Processo : 2018/2979(RSP)
Ciclo de vida em sessão
Ciclo relativo ao documento : B8-0561/2018

Textos apresentados :

B8-0561/2018

Debates :

Votação :

PV 13/12/2018 - 9.12

Textos aprovados :

P8_TA(2018)0529

PROPOSTA DE RESOLUÇÃO
PDF 205kWORD 60k
10.12.2018
PE631.583v01-00
 
B8-0561/2018

apresentada na sequência de uma declaração da Comissão

nos termos do artigo 123.º, n.º 2, do Regimento


sobre a adequação da proteção dos dados pessoais proporcionada pelo Japão (2018/2979(RSP))


Claude Moraes em nome da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos
ALTERAÇÕES

Resolução do Parlamento Europeu sobre a adequação da proteção dos dados pessoais proporcionada pelo Japão (2018/2979(RSP))  
B8‑0561/2018

O Parlamento Europeu,

–  Tendo em conta o Tratado da União Europeia (TUE), o Tratado sobre o Funcionamento da União Europeia (TFUE) e os artigos 6.º, 7.º, 8.º, 11.º, 16.º, 47.º e 52.º da Carta dos Direitos Fundamentais da União Europeia,

–  Tendo em conta o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)(1), e o restante acervo comunitário em matéria de proteção de dados,

–  Tendo em conta o acórdão do Tribunal de Justiça da União Europeia, de 6 de outubro de 2015, no processo C-362/14 (Maximillian Schrems contra Data Protection Commissioner)(2),

–  Tendo em conta o acórdão do Tribunal de Justiça da União Europeia, de 21 de dezembro de 2016, nos processos C-203/15 (Tele2 Sverige AB contra Post-och telestyrelsen) e C-698/15 (Secretary of State for the Home Department contra Tom Watson e o.)(3),

–  Tendo em conta a sua resolução, de 12 de dezembro de 2017, intitulada «Rumo a uma estratégia comercial digital»(4),

–  Tendo em conta o documento do Grupo de Trabalho do artigo 29.º intitulado «Adequacy Referencial» (referencial de adequação), de 6 de fevereiro de 2018(5), que fornece orientações à Comissão e ao Comité Europeu para a Proteção de Dados (CEPD) ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD) para avaliação do nível de proteção de dados em países terceiros e organizações internacionais,

–  Tendo em conta o projeto de decisão de execução da Comissão ao abrigo do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho relativo à proteção adequada dos dados pessoais pelo Japão (COM (2018)XXXX),

–  Tendo em conta os resultados da visita ao Japão, em outubro de 2017, de uma delegação ad hoc da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos, organizada no contexto das negociações sobre a adequação, a fim de se reunir com as autoridades japonesas competentes e as partes interessadas relativamente aos elementos essenciais a ter em conta pela Comissão aquando da adoção da sua decisão de adequação,

–  Tendo em conta o artigo 123.º, n.º 2, do seu Regimento,

A.  Considerando que o RGPD é aplicável desde 25 de maio de 2018; que o artigo 45.º, n.º 2, do RGPD estabelece os elementos a ter em conta pela Comissão ao avaliar a adequação do nível de proteção num país terceiro ou numa organização internacional;

B.  Considerando que a Comissão tem de ter particularmente em conta o Estado de direito, o respeito pelos direitos humanos e as liberdades fundamentais, a legislação relevante, tanto geral como setorial, incluindo no que diz respeito à segurança pública, à defesa, à segurança nacional, ao direito penal e ao acesso das autoridades públicas aos dados pessoais, a existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes, bem como os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional;

C.  Considerando que o Tribunal de Justiça da União Europeia, no seu acórdão de 6 de outubro de 2015 no processo C-362/14 (Maximillian Schrems contra Data Protection Commissioner), esclareceu que um nível de proteção adequado num país terceiro deve ser entendido como «essencialmente equivalente» ao garantido na União Europeia por força da Diretiva 95/46/CE, interpretada à luz da Carta;

