(1)

Il regolamento (UE) 2016/679 stabilisce le regole per il trasferimento dei dati personali dai titolari o dai responsabili del trattamento nell’Unione ai paesi terzi e alle organizzazioni internazionali nella misura in cui tale trasferimento rientri nel suo ambito di applicazione. Le norme in materia di trasferimento internazionale di dati personali sono stabilite nel capo V di tale regolamento, in particolare agli articoli da 44 a 50. Il flusso di dati personali verso e dai paesi al di fuori dell’Unione europea è necessario all’ampliamento della cooperazione e degli scambi internazionali, garantendo al tempo stesso che il livello di protezione offerto ai dati personali nell’Unione europea non sia compromesso.

(2)

Ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 la Commissione può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato. In tali circostanze i trasferimenti di dati personali verso un paese terzo, un territorio, un settore o un’organizzazione internazionale possono aver luogo senza ulteriori autorizzazioni, come stabilito dall’articolo 45, paragrafo 1, e dal considerando 103 del regolamento.

(3)

Come specificato all’articolo 45, paragrafo 2, del regolamento (UE) 2016/679, l’adozione della decisione di adeguatezza deve basarsi su un’analisi completa del sistema giuridico del paese terzo, per quanto riguarda sia le norme applicabili agli importatori di dati sia le limitazioni e le garanzie relative all’accesso ai dati personali da parte delle autorità pubbliche. La valutazione deve determinare se il paese terzo garantisce un livello di protezione "sostanzialmente equivalente" a quello assicurato all’interno dell’Unione [considerando 104 del regolamento (UE) 2016/679]. Come chiarito dalla Corte di giustizia dell’Unione europea, non è richiesto un livello identico di protezione (2). In particolare, gli strumenti dei quali il paese terzo si avvale possono essere diversi da quelli attuati all’interno dell’Unione europea, purché si rivelino efficaci, nella prassi, al fine di assicurare un livello adeguato di protezione (3). Lo standard di adeguatezza non comporta pertanto una duplicazione pedissequa delle norme dell’UE. La prova consiste, piuttosto, nel determinare se, con la sostanza dei diritti alla riservatezza e rendendone l’attuazione, l’azionabilità e il controllo effettivi, il sistema estero, nel suo insieme, offre il necessario livello di protezione (4).

(4)

La Commissione ha esaminato attentamente la legge e le pratiche applicate in Giappone. In base alle constatazioni illustrate nei considerando da 6 a 175 la Commissione giunge alla conclusione che il Giappone assicura un livello adeguato di protezione dei dati personali trasferiti a organizzazioni che rientrano nell’ambito di applicazione della legge giapponese sulla protezione delle informazioni personali (5), e che sono soggette alle condizioni aggiuntive cui rimanda la presente decisione. Tali condizioni sono stabilite dalle norme integrative (allegato I) adottate dalla Commissione per la protezione delle informazioni personali (PPC) (6) e dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali presentati dal governo giapponese alla Commissione europea (allegato II).

(5)

La presente decisione ha per effetto che i trasferimenti da un titolare o responsabile del trattamento dello Spazio economico europeo (SEE) (7) a dette organizzazioni in Giappone possono aver luogo senza ulteriori autorizzazioni. La presente decisione non pregiudica l’applicazione diretta del regolamento (UE) 2016/679 a tali organizzazioni quando sono rispettate le condizioni dell’articolo 3 di tale regolamento.

(6)

Il sistema giuridico che disciplina la protezione dei dati e della vita privata in Giappone ha le sue radici nella costituzione promulgata nel 1946.

(7)

L’articolo 13 della costituzione recita:

«Tutte le persone sono rispettate come individui. Il loro diritto alla vita, alla libertà e al perseguimento della felicità, purché non interferisca con il benessere pubblico, gode della più alta considerazione nella legislazione e nelle altre attività pubbliche».

(8)

Sulla base di detto articolo la Corte suprema giapponese ha precisato il diritto delle persone fisiche (persone) alla protezione delle informazioni personali. In una decisione del 1969 la Corte ha infatti riconosciuto il diritto al rispetto della vita privata e alla protezione dei dati come diritto costituzionale (8). In particolare, la Corte ha affermato che «ogni persona fisica ha la libertà di proteggere le proprie informazioni personali dalla comunicazione a terzi o dalla divulgazione senza buona ragione». In una decisione del 6 marzo 2008 («Juki-Net» (9)) la Corte suprema ha inoltre ritenuto che «la libertà dei cittadini nella vita privata è protetta contro l’esercizio del potere pubblico e si può considerare che ogni persona fisica abbia, tra le libertà della persona nella vita privata, la libertà di proteggere le proprie informazioni personali dalla comunicazione a terzi o dalla divulgazione senza buona ragione» (10).

(9)

Il 30 maggio 2003 il Giappone ha adottato una serie di leggi in materia di protezione dei dati:

(10)

Le ultime due leggi (modificate nel 2016) contengono disposizioni applicabili alla protezione delle informazioni personali da parte di enti pubblici. Il trattamento dei dati che rientra nell’ambito di applicazione di tali leggi non è oggetto della constatazione di adeguatezza contenuta nella presente decisione, che si limita alla protezione delle informazioni personali da parte di «operatori economici che gestiscono informazioni personali» (PIHBO) ai sensi dell’APPI.

(11)

Negli ultimi anni l’APPI è stata modificata. La versione modificata è stata promulgata il 9 settembre 2015 ed è entrata in vigore il 30 maggio 2017. È stata introdotta una serie di nuove garanzie e sono state rafforzate alcune garanzie esistenti, avvicinando il sistema di protezione dei dati giapponese a quello europeo. Esse includono, ad esempio, una serie di diritti individuali azionabili o l’istituzione di un’autorità di controllo indipendente (PPC), incaricata della vigilanza e dell’applicazione dell’APPI.

(12)

Oltre all’APPI, il trattamento delle informazioni personali che rientra nell’ambito di applicazione della presente decisione è oggetto di disposizioni di attuazione emesse sulla base dell’APPI. Esse includono una modifica all’ordinanza del Gabinetto per l’attuazione della legge sulla protezione delle informazioni personali del 5 ottobre 2016 e le cosiddette disposizioni in materia di esecuzione relative alla legge sulla protezione delle informazioni personali adottate dalla PPC (11). Si tratta in entrambi i casi di norme giuridicamente vincolanti e azionabili che sono entrate in vigore contemporaneamente all’APPI modificata.

(13)

Il 28 ottobre 2016 il Gabinetto del Giappone (comprendente il primo ministro e i ministri che formano il suo governo) ha inoltre adottato una «politica di base» al fine di «promuovere in modo globale e integrale misure riguardanti la protezione delle informazioni personali». A norma dell’articolo 7 dell’APPI, la «politica di base» è adottata sotto forma di decisione del Gabinetto e comprende orientamenti strategici riguardanti l’attuazione dell’APPI, diretti sia al governo centrale che alle amministrazioni locali.

(14)

Con la decisione del Gabinetto adottata il 12 giugno 2018, il governo giapponese ha recentemente modificato la «politica di base». Per facilitare i trasferimenti di dati a livello internazionale, la decisione del Gabinetto delega alla PPC, in quanto autorità competente della gestione e dell’attuazione dell’APPI, «il potere di adottare le misure necessarie a colmare le differenze tra i sistemi e le operazioni del Giappone e quelli del paese straniero interessato sulla base dell’articolo 6 della legge, al fine di assicurare una gestione appropriata delle informazioni personali ricevute da tale paese». La decisione del Gabinetto dispone che ciò include il potere di stabilire una maggiore protezione mediante l’adozione da parte della PPC di disposizioni più rigorose che integrino e che vadano oltre quelle previste dall’APPI e dall’ordinanza del Gabinetto. A norma della decisione tali disposizioni più rigorose sono vincolanti e azionabili nei confronti degli operatori economici giapponesi.

(15)

Conformemente all’articolo 6 dell’APPI e alla succitata decisione del Gabinetto, la PPC ha adottato, il 15 giugno 2018, le «Norme integrative ai sensi della legge sulla protezione delle informazioni personali per la gestione dei dati personali che sono trasferiti dall’UE in base a una decisione di adeguatezza» (le «norme integrative») al fine di rafforzare la protezione delle informazioni personali trasferite dall’Unione europea al Giappone in base alla decisione di adeguatezza attuale. Tali norme integrative sono giuridicamente vincolanti per gli operatori economici giapponesi e azionabili, da parte della PPC e degli organi giurisdizionali, al pari delle disposizioni dell’APPI che tali norme integrano con previsioni più rigorose e/o dettagliate (12). Poiché gli operatori economici giapponesi che ricevono e/o trattano ulteriormente i dati personali provenienti dall’Unione europea avranno l’obbligo giuridico di conformarsi alle norme integrative, essi dovranno assicurare di poter individuare tali dati personali nel corso di tutto il loro «ciclo di vita» (ad esempio mediante mezzi tecnici («etichette elettroniche») o organizzativi (conservazione in un’apposita banca dati)) (13). Nelle sezioni seguenti il contenuto di ciascuna norma integrativa è analizzato nel contesto della valutazione dell’articolo dell’APPI che va a completare.

(16)

A differenza di quanto previsto prima della modifica del 2015, quando la competenza era attribuita a vari ministeri giapponesi in settori specifici, l’APPI autorizza la PPC ad adottare «orientamenti»«al fine di assicurare l’attuazione corretta ed efficace delle azioni che devono essere intraprese da un operatore economico nell’ambito delle norme in materia di protezione dei dati». Attraverso gli orientamenti la PPC fornisce un’interpretazione autentica delle norme, in particolare dell’APPI. Secondo le informazioni ricevute dalla PPC, tali orientamenti formano parte integrante del quadro giuridico e sono da leggere in combinato disposto con il testo dell’APPI, l’ordinanza del Gabinetto, le norme della PPC e una serie di domande e risposte (14) elaborate dalla PPC. Gli ordinamenti sono pertanto «vincolanti per gli operatori economici». Quando gli orientamenti affermano che un operatore economico «deve» o «non dovrebbe» tenere una determinata condotta, la PPC considererà il mancato rispetto delle disposizioni pertinenti una violazione della normativa (15).

(17)

L’ambito di applicazione dell’APPI è determinato dai concetti in essa definiti di informazioni personali, dati personali e operatori economici che gestiscono informazioni personali. Al tempo stesso l’APPI prevede alcune esenzioni importanti dal suo ambito di applicazione, in particolare per i dati personali trattati in forma anonima e per categorie specifiche di trattamento da parte di alcuni operatori. Sebbene non utilizzi il termine «trattamento», l’APPI ricorre al concetto equivalente di «gestione» che, secondo le informazioni ricevute dalla PPC, copre «qualsiasi azione riguardante i dati personali», tra cui l’acquisizione, la contribuzione, l’accumulo, l’organizzazione, la conservazione, la modifica/il trattamento, il rinnovo, la cancellazione, la produzione, l’utilizzo o la fornitura di informazioni personali.

(18)

Innanzitutto, per quanto riguarda l’ambito di applicazione materiale, l’APPI distingue tra informazioni personali e dati personali, e soltanto alcune sue disposizioni si applicano alla prima categoria. Ai sensi dell’articolo 2, comma 1, dell’APPI, il concetto di «informazioni personali» include qualsiasi informazione relativa a una persona vivente che ne consenta l’identificazione. La definizione distingue due categorie di informazioni personali: i) codici identificativi individuali e ii) altre informazioni personali che consentano l’identificazione di una persona specifica. Quest’ultima categoria include anche informazioni che di per sé non consentono l’identificazione ma che, quando «facilmente collegabili» ad altre informazioni, permettono l’identificazione di una persona specifica. Secondo gli orientamenti della PPC (16), si dovrà valutare caso per caso se le informazioni possono essere ritenute «facilmente collegabili», tenendo in considerazione la situazione effettiva («condizione») dell’operatore economico. Esse saranno ritenute tali se il collegamento è (o può essere) effettuato da un operatore economico medio («normale») con i mezzi a sua disposizione. Ad esempio, le informazioni non sono «facilmente collegabili» ad altre informazioni se un operatore economico deve fare uno sforzo straordinario o commettere atti illeciti per ottenere da uno o più operatori economici le informazioni da collegare.

(19)

A norma dell’APPI soltanto alcune forme di informazioni personali rientrano nella nozione di «dati personali». I dati personali sono definiti, infatti, come «informazioni personali che costituiscono una banca dati di informazioni personali», ossia un «corpus di informazioni» che comprende informazioni personali «organizzate sistematicamente così da permettere la ricerca di informazioni personali specifiche mediante computer» (17) o «per cui un’ordinanza del Gabinetto dispone l’organizzazione sistematica così da permettere una ricerca agevole delle singole informazioni personali», ma «ad esclusione di quelle per cui un’ordinanza del Gabinetto ritiene poco probabile che pregiudichino i diritti e gli interessi di una persona tenuto conto del metodo con cui sono utilizzate» (18).

(20)

Tale eccezione è ulteriormente specificata nell’articolo 3, comma 1, dell’ordinanza del Gabinetto secondo cui devono essere soddisfatte contemporaneamente tutte e tre le condizioni seguenti: i) il corpus di informazioni deve essere stato «creato al fine di essere venduto a un gran numero di persone indeterminate e l’emissione di tale corpus non è avvenuta in violazione delle disposizioni di leggi o dei regolamenti basati su di esse»; ii) il corpus di informazioni deve poter essere «acquistato in qualsiasi momento da un gran numero di persone indeterminate» e iii) i dati personali in esso contenuti devono essere «forniti per il loro scopo originario senza aggiungere ulteriori informazioni relative a una persona vivente». Secondo le spiegazioni ricevute dalla PPC, tale eccezione di applicazione limitata è stata introdotta al fine di escludere gli elenchi telefonici o altri elenchi simili.

(21)

Detta distinzione tra «informazioni personali» e «dati personali» è importante per le informazioni raccolte in Giappone, in quanto esse non fanno sempre parte di una «banca dati di informazioni personali» (ad esempio, un insieme unico di dati raccolti e trattati manualmente) e le disposizioni dell’APPI relative soltanto ai dati personali non trovano pertanto applicazione (19).

(22)

Per contro, tale distinzione non sarà importante per i dati personali importati dall’Unione europea in Giappone sulla base di una decisione di adeguatezza. Poiché di norma i dati provenienti dall’UE saranno trasferiti per via elettronica (dato che nell’era digitale si tratta del modo comune di scambiare dati, specialmente su grandi distanze come nel caso dell’UE e del Giappone), e diventeranno quindi parte dei sistemi di archiviazione elettronica dell’importatore di dati, essi saranno considerati «dati personali» ai sensi dell’APPI. Nel caso eccezionale in cui i dati personali siano trasferiti dall’UE con altri mezzi (ad esempio in formato cartaceo), essi saranno comunque coperti dall’APPI se a seguito del trasferimento saranno inseriti in un «corpus di informazioni» organizzato sistematicamente in modo da consentire facilmente la ricerca delle informazioni specifiche (articolo 2, comma 4, punto ii), dell’APPI). A norma dell’articolo 3, comma 2, dell’ordinanza del Gabinetto, è il caso quando le informazioni sono predisposte «secondo un determinato criterio» e la banca dati contiene strumenti come un sommario o un indice per facilitare la ricerca. Ciò corrisponde alla definizione di «archivio» ai sensi dell’articolo 2, paragrafo 1, del regolamento generale sulla protezione dei dati.

(23)

Alcune disposizioni dell’APPI, in particolare gli articoli da 27 a 30 relativi ai diritti individuali, si applicano soltanto a una categoria specifica di dati personali, ossia ai «dati personali conservati». L’articolo 2, comma 7, dell’APPI li definisce come dati personali diversi da quelli che i) «un’ordinanza del Gabinetto ritiene probabile che danneggino l’interesse pubblico o altri interessi nel caso in cui ne sia resa nota la presenza o l’assenza» o ii) «sono destinati a essere cancellati entro un periodo non superiore a un anno, disposto da un’ordinanza del Gabinetto».

(24)

La prima delle due categorie è precisata nell’articolo 4 dell’ordinanza del Gabinetto e riguarda quattro diverse eccezioni (20). Le esenzioni citate perseguono obiettivi analoghi a quelli elencati nell’articolo 23, paragrafo 1, del regolamento (UE) 2016/679, in particolare la tutela dell’interessato («titolare» nella terminologia dell’APPI) e della libertà altrui, della sicurezza nazionale, della sicurezza pubblica, dell’attività di contrasto nella sfera penale o di altri importanti obiettivi di interesse pubblico generale. Dalla formulazione dell’articolo 4, comma 1, punti da i) a iv), dell’ordinanza del Gabinetto risulta inoltre che la loro applicazione presuppone sempre un rischio specifico per uno degli importanti interessi tutelati (21).

(25)

La seconda categoria è stata precisata ulteriormente nell’articolo 5 dell’ordinanza del Gabinetto. Tale articolo, in combinato disposto con l’articolo 2, comma 7, dell’APPI, esclude dall’ambito di applicazione della nozione di dati personali conservati, e quindi dai diritti individuali tutelati dall’APPI, i dati personali che sono «destinati a essere cancellati» entro un periodo di sei mesi. La PPC ha spiegato che l’esenzione mira a incentivare gli operatori economici a conservare e trattare i dati per il più breve tempo possibile. Ciò significherebbe tuttavia che gli interessati dell’UE non potrebbero beneficiare di diritti importanti unicamente a causa della durata della conservazione dei loro dati da parte degli operatori economici interessati.

