COMISIA EUROPEANĂ

Bruxelles, 3.4.2023

COM(2023) 275 final

RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU

referitor la prima revizuire a funcționării deciziei privind caracterul adecvat al nivelului de protecție asigurat de Japonia

{SWD(2023) 75 final}

RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU

referitor la prima revizuire a funcționării deciziei privind caracterul adecvat al nivelului de protecție asigurat de Japonia

1.PRIMA REVIZUIRE – CONTEXT, PREGĂTIRE ȘI PROCES

La 23 ianuarie 2019, Comisia Europeană a adoptat o decizie în temeiul articolului 45 din Regulamentul (UE) 2016/679 (RGPD) 1 în care a constatat că Japonia asigură un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniunea Europeană către întreprinderile care gestionează informații cu caracter personal 2 în Japonia 3 . Prin urmare, transferurile de date din UE către operatori privați din Japonia pot avea loc fără impunerea unor cerințe suplimentare 4 .

Decizia Comisiei privind caracterul adecvat al nivelului de protecție se referă la Legea japoneză privind protecția informațiilor cu caracter personal (APPI), astfel cum a fost completată de norme suplimentare care au fost instituite pentru a elimina anumite diferențe relevante dintre APPI și RGPD 5 . Aceste garanții suplimentare consolidează, de exemplu, protecția datelor sensibile (prin extinderea categoriilor de informații cu caracter personal considerate sensibile), exercitarea drepturilor individuale (prin clarificarea faptului că drepturile individuale pot fi exercitate și pentru datele cu caracter personal deținute pentru o perioadă mai scurtă de șase luni, fapt care la momentul respectiv nu era asigurat de APPI) 6 și condițiile în care datele UE pot fi transferate în continuare („ulterior”) din Japonia către o altă țară terță 7 . Normele suplimentare sunt obligatorii pentru operatorii japonezi, iar respectarea lor poate fi asigurată de către autoritatea independentă pentru protecția datelor – Comisia pentru protecția informațiilor cu caracter personal (PPC) – sau direct de către persoanele fizice din UE, prin sesizarea instanțelor japoneze 8 .

În plus, guvernul japonez a furnizat Comisiei declarații, asigurări și angajamente oficiale cu privire la limitările și garanțiile aferente accesului la datele cu caracter personal și utilizării acestora de către administrația publică japoneză în scopuri de asigurare a respectării dreptului penal și de securitate națională, clarificând faptul că orice astfel de prelucrare este limitată la ceea ce este necesar și proporțional și face obiectul unei supravegheri independente și al unor mecanisme de reparație eficace 9 . Mecanismele de reparație în acest domeniu includ o procedură specifică de soluționare a litigiilor, administrată și supravegheată de PPC, care a fost creată pentru persoanele fizice din UE ale căror date cu caracter personal sunt transferate pe baza deciziei privind caracterul adecvat al nivelului de protecție 10 .

La momentul adoptării deciziei Comisiei privind caracterul adecvat al nivelului de protecție, Japonia a adoptat o decizie echivalentă pentru transferurile de date către UE; astfel a fost creat cel mai mare spațiu de fluxuri libere de date din lume bazat pe un nivel ridicat de protecție a datelor 11 . Aceste decizii reciproce privind caracterul adecvat al nivelului de protecție completează și amplifică beneficiile Acordului de parteneriat economic UE-Japonia (APE), care a intrat în vigoare în februarie 2019 12 , și ale Acordului de parteneriat strategic 13 care a fost negociat împreună cu APE. Întreprinderile ambelor părți beneficiază de sinergia dintre deciziile reciproce privind caracterul adecvat al nivelului de protecție și de APE, deoarece posibilitatea ca datele să circule liber între UE și Japonia facilitează și mai mult schimburile comerciale și creează oportunități de afaceri considerabile printr-un acces privilegiat la piața celeilalte părți. De asemenea, s-a creat un precedent important care arată în mod clar că, în era digitală, promovarea unor standarde ridicate de confidențialitate și facilitarea comerțului internațional pot și trebuie să meargă mână în mână.