D.  Considerando que o Japão é um dos principais parceiros comerciais da UE, com o qual celebrou recentemente um Acordo de Parceria Económica (APE) que consagra valores e princípios comuns, salvaguardando simultaneamente as sensibilidades de ambos os parceiros; que o reconhecimento comum dos direitos fundamentais, incluindo a privacidade e a proteção de dados, constitui uma base importante para a decisão sobre a adequação, que constituirá a base jurídica para a transferência de dados pessoais da UE para o Japão;

E.  Considerando que a delegação ad hoc da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos ao Japão foi informada do interesse das autoridades japonesas e das partes interessadas, não só na aplicação do novo Regulamento Geral sobre a Proteção de Dados (RGPD), mas também no desenvolvimento de um mecanismo sólido e de alto nível de transferência de dados pessoais entre a UE e o Japão, que satisfaça as condições estabelecidas pelo quadro jurídico da UE em termos de um nível de proteção considerado essencialmente equivalente ao proporcionado pela legislação da UE em matéria de proteção de dados;

F.  Considerando que as transferências de dados pessoais para fins comerciais entre a UE e o Japão são um elemento importante das relações UE-Japão à luz da crescente digitalização da economia mundial; que essas transferências devem ser realizadas com base no pleno respeito do direito à proteção dos dados pessoais e do direito à privacidade; que um dos objetivos fundamentais da UE é a proteção dos direitos fundamentais, tal como consagrados na Carta dos Direitos Fundamentais da União Europeia;

G.  Considerando que, em janeiro de 2017, a UE e o Japão iniciaram debates para facilitar as transferências de dados pessoais para fins comerciais através da primeira «constatação de adequação mútua»; que o Parlamento, na sua resolução de 12 de dezembro de 2017, intitulada «Rumo a uma estratégia comercial digital», reconhece(u) explicitamente “que as decisões de adequação [...] são um mecanismo fundamental para assegurar a transferência de dados pessoais da UE para um país terceiro”;

H.  Considerando que a decisão sobre a adequação das transferências de dados pessoais para o Japão seria a primeira decisão adotada ao abrigo das novas e mais rigorosas regras do RGPD;

I.  Considerando que o Japão modernizou e reforçou recentemente a sua legislação em matéria de proteção de dados, a fim de a harmonizar com as normas internacionais, em especial com as salvaguardas e os direitos individuais proporcionados pelo novo quadro legislativo europeu em matéria de proteção de dados; que o quadro jurídico japonês em matéria de proteção de dados é composto por vários pilares, sendo a lei sobre a proteção dos dados pessoais o elemento central da legislação;

J.  Considerando que o Conselho de Ministros do Japão adotou, em 12 de junho de 2018, uma resolução ministerial que delega na Comissão de Proteção das Informações Pessoais (CPP), enquanto autoridade competente para administrar e executar a lei sobre a proteção dos dados pessoais, «o poder de tomar as medidas necessárias para colmatar as diferenças entre os sistemas e operações entre o Japão e o país estrangeiro em causa, com base no artigo 6.º da Lei, a fim de assegurar o tratamento adequado dos dados pessoais recebidos desse país»; que esta decisão estipula que tal inclui o poder de estabelecer proteções reforçadas através da adoção, pela CPP, de normas mais rigorosas que complementem e vão além das estabelecidas na lei sobre a proteção dos dados pessoais e na resolução ministerial; que, nos termos desta decisão, estas normas mais rigorosas seriam vinculativas e aplicáveis aos operadores comerciais japoneses;

K.  Considerando que o projeto de decisão de execução da Comissão sobre a proteção adequada dos dados pessoais pelo Japão é acompanhado, no seu anexo I, das normas complementares adotadas em 15 de junho de 2018 pela CPP, que se baseiam no artigo 6.º da lei sobre a proteção dos dados pessoais, o que permite explicitamente à CPP adotar regras mais rigorosas, nomeadamente para facilitar as transferências internacionais de dados; que as normas complementares ainda não estão disponíveis ao público;