(26)

Per far fronte a questa situazione, la norma integrativa (2) stabilisce che i dati personali trasferiti dall’Unione europea «siano gestiti come dati personali conservati ai sensi dell’articolo 2, comma 7, della legge, indipendentemente dal periodo entro il quale sono destinati a essere cancellati». Il periodo di conservazione non avrà pertanto conseguenze sui diritti riconosciuti agli interessati dell’UE.

(27)

Le disposizioni applicabili alle informazioni personali trattate in forma anonima, definite nell’articolo 2, comma 9, dell’APPI, sono previste nel capo 4, sezione 2, della legge («Obblighi dell’operatore economico che gestisce informazioni trattate in forma anonima»). A tali informazioni non si applicano invece le previsioni del capo IV, sezione 1, dell’APPI, che comprende gli articoli che prevedono le garanzie di protezione dei dati e i diritti che si applicano al trattamento dei dati personali ai sensi della legge medesima. Di conseguenza, sebbene non siano soggette alle norme «standard» in materia di protezione dei dati (specificate nel capo IV, sezione 1, e nell’articolo 42 dell’APPI), le «informazioni personali trattate in forma anonima» rientrano comunque nell’ambito di applicazione dell’APPI, in particolare degli articoli da 36 a 39.

(28)

Secondo l’articolo 2, comma 9, dell’APPI le «informazioni personali trattate in forma anonima» sono informazioni relative a una persona che sono state «ottenute dal trattamento di informazioni personali» mediante le misure stabilite nell’APPI (articolo 36, comma 1) e specificate nelle norme della PPC (articolo 19) e che, di conseguenza, rendono impossibile l’identificazione di una persona specifica o il ripristino delle informazioni personali.

(29)

Tali disposizioni specificano, come confermato anche dalla PPC, che il processo per rendere le informazioni personali «anonime» non deve necessariamente essere tecnicamente irreversibile. Ai sensi dell’articolo 36, comma 2, dell’APPI, gli operatori economici che gestiscono «informazioni personali trattate in forma anonima» sono semplicemente tenuti a prevenire la reidentificazione mediante l’adozione di misure volte a garantire la sicurezza «delle descrizioni ecc., dei codici di identificazione individuali rimossi dalle informazioni personali utilizzate per ottenere le informazioni trattate in forma anonima e delle informazioni relative al metodo di trattamento applicato».

(30)

Poiché, come definite dall’APPI, le «informazioni personali trattate in forma anonima» comprendono dati che consentono ancora la reidentificazione della rispettiva persona, ciò potrebbe significare che i dati personali trasferiti dall’Unione europea potrebbero perdere un parte delle protezioni disponibili a causa di un procedimento che, ai sensi del regolamento (UE) 2016/679, sarebbe considerato una forma di «pseudonimizzazione» piuttosto che un’ «anonimizzazione» (non cambiando pertanto la loro natura di dati personali).

(31)

Per far fronte a detta situazione, le norme integrative stabiliscono disposizioni aggiuntive applicabili soltanto ai dati personali trasferiti dall’Unione europea nell’ambito della presente decisione. Secondo la norma (5) delle norme integrative, le informazioni personali sono considerate «informazioni personali trattate in forma anonima» ai sensi dell’APPI unicamente «se l’operatore economico che gestisce le informazioni personali adotta misure che rendono l’anonimizzazione della persona irreversibile per chiunque, in particolare mediante la cancellazione delle informazioni relative al metodo di trattamento ecc.». Le norme integrative definiscono nello specifico queste ultime come le informazioni relative a descrizioni e codici di identificazione individuali che sono stati cancellati dalle informazioni personali utilizzate per ottenere «informazioni personali trattate in forma anonima» nonché le informazioni relative al metodo di trattamento applicato per la cancellazione di tali descrizioni e codici di identificazione individuali. In altri termini le norme integrative impongono all’operatore economico che produce informazioni personali trattate in forma anonima di distruggere la «chiave» che consente la reidentificazione dei dati. I dati personali originari dell’Unione europea rientreranno nelle disposizioni dell’APPI relative alle «informazioni personali trattate in forma anonima» soltanto nel caso in cui essi siano considerati informazioni anonime anche a norma del regolamento (UE) 2016/679 (22).

(32)

Per quanto riguarda il campo di applicazione personale, l’APPI si applica soltanto agli operatori economici che trattano informazioni personali (PIHBO). A norma dell’articolo 2, comma 5, dell’APPI, per PIHBO si intende «una persona che fornisce banche dati di informazioni personali ecc. a scopi commerciali», ad esclusione delle agenzie governative e amministrative a livello centrale e locale.

(33)

Gli orientamenti della PPC definiscono un’"attività commerciale" qualsiasi «condotta volta ad esercitare un’impresa socialmente riconosciuta, per il raggiungimento di un determinato oggetto, con o senza scopo di lucro, in modo ripetuto e continuato». Le organizzazioni prive di personalità giuridica (quali le associazioni di fatto) o le persone fisiche sono considerate PIHBO se forniscono (l’uso di) banche dati di informazioni personali ecc. nell’ambito della propria attività commerciale (23). Ai sensi dell’APPI la nozione di «attività commerciale» è pertanto molto ampia, in quanto include non soltanto le attività esercitate da qualsiasi organizzazione o persona con scopo di lucro ma anche quelle che ne sono prive. L’uso «a scopi commerciali» include inoltre le informazioni personali che non sono utilizzate nei rapporti commerciali (esterni) dell’operatore, ma internamente, ad esempio per il trattamento dei dati dei dipendenti.

(34)

Per quanto riguarda i beneficiari della protezione prevista dall’APPI, la legge non opera alcuna distinzione sulla base della cittadinanza, della residenza o dell’ubicazione della persona. Lo stesso vale per le possibilità delle persone di presentare ricorso, dinanzi alla PPC o alle autorità giurisdizionali.

(35)

L’APPI non effettua una distinzione specifica tra gli obblighi dei titolari del trattamento e quelli dei responsabili del trattamento. La mancanza di tale distinzione non pregiudica tuttavia il livello di protezione, in quanto tutti i PIHBO sono soggetti alle disposizioni dell’APPI nella sua interezza. Se affida la gestione dei dati a un fiduciario (l’equivalente del responsabile del trattamento ai sensi del regolamento generale sulla protezione dei dati), il PIHBO rimane soggetto agli obblighi previsti dall’APPI e dalle norme integrative per quanto riguarda i dati affidati. L’articolo 22 della legge prevede inoltre che il PIHBO è tenuto a «esercitare il controllo necessario e opportuno» sul fiduciario. Come confermato dalla PPC, il fiduciario è poi a sua volta vincolato da tutti gli obblighi contenuti nell’APPI e nelle norme integrative.

(36)

L’articolo 76 dell’APPI esclude alcuni tipi di trattamento dei dati dall’applicazione del capo IV della legge, che contiene le disposizioni principali in materia di protezione dei dati (principi di base, obblighi degli operatori economici, diritti individuali, controllo da parte della PPC). Il trattamento coperto dall’esclusione settoriale di cui all’articolo 76 è escluso anche dai poteri di esecuzione della PPC previsti dall’articolo 43, comma 2, dell’APPI (24).

(37)

Per quanto riguarda l’esclusione settoriale di cui all’articolo 76 dell’APPI, le categorie pertinenti sono definite utilizzando un doppio criterio basato sul tipo di PIHBO che effettua il trattamento delle informazioni personali e sulla finalità del trattamento. Più in particolare, l’esclusione si applica a: i) emittenti radiotelevisive, case editrici di giornali, agenzie di comunicazione e altre organizzazioni della stampa (comprese le persone che svolgono attività di stampa per professione) purché trattino informazioni personali a fini di stampa; ii) persone che svolgono un’attività di scrittura professionale, purché questa preveda l’utilizzo di informazioni personali; iii) università e qualsiasi altra organizzazione o gruppo che svolge studi accademici o qualsiasi persona appartenente a tale organizzazione, purché trattino informazioni personali ai fini di studi accademici; iv) istituzioni religiose purché trattino informazioni personali ai fini di attività religiose (comprese tutte le attività connesse); v) organizzazioni politiche purché trattino informazioni personali ai fini dell’attività politica (comprese tutte le attività connesse). Il trattamento delle informazioni personali per uno degli scopi elencati nell’articolo 76 da parte degli altri tipi di PIHBO e il trattamento di informazioni personali da parte di uno dei PIHBO elencati per altri motivi, ad esempio nel contesto lavorativo, rientrano nelle disposizioni del capo IV.

(38)

Al fine di garantire un adeguato livello di protezione dei dati personali trasferiti dall’Unione europea a operatori economici in Giappone, è opportuno che la presente decisione copra soltanto il trattamento di informazioni personali che rientra nell’ambito di applicazione del capo IV dell’APPI (ossia da parte di un PIHBO, purché la tipologia di trattamento non corrisponda a una delle esclusioni settoriali). L’ambito di applicazione della presente decisione dovrebbe pertanto essere allineato con quello dell’APPI. Secondo le informazioni ricevute dalla PPC, se un PIHBO oggetto della presente decisione modificasse successivamente la finalità di utilizzo (nella misura consentita) e fosse poi soggetto a una delle esclusioni settoriali di cui all’articolo 76 dell’APPI, ciò sarebbe considerato un trasferimento internazionale (dato che, in tali casi, il trattamento delle informazioni personali non rientrerebbe più nel capo IV dell’APPI ed esulerebbe quindi dall’ambito di applicazione di tale norma). Lo stesso varrebbe nel caso in cui un PIHBO fornisse informazioni personali a un soggetto di cui all’articolo 76 dell’APPI ad uso di una delle finalità di trattamento indicate in tale disposizione. Per quanto riguarda i dati personali trasferiti dall’Unione europea, tale caso si configurerebbe pertanto come trasferimento successivo soggetto alle garanzie pertinenti (in particolare a quelle specificate nell’articolo 24 dell’APPI e nella norma integrativa (4)). Quando ha bisogno del consenso dell’interessato (25), il PIHBO dovrebbe fornirgli tutte le informazioni necessarie, compreso il fatto che le informazioni personali non sarebbero più protette dall’APPI.

(39)

I dati personali dovrebbero essere trattati per una finalità specifica e, di conseguenza, dovrebbero essere utilizzati soltanto nella misura in cui l’uso non sia incompatibile con la finalità del trattamento. Tale principio di protezione dei dati è garantito dagli articoli 15 e 16 dell’APPI.

(40)

L’APPI si basa sul principio che un operatore economico deve specificare la finalità dell’utilizzo «nel modo più esplicito possibile» (articolo 15, comma 1) ed è poi vincolato da tale finalità quando tratta i dati.

(41)

A tal proposito, l’articolo 15, comma 2, dell’APPI stabilisce che la finalità iniziale non può essere modificata dal PIHBO «al di là di un ambito ritenuto ragionevolmente pertinente alla finalità dell’utilizzo precedente la modifica». Nell’interpretazione degli orientamenti della PPC ciò corrisponde a quanto possa essere previsto oggettivamente dall’interessato sulla base delle «normali convenzioni sociali» (26).

(42)

L’articolo 16, comma 1, dell’APPI vieta ai PIHBO di gestire informazioni personali al di là dell’"ambito necessario per conseguire la finalità di utilizzo" specificata a norma dell’articolo 15 senza il previo consenso dell’interessato, a meno che non si applichi una delle deroghe di cui all’articolo 16, comma 3 (27).

(43)

Quando si tratta di informazioni personali acquisite da un altro operatore commerciale, in linea di principio il PIHBO è libero di stabilire una nuova finalità di utilizzo (28). Al fine di garantire che, nel caso di un trasferimento di dati dall’Unione europea, tale destinatario sia vincolato dalla finalità per la quale i dati sono stati trasferiti, la norma integrativa (3) impone che, nei casi «in cui [il PIHBO] riceva dati personali dall’UE sulla base di una decisione di adeguatezza» o tale operatore «riceva da un altro [PIHBO] dati personali trasferiti in precedenza dall’UE sulla base di una decisione di adeguatezza» (condivisione successiva), il destinatario debba «indicare la finalità d’uso di detti dati personali, che deve rientrare nell’ambito della finalità di utilizzo per la quale i dati sono stati originariamente o successivamente ricevuti». In altre parole la norma garantisce che in caso di trasferimento la finalità definita ai sensi del regolamento (UE) 2016/679 continui a determinare il trattamento e che una modifica di tale finalità in una qualsiasi fase della catena del trattamento in Giappone richieda il consenso dell’interessato dell’UE. Sebbene l’ottenimento di tale consenso preveda che il PIHBO contatti l’interessato, quando ciò non è possibile ne consegue semplicemente l’obbligo di mantenere la finalità originaria.

(44)

La protezione supplementare di cui al considerando 43 è tanto più pertinente in quanto il sistema giapponese assicura la liceità e la correttezza del trattamento dei dati personali anche attraverso il principio di limitazione della finalità.

(45)

A norma dell’APPI, quando il PIHBO raccoglie informazioni personali deve specificarne dettagliatamente la finalità di utilizzo (29) e informarne prontamente l’interessato (o comunicare la finalità al pubblico) (30). L’articolo 17 dell’APPI stabilisce inoltre che il PIHBO non possa acquisire informazioni personali con l’inganno o altri mezzi impropri. Per quanto riguarda alcune categorie di dati, quali le informazioni personali particolarmente sensibili, la loro acquisizione richiede il consenso dell’interessato (articolo 17, comma 2, dell’APPI).

(46)

Di conseguenza, come spiegato nei considerando 41 e 42, al PIHBO è fatto divieto di trattare le informazioni personali per altre finalità, ad eccezione del caso in cui l’interessato presti il proprio consenso o dell’applicazione di una delle deroghe di cui all’articolo 16, comma 3, dell’APPI.

(47)

Infine, per quanto riguarda l’ulteriore trasferimento delle informazioni personali a un terzo (31), l’articolo 23, comma 1, dell’APPI limita tale comunicazione a casi specifici, in genere previo consenso dell’interessato (32). L’articolo 23, commi 2, 3 e 4, dell’APPI, stabilisce eccezioni all’obbligo di ottenere il consenso. Tuttavia le eccezioni si applicano solamente ai dati non sensibili e prevedono che l’operatore economico informi preventivamente le persone interessate dell’intenzione di comunicare a un terzo le informazioni personali che le riguardano e della possibilità di opporsi a qualsiasi ulteriore comunicazione (33).

(48)

Per quanto riguarda i trasferimenti dall’Unione europea, i dati personali saranno stati necessariamente raccolti e trattati prima nell’UE in conformità al regolamento (UE) 2016/679. Ciò prevederà sempre, da un lato, la raccolta e il trattamento dei dati, anche per il trasferimento dall’Unione europea al Giappone, sulla base di uno dei motivi leciti elencati nell’articolo 6, paragrafo 1, del regolamento e, dall’altro, la raccolta dei dati per una finalità determinata, esplicita e legittima nonché il divieto di ulteriore trattamento, anche mediante trasferimento, con una modalità incompatibile con tale finalità come disposto dall’articolo 5, paragrafo 1, lettera b), e dall’articolo 6, paragrafo 4, del regolamento.

(49)

Dopo il trasferimento, in conformità alla norma integrativa (3) il PIHBO che riceva i dati dovrà «confermare» la o le finalità determinate su cui si fonda il trasferimento (ossia la finalità determinata a norma del regolamento (UE) 2016/679) e trattare successivamente i dati in linea con tale o tali finalità (34). Ciò significa che la o le finalità determinate a norma del regolamento vincolano non soltanto colui che per primo ha acquisito i dati personali in Giappone ma anche i futuri destinatari di tali dati (compresi i fiduciari).

(50)

Inoltre, nel caso in cui il PIHBO desideri modificare la finalità precedentemente determinata a norma del regolamento (UE) 2016/679, l’articolo 16, comma 1, dell’APPI stabilisce che, in linea di principio, debba ottenere il consenso dell’interessato. In mancanza di tale consenso qualsiasi trattamento che vada oltre l’ambito necessario al raggiungimento di tale finalità di utilizzo costituirebbe una violazione dell’articolo 16, comma 1, che può essere fatta valere dalla PPC e dagli organi giurisdizionali.

(51)

Pertanto, dato che a norma del regolamento (UE) 2016/679 un trasferimento necessita di una base giuridica valida e di una finalità determinata, che siano rispecchiate nella finalità di utilizzo «confermata» in conformità all’APPI, la combinazione delle disposizioni pertinenti dell’APPI e della norma integrativa (3) assicura che la liceità del trattamento dei dati dell’UE continui anche in Giappone.

(52)

I dati dovrebbero essere esatti e, se necessario, dovrebbero essere aggiornati. Essi dovrebbero essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati.

