(1)

El Reglamento (UE) 2016/679 establece las normas que regulan la transferencia de datos personales desde los responsables o encargados del tratamiento en la Unión Europea a terceros países y organizaciones internacionales, en la medida en que tales transferencias se encuentren comprendidas dentro de su ámbito de aplicación. Las normas sobre transferencias internacionales de datos personales se establecen en el capítulo V de dicho Reglamento, más concretamente en los artículos 44 a 50. El flujo de datos personales hacia y desde países no pertenecientes a la Unión Europea es necesario para la expansión de la cooperación y el comercio internacionales, y garantiza al mismo tiempo que el nivel de protección de los datos personales en la Unión Europea no se vea menoscabado.

(2)

De conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679, la Comisión puede decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado. En tal caso, la transferencia de datos personales a dicho tercer país, territorio, sector u organización internacional puede realizarse sin necesidad de obtener ninguna otra autorización, de conformidad con lo dispuesto en el artículo 45, apartado 1, y en el considerando 103 del Reglamento.

(3)

Tal como se especifica en el artículo 45, apartado 2, del Reglamento (UE) 2016/679, la adopción de una decisión de adecuación ha de basarse en un análisis exhaustivo del ordenamiento jurídico del tercer país, por lo que se refiere tanto a las normas aplicables a los importadores de datos como a las limitaciones y salvaguardas en lo que respecta al acceso a los datos personales por parte de las autoridades públicas. La evaluación debe determinar si el tercer país en cuestión garantiza un nivel de protección «equivalente en lo esencial» al ofrecido en la Unión Europea [considerando 104 del Reglamento (UE) 2016/679]. Tal como ha precisado el Tribunal de Justicia de la Unión Europea, no se exige un nivel de protección idéntico (2). En particular, los medios de que se sirve el tercer país en cuestión pueden ser diferentes de los aplicados en la Unión Europea, siempre que, en la práctica, sean eficaces para garantizar un nivel de protección adecuado (3). Por consiguiente, el nivel de adecuación no exige que se reproduzcan al pie de la letra las normas de la Unión. Se trata más bien de determinar si el sistema extranjero ofrece, en su conjunto y por la esencia de los derechos de privacidad y su aplicación, fuerza ejecutiva y supervisión efectivas, el nivel de protección exigido (4).

(4)

La Comisión ha analizado detenidamente la legislación y las prácticas japonesas. Sobre la base de las constataciones expuestas en los considerandos 6 a 175, la Comisión concluye que Japón garantiza un nivel adecuado de protección de los datos personales transferidos a las organizaciones que entran dentro del ámbito de aplicación de la Ley sobre la protección de la información personal (5) y siempre que se cumplan las condiciones adicionales contempladas en la presente Decisión. Estas condiciones se establecen en las Reglas complementarias (anexo I) adoptadas por la Comisión de Protección de la Información Personal (CPIP) (6) y en las declaraciones, garantías y compromisos oficiales del Gobierno japonés a la Comisión Europea (anexo II).

(5)

La presente Decisión tiene por efecto que las transferencias desde un responsable o encargado del tratamiento en el Espacio Económico Europeo (EEE) (7) hacia dichas organizaciones en Japón pueden realizarse sin necesidad de obtener ninguna otra autorización. No tiene ninguna incidencia en la aplicación directa del Reglamento (UE) 2016/679 a dichas organizaciones cuando se cumplan las condiciones enunciadas en su artículo 3.

(6)

El régimen jurídico que rige la privacidad y la protección de datos en Japón tiene sus raíces en la Constitución de 1946.

(7)

El artículo 13 de la Constitución dispone:

«Todos los ciudadanos serán respetados como personas individuales. Su derecho a la vida, la libertad y al logro de la felicidad, será, en tanto que no interfiera con el bienestar público, el objetivo supremo de la legislación y de los demás actos de Gobierno.».

