Procedura : 2018/2979(RSP)
Ciclo di vita in Aula
Ciclo del documento : B8-0561/2018

Testi presentati :

B8-0561/2018

Discussioni :

Votazioni :

PV 13/12/2018 - 9.12

Testi approvati :

P8_TA(2018)0529

PROPOSTA DI RISOLUZIONE
PDF 200kWORD 58k
10.12.2018
PE631.583v01-00
 
B8-0561/2018

presentata a seguito di una dichiarazione della Commissione

a norma dell'articolo 123, paragrafo 2, del regolamento


sull'adeguatezza della protezione dei dati personali offerta dal Giappone (2018/2979(RSP))


Claude Moraes a nome della commissione per le libertà civili, la giustizia e gli affari interni
EMENDAMENTI

Risoluzione del Parlamento europeo sull'adeguatezza della protezione dei dati personali offerta dal Giappone (2018/2979(RSP))  
B8-0561/2018

Il Parlamento europeo,

–  visti il trattato sull'Unione europea (TUE), il trattato sul funzionamento dell'Unione europea (TFUE) e gli articoli 6, 7, 8, 11, 16, 47 e 52 della Carta dei diritti fondamentali dell'Unione europea,

–  visti il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)(1), nonché il restante acquis dell'Unione in materia di protezione dei dati,

–  vista la sentenza della Corte di giustizia dell'Unione europea del 6 ottobre 2015 nella causa C-362/14 (Maximillian Schrems/Data Protection Commissioner)(2),

–  vista la sentenza della Corte di giustizia dell'Unione europea del 21 dicembre 2016 nelle cause riunite C-203/15 (Tele2 Sverige AB/Post-och telestyrelsen) e C-698/15 (Secretary of State for the Home Department/Tom Watson e altri)(3),

–  vista la sua risoluzione del 12 dicembre 2017 dal titolo "Verso una strategia per il commercio digitale"(4),

–  visto il documento del gruppo di lavoro "Articolo 29" del 6 febbraio 2018(5) sui criteri di riferimento per l'adeguatezza, che fornisce alla Commissione e al comitato europeo per la protezione dei dati, nel quadro del regolamento generale sulla protezione dei dati (GDPR), orientamenti per quanto concerne la valutazione del livello di tutela dei dati nei paesi terzi e nelle organizzazioni internazionali,

–  visto il progetto di decisione di esecuzione della Commissione a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali da parte del Giappone (COM(2018)XXXX),

–  visto l'esito della missione in Giappone effettuata nell'ottobre 2017 da una delegazione ad hoc della commissione per le libertà civili, la giustizia e gli affari interni, organizzata nel quadro dei negoziati sull'adeguatezza con l'obiettivo di incontrare le autorità e le parti interessate del Giappone per discutere gli elementi fondamentali considerati dalla Commissione nell'adottare la decisione di adeguatezza,

–  visto l'articolo 123, paragrafo 2, del suo regolamento,

A.  considerando che il GDPR si applica a decorrere dal 25 maggio 2018; che l'articolo 45, paragrafo 2, del GDPR stabilisce gli elementi che la Commissione deve prendere in considerazione nel valutare l'adeguatezza del livello di protezione in un paese terzo o in un'organizzazione internazionale;

B.  considerando che la Commissione deve prendere in considerazione, segnatamente, lo Stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nonché gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione;

C.  considerando che, nella sentenza del 6 ottobre 2015 nella causa C-362/14 (Maximillian Schrems/Data Protection Commissioner), la Corte di giustizia dell'Unione europea ha chiarito che un adeguato livello di protezione in un paese terzo deve essere interpretato come "sostanzialmente equivalente" a quello garantito all'interno dell'Unione in forza della direttiva 95/46/CE, letta alla luce della Carta;

D.  considerando che il Giappone è uno dei principali partner commerciali dell'Unione, con il quale è stato recentemente concluso un accordo di partenariato economico (APE) che sancisce valori e principi condivisi salvaguardando nel contempo le sensibilità di entrambi i partner; che il riconoscimento comune dei diritti fondamentali, comprese la tutela della vita privata e la protezione dei dati, costituisce una base importante per la decisione sull'adeguatezza, che costituirà la base giuridica per il trasferimento di dati personali dall'UE al Giappone;