(53)

I principi enunciati sono garantiti nel diritto giapponese dall’articolo 16, comma 1, dell’APPI, che vieta la gestione delle informazioni personali oltre «l’ambito necessario per conseguire la finalità di utilizzo». Come spiegato dalla PPC, ciò esclude non solo l’utilizzo di dati che non siano adeguati e l’utilizzo eccessivo di dati (oltre quanto necessario al raggiungimento della finalità di utilizzo), ma comporta anche il divieto di gestire i dati non pertinenti per il raggiungimento della finalità di utilizzo.

(54)

Per quanto concerne l’obbligo di mantenere i dati esatti e aggiornati, l’articolo 19 dell’APPI prevede che il PIHBO «si sforzi di mantenere i dati personali esatti e aggiornati nell’ambito necessario al raggiungimento della finalità di utilizzo». Tale disposizione dovrebbe essere letta in combinato disposto con l’articolo 16, comma 1, dell’APPI. Secondo le spiegazioni ricevute dalla PPC, se il PIHBO non soddisfa i requisiti di esattezza, si riterrà che la gestione delle informazioni personali non raggiunga la finalità di utilizzo e che sia quindi illecita ai sensi dell’articolo 16, comma 1.

(55)

In linea di principio i dati non dovrebbero essere conservati per un arco di tempo superiore a quanto necessario per il conseguimento delle finalità per le quali sono trattati.

(56)

Ai sensi dell’articolo 19 dell’APPI, i PIHBO sono tenuti a «adoperarsi[…] per cancellare prontamente i dati personali quando tale utilizzo non sia più necessario». Occorre leggere tale disposizione in combinato disposto con l’articolo 16, comma 1, dell’APPI che vieta la gestione delle informazioni personali oltre «l’ambito necessario per conseguire la finalità di utilizzo». Una volta raggiunta la finalità di utilizzo, il trattamento delle informazioni personali non può più considerarsi necessario e, pertanto, non può continuare (a meno che il PIHBO non ottenga il consenso dell’interessato in tal senso).

(57)

I dati personali dovrebbero essere trattati in maniera da garantirne la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. A tal fine gli operatori economici dovrebbero adottare misure tecniche o organizzative per proteggere i dati personali da possibili minacce. Tali misure dovrebbero essere valutate tenendo conto dello stato dell’arte e dei costi connessi.

(58)

Detto principio è attuato nel diritto giapponese dall’articolo 20 dell’APPI che stabilisce che il PIHBO «adotta le misure necessarie e appropriate per controllare la sicurezza dei dati personali, anche per prevenire le fughe o le perdite di dati personali da lui gestiti o i danni agli stessi». Gli orientamenti della PPC spiegano le misure da adottare, compresi i metodi per definire politiche di base, norme per la gestione dei dati e varie «azioni di controllo» (relative alla sicurezza organizzativa e alla sicurezza umana, fisica e tecnologica) (35). Gli orientamenti della PPC e l’apposita comunicazione (appendice 8 sui «Contenuti delle misure di gestione della sicurezza da adottare») pubblicati dalla PPC stabiliscono, nel quadro delle misure di gestione della sicurezza che devono adottare i PIHBO, ulteriori dettagli sulle misure in caso di incidenti di sicurezza che comportano, ad esempio, la fuga di informazioni personali (36).

(59)

Inoltre, a norma degli articoli 20 e 21 dell’APPI, ogniqualvolta le informazioni personali sono gestite da dipendenti o subappaltatori, deve essere garantita, per motivi di controllo della sicurezza, una «supervisione necessaria e adeguata». Infine, a norma dell’articolo 83 dell’APPI, la fuga intenzionale o il furto di informazioni personali sono punibili con una pena detentiva fino a un anno.

(60)

Gli interessati dovrebbero essere informati dei principali aspetti del trattamento dei dati personali che li riguardano.

(61)

L’articolo 18, comma 1, dell’APPI stabilisce che il PIHBO è tenuto a mettere a disposizione dell’interessato le informazioni sulla finalità di utilizzo delle informazioni personali acquisite, ad eccezione dei «casi in cui la finalità di utilizzo è stata comunicata in anticipo al pubblico». Lo stesso obbligo vale anche nel caso di una modifica lecita della finalità autorizzata (articolo 18, comma 3). In questo modo si garantisce inoltre che l’interessato sia informato anche del fatto che sono stati raccolti dati che lo riguardano. Sebbene l’APPI non preveda in genere che il PIHBO sia tenuto a informare l’interessato dei possibili destinatari delle informazioni personali al momento della raccolta, tali elementi sono una condizione necessaria per qualsiasi comunicazione successiva delle informazioni a un terzo (destinatario) sulla base dell’articolo 23, comma 2, pertanto nei casi in cui ciò avviene senza il previo consenso dell’interessato.

(62)

Per quanto riguarda i «dati personali conservati», l’articolo 27 dell’APPI prevede che il PIHBO comunichi all’interessato la sua identità (contatti), la finalità di utilizzo e le procedure per rispondere a una richiesta concernente i diritti individuali dell’interessato ai sensi degli articoli 28, 29 e 30 dell’APPI.

(63)

Ai sensi delle norme integrative i dati personali trasferiti dall’Unione europea saranno considerati «dati personali conservati» a prescindere dal loro periodo di conservazione (a meno che non rientrino nelle eccezioni) e saranno sempre soggetti agli obblighi di trasparenza previsti dalle due disposizioni summenzionate.

(64)

Sia i requisiti dell’articolo 18 che l’obbligo di informare circa la finalità di utilizzo ai sensi dell’articolo 27 dell’APPI sono soggetti alle stesse eccezioni, principalmente basate su considerazioni di interesse generale e sulla tutela dei diritti e degli interessi dell’interessato, dei terzi e del titolare del trattamento (37). Secondo l’interpretazione elaborata negli orientamenti della PPC, tali eccezioni si applicano in situazioni molto specifiche, ad esempio nel caso in cui le informazioni sulla finalità di utilizzo rischino di compromettere le misure legittime adottate dall’operatore economico al fine di tutelare determinati interessi (ad esempio, la lotta contro le frodi, lo spionaggio industriale e il sabotaggio).

(65)

Garanzie specifiche dovrebbero essere applicate al trattamento di «categorie speciali di dati».

(66)

Le «informazioni personali particolarmente sensibili» sono definite all’articolo 2, comma 3, dell’APPI. Tale disposizione riguarda le «informazioni personali del titolare concernenti, tra l’altro, razza, credo, status sociale, storia clinica, precedenti penali e danni subiti a causa di un reato o altre descrizioni per cui un’ordinanza del Gabinetto impone una gestione particolarmente attenta al fine di non causare ingiustamente discriminazioni, pregiudizi o altri svantaggi al titolare». Tali categorie coincidono in larga parte con quelle contenute nell’elenco dei dati sensibili di cui agli articoli 9 e 10 del regolamento (UE) 2016/679. In particolare, la «storia clinica» corrisponde ai dati sanitari mentre i «precedenti penali» e i «danni subiti a causa di un reato» sono sostanzialmente identici alle categorie di cui all’articolo 10 del regolamento (UE) 2016/679. Le categorie di cui all’articolo 2, comma 3, dell’APPI sono oggetto di ulteriore interpretazione nell’ordinanza del Gabinetto e negli orientamenti della PPC. A norma della sezione 2.3, punto 8), degli orientamenti della PPC, nell’interpretazione delle sottocategorie della «storia clinica» di cui all’articolo 2, punti ii) e iii), dell’ordinanza del Gabinetto, rientrano anche i dati genetici e biometrici. Inoltre, anche se l’elenco non contiene espressamente i termini «origine etnica» e «opinione politica», include comunque riferimenti a «razza» e «credo». Come spiegato nella sezione 2.3, punti 1) e 2), degli orientamenti della PPC, il riferimento alla «razza» riguarda «legami di tipo etnico o legami a una determinata parte del mondo» mentre nel «credo» rientrano sia la religione che le opinioni politiche.

(67)

Come si evince chiaramente dal testo della disposizione, non si tratta di un elenco esaustivo, in quanto possono essere aggiunte ulteriori categorie di dati se il loro trattamento rischia di causare «ingiustamente discriminazioni, pregiudizi o altri svantaggi al titolare».

(68)

Sebbene il concetto di dati «sensibili» sia di per sé un costrutto sociale, in quanto si fonda, tra l’altro, su tradizioni culturali e giuridiche, considerazioni di ordine morale e scelte politiche di una determinata società, vista l’importanza di offrire garanzie adeguate per dati sensibili in caso di trasferimento verso operatori economici in Giappone, la Commissione ha ottenuto che le tutele concesse alle «informazioni personali particolarmente sensibili» a norma della legislazione giapponese siano estese a tutte le categorie riconosciute come «dati sensibili» dal regolamento (UE) 2016/679. A tal fine, la norma integrativa (1) prevede che i dati trasferiti dall’Unione europea relativi alla vita sessuale, all’orientamento sessuale e all’appartenenza sindacale di una persona siano trattati dai «PIHBO allo stesso modo delle informazioni personali particolarmente sensibili di cui all’articolo 2, comma 3, dell’APPI».

(69)

Per quanto riguarda le ulteriori garanzie sostanziali che si applicano alle informazioni personali particolarmente sensibili, i PIHBO non sono autorizzati, ai sensi dell’articolo 17, comma 2, dell’APPI, ad acquisire tale tipologia di dati senza il previo consenso dell’interessato in questione, fatto salvo soltanto un numero limitato di eccezioni (38). Per tale categoria di informazioni personali è inoltre esclusa la possibilità di comunicazione a terzi in base alla procedura di cui all’articolo 23, comma 2, dell’APPI (che consente la trasmissione di dati a terzi senza il previo consenso dell’interessato in questione).

(70)

Secondo il principio di responsabilizzazione, i soggetti che trattano dati sono tenuti a mettere in atto misure tecniche e organizzative adeguate per rispettare effettivamente i loro obblighi in materia di protezione dei dati e per essere in grado di dimostrare tale rispetto, in particolare all’autorità di controllo competente.

(71)

Come indicato nella nota a piè di pagina 34 (considerando 49), i PIHBO sono tenuti, ai sensi dell’articolo 26, comma 1, dell’APPI, a verificare l’identità del terzo che fornisce loro dati personali e le «circostanze» in cui i dati sono stati acquisiti dal terzo (nel caso di dati personali oggetto della presente decisione, l’APPI e la norma integrativa (3) prevedono che tali circostanze includano il fatto che i dati siano originari dell’Unione europea e la finalità della trasmissione originaria). Tale misura è intesa, tra l’altro, a garantire la liceità del trattamento lungo tutta la catena dei PIHBO che gestiscono i dati personali. Inoltre, ai sensi dell’articolo 26, comma 3, dell’APPI, i PIHBO sono tenuti a registrare la data di ricevimento e le informazioni (obbligatorie) ricevute dal terzo ai sensi del comma 1, nonché il nome della persona in questione (interessato), le categorie di dati trattati e, nella misura necessaria, il consenso dell’interessato alla condivisione dei suoi dati personali. Come specificato all’articolo 18 delle norme della PPC, tali registrazioni devono essere conservate per un periodo che va da almeno uno a tre anni, a seconda delle circostanze. Nell’esercizio delle sue funzioni, la PPC può esigere la presentazione di tali registrazioni (39).

(72)

I PIHBO devono occuparsi prontamente e adeguatamente dei reclami presentati dalle persone interessate in merito al trattamento delle loro informazioni personali. Per agevolare la gestione dei reclami, essi istituiscono un «sistema necessario per conseguire [tale] finalità», il che implica che dovrebbero porre in essere procedure adeguate all’interno della loro organizzazione (ad esempio, per assegnare responsabilità o fornire un punto di contatto).

(73)

L’APPI definisce infine un quadro per la partecipazione delle organizzazioni settoriali al fine di garantire un livello elevato di conformità (cfr. capo IV, sezione 4). Il ruolo di tali organizzazioni accreditate per la protezione delle informazioni personali (40) è di promuovere la protezione delle informazioni personali, mettendo le competenze di cui dispongono al servizio delle imprese, ma anche contribuendo all’attuazione di garanzie, in particolare con la gestione di singoli reclami e con il sostegno alla risoluzione dei conflitti connessi. A tal fine le organizzazioni possono chiedere ai PIHBO partecipanti, se del caso, di adottare le misure necessarie (41). Inoltre, in caso di violazione dei dati o altri incidenti di sicurezza, i PIHBO devono, in linea di principio, informare la PPC nonché l’interessato (o il pubblico) e adottare le misure necessarie, comprese le misure per ridurre al minimo i danni ed evitare il ripetersi di incidenti simili (42). Sebbene si tratti di regimi volontari, il 10 agosto 2017 la PPC aveva elencato 44 organizzazioni, di cui la più grande, Japan Information Processing and Development Center (JIPDEC), contava da sola 15 436 operatori economici partecipanti (43). I regimi accreditati comprendono associazioni di settore, quali l’associazione giapponese degli operatori in titoli, l’associazione giapponese delle scuole guida o l’associazione giapponese dei mediatori di matrimoni (44).

(74)

Le organizzazioni accreditate per la protezione delle informazioni personali presentano relazioni annuali sulle loro attività. Secondo la «Sintesi sullo stato di attuazione dell’APPI nell’esercizio finanziario 2015», pubblicato dalla PPC, le organizzazioni accreditate per la protezione delle informazioni personali hanno ricevuto un totale di 442 reclami; hanno chiesto 123 spiegazioni agli operatori economici soggetti alla loro giurisdizione; hanno chiesto a tali operatori documenti in 41 casi; hanno impartito 181 istruzioni e hanno formulato due raccomandazioni (45).

(75)

Il livello di protezione offerto ai dati personali trasferiti dall’Unione europea verso gli operatori economici in Giappone non deve essere compromesso da ulteriori trasferimenti di tali dati a destinatari che si trovano in un paese terzo al di fuori del Giappone. Tali «trasferimenti successivi», che dal punto di vista dell’operatore economico giapponese costituiscono trasferimenti internazionali dal Giappone, dovrebbero essere autorizzati soltanto nel caso in cui anche il destinatario successivo al di fuori del Giappone sia soggetto a norme che garantiscono un livello di protezione analogo a quello garantito dall’ordinamento giuridico giapponese.

(76)

L’articolo 24 dell’APPI prevede una prima protezione, vietando, in linea di principio, il trasferimento di dati personali a terzi al di fuori del territorio del Giappone senza il previo consenso dell’interessato. La norma integrativa (4) garantisce che tale consenso, nel caso di trasferimenti di dati dall’Unione europea, sia particolarmente ben informato, in quanto impone che all’interessato siano «fornite le informazioni sulle circostanze relative al trasferimento che sono necessarie al titolare per decidere in merito al consenso». Su tale base gli interessati sono informati del trasferimento dei dati all’estero (al di fuori dell’ambito di applicazione dell’APPI) e del paese di destinazione specifico. Ciò consentirà loro di valutare il rischio per la privacy che tale trasferimento comporta. Come si può quindi evincere dall’articolo 23 dell’APPI (cfr. considerando 47), le informazioni fornite al titolare dovrebbero riguardare gli elementi obbligatori previsti dal comma 2 del medesimo articolo, ossia le categorie di dati personali fornite a un terzo e il metodo di comunicazione.

(77)

L’articolo 24 dell’APPI, in combinato disposto con l’articolo 11-2 delle norme della PPC, prevede diverse eccezioni alla regola del consenso. Inoltre, conformemente all’articolo 24, le stesse deroghe applicabili ai sensi dell’articolo 23, comma 1, dell’APPI valgono anche per i trasferimenti internazionali di dati (46).

(78)

Per garantire la continuità di protezione nel caso dei dati personali trasferiti dall’Unione europea al Giappone nel quadro della presente decisione, la norma integrativa (4) rafforza il livello di protezione per i trasferimenti successivi di tali dati da parte dei PIHBO verso un destinatario situato in un paese terzo. A tal fine limita e inquadra le basi per i trasferimenti internazionali cui possono ricorrere i PIHBO in alternativa al consenso. Più in particolare, e fatte salve le deroghe di cui all’articolo 23, comma 1, dell’APPI, i dati personali trasferiti ai sensi della presente decisione possono essere soggetti a trasferimenti (successivi) senza consenso solo in due casi: i) se i dati sono inviati a un paese terzo che secondo la PPC fornisce, ai sensi dell’articolo 24 dell’APPI, un livello di protezione equivalente a quello garantito in Giappone (47); o ii) se il PIHBO e il destinatario terzo hanno attuato misure concordate che garantiscono un livello di protezione equivalente a quello dell’APPI, in combinato disposto con le norme integrative, mediante un contratto, altre forme di accordi vincolanti o modalità vincolanti stabilite all’interno di un gruppo societario. La seconda categoria corrisponde agli strumenti utilizzati a norma del regolamento (UE) 2016/679 per assicurare garanzie adeguate (in particolare, clausole contrattuali e norme vincolanti d’impresa). Inoltre, come confermato dalla PPC, persino in tali casi il trasferimento rimane soggetto alle disposizioni generali applicabili a qualsiasi fornitura di dati personali a terzi conformemente all’APPI (ossia all’obbligo di ottenere il consenso a norma dell’articolo 23, comma 1, o, in alternativa, all’obbligo di informare con possibilità di rifiuto del consenso conformemente all’articolo 23, comma 2, dell’APPI). Nel caso in cui non sia possibile contattare l’interessato per chiedergli il consenso o per fornirgli le informazioni preventive di cui all’articolo 23, comma 2, dell’APPI, il trasferimento non può aver luogo.

