Bruxelas, 3.4.2023

COM(2023) 275 final

RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

sobre a primeira avaliação da aplicação da decisão de adequação relativa ao Japão

{SWD(2023) 75 final}


RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

sobre a primeira avaliação da aplicação da decisão de adequação relativa ao Japão

1.PRIMEIRA AVALIAÇÃO — CONTEXTO, PREPARAÇÃO E PROCESSO

Em 23 de janeiro de 2019, a Comissão Europeia adotou uma decisão nos termos do artigo 45.º do Regulamento (UE) 2016/679 (RGPD) 1 , no âmbito da qual concluiu que o Japão assegura um nível adequado de proteção dos dados pessoais transferidos da União Europeia para empresas que gerem informações pessoais 2 no Japão 3 . Consequentemente, as transferências de dados da UE para operadores privados no Japão podem ser efetuadas sem exigências adicionais 4 .

A decisão de adequação da Comissão abrange a Lei japonesa relativa à proteção de informações pessoais (APPI), completada pelas normas complementares que foram adotadas para ultrapassar algumas divergências relevantes entre a APPI e o RGPD 5 . Estas garantias adicionais reforçam, por exemplo, a proteção de dados sensíveis (alargando as categorias de informações pessoais consideradas dados sensíveis), o exercício dos direitos individuais (clarificando que os direitos individuais também podem ser exercidos em relação aos dados pessoais conservados por um período inferior a seis meses, o que, na altura, não estava previsto na APPI) 6 e as condições em que os dados da UE podem ser transferidos subsequentemente do Japão para outro país terceiro 7 . As normas complementares são vinculativas para os operadores japoneses e passíveis de execução pela autoridade independente responsável pela proteção de dados – a Comissão de Proteção de Informações Pessoais (PPC) – ou, diretamente pelos cidadãos da UE, nos tribunais japoneses 8 .

Além disso, o Governo japonês apresentou à Comissão declarações, garantias e compromissos oficiais no que diz respeito às limitações e garantias relativas ao acesso e à utilização de dados pessoais pelas autoridades públicas japonesas para efeitos de aplicação do direito penal e de segurança nacional, esclarecendo que esse tratamento se limita ao que é necessário e proporcionado e está sujeito a uma supervisão independente e a mecanismos de recurso eficazes 9 . Os mecanismos de recurso neste domínio incluem um procedimento específico de resolução de litígios, administrado e supervisionado pela PPC, que foi criado para as pessoas singulares da UE cujos dados pessoais sejam transferidos com base na decisão de adequação 10 .

Aquando da adoção da decisão de adequação da Comissão, o Japão adotou uma decisão equivalente para as transferências de dados para a UE, mediante a qual criou o maior espaço de livre circulação de dados a nível mundial com base num elevado nível de proteção de dados 11 . Estas decisões de adequação mútua completam e ampliam os benefícios do Acordo de Parceria Económica (APE) UE-Japão, que entrou em vigor em fevereiro de 2019 12 , e do Acordo de Parceria Estratégica 13 negociado juntamente com o APE. As empresas de ambas as partes beneficiam da sinergia entre as decisões de adequação mútua e o APE, uma vez que a possibilidade de os dados circularem livremente entre a UE e o Japão facilita ainda mais as trocas comerciais e cria oportunidades de negócio consideráveis através de um acesso privilegiado aos respetivos mercados. Além disso, cria um precedente importante ao demonstrar claramente que, na era digital, a promoção de elevadas normas de proteção da privacidade e a facilitação do comércio internacional podem e devem ser indissociáveis.

