro risco para os dados tratados (por exemplo, através de controlos de acesso, ver artigo 19.o da Lei relativa à utilização e proteção de informações de crédito e artigo 16.o do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito). Além disso, aquando da troca de informações pessoais de créditos com terceiros, é necessário celebrar um acordo que estabeleça medidas de segurança específicas (artigo 19.o, n.o 2, da Lei relativa à utilização e proteção de informações de crédito). Em caso de violação das informações pessoais de crédito, é necessário tomar medidas para minimizar eventuais danos e as pessoas singulares em causa devem ser imediatamente notificadas (artigo 39.o-4, n.os 1 e 2, da Lei relativa à utilização e proteção de informações de crédito). Além disso, a Comissão de Proteção de Informações Pessoais deve ser informada da notificação feita às pessoas singulares e das medidas aplicadas (artigo 39.o-4, n.o 4, da Lei relativa à utilização e proteção de informações de crédito).

(108)

A Lei relativa à utilização e proteção de informações de crédito também impõe obrigações específicas de transparência na obtenção do consentimento para a utilização ou o fornecimento de informações pessoais de crédito (artigo 32.o, n.o 4, e artigo 34.o-2 da Lei relativa à utilização e proteção de informações de crédito e artigo 30.o-3 do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito) e, de um modo mais geral, antes de fornecer informações a terceiros (artigo 32.o, n.o 7, da Lei relativa à utilização e proteção de informações de crédito) (138). Além disso, as pessoas singulares têm o direito de obter, mediante pedido, informações sobre a utilização e o fornecimento das informações que lhes digam respeito em matéria de crédito a terceiros nos três anos anteriores ao pedido (incluindo o objetivo e as datas dessa utilização/fornecimento) (139).

(109)

Nos termos da Lei relativa à utilização e proteção de informações de crédito, as pessoas singulares têm igualmente o direito de aceder às informações pessoais de crédito que lhes digam respeito (artigo 38.o, n.o 1, da Lei relativa à utilização e proteção de informações de crédito) e de obter a retificação de dados inexatos (artigo 38.o, n.os 2 e 3, da Lei relativa à utilização e proteção de informações de crédito) (140). Além disso, além do direito geral ao apagamento ao abrigo da Lei relativa à proteção de informações pessoais (ver considerando (77)), a Lei relativa à utilização e proteção de informações de crédito prevê um direito específico ao apagamento das informações pessoais de crédito que tenham sido conservadas para lá dos períodos de conservação mencionados no considerando (104), ou seja, cinco anos (para as informações pessoais de crédito necessárias para estabelecer ou manter uma relação comercial) ou três meses (para outros tipos de informações pessoais de crédito) (141). Um pedido de apagamento pode, a título excecional, ser recusado nos casos em que seja necessária uma conservação posterior nas circunstâncias descritas no considerando (105). Se uma pessoa solicitar o apagamento, mas for aplicável uma das exceções, é necessário aplicar garantias específicas às informações de crédito em causa (artigo 38.o-3, n.o 3, da Lei relativa à utilização e proteção de informações de crédito e artigo 33.o-3 do Decreto de Execução da Lei relativa à utilização e proteção de informações de crédito). Por exemplo, as informações devem ser conservadas separadamente de outras informações, só podem ser consultadas por uma pessoa autorizada e devem estar sujeitas a medidas de segurança específicas.

(110)

Para além dos direitos mencionados no considerando (109), a Lei relativa à utilização e proteção de informações de crédito garante às pessoas singulares o direito de solicitar a um responsável pelo tratamento que deixe de as contactar para efeitos de comercialização direta (artigo 37.o, n.o 2, da lei) e o direito de portabilidade dos dados. No que diz respeito a este último, a Lei relativa à utilização e proteção de informações de crédito permite que as pessoas singulares solicitem a transmissão das informações pessoais de crédito que lhes digam respeito a elas próprias ou a determinados terceiros (tais como instituições financeiras e sociedades de notação de risco). As informações pessoais de crédito devem ser tratadas e transmitidas ao terceiro num formato que possa ser processado por um dispositivo de tratamento de informações (por exemplo, um computador).

(111)

Na medida em que a Lei relativa à utilização e proteção de informações de crédito contém regras específicas em comparação com a Lei relativa à proteção de informações pessoais, a Comissão considera, por conseguinte, que também estas regras asseguram um nível de proteção essencialmente equivalente ao proporcionado pelo Regulamento (UE) 2016/679.

(112)

Por forma a assegurar que seja garantido na prática um nível adequado de proteção dos dados, deve ser criada uma autoridade de controlo independente incumbida de supervisionar e aplicar coercivamente as normas em matéria de proteção de dados. Essa autoridade deve atuar com total independência e imparcialidade no cumprimento das suas obrigações e no exercício das respetivas competências.

(113)

Na República da Coreia, a autoridade independente incumbida de supervisionar e aplicar a Lei relativa à proteção de informações pessoais é a Comissão de Proteção de Informações Pessoais. A Comissão de Proteção de Informações Pessoais é constituída por um presidente, um vice-presidente e sete comissários. O presidente e o vice-presidente são nomeados pelo presidente da República, mediante recomendação do primeiro‐ministro. Dois dos comissários são nomeados pelo presidente da República por recomendação do presidente e cinco são nomeados por recomendação da Assembleia Nacional (dos quais, dois por recomendação do partido político a que pertence o presidente da República e três por recomendação de outros partidos políticos (artigo 7.o-2, n.o 2, da Lei relativa à proteção de informações pessoais), o que contribui para o combate ao partidarismo no processo de nomeação (142). Este procedimento está em conformidade com os requisitos aplicáveis à nomeação de membros das autoridades competentes em matéria de proteção de dados na União (artigo 53.o, n.o 1, do Regulamento (UE) 2016/679). Além disso, todos os comissários devem abster-se de exercer qualquer atividade em empresas que visam o lucro, atividades políticas e cargos na administração pública ou na Assembleia Nacional (artigo 7.o-6 e artigo 7.o-7, n.o 1, ponto 3, da Lei relativa à proteção de informações pessoais) (143). Todos os comissários estão sujeitos a regras específicas que os impedem de participar nas deliberações em caso de conflito de interesses (artigo 7.o-11 da Lei relativa à proteção de informações pessoais). A Comissão de Proteção de Informações Pessoais é assistida por um secretariado (artigo 7.o-13) e pode criar subcomissões (compostas por três comissários) para tratar das infrações menores e das questões recorrentes (artigo 7.o-12 da Lei relativa à proteção de informações pessoais).

(114)

Cada membro da Comissão de Proteção de Informações Pessoais é nomeado por três anos e pode ser reconduzido uma vez (artigo 7.o-4, n.o 1, da Lei relativa à proteção de informações pessoais). Os comissários só podem ser destituídos em circunstâncias específicas, nomeadamente se deixarem de poder exercer as suas funções devido a uma deficiência mental ou física prolongada, violarem a lei ou preencherem um dos motivos para a inibição de funções (144) (artigo 7.o-5 da Lei relativa à proteção de informações pessoais). Este preceito confere-lhes proteção institucional no exercício das respetivas funções.

(115)

De um modo mais geral, o artigo 7.o, n.o 1, da Lei relativa à proteção de informações pessoais garante explicitamente a independência da Comissão de Proteção de Informações Pessoais e o artigo 7.o-5, n.o 2, da Lei relativa à proteção de informações pessoais exige que os comissários desempenhem as suas funções de forma independente, em conformidade com a lei e a sua consciência (145). As garantias institucionais e processuais descritas, incluindo no que respeita à nomeação e destituição dos seus membros, garantem que a Comissão de Proteção de Informações Pessoais atua com total independência, sem influências ou instruções externas. Além disso, enquanto serviço administrativo central, a Comissão de Proteção de Informações Pessoais propõe anualmente o seu próprio orçamento (que é examinado pelo Ministério das Finanças no âmbito do orçamento geral nacional antes da adoção pela Assembleia Nacional) e é responsável pela gestão do seu pessoal. A Comissão de Proteção de Informações Pessoais dispõe atualmente de um orçamento de cerca de 35 milhões de EUR e conta com 154 membros do pessoal (incluindo 40 trabalhadores especializados em tecnologias da informação e comunicação, 32 trabalhadores centrados em investigação e 40 juristas).

(116)

As funções e competências da Comissão de Proteção de Informações Pessoais estão principalmente previstas nos artigos 7.o-8 e 7.o-9, bem como nos artigos 61.o a 66.o da Lei relativa à proteção de informações pessoais (146). Em especial, as tarefas da Comissão de Proteção de Informações Pessoais incluem o aconselhamento sobre legislação e regulamentação relacionadas com a proteção de dados, o desenvolvimento de políticas e orientações em matéria de proteção de dados, a investigação de violações dos direitos individuais, o tratamento de reclamações e a mediação de litígios, a aplicação da Lei relativa à proteção de informações pessoais, a garantia da ensino e promoção no domínio da proteção de dados e o intercâmbio e cooperação com as autoridades competentes em matéria de proteção de dados de países terceiros (147).

(117)

Com base no artigo 68.o da Lei relativa à proteção de informações pessoais, conjugado com o artigo 62.o do Decreto de Execução da Lei relativa à proteção de informações pessoais, certas funções da Comissão de Proteção de Informações Pessoais foram delegadas na Agência de Internet e Segurança da Coreia, nomeadamente: 1) ensino e relações públicas, 2) formação de especialistas e elaboração de critérios para as avaliações do impacto na privacidade, 3) tratamento de pedidos de designação de uma chamada instituição de avaliação do impacto na privacidade, 4) tratamento de pedidos de acesso indireto a dados pessoais na posse de autoridades públicas (artigo 35.o, n.o 2, da Lei relativa à proteção de informações pessoais) e 5) a tarefa de solicitar materiais e realizar inspeções no que respeito a reclamações recebidas através do chamado centro de atendimento para a privacidade. No contexto do tratamento das queixas através do centro de atendimento para a privacidade, a Agência de Internet e Segurança da Coreia transmite o caso à Comissão de Proteção de Informações Pessoais ou ao Ministério Público se considerar ter ocorrido uma violação da lei. A possibilidade de apresentar uma reclamação ao centro de atendimento para a privacidade não impede as pessoas singulares de apresentarem diretamente uma reclamação junto da Comissão de Proteção de Informações Pessoais ou de recorrerem à Comissão de Proteção de Informações Pessoais se considerarem que a sua reclamação não foi tratada de forma satisfatória pela Agência de Internet e Segurança da Coreia.

(118)

A fim de assegurar o cumprimento da Lei relativa à proteção de informações pessoais, o legislador atribuiu à Comissão de Proteção de Informações Pessoais poderes de investigação e de execução, que vão de recomendações a coimas. Estes poderes são ainda complementados por um regime de sanções penais.

(119)

No que respeita aos poderes de investigação, se houver uma suspeita ou denúncia de uma violação da Lei relativa à proteção de informações pessoais, ou se tal for necessário para proteger os direitos dos titulares dos dados contra infrações, a Comissão de Proteção de Informações Pessoais pode realizar inspeções no local e solicitar todos os materiais pertinentes (como artigos e documentos) aos responsáveis pelo tratamento de dados pessoais (artigo 63.o da Lei relativa à proteção de informações pessoais, em conjugação com o artigo 60.o do respetivo decreto de execução) (148).

(120)

Em termos de execução, nos termos do artigo 61.o, n.o 2, da Lei relativa à proteção de informações pessoais, a Comissão de Proteção de Informações Pessoais pode prestar aconselhamento aos responsáveis pelo tratamento de dados sobre como melhorar o nível de proteção dos dados pessoais em atividades de tratamento específicas. Os responsáveis pelo tratamento de dados devem envidar esforços sinceros para seguirem esses conselhos e informar a Comissão do resultado. Além disso, quando existam motivos razoáveis para crer que ocorreu uma violação da Lei relativa à proteção de informações pessoais, e que a não adoção de medidas é suscetível de causar danos difíceis de reparar, a Comissão de Proteção de Informações Pessoais pode impor medidas corretivas (artigo 64.o, n.o 1, da Lei relativa à proteção de informações pessoais) (149). O ponto 5 da Notificação n.o 2021-5 (anexo I) esclarece, com efeito vinculativo, que estas condições estão preenchidas no que respeita à violação de qualquer disposição da Lei relativa à proteção de informações pessoais que proteja os direitos à privacidade das pessoas singulares relativamente às informações pessoais (150). As medidas que a Comissão de Proteção de Informações Pessoais está habilitada a tomar incluem ordenar a cessação da conduta causadora da violação, a suspensão temporária do tratamento dos dados ou quaisquer outras medidas necessárias. O incumprimento de uma medida corretiva pode levar a uma sanção mediante uma coima máxima de 50 milhões de won (artigo 75.o, n.o 2, ponto 13, da Lei relativa à proteção de informações pessoais).