(8)

Sobre la base de dicho artículo, el Tribunal Supremo japonés ha precisado los derechos de las particulares en lo que respecta a la protección de la información personal. En una resolución de 1969, reconoció el derecho a la vida privada y a la protección de datos como un derecho constitucional (8). Entre otras cosas, el Tribunal sostuvo que «cada particular es libre de proteger su propia información personal de modo que no sea comunicada a terceros ni hecha pública sin un motivo justificado». Por otra parte, en una resolución de 6 de marzo de 2008 («Juki-Net») (9), el Tribunal Supremo mantuvo que «la libertad de los ciudadanos en su vida privada estará protegida contra el ejercicio de la autoridad pública y puede considerarse que, como una de las libertades de las personas en su vida privada, cada particular es libre de proteger su propia información personal de modo que no sea comunicada a terceros ni hecha pública sin un motivo justificado.» (10).

(9)

El 30 de mayo de 2003, Japón promulgó una serie de leyes en el ámbito de la protección de datos:

(10)

Las dos últimas Leyes (modificadas en 2016) contienen disposiciones aplicables a la protección de la información personal por parte de las entidades del sector público. El tratamiento de datos comprendido en el ámbito de aplicación de dichas Leyes no es objeto de la constatación de adecuación contenida en la presente Decisión, que se limita a la protección de la información personal por parte de los «operadores económicos que manejan información personal» (OEMIP) en el sentido de la LPIP.

(11)

La LPIP ha sido reformada en los últimos años. La LPIP modificada fue promulgada el 9 de septiembre de 2015 y entró en vigor el 30 de mayo de 2017. La modificación introdujo una serie de nuevas salvaguardas y reforzó las ya existentes, acercando así el sistema de protección de datos japonés al europeo. Se incluyen, por ejemplo, una serie de derechos individuales exigibles o el establecimiento de una autoridad de control independiente (CPIP) encargada de la supervisión y del control de la aplicación de la LPIP.

(12)

Además de la LPIP, el tratamiento de la información personal comprendida en el ámbito de aplicación de la presente Decisión está sujeto a normas de ejecución adoptadas sobre la base de la LPIP. Se trata sobre todo de la modificación de la Orden del Gabinete para asegurar el cumplimiento de la Ley sobre la protección de la información personal, de 5 de octubre de 2016, y las llamadas normas de ejecución de la Ley sobre la protección de la información personal adoptadas por la CPIP (11). Ambos conjuntos de normas son legalmente vinculantes y tienen carácter ejecutivo y entraron en vigor al mismo tiempo que la LPIP modificada.

(13)

Por otra parte, el 28 de octubre de 2016, el Gabinete de Japón (compuesto por el primer ministro y los ministros que forman su Gobierno) adoptó una «política de base» con el fin de «promover de manera global e integrada medidas tendentes a la protección de la información personal». De conformidad con el artículo 7 de la LPIP, la «política de base» se adoptó en forma de Decisión del Gabinete e incluye orientaciones estratégicas relativas a la ejecución de la LPIP, dirigidas tanto a la Administración central como a las autoridades locales.

(14)

Recientemente, mediante Decisión del Gabinete de 12 de junio de 2018, el Gobierno japonés ha modificado la «política de base». Con el fin de facilitar las transferencias internacionales de datos, dicha Decisión del Gabinete delega en la CPIP, como autoridad competente para la gestión y aplicación de la LPIP, «la facultad de adoptar las medidas necesarias para salvar las diferencias entre los sistemas y las operaciones de Japón y los del país extranjero de que se trate sobre la base del artículo 6 de la Ley, con el fin de garantizar el manejo apropiado de la información personal recibida de dicho país». La Decisión del Gabinete dispone que esta facultad incluye la competencia para asegurar protecciones reforzadas mediante la adopción por parte de la CPIP de normas más estrictas, que complementen y vayan allá de las establecidas en la LPIP y en la Orden del Gabinete. Con arreglo a dicha Decisión, estas normas más estrictas serán vinculantes y tendrán carácter ejecutivo para los operadores económicos japoneses.