De la adoptarea deciziilor privind caracterul adecvat al nivelului de protecție, UE și Japonia, în calitate de parteneri care împărtășesc aceeași viziune, și-au intensificat și mai mult cooperarea în ceea ce privește aspectele digitale, în general, și fluxurile de date, în special. La nivel bilateral, acest lucru se reflectă în special în încheierea Parteneriatului digital, în luna mai 2022 14 , și în lansarea, în luna octombrie 2022, a negocierilor pentru includerea în APE a unor reguli privind fluxurile transfrontaliere de date 15 , ceea ce va îmbunătăți și mai mult sinergia cu acordul reciproc privind caracterul adecvat al nivelului de protecție. La nivel multilateral, UE și Japonia și-au unit eforturile pentru a promova, a consolida și a pune în practică conceptul de „liberă circulație a datelor cu încredere” – lansat de fostul prim­ministru Shinzo Abe – inclusiv printr-o colaborare strânsă în cadrul G7, al Organizației Mondiale a Comerțului (în contextul inițiativei Declarației comune privind comerțul electronic) și al Organizației pentru Cooperare și Dezvoltare Economică (OCDE). În cadrul OCDE, cooperarea intensă dintre UE și Japonia cu privire la aceste aspecte a fost, în special, esențială pentru adoptarea, pentru prima dată la nivel internațional, a unor principii comune privind accesul administrației publice la datele cu caracter personal deținute de sectorul privat 16 . Aceste direcții de lucru diferite s-au bazat, într-o măsură mai mare sau mai mică, pe valorile și cerințele comune care stau la baza acordului reciproc UE-Japonia privind caracterul adecvat al nivelului de protecție.

Pentru a verifica periodic dacă constatările din decizia privind caracterul adecvat al nivelului de protecție continuă să fie justificate din punct de vedere factual și juridic, Comisia are obligația de a efectua o revizuire periodică și de a raporta rezultatele Parlamentului European și Consiliului 17 . Prezentul raport, care abordează toate aspectele legate de funcționarea deciziei, încheie prima revizuire periodică. Pentru partea japoneză, la revizuire au participat reprezentanți ai PPC, ai Ministerului Afacerilor Interne și Comunicațiilor, ai Ministerului Justiției, ai Ministerului Apărării și ai Agenției Naționale de Poliție. Delegația UE a cuprins trei reprezentanți desemnați de CEPD, alături de membri ai Comisiei Europene.

La 26 octombrie 2021 a avut loc o reuniune a celor două delegații în scopul revizuirii, care a fost precedată și urmată de numeroase schimburi. În special, pentru a pregăti revizuirea, Comisia a colectat de la autoritățile japoneze informații cu privire la funcționarea deciziei, în special la punerea în aplicare a normelor suplimentare. De asemenea, Comisia a solicitat de la surse publice și experți locali informații cu privire la funcționarea deciziei și la evoluțiile relevante din legislația și practica japoneză, atât în ceea ce privește normele de protecție a datelor aplicabile operatorilor privați, cât și accesul administrației publice. În urma reuniunii desfășurate în scopul revizuirii, Comisia și PPC au avut mai multe schimburi de opinii pentru a da curs aspectelor discutate în cadrul acestei reuniuni și, în special, au abordat problemele ridicate de introducerea în APPI a normelor privind informațiile cu caracter personal pseudonimizate.

2.PRINCIPALELE CONSTATĂRI

Constatările detaliate privind funcționarea tuturor aspectelor deciziei privind caracterul adecvat al nivelului de protecție sunt prezentate în documentul de lucru al serviciilor Comisiei [SWD (2023) 75], care însoțește prezentul raport.

În special, prima revizuire a demonstrat că, de la adoptarea deciziilor reciproce privind caracterul adecvat al nivelului de protecție, convergența cadrelor de protecție a datelor ale UE și ale Japoniei a crescut. APPI a fost modificată de două ori: la 5 iunie 2020, prin Legea de modificare a Legii privind protecția informațiilor cu caracter personal din 2020 (modificarea din 2020 a APPI), care a intrat în vigoare la 1 aprilie 2022 18 , și la 12 mai 2021, prin Legea referitoare la Acordul privind actele conexe pentru constituirea unei societăți digitale (modificarea din 2021 a APPI) 19 . Normele suplimentare au fost adaptate pentru a reflecta aceste modificări, în consultare cu Comisia.

Aceste modificări au apropiat și mai mult sistemele UE și japonez, în special prin consolidarea obligațiilor în materie de securitate a datelor (prin introducerea unei obligații de notificare a încălcărilor securității datelor), a drepturilor persoanelor vizate (în special dreptul de acces și dreptul la opoziție) și a protecției acordate în cazul transferurilor de date (sub forma unor informații suplimentare și a unor cerințe de monitorizare, inclusiv a unor informații privind posibilele riscuri legate de accesul administrației publice în țara de destinație). În acest context, este demn de remarcat în special faptul că unele dintre garanțiile suplimentare prevăzute în normele suplimentare pentru datele cu caracter personal care provin din UE, și anume în ceea ce privește păstrarea datelor și condițiile pentru consimțământul în cunoștință de cauză pentru transferurile transfrontaliere, au fost încorporate în APPI, devenind astfel general aplicabile tuturor datelor cu caracter personal, indiferent de originea lor sau de punctul de colectare 20 .