E.  considerando che la delegazione ad hoc inviata in Giappone dalla commissione per le libertà civili, la giustizia e gli affari interni è stata informata dell'interesse delle autorità e delle parti interessate del Giappone in merito non solo all'applicazione delle nuove disposizioni del GDPR, ma anche alla definizione di un solido meccanismo di alto livello per il trasferimento dei dati personali tra l'UE e il Giappone, che soddisfi le condizioni previste dal quadro giuridico dell'Unione per quanto concerne il livello di protezione considerato sostanzialmente equivalente a quello garantito dalla legislazione dell'UE in materia di protezione dei dati;

F.  considerando che i trasferimenti di dati personali tra l'UE e il Giappone a fini commerciali sono un elemento importante delle relazioni tra le due parti alla luce della crescente digitalizzazione dell'economia globale; che tali trasferimenti dovrebbero essere effettuati nel pieno rispetto del diritto alla protezione dei dati personali e del diritto alla riservatezza; che uno degli obiettivi essenziali dell'UE è la protezione dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea;

G.  considerando che nel gennaio 2017 l'UE e il Giappone hanno avviato discussioni nell'ottica di agevolare i trasferimenti di dati personali a fini commerciali per mezzo del primo "accertamento di adeguatezza reciproco"; che, nella sua risoluzione del 12 dicembre 2017 dal titolo "Verso una strategia per il commercio digitale", il Parlamento ha esplicitamente riconosciuto che "le decisioni di adeguatezza [...] costituiscono un meccanismo fondamentale per proteggere il trasferimento di dati personali dall'UE verso un paese terzo";

H.  considerando che la decisione di adeguatezza sui trasferimenti di dati personali verso il Giappone sarebbe la prima decisione di questo tipo adottata nel quadro delle nuove norme più rigorose stabilite dal GDPR;

I.  considerando che il Giappone ha recentemente modernizzato e rafforzato la propria legislazione in materia di protezione dei dati per allinearla alle norme internazionali, e segnatamente alle garanzie e ai diritti individuali previsti dal nuovo quadro legislativo europeo in materia di protezione dei dati; che il quadro giuridico giapponese sulla protezione dei dati è costituito da vari pilastri e che la legge sulla protezione delle informazioni personali (APPI) rappresenta l'atto legislativo fondamentale di detto quadro;

J.  considerando che il Gabinetto del Giappone ha adottato, in data 12 giugno 2018, un'ordinanza che delega alla Commissione per la protezione delle informazioni personali (PPC), in quanto autorità competente per la gestione e l'attuazione dell'APPI, il potere di prendere i provvedimenti necessari per superare le divergenze tra i sistemi e le operazioni del Giappone e del paese terzo interessato sulla base dell'articolo 6 dell'APPI, nell'ottica di garantire la corretta gestione delle informazioni personali ricevute da tale paese; che, a norma di tale decisione, ciò include il potere di introdurre maggiori tutele attraverso l'adozione, da parte della PPC, di norme più rigorose atte a integrare e a rafforzare le disposizioni dell'APPI e dell'ordinanza governativa; che, conformemente a tale decisione, le suddette norme più rigorose sarebbero vincolanti per gli operatori economici giapponesi e avrebbero efficacia esecutiva;

K.  considerando che il progetto di decisione di esecuzione della Commissione sull'adeguata protezione dei dati personali da parte del Giappone è corredato (cfr. allegato I) delle disposizioni complementari adottate dalla PPC il 15 giugno 2018 sulla base dell'articolo 6 dell'APPI, che consentono esplicitamente alla PPC di adottare norme più rigorose, tra l'altro per agevolare i trasferimenti internazionali di dati; che le disposizioni complementari non sono ancora disponibili al pubblico;