(15)

Sobre la base del artículo 6 de la LPIP y de la referida Decisión del Gabinete, la CPIP adoptó el 15 de junio de 2018 unas «Reglas complementarias en virtud de la Ley sobre la protección de información personal para el manejo de datos personales transferidos desde la UE sobre la base de una decisión de adecuación» (en lo sucesivo, las «Reglas complementarias»), con miras a reforzar la protección de la información personal transferida desde la Unión Europea a Japón sobre la base de la presente decisión de adecuación. Estas Reglas complementarias son jurídicamente vinculantes para los operadores económicos japoneses y pueden ser invocadas tanto por la CPIP como por los órganos jurisdiccionales, del mismo modo que las disposiciones de la LPIP a las que las Reglas complementan con normas más estrictas o detalladas (12). Como los operadores económicos japoneses que reciben o tratan ulteriormente datos personales procedentes de la Unión Europea están obligados legalmente a cumplir con las Reglas complementarias, tendrán que garantizar [p. ej. por medios técnicos («etiquetado») o de logística (almacenamiento en una base de datos específica] que pueden identificar tales datos personales a lo largo de todo su «ciclo de vida» (13). En las secciones siguientes, el contenido de cada Regla complementaria se analiza en el marco de la evaluación de los artículos de la LPIP a los que complementa.

(16)

A diferencia de lo que sucedía antes de la modificación de 2015, cuando esta cuestión era competencia de diferentes ministerios japoneses en sectores específicos, la LPIP faculta a la CPIP a adoptar «Directrices» para «garantizar la ejecución apropiada y efectiva de las medidas que deben tomar los operadores económicos» en virtud de la normativa de protección de datos. A través de sus Directrices, la CPIP ofrece una interpretación autorizada de esas normas, en particular la LPIP. Según la información recibida de la CPIP, estas Directrices forman parte integrante del marco jurídico, y deben leerse conjuntamente con el texto de la LPIP, la Orden del Gabinete, las normas de la CPIP y un conjunto de preguntas y respuestas (14) elaboradas por la CPIP. Son por tanto «vinculantes para los operadores económicos». Cuando las Directrices establecen que un operador económico «debe» o «no debe» actuar de una determinada manera, la CPIP considerará que el incumplimiento de las disposiciones pertinentes constituye una vulneración de la ley (15).

(17)

El ámbito de aplicación de la LPIP viene determinado por los conceptos definidos de «información personal», «datos personales» y «operador económico que maneja información personal». Al mismo tiempo, la LPIP prevé una serie de excepciones importantes a su ámbito de aplicación, sobre todo en relación con los datos personales tratados de forma anónima y con determinados tipos de tratamiento por parte de ciertos operadores. Aunque la LPIP no utiliza el término «tratamiento», se basa en el concepto equivalente de «manejo», que, con arreglo a la información recibida de la CPIP, comprende «cualquier actuación que tenga relación con datos personales», incluida la adquisición, entrada, acumulación, organización, almacenamiento, edición/tratamiento, renovación, cancelación, salida, utilización, o suministro de información personal.

(18)

En primer lugar, por lo que se refiere a su ámbito de aplicación material, la LPIP establece una distinción entre la información personal y los datos personales, siendo aplicables a la primera categoría solo ciertas disposiciones de la Ley. De conformidad con el artículo 2, apartado 1, de la LPIP, el concepto de «información personal» comprende toda información relativa a una persona viva que permite su identificación. La definición distingue dos categorías de información personal: i) los códigos de identificación individuales y ii) otra información personal que permita la identificación de una persona concreta. La última categoría incluye asimismo la información que, por sí sola, no permite la identificación de una persona concreta, pero que sí la hace posible mediante un «simple cotejo» con otras informaciones. Con arreglo a las Directrices de la CPIP (16), la posibilidad de que un «simple cotejo» de la información permita la identificación se evaluará caso por caso, teniendo en cuenta la situación real («condición») del operador económico. Este extremo se dará por supuesto si dicho cotejo es (o puede ser) llevado a cabo por un operador económico medio («normal»), sirviéndose de los medios a su disposición. Por ejemplo, la información no permite «un simple cotejo» con otras informaciones si el operador económico debe hacer esfuerzos inusuales o cometer actos ilícitos para obtener las informaciones que deben cotejarse de uno o varios operadores económicos.