(121)

No que respeita a determinadas autoridades públicas (como a Assembleia Nacional, serviços administrativos centrais, administrações locais e os tribunais), o artigo 64.o, n.o 4, da Lei relativa à proteção de informações pessoais prevê que a Comissão de Proteção de Informações Pessoais pode «recomendar» qualquer uma das medidas corretivas mencionadas no considerando (120) e que essas autoridades são obrigadas a cumprir essa recomendação, a menos que se verifiquem circunstâncias extraordinárias. De acordo com o ponto 5 da Notificação n.o 2021-5, tal refere-se a circunstâncias extraordinárias de facto ou de direito de que a Comissão não tinha conhecimento quando formulou a sua recomendação. A autoridade pública em causa só pode invocar tais circunstâncias extraordinárias se demonstrar claramente que não ocorreu qualquer infração e a Comissão de Proteção de Informações Pessoais determinar que tal não é, efetivamente, o caso. Caso contrário, terá de seguir a recomendação e «adotar uma medida corretiva, nomeadamente, pôr imediatamente termo à ação e indemnizar os danos no caso excecional de um ato ilegal ter sido, mesmo assim, cometido».

(122)

A Comissão de Proteção de Informações Pessoais também pode solicitar a outros serviços administrativos com competência específica ao abrigo da legislação setorial (por exemplo, saúde, educação) que realizem uma investigação – individual ou conjuntamente com a Comissão de Proteção de Informações Pessoais – sobre as (suspeitas de) violações da privacidade por parte dos responsáveis pelo tratamento que operam nestes setores sob a sua jurisdição, bem como que imponham medidas corretivas (artigo 63.o, n.os 4 e 5, da Lei relativa à proteção da privacidade das comunicações). Nesse caso, a Comissão de Proteção de Informações Pessoais determina os fundamentos, o objeto e o âmbito da investigação (151). Por sua vez, o serviço administrativo competente deve apresentar um plano de inspeção à Comissão e notificá-la do resultado da inspeção. A Comissão de Proteção de Informações Pessoais pode recomendar a adoção de uma medida corretiva específica, que o serviço competente deve esforçar-se por aplicar. Em qualquer caso, tal pedido não limita a sua competência para realizar a sua própria investigação ou impor sanções.

(123)

Além dos seus poderes de correção, a Comissão de Proteção de Informações Pessoais pode impor coimas entre 10 e 50 milhões de won por infrações a vários requisitos da Lei relativa à proteção de informações pessoais (artigo 75.o da referida lei) (152). Tal inclui, nomeadamente, o incumprimento dos requisitos de licitude do tratamento, a não adoção das medidas de segurança necessárias, a não notificação dos titulares dos dados em caso de violação de dados, o incumprimento dos requisitos de subcontratação ulterior, a não definição e divulgação de uma política de privacidade, a não designação de um responsável pela privacidade, ou a omissão de agir a pedido do titular dos dados no exercício dos seus direitos individuais, bem como certas violações processuais (não cooperação durante uma investigação). Caso o mesmo responsável pelo tratamento viole várias disposições da Lei relativa à proteção de informações pessoais, é possível aplicar uma coima por cada violação e, na fixação do montante da coima, será tido em conta o número de pessoas singulares afetadas.

(124)

Além disso, sempre que existam motivos razoáveis para suspeitar de uma violação da Lei relativa à proteção de informações pessoais ou de qualquer outra «legislação relacionada com a proteção de dados», a Comissão de Proteção de Informações Pessoais pode apresentar uma queixa-crime ao organismo de investigação competente (como um procurador, ver o artigo 65.o, n.o 1, da Lei relativa à proteção de informações pessoais). Pode ainda recomendar ao responsável pelo tratamento que tome medidas disciplinares contra a pessoa responsável (nomeadamente o gestor responsável, ver o artigo 65.o, n.o 2, da Lei relativa à proteção de informações pessoais). Ao receber essa recomendação, o responsável pelo tratamento deve segui-la (153) e notificar a Comissão de Proteção de Informações Pessoais, por escrito, dos resultados (artigo 65.o da Lei relativa à proteção de informações pessoais em conjugação com o artigo 58.o do respetivo decreto de execução).

(125)

No que respeita às recomendações nos termos do artigo 61.o, às medidas corretivas nos termos do artigo 64.o, à acusação ou recomendação de medidas disciplinares nos termos do artigo 65.o, e à imposição de coimas nos termos do artigo 75.o da Lei relativa à proteção de informações pessoais, a Comissão de Proteção de Informações Pessoais pode divulgar os factos – ou seja, a infração, a entidade que infringiu a lei e a(s) medida(s) imposta(s) –, publicando-os no seu sítio Web ou num jornal diário nacional (artigo 66.o da Lei relativa à proteção de informações pessoais, em conjugação com o artigo 61.o, n.o 1, do respetivo decreto de execução) (154).

(126)

Por último, o cumprimento dos requisitos em matéria de proteção de dados da Lei relativa à proteção de informações pessoais (bem como de outra «legislação relacionada com a proteção de dados») é apoiado por um regime de sanções penais. A este respeito, os artigos 70.o a 73.o da referida lei contêm disposições sancionatórias que podem levar à imposição de uma multa (entre 20 e 100 milhões de won) ou de uma pena de prisão (variando a pena máxima entre dois e dez anos). As infrações pertinentes incluem, nomeadamente, a utilização de dados pessoais ou o fornecimento desses dados a terceiros sem o consentimento necessário, o tratamento de informação sensível contrariamente à proibição estabelecida no artigo 23.o, n.o 1, da Lei relativa à proteção de informações pessoais, o incumprimento dos requisitos de segurança aplicáveis que resulte na perda, roubo, divulgação, falsificação, alteração ou deterioração de dados pessoais, a não adoção das medidas necessárias para corrigir, apagar ou suspender dados pessoais, ou a transferência ilícita de dados pessoais para um país terceiro (155). Nos termos do artigo 74.o da Lei relativa à proteção de informações pessoais, em cada um destes casos, o funcionário, o agente ou o representante do responsável pelo tratamento, bem como o próprio responsável pelo tratamento, são responsáveis (156).

(127)

Além das sanções penais previstas na Lei relativa à proteção de informações pessoais, a utilização abusiva de dados pessoais também pode constituir uma infração nos termos do Código Penal. É o caso, designadamente, da violação do sigilo de cartas, documentos ou registos eletrónicos (artigo 316.o), da divulgação de informações sujeitas a sigilo profissional (artigo 317.o), da fraude através da utilização de computadores (artigo 347.o-2), bem como do peculato e abuso de confiança (artigo 355.o).

(128)

Por conseguinte, o sistema coreano combina diferentes tipos de sanções, desde medidas corretivas e coimas a sanções penais, que são suscetíveis de ter um efeito dissuasor particularmente forte nos responsáveis pelo tratamento e nas pessoas que tratam os dados. Imediatamente após a sua criação, em 2020, a Comissão de Proteção de Informações Pessoais começou a fazer uso dos seus poderes. Do relatório anual de 2021 da Comissão de Proteção de Informações Pessoais depreende-se que a Comissão já formulou várias recomendações, aplicou coimas e medidas corretivas, tanto a operadores do setor público (cerca de 34 autoridades públicas) como a operadores privados (cerca de 140 empresas) (157). Importa referir alguns processos, por exemplo, a aplicação, em dezembro de 2020, de uma coima de 6 700 de won a uma empresa pela violação de diferentes disposições da Lei relativa à proteção de informações pessoais (nomeadamente requisitos em matéria de segurança, de consentimento para a prestação de serviços por terceiros e de transparência) (158) e a aplicação, em abril de 2021, de uma coima de 103,3 milhões de won a uma empresa de tecnologia de IA (por violar, entre outras disposições, as regras relativas à licitude do tratamento, designadamente ao consentimento, e ao tratamento de informações pseudonimizadas) (159). Em agosto de 2021, a Comissão de Proteção de Informações Pessoais concluiu uma outra investigação à atividade de três empresas, que culminou em medidas corretivas e na aplicação de coimas num montante máximo de 6 470 milhões de won (nomeadamente por não terem informado as pessoas singulares sobre a divulgação de dados pessoais a terceiros, incluindo transferências para países terceiros) (160). Além disso, já antes da recente reforma, a Coreia do Sul tinha um sólido historial de execução, tendo as autoridades responsáveis feito uso de todo o conjunto de medidas coercivas, nomeadamente coimas, medidas corretivas e «nomeação e partilha», relativamente a vários responsáveis pelo tratamento, incluindo prestadores de serviços de comunicação (Comissão das Comunicações da Coreia), bem como operadores comerciais, instituições financeiras, autoridades públicas, universidades e hospitais (Ministério do Interior e da Segurança) (161). Consequentemente, a Comissão conclui que o sistema coreano assegura a execução efetiva das regras relativas à proteção de dados na prática, garantindo assim um nível de proteção essencialmente equivalente ao previsto no Regulamento (UE) 2016/679.

(129)

A fim de assegurar uma proteção adequada e, nomeadamente, o exercício dos direitos individuais, o titular dos dados deve dispor de vias de recurso administrativas e judiciais eficazes, incluindo a possibilidade de obter uma indemnização por danos.

(130)

O sistema coreano proporciona às pessoas singulares vários mecanismos para exercer efetivamente os seus direitos e obter reparação (judicial).

(131)

Numa primeira fase, as pessoas singulares que considerem que os seus direitos ou interesses em matéria de proteção de dados foram violados podem recorrer ao responsável pelo tratamento em causa. Nos termos do artigo 30.o, n.o 1, ponto 5, da Lei relativa à proteção de informações pessoais, a política de privacidade do responsável pelo tratamento deve incluir, nomeadamente, informações sobre os direitos dos titulares de dados e a forma de os exercer. Além disso, deve fornecer informações de contacto, como o nome e o número de telefone do responsável pela privacidade ou do departamento responsável pela proteção de dados, para permitir a apresentação de reclamações («queixas»). Na organização do responsável pelo tratamento, o responsável pela privacidade está incumbido do tratamento de reclamações, da adoção de medidas corretivas em caso de violação da privacidade e das indemnizações corretivas (artigo 31.o, n.o 2, ponto 3, e n.o 4, da Lei relativa à proteção de informações pessoais). É pertinente, por exemplo, em caso de violação de dados, uma vez que o responsável pelo tratamento tem de informar o titular dos dados do(s) ponto(s) de contacto para comunicar eventuais danos, entre outros (artigo 34.o, n.o 1, ponto 5, da Lei relativa à proteção de informações pessoais).

(132)

Além disso, a Lei relativa à proteção de informações pessoais oferece às pessoas singulares várias vias de recurso contra os responsáveis pelo tratamento. Em primeiro lugar, qualquer pessoa que considere que os seus direitos ou interesses em matéria de proteção de dados foram violados pelo responsável pelo tratamento pode denunciar essa infração diretamente à Comissão de Proteção de Informações Pessoais e/ou a uma das instituições especializadas por ela designadas para receber e tratar reclamações; tal inclui a Agência de Internet e Segurança da Coreia que, para o efeito, gere um centro de atendimento para as informações pessoais (o chamado «centro de atendimento para a privacidade») (artigo 62.o, n.os 1 e 2, da Lei relativa à proteção de informações pessoais, em conjugação com o artigo 59.o do respetivo decreto de execução). O centro de atendimento telefónico para a privacidade investiga e estabelece infrações, presta aconselhamento em matéria de tratamento de dados pessoais (artigo 62.o, n.o 3, da Lei relativa à proteção de informações pessoais) e pode comunicar infrações à Comissão de Proteção de Informações Pessoais (não podendo, no entanto, adotar, por si mesmo, medidas coercivas). O centro de atendimento telefónico para a privacidade recebe um grande número de reclamações/pedidos (por exemplo, 177 457 em 2020, 159 255 em 2019 e 164 497 em 2018) (162). De acordo com as informações recebidas da Comissão de Proteção de Informações Pessoais, a própria Comissão recebeu cerca de mil reclamações entre agosto de 2020 e agosto de 2021. Em resposta a uma reclamação, a Comissão de Proteção de Informações Pessoais, pode formular recomendações de melhorias, medidas corretivas, uma «acusação» ao organismo de investigação competente (incluindo um procurador) ou uma recomendação de medidas disciplinares (ver os artigos 61.o, 64.o e 65.o da Lei relativa à proteção de informações pessoais). As decisões da Comissão de Proteção de Informações Pessoais (como a recusa de tratar uma reclamação ou o indeferimento de uma reclamação quanto ao mérito) podem ser contestadas ao abrigo da Lei relativa ao contencioso administrativo (163).