Desde a adoção das decisões de adequação, a UE e o Japão, enquanto parceiros que partilham a mesma visão, intensificaram ainda mais a sua cooperação em questões digitais, em geral, e no domínio dos fluxos de dados, em especial. A nível bilateral, tal reflete-se, nomeadamente, no estabelecimento da Parceria Digital, em maio de 2022 14 , e no início de negociações, em outubro de 2022, para incluir disciplinas sobre os fluxos transfronteiriços de dados no APE 15 , o que reforçará ainda mais a sinergia com o acordo de adequação recíproca. A nível multilateral, a UE e o Japão uniram esforços para promover, reforçar e aplicar de forma concreta o conceito de «livre circulação de dados com confiança» — lançado pelo falecido primeiro-ministro Shinzo Abe — nomeadamente através de uma estreita colaboração no âmbito do G7, da Organização Mundial do Comércio (no contexto da iniciativa de declaração conjunta sobre o comércio eletrónico) e da Organização de Cooperação e de Desenvolvimento Económicos (OCDE). Ao nível da OCDE, a intensa cooperação nesta matéria entre a UE e o Japão foi, sobretudo, fundamental para a adoção, pela primeira vez a nível internacional, de princípios comuns sobre o acesso governamental aos dados pessoais detidos pelo setor privado 16 . Estes diferentes fluxos de trabalho basearam-se, em maior ou menor grau, nos valores e requisitos comuns subjacentes ao acordo de adequação recíproca entre a UE e o Japão.

A fim de verificar regularmente se as conclusões constantes da decisão de adequação continuam a justificar-se de facto e de direito, a Comissão deve proceder a uma avaliação periódica e apresentar um relatório sobre os resultados ao Parlamento Europeu e ao Conselho 17 . O presente relatório, que abrange todos os aspetos da aplicação da decisão, conclui a primeira avaliação periódica. No que respeita ao Japão, participaram na avaliação representantes da PPC, do Ministério dos Assuntos Internos e das Comunicações, do Ministério da Justiça, do Ministério da Defesa e da Agência Nacional de Polícia. A delegação da UE incluiu três representantes designados pelo Comité Europeu para a Proteção de Dados (CEPD), juntamente com membros da Comissão Europeia.

Em 26 de outubro de 2021, teve lugar uma reunião de avaliação entre as duas delegações, que foi precedida e seguida por inúmeros contactos. Em especial, a fim de preparar a avaliação, a Comissão recolheu informações junto das autoridades japonesas sobre a aplicação da decisão, nomeadamente no que se refere à aplicação das normas complementares. A Comissão procurou igualmente obter informações junto de fontes públicas e de peritos locais sobre a aplicação da decisão e alterações importantes da legislação e das práticas japonesas, tanto no que diz respeito às regras em matéria de proteção de dados aplicáveis aos operadores privados como no referente ao acesso governamental. Na sequência da reunião de avaliação, a Comissão e a PPC estabeleceram vários contactos destinados a dar seguimento aos pontos debatidos nessa reunião e, em especial, a dar resposta as questões suscitadas pela introdução na APPI de regras em matéria de informações pessoais pseudonimizadas.

2.PRINCIPAIS CONSTATAÇÕES

As conclusões pormenorizadas sobre a aplicação de todos os aspetos da decisão de adequação são apresentadas no documento de trabalho dos serviços da Comissão [SWD (2023) 75] que acompanha o presente relatório.

Em especial, a primeira avaliação demonstrou uma maior convergência dos quadros de proteção de dados da UE e do Japão desde a adoção das decisões de adequação recíproca. A APPI foi alterada duas vezes: em 5 de junho de 2020, através da Lei que altera a Lei relativa à proteção de informações pessoais de 2020 (alteração da APPI de 2020), que entrou em vigor em 1 de abril de 2022 18 ; e em 12 de maio de 2021, através da Lei relativa ao convénio de atos conexos para a criação de uma sociedade digital (alteração da APPI de 2021) 19 . As normas complementares foram adaptadas para refletir estas alterações, em consulta com a Comissão.

Estas alterações aproximaram ainda mais os sistemas da UE e do Japão, nomeadamente através do reforço das obrigações em matéria de segurança dos dados (através da introdução de um dever de notificação das violações de dados), dos direitos dos titulares dos dados (em especial o direito de acesso e o direito de oposição) e das proteções concedidas em caso de transferência de dados (sob a forma de informações adicionais e requisitos de controlo, incluindo informações sobre eventuais riscos relacionados com o acesso governamental no país de destino). Neste contexto, é particularmente digno de nota que algumas das garantias adicionais previstas nas normas complementares para os dados pessoais provenientes da UE, ou seja, no que diz respeito à conservação de dados e às condições aplicáveis ao consentimento esclarecido para as transferências transfronteiriças, tenham sido incorporadas na APPI, tornando-as, assim, geralmente aplicáveis a todos os dados pessoais, independentemente da sua origem ou ponto de recolha 20 .