(79)

Pertanto, al di fuori dei casi in cui la PPC ha constatato che il paese terzo garantisce un livello di protezione equivalente a quello garantito dall’APPI (48), le disposizioni di cui alla norma integrativa (4) escludono l’utilizzo di strumenti che non istituiscano un rapporto vincolante tra l’esportatore di dati giapponesi e l’importatore di dati del paese terzo e che non garantiscano il necessario livello di protezione. È il caso, ad esempio, del sistema di norme transfrontaliere in materia di privacy (CBPR) dell’APEC, di cui il Giappone è un’economia partecipante (49), in quanto in tale sistema le protezioni non risultano da un’intesa vincolante nell’ambito delle relazioni bilaterali tra l’esportatore e l’importatore e la protezione è chiaramente inferiore a quella garantita dalla combinazione dell’APPI e delle norme integrative (50).

(80)

Infine, un’ulteriore garanzia in caso di trasferimenti (successivi) discende dagli articoli 20 e 22 dell’APPI. Secondo tali disposizioni, qualora un operatore di un paese terzo (importatore di dati) agisca per conto del PIHBO (esportatore di dati), quindi in qualità di (sub)responsabile del trattamento, il secondo deve assicurare il controllo sul primo per quanto riguarda la sicurezza del trattamento dei dati.

(81)

Analogamente alla normativa UE sulla protezione dei dati, l’APPI accorda alle persone alcuni diritti azionabili, fra cui il diritto di accesso («comunicazione»), il diritto di rettifica e il diritto di cancellazione, nonché il diritto di opposizione («cessazione dell’utilizzo»).

(82)

In primo luogo, ai sensi dell’articolo 28, commi 1 e 2, dell’APPI, l’interessato ha il diritto di chiedere al PIHBO di «comunicare i dati personali conservati che possono consentirne l’identificazione»; al ricevimento di una tale richiesta, il PIHBO «[…] comunica i dati personali conservati» all’interessato. Gli articoli 29 (diritto di rettifica) e 30 (diritto di cessazione dell’utilizzo) hanno la stessa struttura dell’articolo 28.

(83)

L’articolo 9 dell’ordinanza del Gabinetto specifica che la comunicazione di informazioni personali, di cui all’articolo 28, comma 2, dell’APPI, è effettuata per iscritto, a meno che il PIHBO e l’interessato non abbiano convenuto diversamente.

(84)

Detti diritti sono soggetti a tre tipi di limitazioni, relative ai diritti e agli interessi della persona o dei terzi (51), alle gravi interferenze con l’attività commerciale del PIHBO (52) e ai casi in cui la comunicazione costituirebbe una violazione di altre disposizioni legislative o regolamentari (53). Le situazioni in cui tali limitazioni sarebbero applicabili sono analoghe ad alcune eccezioni applicabili ai sensi dell’articolo 23, paragrafo 1, del regolamento (UE) 2016/679, che consente di limitare i diritti delle persone per motivi concernenti «la tutela dell’interessato o dei diritti e delle libertà altrui» o «altri importanti obiettivi di interesse pubblico generale». Sebbene la categoria dei casi in cui la comunicazione violerebbe «altre disposizioni legislative o regolamentari» possa apparire ampia, le leggi e i regolamenti che prevedono limitazioni a tale riguardo devono rispettare il diritto costituzionale alla riservatezza e possono imporre limitazioni solo nella misura in cui l’esercizio di tale diritto «interferisca con il benessere pubblico» (54). Occorre pertanto un bilanciamento degli interessi in gioco.

(85)

A norma dell’articolo 28, comma 3, dell’APPI, se i dati richiesti non esistono, o se il PIHBO interessato decide di non concedere l’accesso ai dati conservati, questo è tenuto a informare la persona senza indugio.

(86)

In secondo luogo, a norma dell’articolo 29, commi 1 e 2, dell’APPI, l’interessato ha il diritto di richiedere la rettifica, l’aggiunta o la cancellazione dei propri dati personali conservati qualora non siano esatti. Al ricevimento della richiesta, il PIHBO «svolge […] le indagini necessarie» e, sulla base dei risultati, «rettifica ecc. i contenuti dei dati conservati».

(87)

In terzo luogo, ai sensi dell’articolo 30, commi 1 e 2, dell’APPI, l’interessato ha il diritto di chiedere al PIHBO di cessare l’utilizzo di informazioni personali o di cancellarle quando siano gestite in violazione dell’articolo 16 (sulla limitazione di finalità) o siano state acquisite indebitamente in violazione dell’articolo 17 dell’APPI (sull’acquisizione con frode o altri mezzi impropri o, in caso di dati sensibili, senza autorizzazione). Allo stesso modo, a norma dell’articolo 30, commi 3 e 4, dell’APPI, la persona ha il diritto di chiedere al PIHBO di cessare la fornitura di informazioni a terzi quando ciò viola le disposizioni dell’articolo 23, comma 1, o dell’articolo 24 dell’APPI (sulla fornitura a terzi, compresi i trasferimenti internazionali).

(88)

Quando la richiesta è fondata, il PIHBO interrompe senza indugio l’utilizzo dei dati, o la loro fornitura a un terzo, nella misura necessaria per porre rimedio alla violazione o, se il caso rientra in un’eccezione (in particolare se la cessazione dell’utilizzo comportasse costi particolarmente elevati) (55), attua le misure alternative necessarie a tutelare i diritti e gli interessi della persona interessata.

(89)

Diversamente dal diritto dell’UE, l’APPI e le pertinenti disposizioni regolamentari non contengono previsioni riguardanti specificamente la possibilità di opporsi al trattamento per finalità di marketing diretto. La presente decisione prevede tuttavia che tale trattamento avvenga nel contesto di un trasferimento di dati personali precedentemente raccolti nell’Unione europea. A norma dell’articolo 21, paragrafo 2, del regolamento (UE) 2016/679, l’interessato ha sempre la possibilità di opporsi quando i dati sono trasferiti per essere trattati per finalità di marketing diretto. Inoltre, come spiegato al considerando 43, ai sensi della norma integrativa (3) il PIHBO è tenuto a trattare i dati ricevuti a norma della presente decisione per la stessa finalità per la quale sono stati trasferiti dall’Unione europea, a meno che l’interessato non acconsenta a modificare la finalità di utilizzazione. Pertanto, se il trasferimento è stato effettuato per finalità diverse dal marketing diretto, al PIHBO in Giappone sarà vietato il trattamento dei dati a finalità di marketing diretto senza il consenso dell’interessato dell’UE.

(90)

In tutti i casi di cui agli articoli 28 e 29 dell’APPI il PIHBO è tenuto a comunicare alla persona l’esito della sua richiesta senza indugio e, peraltro, a giustificare l’eventuale rifiuto (parziale) sulla base delle eccezioni di legge previste agli articoli da 27 a 30 (articolo 31 dell’APPI).

(91)

Per quanto riguarda le condizioni per la presentazione di una richiesta, l’articolo 32 dell’APPI (in combinato disposto con l’ordinanza del Gabinetto) consente al PIHBO di determinare procedure ragionevoli, anche in termini di informazioni necessarie a identificare i dati personali conservati. Tuttavia, a norma del comma 4, del medesimo articolo, i PIHBO non devono imporre un «onere eccessivo sul titolare». In taluni casi i PIHBO possono anche imporre il pagamento di un contributo purché l’importo sia di «entità ritenuta ragionevole in considerazione dei costi reali» (articolo 33 dell’APPI).

(92)

Infine la persona può opporsi alla fornitura delle proprie informazioni personali a un terzo ai sensi dell’articolo 23, comma 2, dell’APPI, o rifiutare il consenso ai sensi dell’articolo 23, comma 1 (impedendo così la comunicazione nel caso in cui non sia applicabile nessun’altra base giuridica). Analogamente la persona può impedire, a norma dell’articolo 16, comma 1, dell’APPI, il trattamento dei dati per una finalità diversa rifiutando di dare il proprio consenso.

(93)

Diversamente dal diritto dell’UE, l’APPI e le pertinenti disposizioni regolamentari non contengono previsioni generali sulle decisioni riguardanti l’interessato basate unicamente sul trattamento automatizzato di dati personali. La questione è affrontata tuttavia in alcune norme settoriali applicabili in Giappone che sono particolarmente pertinenti per tale tipo di trattamento. Si tratta in particolare dei settori in cui è maggiormente probabile che le imprese ricorrano al trattamento automatizzato dei dati personali per prendere decisioni relative alle persone (ad esempio, nel settore finanziario). Ad esempio, gli «orientamenti completi per la vigilanza sulle grandi banche», riveduti nel giugno 2017, impongono che la persona riceva spiegazioni specifiche sui motivi del rifiuto della richiesta di concludere un contratto di prestito. Tali norme offrono quindi protezione nei casi, presumibilmente assai limitati, in cui un operatore economico «importatore» giapponese (invece del titolare del trattamento «esportatore» dell’UE) prenda una decisione con procedura automatizzata.

(94)

In ogni caso, per quanto riguarda i dati personali raccolti nell’Unione europea, qualsiasi decisione basata sul trattamento automatizzato sarà generalmente presa dal titolare del trattamento nell’Unione (che ha un rapporto diretto con l’interessato) ed è, di conseguenza, soggetta al regolamento (UE) 2016/679 (56). Ciò comprende i casi di trasferimento in cui il trattamento è effettuato da un operatore economico straniero (ad esempio, giapponese) che agisce in qualità di agente (responsabile del trattamento) per conto del titolare del trattamento dell’UE (o come responsabile del trattamento in seconda battuta che agisce per conto del responsabile del trattamento dell’UE, che ha ricevuto i dati dal titolare del trattamento dell’UE che li ha raccolti) che, su questa base, prende la decisione. È pertanto improbabile che l’assenza di norme specifiche relative al processo decisionale automatizzato nell’APPI incida sul livello di protezione dei dati personali trasferiti ai sensi della presente decisione.

(95)

Al fine di garantire anche nella pratica un adeguato livello di protezione dei dati, dovrebbe esistere un’autorità di controllo indipendente cui siano conferiti i poteri di monitorare e assicurare il rispetto delle norme in materia di protezione dei dati. Tale autorità dovrebbe agire in piena indipendenza e imparzialità nell’esercizio delle proprie funzioni e dei propri poteri.

(96)

In Giappone l’autorità incaricata di monitorare e assicurare il rispetto dell’APPI è la PPC. Questa è composta di un presidente e otto commissari nominati dal primo ministro con il consenso delle due camere della Dieta. La durata del mandato del presidente e dei commissari è di cinque anni, con possibilità di rinnovo (articolo 64 dell’APPI). I commissari possono essere revocati solo per giusta causa in una serie limitata di circostanze eccezionali (57) e non devono essere impegnati attivamente in attività politiche. Conformemente all’APPI, i commissari a tempo pieno devono altresì astenersi da qualsiasi altra attività remunerata o commerciale. Tutti i commissari sono soggetti anche a norme interne che impediscono loro di partecipare alle deliberazioni in caso di un possibile conflitto di interessi. La PPC è assistita da un segretariato, diretto da un segretario generale, che è stato istituito al fine di eseguire i compiti assegnati alla PPC (articolo 70 dell’APPI). I commissari e i funzionari del segretariato sono tenuti a rispettare rigorose norme di riservatezza (articoli 72 e 82 dell’APPI).

(97)

I poteri della PPC, che essa esercita in piena indipendenza (58), sono stabiliti soprattutto dagli articoli 40, 41 e 42 dell’APPI. Ai sensi dell’articolo 40, la PPC può chiedere al PIHBO di presentare una relazione o documentazione sulle operazioni di trattamento dei dati e può anche svolgere ispezioni, sia in loco che di registri o altri documenti. Se necessario a far rispettare l’APPI, la PPC può fornire ai PIHBO anche orientamenti o consulenza per quanto riguarda la gestione delle informazioni personali. La PPC si è già avvalsa di tale potere a norma dell’articolo 41 dell’APPI emettendo orientamenti destinati a Facebook a seguito delle rivelazioni del caso Facebook/Cambridge Analytica.

(98)

Massimamente importante è il fatto che la PPC abbia il potere (a seguito di un reclamo o di propria iniziativa) di formulare, in singoli casi, raccomandazioni ed emettere ordinanze al fine di far rispettare l’APPI e le altre norme vincolanti (comprese le norme integrative). Tali poteri sono stabiliti dall’articolo 42 dell’APPI. Sebbene i commi 1 e 2 prevedano un meccanismo in due fasi per cui la PPC può emettere un’ordinanza (solo) a seguito di una precedente raccomandazione, il comma 3 consente l’adozione diretta di un’ordinanza in casi di urgenza.

(99)

Anche se non tutte le disposizioni del capo IV, sezione 1, dell’APPI, sono elencate all’articolo 42, comma 1 (che stabilisce anche l’ambito di applicazione dell’articolo 42, comma 2), ciò può essere spiegato dal fatto che alcune di queste disposizioni non riguardano gli obblighi del PIHBO (59) e che tutte le protezioni essenziali sono già garantite da altre disposizioni incluse in tale elenco. Ad esempio, sebbene non sia menzionato l’articolo 15 (secondo il quale il PIHBO è tenuto a fissare la finalità di utilizzo delle informazioni personali e a trattarle esclusivamente in tale ambito), l’inosservanza di tale disposizione può essere motivo di una raccomandazione per violazione dell’articolo 16, comma 1 (che proibisce al PIHBO di trattare le informazioni personali al di là di quanto sia necessario a conseguire la finalità di utilizzo, a meno di non ottenere il consenso dell’interessato) (60). Un���altra disposizione non elencata all’articolo 42, comma 1, è l’articolo 19 dell’APPI sull’esattezza dei dati e la loro conservazione. Il mancato rispetto di tale disposizione può essere fatto valere come violazione dell’articolo 16, comma 1, o come violazione dell’articolo 29, comma 2, laddove la persona interessata chieda la rettifica o la cancellazione di dati errati o eccessivi e il PIHBO rifiuti di soddisfare tale richiesta. Quanto ai diritti dell’interessato ai sensi dell’articolo 28, comma 1, dell’articolo 29, comma 1, e dell’articolo 30, comma 1, la vigilanza della PPC è garantita conferendole poteri di esecuzione per quanto riguarda i corrispondenti obblighi del PIHBO stabiliti in tali articoli.

(100)

A norma dell’articolo 42, comma 1, dell’APPI, la PPC, se ritiene che vi sia «necessità di proteggere i diritti e gli interessi di una persona nei casi in cui [il PIHBO] abbia violato» disposizioni specifiche dell’APPI, può emettere una raccomandazione al fine di «interrompere la violazione o di adottare le altre misure necessarie a porre rimedio alla violazione stessa». Tale raccomandazione non è vincolante, ma apre la strada a un’ordinanza vincolante a norma dell’articolo 42, comma 2, dell’APPI. In base a tale disposizione, se la raccomandazione non è seguita «senza motivi legittimi» e la PPC «ritiene che sia imminente una grave violazione dei diritti e degli interessi di una persona», la PPC può ordinare al PIHBO di adottare misure in linea con la raccomandazione.

(101)

Le norme integrative chiariscono e rafforzano ulteriormente i poteri esecutivi della PPC. Più specificamente, nei casi riguardanti dati importati dall’Unione europea, se il PIHBO omette, senza motivo legittimo, di adottare misure per conformarsi a una raccomandazione emessa dalla PPC a norma dell’articolo 42, comma 1, dell’APPI, la PPC riterrà sempre che ciò costituisca una grave violazione di natura imminente dei diritti e degli interessi di una persona ai sensi dell’articolo 42, paragrafo 2, e, di conseguenza, una violazione che giustifica l’emissione di un’ordinanza vincolante. La PPC accetterà inoltre come «motivo legittimo» per non conformarsi a una raccomandazione esclusivamente un «evento di carattere straordinario [che impedisce di conformarsi alla raccomandazione] al di fuori del controllo [del PIHBO] che non può essere ragionevolmente previsto (ad esempio, catastrofi naturali)» o casi in cui la necessità di adottare misure riguardanti una raccomandazione «è venuta meno poiché [il PIHBO] ha adottato misure alternative che costituiscono un rimedio integrale della violazione».

(102)

L’inosservanza di un’ordinanza della PPC è considerata reato ai sensi dell’articolo 84 dell’APPI e, se ritenuto colpevole, il PIHBO è punito con pena detentiva con obbligo di lavoro fino a sei mesi oppure con una pena pecuniaria fino a 300 000 yen. Inoltre, ai sensi dell’articolo 85, punto i), dell’APPI, la mancanza di cooperazione con la PPC o l’intralcio delle indagini da essa condotte è punibile con una pena pecuniaria fino a 300 000 yen. Tali sanzioni penali si applicano in aggiunta a quelle che possono essere imposte per violazioni sostanziali dell’APPI (cfr. considerando 108).