L.  considerando che tali disposizioni complementari sarebbero finalizzate a ovviare alle differenze tra le normative del Giappone e dell'UE in materia di protezione dei dati nell'ottica di garantire la corretta gestione delle informazioni personali ricevute dall'Unione sulla base di una decisione di adeguatezza, in particolare per quanto concerne le informazioni personali il cui trattamento richiede un'attenzione particolare ("dati sensibili"), i dati personali conservati, l'indicazione della finalità del trattamento, le limitazioni legate alla finalità del trattamento, le limitazioni riguardo alla fornitura a terzi in un altro paese e le informazioni trattate in forma anonima;

M.  considerando che la Commissione sostiene che tali disposizioni complementari sarebbero giuridicamente vincolanti per qualsiasi operatore economico incaricato del trattamento delle informazioni personali che riceva dati personali trasferiti dall'UE sulla base di una decisione di adeguatezza, che sarebbe pertanto tenuto a rispettare tali disposizioni come pure qualsiasi diritto e obbligo da esse derivanti, e che dette disposizioni complementari sarebbero applicabili sia dalla PPC che dalle autorità giudiziarie giapponesi; che alcuni esperti giapponesi mettono in discussione il carattere giuridicamente vincolante delle disposizioni complementari;

N.  considerando che, al fine di garantire un livello di protezione sostanzialmente equivalente per i dati personali trasferiti dall'UE al Giappone, le disposizioni complementari introducono ulteriori tutele applicabili sulla base di condizioni o limitazioni più rigorose per il trattamento dei dati personali trasferiti dall'UE, ad esempio nel caso delle informazioni personali il cui trattamento richiede un'attenzione particolare, dei trasferimenti successivi, dei dati trattati in forma anonima e della limitazione della finalità;

O.  considerando che il quadro giuridico giapponese in materia di protezione dei dati prevede una distinzione tra i concetti di "informazioni personali" e "dati personali" e in alcuni casi fa riferimento a una categoria specifica di dati personali, vale a dire i "dati personali conservati";

P.  considerando che, ai sensi dell'articolo 2, paragrafo 1, dell'APPI, il concetto di "informazioni personali" include qualsiasi informazione relativa a una persona fisica che ne consenta l'identificazione; che la definizione distingue tra due categorie di informazioni personali, segnatamente i) i codici di identificazione personale e ii) altre informazioni personali che consentono l'identificazione dell'individuo; che quest'ultima categoria include le informazioni che da sole non consentono l'identificazione, ma che possono essere facilmente associate ad altre informazioni per identificare una specifica persona;

Q.  considerando che, ai sensi dell'articolo 2, paragrafo 4, dell'APPI, per "dati personali" si intendono le informazioni personali che costituiscono, ad esempio, una banca dati di informazioni personali; che l'articolo 2, paragrafo 1, dell'APPI precisa che le informazioni contenute in tali banche dati sono organizzate sistematicamente, il che richiama il concetto di sistema di archiviazione ai sensi dell'articolo 2, paragrafo 1, del GDPR; che, ai sensi dell'articolo 4, punto 1), del GDPR, per "dato personale" si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile; che, per "persona fisica identificabile", si intende la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; che, per stabilire l'identificabilità di una persona, è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente;

R.  considerando che, ai sensi dell'articolo 2, paragrafo 7, dell'APPI, per "dati personali conservati" si intendono i dati personali che un operatore economico incaricato del trattamento delle informazioni personali è autorizzato a divulgare, correggere, modificare aggiungendo o eliminando contenuti, cessare di utilizzare, cancellare o non fornire più a terzi e che non sono né quelli individuati dall'ordinanza governativa come suscettibili di danneggiare il pubblico o altri interessi se la loro presenza o assenza viene resa nota, né quelli che devono essere eliminati entro il termine massimo di un anno stabilito dall'ordinanza governativa; considerando che le disposizioni complementari allineano la nozione di "dati personali conservati" alla nozione di "dati personali" per garantire che alcune limitazioni ai diritti individuali connesse ai primi non si applichino ai dati trasferiti dall'UE;