Outro desenvolvimento fundamental que a Comissão saúda é a transformação da APPI num quadro abrangente de proteção de dados aplicável tanto ao setor privado como ao setor público, sujeito à supervisão exclusiva da PPC 21 . Este reforço do quadro japonês em matéria de proteção de dados e dos poderes da PPC poderá abrir o caminho para um alargamento da decisão de adequação para além das trocas comerciais, a fim de abranger as transferências atualmente excluídas do seu âmbito de aplicação, como acontece no domínio da investigação e da cooperação em matéria de regulamentação.

A primeira avaliação centrou-se igualmente em novas regras relativas à criação e utilização de «informações pessoais pseudonimizadas», que foram introduzidas pela alteração da APPI de 2020 22 . O objetivo destas novas regras é, acima de tudo, facilitar a utilização (interna) de informações pessoais por empresas que gerem essas informações essencialmente para fins estatísticos (por exemplo, para identificar tendências e padrões com vista a beneficiar outras atividades, incluindo a investigação). A reunião de avaliação e os contactos posteriores entre a Comissão e a PPC permitiram clarificar a interpretação e a aplicação destas novas disposições. Na sequência destas discussões, a fim de refletir de forma mais clara a aplicação prevista destas novas disposições e, assim, garantir a segurança jurídica e a transparência, as normas complementares foram alteradas em 15 de março de 2023 de duas formas 23 . Em primeiro lugar, as normas complementares estipulam que essas informações só podem ser utilizadas para fins estatísticos — definidos como o tratamento para inquéritos estatísticos ou a produção de resultados estatísticos — para produzir dados agregados, e que o resultado do tratamento não será utilizado em apoio de medidas ou decisões relativas a uma determinada pessoa. Em segundo lugar, deixam claro que as informações pessoais pseudonimizadas inicialmente recebidas da UE serão sempre consideradas «informações pessoais» ao abrigo da APPI, a fim de assegurar que a continuidade da proteção dos dados considerados dados pessoais ao abrigo do RGPD não seja posta em causa aquando da sua transferência com base na decisão de adequação 24 .

No que diz respeito à aplicação prática das salvaguardas em matéria de proteção de dados, a Comissão congratula-se com as diferentes medidas tomadas pela PPC, entre as quais a adoção de orientações atualizadas, nomeadamente sobre as transferências internacionais de dados. A Comissão observa que estas orientações poderiam ser clarificadas a fim de abordar também a questão dos requisitos específicos aplicáveis, ao abrigo das normas complementares, às transferências subsequentes de dados pessoais recebidos da União a partir do Japão, incluindo — tal como decorre da norma complementar 4 e explicado na decisão de adequação 25 — a exclusão de transferências subsequentes com base no sistema de certificação «Regras de Privacidade Transfronteiriças» (CBPR) da APEC. Além disso, embora a PPC tenha explicado que os PHIBO enquadram as suas transferências subsequentes de dados inicialmente recebidos da UE «celebrando um contrato que vincula o destinatário a medidas que asseguram a continuidade da proteção», a PPC não fornece atualmente orientações sobre o conteúdo recomendado (em termos de garantias) das «medidas equivalentes» utilizadas para as transferências internacionais de dados, seja sob a forma de orientações ou de modelos de contratos de proteção de dados. Estas clarificações adicionais, que poderiam basear-se, nomeadamente, na troca de informações e de boas práticas entre a PPC e a Comissão, poderiam revelar-se especialmente úteis, uma vez que dizem respeito a aspetos particularmente importantes para as empresas que operam em ambas as jurisdições.