(133)

Em segundo lugar, nos termos dos artigos 40.o a 50.o da Lei relativa à proteção de informações pessoais, em conjugação com os artigos 48.o-14 a 57.o do respetivo decreto de execução, os titulares dos dados podem apresentar reclamações ao chamado «Comité de Mediação de Litígios», composto por representantes nomeados pelo presidente da Comissão de Proteção de Informações Pessoais de entre os membros do seu Serviço Executivo Superior e por pessoas nomeadas com base na sua experiência em matéria de proteção de dados entre determinados grupos elegíveis (ver artigo 40.o, n.os 2, 3, e 7, da Lei relativa à proteção de informações pessoais, e artigo 48.o-14 do respetivo decreto de execução) (164). A possibilidade de recorrer à mediação junto do Comité de Mediação de Litígios constitui uma via alternativa para obter reparação, mas não limita o direito da pessoa singular de recorrer à Comissão de Proteção de Informações Pessoais ou aos tribunais. Para analisar o caso, o Comité pode solicitar às partes no litígio que forneçam os materiais necessários e/ou convocar testemunhas pertinentes (artigo 45.o da Lei relativa à proteção de informações pessoais). Uma vez esclarecida a questão, o Comité elabora um projeto de decisão de mediação (165), relativamente ao qual a maioria dos seus membros deve chegar a acordo. O projeto de decisão de mediação pode incluir a suspensão da violação, as medidas corretivas necessárias (incluindo a restituição ou a indemnização), bem como quaisquer medidas necessárias para evitar a repetição da mesma violação ou de violações similares (artigo 47.o, n.o 1, da Lei relativa à proteção de informações pessoais). Se ambas as partes aceitarem a decisão de mediação, esta terá o mesmo efeito que uma transação em tribunal (artigo 47.o, n.o 5, da Lei relativa à proteção de informações pessoais). Nenhuma das partes está impedida de intentar uma ação judicial enquanto a mediação estiver em curso; nesse caso, a mediação será suspensa (ver artigo 48.o, n.o 2, da Lei relativa à proteção de informações pessoais) (166). Os números anuais publicados pela Comissão de Proteção de Informações Pessoais mostram que as pessoas singulares recorrem regularmente ao procedimento junto do Comité de Mediação de Litígios, o que conduz, muitas vezes, a um resultado positivo. Por exemplo, em 2020, o Comité tratou 126 processos, dos quais 89 foram resolvidos junto do Comité (com 77 processos em que as partes chegaram a acordo antes do fim do processo de mediação e 12 processos em que as partes aceitaram a proposta de mediação), o que resultou numa taxa de mediação de 70,6 % (167). De igual modo, em 2019, o Comité tratou 139 processos, dos quais 92 foram resolvidos, o que resultou numa taxa de mediação de 62,2 %.

(134)

Além disso, nos casos em que, pelo menos, 50 pessoas singulares sofram danos, ou em que os seus direitos em matéria de proteção de dados tenham sido violados da mesma forma ou de forma similar na sequência do mesmo (tipo de) incidente (168), um titular de dados ou uma organização de proteção de dados pode solicitar a mediação coletiva de litígios em nome desse grupo; outros titulares de dados podem pedir para se juntar a essa mediação, que será anunciada publicamente pelo Comité de Mediação de Litígios (artigo 49.o, n.os 1 a 3, da Lei relativa à proteção de informações pessoais, em conjugação com os artigos 52.o a 54.o do respetivo decreto de execução) (169). O Comité de Mediação de Litígios pode selecionar, pelo menos, uma pessoa que represente o interesse comum de forma mais adequada como parte representativa (artigo 49.o, n.o 4, da Lei relativa à proteção de informações pessoais). Se o responsável pelo tratamento rejeitar a mediação coletiva de litígios ou não aceitar a decisão de mediação, algumas organizações (170) podem intentar uma ação coletiva para resolver a violação (artigos 51.o a 57.o da Lei relativa à proteção de informações pessoais).

(135)

Em terceiro lugar, no caso de uma violação da privacidade que cause «danos» à pessoa singular, o titular dos dados tem direito a uma reparação adequada através de um «procedimento rápido e justo» (artigo 4.o, ponto 5, com o artigo 39.o da Lei relativa à proteção de informações pessoais) (171). O responsável pelo tratamento pode eximir-se da responsabilidade, provando a ausência de culpa («intenção dolosa» ou negligência). Sempre que o titular dos dados sofra danos por perda, roubo, divulgação, falsificação, alteração ou deterioração dos seus dados pessoais, o tribunal pode determinar uma indemnização até ao triplo dos danos efetivos, tendo em conta um conjunto de fatores (artigo 39.o, n.os 3 e 4, da Lei relativa à proteção de informações pessoais). Em alternativa, o titular dos dados pode pedir um «montante razoável» de indemnização não superior a três milhões de won (artigo 39.o-2, n.os 1 e 2, da Lei relativa à proteção de informações pessoais). Além disso, nos termos do Código Civil, é possível pedir uma indemnização a qualquer pessoa «que cause prejuízos ou danos a outra pessoa por ato ilícito, intencional ou negligente» (172) ou a uma pessoa «que tenha causado danos a outra, à sua liberdade ou reputação, ou que lhe tenha infligido sofrimento psíquico» (173). Tal responsabilidade civil decorrente da violação das regras relativas à proteção de dados foi confirmada pelo Supremo Tribunal (174). Se os danos tiverem sido causados por uma ação ilícita de uma autoridade pública, é ainda possível apresentar um pedido de indemnização ao abrigo da Lei relativa às indemnizações do Estado (175). Um pedido de indemnização ao abrigo da referida lei pode ser apresentado a um «Conselho de Indemnizações» especializado, ou diretamente nos tribunais coreanos (176). A responsabilidade do Estado também cobre danos não patrimoniais (como o sofrimento mental) (177). Se a vítima for um nacional estrangeiro, a Lei relativa às indemnizações do Estado aplica-se desde que o seu país de origem garanta igualmente uma indemnização do Estado aos nacionais coreanos (178).

(136)

Em quarto lugar, o Supremo Tribunal reconheceu que as pessoas singulares têm o direito de requerer uma medida inibitória por violação dos seus direitos ao abrigo da Constituição, incluindo o direito à proteção dos dados pessoais (179). Neste contexto, um tribunal pode, por exemplo, ordenar aos responsáveis pelo tratamento que suspendam ou cessem qualquer atividade ilícita. Além disso, os direitos à proteção de dados, nomeadamente os direitos protegidos pela Lei relativa à proteção de informações pessoais, podem ser exercidos mediante ações cíveis. Esta aplicação horizontal da proteção constitucional da privacidade às relações entre partes privadas foi reconhecida pelo Supremo Tribunal (180).

(137)

Por último, as pessoas singulares podem apresentar uma queixa-crime nos termos da Lei relativa ao processo penal (artigo 223.o) junto de um procurador público ou agente da polícia judiciária (181).

(138)

Por conseguinte, o sistema coreano oferece várias vias de recurso, desde opções facilmente acessíveis e de baixo custo [por exemplo, contactando o centro de atendimento para a privacidade ou através da mediação (coletiva)] a vias administrativas (perante a Comissão de Proteção de Informações Pessoais) e judiciais, nomeadamente com a possibilidade de obter uma indemnização por danos.

(139)

A Comissão avaliou igualmente as limitações e garantias, incluindo a supervisão e os mecanismos individuais de recurso disponíveis na legislação coreana, no tocante à recolha e utilização subsequente pelas autoridades públicas coreanas de dados pessoais transferidos para responsáveis pelo tratamento na Coreia, para fins de interesse público, designadamente para efeitos de aplicação do direito penal e de segurança nacional («acesso governamental»). Nesta matéria, o Governo coreano apresentou à Comissão declarações, garantias e compromissos oficiais, assinados ao mais alto nível ministerial e dos organismos, os quais constam do anexo II da presente decisão.

(140)

Ao avaliar se as condições em que o governo acede aos dados transferidos para a Coreia ao abrigo da presente decisão cumprem o teste de «equivalência essencial» nos termos do artigo 45.o, n.o 1, do Regulamento (UE) 2016/679, conforme interpretado pelo Tribunal de Justiça da União Europeia, à luz da Carta dos Direitos Fundamentais, a Comissão teve em conta sobretudo os seguintes critérios.

(141)

Em primeiro lugar, qualquer restrição ao direito de proteção de dados pessoais deve ser prevista por lei, o que implica que a própria base jurídica que permite a ingerência nesses direitos deve definir o alcance da restrição ao exercício do direito em causa (182).

(142)

Em segundo lugar, para satisfazer o requisito da proporcionalidade, segundo o qual as derrogações à proteção de dados pessoais e as suas restrições devem ocorrer na estrita medida do necessário numa sociedade democrática para alcançar os objetivos específicos de interesse geral equivalentes aos reconhecidos pela União, a regulamentação do país terceiro em causa que permite a ingerência deve prever regras claras e precisas que regulem o alcance e a aplicação das medidas em causa e imponham requisitos mínimos, de modo que as pessoas cujos dados foram transferidos disponham de garantias suficientes que permitam proteger eficazmente os seus dados pessoais contra os riscos de abuso (183). A regulamentação deve, em especial, indicar em que circunstâncias e em que condições se pode adotar uma medida que preveja o tratamento desses dados (184), bem como sujeitar o cumprimento desses requisitos a uma supervisão independente (185).

(143)

Em terceiro lugar, essa regulamentação e respetivos requisitos devem ser juridicamente vinculativos no direito interno. Tal diz respeito, em primeiro lugar, às autoridades do país terceiro em questão, mas os requisitos legais também devem ser oponíveis nos tribunais contra essas autoridades (186). Em particular, os titulares de dados devem dispor da possibilidade de recorrer a medidas jurídicas corretivas eficazes num tribunal independente e imparcial, para ter acesso a dados pessoais que lhes digam respeito ou para obter a retificação ou a supressão desses dados (187).

(144)

As limitações e garantias aplicáveis à recolha e utilização subsequente de dados pessoais pelas autoridades públicas coreanas decorrem do quadro constitucional geral, das leis específicas que regulam as suas atividades nos domínios da aplicação do direito penal e da segurança nacional, bem como das regras especificamente aplicáveis ao tratamento de dados pessoais.

(145)

Em primeiro lugar, o acesso aos dados pessoais pelas autoridades públicas coreanas rege-se pelos princípios gerais da legalidade, da necessidade e da proporcionalidade que decorrem da Constituição coreana (188). Mais especificamente, os direitos e liberdades fundamentais (nomeadamente o direito à privacidade e à privacidade da correspondência) (189) só podem ser restringidos por lei, quando necessário, por razões de segurança nacional, de manutenção da ordem e da segurança pública e para o bem-estar público. Tais restrições não podem afetar a essência do direito ou da liberdade em causa. No que respeita especificamente às buscas e apreensões, a Constituição prevê que estas só podem ser realizadas nas condições previstas na lei, com base num mandado emitido por um juiz e no respeito das garantias processuais (190). Por último, as pessoas singulares podem invocar os seus direitos e liberdades junto do Tribunal Constitucional se considerarem que estes foram violados pelas autoridades públicas no exercício dos seus poderes (191). Do mesmo modo, as pessoas que tenham sofrido danos devido a um ato ilícito cometido por um funcionário público no exercício das suas funções oficiais têm o direito de pedir uma indemnização justa (192).

(146)

Em segundo lugar, conforme descrito com mais pormenor nos pontos 3.2.1 e 3.3.1, os princípios gerais referidos no considerando (145) também estão refletidos nas leis específicas que regulam os poderes das autoridades de aplicação da lei e das autoridades nacionais de segurança. Por exemplo, no que respeita às investigações criminais, a Lei relativa ao processo penal prevê que só possam ser tomadas medidas obrigatórias quando explicitamente previsto na referida lei e na medida do necessário para alcançar o objetivo da investigação (193). Do mesmo modo, o artigo 3.o da Lei relativa à proteção da privacidade das comunicações proíbe o acesso às comunicações privadas, exceto com base na lei e sob reserva das limitações e garantias nela previstas. No domínio da segurança nacional, a Lei relativa ao Serviço Nacional de Informações prevê que qualquer acesso a comunicações ou informações de localização deve respeitar a lei, e sujeita o abuso de poder e as violações da lei a sanções penais (194).

(147)

Em terceiro lugar, o tratamento de dados pessoais pelas autoridades públicas, nomeadamente para efeitos de aplicação da lei e de segurança nacional, está sujeito às regras relativas à proteção de dados nos termos da Lei relativa à proteção de informações pessoais (195). Como princípio geral, o artigo 5.o, n.o 1, da referida lei exige que as autoridades públicas elaborem políticas para prevenir «o abuso e a utilização indevida de informações pessoais, a vigilância e a perseguição indiscriminada, etc. e para reforçar a dignidade dos seres humanos e a privacidade individual». Além disso, qualquer responsável pelo tratamento deve tratar os dados pessoais de forma a minimizar a possibilidade de violação da privacidade do titular dos dados (artigo 3.o, n.o 6, da Lei relativa à proteção de informações pessoais).

(148)

Todos os requisitos da Lei relativa à proteção de informações pessoais, descritos em pormenor no ponto 2, são aplicáveis ao tratamento de dados pessoais para efeitos de aplicação da lei. Tal inclui os princípios fundamentais (como a licitude e a lealdade, a limitação das finalidades, a exatidão, a minimização dos dados, a limitação da conservação, a segurança e a transparência), as obrigações (por exemplo, no que respeita à notificação de violações de dados e aos dados sensíveis) e os direitos (de obter acesso, retificação, apagamento e suspensão).