(19)

En virtud de la LPIP, solo determinadas modalidades de información personal entran dentro del concepto de «datos personales». De hecho, los «datos personales» se definen como «la información personal que constituye una base de datos de información personal», es decir, un «corpus colectivo de información» que incluye información personal «organizada de forma sistemática con el fin de permitir la búsqueda de información personal concreta utilizando un ordenador» (17) o «definida por orden del Gabinete como información que ha sido organizada de forma sistemática para permitir buscar fácilmente información personal concreta», pero «con exclusión de la información definida por orden del Gabinete como poco susceptible de perjudicar los derechos e intereses de un particular, teniendo en cuenta su método de utilización» (18).

(20)

Esta excepción se especifica con más detalle en el artículo 3, apartado 1, de la Orden del Gabinete, que dispone que se han de cumplir las tres condiciones acumulativas siguientes: i) el corpus colectivo de información debe haberse publicado con la finalidad de ser vendido a un gran número de personas indeterminadas y sin que en dicha publicación se violen las disposiciones de una ley u orden basada en ella»; ii) debe poder ser «adquirida en cualquier momento por un gran número de personas indeterminadas» y iii) los datos personales que contenga deben ser «facilitados para su finalidad original sin la adición de ninguna otra información que concierna a un particular vivo». según las explicaciones dadas por la CPIP, esta limitada excepción se introdujo con la finalidad de excluir las guías telefónicas u otros tipos de directorios similares.

(21)

En el caso de los datos recogidos en Japón, esta distinción entre «información personal» y «datos personales» es pertinente ya que dicha información no siempre forma parte de una «base de datos de información personal» (por ejemplo, un conjunto único de datos recogidos y tratados manualmente) y, por lo tanto, no serán de aplicación las disposiciones de la LPIP que solo se refieren a datos personales (19).

(22)

Por el contrario, esta distinción no será pertinentes para los datos personales importados de la Unión Europea a Japón sobre la base de una decisión de adecuación. Como estos datos se suelen transferir por medios electrónicos (pues en la era digital es esta la forma habitual de intercambio de datos, especialmente a gran distancia, como ocurre entre la UE y Japón), y, por lo tanto, pasan a formar parte del fichero electrónico del importador, tales datos de la UE entraran en la categoría de «datos personales» en virtud de la LPIP. En el caso excepcional de que los datos personales se transfieran desde la UE por otros medios (p. ej. en formato papel), seguirán estando cubiertos por la LPIP si, tras la transferencia, pasan a formar parte de un «corpus colectivo de información» organizado sistemáticamente a fin de facilitar la búsqueda de información específica [artículo 2, apartado 4, inciso ii), de la LPIP]. Con arreglo al artículo 3, apartado 2, de la Orden del Gabinete, este será el caso cuando la información se organice «con arreglo a una cierta norma» y la base de datos incluya herramientas tales como, por ejemplo, una tabla de contenido o un índice para facilitar la búsqueda. Esto se corresponde con la definición de «fichero» en el sentido del artículo 2, apartado 1, del RGPD.

(23)

Determinadas disposiciones de la LPIP, en particular los artículos 27 a 30, relativos a los derechos individuales, solo se aplican a una categoría específica de datos personales, los «datos personales conservados». En el artículo 2, apartado 7, de la LPIP, estos datos se definen como los datos personales distintos de aquellos que i) «conforme a una orden del Gabinete, podrían perjudicar a los intereses públicos o a otros intereses si se llegara a conocer su presencia o ausencia» o ii) «deben ser suprimidos en un plazo no superior a un año que será definido por orden del Gabinete».