No que diz respeito à supervisão e à execução, a Comissão observa que a PPC recorreu mais frequentemente aos seus poderes não coercivos de orientação e aconselhamento (artigo 147.º da APPI) do que aos seus poderes coercivos (por exemplo, para impor ordens vinculativas, artigo 148.º da APPI) no período subsequente à adoção da decisão de adequação. A PPC informou igualmente que, até à data, não foram recebidas queixas relativas ao cumprimento das normas complementares nem foram realizados inquéritos sobre essa questão por sua própria iniciativa. No entanto, durante a reunião de avaliação, a PPC anunciou que está a ponderar a realização, por sua própria iniciativa, de controlos aleatórios para garantir o cumprimento das normas complementares. A Comissão congratula-se com o anunciado, uma vez que considera que tais controlos aleatórios seriam muito importantes para garantir que (eventuais) violações das normas complementares sejam evitadas, detetadas e corrigidas, assegurando assim o seu cumprimento efetivo. Uma vez que as alterações da APPI de 2020 e 2021 reforçaram os poderes de supervisão da PPC, estes controlos aleatórios poderiam fazer parte de um esforço global para aumentar a utilização desses poderes.

Por último, a Comissão congratula-se vivamente com a criação de pontos de contacto específicos para os cidadãos da UE que tenham dúvidas ou preocupações sobre o tratamento dos seus dados pessoais no Japão, seja por operadores comerciais (Linha de Dúvidas) ou por autoridades públicas (Linha de Mediação de Queixas). No entanto, observa que a página Web da Linha de Dúvidas refere que esta está disponível «apenas em japonês», o que é suscetível de dissuadir os cidadãos da UE de utilizarem este serviço, apesar de a PPC ter explicado que, em princípio, está disponível assistência em língua inglesa. A Comissão crê que a PPC estudará formas de facilitar o acesso dos cidadãos europeus a esses pontos de contacto, nomeadamente clarificando esse ponto.

3.CONCLUSÃO

Com base nas conclusões gerais formuladas no âmbito desta primeira avaliação, a Comissão conclui que o Japão continua a assegurar um nível adequado de proteção dos dados pessoais transferidos da União Europeia para operadores comerciais responsáveis pela gestão de informações pessoais no Japão sujeitos à APPI, conforme completada pelas normas complementares, juntamente com as declarações, garantias e compromissos oficiais constantes do anexo II da decisão. Neste contexto, os serviços da Comissão reconhecem e valorizam muito a excelente cooperação, no decurso desta avaliação, com as autoridades japonesas e, em especial, com a PPC.

À luz deste resultado da avaliação e em conformidade com o considerando 181 da decisão de adequação, a Comissão considera que não é necessário manter o ciclo de dois anos para futuras avaliações e, por conseguinte, considera oportuno passar para um ciclo de quatro anos nos termos do artigo 45.º, n.º 3, do RGPD. Nessa conformidade, consultará sobre essa matéria o comité instituído nos termos do artigo 93.º, n.º 1, do RGPD 26 .

Ao mesmo tempo, o reforço de certos aspetos do quadro japonês poderá contribuir para aumentar ainda mais as salvaguardas estabelecidas na APPI e nas normas complementares. Para o efeito, a Comissão formula as seguintes recomendações:

1.A Comissão saúda e incentiva os planos da PPC para realizar controlos aleatórios destinados a garantir o cumprimento das normas complementares, uma vez que considera que tais controlos aleatórios seriam muito importantes para garantir que (eventuais) violações das normas complementares sejam detetadas e corrigidas, assegurando assim o seu cumprimento efetivo;

2.A Comissão congratula-se com o facto de a PPC ter publicado orientações atualizadas sobre transferências internacionais, uma vez que estas aumentarão a acessibilidade das regras da APPI nesta matéria e facilitarão a sua aplicação na prática. Estas orientações (ou outro material de orientação) devem também, se for caso disso, explicar os requisitos específicos decorrentes das normas complementares, nomeadamente no que diz respeito à exclusão do sistema de certificação CBPR da APEC para transferências subsequentes de dados pessoais originalmente recebidos da UE;

3.Durante a avaliação, foram discutidas formas de melhorar o acesso dos estrangeiros à Linha de Dúvidas/Mediação da PPC para perguntas e queixas dos cidadãos. Neste contexto, seria importante clarificar no sítio Web específico que, em princípio, está disponível assistência em língua inglesa.