(149)

Embora o tratamento de dados pessoais para efeitos de segurança nacional esteja sujeito a um conjunto mais limitado de disposições ao abrigo da Lei relativa à proteção de informações pessoais, os princípios fundamentais, bem como as regras em matéria de supervisão, execução e recurso, são aplicáveis (196). Mais especificamente, os artigos 3.o e 4.o da referida lei estabelecem os princípios gerais de proteção de dados (licitude e lealdade, limitação das finalidades, exatidão, minimização dos dados, segurança e transparência) e os direitos individuais (o direito de ser informado, o direito de acesso e os direitos de retificação, apagamento e suspensão) (197). Além disso, o artigo 4.o, n.o 5, confere às pessoas o direito a uma reparação adequada por quaisquer danos resultantes do tratamento dos seus dados pessoais, através de um procedimento rápido e justo. Tal é complementado por obrigações mais específicas de apenas tratar dados pessoais na medida do mínimo necessário para atingir o objetivo pretendido e durante um período mínimo, de estabelecer as medidas necessárias para garantir a segurança da gestão dos dados e um tratamento adequado (como garantias técnicas, de gestão e físicas), bem como de estabelecer medidas para o tratamento adequado de queixas individuais (reclamações) (198). Por último, os princípios gerais da legalidade, da necessidade e da proporcionalidade da Constituição coreana (ver considerando (145)) também se aplicam ao tratamento de dados pessoais para efeitos de segurança nacional.

(150)

Estas limitações e garantias gerais podem ser invocadas pelas pessoas singulares junto de organismos de supervisão independentes (por exemplo, a Comissão de Proteção de Informações Pessoais e/ou a Comissão Nacional dos Direitos Humanos, ver os considerandos (177) e (178)) e dos tribunais (ver considerandos (179) a (183)) para obter reparação.

(151)

O direito da República da Coreia impõe várias limitações ao acesso e à utilização de dados pessoais para efeitos de aplicação do direito penal, e prevê mecanismos de recurso e supervisão neste domínio, que estão em conformidade com os requisitos referidos nos considerandos (141) a (143) da presente decisão. Os pontos seguintes descrevem as condições nas quais esse acesso pode ser efetuado e as garantias aplicáveis à utilização desses poderes.

(152)

Os dados pessoais tratados pelos responsáveis pelo tratamento coreanos que seriam transferidos da União ao abrigo da presente decisão (199) podem ser recolhidos pelas autoridades coreanas para efeitos de aplicação do direito penal no contexto de uma busca ou apreensão (com base na Lei relativa ao processo penal), através do acesso a informações sobre comunicações (com base na Lei relativa à proteção da privacidade das comunicações), ou da obtenção de dados de assinantes por meio de pedidos de divulgação voluntária (com base na Lei relativa às atividades de telecomunicações) (200).

(153)

A Lei relativa ao processo penal prevê que uma busca ou apreensão só pode ser realizada se uma pessoa for suspeita de um crime, se for necessária para a investigação e se se tiver estabelecido uma ligação entre a investigação e a pessoa a ser objeto da busca ou o artigo a inspecionar ou apreender (201). Além disso, uma busca ou apreensão (como qualquer medida obrigatória) só pode ser autorizada/executada na medida do necessário (202). Se uma busca disser respeito a um disco de um computador ou a outro suporte de armazenamento de dados, em princípio, só serão apreendidos os dados necessários (copiados ou impressos) e não todo o suporte (203). Este só poderá ser apreendido quando se considerar substancialmente impossível imprimir ou copiar separadamente os dados necessários, ou quando se considerar substancialmente impraticável alcançar a finalidade da busca de outra forma (204). Por conseguinte, a Lei relativa ao processo penal estabelece regras claras e precisas sobre o âmbito e a aplicação destas medidas, assegurando assim que a ingerência nos direitos das pessoas em caso de busca ou apreensão será limitada ao necessário para uma investigação criminal específica e proporcional ao objetivo prosseguido.

(154)

Em termos de garantias processuais, a Lei relativa ao processo penal exige a obtenção de um mandado de um tribunal para realizar uma busca ou apreensão (205). Só é permitido fazê-lo sem mandado a título excecional, nomeadamente em circunstâncias urgentes (206), in loco no momento da prisão ou da detenção de um suspeito de crime (207), ou quando um artigo é deitado fora ou voluntariamente produzido por um suspeito de crime ou terceiro (no que respeita aos dados pessoais, pela própria pessoa em causa) (208). As buscas e apreensões ilegais estão sujeitas a sanções penais (209) e quaisquer elementos de prova obtidos em violação da Lei relativa ao processo penal são considerados inadmissíveis (210). Por último, as pessoas em causa devem ser sempre notificadas de uma busca ou apreensão (nomeadamente da apreensão dos seus dados) sem demora (211), o que, por sua vez, facilitará o exercício dos seus direitos substantivos e do direito à reparação (ver, em especial, a possibilidade de contestar a execução de um mandado de apreensão, considerando (180)).

(155)

Com base na Lei relativa à proteção da privacidade das comunicações, as autoridades coreanas responsáveis pela aplicação do direito penal podem tomar dois tipos de medidas (212): por um lado, a recolha de «dados de confirmação das comunicações» (213), o que inclui a data das telecomunicações, a respetiva hora de início e de fim, o número de chamadas efetuadas e recebidas, bem como o número de assinante da outra parte, a frequência de utilização, os ficheiros de registo relativos à utilização dos serviços de telecomunicações e informações de localização (por exemplo, das torres de transmissão onde os sinais são recebidos); por outro lado, «medidas de restrição das comunicações», que abrangem a recolha do conteúdo do correio tradicional e a interceção direta do conteúdo das telecomunicações (214).

(156)

O acesso aos dados de confirmação das comunicações só pode ser efetuado quando necessário para conduzir uma investigação criminal ou executar uma pena (215), com base num mandado emitido por um tribunal (216). A este respeito, a Lei relativa à proteção da privacidade das comunicações exige que sejam fornecidas informações pormenorizadas tanto no pedido do mandado (por exemplo, sobre as razões do pedido, a relação com o alvo/assinante e os dados necessários) como no próprio mandado (por exemplo, sobre o objetivo, o alvo e o âmbito da medida) (217). A recolha sem mandado só pode ser realizada quando motivos de urgência impossibilitem a obtenção da autorização judicial, caso em que o mandado deve ser obtido e comunicado ao fornecedor de telecomunicações imediatamente após o pedido dos dados (218). Se o tribunal recusar a autorização posterior, as informações recolhidas devem ser destruídas (219).

(157)

Em termos de garantias adicionais no que respeita à recolha de dados de confirmação das comunicações, a Lei relativa à proteção da privacidade das comunicações impõe requisitos específicos em matéria de conservação de registos e de transparência (220). Mais especificamente, tanto as autoridades responsáveis pela aplicação do direito penal (221) como os fornecedores de telecomunicações (222) têm de conservar registos dos pedidos e das divulgações efetuadas. Além disso, em princípio, as autoridades responsáveis pela aplicação do direito penal têm de notificar as pessoas de que os seus dados de confirmação das comunicações foram recolhidos (223). Tal notificação só pode ser diferida em circunstâncias excecionais, com base numa autorização do diretor de uma procuradoria distrital competente (224). Essa autorização só pode ser concedida quando a notificação for suscetível de 1) pôr em perigo a segurança nacional, a segurança e a ordem públicas, 2) causar a morte ou lesões corporais, 3) impedir um processo judicial justo (por exemplo, levando à destruição de elementos de prova ou ameaçando testemunhas), ou 4) difamar o suspeito, as vítimas ou outras pessoas relacionadas com o processo, ou invadir a sua privacidade. Nesses casos, a notificação tem de ser feita no prazo de 30 dias após a cessação do(s) motivo(s) do diferimento (225). Após a notificação, as pessoas singulares têm o direito de obter informações sobre os motivos da recolha dos seus dados (226).

(158)

No que respeita às medidas de restrição das comunicações, aplicam-se regras mais rigorosas, só podendo ser utilizadas quando houver motivos substanciais para suspeitar que certos crimes graves especificamente enumerados na Lei relativa à proteção da privacidade das comunicações estão a ser planeados ou estão a ser ou foram cometidos (227). Além disso, as medidas de restrição das comunicações só podem ser tomadas como medida de último recurso e nos casos em que, de outro modo, seja difícil impedir a prática de um crime, prender um criminoso ou recolher provas (228). Devem ser imediatamente interrompidas assim que deixem de ser necessárias, a fim de garantir que a violação da privacidade das comunicações seja o mais limitada possível (229). As informações obtidas ilegalmente através de medidas de restrições das comunicações não são admitidas como elementos de prova em processos judiciais ou disciplinares (230).

(159)

Em termos de garantias processuais, a Lei relativa à proteção da privacidade das comunicações exige a obtenção de um mandado judicial para a execução de medidas de restrição das comunicações (231). Mais uma vez, a referida lei exige que o pedido de mandado e o próprio mandado contenham informações pormenorizadas (232), nomeadamente sobre a justificação do pedido, bem como as comunicações a obter (que devem ser as do suspeito sob investigação) (233). Tais medidas só podem ser tomadas sem um mandado em caso de uma ameaça iminente de criminalidade organizada ou de iminência de outro crime grave suscetível de causar diretamente a morte ou ferimentos graves, e se existir uma situação de emergência que impossibilite o seguimento do procedimento regular (234). No entanto, nesse caso, o pedido de mandado tem de ser apresentado imediatamente após a adoção da medida (235). As medidas de restrição das comunicações só podem ser executadas por um período máximo de dois meses (236) e só podem ser prorrogadas com a aprovação do tribunal se as condições para a sua execução se mantiverem (237). O período prorrogado não pode exceder um ano no total, ou três anos no caso de determinados crimes particularmente graves (como crimes relacionados com a insurreição, agressão estrangeira, segurança nacional) (238).

(160)

Tal como no que respeita à recolha de dados de confirmação das comunicações, a Lei relativa à proteção da privacidade das comunicações exige que os fornecedores de telecomunicações (239) e as autoridades responsáveis pela aplicação da lei (240) mantenham registos da execução das medidas de restrição das comunicações, e prevê a notificação da pessoa em causa, que pode, excecionalmente, ser diferida, se necessário, por razões importantes de interesse público (241).

(161)

Por último, o incumprimento de várias limitações e garantias da Lei relativa à proteção da privacidade das comunicações (nomeadamente das obrigações de obtenção de um mandado, de conservação de registos e de notificação da pessoa), no que respeita à recolha de dados de confirmação das comunicações e à utilização de medidas de restrição das comunicações, está sujeito a sanções penais (242).

(162)

Por conseguinte, os poderes das autoridades responsáveis pela aplicação do direito penal para recolher dados de comunicações com base na Lei relativa à proteção da privacidade das comunicações (tanto o conteúdo das comunicações como os dados de confirmação das comunicações) estão circunscritos por regras claras e precisas e sujeitos a várias garantias. Estas garantem, designadamente, a supervisão da execução dessas medidas, ex ante (mediante aprovação judicial prévia) e ex post (através de requisitos de conservação de registos e de apresentação de relatórios), e facilitam o acesso das pessoas singulares a vias de recurso eficazes (assegurando que são informadas da recolha dos seus dados).

(163)

Além de recorrerem às medidas obrigatórias descritas nos considerandos (153) a (162), as autoridades coreanas responsáveis pela aplicação da lei podem solicitar aos fornecedores de telecomunicações «dados de comunicações» a título voluntário, em apoio de um processo penal, de uma investigação ou da execução de uma pena (artigo 83.o, n.o 3, da Lei relativa às atividades de telecomunicações). Esta possibilidade só existe em relação a conjuntos de dados limitados, ou seja, o nome, número de registo de residente, endereço e número de telefone dos utilizadores, as datas em que os utilizadores subscrevem ou cancelam a sua subscrição, bem como os códigos de identificação dos utilizadores (ou seja, códigos utilizados para identificar o utilizador legítimo dos sistemas informáticos ou das redes de comunicações) (243). Uma vez que apenas as pessoas singulares que contratam diretamente os serviços de um fornecedor de telecomunicações coreano são consideradas «utilizadores» (244), as pessoas singulares da UE cujos dados tenham sido transferidos para a República da Coreia não estão normalmente abrangidas por esta categoria (245).

(164)

As divulgações voluntárias estão sujeitas a diferentes limitações, tanto no que respeita ao exercício de poderes por parte da autoridade de aplicação da lei como à resposta do operador de telecomunicações. Como requisito geral, as autoridades responsáveis pela aplicação da lei devem agir de acordo com os princípios constitucionais da necessidade e da proporcionalidade (artigo 12.o, n.o 1, e artigo 37.o, n.o 2, da Constituição), incluindo quando solicitam informações a título voluntário. Além disso, têm de cumprir a Lei relativa à proteção de informações pessoais, nomeadamente recolhendo apenas os dados pessoais mínimos necessários para alcançar um objetivo legítimo, de forma a minimizar o impacto na privacidade das pessoas (como o artigo 3.o, n.os 1 e 6, da Lei relativa à proteção de informações pessoais). Mais especificamente, os pedidos de obtenção de dados de comunicações com base na Lei relativa às atividades de telecomunicações devem ser efetuados por escrito e indicar as razões do pedido, a ligação ao utilizador em causa e o âmbito dos dados solicitados (246).

(165)

Os fornecedores de telecomunicações não são obrigados a satisfazer esses pedidos e só o podem fazer em conformidade com a Lei relativa à proteção de informações pessoais. Tal significa, nomeadamente, que devem ponderar os diferentes interesses em jogo e que não podem fornecer os dados se tal for suscetível de violar injustamente os interesses da pessoa ou de um terceiro (247). Seria o caso, por exemplo, se fosse evidente que a autoridade requerente abusou da sua autoridade (248). Os operadores de telecomunicações devem manter registos das divulgações de informações ao abrigo da Lei relativa às atividades de telecomunicações e apresentar relatórios duas vezes por ano ao Ministério da Ciência e das TIC (249).