S.  considerando che la legge giapponese sulla protezione dei dati oggetto del progetto di decisione di esecuzione esclude dal suo ambito di applicazione diversi settori quando trattano dati personali per finalità specifiche; che il progetto di decisione di esecuzione non si applicherebbe al trasferimento di dati personali dall'UE a un destinatario che rientri in una delle summenzionate eccezioni previste dalla legge giapponese sulla protezione dei dati;

T.  considerando che, per quanto concerne i trasferimenti successivi di dati personali dell'UE dal Giappone a un paese terzo, il progetto di decisione di esecuzione esclude l'utilizzo di strumenti di trasferimento che non creino relazioni vincolanti tra l'esportatore di dati giapponese e l'importatore di dati del paese terzo e che non garantiscano il livello di protezione richiesto; che ciò avverrebbe ad esempio nel caso del sistema di norme transfrontaliere in materia di privacy della Cooperazione economica Asia-Pacifico (CBPR dell'APEC), di cui il Giappone è un'economia partecipante, in quanto in tale sistema le tutele non derivano da un accordo che vincoli l'esportatore e l'importatore nel contesto delle loro relazioni bilaterali e sono chiaramente di un livello inferiore rispetto a quello garantito dall'applicazione congiunta dell'APPI e delle disposizioni complementari;

U.  considerando che il progetto di decisione di esecuzione è altresì corredato di una lettera in data 14 settembre 2018 del ministro della Giustizia in cui si fa riferimento a un documento elaborato dal ministero della Giustizia, in collaborazione con diversi altri ministeri e agenzie, dal titolo "Raccolta e uso delle informazioni personali da parte delle autorità pubbliche giapponesi nell'ambito dell'azione di contrasto in ambito penale o a fini di sicurezza nazionale", il quale contiene una panoramica del quadro giuridico applicabile e fornisce alla Commissione dichiarazioni ufficiali, garanzie e impegni firmati ai più alti livelli ministeriali e delle agenzie, figurante all'allegato II della decisione di esecuzione;

1.  prende atto dell'analisi dettagliata fornita dalla Commissione nel suo progetto di decisione di esecuzione sull'adeguatezza in relazione alle garanzie, compresi i meccanismi di sorveglianza e di ricorso, applicabili al trattamento dei dati da parte di operatori commerciali nonché all'accesso ai dati da parte delle autorità pubbliche giapponesi, segnatamente nel settore dell'applicazione della legge e della sicurezza nazionale;

2.  prende atto del fatto che il Giappone sta preparando contemporaneamente anche il riconoscimento del livello di protezione dei dati personali trasferiti dal Giappone all'UE a norma dell'articolo 23 dell'APPI, il che determinerebbe il primo accertamento di adeguatezza "bidirezionale" in assoluto a livello mondiale, in vista della creazione del più grande spazio mondiale di circolazione di dati liberi e sicuri;

3.  accoglie con favore questo sviluppo quale espressione della diffusione a livello globale di standard elevati di protezione dei dati; sottolinea, tuttavia, che ciò non deve in alcun modo condurre ad approcci "occhio per occhio" nelle decisioni di adeguatezza dell'UE; ricorda che, ai fini di una decisione di adeguatezza nel quadro del GDPR, la Commissione deve valutare obiettivamente la situazione giuridica e pratica del paese terzo, del territorio, del settore o dell'organizzazione internazionale;

4.  sottolinea che la Corte di giustizia dell'Unione europea ha statuito che "l'espressione 'livello di protezione adeguato' deve essere intesa nel senso che esige che [il paese terzo] assicuri effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all'interno dell'Unione in forza del GDPR, letto alla luce della Carta";

5.  rileva che il diritto al rispetto della vita privata e alla protezione dei dati personali è garantito a livello costituzionale sia in Giappone che nell'UE, ma che un allineamento completo delle norme unionali e nipponiche non sarà possibile, date le differenze in termini di struttura costituzionale e di cultura;

6.  prende atto delle modifiche apportate all'APPI, entrate in vigore il 30 maggio 2017; accoglie con favore i miglioramenti sostanziali;