O altă evoluție esențială pe care Comisia o salută este transformarea APPI într-un cadru cuprinzător de protecție a datelor, care acoperă atât sectorul privat, cât și sectorul public, sub supravegherea exclusivă a PPC 21 . Această consolidare suplimentară a cadrului japonez de protecție a datelor și a competențelor PPC poate deschide calea pentru extinderea domeniului de aplicare al deciziei privind caracterul adecvat al nivelului de protecție dincolo de schimburile comerciale, pentru a include transferurile excluse în prezent din domeniul său de aplicare, cum ar fi în sectorul cooperării în materie de reglementare și al cercetării.

Prima revizuire s-a axat, de asemenea, pe noile norme privind crearea și utilizarea de „informații cu caracter personal pseudonimizate”, care au fost introduse prin modificarea din 2020 a APPI 22 . Scopul acestor noi norme este, în esență, de a facilita utilizarea (internă) a informațiilor cu caracter personal de către întreprinderile care prelucrează informații cu caracter personal în principal în scopuri statistice (de exemplu, pentru a identifica tendințe și modele cu scopul de a aduce beneficii altor activități, inclusiv cercetării). Reuniunea în scopul revizuirii și schimburile ulterioare dintre Comisie și PPC au permis clarificarea interpretării și aplicării acestor noi dispoziții. Ca urmare a discuțiilor, pentru a reflecta mai clar aplicarea preconizată a acestor noi dispoziții și pentru a asigura astfel securitatea juridică și transparența, normele suplimentare au fost modificate la 15 martie 2023 în două moduri 23 . În primul rând, normele suplimentare prevăd că astfel de informații pot fi utilizate numai în scopuri statistice – definite ca prelucrarea pentru anchete statistice sau producerea de rezultate statistice – în vederea producerii de date agregate și că rezultatul prelucrării nu va fi utilizat în sprijinul unor măsuri sau decizii referitoare la o anumită persoană. În al doilea rând, normele suplimentare clarifică faptul că informațiile cu caracter personal pseudonimizate primite inițial din UE vor fi întotdeauna considerate drept „informații cu caracter personal” în temeiul APPI, pentru a se asigura faptul că nu este subminată continuitatea protecției datelor considerate date cu caracter personal în temeiul RGPD atunci când acestea sunt transferate pe baza deciziei privind caracterul adecvat al nivelului de protecție 24 .

În ceea ce privește aplicarea în practică a garanțiilor privind protecția datelor, Comisia salută diferitele măsuri luate de PPC, cum ar fi adoptarea unor orientări actualizate, inclusiv privind transferurile internaționale de date. Comisia observă că aceste orientări ar putea fi clarificate pentru a aborda și cerințele specifice care se aplică, în temeiul normelor suplimentare, transferurilor ulterioare din Japonia de date cu caracter personal primite din Uniune, inclusiv – astfel cum rezultă din norma suplimentară (4) și cum se explică în decizia privind caracterul adecvat al nivelului de protecție 25 – excluderea transferurilor ulterioare pe baza schemei de certificare a normelor transfrontaliere privind protecția confidențialității (CBPR) din cadrul APEC. În plus, PPC a explicat că operatorii economici care gestionează informații cu caracter personal își încadrează transferurile ulterioare de date primite inițial din UE „prin încheierea unui contract care obligă destinatarul să ia măsuri care să asigure continuitatea protecției”; cu toate acestea, PPC nu oferă în prezent orientări cu privire la conținutul recomandat (în ceea ce privește garanțiile) al „măsurilor echivalente” utilizate pentru transferurile internaționale de date, fie sub formă de orientări, fie sub formă de modele de contracte de protecție a datelor. Aceste clarificări suplimentare, care s-ar putea baza în special pe schimbul de informații și de bune practici între PPC și Comisie, ar putea fi foarte utile, întrucât se referă la aspecte care sunt deosebit de relevante pentru întreprinderile care își desfășoară activitatea în ambele jurisdicții.

