RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU
referitor la prima revizuire a funcționării deciziei privind caracterul adecvat al nivelului de protecție asigurat de Japonia
1.PRIMA REVIZUIRE – CONTEXT, PREGĂTIRE ȘI PROCES
La 23 ianuarie 2019, Comisia Europeană a adoptat o decizie în temeiul articolului 45 din Regulamentul (UE) 2016/679 (RGPD) în care a constatat că Japonia asigură un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniunea Europeană către întreprinderile care gestionează informații cu caracter personal în Japonia. Prin urmare, transferurile de date din UE către operatori privați din Japonia pot avea loc fără impunerea unor cerințe suplimentare.
Decizia Comisiei privind caracterul adecvat al nivelului de protecție se referă la Legea japoneză privind protecția informațiilor cu caracter personal (APPI), astfel cum a fost completată de norme suplimentare care au fost instituite pentru a elimina anumite diferențe relevante dintre APPI și RGPD. Aceste garanții suplimentare consolidează, de exemplu, protecția datelor sensibile (prin extinderea categoriilor de informații cu caracter personal considerate sensibile), exercitarea drepturilor individuale (prin clarificarea faptului că drepturile individuale pot fi exercitate și pentru datele cu caracter personal deținute pentru o perioadă mai scurtă de șase luni, fapt care la momentul respectiv nu era asigurat de APPI) și condițiile în care datele UE pot fi transferate în continuare („ulterior”) din Japonia către o altă țară terță. Normele suplimentare sunt obligatorii pentru operatorii japonezi, iar respectarea lor poate fi asigurată de către autoritatea independentă pentru protecția datelor – Comisia pentru protecția informațiilor cu caracter personal (PPC) – sau direct de către persoanele fizice din UE, prin sesizarea instanțelor japoneze.
În plus, guvernul japonez a furnizat Comisiei declarații, asigurări și angajamente oficiale cu privire la limitările și garanțiile aferente accesului la datele cu caracter personal și utilizării acestora de către administrația publică japoneză în scopuri de asigurare a respectării dreptului penal și de securitate națională, clarificând faptul că orice astfel de prelucrare este limitată la ceea ce este necesar și proporțional și face obiectul unei supravegheri independente și al unor mecanisme de reparație eficace. Mecanismele de reparație în acest domeniu includ o procedură specifică de soluționare a litigiilor, administrată și supravegheată de PPC, care a fost creată pentru persoanele fizice din UE ale căror date cu caracter personal sunt transferate pe baza deciziei privind caracterul adecvat al nivelului de protecție.
La momentul adoptării deciziei Comisiei privind caracterul adecvat al nivelului de protecție, Japonia a adoptat o decizie echivalentă pentru transferurile de date către UE; astfel a fost creat cel mai mare spațiu de fluxuri libere de date din lume bazat pe un nivel ridicat de protecție a datelor. Aceste decizii reciproce privind caracterul adecvat al nivelului de protecție completează și amplifică beneficiile Acordului de parteneriat economic UE-Japonia (APE), care a intrat în vigoare în februarie 2019, și ale Acordului de parteneriat strategic care a fost negociat împreună cu APE. Întreprinderile ambelor părți beneficiază de sinergia dintre deciziile reciproce privind caracterul adecvat al nivelului de protecție și de APE, deoarece posibilitatea ca datele să circule liber între UE și Japonia facilitează și mai mult schimburile comerciale și creează oportunități de afaceri considerabile printr-un acces privilegiat la piața celeilalte părți. De asemenea, s-a creat un precedent important care arată în mod clar că, în era digitală, promovarea unor standarde ridicate de confidențialitate și facilitarea comerțului internațional pot și trebuie să meargă mână în mână.
De la adoptarea deciziilor privind caracterul adecvat al nivelului de protecție, UE și Japonia, în calitate de parteneri care împărtășesc aceeași viziune, și-au intensificat și mai mult cooperarea în ceea ce privește aspectele digitale, în general, și fluxurile de date, în special. La nivel bilateral, acest lucru se reflectă în special în încheierea Parteneriatului digital, în luna mai 2022, și în lansarea, în luna octombrie 2022, a negocierilor pentru includerea în APE a unor reguli privind fluxurile transfrontaliere de date, ceea ce va îmbunătăți și mai mult sinergia cu acordul reciproc privind caracterul adecvat al nivelului de protecție. La nivel multilateral, UE și Japonia și-au unit eforturile pentru a promova, a consolida și a pune în practică conceptul de „liberă circulație a datelor cu încredere” – lansat de fostul primministru Shinzo Abe – inclusiv printr-o colaborare strânsă în cadrul G7, al Organizației Mondiale a Comerțului (în contextul inițiativei Declarației comune privind comerțul electronic) și al Organizației pentru Cooperare și Dezvoltare Economică (OCDE). În cadrul OCDE, cooperarea intensă dintre UE și Japonia cu privire la aceste aspecte a fost, în special, esențială pentru adoptarea, pentru prima dată la nivel internațional, a unor principii comune privind accesul administrației publice la datele cu caracter personal deținute de sectorul privat. Aceste direcții de lucru diferite s-au bazat, într-o măsură mai mare sau mai mică, pe valorile și cerințele comune care stau la baza acordului reciproc UE-Japonia privind caracterul adecvat al nivelului de protecție.