7.  rileva che l'ambito di applicazione materiale dell'accertamento di adeguatezza non è sufficientemente definito all'articolo 1 del progetto di decisione di esecuzione, in quanto l'APPI esclude dal suo ambito di applicazione materiale diverse categorie di attività commerciali e di trasformazione; invita la Commissione a fornire ulteriori delucidazioni dettagliate riguardo all'impatto di tali esclusioni sui dati personali dell'UE trasferiti in Giappone e a specificare in modo chiaro, all'articolo 1 del progetto di decisione di esecuzione, quali trasferimenti di dati personali dell'UE sono coperti dalla decisione di adeguatezza, indicando che per i trasferimenti di dati personali mediante trattamento manuale le operazioni di trattamento in questione dovrebbero essere coperte qualora siano oggetto di ulteriore trattamento elettronico in Giappone;

8.  ritiene che, a seguito dell'adozione dell'APPI modificato e del GDPR nel 2016, il sistema di protezione dei dati giapponese e quello dell'UE condividono un elevato grado di convergenza in termini di principi, garanzie e diritti individuali, nonché di meccanismi di sorveglianza e di esecuzione; evidenzia, in particolare, la creazione di un'autorità di vigilanza indipendente, la PPC, attraverso l'APPI modificato;

9.  rileva, tuttavia, che la stessa PPC constata che "nonostante l'elevato grado di convergenza dei due sistemi, vi sono alcune differenze rilevanti"; osserva altresì che, al fine di garantire un livello più elevato di protezione dei dati personali trasferiti dall'UE, il 15 giugno 2018 la PPC ha adottato le disposizioni complementari;

10.  accoglie con favore una serie di importanti chiarimenti nelle disposizioni complementari, compreso l'allineamento delle "informazioni personali rese anonime" nell'APPI alla definizione di "informazione anonima" nel GDPR;

11.  ritiene che le ulteriori tutele offerte dalle disposizioni complementari coprono solo i trasferimenti nel quadro delle decisioni di adeguatezza; ricorda che, tenuto conto dell'ambito di applicazione della decisione di adeguatezza, alcuni trasferimenti di dati saranno effettuati nel quadro di questi altri meccanismi disponibili;

12.  riconosce che le ulteriori tutele previste dalle disposizioni complementari sono limitate ai dati personali trasferiti dall'Europa, per cui gli operatori economici che devono trattare contemporaneamente dati personali giapponesi ed europei saranno obbligati a conformarsi alle disposizioni complementari, garantendo, ad esempio, mezzi tecnici ("tagging") od organizzativi (ad esempio, la conservazione in una banca dati dedicata) per poter identificare tali dati personali durante tutto il loro "ciclo di vita"; invita la Commissione a monitorare la situazione onde evitare potenziali scappatoie che consentirebbero agli operatori di eludere gli obblighi previsti dalle disposizioni complementari trasferendo i dati attraverso paesi terzi;

13.  osserva che la definizione di "dati personali" nell'APPI esclude i dati "qualificati dall'ordinanza governativa come aventi poche possibilità di ledere i diritti e gli interessi di una persona, tenuto conto del loro metodo di utilizzo"; esorta la Commissione a valutare se questo approccio basato sul danno sia compatibile con l'approccio dell'UE secondo cui ogni trattamento di dati personali rientra nell'ambito di applicazione della normativa sulla protezione dei dati; rileva ciò nondimeno che tale approccio si applicherebbe in situazioni molto limitate;

14.  rileva inoltre che la definizione di "informazioni personali" nell'APPI copre solo le informazioni "che consentono di identificare una persona specifica"; osserva altresì che in tale definizione non è inclusa la precisazione fornita dal GDPR secondo cui le informazioni personali dovrebbero essere considerate dati personali anche quando possono essere utilizzate semplicemente per "distinguere" una persona, come chiaramente stabilito dalla Corte di giustizia dell'Unione europea;