(24)

La primera de estas dos categorías se explica en el artículo 4 de la Orden del Gabinete y comprende cuatro tipos de exenciones (20). Estas exenciones persiguen objetivos similares a los recogidos en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, en particular la protección del interesado («interesado principal» en la terminología de la LPIP) y las libertades de otros, la seguridad nacional, la seguridad pública, la ejecución de sanciones penales u otros objetivos importantes de interés público general. Además, de la redacción del artículo 4, apartado 1, incisos i) a iv), de la Orden del Gabinete se desprende que su aplicación presupone siempre un riesgo específico para uno de los intereses importantes protegidos (21).

(25)

La segunda categoría se ha perfilado de forma más detallada en el artículo 5 de la Orden del Gabinete. Leído en relación con el artículo 2, apartado 7, de la LPIP, excluye del ámbito de aplicación del concepto de datos personales conservados, y, por ende, de los derechos individuales garantizados por la LPIP, los datos personales que «deben ser suprimidos» en un plazo de seis meses. La CPIP ha explicado que esta exención tiene por objeto incentivar a los operadores económicos a conservar y tratar los datos el tiempo más breve posible. Sin embargo, esto significaría que los interesados de la UE no podrían disfrutar de importantes derechos solo en razón de la duración de la conservación de sus datos por el operador económico de que se trate.

(26)

A fin de poner remedio a esta situación, la Regla complementaria n.o 2 dispone que los datos personales transferidos desde la Unión Europea «se considerarán datos personales conservados en el sentido del artículo 2, apartado 7, de la Ley, con independencia del plazo previsto para su supresión». Por lo tanto, el período de conservación no afectará a los derechos conferidos a los interesados de la UE.

(27)

Los requisitos aplicables a la información personal tratada de forma anónima, tal como se define en el artículo 2, apartado 9, de la LPIP, se establecen en el capítulo IV, sección 2, de la Ley («Funciones de un operador económico que maneja información tratada de forma anónima»). Por el contrario, dicha información no se rige por las disposiciones del capítulo IV, sección 1, de la LPIP, que incluyen los artículos en los que se establecen las salvaguardas en materia de protección de datos y los derechos aplicables al tratamiento de los datos personales en virtud de dicha Ley. Por consiguiente, aunque la «información personal tratada de forma anónima» no está sujeta a las normas «estándar» en materia de protección de dato (especificadas en el capítulo IV, sección 1, y en el artículo 42 de la LPIP), sí que entra en el ámbito de aplicación de la LPIP, en particular de sus artículos 36 a 39.

(28)

De conformidad con el artículo 2, apartado 9, de la LPIP, se entiende por «información personal tratada de forma anónima» la información sobre un particular que ha sido «producida a partir del tratamiento de información personal» sirviéndose de las medidas dispuestas en la LPIP (artículo 36, apartado 1) y especificadas en las Normas de la CPIP (artículo 19), de manera que resulte imposible identificar a un particular concreto o restablecer la información personal.

(29)

De estas disposiciones se desprende, y así lo ha confirmado también la CPIP, que el proceso de «anonimización» de la información personal no debe ser técnicamente irreversible. Con arreglo al artículo 36, apartado 2, de la LPIP, simplemente se exige que los operadores económicos que manejan «información personal tratada de forma anónima» impidan la reidentificación adoptando medidas destinadas a garantizar la seguridad de las «descripciones […] y los códigos de identificación individuales suprimidos de la información personal utilizada para producir la información tratada de forma anónima, y la información relativa al método de tratamiento aplicado».

(30)

Dado que la «información personal tratada de forma anónima», tal como se define en la LPIP, incluye datos mediante los cuales aún es posible la reidentificación del particular, ello podría significar que los datos personales transferidos desde la Unión Europea podrían perder parte de las protecciones disponibles a través de un proceso que, de conformidad con el Reglamento (UE) 2016/679, sería considerado una forma de «seudonimización» más bien que de «anonimización» (por lo que no se alteraría su naturaleza como datos personales).