În ceea ce privește supravegherea și asigurarea respectării normelor, Comisia observă că PPC a făcut uz mai mult de competențele sale necoercitive de orientare și consiliere (articolul 147 din APPI) decât de competențele sale coercitive (de exemplu, de a impune ordine cu caracter obligatoriu, articolul 148 din APPI) în perioada care a urmat adoptării deciziei privind caracterul adecvat al nivelului de protecție. De asemenea, PPC a raportat că până în prezent nu au fost primite plângeri privind respectarea normelor suplimentare și că PPC nu a efectuat din proprie inițiativă investigații cu privire la astfel de aspecte. Cu toate acestea, în cursul reuniunii de revizuire, PPC a anunțat că are în vedere efectuarea, din proprie inițiativă, a unor controale aleatorii pentru a asigura respectarea normelor suplimentare. Comisia salută acest anunț, întrucât consideră că astfel de controale aleatorii ar fi foarte importante pentru a se asigura prevenirea, detectarea și abordarea încălcărilor (posibile) ale normelor suplimentare, asigurând astfel respectarea efectivă a acestor norme. Având în vedere că modificările din 2020 și 2021 ale APPI au consolidat competențele de supraveghere ale PPC, astfel de controale aleatorii ar putea face parte dintr-un efort general de intensificare a utilizării acestor competențe.

Ca ultim punct, Comisia salută călduros înființarea unor puncte de contact specifice pentru persoanele din UE care au întrebări sau preocupări cu privire la prelucrarea datelor lor cu caracter personal în Japonia, fie de către operatorii comerciali (linia pentru informații), fie de către autoritățile publice (linia pentru medierea plângerilor). În același timp, Comisia remarcă faptul că pagina web a liniei pentru informații indică faptul că aceasta este disponibilă numai în limba japoneză, ceea ce este de natură să descurajeze cetățenii UE să utilizeze această facilitate, chiar dacă PPC a explicat că, în principiu, este disponibilă asistență în limba engleză. Comisia înțelege că PPC va lua în considerare modalități de a îmbunătăți accesibilitatea acestor puncte de contact pentru europeni, inclusiv prin clarificarea acestui aspect.

3.CONCLUZII

Pe baza constatărilor generale din cadrul acestei prime revizuiri, Comisia concluzionează că Japonia continuă să asigure un nivel adecvat de protecție pentru datele cu caracter personal transmise din Uniunea Europeană operatorilor economici care gestionează informații cu caracter personal din Japonia care fac obiectul APPI, astfel cum a fost completată de normele suplimentare, precum și de declarațiile, asigurările și angajamentele oficiale cuprinse în anexa II la decizie. În acest context, serviciile Comisiei recunosc și apreciază excelenta cooperare cu autoritățile japoneze și, în special, cu PPC, în cadrul revizuirii.

Având în vedere acest rezultat al revizuirii și în conformitate cu considerentul 181 din decizia privind caracterul adecvat al nivelului de protecție, Comisia consideră că nu este necesar să se mențină ciclul de doi ani pentru revizuirile viitoare și, prin urmare, consideră că este oportun să se treacă la un ciclu de patru ani în temeiul articolului 45 alineatul (3) din RGPD. Comisia va consulta comitetul instituit în temeiul articolului 93 alineatul (1) din RGPD 26 cu privire la acest aspect.

În același timp, îmbunătățirea anumitor aspecte ale cadrului japonez ar putea contribui la consolidarea în continuare a garanțiilor prevăzute de APPI și de normele suplimentare. În acest scop, Comisia face următoarele recomandări:

1.Comisia salută și încurajează în continuare utilizarea preconizată de către PPC a controalelor aleatorii pentru a asigura respectarea normelor suplimentare. Comisia consideră că astfel de controale aleatorii ar fi foarte importante pentru a se asigura detectarea și abordarea încălcărilor (potențiale) ale normelor suplimentare, asigurând astfel respectarea efectivă a acestor norme.

2.Comisia salută faptul că PPC a publicat orientări actualizate privind transferurile internaționale, deoarece acestea vor spori accesibilitatea normelor prevăzute de APPI referitor la acest aspect și vor face aceste norme mai ușor de utilizat. După caz, orientările respective (sau alte materiale de orientare) ar trebui, de asemenea, să explice cerințele specifice care decurg din normele suplimentare, inclusiv în ceea ce privește excluderea schemei de certificare a Sistemului de norme transfrontaliere privind protecția confidențialității (CBPR) din cadrul APEC în cazul transferurilor ulterioare de date cu caracter personal primite inițial din UE.