15.  è preoccupato in relazione al fatto che la definizione più restrittiva di "dati personali" (basata sulla definizione di "informazioni personali") nell'APPI potrebbe non soddisfare la norma di "equivalenza sostanziale" rispetto al GDPR e alla giurisprudenza della Corte di giustizia dell'Unione europea; mette pertanto in dubbio l'affermazione contenuta nel progetto di decisione di esecuzione secondo cui "i dati dell'UE rientreranno sempre nella categoria dei "dati personali" nell'ambito dell'APPI"; invita la Commissione a seguire attentamente le implicazioni pratiche dei diversi concetti nel corso dell'applicazione della decisione di adeguatezza e del suo riesame periodico;

16.  invita la Commissione a fornire ulteriori chiarimenti e, se necessario, a chiedere alle autorità giapponesi ulteriori disposizioni complementari vincolanti, al fine di garantire che tutti i dati personali ai sensi del GDPR siano protetti quando vengono trasferiti in Giappone;

17.  rileva con preoccupazione che, per quanto riguarda il processo decisionale automatizzato e la profilazione, a differenza del diritto dell'UE, né l'APPI né gli orientamenti della PPC contengono disposizioni giuridiche e che solo alcune norme settoriali affrontano la questione, senza fornire un quadro giuridico globale completo che offra tutele sostanziali e forti contro il processo decisionale automatizzato e la profilazione; invita la Commissione a dare dimostrazione del modo in cui tale aspetto è affrontato nel quadro normativo giapponese in materia di protezione dei dati, così da garantire un livello di protezione equivalente; ritiene che ciò sia particolarmente pertinente alla luce dei recenti casi di profilazione Facebook/Cambridge Analytica;

18.  ritiene che, alla luce dei Criteri di riferimento per l'adeguatezza del comitato europeo per la protezione dei dati, siano necessari ulteriori, approfonditi chiarimenti per quanto riguarda la commercializzazione diretta, data la mancanza di disposizioni specifiche nell'APPI, al fine di dimostrare l'equivalenza del livello giapponese di protezione dei dati personali;

19.  ritiene che, per quanto riguarda i trasferimenti successivi, sebbene la combinazione delle norme APPI e delle disposizioni complementari possa garantire un livello di protezione superiore a quello fornito dal CBPR dell'APEC, la soluzione prevista dalle disposizioni complementari, che consiste nel richiedere il consenso preliminare delle persone interessate dell'UE per l'approvazione del trasferimento successivo a terzi in un paese straniero, manchi di alcuni elementi essenziali che consentirebbero alle persone interessate di prestare il loro consenso, in quanto non definisce espressamente ciò che rientra nella nozione di "informazioni sulle circostanze relative al trasferimento necessarie alla [persona interessata] per prendere una decisione sul suo consenso", in linea con l'articolo 13 del GDPR, ad esempio il paese terzo di destinazione del trasferimento successivo; osserva, oltre a ciò, che il progetto di decisione di esecuzione non spiega quali sono le conseguenze per la persona interessata in caso di rifiuto del consenso al trasferimento successivo dei suoi dati personali;

20.  invita la Commissione a valutare e dimostrare ulteriormente se l'indipendenza della PPC rispetti pienamente i requisiti che sono stati sviluppati attraverso la giurisprudenza della Corte di giustizia dell'Unione europea e che si riflettono nel GDPR;

21.  si rammarica del fatto che, per quanto riguarda l'efficace attuazione dell'APPI, il livello delle sanzioni eventualmente inflitte dalle autorità penali non sia sufficiente a garantire l'effettivo rispetto dell'APPI, in quanto non sembra essere effettivo, proporzionato e dissuasivo in relazione alla gravità dell'infrazione; osserva, tuttavia, che l'APPI prevede anche sanzioni penali, compresa la detenzione; invita la Commissione a fornire informazioni sull'uso effettivo delle ammende amministrative e delle sanzioni penali in passato;