(166)

Além disso, em conformidade com o ponto 3 da Notificação n.o 2021-5 (anexo I), os fornecedores de telecomunicações devem, em princípio, notificar a pessoa em causa quando responderem voluntariamente a um pedido (250). Tal permitirá, por sua vez, que a pessoa exerça os seus direitos e, caso os seus dados sejam divulgados ilegalmente, que obtenha reparação contra o responsável pelo tratamento (por exemplo, por divulgar os dados em violação da Lei relativa à proteção de informações pessoais ou por responder a um pedido claramente desproporcionado) ou contra a autoridade responsável pela aplicação da lei (por exemplo, por atuar para além dos limites do que é necessário e proporcionado ou por não respeitar os requisitos processuais da Lei relativa às atividades de telecomunicações).

(167)

O tratamento de dados pessoais recolhidos pelas autoridades coreanas responsáveis pela aplicação do direito penal está sujeito a todos os requisitos da Lei relativa à proteção de informações pessoais, incluindo no que respeita à limitação das finalidades (artigo 3.o, n.os 1 e 2), à licitude da utilização e ao fornecimento a terceiros (artigos 15.o, 17.o e 18.o), às transferências internacionais (artigos 17.o e 18.o, conjugados com o disposto na secção 2 da Notificação n.o 2021-5) (251), à proporcionalidade/minimização dos dados (artigo 3.o, n.os 1 e 6) e à limitação da conservação (artigo 21.o) (252).

(168)

No que respeita ao conteúdo das comunicações obtido através da execução de medidas de restrição das comunicações, a Lei relativa à proteção da privacidade das comunicações limita especificamente a sua possível utilização à investigação, repressão ou prevenção de crimes graves (253); a processos disciplinares pelos mesmos crimes; pedidos de indemnização apresentados por uma parte nas comunicações ou quando tal seja expressamente permitido por outras leis (254). Além disso, os conteúdos recolhidos das telecomunicações transmitidas através da Internet só podem ser conservados com a aprovação do tribunal que autorizou as medidas de restrição das comunicações (255), tendo em vista a sua utilização na investigação, repressão ou prevenção de crimes graves (256). De um modo mais geral, a Lei relativa à proteção da privacidade das comunicações proíbe a divulgação de informações confidenciais obtidas através de medidas de restrição das comunicações e a utilização dessas informações para prejudicar a reputação das pessoas sujeitas às medidas (257).

(169)

Na Coreia, as atividades das autoridades responsáveis pela aplicação do direito penal são supervisionadas por diferentes organismos (258).

(170)

Em primeiro lugar, a polícia está sujeita a uma supervisão interna efetuada por um Inspetor-Geral (259), que realiza o controlo da legalidade, nomeadamente no que respeita a eventuais violações dos direitos humanos. O Inspetor-Geral foi criado para aplicar a Lei relativa às auditorias do setor público, que incentiva a criação de organismos de auditoria interna e estabelece requisitos específicos para a sua composição e funções. Mais especificamente, a lei exige que o diretor de um organismo de auditoria interna seja nomeado externamente à autoridade em causa (por exemplo, antigos juízes, professores) por um período de dois a cinco anos (260), que só possa ser destituído por motivos justificados (por exemplo, quando incapaz de desempenhar funções por motivos de saúde ou quando sujeito a medidas disciplinares) (261), e que lhe seja garantida a maior independência possível (262). A obstrução de uma auditoria interna está sujeita a coimas (263). Os relatórios de auditoria (que podem incluir recomendações, pedidos de medidas disciplinares e pedidos de compensação ou correção) são comunicados ao diretor da autoridade pública em causa, à Comissão de Auditoria e Inspeção (264) e, de um modo geral, são tornados públicos (265). Os resultados da aplicação do relatório devem também ser comunicados à Comissão de Auditoria e Inspeção (266) (ver considerando (173) sobre os seus poderes, incluindo o de supervisão).

(171)

Em segundo lugar, a Comissão de Proteção de Informações Pessoais supervisiona a conformidade do tratamento de dados por parte das autoridades responsáveis pela aplicação do direito penal com a Lei relativa à proteção de informações pessoais e com outras leis que protegem a privacidade das pessoas singulares, nomeadamente as que regulam a recolha de provas (eletrónicas) para efeitos de aplicação do direito penal, conforme descrito no ponto 3.2.1 (267). Mais especificamente, uma vez que esta supervisão abrange a licitude e a lealdade da recolha e do tratamento de dados (artigo 3.o, n.o 1, da Lei relativa à proteção de informações pessoais), que serão infringidas caso o acesso e a utilização dos dados pessoais violem essas leis (268), a Comissão de Proteção de Informações Pessoais também pode investigar e fazer cumprir as limitações e garantias descritas no ponto 3.2.1 (269). No exercício desta função de supervisão, a Comissão de Proteção de Informações Pessoais pode fazer uso de todos os seus poderes de investigação e reparação, conforme descrito em pormenor no ponto 2.4.2. Já antes da recente reforma da Lei relativa à proteção de informações pessoais (ou seja, no seu anterior papel de supervisão do setor público), a Comissão de Proteção de Informações Pessoais levou a cabo várias atividades de supervisão ao tratamento de dados pessoais por parte das autoridades responsáveis pela aplicação do direito penal, por exemplo, no contexto do interrogatório de suspeitos (processo n.o 2013-16, de 26 de agosto de 2013), no que respeita ao envio de notificações às pessoas singulares sobre a imposição de coimas (processo n.o 2015-02-04, de 26 de janeiro de 2015), à partilha de dados com outras autoridades (processo n.o 2018-15-146, de 9 de julho de 2018, processo n.o 2018-25-308, de 10 de dezembro de 2018, processo n.o 2019-02-015, de 29 de janeiro de 2019), à recolha de impressões digitais ou fotografias (processo n.o 2019-17-273, de 9 de setembro de 2019), e à utilização de drones (processo n.o 2020-01-004, de 13 de janeiro de 2020). Nesses processos, a Comissão de Proteção de Informações Pessoais investigou o cumprimento de várias disposições da Lei relativa à proteção de informações pessoais (por exemplo, a licitude do tratamento, os princípios da limitação das finalidades e da minimização dos dados), mas também de outras disposições pertinentes de outras leis, como a Lei relativa ao processo penal, e, se necessário, emitiu recomendações para tornar o tratamento conforme com os requisitos em matéria de proteção de dados.

(172)

Em terceiro lugar, a supervisão independente é assegurada pela Comissão Nacional dos Direitos Humanos (270), que pode investigar violações dos direitos à privacidade e à privacidade da correspondência no âmbito do seu mandato geral de proteção dos direitos fundamentais dos artigos 10.o a 22.o da Constituição. A Comissão Nacional dos Direitos Humanos é composta por 11 comissários, que têm de reunir requisitos específicos (271), e que são designados pelo presidente da República em conformidade com os procedimentos estabelecidos por lei. Mais especificamente, quatro comissários são designados por nomeação da Assembleia Nacional, quatro por nomeação do presidente da República e três por nomeação do juiz presidente do Supremo Tribunal (272). O presidente da Comissão é nomeado pelo presidente da República de entre os comissários e tem de ser confirmado pela Assembleia Nacional (273). Os comissários (incluindo o presidente) são nomeados por um período renovável de três anos e só podem ser destituídos se forem condenados a penas de prisão ou já não conseguirem desempenhar as suas funções devido a deficiências físicas ou mentais crónicas (caso em que dois terços dos comissários têm de concordar com a destituição) (274). No âmbito de uma investigação, a Comissão Nacional dos Direitos Humanos pode solicitar a apresentação de materiais pertinentes, realizar inspeções e convocar pessoas para testemunhar (275). Em termos de poderes de reparação, pode emitir recomendações (públicas) para melhorar ou corrigir políticas e práticas específicas, às quais as autoridades públicas devem responder com uma proposta de plano de execução (276). Se a autoridade em causa não aplicar as recomendações, deve informar a Comissão desse facto (277), que pode, por sua vez, comunicar essa omissão à Assembleia Nacional e/ou torná-la pública. De acordo com a declaração oficial do Governo coreano (anexo II, ponto 2.3.5), de um modo geral, as autoridades coreanas cumprem as recomendações da Comissão Nacional dos Direitos Humanos e têm um forte incentivo para o fazer, uma vez que esse cumprimento tem sido avaliado no âmbito de uma avaliação geral contínua sob a autoridade do gabinete do primeiro-ministro. Os dados anuais relativos às suas atividades mostram que a Comissão Nacional dos Direitos Humanos supervisiona ativamente as atividades das autoridades responsáveis pela aplicação do direito penal, com base em petições individuais ou através de investigações ex officio (278).

(173)

Em quarto lugar, a supervisão geral da legalidade das atividades das autoridades públicas é efetuada pela Comissão de Auditoria e Inspeção, que analisa as receitas e as despesas do Estado, mas também, de um modo mais geral, supervisiona o cumprimento das obrigações das autoridades públicas com vista a melhorar o funcionamento da administração pública (279). A Comissão de Auditoria e Inspeção é formalmente criada sob a égide do presidente da República da Coreia, mas mantém um estatuto independente no que respeita às suas funções (280). Além disso, é-lhe concedida total independência no que respeita à nomeação, destituição e organização do seu pessoal, bem como à elaboração do seu orçamento (281). A Comissão de Auditoria e Inspeção é composta por um presidente (nomeado pelo presidente da República, com o consentimento da Assembleia Nacional) (282) e por seis comissários (nomeados pelo presidente da República mediante recomendação do seu próprio presidente) (283), que devem reunir os requisitos específicos previstos na lei (284) e que só podem ser destituídos em caso de impugnação, condenação a prisão ou incapacidade para desempenhar as suas funções devido a deficiências mentais ou físicas crónicas (285). A Comissão de Auditoria e Inspeção realiza uma auditoria geral anualmente, mas também pode realizar auditorias específicas sobre questões de especial interesse. Na realização de uma auditoria ou inspeção, pode solicitar a apresentação de documentos e solicitar a presença de pessoas (286). A Comissão de Auditoria e Inspeção pode emitir recomendações, solicitar medidas disciplinares ou apresentar uma queixa-crime (287).

(174)

Por último, a Assembleia Nacional efetua o controlo parlamentar das autoridades públicas através de investigações e inspeções (288) das suas atividades (289). Pode solicitar a divulgação de documentos, obrigar à comparência de testemunhas (290), recomendar medidas corretivas (se concluir que ocorreram atividades ilícitas ou inadequadas) (291) e tornar públicos os resultados das suas conclusões (292). Sempre que a Assembleia Nacional solicite a adoção de medidas corretivas, que podem, por exemplo, incluir a concessão de indemnizações, a tomada de medidas disciplinares ou a melhoria dos procedimentos internos, a autoridade pública em causa é obrigada a agir sem demora e a comunicar os resultados à Assembleia Nacional (293).

(175)

O sistema coreano oferece diferentes vias (judiciais) para obter reparação, incluindo indemnizações por danos.

(176)

Em primeiro lugar, a Lei relativa à proteção de informações pessoais confere às pessoas singulares o direito de acesso, retificação, apagamento e suspensão dos dados pessoais tratados para efeitos de aplicação do direito penal (294).

(177)

Em segundo lugar, as pessoas singulares podem fazer uso dos diferentes mecanismos de recurso oferecidos pela Lei relativa à proteção de informações pessoais se os seus dados tiverem sido tratados por uma autoridade responsável pela aplicação do direito penal em violação da referida lei ou das limitações e garantias que regem a recolha de dados pessoais noutras leis (ou seja, a Lei relativa ao processo penal ou a Lei relativa à proteção da privacidade das comunicações, ver o considerando (171)). Mais especificamente, podem apresentar uma reclamação junto da Comissão de Proteção de Informações Pessoais (nomeadamente através do centro de atendimento para a privacidade gerido pela Agência de Internet e Segurança da Coreia (295)) ou do Comité de Mediação de Litígios de Informações Pessoais (296). Estas possibilidades de vias de recurso não estão sujeitas a outros requisitos de admissibilidade. Com base na Lei relativa ao contencioso administrativo, as pessoas singulares podem ainda recorrer/contestar as decisões ou a inação da Comissão de Proteção de Informações Pessoais (ver considerando (132)).