3.În timpul revizuirii s-a discutat modul în care linia pentru informații și linia pentru medierea plângerilor create de PPC pentru întrebări și plângeri din partea persoanelor fizice ar putea deveni mai accesibilă pentru străini. În acest context, ar fi important să se clarifice pe site-ul web al acestor linii că asistența în limba engleză este, în principiu, disponibilă.

Revizuirea a permis, de asemenea, identificarea domeniilor pentru o posibilă cooperare viitoare. Astfel cum s-a menționat mai sus, PPC nu oferă în prezent orientări cu privire la conținutul recomandat (în ceea ce privește garanțiile) al „măsurilor echivalente” utilizate pentru transferurile internaționale de date, fie sub formă de orientări, fie sub formă de modele de contracte de protecție a datelor. Având în vedere importanța tot mai mare a clauzelor standard și potențialul acestora ca instrument mondial pentru transferurile de date, astfel cum au recunoscut, de exemplu, G7 27 și OCDE 28 , Comisia și-a exprimat interesul de a coopera în viitor cu Japonia în scopul elaborării unor astfel de clauze. Extinderea domeniului de aplicare al deciziei privind caracterul adecvat al nivelului de protecție dincolo de transferurile între operatorii comerciali este un alt domeniu pe care Comisia intenționează să îl analizeze împreună cu PPC.

Comisia va continua să monitorizeze atent cadrul japonez de protecție a datelor și practicile curente. În acest sens, Comisia așteaptă cu interes viitoarele schimburi cu autoritățile japoneze cu privire la evoluțiile relevante pentru decizie 29 , precum și consolidarea în continuare a cooperării la nivel internațional într-un moment în care există o cerere tot mai mare de elaborare a unor standarde mondiale privind confidențialitatea și fluxurile de date.

(1)    JO L 119, 4.5.2016, p. 1 (GDPR).

(2)    În versiunea Legii privind protecția informațiilor cu caracter personal (APPI) care se aplica la momentul adoptării deciziei privind caracterul adecvat al nivelului de protecție, această noțiune desemna un „operator economic care gestionează informații cu caracter personal”. La articolul 16 alineatul (2) din APPI modificată, o întreprindere care gestionează informații cu caracter personal este definită ca fiind „o persoană care utilizează în cadrul activității o bază de date conținând informații cu caracter personal sau un echivalent”, cu excepția administrației publice și a agențiilor administrative, atât de la nivel central, cât și de la nivel local. În cadrul APPI, noțiunea de „activitate” este foarte largă și include nu numai activități cu scop lucrativ, ci și activități fără scop lucrativ exercitate de toate tipurile de organizații și de persoane fizice. În plus, „utilizarea în cadrul activității” cuprinde, de asemenea, informații cu caracter personal care nu sunt utilizate în relațiile comerciale (externe) ale operatorului, ci intern, de exemplu, pentru prelucrarea datelor angajaților. A se vedea considerentele 32-34 din decizie.

(3)    Decizia de punere în aplicare (UE) 2019/419 a Comisiei din 23 ianuarie 2019 în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția adecvată a datelor cu caracter personal de către Japonia în temeiul Legii privind protecția informațiilor cu caracter personal, JO L 76, 19.3.2019, p. 1.

(4)    A se vedea articolul 45 din RGPD și considerentul 5 din decizie.

(5)    A se vedea anexa I la decizie.

(6)

   Între timp, modificarea din 2020 a APPI a revizuit definiția noțiunii de „date cu caracter personal deținute de întreprindere”, astfel încât aceasta să nu mai excludă acele date cu caracter personal care „urmează să fie șterse” în termen de șase luni [articolul 16 alineatul (4) din APPI modificată]. În versiunea APPI care se aplica la momentul adoptării deciziei privind caracterul adecvat al nivelului de protecție, această noțiune desemna „datele cu caracter personal păstrate”.

(7)      Considerentele 26, 31, 43, 49-51, 63, 68, 71, 76-79 și 101 din decizie.

(8)    Considerentul 15 din decizie.

(9)    Considerentele 113-170 și anexa II la decizie.

(10)    Considerentele 141-144, 149 și 169 din decizie.