22.  prende atto del fatto che, mentre la PPC non ha alcun controllo sulle attività di trattamento dei dati del settore dell'applicazione della legge, esistono altri meccanismi di supervisione, compreso il controllo da parte della Commissione prefettizia indipendente per la pubblica sicurezza; osserva che il comitato incaricato di esaminare la divulgazione delle informazioni e la protezione delle informazioni personali ha alcune competenze anche in questo settore, tra cui l'esame delle richieste di accesso e la pubblicazione di pareri, ma sottolinea che tali poteri non sono giuridicamente vincolanti; valuta positivamente il fatto che l'UE e il Giappone abbiano convenuto di istituire uno specifico meccanismo di ricorso, amministrato e controllato dalla PPC, che si applicherà al trattamento dei dati personali nei settori dell'applicazione della legge e della sicurezza nazionale;

23.  rileva che, in virtù della legge giapponese sulla protezione delle informazioni personali detenute dagli organi amministrativi (APPIHAO), gli operatori economici possono trasmettere i dati alle autorità incaricate dell'applicazione della legge anche su "base volontaria"; fa notare che ciò non è previsto nel GDPR né nella direttiva "Polizia" ed è preoccupato in relazione al fatto che potrebbe non essere conforme alla norma del "sostanzialmente equivalente" al GDPR;

24.  è a conoscenza delle notizie riportate dai media riguardo alla Direzione giapponese per l'intelligence dei segnali (DFS), "che impiega circa 1 700 persone e dispone di almeno sei strutture di sorveglianza che intercettano 24 ore su 24 telefonate, e-mail e altre comunicazioni"(6); è preoccupato in relazione al fatto che questo elemento di sorveglianza di massa indiscriminata non è nemmeno menzionato nel progetto di decisione di esecuzione; invita la Commissione a fornire maggiori informazioni sulla sorveglianza di massa giapponese; è seriamente preoccupato quanto al fatto che tale sorveglianza di massa non supererà la prova dei criteri stabiliti dalla Corte di giustizia dell'Unione europea nella sentenza Schrems (causa C-362/14);

25.  si rammarica del fatto che il documento "Raccolta e utilizzo delle informazioni personali da parte delle autorità pubbliche giapponesi a fini di contrasto in campo penale e di sicurezza nazionale", che fa parte dell'allegato II del progetto di decisione di esecuzione, non abbia lo stesso effetto giuridicamente vincolante delle disposizioni complementari;

Conclusioni

26.  invita la Commissione a fornire ulteriori prove e spiegazioni in merito alle questioni summenzionate, al fine di dimostrare che il quadro giuridico giapponese in materia di protezione dei dati garantisce un grado di tutela adeguato che è sostanzialmente equivalente a quello del quadro giuridico europeo in materia di protezione dei dati;

27.  ritiene che questa decisione di adeguatezza possa, inoltre, inviare un segnale forte ai paesi di tutto il mondo, vale a dire che la convergenza con gli elevati standard di protezione dei dati dell'UE offre risultati molto tangibili; sottolinea, a questo proposito, l'importanza di tale decisione di adeguatezza quale precedente per futuri partenariati con altri paesi che hanno adottato leggi moderne sulla protezione dei dati;

28.  incarica la commissione per le libertà civili, la giustizia e gli affari interni di continuare a monitorare gli sviluppi in questo settore, comprese le cause dinanzi alla Corte di giustizia, e il seguito dato alle raccomandazioni contenute nella presente risoluzione;

29.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione nonché ai governi e ai parlamenti degli Stati membri, al comitato europeo per la protezione dei dati, al Garante europeo della protezione dei dati, al comitato istituito a norma dell'articolo 93, paragrafo 1, del regolamento generale sulla protezione dei dati, al Consiglio d'Europa e al governo del Giappone.

 

(1)

GU L 119 del 4.5.2016, pag. 1.

(2)

ECLI:EU:C:2015:650.

(3)

ECLI:EU:C:2016:970.

(4)

GU C 369 dell'11.10.2018, pag. 22.

(5)

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; approvato dal comitato europeo per la protezione dei dati nella sua prima riunione plenaria.

(6)

Ryan Gallagher, "The Untold Story of Japan's Secret Spy Agency", The Intercept, 19 maggio 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

Ultimo aggiornamento: 12 dicembre 2018Avviso legale