Pentru a verifica periodic dacă constatările din decizia privind caracterul adecvat al nivelului de protecție continuă să fie justificate din punct de vedere factual și juridic, Comisia are obligația de a efectua o revizuire periodică și de a raporta rezultatele Parlamentului European și Consiliului. Prezentul raport, care abordează toate aspectele legate de funcționarea deciziei, încheie prima revizuire periodică. Pentru partea japoneză, la revizuire au participat reprezentanți ai PPC, ai Ministerului Afacerilor Interne și Comunicațiilor, ai Ministerului Justiției, ai Ministerului Apărării și ai Agenției Naționale de Poliție. Delegația UE a cuprins trei reprezentanți desemnați de CEPD, alături de membri ai Comisiei Europene.
La 26 octombrie 2021 a avut loc o reuniune a celor două delegații în scopul revizuirii, care a fost precedată și urmată de numeroase schimburi. În special, pentru a pregăti revizuirea, Comisia a colectat de la autoritățile japoneze informații cu privire la funcționarea deciziei, în special la punerea în aplicare a normelor suplimentare. De asemenea, Comisia a solicitat de la surse publice și experți locali informații cu privire la funcționarea deciziei și la evoluțiile relevante din legislația și practica japoneză, atât în ceea ce privește normele de protecție a datelor aplicabile operatorilor privați, cât și accesul administrației publice. În urma reuniunii desfășurate în scopul revizuirii, Comisia și PPC au avut mai multe schimburi de opinii pentru a da curs aspectelor discutate în cadrul acestei reuniuni și, în special, au abordat problemele ridicate de introducerea în APPI a normelor privind informațiile cu caracter personal pseudonimizate.
2.PRINCIPALELE CONSTATĂRI
Constatările detaliate privind funcționarea tuturor aspectelor deciziei privind caracterul adecvat al nivelului de protecție sunt prezentate în documentul de lucru al serviciilor Comisiei [SWD (2023) 75], care însoțește prezentul raport.
În special, prima revizuire a demonstrat că, de la adoptarea deciziilor reciproce privind caracterul adecvat al nivelului de protecție, convergența cadrelor de protecție a datelor ale UE și ale Japoniei a crescut. APPI a fost modificată de două ori: la 5 iunie 2020, prin Legea de modificare a Legii privind protecția informațiilor cu caracter personal din 2020 (modificarea din 2020 a APPI), care a intrat în vigoare la 1 aprilie 2022, și la 12 mai 2021, prin Legea referitoare la Acordul privind actele conexe pentru constituirea unei societăți digitale (modificarea din 2021 a APPI). Normele suplimentare au fost adaptate pentru a reflecta aceste modificări, în consultare cu Comisia.
Aceste modificări au apropiat și mai mult sistemele UE și japonez, în special prin consolidarea obligațiilor în materie de securitate a datelor (prin introducerea unei obligații de notificare a încălcărilor securității datelor), a drepturilor persoanelor vizate (în special dreptul de acces și dreptul la opoziție) și a protecției acordate în cazul transferurilor de date (sub forma unor informații suplimentare și a unor cerințe de monitorizare, inclusiv a unor informații privind posibilele riscuri legate de accesul administrației publice în țara de destinație). În acest context, este demn de remarcat în special faptul că unele dintre garanțiile suplimentare prevăzute în normele suplimentare pentru datele cu caracter personal care provin din UE, și anume în ceea ce privește păstrarea datelor și condițiile pentru consimțământul în cunoștință de cauză pentru transferurile transfrontaliere, au fost încorporate în APPI, devenind astfel general aplicabile tuturor datelor cu caracter personal, indiferent de originea lor sau de punctul de colectare.
O altă evoluție esențială pe care Comisia o salută este transformarea APPI într-un cadru cuprinzător de protecție a datelor, care acoperă atât sectorul privat, cât și sectorul public, sub supravegherea exclusivă a PPC. Această consolidare suplimentară a cadrului japonez de protecție a datelor și a competențelor PPC poate deschide calea pentru extinderea domeniului de aplicare al deciziei privind caracterul adecvat al nivelului de protecție dincolo de schimburile comerciale, pentru a include transferurile excluse în prezent din domeniul său de aplicare, cum ar fi în sectorul cooperării în materie de reglementare și al cercetării.