(103)

Al fine di garantire una protezione adeguata e, in particolare, il rispetto dei diritti individuali, l’interessato dovrebbe avere a disposizione efficaci mezzi di ricorso in sede amministrativa e giudiziaria, compreso il risarcimento dei danni.

(104)

Prima di presentare ricorso in sede amministrativa o giudiziaria, o in alternativa al ricorso, la persona può decidere di presentare reclamo per il trattamento dei propri dati personali al titolare del trattamento stesso. In conformità all’articolo 35 dell’APPI i PIHBO si adoperano a trattare tali reclami «in modo adeguato e prontamente» e a istituire sistemi interni di gestione dei reclami per conseguire tale obiettivo. Inoltre, a norma dell’articolo 61, punto ii), dell’APPI, la PPC è responsabile della «mediazione necessaria relativamente ai reclami presentati e della cooperazione offerta agli operatori commerciali che trattano i reclami», il che include, in entrambi i casi, i reclami presentati dagli stranieri. A tal proposito il legislatore ha affidato inoltre al governo centrale il compito di adottare le «misure necessarie» a consentire e ad agevolare la risoluzione dei reclami da parte dei PIHBO (articolo 9); in tali casi le amministrazioni locali devono adoperarsi ad assicurare la mediazione (articolo 13). A tale riguardo, le persone possono presentare un reclamo sia presso uno degli oltre 1 700 centri per i consumatori, istituiti dalle amministrazioni locali in base alla legge sulla sicurezza dei consumatori (61), che presso il Centro nazionale per gli affari dei consumatori del Giappone. I reclami possono essere presentati anche per violazione dell’APPI. A norma dell’articolo 19 della legge di base sui consumatori (62), le amministrazioni locali si adoperano a mediare in caso di reclami e a mettere a disposizione delle parti le competenze necessarie. Tali meccanismi di risoluzione delle controversie sembrano essere molto efficaci, con un tasso di risoluzione del 91,2 % per gli oltre 75 000 casi di reclamo del 2015.

(105)

Le violazioni delle disposizioni dell’APPI da parte di un PIHBO possono dar luogo ad azioni civili e ad azioni penali con le relative sanzioni. In primo luogo, la persona che reputa violati i diritti di cui gode a norma degli articoli 28, 29 e 30 dell’APPI può chiedere al giudice un’ingiunzione che ordini al PIHBO di soddisfare la richiesta presentata ai sensi di una di tali disposizioni, ossia di comunicare i dati personali conservati (articolo 28), di rettificare i dati conservati che non sono corretti (articolo 29) o di cessare il trattamento illecito o la fornitura a terzi (articolo 30). Tale ricorso potrebbe essere proposto senza la necessità di basarsi sull’articolo 709 del codice civile (63) o su altre disposizioni di legge sugli illeciti civili (64). Ciò significa, in particolare, che la persona non ha l’onere di provare il danno.

(106)

In secondo luogo, qualora una presunta violazione non riguardi diritti individuali di cui agli articoli 28, 29 e 30, bensì principi o obblighi generali del PIHBO relativi alla protezione dei dati, la persona interessata può promuovere un’azione civile nei confronti dell’operatore economico sulla base delle disposizioni sugli illeciti civili del codice civile giapponese, in particolare dell’articolo 709. Sebbene una causa ai sensi dell’articolo 709 preveda, oltre all’elemento soggettivo (dolo o colpa), una dimostrazione del danno, l’articolo 710 del codice civile dispone che tale danno possa essere sia materiale che immateriale. L’importo dell’indennizzo non è soggetto a limitazioni.

(107)

Per quanto riguarda i rimedi disponibili, l’articolo 709 del codice civile fa riferimento a un risarcimento pecuniario. Secondo l’interpretazione della giurisprudenza giapponese, tale articolo conferisce tuttavia anche il diritto di ottenere un’ingiunzione (65). Pertanto, qualora l’interessato avvii un’azione ai sensi dell’articolo 709 del codice civile sostenendo che i suoi diritti o interessi sono stati lesi dalla violazione di una disposizione dell’APPI da parte del convenuto, tale pretesa può includere, oltre al risarcimento del danno, la richiesta di un provvedimento inibitorio, in particolare al fine di porre termine a qualsiasi trattamento illecito.

(108)

In terzo luogo, oltre ai mezzi di ricorso di diritto civile (risarcimento danni per illeciti civili), l’interessato può presentare denuncia alla magistratura o alla polizia giudiziaria per violazione dell’APPI, il che può condurre a sanzioni penali. Il capo VII dell’APPI contiene una serie di disposizioni penali. La più importante (articolo 84) riguarda il mancato rispetto da parte del PIHBO delle ordinanze della PPC a norma dell’articolo 42, commi 2 e 3. Se un operatore economico non rispetta l’ordinanza emessa dalla PPC, il presidente della PPC (nonché qualsiasi altro funzionario governativo) (66) può trasmettere il caso alla magistratura o alla polizia giudiziaria determinando l’avvio dell’azione penale. La violazione di un’ordinanza della PPC è punita con una pena detentiva con obbligo di lavoro fino a sei mesi o una pena pecuniaria fino a 300 000 yen. Altre disposizioni dell’APPI che prevedono sanzioni in caso di violazioni dell’APPI che ledono i diritti e gli interessi degli interessati comprendono l’articolo 83 (per quanto riguarda «la fornitura o l’uso a seguito di furto» di una banca dati di informazioni personali «al fine di trarne […] profitti illeciti») e l’articolo 88, punto i) (per quanto riguarda il mancato adempimento da parte di un terzo dell’obbligo di informare correttamente il PIHBO quando quest’ultimo riceve dati personali a norma dell’articolo 26, paragrafo 1, dell’APPI, con particolare riguardo ai dettagli delle precedenti acquisizioni di tali dati da parte del terzo medesimo). Le sanzioni applicabili a tali violazioni dell’APPI sono, rispettivamente, una pena detentiva con obbligo di lavoro fino a un anno o una pena pecuniaria fino a 500 000 yen (nel caso dell’articolo 83) o una sanzione amministrativa fino a 100 000 yen (nel caso dell’articolo 88, punto i)). Sebbene la minaccia di una sanzione penale possa già avere un forte effetto deterrente sulla direzione dell’impresa che conduce le operazioni di trattamento del PIHBO e sulle persone che gestiscono i dati, l’articolo 87 dell’APPI chiarisce che, quando un rappresentante, un dipendente o un altro collaboratore di una persona giuridica ha commesso una violazione a norma degli articoli da 83 a 85 dell’APPI,«il soggetto è punito e la sanzione stabilita negli articoli corrispondenti è inflitta a detta persona giuridica». In tal caso sia al dipendente che all’impresa possono essere imposte sanzioni fino all’intero importo massimo.

(109)

Infine le persone possono anche presentare ricorso contro l’azione o l’inerzia della PPC. A tal fine la normativa giapponese prevede varie vie di ricorso in sede amministrativa e giudiziaria.

(110)

La persona che non è soddisfatta della linea di azione seguita dalla PPC ha la facoltà di depositare un ricorso amministrativo ai sensi della legge per il riesame dei ricorsi amministrativi (67). Per contro, la persona che ritiene che la PPC sia rimasta inerte quando avrebbe invece dovuto agire può chiedere che quest’ultima, a norma dell’articolo 36-3 di tale legge, emani una disposizione o linee guida amministrative se, a suo parere, «non sono state fornite o imposte le disposizioni o linee guida amministrative necessarie alla correzione della violazione».

(111)

Per quanto riguarda la possibilità di presentare ricorso giurisdizionale, ai sensi della legge in materia di contenzioso amministrativo, la persona che non è soddisfatta di una disposizione amministrativa emanata dalla PPC può avviare un’azione mandamus (68) con cui chiede all’organo giurisdizionale di ordinare alla PPC di adottare ulteriori misure (69). In determinati casi, l’organo giurisdizionale può emettere anche un’ordinanza mandamus provvisoria al fine di prevenire danni irreversibili (70). Ai sensi della medesima legge la persona può chiedere anche la revoca di una decisione di PPC (71).

(112)

Una persona può infine avviare anche un’azione di risarcimento da parte dello Stato contro la PPC, a norma dell’articolo 1, comma 1, della legge sul ricorso avverso lo Stato, nel caso in cui abbia subito danni a causa di un’ordinanza illegittima emessa dalla PPC nei confronti di un operatore economico o del mancato esercizio dei propri poteri da parte della PPC.

(113)

La Commissione ha valutato le limitazioni e le garanzie, compresi i meccanismi di vigilanza e di ricorso individuale disponibili nella normativa giapponese per quanto riguarda la raccolta e il successivo utilizzo dei dati personali trasferiti verso operatori economici in Giappone da parte di autorità pubbliche per motivi di interesse pubblico, in particolare per motivi di contrasto penale e di sicurezza nazionale («accesso da parte di pubbliche amministrazioni»). A tale riguardo il governo giapponese ha fornito alla Commissione le dichiarazioni, le garanzie e gli impegni ufficiali, firmati al più alto livello dei ministeri e delle agenzie, che figurano nell’allegato II della presente decisione.

(114)

In quanto esercizio di pubblici poteri, in Giappone l’accesso da parte delle pubbliche amministrazioni deve essere effettuato nel pieno rispetto della legge (principio di legittimità). A tal proposito, la costituzione giapponese contiene disposizioni che limitano e inquadrano la raccolta dei dati personali da parte delle autorità pubbliche. Come già indicato relativamente al trattamento dei dati da parte di operatori economici, la Corte suprema del Giappone, basandosi sull’articolo 13 della costituzione, che tutela tra l’altro il diritto alla libertà, ha riconosciuto il diritto al rispetto della vita privata e alla protezione dei dati (72). Un elemento importante di tale diritto è la libertà di impedire la comunicazione delle proprie informazioni personali a terzi senza autorizzazione (73). Ciò implica il diritto alla protezione effettiva dei dati personali dagli abusi e (in particolare) dall’accesso illecito. Un’ulteriore protezione è garantita dall’articolo 35 della costituzione che sancisce il diritto di ognuno all’inviolabilità del domicilio, dei propri documenti e degli effetti personali, che impone alle autorità pubbliche di ottenere un mandato del giudice per un «motivo adeguato» (74) in tutti i casi di «perquisizioni e sequestri». Nella sentenza del 15 marzo 2017 (causa GPS) la Corte suprema ha chiarito che l’obbligo di mandato si applica ogniqualvolta il governo fa intrusione (entra) nella sfera privata in modo che la volontà della persona risulti repressa e conduce un’«indagine obbligatoria». Un giudice può emettere tale mandato soltanto sulla base di un sospetto concreto di reato, ossia quando gli siano state fornite prove documentali sulla base delle quali si può ritenere che la persona sottoposta a indagine abbia commesso un reato (75). Di conseguenza, le autorità giapponesi non hanno legalmente il potere di raccogliere informazioni personali con mezzi forzosi in situazioni in cui non si è ancora verificata alcuna violazione della legge (76), ad esempio al fine di prevenire un reato o un’altra minaccia per la sicurezza (come nel caso di indagini per motivi di sicurezza nazionale).

(115)

Secondo il principio della riserva di legge, qualsiasi raccolta di dati nell’ambito di un’indagine coercitiva deve essere autorizzata specificamente dalla legge (come indicato, ad esempio, nell’articolo 197, comma 1, del codice di procedura penale in riferimento alla raccolta forzosa di informazioni a fini di indagine penale). Tale obbligo si applica anche all’accesso alle informazioni in formato elettronico.

(116)

È importante osservare che l’articolo 21, comma 2, della costituzione garantisce la segretezza di tutti i mezzi di comunicazione, consentendo limitazioni solo nella normativa per motivi di interesse pubblico. L’articolo 4 della legge sulle imprese di telecomunicazione, secondo cui la segretezza delle comunicazioni gestite da un operatore di telecomunicazioni non deve essere violata, dà attuazione nella legge a tale obbligo costituzionale di riservatezza. L’obbligo è stato interpretato come un divieto di comunicazione delle informazioni sulle comunicazioni, a meno che l’utente presti il proprio consenso o in base a una delle esenzioni esplicite dalla responsabilità penale previste dal codice penale (77).

(117)

La costituzione garantisce inoltre il diritto di accesso alla giustizia (articolo 32) e il diritto di citare in giudizio lo Stato per ottenere un risarcimento nel caso in cui una persona abbia subito danni a causa dell’atto illecito di un pubblico ufficiale (articolo 17).

(118)

Per quanto riguarda in particolare il diritto alla protezione dei dati, il capo III, sezioni 1, 2 e 3, dell’APPI stabilisce principi generali relativamente a tutti i settori, compreso il settore pubblico. In particolare, l’articolo 3 dell’APPI prevede che tutte le informazioni personali debbano essere gestite in conformità al principio del rispetto della personalità delle persone. Una volta che le informazioni personali, contenute anche in registri elettronici, sono state raccolte («ottenute») dalle autorità pubbliche (78), la loro gestione è disciplinata dalla legge sulla protezione delle informazioni personali detenute da organi amministrativi («APPIHAO») (79). Ciò comprende (80), in linea di principio, anche il trattamento delle informazioni personali per motivi di contrasto penale o di sicurezza nazionale. L’APPIHAO prevede, tra l’altro, che le autorità pubbliche: i) possano conservare le informazioni personali solo se è necessario allo svolgimento delle loro funzioni; ii) non usino tali informazioni per una finalità «ingiusta» né le comunichino a terzi senza giustificazione; iii) specifichino la finalità e non la modifichino al di là di quanto possa essere considerato ragionevolmente pertinente per la finalità originaria (limitazione delle finalità); iv) in linea di principio, non usino né forniscano a terzi le informazioni personali conservate per altre finalità e, qualora lo ritengano necessario, impongano restrizioni alla finalità o alla modalità di utilizzo da parte di terzi; v) si adoperino per garantire la correttezza delle informazioni (qualità dei dati); vi) adottino le misure necessarie per la corretta gestione delle informazioni e per prevenire fughe, perdite o danni (sicurezza dei dati); vii) si adoperino per elaborare in modo corretto e rapido gli eventuali reclami concernenti il trattamento delle informazioni (81).

(119)

La normativa giapponese prevede una serie di limitazioni all’accesso e all’uso dei dati personali per motivi di contrasto penale, così come meccanismi di vigilanza e di ricorso, tali da costituire garanzie sufficienti che permettono di proteggere efficacemente detti dati dall’ingerenza illecita e dal rischio di abusi.

(120)

Il quadro giuridico giapponese prevede che la raccolta di informazioni in formato elettronico per motivi di contrasto penale è ammissibile sulla base di un mandato (raccolta obbligatoria) o di una richiesta di comunicazione volontaria.

(121)

Come indicato al considerando 115, la raccolta di dati nell’ambito di un’indagine coercitiva deve essere autorizzata specificamente dalla normativa e può essere effettuata solo sulla base di un mandato del giudice «emesso per un motivo adeguato» (articolo 35 della costituzione). Per quanto riguarda l’indagine sui reati, tale obbligo si rispecchia nelle disposizioni del codice di procedura penale. A norma dell’articolo 197, comma 1, del codice di procedura penale, le misure obbligatorie «non si applicano a meno che il presente codice non preveda disposizioni speciali». Per quanto riguarda la raccolta di informazioni in formato elettronico, le uniche basi giuridiche (82) pertinenti sono l’articolo 218 del codice di procedura penale (perquisizioni e sequestri) e articolo 222-2 del codice di procedura penale, secondo il quale le misure obbligatorie per l’intercettazione delle comunicazioni elettroniche senza il consenso di una delle parti sono eseguite sulla base di altre leggi, in particolare della legge sulle intercettazioni delle comunicazioni ai fini delle indagini giudiziarie («legge sulle intercettazioni»). In entrambi i casi vige l’obbligo di mandato.

(122)

Più specificamente, a norma dell’articolo 218, comma 1, del codice di procedura penale, un pubblico ministero, un assistente di un pubblico ministero o un ufficiale di polizia giudiziaria possono, se necessario ai fini dell’indagine sul reato, effettuare una perquisizione o un sequestro (anche ordinando registrazioni) in base a un mandato precedentemente emesso da un giudice (83). Tale mandato deve contenere, tra l’altro, il nome dell’indagato o dell’imputato, l’imputazione (84), le registrazioni elettromagnetiche da sequestrare e il «luogo o gli elementi» da ispezionare (articolo 219, comma 1, del codice di procedura penale).

(123)

Per quanto riguarda l’intercettazione delle comunicazioni, l’articolo 3 della legge sulle intercettazioni la autorizza solo nel rispetto di rigorose condizioni. In particolare, le autorità pubbliche devono ottenere preventivamente un mandato del giudice che può essere emesso solo per l’indagine su gravi reati specifici (elencati nell’allegato della legge) (85) e quando è «estremamente difficile individuare l’autore del reato o chiarire le situazioni/i dettagli della perpetrazione in altro modo» (86). Ai sensi dell’articolo 5 della legge sulle intercettazioni, il mandato è emesso per un periodo di tempo limitato e il giudice può imporre condizioni aggiuntive. La legge sulle intercettazioni prevede inoltre una serie di ulteriori garanzie, quali la presenza necessaria di testimoni (articoli 12 e 20), il divieto di intercettare le comunicazioni di determinati gruppi tutelati dal segreto professionale (ad esempio medici e avvocati) (articolo 15), l’obbligo di porre fine alle intercettazioni non più giustificate, anche durante il periodo di validità del mandato (articolo 18), o l’obbligo generale di informare la persona interessata e consentirle l’accesso alle registrazioni entro trenta giorni dalla fine delle intercettazioni (articoli 23 e 24).