(11) A se vedea comunicatul de presă publicat după încheierea acestor discuții, disponibil la adresa: https://ec.europa.eu/commission/presscorner/detail/ro/IP_18_4501

(12)      Decizia (UE) 2018/1907 a Consiliului din 20 decembrie 2018 privind încheierea Acordului între Uniunea Europeană și Japonia pentru un parteneriat economic, JO L 330, 27.12.2018, p. 1. APE reduce barierele comerciale cu care se confruntă întreprinderile europene atunci când exportă în Japonia și le ajută să concureze mai bine pe această piață.

(13)    Acord de parteneriat strategic între Uniunea Europeană și statele sale membre, pe de o parte, și Japonia, pe de altă parte, JO L 216, 24.8.2018, p. 4 (APS). APS oferă cadrul juridic necesar pentru dezvoltarea în continuare a parteneriatului solid și de lungă durată care există deja între Uniune, statele sale membre și Japonia în numeroase domenii, inclusiv dialogul politic, energia, transporturile, drepturile omului, educația, știința și tehnologia, justiția, azilul și migrația.

(14)    Disponibil la adresa: https://www.consilium.europa.eu/media/ 56091 /%E 6 % 9 C% 80 %E 7 %B 5 % 82 %E 7 % 89 % 88 -jp-eu-digital-partnership-clean-final-docx.pdf . Parteneriatul digital creează un forum care va asigura o coordonare și un impuls politic pentru activități comune privind tehnologiile digitale în domenii precum tehnologiile 5G securizate, tehnologiile „dincolo de 5G”/6G, aplicațiile sigure și etice ale inteligenței artificiale sau reziliența lanțurilor de aprovizionare mondiale în industria semiconductorilor. 

(15)    A se vedea, de exemplu https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .

(16)    Declarația OCDE privind accesul administrației publice la datele cu caracter personal deținute de entitățile din sectorul privat din 14 decembrie 2022.

(17)    Considerentele 180-183 și articolul 3 alineatul (4) din decizie.

(18)    O traducere în limba engleză este disponibilă la adresa: https://www.ppc.go.jp/files/pdf/APPI_english.pdf  

(19)    O traducere în limba engleză este disponibilă la adresa: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .

(20)    Articolul 16 alineatul (4) și articolul 28 alineatul (2) din APPI modificată.

(21)    În special, modificarea din 2021 a APPI consolidează APPI, Legea privind protecția informațiilor cu caracter personal deținute de organele administrative și Legea privind protecția informațiilor cu caracter personal deținute de agențiile administrative constituite etc. într-un singur act legislativ privind protecția datelor, care se aplică atât entităților private, cât și autorităților publice, extinzând totodată jurisdicția PPC. Această modificare a intrat în vigoare la 1 aprilie 2023, dar se aplică deja parțial de la 1 septembrie 2021 și 1 aprilie 2022.

(22)    Informațiile cu caracter personal pseudonimizate sunt definite în APPI modificată ca fiind informații referitoare la o persoană care pot fi „pregătite într-un mod care să nu permită identificarea unei anumite persoane decât dacă sunt compilate cu alte informații” prin măsuri prevăzute în lege și specificate în normele de aplicare. A se vedea articolul 16 alineatul (5) și articolul 41 din APPI modificată.

(23)

     Normele suplimentare revizuite au fost adoptate de PPC la 15 martie 2023 și au intrat în vigoare la 1 aprilie 2023.

(24)    Aceasta exclude aplicarea articolului 42 din APPI modificată, care păstrează doar un număr limitat de garanții pentru informațiile cu caracter personal pseudonimizate care nu sunt considerate informații cu caracter personal.

(25)

A se vedea considerentul 79 din decizie.

(26)    A se vedea considerentul 181 din decizie.

(27)    A se vedea Declarația ministerială a reuniunii a miniștrilor digitalizării din cadrul G7 din 11 mai 2022, anexa 1 (Planul de acțiune al G7 pentru promovarea liberei circulații a datelor cu încredere) care, la rubrica „Valorificarea elementelor comune pentru a promova interoperabilitatea viitoare”, se referă la „practici din ce în ce mai comune, cum ar fi clauzele contractuale standard”.

(28)    A se vedea setul de instrumente digitale al OCDE, „Interoperabilitatea cadrelor de protecție a confidențialității și a datelor” (disponibil la adresa: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), p. 18.

(29)    A se vedea considerentul 177 din decizie, potrivit căruia se așteaptă din partea autorităților japoneze să informeze Comisia cu privire la evoluțiile semnificative relevante pentru decizia menționată, atât în ceea ce privește prelucrarea datelor cu caracter personal de către operatorii economici, cât și limitările și garanțiile aplicabile accesului autorităților publice la datele cu caracter personal.