A avaliação permitiu ainda identificar domínios para uma eventual cooperação futura. Tal como indicado, a PPC não fornece atualmente orientações sobre o conteúdo recomendado (em termos de garantias) das «medidas equivalentes» utilizadas para as transferências internacionais de dados, seja sob a forma de orientações ou de modelos de contratos de proteção de dados. Dada a importância crescente das cláusulas-modelo e o seu potencial enquanto instrumento global para as transferências de dados, tal como reconhecido, por exemplo, pelo G7 27 e pela OCDE 28 , a Comissão manifestou o seu interesse numa futura cooperação com o Japão no desenvolvimento de tais cláusulas. O alargamento do âmbito da decisão de adequação para além das transferências entre operadores comerciais é outro domínio que a Comissão tenciona explorar com a PPC.

A Comissão continuará a acompanhar de perto o quadro de proteção de dados japonês e a sua aplicação na prática. A este respeito, aguarda com expectativa futuras discussões com as autoridades japonesas sobre desenvolvimentos relevantes para a decisão 29 , bem como o reforço da cooperação a nível internacional, numa altura em que existe uma procura crescente de normas a nível mundial em matéria de privacidade e fluxos de dados.

(1)      JO L 119 de 4.5.2016, p. 1 (RGPD).
(2)      Na versão da Lei relativa à proteção de informações pessoais (APPI) aplicável à data da adoção da decisão de adequação, este conceito era designado por «operador comercial responsável pela gestão de informações pessoais» (PIHBO). Nos termos do artigo 16.º, n.º 2, da APPI, na sua versão alterada, por operador comercial responsável pela gestão de informações pessoais entende-se «uma pessoa que recorre a uma base de dados de informações pessoais ou equivalente para utilização na atividade comercial», excluindo o Governo e as agências administrativas tanto a nível central como local. O conceito de «atividade comercial» na aceção da APPI é muito lato, uma vez que inclui atividades com ou sem fins lucrativos exercidas por todos os tipos de organizações e pessoas singulares. Por outro lado, a «utilização na atividade comercial» também abrange informações pessoais que não são utilizadas nas relações comerciais (externas) do operador, mas sim internamente, como, por exemplo, no tratamento dos dados dos trabalhadores. Ver considerandos 32 a 34 da decisão.
(3)      Decisão de Execução (UE) 2019/419 da Comissão, de 23 de janeiro de 2019, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho sobre a adequação do nível de proteção dos dados pessoais assegurado pelo Japão no âmbito da Lei relativa à proteção de informações pessoais (JO L 76 de 19.3.2019, p. 1).
(4)      Ver artigo 45.º do RGPD e considerando 5 da decisão.
(5)      Ver anexo I da decisão.
(6)

     Entretanto, a alteração da APPI de 2020 reformulou a definição de «dados pessoais na posse do operador comercial», de modo a deixar de excluir os dados pessoais «destinados a ser apagados» num prazo de seis meses (artigo 16.º, n.º 4, da APPI, na sua versão alterada). Na versão da APPI aplicável à data da adoção da decisão de adequação, este conceito era designado por «dados pessoais conservados».