Prima revizuire s-a axat, de asemenea, pe noile norme privind crearea și utilizarea de „informații cu caracter personal pseudonimizate”, care au fost introduse prin modificarea din 2020 a APPI. Scopul acestor noi norme este, în esență, de a facilita utilizarea (internă) a informațiilor cu caracter personal de către întreprinderile care prelucrează informații cu caracter personal în principal în scopuri statistice (de exemplu, pentru a identifica tendințe și modele cu scopul de a aduce beneficii altor activități, inclusiv cercetării). Reuniunea în scopul revizuirii și schimburile ulterioare dintre Comisie și PPC au permis clarificarea interpretării și aplicării acestor noi dispoziții. Ca urmare a discuțiilor, pentru a reflecta mai clar aplicarea preconizată a acestor noi dispoziții și pentru a asigura astfel securitatea juridică și transparența, normele suplimentare au fost modificate la 15 martie 2023 în două moduri. În primul rând, normele suplimentare prevăd că astfel de informații pot fi utilizate numai în scopuri statistice – definite ca prelucrarea pentru anchete statistice sau producerea de rezultate statistice – în vederea producerii de date agregate și că rezultatul prelucrării nu va fi utilizat în sprijinul unor măsuri sau decizii referitoare la o anumită persoană. În al doilea rând, normele suplimentare clarifică faptul că informațiile cu caracter personal pseudonimizate primite inițial din UE vor fi întotdeauna considerate drept „informații cu caracter personal” în temeiul APPI, pentru a se asigura faptul că nu este subminată continuitatea protecției datelor considerate date cu caracter personal în temeiul RGPD atunci când acestea sunt transferate pe baza deciziei privind caracterul adecvat al nivelului de protecție.
În ceea ce privește aplicarea în practică a garanțiilor privind protecția datelor, Comisia salută diferitele măsuri luate de PPC, cum ar fi adoptarea unor orientări actualizate, inclusiv privind transferurile internaționale de date. Comisia observă că aceste orientări ar putea fi clarificate pentru a aborda și cerințele specifice care se aplică, în temeiul normelor suplimentare, transferurilor ulterioare din Japonia de date cu caracter personal primite din Uniune, inclusiv – astfel cum rezultă din norma suplimentară (4) și cum se explică în decizia privind caracterul adecvat al nivelului de protecție – excluderea transferurilor ulterioare pe baza schemei de certificare a normelor transfrontaliere privind protecția confidențialității (CBPR) din cadrul APEC. În plus, PPC a explicat că operatorii economici care gestionează informații cu caracter personal își încadrează transferurile ulterioare de date primite inițial din UE „prin încheierea unui contract care obligă destinatarul să ia măsuri care să asigure continuitatea protecției”; cu toate acestea, PPC nu oferă în prezent orientări cu privire la conținutul recomandat (în ceea ce privește garanțiile) al „măsurilor echivalente” utilizate pentru transferurile internaționale de date, fie sub formă de orientări, fie sub formă de modele de contracte de protecție a datelor. Aceste clarificări suplimentare, care s-ar putea baza în special pe schimbul de informații și de bune practici între PPC și Comisie, ar putea fi foarte utile, întrucât se referă la aspecte care sunt deosebit de relevante pentru întreprinderile care își desfășoară activitatea în ambele jurisdicții.
În ceea ce privește supravegherea și asigurarea respectării normelor, Comisia observă că PPC a făcut uz mai mult de competențele sale necoercitive de orientare și consiliere (articolul 147 din APPI) decât de competențele sale coercitive (de exemplu, de a impune ordine cu caracter obligatoriu, articolul 148 din APPI) în perioada care a urmat adoptării deciziei privind caracterul adecvat al nivelului de protecție. De asemenea, PPC a raportat că până în prezent nu au fost primite plângeri privind respectarea normelor suplimentare și că PPC nu a efectuat din proprie inițiativă investigații cu privire la astfel de aspecte. Cu toate acestea, în cursul reuniunii de revizuire, PPC a anunțat că are în vedere efectuarea, din proprie inițiativă, a unor controale aleatorii pentru a asigura respectarea normelor suplimentare. Comisia salută acest anunț, întrucât consideră că astfel de controale aleatorii ar fi foarte importante pentru a se asigura prevenirea, detectarea și abordarea încălcărilor (posibile) ale normelor suplimentare, asigurând astfel respectarea efectivă a acestor norme. Având în vedere că modificările din 2020 și 2021 ale APPI au consolidat competențele de supraveghere ale PPC, astfel de controale aleatorii ar putea face parte dintr-un efort general de intensificare a utilizării acestor competențe.