(178)

Em terceiro lugar, qualquer pessoa singular (297) pode apresentar uma reclamação junto da Comissão Nacional dos Direitos Humanos relativa a uma violação do direito à privacidade e à proteção de dados por parte de uma autoridade de aplicação do direito penal coreana. A Comissão pode recomendar a retificação ou a melhoria de qualquer lei, instituição, política ou prática pertinente (298), ou a aplicação de vias de recurso, como a mediação (299), a cessação da violação dos direitos humanos, a indemnização por danos e medidas para evitar a repetição de violações idênticas ou similares (300). De acordo com a declaração oficial do Governo coreano (anexo II, ponto 2.4.2), tal pode incluir também o apagamento de dados pessoais recolhidos ilicitamente. Embora a Comissão Nacional dos Direitos Humanos não tenha competência para emitir decisões vinculativas, oferece uma via de recurso mais informal, económica e facilmente acessível, em especial porque, conforme explicado no anexo II, ponto 2.4.2, não exige a demonstração de um prejuízo de facto para que uma reclamação seja investigada (301). Deste modo garante-se a possibilidade de investigar as reclamações das pessoas singulares relativas à recolha dos dados que lhes digam respeito, mesmo se a pessoa singular não estiver em condições de demonstrar que os dados que lhe dizem respeito foram efetivamente recolhidos (por exemplo, em virtude de a pessoa singular não ter sido ainda notificada). Os relatórios anuais de atividades da Comissão Nacional dos Direitos Humanos mostram que, na prática, as pessoas também utilizam esta via para contestar as atividades das autoridades responsáveis pela aplicação do direito penal, nomeadamente no que respeita ao tratamento de dados pessoais (302). Se uma pessoa não estiver satisfeita com o resultado de um processo junto da Comissão Nacional dos Direitos Humanos, pode contestar as suas decisões (como uma decisão de não prosseguir a investigação de uma reclamação (303)) e recomendações junto dos tribunais coreanos ao abrigo da Lei relativa ao contencioso administrativo (ver considerando (181)) (304). Além disso, um procedimento junto da Comissão Nacional dos Direitos Humanos pode ainda facilitar o acesso aos tribunais, uma vez que a pessoa pode procurar obter uma reparação adicional contra a autoridade pública que tratou ilegalmente os seus dados com base nas conclusões da Comissão, em conformidade com os procedimentos descritos nos considerandos (181) a (183).

(179)

Por último, existem diferentes vias de recurso judiciais disponíveis, que permitem às pessoas invocar as limitações e garantias descritas no ponto 3.2.1 para obter reparação (305).

(180)

No que respeita às apreensões (incluindo de dados), a Lei relativa ao processo penal prevê a possibilidade de a pessoa se opor ou contestar a execução de um mandado mediante a apresentação ao tribunal competente de um pedido de anulação ou alteração de uma disposição tomada por um procurador ou agente da polícia (306).

(181)

De um modo mais geral, as pessoas singulares podem contestar as ações (307) ou omissões (308) das autoridades públicas (incluindo as autoridades responsáveis pela aplicação do direito penal) ao abrigo da Lei relativa ao contencioso administrativo (309). A ação administrativa é considerada um «ato contestável» se tiver um impacto direto nos direitos e deveres civis (310), o que, tal como confirmado pelo Governo coreano (anexo II, ponto 2.4.3), é o caso das medidas de recolha de dados pessoais, diretamente (por exemplo, através da interceção de comunicações), ou através de pedidos de divulgação vinculativos (por exemplo, a um prestador de serviços) ou pedidos de cooperação voluntária. Para que uma reclamação ao abrigo da Lei relativa ao contencioso administrativo seja admissível, a pessoa singular tem de ter um interesse jurídico em intentar a ação (311). De acordo com a jurisprudência do Supremo Tribunal, o «interesse jurídico» é interpretado como um «interesse protegido juridicamente», ou seja, um interesse direto e específico protegido pelas disposições legislativas e regulamentares em que se baseiam os atos administrativos (ou seja, não se trata de interesses gerais, indiretos e abstratos do público) (312). As pessoas têm um interesse jurídico no caso de qualquer violação das limitações e garantias aplicáveis à recolha dos seus dados pessoais para efeitos de aplicação do direito penal (ao abrigo de leis específicas ou da Lei relativa à proteção de informações pessoais). Com base na Lei relativa ao contencioso administrativo, um tribunal pode decidir revogar ou alterar um ato ilegal, emitir uma declaração de nulidade (ou seja, uma declaração de que o ato não produz efeitos jurídicos ou é inexistente na ordem jurídica) ou emitir uma declaração de que uma omissão é ilegal (313). Uma decisão transitada em julgado nos termos da Lei relativa ao contencioso administrativo é vinculativa para as partes (314).

(182)

Além de contestarem a ação governamental através do contencioso administrativo, as pessoas singulares também podem apresentar uma queixa constitucional ao Tribunal Constitucional relativamente a qualquer violação dos seus direitos fundamentais devido ao exercício ou não exercício do poder governamental (excluindo os acórdãos dos tribunais) (315). Se existirem outras vias de recurso, estas devem ser esgotadas em primeiro lugar. De acordo com a jurisprudência do Tribunal Constitucional, os estrangeiros podem apresentar uma queixa constitucional na medida em que os seus direitos fundamentais sejam reconhecidos pela Constituição coreana (ver explicações do ponto 1.1) (316). O Tribunal Constitucional pode invalidar o exercício do poder governamental que causou a infração ou confirmar a inconstitucionalidade de uma determinada omissão (317). Nesse caso, a autoridade competente é obrigada a tomar medidas para cumprir a decisão do Tribunal.

(183)

Além disso, as pessoas singulares podem obter uma indemnização por danos nos tribunais coreanos. Tal inclui, em primeiro lugar, a possibilidade de pedir uma indemnização por violações da Lei relativa à proteção de informações pessoais cometidas pelas autoridades responsáveis pela aplicação do direito penal, em conformidade com o artigo 39.o (ver também o considerando (135)). De um modo mais geral, as pessoas singulares podem pedir uma indemnização por danos causados por funcionários públicos no exercício das suas funções oficiais em violação da lei, com base na Lei relativa às indemnizações do Estado (ver também o considerando (135)) (318).

(184)

Os mecanismos descritos nos considerandos (176) a (183) oferecem vias de recurso administrativas e judiciais eficazes aos titulares dos dados, permitindo-lhes, em particular, exercer os seus direitos, nomeadamente o direito de acesso aos seus dados pessoais, ou obter a retificação ou o apagamento desses dados.

(185)

O direito da República da Coreia contém uma série de limitações e garantias no que respeita ao acesso e à utilização de dados pessoais para efeitos de segurança nacional, e prevê mecanismos de recurso e supervisão neste domínio, que estão em conformidade com os requisitos referidos nos considerandos (141) a (143) da presente decisão. Os pontos seguintes descrevem as condições nas quais esse acesso pode ser efetuado e as garantias aplicáveis à utilização desses poderes.

(186)

Na República da Coreia, é possível aceder aos dados pessoais para efeitos de segurança nacional com base na Lei relativa à proteção da privacidade das comunicações, na Lei relativa às atividades de telecomunicações e na Lei relativa ao antiterrorismo para a proteção dos cidadãos e da segurança pública («Lei antiterrorismo») (319). A principal autoridade (320) com competências no domínio da segurança nacional é o Serviço Nacional de Informações (321). A recolha e utilização de dados pessoais pelo Serviço Nacional de Informações tem de cumprir os requisitos legais pertinentes (nomeadamente a Lei relativa à proteção de informações pessoais e a Lei relativa à proteção da privacidade das comunicações) (322) e as orientações gerais elaboradas pelo presidente da República e revistas pela Assembleia Nacional (323). Como princípio geral, o Serviço Nacional de Informações deve manter a neutralidade política e proteger a liberdade e os direitos individuais (324). Além disso, o seu pessoal não pode abusar da sua autoridade pública para forçar uma instituição, organização ou pessoa singular a fazer algo que não seja obrigada a fazer (nos termos da lei), nem obstruir o exercício dos direitos de qualquer pessoa (325).

(187)

Com base na Lei relativa à proteção da privacidade das comunicações, as autoridades públicas coreanas (326) podem recolher dados de confirmação das comunicações (ou seja, a data das telecomunicações, a respetiva hora de início e de fim, o número de chamadas efetuadas e recebidas, bem como o número de assinante da outra parte, a frequência de utilização, os ficheiros de registo relativos à utilização dos serviços de telecomunicações e informações sobre a localização, ver o considerando (155)) e o conteúdo das comunicações (através de medidas de restrição das comunicações, ver o considerando (155)) para efeitos de segurança nacional (conforme determinado pelo mandato do Serviço Nacional de Informações, ver a nota de rodapé 322). Estes poderes abrangem dois tipos de informações: 1) comunicações em que uma ou ambas as partes são nacionais coreanos (327); e 2) comunicações de a) países hostis à República da Coreia, b) agências, grupos ou nacionais estrangeiros suspeitos de envolvimento em atividades anticoreanas (328), ou c) membros de grupos que operam na Península da Coreia, mas efetivamente fora da soberania da República da Coreia, e os seus grupos de coordenação estabelecidos em países estrangeiros (329). Por conseguinte, as comunicações de pessoas singulares da UE transferidas da União para a República da Coreia com base na presente decisão só podem ser recolhidas ao abrigo da Lei relativa à proteção da privacidade das comunicações para efeitos de segurança nacional (sob reserva das condições estabelecidas nos considerandos (188) a (192)) se ocorrerem entre uma pessoa singular da UE e um nacional coreano, ou se disserem respeito a comunicações exclusivamente entre nacionais não coreanos abrangidas por uma das três categorias referidas no ponto 2, alíneas a), b) e c).

(188)

Em ambos os casos, a recolha de dados de confirmação das comunicações só pode ser realizada para efeitos de prevenção de ameaças à segurança nacional (330), enquanto as medidas de restrição das comunicações só podem ser tomadas quando existir um risco grave para a segurança nacional e a recolha for necessária para o evitar (331). Além disso, o acesso ao conteúdo das comunicações só pode ser efetuado como medida de último recurso, devendo ser envidados esforços para minimizar a violação da privacidade das comunicações (332), garantindo assim que esta continua a ser proporcional ao objetivo de segurança nacional em causa. A recolha do conteúdo das comunicações e dos dados de confirmação das comunicações só pode realizar-se durante um período máximo de quatro meses e deve ser imediatamente interrompida se o objetivo visado for alcançado mais cedo (333). Se as condições pertinentes continuarem a estar preenchidas, o prazo pode ser prorrogado, mediante autorização prévia de um tribunal (para as medidas descritas no considerando (189)) ou do presidente da República (para as medidas descritas no considerando (190)) (334), por um período máximo de quatro meses.

(189)

As mesmas garantias processuais aplicam-se à recolha de dados de confirmação das comunicações e do conteúdo das comunicações (335). Mais especificamente, se pelo menos uma das pessoas envolvidas na comunicação for um nacional coreano, o serviço de informações tem de apresentar um pedido por escrito à Procuradoria Superior que, por sua vez, tem de solicitar um mandado a um juiz presidente superior do Tribunal Superior (336). A Lei relativa à proteção da privacidade das comunicações enumera as informações que devem ser fornecidas no pedido ao procurador, no pedido de mandado e no próprio mandado, que incluem, nomeadamente, a justificação do pedido e os principais motivos de suspeita, os materiais de apoio, bem como informações sobre o objetivo, o alvo [ou seja, a(s) pessoa(s) visada(s)], o âmbito e a duração da medida proposta (337). A recolha sem mandado só pode ser realizada se houver um ato de conspiração que ameace a segurança nacional e se existir uma situação de emergência que impossibilite a realização dos referidos procedimentos (338). No entanto, também nesse caso, o pedido de mandado tem de ser apresentado imediatamente após a adoção da medida (339). Por conseguinte, a Lei relativa à proteção da privacidade das comunicações define claramente o âmbito e as condições destes tipos de recolha, e submete-os a garantias (processuais) específicas (incluindo a aprovação judicial prévia), que asseguram que a utilização de tais medidas se limita ao que é necessário e proporcionado. Além disso, a obrigação de fornecer informações pormenorizadas no pedido de um mandado e no próprio mandado exclui a possibilidade de acesso indiscriminado.

(190)

Para as comunicações entre nacionais não coreanos que se enquadram numa das três categorias específicas enumeradas no considerando (187), deve ser apresentado um pedido ao diretor do Serviço Nacional de Informações que, após uma análise da adequação das medidas propostas, tem de solicitar a aprovação prévia, por escrito, do Presidente da República da Coreia (340). O pedido elaborado pelo serviço de informações tem de incluir as mesmas informações pormenorizadas que o pedido de um mandado judicial (ver considerando (189)), nomeadamente no que se refere à justificação do pedido e aos principais motivos de suspeita, aos materiais de apoio e às informações sobre os objetivos, a(s) pessoa(s) visada(s), o âmbito e a duração das medidas propostas (341). Em situações de emergência (342), deve obter-se a aprovação prévia do ministro que tutela o serviço de informações em causa, embora o serviço de informações tenha de solicitar a aprovação do presidente da República imediatamente após a adoção das medidas de emergência (343). Também no que respeita à recolha de comunicações exclusivamente entre nacionais não coreanos, a Lei relativa à proteção da privacidade das comunicações limita, portanto, a utilização de tais medidas ao que é necessário e proporcionado, definindo claramente as categorias limitadas de pessoas que podem ser sujeitas a tais medidas e estabelecendo critérios pormenorizados que os serviços de informações devem demonstrar para justificar um pedido de recolha de informações. Além disso, tal exclui novamente a possibilidade de acesso indiscriminado. Embora não exista uma aprovação prévia independente dessas medidas, a supervisão independente é assegurada ex post, nomeadamente pela Comissão de Proteção de Informações Pessoais e pela Comissão Nacional dos Direitos Humanos (ver, por exemplo, os considerandos (199) a (200)).