(124)

Per tutte le misure obbligatorie basate su un mandato, si può ricorrere soltanto a detto mezzo di ricerca delle prove «per quanto necessario al conseguimento dell’obiettivo» (articolo 197, comma 1, del codice di procedure penale) (vale a dire nel caso in cui gli obiettivi perseguiti con l’indagine non possano essere conseguiti in altro modo). Sebbene i criteri per determinare la necessità non siano ulteriormente specificati dalla legge, la Corte suprema del Giappone ha stabilito che il giudice che emette il mandato debba effettuare una valutazione complessiva tenendo conto, in particolare, i) della gravità del reato e delle circostanze nelle quali è stato commesso; ii) del valore e dell’importanza dei materiali da sequestrare quali elementi di prova; iii) della probabilità (rischio) che gli elementi di prova siano occultati o distrutti; e iv) della misura in cui il sequestro può causare pregiudizio alla persona interessata (87).

(125)

Nei limiti delle loro competenze le autorità pubbliche possono raccogliere informazioni in formato elettronico sulla base delle richieste di comunicazione volontaria. Si tratta di una forma di cooperazione non obbligatoria in cui l’adempimento della richiesta non può essere imposto (88); le autorità pubbliche sono pertanto sollevate dall’obbligo di ottenere il mandato dell’autorità giudiziaria.

(126)

Se tale richiesta è rivolta a un operatore economico e riguarda informazioni personali, l’operatore economico deve ottemperare agli obblighi dell’APPI. Ai sensi dell’articolo 23, comma 1, dell’APPI, gli operatori economici possono comunicare le informazioni personali a terzi senza il consenso della persona interessata solo in determinati casi, ad esempio quando la comunicazione è «basata su disposizioni legislative e regolamentari» (89). Nel settore del contrasto penale la base giuridica di dette richieste è costituita dall’articolo 197, comma 2, del codice di procedura penale, a norma del quale «alle organizzazioni private può essere richiesto di riferire su questioni necessarie all’indagine». Poiché è ammissibile soltanto nell’ambito di un’indagine penale, tale «modulo di richiesta» presuppone sempre l’esistenza di un sospetto concreto riguardo a un reato già commesso (90). Inoltre, siccome tali indagini sono generalmente svolte dalla polizia prefetturale, si applicano le limitazioni di cui all’articolo 2, comma 2, della legge sulla polizia (91), in base al quale le attività di polizia sono «rigorosamente limitate» all’adempimento delle responsabilità e delle funzioni della polizia stessa (vale a dire la prevenzione, la repressione e l’investigazione di reati). Nell’esecuzione dei propri compiti la polizia agisce inoltre in modo imparziale, equo e scevro da pregiudizi e non deve abusare mai dei propri poteri «interferendo così con i diritti e le libertà della persona garantiti dalla costituzione del Giappone» (che comprendono, come già indicato, il diritto al rispetto della vita privata e alla protezione dei dati) (92).

(127)

Con particolare riferimento all’articolo 197, comma 2, del codice di procedura penale, l’Agenzia nazionale di polizia (NPA) – in qualità di autorità federale incaricata, tra l’altro, di tutte le questioni concernenti la polizia giudiziaria – ha impartito direttive alla polizia prefetturale (93) sul «buon uso delle richieste di informazioni scritte nelle indagini». In base a tale comunicazione le richieste devono essere presentate utilizzando un modulo prestabilito («modulo n. 49» o il cosiddetto «modulo di richiesta») (94) e devono riguardare i documenti «relativi a un’indagine specifica», e le informazioni richieste devono essere «necessarie per l’indagine [in questione]». Per ogni caso l’investigatore capo «svolge un esame completo, tra l’altro, della necessità e del contenuto della singola richiesta» e deve ricevere l’approvazione interna da un funzionario di alto grado.

(128)

In due sentenze del 1969 e del 2008 (95) la Corte suprema del Giappone ha stabilito limitazioni relative alle misure non obbligatorie che interferiscono con il diritto alla vita privata (96). In particolare la Corte ha affermato che tali misure devono essere «ragionevoli» e mantenersi entro «limiti generalmente ammissibili», ossia esse devono essere necessarie alle indagini su un indagato (raccolta degli elementi di prova) e devono essere svolte «con metodi adeguati al conseguimento della finalità dell’indagine» (97). Le sentenze dimostrano che ciò comporta un controllo di proporzionalità che tiene conto di tutte le circostanze del caso (ad esempio, il livello di interferenza con il diritto al rispetto della vita privata, comprese, tra l’altro, le aspettative in tal senso, la gravità del reato, la probabilità di ottenere elementi di prova utili, l’importanza di tali elementi probatori, eventuali modalità alternative di indagine) (98).

(129)

Oltre alle limitazioni all’esercizio dell’autorità pubblica, gli operatori economici stessi sono tenuti a verificare («confermare») la necessità e la «razionalità» della fornitura di dati a un terzo (99). A tal proposito essi devono stabilire se la legge vieti loro di collaborare. Tali obblighi giuridici contrastanti possono essere dovuti, in particolare, a obblighi di riservatezza, come l’articolo 134 del codice penale (concernente il rapporto, ad esempio, tra un medico, un avvocato o un prete e il rispettivo paziente, cliente o parrocchiano). Inoltre «chiunque sia attivo nel settore delle telecomunicazioni è tenuto, durante la propria attività, a mantenere i segreti altrui di cui sia venuto a conoscenza nell’ambito delle comunicazioni gestite dall’operatore di telecomunicazioni» (articolo 4, comma 2, della legge sulle imprese di telecomunicazione). Tale obbligo è sostenuto dalla sanzione prevista dall’articolo 179 della legge sulle imprese di telecomunicazione, secondo cui chiunque abbia violato la segretezza delle comunicazioni gestite da un operatore di telecomunicazioni è colpevole di un reato ed è punito con una pena detentiva con obbligo di lavoro fino a due anni o con una pena pecuniaria non superiore a un milione di yen (100). Sebbene tale obbligo non sia assoluto e consenta, in particolare, misure che violano la segretezza delle comunicazioni che costituiscono «atti giustificabili» ai sensi dell’articolo 35 del codice penale, tale eccezione non copre la risposta alle richieste non obbligatorie delle autorità pubbliche relative alla comunicazione di informazioni in formato elettronico a norma dell’articolo 197, comma 2, del codice di procedura penale (101).

(130)

Al momento della raccolta da parte delle autorità pubbliche giapponesi le informazioni personali rientrano nell’ambito di applicazione dell’APPIHAO. Tale legge disciplina la gestione (trattamento) delle «informazioni personali conservate» e impone in proposito una serie di limitazioni e garanzie (cfr. considerando 118) (102). Inoltre anche il fatto che un organo amministrativo possa conservare informazioni personali «solo quando la conservazione sia necessaria a svolgere attività di sua competenza previste da disposizioni legislative e regolamentari» (articolo 3, comma 1, dell’APPIHAO) impone restrizioni – almeno indirettamente – alla raccolta iniziale.

(131)

In Giappone la raccolta di informazioni in formato elettronico nel settore del contrasto penale rientra principalmente (103) tra le responsabilità della polizia prefetturale (104), che a tal proposito è soggetta a diversi livelli di vigilanza.

(132)

In primo luogo, in tutti i casi in cui le informazioni in formato elettronico sono raccolte con mezzi coattivi di ricerca della prova (perquisizioni e sequestri), la polizia deve ottenere preventivamente un mandato del giudice (cfr. considerando 121). In tali casi, pertanto, la raccolta sarà controllata ex ante da un giudice che si atterrà rigidamente al criterio del «motivo adeguato».

(133)

Sebbene non vi sia una verifica ex ante del giudice in caso di richieste di comunicazione volontaria, gli operatori economici cui sono rivolte tali richieste possono opporvisi senza incorrere in conseguenze negative (e devono tenere conto dell’impatto dell’eventuale comunicazione sulla privacy). Inoltre, a norma dell’articolo 192, comma 1, del codice di procedura penale, agli operatori di polizia devono sempre cooperare e coordinare le proprie azioni con il pubblico ministero (e la Commissione prefetturale per la sicurezza pubblica) (105). Il pubblico ministero, a sua volta, può impartire le istruzioni generali necessarie per proseguire l’indagine in modo equo e/o emettere ordinanze specifiche con riferimento a una singola indagine (articolo 193 del codice di procedure penale). Qualora tali istruzioni e/o ordinanze non siano rispettate, la procura può chiedere l’avvio di un’azione disciplinare (articolo 194 del codice di procedura penale). Di conseguenza, la polizia prefetturale opera sotto la supervisione del pubblico ministero.

(134)

In secondo luogo, a norma dell’articolo 62 della costituzione, ciascuna camera del parlamento giapponese (la Dieta) può svolgere indagini nei confronti del governo, anche per quanto riguarda la legittimità della raccolta di informazioni da parte della polizia. A tal fine, può chiedere la presenza e la deposizione di testimoni e/o la presentazione di documenti. Tali poteri di indagine sono precisati ulteriormente nella legge sulla Dieta, in particolare al capo XII. In particolare, l’articolo 104 di detta legge stabilisce che il Gabinetto, le agenzie pubbliche e gli altri organi del governo «devono ottemperare alla richiesta di una delle camere o di una delle sue commissioni di presentare le relazioni e i dati necessari ai fini dell’esame dell’indagine». Il rifiuto di ottemperare alla richiesta è consentito soltanto se il governo fornisce un motivo plausibile ritenuto accettabile dalla Dieta o a seguito di una dichiarazione formale secondo la quale la presentazione delle relazioni o dei dati arrecherebbe «un grave pregiudizio all’interesse nazionale» (106). Inoltre i membri della Dieta possono presentare interrogazioni scritte al Gabinetto (articoli 74 e 75 della legge sulla Dieta) e in passato tali «richieste scritte» hanno riguardato anche la gestione di informazioni personali da parte dell’amministrazione (107). Il ruolo di supervisione dell’esecutivo di cui è investita la Dieta è rafforzato da obblighi di rendicontazione, ad esempio, ai sensi dell’articolo 29 della legge sulle intercettazioni.

(135)

In terzo luogo, la polizia prefetturale è soggetta a vigilanza indipendente anche all’interno dell’esecutivo, in particolare, attraverso le Commissioni prefetturali di pubblica sicurezza, istituite a livello prefetturale per garantire l’amministrazione democratica e la neutralità politica della polizia (108). Tali commissioni sono composte di membri nominati dal governatore prefetturale con il consenso dell’assemblea prefetturale (tra i cittadini che non siano stati dipendenti pubblici del servizio di polizia nei cinque anni precedenti) e hanno un mandato garantito (che prevede, in particolare, soltanto la destituzione per giusta causa) (109). In base alle informazioni fornite, le commissioni non ricevono istruzioni e possono quindi essere considerate pienamente indipendenti (110). Per quanto riguarda i compiti e i poteri delle Commissioni prefetturali di sicurezza pubblica, a norma dell’articolo 38, comma 3, in combinato disposto con l’articolo 2 e l’articolo 36, comma 2, della legge sulla polizia, queste sono responsabili della «protezione [dei] diritti e della libertà delle persone». A tal fine esse sono autorizzate a «controllare» (111) tutte le attività di indagine della polizia prefetturale, compresa la raccolta di dati personali. In particolare le commissioni «possono, se necessario, dirigere la polizia prefetturale in dettaglio o in singoli casi specifici di indagine sulla condotta irregolare del personale di polizia» (112). Quando riceve tali istruzioni o si rende conto in prima persona di un eventuale caso di condotta irregolare (compresa la violazione di leggi o altre negligenze dei propri doveri), il direttore della polizia prefetturale (113) è tenuto a indagare senza indugio sul caso e a riferire i risultati dell’indagine alla Commissione prefetturale di pubblica sicurezza (articolo 56, comma 3, della legge sulla polizia). Nei casi in cui quest’ultima lo ritenga necessario può anche nominare uno dei suoi membri affinché esamini l’avanzamento dell’esecuzione. Il procedimento continua fino a quando la Commissione prefetturale di pubblica sicurezza constati che l’incidente è stato risolto in modo appropriato.

(136)

Inoltre, per quanto riguarda la corretta applicazione dell’APPIHAO, ha poteri di esecuzione della legge il ministro competente o il direttore dell’agenzia (ossia il commissario generale dell’NPA), sotto la supervisione del ministero dell’Interno e delle comunicazioni (MIC). Ai sensi dell’articolo 49 dell’APPIHAO il MIC «può raccogliere relazioni sullo stato di esecuzione della presente legge» dai direttori degli organi amministrativi (ministro). Per la funzione di vigilanza il MIC è aiutato dalle informazioni comunicate dai 51 «centri di informazione globale» (di cui uno in ciascuna prefettura in tutto il Giappone) che trattano ogni anno migliaia di richieste provenienti da persone (114) (che, a loro volta, possono rivelare possibili violazioni della legge). Qualora lo ritenga necessario per garantire il rispetto della legge, il MIC può chiedere di presentare spiegazioni e materiali e può formulare pareri riguardanti la gestione di informazioni personali da parte dell’organo amministrativo interessato (articoli 50 e 51 dell’APPIHAO).

(137)

Oltre alla vigilanza d’ufficio, le persone hanno diverse possibilità di ricorso, sia presso le autorità indipendenti (come le Commissioni prefetturali di pubblica sicurezza o la PPC) che presso gli organi giurisdizionali giapponesi.

(138)

In primo luogo, per quanto riguarda le informazioni personali raccolte da organi amministrativi, questi sono tenuti ad «adoperarsi a trattare in modo corretto e rapido tutti i reclami» concernenti il successivo trattamento (articolo 48 dell’APPIHAO). Sebbene il capo IV dell’APPIHAO sui diritti individuali non sia applicabile alle informazioni personali registrate in «documenti relativi ai processi e ai beni sequestrati» (articolo 53-2, comma 2, della codice di procedura penale), che comprendono anche le informazioni personali raccolte nell’ambito di indagini penali, le persone possono presentare un reclamo sulla base dei principi generali della protezione dei dati, quali, ad esempio, l’obbligo di conservare le informazioni personali soltanto «quando la conservazione è necessaria per lo svolgimento [delle funzioni di esecuzione della legge]» (articolo 3, paragrafo 1, dell’APPIHAO).

(139)

Inoltre l’articolo 79 della legge sulla polizia garantisce alle persone che nutrono perplessità riguardanti l’"esercizio delle funzioni" da parte del personale di polizia il diritto di presentare un reclamo presso la Commissione prefetturale indipendente di sicurezza pubblica (competente). La Commissione tratta «lealmente» i reclami in conformità alla legislazione e alle ordinanze locali e informa per iscritto il denunciante dei risultati. In virtù dei suoi poteri di vigilare e «dirigere» la polizia prefetturale nei casi di «condotta irregolare del personale» (articolo 38, comma 3, e articolo 43-2, comma 1, della legge sulla polizia), la Commissione può chiedere alla polizia prefetturale di indagare sui fatti, può adottare misure appropriate in base ai risultati di tali indagini e può riferire sui risultati. Se ritiene che l’indagine svolta dalla polizia non sia stata adeguata, la Commissione può anche impartire istruzioni sul trattamento del reclamo.

(140)

Al fine di facilitare la gestione dei reclami, l’NPA ha emanato una «comunicazione», rivolta alla polizia e alle Commissioni prefetturali di sicurezza pubblica, per il corretto trattamento dei reclami relativi all’esercizio delle funzioni da parte degli operatori di polizia. In tale documento l’NPA stabilisce norme per l’interpretazione e l’attuazione dell’articolo 79 della legge sulla polizia. Tra l’altro, impone alla polizia prefetturale di istituire un «sistema di trattamento dei reclami», di trattare tutti i reclami e comunicarli «prontamente» alla Commissione prefetturale di sicurezza pubblica competente. Nella comunicazione i reclami sono definiti come richieste volte a correggere «qualsiasi svantaggio specifico inflitto a seguito di un comportamento illecito o inappropriato» (115) o «l’omessa azione necessaria da parte di un operatore di polizia nell’esecuzione delle sue funzioni» (116) o ancora qualsiasi «lamentela/malcontento per inappropriatezza nell’esecuzione delle funzioni da parte di un operatore di polizia». L’ambito di applicazione materiale di un reclamo è quindi definito in linea di massima e comprende qualsiasi presunta raccolta illecita di dati, e il denunciante non è tenuto a dimostrare di aver subito un danno a seguito delle azioni dell’operatore di polizia. Soprattutto, la comunicazione stabilisce che gli stranieri (tra gli altri) debbano ricevere assistenza nella formulazione di un reclamo. A seguito di un reclamo, le Commissioni prefetturali di sicurezza pubblica sono tenute a garantire che la polizia prefetturale esamini i fatti, metta in atto misure «in conformità al risultato dell’esame» e presenti una relazione su tali risultati. Quando ritiene che l’esame sia insufficiente, la Commissione impartisce istruzioni sul trattamento del reclamo, che la polizia prefetturale è tenuta a seguire. In base alle relazioni ricevute e alle misure adottate, la Commissione comunica alla persona, tra l’altro, le misure adottate per rispondere al reclamo. La comunicazione dell’NPA sottolinea che i reclami dovrebbero essere trattati «con lealtà» e che il risultato dovrebbe essere comunicato «entro il tempo […] ritenuto opportuno alla luce delle norme sociali e del buon senso».