Ca ultim punct, Comisia salută călduros înființarea unor puncte de contact specifice pentru persoanele din UE care au întrebări sau preocupări cu privire la prelucrarea datelor lor cu caracter personal în Japonia, fie de către operatorii comerciali (linia pentru informații), fie de către autoritățile publice (linia pentru medierea plângerilor). În același timp, Comisia remarcă faptul că pagina web a liniei pentru informații indică faptul că aceasta este disponibilă numai în limba japoneză, ceea ce este de natură să descurajeze cetățenii UE să utilizeze această facilitate, chiar dacă PPC a explicat că, în principiu, este disponibilă asistență în limba engleză. Comisia înțelege că PPC va lua în considerare modalități de a îmbunătăți accesibilitatea acestor puncte de contact pentru europeni, inclusiv prin clarificarea acestui aspect.
3.CONCLUZII
Pe baza constatărilor generale din cadrul acestei prime revizuiri, Comisia concluzionează că Japonia continuă să asigure un nivel adecvat de protecție pentru datele cu caracter personal transmise din Uniunea Europeană operatorilor economici care gestionează informații cu caracter personal din Japonia care fac obiectul APPI, astfel cum a fost completată de normele suplimentare, precum și de declarațiile, asigurările și angajamentele oficiale cuprinse în anexa II la decizie. În acest context, serviciile Comisiei recunosc și apreciază excelenta cooperare cu autoritățile japoneze și, în special, cu PPC, în cadrul revizuirii.
Având în vedere acest rezultat al revizuirii și în conformitate cu considerentul 181 din decizia privind caracterul adecvat al nivelului de protecție, Comisia consideră că nu este necesar să se mențină ciclul de doi ani pentru revizuirile viitoare și, prin urmare, consideră că este oportun să se treacă la un ciclu de patru ani în temeiul articolului 45 alineatul (3) din RGPD. Comisia va consulta comitetul instituit în temeiul articolului 93 alineatul (1) din RGPDcu privire la acest aspect.
În același timp, îmbunătățirea anumitor aspecte ale cadrului japonez ar putea contribui la consolidarea în continuare a garanțiilor prevăzute de APPI și de normele suplimentare. În acest scop, Comisia face următoarele recomandări:
1.Comisia salută și încurajează în continuare utilizarea preconizată de către PPC a controalelor aleatorii pentru a asigura respectarea normelor suplimentare. Comisia consideră că astfel de controale aleatorii ar fi foarte importante pentru a se asigura detectarea și abordarea încălcărilor (potențiale) ale normelor suplimentare, asigurând astfel respectarea efectivă a acestor norme.
2.Comisia salută faptul că PPC a publicat orientări actualizate privind transferurile internaționale, deoarece acestea vor spori accesibilitatea normelor prevăzute de APPI referitor la acest aspect și vor face aceste norme mai ușor de utilizat. După caz, orientările respective (sau alte materiale de orientare) ar trebui, de asemenea, să explice cerințele specifice care decurg din normele suplimentare, inclusiv în ceea ce privește excluderea schemei de certificare a Sistemului de norme transfrontaliere privind protecția confidențialității (CBPR) din cadrul APEC în cazul transferurilor ulterioare de date cu caracter personal primite inițial din UE.
3.În timpul revizuirii s-a discutat modul în care linia pentru informații și linia pentru medierea plângerilor create de PPC pentru întrebări și plângeri din partea persoanelor fizice ar putea deveni mai accesibilă pentru străini. În acest context, ar fi important să se clarifice pe site-ul web al acestor linii că asistența în limba engleză este, în principiu, disponibilă.
Revizuirea a permis, de asemenea, identificarea domeniilor pentru o posibilă cooperare viitoare. Astfel cum s-a menționat mai sus, PPC nu oferă în prezent orientări cu privire la conținutul recomandat (în ceea ce privește garanțiile) al „măsurilor echivalente” utilizate pentru transferurile internaționale de date, fie sub formă de orientări, fie sub formă de modele de contracte de protecție a datelor. Având în vedere importanța tot mai mare a clauzelor standard și potențialul acestora ca instrument mondial pentru transferurile de date, astfel cum au recunoscut, de exemplu, G7 și OCDE, Comisia și-a exprimat interesul de a coopera în viitor cu Japonia în scopul elaborării unor astfel de clauze. Extinderea domeniului de aplicare al deciziei privind caracterul adecvat al nivelului de protecție dincolo de transferurile între operatorii comerciali este un alt domeniu pe care Comisia intenționează să îl analizeze împreună cu PPC.
Comisia va continua să monitorizeze atent cadrul japonez de protecție a datelor și practicile curente. În acest sens, Comisia așteaptă cu interes viitoarele schimburi cu autoritățile japoneze cu privire la evoluțiile relevante pentru decizie, precum și consolidarea în continuare a cooperării la nivel internațional într-un moment în care există o cerere tot mai mare de elaborare a unor standarde mondiale privind confidențialitatea și fluxurile de date.