(191)

Além disso, a Lei relativa à proteção da privacidade das comunicações impõe várias garantias adicionais que contribuem para a supervisão ex post e facilitam o acesso das pessoas singulares a vias de recurso eficazes. Em primeiro lugar, no que respeita a qualquer tipo de recolha para efeitos de segurança nacional, a referida lei prevê diferentes requisitos de conservação de registos e apresentação de relatórios. Mais especificamente, quando solicitam a cooperação de operadores privados, os serviços de informações têm de apresentar o mandado judicial/a autorização presidencial ou uma cópia da capa de uma declaração de censura de emergência, que a entidade visada deve conservar nos seus arquivos (344). Quando os operadores privados são obrigados a cooperar, tanto a autoridade pública requerente como o operador em causa devem conservar registos sobre a finalidade e o objeto das medidas, bem como sobre a data de execução (345). Além disso, os serviços de informações têm de comunicar ao diretor do Serviço Nacional de Informações as informações recolhidas e os resultados da atividade de vigilância (346).

(192)

Em segundo lugar, as pessoas singulares têm de ser notificadas da recolha dos seus dados (dados de confirmação das comunicações ou do conteúdo das comunicações) para efeitos de segurança nacional se esta disser respeito a comunicações em que, pelo menos, uma das partes é um nacional coreano (347). Esta notificação tem de ser apresentada por escrito no prazo de 30 dias a contar da data em que terminou a recolha (incluindo se os dados tiverem sido obtidos de acordo com o procedimento de emergência) e só pode ser diferida se e enquanto puser em risco a segurança nacional ou prejudicar a vida e a segurança física das pessoas (348). Independentemente dessa notificação, as pessoas singulares podem obter reparação através de diferentes vias, conforme explicado mais pormenorizadamente no ponto 3.3.4.

(193)

A Lei antiterrorismo prevê que o Serviço Nacional de Informações possa recolher dados sobre suspeitos de terrorismo (349), em conformidade com as limitações e garantias previstas noutras leis (350). Mais especificamente, o Serviço Nacional de Informações pode obter dados de comunicações (com base na Lei relativa à proteção da privacidade das comunicações) e outras informações pessoais (através de um pedido de divulgação voluntária) (351). No que respeita à recolha de informações sobre comunicações (ou seja, o conteúdo das comunicações ou os dados de confirmação das comunicações), aplicam-se as limitações e garantias descritas no ponto 3.3.1.1, incluindo a exigência de obtenção de um mandado aprovado pelo tribunal. No que respeita aos pedidos de divulgação voluntária de outros tipos de dados pessoais de suspeitos de terrorismo, o Serviço Nacional de Informações deve cumprir os requisitos da Constituição e da Lei relativa à proteção de informações pessoais em matéria de necessidade e proporcionalidade (ver considerando (164)) (352). Os responsáveis pelo tratamento que recebem esses pedidos podem cumpri-lo voluntariamente nas condições estabelecidas na Lei relativa à proteção de informações pessoais (por exemplo, em conformidade com o princípio da minimização dos dados e limitando o impacto na privacidade do indivíduo) (353). Nesse caso, têm também de cumprir a obrigação de notificar a pessoa em causa de acordo com a Notificação n.o 2021-5 (ver considerando (166)).

(194)

Com base na Lei relativa às atividades de telecomunicações, os fornecedores de telecomunicações podem divulgar voluntariamente dados de assinantes (ver considerando (163)) a pedido de um serviço de informações que pretenda recolher essas informações para prevenir uma ameaça para a segurança nacional (354). No que respeita a tais pedidos do Serviço Nacional de Informações, aplicam-se as mesmas limitações (decorrentes da Constituição, da Lei relativa à proteção de informações pessoais e da Lei relativa às atividades de telecomunicações) que no domínio da aplicação do direito penal, conforme estabelecidas no considerando (164) (355). Os fornecedores de telecomunicações não são obrigados a obedecer e só o podem fazer nas condições estabelecidas na Lei relativa à proteção de informações pessoais (nomeadamente, em conformidade com o princípio da minimização dos dados e limitando o impacto na privacidade do indivíduo, ver também o considerando (193)). No que respeita à conservação de registos e à notificação da pessoa em causa, aplicam-se os mesmos requisitos que no domínio da aplicação do direito penal (ver considerandos (165) e (166)).

(195)

O tratamento de dados pessoais recolhidos pelas autoridades coreanas para efeitos de segurança nacional está sujeito aos seguintes princípios da Lei relativa à proteção de informações pessoais: limitação das finalidades (artigo 3.o, n.os 1 e 2), licitude e lealdade do tratamento (artigo 3.o, n.o 1), proporcionalidade/minimização dos dados (artigo 3.o, n.os 1 e 6, e artigo 58.o), exatidão (artigo 3.o, n.o 3), transparência (artigo 3.o, n.o 5), segurança (artigo 58.o, n.o 4) e limitação da conservação (artigo 58.o, n.o 4) (356). A eventual divulgação de dados pessoais a terceiros (incluindo países terceiros) só pode ocorrer em conformidade com estes princípios (nomeadamente, a limitação da finalidade e a minimização dos dados), após avaliar a conformidade com os princípios da necessidade e da proporcionalidade (artigo 37.o, n.o 2, da Constituição) e tendo em conta o impacto nos direitos das pessoas singulares em causa (artigo 3.o, n.o 6, da Lei relativa à proteção de informações pessoais).

(196)

No que respeita ao conteúdo das comunicações e aos dados de confirmação das comunicações, a Lei relativa à proteção da privacidade das comunicações limita ainda mais a utilização desses dados aos processos judiciais, quando uma parte relacionada com a comunicação os invoca num pedido de indemnização, ou às utilizações permitidas ao abrigo de outras leis (357).

(197)

As atividades das autoridades de segurança nacionais coreanas são supervisionadas por diferentes organismos (358).

(198)

Em primeiro lugar, a Lei antiterrorismo prevê mecanismos de supervisão específicos para as atividades de luta contra o terrorismo, nomeadamente a recolha de dados sobre os suspeitos de terrorismo. Mais concretamente, a nível do executivo, as atividades de luta contra o terrorismo são supervisionadas pela Comissão de Luta contra o Terrorismo (359), à qual o diretor do Serviço Nacional de Informações tem de apresentar relatórios sobre as investigações e a deteção de suspeitos de terrorismo para recolher informações ou materiais necessários para essas atividades (360). Além disso, o responsável pela proteção dos direitos humanos supervisiona especificamente a conformidade das atividades de luta contra o terrorismo com os direitos fundamentais (361). Este responsável é nomeado pelo presidente da Comissão de Luta contra o Terrorismo entre as pessoas que reúnem os requisitos específicos enumerados no Decreto de Execução da Lei antiterrorismo (362) por um período (renovável) de dois anos, e só pode ser destituído por motivos específicos, limitados e com justa causa (363). No exercício da sua função de supervisão, o responsável pela proteção dos direitos humanos pode emitir recomendações gerais para melhorar a proteção dos direitos humanos (364) e recomendações específicas de medidas corretivas, caso tenha sido constatada uma violação dos direitos humanos (365). As autoridades públicas são obrigadas a informar o responsável pela proteção dos direitos humanos do seguimento dado às suas recomendações (366).

(199)

Em segundo lugar, a Comissão de Proteção de Informações Pessoais supervisiona o cumprimento, por parte das autoridades nacionais de segurança, das regras relativas à proteção de dados, que incluem as disposições aplicáveis da Lei relativa à proteção de informações pessoais (ver considerando (149)) e as limitações e garantias aplicáveis à recolha de dados pessoais ao abrigo de outras leis (Lei relativa à proteção da privacidade das comunicações, Lei antiterrorismo e Lei relativa às atividades de telecomunicações, ver também o considerando (171)) (367). No exercício desta função de supervisão, a Comissão de Proteção de Informações Pessoais pode fazer uso de todos os seus poderes de investigação e reparação, conforme descrito em pormenor no ponto 2.4.2.

(200)

Em terceiro lugar, as atividades das autoridades nacionais de segurança estão sujeitas à supervisão independente da Comissão Nacional dos Direitos Humanos, em conformidade com os procedimentos descritos no considerando (172) (368).

(201)

Em quarto lugar, a função de supervisão da Comissão de Auditoria e Inspeção também se estende às autoridades nacionais de segurança, embora o Serviço Nacional de Informações possa, em circunstâncias excecionais, recusar-se a fornecer determinadas informações ou materiais, quando estes constituam segredos de Estado e o conhecimento público teria um impacto grave na segurança nacional (369).

(202)

Por último, o controlo parlamentar das atividades do Serviço Nacional de Informações é efetuado pela Assembleia Nacional (através de um Comité de Informações especializado) (370). A Lei relativa à proteção da privacidade das comunicações estabelece um papel de supervisão específico para a Assembleia Nacional no que respeita à utilização de medidas de restrição das comunicações para efeitos de segurança nacional (371). Mais especificamente, a Assembleia Nacional pode realizar inspeções no local de equipamentos de escutas telefónicas e pode exigir que tanto o Serviço Nacional de Informações como os operadores de telecomunicações que tenham divulgado o conteúdo de comunicações apresentem relatórios sobre essa divulgação. A Assembleia Nacional pode também exercer as suas funções gerais de supervisão (em conformidade com os procedimentos descritos no considerando (174)). A Lei relativa ao Serviço Nacional de Informações exige que o diretor do Serviço Nacional de Informações responda sem demora quando o Comité de Informações solicita um relatório sobre uma questão específica (372), com regras específicas para determinadas informações particularmente sensíveis. Concretamente, o diretor do Serviço Nacional de Informações só pode recusar-se a responder ou a testemunhar perante o Comité em circunstâncias excecionais, ou seja, se o pedido disser respeito a segredos de Estado relativos a questões militares, diplomáticas ou relacionadas com a Coreia do Norte em que o conhecimento público possa ter um impacto grave no «destino nacional» do país (373). Nesse caso, o Comité de Informações pode solicitar uma explicação ao primeiro-ministro e, caso não seja prestada qualquer explicação no prazo de sete dias, a resposta ou o testemunho não podem ser recusados.

(203)

Também no domínio da segurança nacional, o sistema coreano oferece diferentes vias (judiciais) para obter reparação, incluindo indemnizações por danos. Estes mecanismos oferecem vias de recurso administrativas e judiciais eficazes aos titulares dos dados, permitindo-lhes, em particular, exercer os seus direitos, nomeadamente o direito de acesso aos seus dados pessoais ou de obter a retificação ou o apagamento desses dados.

(204)

Em primeiro lugar, nos termos do artigo 3.o, n.o 5, e do artigo 4.o, n.os 1, 3 e 4, da Lei relativa à proteção de informações pessoais, as pessoas singulares podem exercer os seus direitos de acesso, retificação, apagamento e suspensão junto das autoridades nacionais de segurança. O ponto 6 da Notificação n.o 2021-5 (anexo I da presente decisão) esclarece melhor a forma como estes direitos se aplicam no contexto do tratamento de dados para efeitos de segurança nacional. Mais concretamente, uma autoridade nacional de segurança só pode limitar ou recusar o exercício do direito na medida e durante o tempo necessário e proporcionado para proteger um objetivo importante de interesse público (por exemplo, na medida e durante o tempo em que a concessão do direito possa pôr em risco uma investigação em curso ou ameaçar a segurança nacional), ou quando a concessão do direito possa causar danos à vida ou à integridade física de um terceiro. Por conseguinte, a invocação de tal restrição exige um equilíbrio entre os direitos e interesses da pessoa singular e o interesse público pertinente e não pode, em qualquer caso, afetar a essência do direito (artigo 37.o, n.o 2, da Constituição). Se o pedido for recusado ou restringido, a pessoa deve ser notificada sem demora dos motivos.

(205)

Em segundo lugar, as pessoas singulares têm o direito de obter reparação ao abrigo da Lei relativa à proteção de informações pessoais se os seus dados tiverem sido tratados por uma autoridade nacional de segurança em violação da referida lei ou das limitações e garantias previstas noutras leis que regem a recolha de dados pessoais (nomeadamente, a Lei relativa à proteção da privacidade das comunicações, ver o considerando (171)) (374). Este direito pode ser exercido através de uma reclamação à Comissão de Proteção de Informações Pessoais (incluindo através do centro de atendimento para a privacidade, gerido pela Agência de Internet e Segurança da Coreia) (375). Além disso, a fim de facilitar o acesso a vias de recurso contra as autoridades nacionais de segurança coreanas, as pessoas singulares da UE podem apresentar uma reclamação à Comissão de Proteção de Informações Pessoais através da sua autoridade nacional responsável pela proteção de dados (376). Nesse caso, a Comissão de Proteção de Informações Pessoais notificará a pessoa através da autoridade nacional responsável pela proteção de dados uma vez concluída a investigação (incluindo, se for caso disso, informações sobre as medidas corretivas impostas). Com base na Lei relativa ao contencioso administrativo, as pessoas singulares podem ainda recorrer/contestar as decisões ou a inação da Comissão de Proteção de Informações Pessoais (ver considerando (132)).