(141)

In secondo luogo, poiché il ricorso dovrà essere esperito ovviamente all’estero, in un sistema estero e in una lingua straniera, al fine di facilitare il ricorso per le persone dell’UE i cui dati personali sono trasferiti a operatori economici in Giappone e successivamente consultati da autorità pubbliche, il governo giapponese si è valso dei propri poteri per creare un meccanismo specifico, amministrato e controllato dalla PPC, per la gestione e la risoluzione dei reclami in questo settore. Tale meccanismo si basa sull’obbligo di collaborazione imposto alle autorità pubbliche giapponesi dall’APPI e sul ruolo particolare della PPC nell’ambito dei trasferimenti internazionali di dati da paesi terzi ai sensi dell’articolo 6 dell’APPI e della politica di base (come stabilito dal governo giapponese mediante ordinanza del Gabinetto). I dettagli di tale meccanismo sono definiti nelle dichiarazioni, nelle garanzie e negli impegni ufficiali ricevuti dal governo giapponese e acclusi alla presente decisione come allegato II. Il meccanismo non è soggetto ad alcun obbligo di legittimazione ad agire ed è a accessibile a tutte le persone fisiche, indipendentemente dal fatto che siano sospettate o accusate di un reato.

(142)

Nell’ambito del meccanismo la persona che sospetta che i suoi dati trasferiti dall’Unione europea siano stati raccolti o utilizzati dalle autorità pubbliche in Giappone (comprese quelle responsabili del contrasto penale) in violazione delle norme applicabili può presentare un reclamo alla PPC (personalmente o attraverso la propria autorità di protezione dei dati ai sensi dell’articolo 51 del regolamento generale sulla protezione dei dati). La PPC ha l’obbligo di trattare il reclamo e, in una prima fase, di darne comunicazione alle autorità pubbliche competenti, compresi i pertinenti organismi di vigilanza. Tali autorità sono tenute a cooperare con la PPC «anche fornendo le necessarie informazioni e il materiale pertinente, in modo che la PPC possa valutare se la raccolta o il successivo utilizzo di informazioni personali sia avvenuto in conformità alle norme applicabili» (117). Tale obbligo, derivante dall’articolo 80 dell’APPI (che impone alle autorità pubbliche giapponesi di cooperare con la PPC), si applica in generale e si estende quindi al riesame di qualsiasi misura di indagine adottata da tali autorità, che si sono inoltre impegnate a cooperare mediante garanzie scritte dei ministeri competenti e dei direttori delle agenzie, come si evince dall’allegato II.

(143)

Qualora la valutazione indichi che è avvenuta una violazione delle norme applicabili, «la cooperazione delle autorità pubbliche con la PPC prevede l’obbligo di porre rimedio alla violazione», il che, in caso di raccolta illecita di informazioni personali, comprende la cancellazione di tali dati. È importante precisare che tale obbligo è ottemperato sotto la supervisione della PPC che «confermerà, prima di concludere la valutazione, che la violazione è stata completamente sanata».

(144)

Una volta conclusa la valutazione, la PPC dà comunicazione alla persona dei risultati entro un lasso di tempo ragionevole, comprese, se del caso, le misure correttive adottate. Al tempo stesso la PPC deve informare la persona anche della possibilità di chiedere conferma dei risultati all’autorità pubblica competente e deve indicarle l’identità dell’autorità cui occorre presentare tale richiesta di conferma. La possibilità di ricevere tale conferma, compresi i motivi su cui si fonda la decisione dell’autorità competente, può essere di aiuto alla persona per adottare ulteriori misure, anche in caso di ricorso giudiziario. È possibile limitare la comunicazione di informazioni dettagliate sui risultati della valutazione purché sussistano motivi fondati per ritenere che possa presentare un rischio per l’indagine in corso.

(145)

In terzo luogo, la persona, qualora sia in disaccordo con una decisione giudiziaria (provvedimento) di sequestro (118) relativa ai propri dati personali o con le misure della polizia o del pubblico ministero prese in esecuzione di tale decisione, può presentare istanza affinché tale decisione o tali misure siano revocate o modificate (articolo 429, comma 1, articolo 430, commi 1 e 2, del codice di procedura penale, articolo 26 della legge sulle intercettazioni) (119). Nel caso in cui ritenga che il provvedimento o la sua esecuzione («procedura di sequestro») sia illegale, il giudice del riesame accoglie l’istanza e ordina la restituzione degli elementi sequestrati (120).

(146)

In quarto luogo, come forma più indiretta di controllo giudiziario, qualora una persona ritenga che la raccolta delle sue informazioni personali nell’ambito di un’indagine penale sia illecita può invocare tale illegalità nel corso del processo. Se il giudice accoglie l’istanza, le prove saranno escluse in quanto inammissibili.

(147)

Infine, ai sensi dell’articolo 1, comma 1, della legge sul ricorso avverso lo Stato, un giudice può concedere un indennizzo nel caso in cui un dipendente pubblico, nell’esercizio delle sue funzioni di pubblico ufficiale dello Stato, abbia cagionato un danno alla persona interessata illegalmente e per dolo o colpa. Ai sensi dell’articolo 4 della legge sul ricorso avverso lo Stato, la responsabilità dello Stato per i danni è basata sulle disposizioni del codice civile. Al riguardo, l’articolo 710 di detto codice stabilisce che la responsabilità copre anche i danni diversi da quelli materiali e, di conseguenza, il danno morale (ad esempio sotto forma di «disagio psichico»). Ciò include i casi in cui la privacy di una persona è stata violata con un’attività illegale di sorveglianza e/o con la raccolta dei suoi dati personali (ad esempio esecuzione illegale di un mandato) (121).

(148)

Oltre a un risarcimento pecuniario, le persone, a certe condizioni, possono ottenere anche ingiunzioni (ad esempio la cancellazione dei dati personali raccolti dalle pubbliche autorità) sulla base dei propri diritti relativi al rispetto della vita privata di cui all’articolo 13 della costituzione (122).

(149)

Per quanto riguarda tutte le possibilità di ricorso menzionate, il meccanismo di risoluzione delle controversie istituito dal governo giapponese prevede che una persona, se ancora non è soddisfatta del risultato del procedimento, possa rivolgersi alla PPC «che informa la persona delle varie possibilità e dei dettagli delle procedure per ottenere rimedio ai sensi delle disposizioni legislative e regolamentari giapponesi». Inoltre la PPC «fornirà alla persona sostegno, comprese la consulenza e l’assistenza per avviare ulteriori azioni dinanzi all’organo amministrativo o giurisdizionale competente».

(150)

È compresa l’attivazione dei diritti procedurali previsti dal codice di procedura penale. Ad esempio, «[q]ualora la valutazione indichi che una persona è indagata nell’ambito di un procedimento penale, la CPP informa l’interessato del fatto» (123), nonché della possibilità, a norma dell’articolo 259 del codice di procedura penale, di chiedere al pubblico ministero che gli comunichi la decisione di non luogo a procedere. Inoltre, qualora la valutazione indichi che è stato avviato una procedimento riguardante le informazioni personali della persona e che questo si è concluso, la PPC informa la persona che il fascicolo può essere visionato a norma dell’articolo 53 del codice di procedura penale (e dell’articolo 4 della legge sui fascicoli definitivi dei casi penali). L’accesso al fascicolo è importante in quanto aiuta la persona a comprendere meglio le indagini svolte nei suoi confronti e quindi a preparare un’eventuale azione giudiziaria (ad esempio, una richiesta di risarcimento dei danni) nel caso in cui ritenga che i suoi dati siano stati raccolti o utilizzati illegalmente.

(151)

Secondo le autorità giapponesi, non esiste alcuna legge in Giappone che consenta richieste coattive di informazioni o «intercettazioni amministrative» al di fuori di indagini penali. Di conseguenza, per ragioni di sicurezza nazionale le informazioni possono essere ottenute solo da una fonte liberamente accessibile a tutti o mediante comunicazione volontaria. Gli operatori economici che ricevono una richiesta di cooperazione volontaria (sotto forma di comunicazione delle informazioni in formato elettronico) non sono tenuti giuridicamente a fornire tali informazioni (124).

(152)

Inoltre, in base alle informazioni ricevute, soltanto quattro enti pubblici sono autorizzati a raccogliere, per ragioni di sicurezza nazionale, informazioni in formato elettronico detenute da operatori economici giapponesi, vale a dire: i) l’Ufficio del Gabinetto per l’intelligence e la ricerca (CIRO), ii) il ministero della Difesa (MOD); iii) la polizia (sia l’Agenzia nazionale di polizia (NPA) (125) che la polizia prefetturale); iv) l’Agenzia di intelligence per la pubblica sicurezza (PSIA). Tuttavia il CIRO non raccoglie mai informazioni direttamente dagli operatori economici, neanche mediante intercettazione delle comunicazioni. Quando riceve informazioni da altre autorità governative al fine di fornire analisi al Gabinetto, tali altre autorità sono tenute a loro volta a rispettare la legislazione, comprese le limitazioni e le garanzie esaminate nella presente decisione. Le sue attività non sono quindi pertinenti nel contesto di un trasferimento.

(153)

In base alle informazioni ricevute, il MOD raccoglie informazioni (in formato elettronico) in base alla legge sull’istituzione del MOD. Secondo l’articolo 3 di tale legge, la missione del MOD è di gestire e dirigere le forze militari e di «condurre le azioni connesse al fine di garantire la pace, l’indipendenza e la sicurezza della nazione». L’articolo 4, comma 4, stabilisce che il MOD ha competenza in materia di «difesa e protezione», di interventi intrapresi dalle forze di autodifesa nonché di dispiegamento delle forze militari, compresa la raccolta delle informazioni necessarie a condurre tali azioni. Il MOD ha soltanto il potere di raccogliere informazioni (in formato elettronico) da operatori economici mediante cooperazione volontaria.

(154)

Per quanto riguarda la polizia prefetturale, le sue responsabilità e i suoi compiti includono il «mantenimento della pubblica sicurezza e dell’ordine pubblico» (articolo 35, comma 2, in combinato disposto con l’articolo 2, comma 1, della legge sulla polizia). In tale ambito di competenza la polizia può raccogliere informazioni, ma solo su base volontaria, senza forza di legge. Le attività della polizia sono inoltre «strettamente limitate» a quanto necessario allo svolgimento delle sue funzioni. Essa agisce in modo «imparziale, super partes, equo e scevro da pregiudizi» e non abusa mai dei propri poteri «in alcuno modo che interferisca nei diritti e nelle libertà di una persona garantiti dalla costituzione del Giappone» (articolo 2 della legge sulla polizia).

(155)

La PSIA può svolgere infine indagini nell’ambito della legge sulla prevenzione delle attività sovversive (SAPA) e della legge sul controllo delle organizzazioni che hanno commesso omicidi di massa indiscriminati (ACO), nel caso in cui tali indagini siano necessarie a preparare l’adozione di misure di controllo nei confronti di determinate organizzazioni (126). Nell’ambito di entrambe le leggi, su richiesta del direttore generale della PSIA, la Commissione per il controllo della pubblica sicurezza può emettere determinate «disposizioni» (di sorveglianza/di divieto nel caso dell’ACO (127), di scioglimento/di divieto nel caso della SAPA (128)) e in questo contesto la PSIA può svolgere indagini (129). In base alle informazioni ricevute, tali indagini sono sempre svolte su base volontaria, il che significa che la PSIA non può imporre al proprietario delle informazioni personali di fornirle (130). I controlli e le indagini sono sempre condotti solo nella misura minima necessaria a conseguire la finalità di controllo e non devono in alcun caso essere effettuati al fine di limitare «irragionevolmente» i diritti e le libertà garantiti dalla costituzione del Giappone (articolo 3, comma 1, della SAPA/dell’ACO). Inoltre, a norma dell’articolo 3, comma 2, della SAPA/dell’ACO, la PSIA non deve in alcun caso abusare di tali controlli o delle indagini preparatorie per tali controlli. L’operatore della PSIA che abbia compiuto un abuso di potere ai sensi della legge applicabile, obbligando una persona a fare qualcosa che non era tenuta a fare o interferendo con l’esercizio dei diritti di una persona, può essere soggetto a sanzioni penali a norma dell’articolo 45 della SAPA o dell’articolo 42 dell’ACO. Infine le due leggi prevedono esplicitamente che le rispettive disposizioni, compresi i poteri conferiti dalle medesime, «non devono in alcun caso essere oggetto di un’interpretazione estensiva» (articolo 2 della SAPA/dell’ACO).

(156)

In tutti i casi di accesso da parte delle autorità pubbliche per motivi di sicurezza nazionale descritti nella presente sezione, si applicano le limitazioni previste dalla Corte suprema giapponese per i mezzi di indagine volontari, il che significa che la raccolta di informazioni (in formato elettronico) deve rispettare i principi di necessità e di proporzionalità («metodo adeguato») (131). Come confermato esplicitamente dalle autorità giapponesi, «la raccolta e il trattamento delle informazioni avviene soltanto per quanto necessario allo svolgimento delle funzioni specifiche dell’autorità pubblica competente nonché sulla base di minacce specifiche». Pertanto «ciò esclude la raccolta o l’accesso in modo massiccio e indiscriminato a informazioni personali per ragioni di sicurezza nazionale» (132).

(157)

Inoltre, una volta raccolta, qualsiasi informazione personale conservata dalle autorità pubbliche per motivi di sicurezza nazionale rientra nelle tutele dell’APPIHAO che, di conseguenza, si applicano per quanto riguarda la conservazione, l’uso e la divulgazione successivi (cfr. il considerando 118).

(158)

La raccolta di informazioni personali per finalità di sicurezza nazionale è soggetta a diversi livelli di vigilanza da parte dei tre poteri dello Stato.

(159)

In primo luogo, la Dieta del Giappone, attraverso le sue commissioni specializzate, può esaminare la legittimità delle indagini sulla base dei propri poteri di controllo parlamentare (articolo 62 della costituzione, e articolo 104 della legge sulla Dieta; cfr. considerando 134). Tale funzione di vigilanza è supportata da obblighi specifici di rendicontazione sulle attività svolte nell’ambito delle basi giuridiche summenzionate (133).

(160)

In secondo luogo, esistono vari meccanismi di vigilanza all’interno dell’esecutivo.

(161)

Per quanto riguarda il MOD, la vigilanza è esercitata dall’Ispettorato generale per il rispetto degli obblighi normativi (IGO) (134) che è stato istituito, sulla base dell’articolo 29 della legge sull’istituzione del MOD, come ufficio del MOD sotto la supervisione del ministro della Difesa (cui rende conto), pur essendo indipendente dai dipartimenti operativi del MOD. L’IGO ha la funzione di assicurare il rispetto delle disposizioni legislative e regolamentari nonché la corretta esecuzione dei compiti del personale del MOD. I suoi poteri includono la competenza a effettuare «ispezioni per la difesa», sia a intervalli regolari («ispezioni per la difesa periodiche») sia in singoli casi («ispezioni per la difesa speciali»), che in passato hanno riguardato anche la corretta gestione delle informazioni personali (135). Nell’ambito di tali ispezioni, l’IGO può accedere a siti (uffici) e chiedere la presentazione di documenti o informazioni, incluse spiegazioni da parte del viceministro aggiunto del MOD. L’ispezione si conclude con una relazione, da presentare al ministro della Difesa, che illustra i risultati e le misure di miglioramento (la cui attuazione può essere nuovamente verificata attraverso ulteriori ispezioni). La relazione costituisce a sua volta la base delle istruzioni del ministro della Difesa per l’attuazione delle misure necessarie a risolvere la situazione; il viceministro aggiunto è incaricato di attuare tali misure e deve riferire sul seguito dato loro.

(162)

Per quanto riguarda la polizia prefetturale, la vigilanza è garantita dalla Commissione prefetturale indipendente di sicurezza pubblica, come spiegato al considerando 135 per quanto riguarda il rispetto del contrasto penale.

(163)

Infine, come indicato, la PSIA può svolgere indagini soltanto nella misura in cui esse siano necessarie all’adozione di una disposizione di divieto, di scioglimento o di sorveglianza ai sensi della SAPA/dell’ACO e tali disposizioni sono soggette alla vigilanza ex ante della Commissione per il controllo della pubblica sicurezza indipendente (136). Inoltre ispezioni regolari/periodiche (volte a controllare in modo globale le operazioni della PSIA) (137) e ispezioni interne speciali (138) sulle attività dei singoli dipartimenti/uffici, ecc. sono svolte da ispettori appositamente designati e possono risultare in istruzioni ai direttori dei dipartimenti pertinenti ecc. affinché adottino misure correttive o di miglioramento.