L.  Considerando que o objetivo das normas complementares seria abordar as diferenças relevantes entre a legislação do Japão e da UE em matéria de proteção de dados, a fim de assegurar o tratamento adequado das informações pessoais recebidas da UE, com base numa decisão de adequação, em especial no que se refere a informações pessoais que exigem especial cuidado («dados sensíveis»), aos dados pessoais conservados, especificando um objetivo de utilização, restrições decorrentes da utilização, restrições ao fornecimento a terceiros num país estrangeiro, bem como a informações tratadas de forma anónima;

M.  Considerando que a Comissão afirma que as normas complementares seriam juridicamente vinculativas para qualquer operador de empresas de tratamento de dados pessoais que receba dados pessoais transferidos da UE com base numa decisão de adequação e, por conseguinte, seja obrigado a cumprir essas normas e quaisquer direitos e obrigações conexos, e que seriam aplicáveis tanto pela CPP como pelos tribunais japoneses; que alguns peritos japoneses questionam sobre se as normas complementares são vinculativas;

N.  Considerando que, a fim de assegurar um nível de proteção essencialmente equivalente para os dados pessoais transferidos da UE para o Japão, as normas complementares criam proteções adicionais aplicáveis com base em condições ou limitações mais rigorosas ao tratamento de dados pessoais transferidos a partir da UE, por exemplo, nos casos de informações pessoais que exigem especial cuidado, transferências ulteriores, dados anónimos e limitação da finalidade;

O.  Considerando que o quadro jurídico japonês em matéria de proteção de dados distingue entre «informações pessoais» e «dados pessoais» e remete, em alguns casos, para uma categoria específica de dados pessoais, a saber, «dados pessoais conservados»;

P.  Considerando que, nos termos do artigo 2.º, n.º 1, da lei sobre a proteção dos dados pessoais, o conceito de «informação pessoal» inclui qualquer informação relativa a um indivíduo vivo que permita a sua identificação; que a definição distingue duas categorias de informações pessoais: i) códigos de identificação individuais e ii) outras informações pessoais que permitam identificar um indivíduo específico; que esta última categoria inclui informações que, por si só, não permitem a identificação, mas podem, quando «cotejadas» com outras informações, permitir a identificação de um indivíduo específico;

Q.  Considerando que, de acordo com o artigo 2.º, n.º 4, da lei sobre a proteção dos dados pessoais, entende-se por «dados pessoais» a informação pessoal que constitui, nomeadamente, uma base de dados com informações pessoais; que o artigo 2.º, n.º 1, da lei sobre a proteção dos dados pessoais especifica que as informações contidas nessas bases são sistematicamente organizadas, à semelhança do conceito de sistema de arquivo na aceção do artigo 2.º, n.º 1, do RGPD; que, de acordo com o artigo 4.º, n.º 1, do RGPD, por "dados pessoais" entende–se qualquer informação relativa a uma pessoa singular identificada ou identificável; que é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização ou identificadores por via eletrónica, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular; que, para determinar se uma pessoa singular é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular.

R.  Considerando que, nos termos do artigo 2.º, n.º 7, da lei sobre a proteção dos dados pessoais, entende-se por «dados pessoais conservados» os dados pessoais cujo conteúdo um operador de uma empresa de tratamento de dados pessoais tem autoridade para revelar, corrigir, acrescentar ou suprimir, pôr termo à utilização, apagar ou cessar o fornecimento a terceiros, e que não devem ser nem os dados previstos por resolução ministerial como suscetíveis de lesar o interesse público ou outros interesses se a sua presença ou ausência for dada a conhecer, nem os dados a serem suprimidos num prazo máximo de um ano fixado por resolução ministerial; que as normas complementares adaptam a noção de «dados pessoais conservados» à noção de «dados pessoais», a fim de garantir que certas limitações dos direitos individuais inerentes à primeira não sejam aplicadas aos dados transferidos a partir da UE;