(7)      Considerandos 26, 31, 43, 49 a 51, 63, 68, 71, 76 a 79 e 101 da decisão.
(8)      Considerando 15 da decisão.
(9)      Considerandos 113 a 170 e anexo II da decisão.
(10)      Considerandos 141 a 144, 149 e 169 da decisão.
(11) Ver o comunicado de imprensa emitido após a conclusão destas conversações, disponível em: https://ec.europa.eu/commission/presscorner/detail/pt/IP_18_4501 .
(12)      Decisão (UE) 2018/1907 do Conselho, de 20 de dezembro de 2018, relativa à celebração do Acordo entre a União Europeia e o Japão para uma Parceria Económica (JO L 330 de 27.12.2018, p. 1). O APE reduz os obstáculos ao comércio que as empresas europeias enfrentam quando exportam para o Japão e ajuda-as a melhorar a sua posição concorrencial neste mercado.
(13)      Acordo de Parceria Estratégica entre a União Europeia e os Estados-Membros, por um lado, e o Japão, por outro (JO L 216 de 24.8.2018, p. 4) (APE). O Acordo de Parceria Estratégica proporciona o quadro jurídico do desenvolvimento futuro da parceria sólida e de longa data entre a União, os seus Estados-Membros e o Japão numa vasta gama de domínios, que incluem o diálogo político, a energia, os transportes, os direitos humanos, a educação, a ciência e tecnologia, a justiça, o asilo e a migração.
(14)      Disponível em: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . A Parceria Digital cria um fórum que dará orientação política e impulso ao trabalho conjunto em matéria de tecnologias digitais em domínios como as tecnologias 5G «para além das 5G»/6G seguras, as aplicações de inteligência artificial seguras e éticas ou a resiliência das cadeias de abastecimento mundiais na indústria dos semicondutores.
(15)      Ver, por exemplo, https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .
(16)      Declaração da OCDE, de 14 de dezembro de 2022, sobre o acesso governamental aos dados pessoais detidos por entidades do setor privado.
(17)      Considerandos 180 a 183 e artigo 3.º, n.º 4, da decisão.
(18)      Está disponível uma tradução para inglês em: https://www.ppc.go.jp/files/pdf/APPI_english.pdf .
(19)      Está disponível uma tradução para inglês em: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .
(20)      Artigo 16.º, n.º 4, e artigo 28.º, n.º 2, da APPI na sua versão alterada.
(21)      Em especial, a alteração da APPI de 2021 consolida a APPI, a Lei relativa à proteção das informações pessoais na posse de órgãos administrativos e a Lei relativa à proteção das informações pessoais na posse de serviços administrativos legalmente constituídos, etc. numa única lei de proteção de dados aplicável tanto às entidades privadas como às autoridades públicas, alargando simultaneamente a competência da PPC em conformidade. Esta alteração entrou em vigor em 1 de abril de 2023, embora algumas das suas disposições tenham entrado em vigor em 1 de setembro de 2021 e 1 de abril de 2022.
(22)      As informações pessoais pseudonimizadas são definidas na APPI, na sua versão alterada, como informações relativas a uma pessoa singular que podem ser «preparadas de uma forma que não permita identificar uma pessoa específica, a menos que sejam cotejadas com outras informações» através de medidas estabelecidas na lei e especificadas nas normas de execução. Ver artigo 16.º, n.º 5, e artigo 41.º da APPI na sua versão alterada.
(23)

     As normas complementares revistas foram adotadas pela PPC em 15 de março de 2023 e entraram em vigor em 1 de abril de 2023.

(24)      Tal exclui a aplicação do artigo 42.º da APPI, na sua versão alterada, que apenas preserva um número limitado de garantias para informações pessoais pseudonimizadas que não sejam consideradas informações pessoais.
(25)

Ver considerando 79 da decisão.

(26)      Ver considerando 181 da decisão.
(27)      Ver a Declaração Ministerial da reunião dos ministros da Digitalização do G7, de 11 de maio de 2022, anexo 1 (Plano de Ação do G7 para a promoção da livre circulação de dados com confiança), que, sob o título «Tirar partido de pontos comuns para promover a interoperabilidade futura» se refere às «práticas cada vez mais comuns, como as cláusulas-tipo de proteção de dados».
(28)      Ver «OECD Going Digital Toolkit», Interoperability of privacy and data protection frameworks (disponível em: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), p. 18.
(29)      Ver considerando 177 da decisão, segundo o qual se espera que as autoridades japonesas informem a Comissão sobre desenvolvimentos materiais que afetem essa decisão, quer no tocante ao tratamento de dados pessoais pelos operadores comerciais quer às limitações e garantias aplicáveis ao acesso aos dados pessoais pelas autoridades públicas.