(164)

Detti meccanismi di vigilanza, che sono ulteriormente rafforzati dalla possibilità per le persone di richiedere l’intervento della PPC in qualità di autorità di vigilanza indipendente (cfr. successiva sezione 168), forniscono adeguate garanzie contro il rischio che le autorità giapponesi abusino dei loro poteri nel settore della sicurezza nazionale e contro qualsiasi raccolta illecita di informazioni in formato elettronico.

(165)

Relativamente al ricorso individuale, per quanto riguarda le informazioni personali raccolte e perciò «conservate» da organi amministrativi, questi sono tenuti ad «adoperarsi a trattare in modo corretto e rapido tutti i reclami» concernenti tale trattamento (articolo 48 dell’APPIHAO).

(166)

Inoltre, a differenza delle indagini penali, le persone (compresi i cittadini stranieri che vivono all’estero) hanno, in linea di principio, il diritto alla comunicazione (139), alla rettifica (compresa la cancellazione) e alla sospensione dell’utilizzo/della fornitura delle informazioni personali ai sensi dell’APPIHAO. Detto questo, il direttore dell’organo di amministrazione può rifiutare la comunicazione di informazioni «per le quali vi siano fondati motivi […] di ritenere che la comunicazione possa causare danni alla sicurezza nazionale» (articolo 14, punto iv), dell’APPIHAO), anche senza rivelare l’esistenza di tali informazioni (articolo 17 dell’APPIHAO). Analogamente, sebbene una persona possa chiedere la sospensione dell’utilizzo o la cancellazione delle informazioni personali a norma dell’articolo 36, comma 1, punto i), dell’APPIHAO, nel caso in cui l’organo amministrativo le abbia ottenuto illegalmente o le conservi/utilizzi al di là di quanto necessario per conseguire la finalità specifica, l’autorità può rifiutare la richiesta se ritiene che la sospensione dell’utilizzo «possa impedire la corretta esecuzione delle misure relative alla finalità di utilizzo delle informazioni personali conservate a causa della natura di tali misure» (articolo 38 dell’APPIHAO). Tuttavia, laddove sia possibile separare o escludere con facilità le parti soggette a un’eccezione, gli organi amministrativi sono tenuti a concedere almeno una comunicazione parziale (cfr., ad esempio, articolo 15, comma 1, dell’APPIHAO) (140).

(167)

In ogni caso l’organo amministrativo deve adottare una decisione scritta entro un temine determinato (30 giorni, che a certe condizioni possono essere prorogati di altri 30). Se la richiesta è respinta o accolta solo parzialmente o se la persona ritiene, per altre ragioni, che la condotta dell’organo amministrativo sia «illecita o ingiusta», la persona può richiedere il riesame amministrativo in base alla legge per il riesame dei ricorsi amministrativi (141). In tal caso, il direttore dell’organo amministrativo che decide sul ricorso consulta la Commissione per il riesame della comunicazione di informazioni e della protezione delle informazioni personali (articoli 42 e 43 dell’APPIHAO), commissione specializzata indipendente i cui membri sono nominati dal primo ministro con l’approvazione di entrambe le camere della Dieta. In base alle informazioni ricevute, la Commissione può svolgere un controllo (142) e, a tal fine, chiedere all’organo amministrativo di fornire le informazioni personali conservate, compresi gli eventuali contenuti classificati, nonché ulteriori informazioni e documenti. Sebbene la relazione finale inviata al ricorrente e all’organo amministrativo e resa pubblica non sia giuridicamente vincolante, le raccomandazioni sono rispettate in quasi tutti i casi (143). Inoltre il richiedente ha la possibilità di impugnare la decisione in sede giudiziaria sulla base della legge in materia di contenzioso amministrativo. Ciò consente un controllo giudiziale sull’utilizzo delle eccezioni per motivi di sicurezza nazionale, anche sul fatto che esse costituiscano un abuso o siano ancora giustificate.

(168)

Al fine di agevolare l’esercizio dei diritti summenzionati previsti dall’APPIHAO, il MIC ha istituito 51 «centri di informazione globale» che forniscono informazioni consolidate su tali diritti, le procedure applicabili per presentare una richiesta e i possibili mezzi di ricorso (144). Per quanto riguarda gli organi amministrativi, questi sono tenuti a fornire «informazioni che contribuiscono a specificare le informazioni personali conservate in loro possesso» (145) e ad adottare «altre misure adeguate in considerazione delle esigenze della persona che intende presentare la richiesta» (articolo 47, comma 1, dell’APPIHAO).

(169)

Come nel caso di indagini nell’ambito del contrasto penale, anche nell’ambito della sicurezza nazionale le persone possono ottenere un risarcimento a titolo individuale contattando direttamente la PPC. Ciò consentirà di avviare la specifica procedura di risoluzione delle controversie che il governo giapponese ha creato per i cittadini dell’UE i cui dati personali sono trasferiti ai sensi della presente decisione (cfr. le spiegazioni dettagliate nei considerando da 141 a 144 e 149).

(170)

Le persone possono inoltre presentare un ricorso giudiziale sotto forma di azione per il risarcimento dei danni ai sensi della legge sul ricorso avverso lo Stato, che copre anche i danni morali e, a determinate condizioni, la cancellazione dei dati raccolti (cfr. considerando 147).

(171)

La Commissione ritiene che l’APPI, completata dalle norme integrative figuranti nell’allegato I, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali figuranti nell’allegato II, assicuri un livello di protezione dei dati personali trasferiti dall’Unione europea sostanzialmente equivalente a quello garantito dal regolamento (UE) 2016/679.

(172)

Inoltre la Commissione ritiene che, nel complesso, i meccanismi di vigilanza e i mezzi di ricorso previsti dalla normativa giapponese permettano di individuare e punire nella pratica le violazioni commesse dai PIHBO destinatari e offrano all’interessato mezzi di ricorso che gli consentono di accedere ai dati personali che lo riguardano e, in ultima analisi, di ottenerne la rettifica o la cancellazione.

(173)

Infine, sulla base delle informazioni disponibili sull’ordinamento giuridico giapponese, comprese le dichiarazioni, le garanzie e gli impegni del governo giapponese figuranti nell’allegato II, la Commissione ritiene che qualsiasi ingerenza da parte di autorità pubbliche giapponesi nei diritti fondamentali delle persone i cui dati personali sono trasferiti dall’Unione europea al Giappone, per finalità di interesse pubblico, in particolare a fini di contrasto penale e di sicurezza nazionale, sarà limitata a quanto strettamente necessario a conseguire l’obiettivo legittimo in questione, e che contro tali ingerenze esista un’efficace tutela giuridica.

(174)

Pertanto, alla luce delle conclusioni della presente decisione, la Commissione ritiene che il Giappone garantisca un livello adeguato di protezione per i dati personali trasferiti dall’Unione europea ai PIHBO presenti in Giappone che sono soggetti all’APPI, tranne nei casi in cui il destinatario rientri in una delle categorie elencate all’articolo 76, comma 1, dell’APPI, e le finalità del trattamento corrispondano, in tutto o in parte, a una delle finalità previste da tale disposizione.

(175)

La Commissione conclude pertanto che sia raggiunto il livello di adeguatezza di cui all’articolo 45 del regolamento (UE) 2016/679, interpretato alla luce della Carta dei diritti fondamentali dell’Unione europea, in particolare nella sentenza Schrems (146).

(176)

Secondo la giurisprudenza della Corte di giustizia (147), e come riconosciuto dall’articolo 45, paragrafo 4, del regolamento (UE) 2016/679, la Commissione dovrebbe monitorare costantemente gli sviluppi nel paese terzo registrati dopo l’adozione di una decisione di adeguatezza, al fine di valutare se il Giappone continui a garantire un livello di protezione sostanzialmente equivalente. Tale verifica è in ogni caso obbligatoria quando la Commissione riceve informazioni che fanno sorgere un dubbio giustificato al riguardo.

(177)

La Commissione dovrebbe pertanto controllare su base continuativa la situazione per quanto riguarda il quadro giuridico e la prassi effettiva del trattamento dei dati personali valutati dalla presente decisione, compreso il rispetto da parte delle autorità giapponesi delle dichiarazioni, delle garanzie e degli impegni figuranti nell’allegato II. Per agevolare questo processo, le autorità giapponesi dovrebbero informare la Commissione degli sviluppi sostanziali rilevanti ai fini della presente decisione, per quanto riguarda il trattamento dei dati personali da parte degli operatori economici e le limitazioni e le garanzie applicabili all’accesso ai dati personali da parte delle autorità pubbliche. Ciò dovrebbe includere qualsiasi decisione adottata dalla PPC ai sensi dell’articolo 24 dell’APPI che riconosce che un paese terzo fornisce un livello di protezione equivalente a quello garantito dal Giappone.

(178)

Inoltre, al fine di consentire alla Commissione di svolgere in modo efficace la propria funzione di controllo, gli Stati membri dovrebbero informarla delle eventuali azioni intraprese dalle autorità nazionali di protezione dei dati, in particolare per quanto riguarda eventuali domande o reclami presentati da interessati dell’UE relativamente al trasferimento di dati personali dall’Unione europea verso gli operatori economici in Giappone. La Commissione dovrebbe inoltre essere informata delle eventuali indicazioni del fatto che le azioni delle autorità pubbliche giapponesi responsabili della prevenzione, dell’investigazione, dell’accertamento o del perseguimento dei reati ovvero della sicurezza nazionale, compresi gli organismi di vigilanza, non garantiscono il necessario livello di protezione.

(179)

Gli Stati membri e i loro organi sono tenuti ad adottare le misure necessarie per conformarsi agli atti delle istituzioni dell’Unione, che si presumono legittimi e producono pertanto effetti giuridici, finché non siano stati revocati o annullati nel contesto di un ricorso per annullamento ovvero dichiarati invalidi a seguito di un rinvio pregiudiziale o di un’eccezione di illegittimità. Di conseguenza, una decisione di adeguatezza adottata dalla Commissione a norma dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 è vincolante per tutti gli organi degli Stati membri che ne sono i destinatari, comprese le autorità di controllo indipendenti. Allo stesso tempo, come spiegato dalla Corte di giustizia nella sentenza Schrems (148) e come riconosciuto nell’articolo 58, paragrafo 5, del regolamento, quando un’autorità di protezione dei dati contesta, anche a seguito di un reclamo, la compatibilità di una decisione di adeguatezza della Commissione con i diritti fondamentali della persona al rispetto della vita privata e alla protezione dei dati, la normativa nazionale deve prevedere mezzi di ricorso che le consentano di far valere tali censure dinanzi a un giudice nazionale, il quale, in caso di dubbio, deve sospendere il procedimento e disporre un rinvio pregiudiziale alla Corte di giustizia (149).

(180)

In applicazione dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 (150) e alla luce del fatto che il livello di protezione assicurato dall’ordinamento giuridico giapponese può evolversi, la Commissione, successivamente all’adozione della presente decisione, dovrebbe verificare periodicamente se le constatazioni relative al livello di protezione assicurato dal Giappone continuino ad essere giustificate in fatto e in diritto.

(181)

A tal fine, la presente decisione dovrebbe essere oggetto di un primo riesame entro due anni dall’entrata in vigore. A seguito del primo riesame, e tenuto conto del suo esito, la Commissione deciderà, in stretta consultazione con il comitato istituito a norma dell’articolo 93, paragrafo 1, del GDPR, se mantenere il ciclo di due anni. In ogni caso i successivi riesami dovrebbero avvenire almeno ogni quattro anni (151). Detto riesame dovrebbe riguardare tutti gli aspetti del funzionamento della presente decisione, in particolare l’applicazione delle norme integrative (con particolare riguardo alle tutele in caso di trasferimenti successivi), l’applicazione delle norme in materia di consenso, anche in caso di ritiro dello stesso, l’efficacia dell’esercizio dei diritti individuali, nonché le limitazioni e le garanzie per l’accesso da parte delle pubbliche amministrazioni, compreso il meccanismo di ricorso di cui all’allegato II della presente decisione. Dovrebbe inoltre includere l’efficacia della vigilanza e dei compiti esecutivi, per quanto riguarda le norme applicabili ai PIHBO e nel settore del contrasto penale e della sicurezza nazionale.

(182)

Per effettuare il riesame, la Commissione dovrebbe incontrare la CPP, accompagnata, se del caso, da altre autorità giapponesi competenti per l’accesso delle pubbliche amministrazioni, compresi i pertinenti organismi di vigilanza. Alla riunione dovrebbero poter partecipare i rappresentanti dei membri del Comitato europeo per la protezione dei dati (EDPB). Nel quadro del riesame congiunto la Commissione dovrebbe chiedere alla PPC di fornire informazioni complete su tutti gli aspetti pertinenti alla constatazione di adeguatezza, incluse le limitazioni e le garanzie relativamente all’accesso delle pubbliche amministrazioni (152). La Commissione dovrebbe inoltre chiedere delucidazioni in merito a qualsiasi informazione ricevuta risultata pertinente ai fini della presente decisione, comprese le relazioni pubbliche delle autorità giapponesi o di altri portatori di interessi in Giappone, dell’EDPB, delle singole autorità di protezione dei dati e dei gruppi della società civile, le informazioni dei mezzi di comunicazione o qualsiasi altra fonte di informazioni disponibile.

(183)

La Commissione dovrebbe elaborare, sulla base del riesame congiunto, una relazione pubblica da presentare al Parlamento europeo e al Consiglio.

(184)

Se, in base alle verifiche periodiche e ad hoc o ad altre informazioni disponibili, la Commissione conclude che il livello di protezione offerto dall’ordinamento giuridico giapponese non può più essere considerato sostanzialmente equivalente a quello dell’Unione europea, ne dovrebbe informare le autorità giapponesi competenti e chiedere che siano adottate misure appropriate entro un termine stabilito ragionevole. Ciò comprende le norme applicabili sia agli operatori economici che alle autorità pubbliche giapponesi responsabili del contrasto penale o della sicurezza nazionale. Ad esempio, tale procedimento sarebbe avviato in casi in cui, nell’ambito delle garanzie che assicurano la continuità della protezione ai sensi dell’articolo 44 del GDPR, non siano più effettuati trasferimenti successivi, compresi quelli sulla base di decisioni adottate dalla PPC a norma dell’articolo 24 dell’APPI che riconoscono che un paese terzo fornisce un livello di protezione equivalente a quello garantito dal Giappone.

(185)

Se, dopo il termine stabilito, le autorità giapponesi competenti non riescono a dimostrare in modo soddisfacente che la presente decisione continua a essere basata su un adeguato livello di protezione, la Commissione dovrebbe avviare, in applicazione dell’articolo 45, paragrafo 5, del regolamento (UE) 2016/679, la procedura di sospensione o abrogazione, totale o parziale, della presente decisione. In alternativa, la Commissione dovrebbe avviare la procedura di modifica della presente decisione, in particolare imponendo ulteriori condizioni per i trasferimenti di dati o limitando il riconoscimento dell’adeguatezza soltanto ai trasferimenti di dati per cui è garantita la continuità della protezione a norma dell’articolo 44 del GDPR.

(186)

In particolare, la Commissione dovrebbe avviare la procedura di sospensione o abrogazione in presenza di indicazioni del fatto che le norme integrative di cui all’allegato I non sono rispettate dagli operatori economici che ricevono dati personali a norma della presente decisione e/o non sono fatte rispettare effettivamente oppure del fatto che le autorità giapponesi non rispettano le dichiarazioni, le garanzie e gli impegni che figurano nell’allegato II della presente decisione.

(187)

La Commissione dovrebbe inoltre valutare l’opportunità di avviare la procedura di modifica, sospensione o abrogazione della presente decisione se, nel contesto del riesame congiunto o in altro contesto, le autorità giapponesi competenti non forniscano le informazioni o i chiarimenti necessari alla valutazione del livello di protezione offerto ai dati personali trasferiti dall’Unione europea al Giappone o della conformità alla presente decisione. A tale riguardo, la Commissione dovrebbe tener conto della misura in cui le informazioni pertinenti possono essere ottenute da altre fonti.

(188)

Per motivi di urgenza debitamente giustificati, come un rischio di grave violazione dei diritti degli interessati, la Commissione dovrebbe considerare la possibilità di adottare una decisione di sospensione o abrogazione della presente decisione immediatamente applicabile, a norma dell’articolo 93, paragrafo 3, del regolamento (UE) 2016/679 in combinato disposto con l’articolo 8 del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (153).

(189)

Il comitato europeo per la protezione dei dati ha pubblicato il proprio parere (154), del quale si è tenuto conto nell’elaborazione della presente decisione.

(190)

Il Parlamento europeo ha adottato una risoluzione su una strategia per il commercio digitale che invita la Commissione ad attribuire la priorità all’adozione delle decisioni di adeguatezza con importanti partner commerciali e ad accelerarne i tempi, alle condizioni stabilite dal regolamento (UE) 2016/679, in quanto importante meccanismo per proteggere il trasferimento dei dati personali dall’Unione europea (155). Il Parlamento europeo ha adottato inoltre una risoluzione sull’adeguatezza della protezione dei dati personali offerta dal Giappone (156).

(191)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito dall’articolo 93, paragrafo 1, del GDPR,