S.  Considerando que a legislação japonesa em matéria de proteção de dados, que é objeto do projeto de decisão de execução, exclui do seu âmbito de aplicação vários setores quando tratam dados pessoais para fins específicos; que o projeto de decisão de execução não se aplicaria à transferência de dados pessoais da UE para um destinatário abrangido por qualquer das exceções acima referidas previstas na legislação japonesa em matéria de proteção de dados;

T.  Considerando que, no que diz respeito às transferências ulteriores, do Japão para um país terceiro, de dados pessoais da UE, o projeto de decisão de execução exclui, relativamente a essas transferências ulteriores, a utilização de instrumentos de transferência que não criem uma relação vinculativa entre o exportador de dados japonês e o importador de dados do país terceiro e que não garantam o nível de proteção exigido; que tal seria o caso, por exemplo, do sistema de normas de privacidade no âmbito da cooperação económica transfronteiriça Ásia-Pacífico, no qual o Japão é uma economia participante, uma vez que, nesse sistema, as proteções não resultam de um acordo vinculativo entre exportador e importador no contexto da sua relação bilateral e são de um nível claramente inferior ao garantido pela combinação da lei sobre a proteção dos dados pessoais e das normas complementares;

U.  Considerando que o projeto de decisão de execução é igualmente acompanhado por uma carta do Ministro da Justiça, de 14 de setembro de 2018, na qual se refere a um documento elaborado pelo Ministério da Justiça e por vários ministérios e agências sobre a «Recolha e utilização de informações pessoais pelas autoridades públicas japonesas para fins de aplicação da lei penal e de segurança nacional», que contém uma panorâmica do quadro jurídico aplicável e fornece à Comissão as representações oficiais, garantias e compromissos assinados ao mais alto nível ministerial e de agências, que figura no anexo II da decisão de execução;

1.  Toma nota da pormenorizada análise fornecida pela Comissão no seu projeto de decisão de execução relativa às salvaguardas, incluindo mecanismos de supervisão e de recurso, aplicáveis ao tratamento de dados por operadores comerciais, bem como ao acesso de autoridades públicas japonesas aos dados, em especial no domínio da aplicação da lei e da segurança nacional;

2.  Toma nota do facto de o Japão proceder simultaneamente à preparação do reconhecimento do nível de proteção dos dados pessoais transferidos do Japão para a UE, nos termos do artigo 23.º da lei sobre a proteção de dados pessoais, o que daria lugar à primeira constatação de adequação «bidirecional» à escala mundial, conducente à criação do maior espaço mundial de fluxos de dados livres e seguros;

3.  Congratula-se com este desenvolvimento, enquanto expressão da generalização das elevadas normas de proteção de dados; salienta, no entanto, que tal não deve de modo algum conduzir à adoção de abordagens “olho por olho, dente por dente” ao nível das decisões de adequação da UE; recorda que, para uma decisão de adequação ao abrigo do RGPD, a Comissão tem de avaliar objetivamente a situação jurídica e prática no país terceiro, território, setor ou organização internacional;

4.  Salienta que o Tribunal de Justiça da União Europeia decidiu que “o conceito de «nível de proteção adequado» não exige um nível de proteção idêntico ao garantido na UE, mas deve ser entendido como exigindo que o país terceiro, em virtude da sua legislação nacional ou dos seus compromissos internacionais, garanta de facto um nível de proteção dos direitos e liberdades fundamentais essencialmente equivalente ao garantido na União Europeia por força do RGPD interpretado à luz da Carta”;

5.  Observa que o direito à privacidade e à proteção dos dados pessoais é garantido a nível constitucional tanto no Japão como na UE, mas que não será possível um alinhamento completo das regras da UE e do Japão devido às diferenças na estrutura constitucional e na cultura;

6.  Toma nota das alterações à lei sobre a proteção dos dados pessoais, em vigor desde 30 de maio de 2017; congratula-se com as melhorias significativas;