(206)

Em terceiro lugar, as pessoas singulares podem apresentar uma reclamação ao responsável pela proteção dos direitos humanos sobre a violação do seu direito à privacidade/proteção de dados no contexto de atividades de luta contra o terrorismo (ou seja, nos termos da Lei antiterrorismo) (377), que pode recomendar medidas corretivas. Dado que não existem requisitos de admissibilidade junto do responsável pela proteção dos direitos humanos, a reclamação será tratada mesmo que a pessoa em causa não consiga demonstrar que foi efetivamente lesada (por exemplo, devido à alegada recolha ilícita dos seus dados por uma autoridade nacional de segurança) (378). A autoridade competente tem de informar o responsável pela proteção dos direitos humanos de quaisquer medidas tomadas para aplicar as suas recomendações.

(207)

Em quarto lugar, as pessoas singulares podem apresentar uma reclamação à Comissão Nacional dos Direitos Humanos relativa à recolha dos seus dados pelas autoridades nacionais de segurança e obter reparação em conformidade com o procedimento descrito no considerando (178) (379).

(208)

Por último, existem diferentes vias de recurso judiciais disponíveis (380), que permitem às pessoas singulares invocar as limitações e garantias descritas no ponto 3.3.1 para obter reparação. Mais especificamente, as pessoas singulares podem contestar a legalidade das ações das autoridades nacionais de segurança com base na Lei relativa ao contencioso administrativo [em conformidade com o procedimento descrito no considerando (181) ou com a Lei relativa ao Tribunal Constitucional (ver considerando (182))]. Além disso, podem obter uma indemnização por danos com base na Lei relativa às indemnizações do Estado (conforme descrito com mais pormenor no considerando (183)).

(209)

A Comissão entende que a República da Coreia, através da Lei relativa à proteção de informações pessoais, das regras especiais aplicáveis a determinados setores (conforme analisado no ponto 2) e das garantias adicionais previstas na Notificação n.o 2021-5 (anexo I), assegura um nível de proteção dos dados pessoais transferidos da União Europeia essencialmente equivalente ao garantido pelo Regulamento (UE) 2016/679.

(210)

Além disso, a Comissão considera que os mecanismos de supervisão e as vias de recurso previstos na legislação coreana permitem, no seu conjunto, identificar e abordar na prática as violações às regras de proteção de dados por parte dos responsáveis pelo tratamento de dados na Coreia, proporcionando vias judiciais aos titulares dos dados para ter acesso aos respetivos dados pessoais e, em última instância, requerer a retificação ou apagamento dos mesmos.

(211)

Por último, com base nas informações disponíveis sobre o quadro jurídico coreano, incluindo as declarações, garantias e compromissos do Governo coreano, que constam do anexo II, a Comissão entende que qualquer ingerência das autoridades públicas coreanas no interesse público, designadamente para efeitos de aplicação do direito penal e de segurança nacional, nos direitos fundamentais das pessoais singulares, cujos dados pessoais sejam transferidos da União Europeia para a República da Coreia, será limitada ao estritamente necessário para alcançar o objetivo legítimo em causa, existindo uma proteção jurídica eficaz contra tal ingerência.

(212)

Assim, atendendo às constatações efetuadas na presente decisão, deve decidir-se que a República da Coreia garante um nível adequado de proteção, na aceção do artigo 45.o do Regulamento (UE) 2016/679, interpretado em função da Carta dos Direitos Fundamentais da União Europeia, aos dados pessoais transferidos da União Europeia para a República da Coreia para responsáveis pelo tratamento de dados pessoais na República da Coreia sujeitos à Lei relativa à proteção de informações pessoais, com exceção das organizações religiosas na medida em que tratem dados pessoais para as suas atividades missionárias, partidos políticos, na medida em que tratem dados pessoais no contexto da nomeação de candidatos, e responsáveis pelo tratamento que estejam sujeitos à supervisão da Comissão dos Serviços Financeiros para o tratamento de informações pessoais de crédito nos termos da Lei relativa às informações de crédito, na medida em que tratem essas informações.

(213)

Os Estados-Membros e os respetivos organismos são obrigados a tomar as medidas necessárias para cumprir os atos das instituições da União, uma vez que se presume que os mesmos são lícitos e logo produzem efeitos jurídicos até serem revogados, anulados no âmbito de um recurso de anulação ou declarados inválidos na sequência de um reenvio prejudicial ou de uma exceção de ilegalidade.

(214)

Consequentemente, uma decisão de adequação da Comissão adotada nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 é vinculativa para todos os organismos dos Estados-Membros aos quais se destina, nomeadamente para as suas autoridades de controlo independentes. Mais especificamente, as transferências de um responsável pelo tratamento de dados ou de um subcontratante na União Europeia para responsáveis pelo tratamento na República da Coreia podem ser efetuadas sem que seja necessária mais nenhuma autorização.

(215)

Importa recordar que, nos termos do artigo 58.o, n.o 5, do Regulamento (UE) 2016/679, e conforme explicado pelo Tribunal de Justiça no acórdão Schrems (381), se uma autoridade nacional responsável pela proteção de dados colocar em causa, nomeadamente na sequência de uma reclamação, a conformidade de uma decisão de adequação da Comissão com a proteção dos direitos fundamentais à privacidade e à proteção dos dados da pessoa singular, a legislação nacional deve proporcionar-lhe uma via de recurso que lhe permita apresentar tais objeções junto de um tribunal nacional, que poderá ter de proceder a um reenvio prejudicial para o Tribunal de Justiça (382).

(216)

Em conformidade com a jurisprudência do Tribunal de Justiça (383), e tal como reconhecido no artigo 45.o, n.o 4, do Regulamento (UE) 2016/679, a Comissão deve controlar, de forma continuada, os desenvolvimentos relevantes no país terceiro após a adoção de uma decisão de adequação, por forma a avaliar se o país terceiro em causa continua a assegurar um nível de proteção essencialmente equivalente. De qualquer modo, tal verificação é necessária sempre que a Comissão obtenha informações que suscitem dúvidas justificadas a esse respeito.

(217)

Por conseguinte, a Comissão deve controlar, de forma continuada, a situação na República da Coreia relativamente ao quadro jurídico e à prática real em matéria de tratamento de dados pessoais, conforme a avaliação da presente decisão, incluindo o cumprimento pelas autoridades coreanas das representações, garantias e compromissos que constam do anexo II. Para facilitar este processo, as autoridades coreanas são convidadas a informar a Comissão sobre desenvolvimentos materiais que afetem a presente decisão, no tocante ao tratamento de dados pessoais pelos operadores comerciais e pelas autoridades públicas, bem como às limitações e garantias aplicáveis ao acesso aos dados pessoais pelas autoridades públicas.

(218)

Além disso, a fim de permitir à Comissão o exercício eficaz da sua função de controlo, os Estados-Membros devem informar a Comissão sobre qualquer medida pertinente adotada pelas autoridades nacionais responsáveis pela proteção dos dados, em particular no que se refere a consultas ou reclamações de titulares de dados da UE relativas à transferência de dados pessoais da União Europeia para responsáveis pelo tratamento de dados na República da Coreia. A Comissão deve igualmente ser informada sobre quaisquer indícios de que as ações das autoridades públicas coreanas responsáveis pela prevenção, investigação, deteção ou repressão de infrações penais ou pela segurança nacional, incluindo os organismos de supervisão, não asseguram o nível de proteção exigido.

(219)

Por força do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 (384), e atendendo a que o nível de proteção conferido pelo quadro jurídico coreano pode vir a alterar-se, a Comissão deve, na sequência da adoção da presente decisão, avaliar periodicamente se as verificações de adequação do nível de proteção assegurado pela República da Coreia continuam a justificar-se de facto e de direito.

(220)

Para tal, a presente decisão deverá ser sujeita a uma primeira avaliação no prazo de três anos após a sua entrada em vigor. Na sequência dessa primeira avaliação e em função dos seus resultados, a Comissão decidirá, em estreita consulta com o comité criado nos termos do artigo 93.o, n.o 1, do Regulamento (UE) 2016/679, se se deve ou não manter o ciclo de três anos. Em qualquer caso, as avaliações subsequentes devem ser realizadas, no mínimo, de quatro em quatro anos (385). A avaliação deverá abranger todos os aspetos do funcionamento da presente decisão, nomeadamente a aplicação das garantias adicionais constantes do anexo I da presente decisão, com especial atenção às proteções conferidas no caso de transferências subsequentes; evolução da jurisprudência pertinente; as regras relativas ao tratamento de informações pseudonimizadas para efeitos de estatísticas, investigação científica e arquivo no interesse público, bem como à aplicação das exceções previstas no artigo 28.o, n.o 7, da Lei relativa à proteção de informações pessoais; a eficácia do exercício dos direitos individuais, nomeadamente antes da recente reforma da Comissão de Proteção de Informações Pessoais, e a aplicação de exceções a esses direitos; a aplicação das isenções parciais ao abrigo da Lei relativa à proteção de informações pessoais, assim como as limitações e garantias respeitantes ao acesso governamental (conforme estabelecidas no anexo II da presente decisão), incluindo a cooperação da Comissão de Proteção de Informações Pessoais com as autoridades de proteção de dados da UE no que respeita a reclamações de pessoas singulares. Deve igualmente abranger a eficácia da supervisão e da execução, no que respeita à Lei relativa à proteção de informações pessoais e no domínio da aplicação do direito penal e da segurança nacional (nomeadamente da Comissão de Proteção de Informações Pessoais e da Comissão Nacional dos Direitos Humanos).

(221)

A fim de realizar a avaliação, a Comissão deverá reunir-se com a Comissão de Proteção de Informações Pessoais, acompanhada, se for caso disso, por outras autoridades coreanas responsáveis pelo acesso governamental, incluindo os organismos de supervisão pertinentes. Essa reunião será aberta à participação de representantes dos membros do Comité Europeu para a Proteção de Dados. No quadro da avaliação, a Comissão deverá solicitar à Comissão de Proteção de Informações Pessoais que preste informações exaustivas sobre todos os aspetos pertinentes para a verificação de adequação, incluindo quanto às limitações e garantias respeitantes ao acesso governamental (386). A Comissão deve também procurar obter explicações sobre quaisquer informações que tenha recebido com relevância para a presente decisão, incluindo relatórios públicos das autoridades coreanas ou de outras partes interessadas na Coreia, do Comité Europeu para a Proteção de Dados, de autoridades responsáveis pela proteção de dados individuais, de grupos da sociedade civil, dos meios de comunicação social ou qualquer outra fonte de informação disponível.

(222)

Com base na avaliação, a Comissão deverá preparar um relatório público a apresentar ao Parlamento Europeu e ao Conselho.

(223)

Sempre que as informações disponíveis, nomeadamente as resultantes do controlo da presente decisão ou fornecidas pelas autoridades coreanas ou dos Estados-Membros, revelarem que o nível de proteção conferido pela República da Coreia pode já não ser adequado, a Comissão deve informar sem demora as autoridades coreanas competentes desse facto e solicitar que sejam adotadas medidas adequadas dentro de um prazo razoável a especificar.

(224)

Se, uma vez decorrido o prazo especificado, as autoridades coreanas competentes não tomarem essas medidas ou não demonstrarem, de forma satisfatória, que a presente decisão continua a basear-se num nível de proteção adequado, a Comissão dará início ao procedimento referido no artigo 93.o, n.o 2, do Regulamento (UE) 2016/679 com vista à suspensão total ou parcial ou à revogação da presente decisão.

(225)

Em alternativa, a Comissão dará início a esse procedimento com vista a alterar a decisão, nomeadamente sujeitando as transferências de dados a condições adicionais ou limitando o âmbito de aplicação da verificação de adequação às transferências de dados em relação às quais continua a ser assegurado um nível adequado de proteção.

(226)

Mais concretamente, a Comissão deverá iniciar o procedimento de suspensão ou de revogação quando existam indícios de que os operadores comerciais, que recebem dados pessoais ao abrigo da presente decisão, não cumprem as garantias adicionais constantes do anexo I e/ou que estas garantias não são eficazmente aplicadas, ou ainda se as autoridades coreanas não cumprirem as representações, garantias e compromissos constantes do anexo II da presente decisão.

(227)

A Comissão deverá igualmente ponderar a possibilidade de iniciar o procedimento conducente à alteração, suspensão ou revogação da presente decisão, se apurar, no contexto da avaliação ou por outra forma, que as autoridades coreanas competentes não prestam as informações ou esclarecimentos necessários à avaliação do nível de proteção conferido aos dados pessoais transferidos da União Europeia para a República da Coreia, ou no que respeita ao cumprimento da presente decisão. Nesta matéria, a Comissão deverá ter em conta em que medida a informação pertinente pode ser obtida junto de outras fontes.

(228)

Por imperativos de urgência devidamente justificados, a Comissão recorrerá à possibilidade de adotar, em conformidade com o procedimento referido no artigo 93.o, n.o 3, do Regulamento (UE) 2016/679, atos de execução imediatamente aplicáveis que suspendam, revoguem ou alterem a decisão.

(229)

O Comité Europeu para a Proteção de Dados publicou o seu parecer (387), que foi tido em conta na elaboração da presente decisão.

(230)

As medidas previstas na presente decisão estão em conformidade com o parecer do Comité instituído ao abrigo do artigo 93.o, n.o 1, do Regulamento (UE) 2016/679,