7.  Observa que o âmbito de aplicação material da constatação de adequação não está suficientemente definido no artigo 1.º do projeto de decisão de execução, devido ao facto de a lei sobre a proteção dos dados pessoais excluir do seu âmbito de aplicação material diversas categorias de empresas e atividades de tratamento; insta a Comissão a prestar esclarecimentos adicionais e pormenorizados sobre o impacto dessas exclusões nos dados pessoais da UE transferidos para o Japão e a especificar claramente no artigo 1.º do projeto de decisão de execução que as transferências de dados pessoais da UE são abrangidas pela decisão de adequação, indicando que, para as transferências de dados pessoais através do tratamento manual, as operações de tratamento em causa teriam de ser abrangidas sempre que estejam sujeitas a um tratamento eletrónico adicional no Japão;

8.  Considera que, na sequência da adoção da lei sobre a proteção dos dados pessoais alterada e do RGPD, em 2016, os sistemas de proteção de dados do Japão e da UE partilham um elevado grau de convergência em termos de princípios, garantias e direitos individuais, bem como de mecanismos de supervisão e de execução; salienta, em particular, a criação de uma autoridade supervisora independente, a CPP, através da lei sobre a proteção dos dados pessoais alterada;

9.  Observa, contudo, que a própria CPP considera que, apesar de um elevado grau de convergência entre os dois sistemas, existem algumas diferenças relevantes; observa ainda que, a fim de proporcionar um nível mais elevado de proteção dos dados pessoais transferidos da UE, a CPP adotou as normas complementares em 15 de junho de 2018;

10.  Acolhe com agrado uma série de clarificações importantes nas normas complementares, incluindo o alinhamento da «informação pessoal anonimizada» na lei sobre a proteção dos dados pessoais com a definição de «informações anónimas» no RGPD;

11.  Considera que as proteções adicionais das normas complementares apenas abrangem as transferências ao abrigo de decisões de adequação; recorda que, tendo em conta o âmbito da decisão sobre a adequação, algumas transferências de dados serão realizadas ao abrigo destes outros mecanismos disponíveis;

12.  Reconhece que as proteções adicionais previstas nas normas complementares se limitam aos dados pessoais transferidos a partir da Europa, pelo que os operadores comerciais que têm de tratar simultaneamente os dados pessoais do Japão e da Europa serão obrigados a cumprir as normas complementares, assegurando, por exemplo, meios técnicos («tagging») ou organizativos (por exemplo, armazenamento numa base de dados específica), para tornar possível identificar esses dados pessoais ao longo do seu «ciclo de vida»; insta a Comissão a acompanhar a situação, a fim de evitar potenciais lacunas que permitam aos operadores contornar as obrigações estabelecidas nas normas complementares mediante a transferência de dados através de países terceiros;

13.  Observa que a definição de «dados pessoais» na lei sobre a proteção dos dados pessoais exclui os dados «previstos por resolução ministerial como tendo pouca possibilidade de prejudicar os direitos e interesses de uma pessoa, tendo em conta o seu método de utilização»; insta a Comissão a analisar se esta abordagem baseada nos danos é compatível com a abordagem da UE ao abrigo da qual todo o tratamento de dados pessoais é abrangido pelo âmbito de aplicação da legislação em matéria de proteção de dados; observa, no entanto, que esta abordagem se aplicaria em situações muito limitadas;

14.  Observa ainda que a definição de «informação pessoal» na lei sobre a proteção dos dados pessoais se limita à informação «através da qual um indivíduo pode ser identificado»; observa igualmente que esta definição não inclui a clarificação fornecida pelo RGPD de que as informações pessoais também devem ser consideradas como dados pessoais, quando estas podem ser simplesmente utilizadas para «excluir» uma pessoa, tal como claramente estabelecido pelo Tribunal de Justiça da União Europeia;

15.  Manifesta a sua preocupação pelo facto de a definição mais restrita de «dados pessoais» (baseada na definição de «informações pessoais») na lei sobre a proteção dos dados pessoais poder não cumprir a norma de ser «essencialmente equivalente» ao RGPD e à jurisprudência do Tribunal de Justiça da União Europeia; questiona, por conseguinte, a afirmação constante do projeto de decisão de execução de que «os dados da UE inserir-se-ão sempre na categoria de «dados pessoais» ao abrigo da lei sobre a proteção dos dados pessoais»; insta a Comissão a acompanhar de perto as implicações práticas dos diferentes conceitos durante a aplicação da decisão de adequação e da sua revisão periódica;

16.  Exorta a Comissão a prestar esclarecimentos adicionais e, se necessário, a requerer às autoridades japonesas normas complementares vinculativas ulteriores, a fim de assegurar a proteção de todos os dados pessoais na aceção do RGPD quando transferidos para o Japão;

17.  Observa com preocupação que, no que diz respeito à tomada de decisões e à definição de perfis, de forma distinta da do direito da UE, nem a lei sobre a proteção dos dados pessoais nem as Orientações da CPP contêm disposições jurídicas, e que apenas certas normas setoriais abordam esta questão, sem proporcionar um quadro jurídico global abrangente com uma proteção substancial e robusta contra a tomada de decisões automatizada e a definição de perfis; insta a Comissão a demonstrar de que forma esta questão é abordada no quadro de proteção de dados japonês, de modo a garantir um nível de proteção equivalente; considera que tal é especialmente relevante tendo em conta os recentes casos de definição de perfis do Facebook/Cambridge Analytica;

18.  Considera que, à luz do Referencial de Adequação do CEPD, são necessários esclarecimentos aprofundados ulteriores no que respeita à comercialização direta, dada a ausência de disposições específicas na lei sobre a proteção dos dados pessoais, a fim de demonstrar que o Japão possui um nível equivalente de proteção dos dados pessoais;

19.  Considera que, no que diz respeito às transferências subsequentes, embora a combinação das normas da lei sobre a proteção dos dados pessoais e das normas complementares assegure um nível de proteção mais elevado do que o previsto no âmbito da cooperação económica transfronteiriça Ásia-Pacífico, a solução prevista nas normas complementares, que consiste em exigir consentimento prévio por parte dos titulares de dados da UE para a aprovação da transferência subsequente para um terceiro num país estrangeiro, carece de determinados elementos essenciais que permitiriam aos titulares dos dados formular o seu consentimento, uma vez que não define expressamente o que é abrangido pela noção de «informação sobre as circunstâncias que envolvem a transferência necessária para o [titular dos dados] tomar uma decisão sobre o seu consentimento», em conformidade com o artigo 13.º do RGPD, nomeadamente o país terceiro de destino da transferência subsequente; observa que, além disso, o projeto de decisão de execução não explica as consequências para o titular dos dados em caso de recusa de consentimento para a transferência ulterior dos respetivos dados pessoais;

20.  Insta a Comissão a avaliar melhor e a demonstrar se a independência da CPP cumpre plenamente os requisitos estabelecidos através da jurisprudência do Tribunal de Justiça da União Europeia e refletidos no RGPD;

21.  Lamenta que, no que respeita à aplicação efetiva da lei sobre a proteção de dados pessoais, o nível de eventuais coimas impostas pelas autoridades penais seja insuficiente para garantir o cumprimento efetivo da Lei, uma vez que não parece ser proporcionada, eficaz ou dissuasiva em relação à gravidade da infração; observa, no entanto, que lei sobre a proteção dos dados pessoais prevê igualmente sanções penais, incluindo a pena de prisão; insta a Comissão a fornecer informações sobre a utilização efetiva de coimas e sanções penais no passado;

22.  Toma nota de que, embora a lei sobre a proteção dos dados pessoais não tenha uma função de supervisão das atividades de tratamento de dados do setor da aplicação da lei, existem outros mecanismos de supervisão, incluindo a supervisão pela Comissão Municipal de Segurança Pública, que é independente; observa que o Comité de Exame da Informação e da Proteção de Informações Pessoais também tem competências na matéria, nomeadamente no que respeita à análise dos pedidos de acesso e à publicação de pareceres, mas salienta que estes poderes não são juridicamente vinculativos; congratula-se com o facto de a UE e o Japão terem acordado em estabelecer um mecanismo de recurso específico, administrado e supervisionado pela CPP, que será aplicado ao tratamento de dados pessoais nos setores da aplicação da lei e da segurança nacional;

23.  Observa que, nos termos da lei japonesa sobre a proteção dos dados pessoais na posse dos órgãos administrativos (APPIHAO), os operadores de empresas também podem, numa «base voluntária», transmitir dados às autoridades responsáveis pela aplicação da lei; salienta que tal não está previsto no RGPD nem na Diretiva relativa à cooperação policial e receia que possa não estar conforme com a norma de ser «essencialmente equivalente» ao RGPD;

24.  Está ciente dos relatos dos órgãos de comunicação social sobre a Direção de Informações de Sinais (DFS) do Japão, que emprega cerca de 1700 pessoas e dispõe de, pelo menos, seis instalações de vigilância que intercetam permanentemente chamadas telefónicas, mensagens de correio eletrónico e outras comunicações(6); manifesta a sua preocupação pelo facto de este elemento de vigilância indiscriminada em larga escala não ser sequer mencionado no projeto de decisão de execução; insta a Comissão a fornecer mais informações sobre a vigilância em larga escala praticada pelo Japão; manifesta a sua profunda preocupação pelo facto de esta vigilância em larga escala não estar em harmonia com os critérios estabelecidos pelo Tribunal de Justiça da União Europeia no acórdão Schrems (processo C-362/14);

25.  Lamenta que o documento «Recolha e utilização de informações pessoais pelas autoridades públicas japonesas para fins de aplicação da lei penal e de segurança nacional», que faz parte do Anexo II do projeto de decisão de execução, não tenha o mesmo efeito juridicamente vinculativo que as normas complementares;

Conclusões

26.  Exorta a Comissão a fornecer mais provas e explicações sobre as questões acima referidas, a fim de demonstrar que o quadro jurídico japonês em matéria de proteção de dados garante um nível adequado de proteção essencialmente equivalente ao do quadro jurídico europeu em matéria de proteção de dados;

27.  Considera que esta decisão de adequação pode, além disso, enviar um sinal claro aos países de todo o mundo de que a convergência com as elevadas normas de proteção de dados da UE proporciona resultados muito tangíveis; salienta, neste contexto, a importância desta decisão de adequação como um precedente para futuras parcerias com outros países que tenham adotado legislação moderna em matéria de proteção de dados;

28.  Encarrega a sua Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos de continuar a acompanhar os desenvolvimentos neste domínio, nomeadamente em processos perante o Tribunal de Justiça, assim como a monitorizar o seguimento dado às recomendações formuladas na presente resolução;

°

°  °

29.  Encarrega o seu Presidente de transmitir a presente resolução ao Conselho, à Comissão, aos governos e parlamentos dos Estados-Membros, ao Comité Europeu para a Proteção de Dados, à Autoridade Europeia para a Proteção de Dados, ao Comité instituído nos termos do artigo 93.º, n.º 1, do Regulamento Geral sobre a Proteção de Dados, ao Conselho da Europa e ao Governo do Japão.

 

(1)

JO L 119 de 4.5.2016, p. 1.

(2)

ECLI:EU:C:2015:650.

(3)

ECLI:EU:C:2016:970.

(4)

JO C 369 de 11.10.2018, p. 22.

(5)

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; aprovado pelo CEPD na sua primeira sessão plenária.

(6)

Ryan Gallagher, ‘The Untold Story of Japan’s Secret Spy Agency’, The Intercept, 19 de maio de 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

Última actualização: 12 de Dezembro de 2018Advertência jurídica