(31)

Para poner remedio a esta situación, las Reglas complementarias prevén requisitos adicionales aplicables únicamente a los datos personales transferidos desde la Unión Europea en virtud de la presente Decisión. De conformidad con la Regla n.o 5 de las Reglas complementarias, esta información personal solo se considera «información personal tratada de forma anónima» en el sentido de la LPIP «si el operador económico que maneja la información personal adopta medidas para hacer irreversible la anonimización del particular para otros, en particular suprimiendo la información relativa, entre otras cosas, al método de tratamiento». Esta disposición se desarrolla en las Reglas complementarias, que especifican que se trata de la información relativa a las descripciones y los códigos de identificación individuales que hayan sido suprimidos de la información personal utilizada para producir «información personal tratada de forma anónima», así como la información relativa a la aplicación de un método de tratamiento al suprimir estas descripciones y códigos de identificación individuales. En otros términos, las Reglas complementarias exigen que el operador económico que produce «información personal tratada de forma anónima» destruya la «clave» que permite la reidentificación de los datos. Esto significa que los datos personales originarios de la Unión Europea solo estarán sujetos a las disposiciones de la LPIP relativas a la «información personal tratada de forma anónima» en los casos en que también se consideren información anónima en virtud del Reglamento (UE) 2016/679 (22).

(32)

En lo que respecta a su ámbito de aplicación personal, la LPIP solo se aplica a los OEMIP. El concepto de OEMIP se define en el artículo 2, apartado 5, de la LPIP como «una persona que facilita una base de datos de información personal para su uso en el marco de una actividad económica», con exclusión del Gobierno y de las agencias administrativas, tanto a nivel central como local.

(33)

Con arreglo a las Directrices de la CPIP, se entiende por «actividad económica» cualquier «práctica destinada a la explotación reiterada y continua de una empresa reconocida socialmente con miras a la consecución de un determinado objetivo, con independencia de que tenga o no ánimo de lucro». Las organizaciones sin personalidad jurídica (como las asociaciones de hecho) o los particulares se consideran OEMIP si facilitan (utilizan) una base de datos personales para sus actividades económicas (23). El concepto de «actividad económica» en la LPIP es por tanto muy amplio, pues incluye no solo las actividades lucrativas, sino también las que no tienen ánimo de lucro, llevadas a cabo por todo tipo de organizaciones y particulares. Por otra parte, el «uso en el marco de una actividad económica» abarca asimismo la información personal que no es utilizada en las relaciones comerciales (externas) del operador, sino a nivel interno, por ejemplo el tratamiento de los datos de los trabajadores.

(34)

Por lo que se refiere a los beneficiarios de las protecciones previstas en la LPIP, la Ley no establece ninguna distinción en función de la nacionalidad, la residencia o la localización. Lo mismo ocurre respecto de las posibilidades para obtener reparación, ya sea ante la CPIP o ante los tribunales.

(35)

En virtud de la LPIP no se establece una distinción específica de las obligaciones impuestas a los responsables y a los encargados del tratamiento. El hecho de que no se reconozca esta distinción no afecta al nivel de protección, porque todos los OEMIP están sujetos al conjunto de las disposiciones de la Ley. Un OEMIP que confíe el manejo de datos personales a un mandatario (el equivalente de un encargado en el RGPD) está sujeto a las obligaciones que imponen la LPIP y las Reglas complementarias con respecto a los datos confiados. Además, en virtud del artículo 22 de la LPIP, está obligado a «ejercer una supervisión necesaria y apropiada» del mandatario. A su vez, como ha confirmado la CPIP, el mandatario está vinculado por todas las obligaciones previstas en la APPI y las Reglas complementarias.

(36)

El artículo 76 de la LPIP excluye ciertas categorías de tratamiento de datos del ámbito de aplicación del capítulo IV de la Ley, que contiene las principales disposiciones en materia de protección de datos (principios de base, obligaciones de los operadores económicos, derechos individuales, control por parte de la CPIP). El tratamiento cubierto por la exclusión sectorial prevista en el artículo 76 también está exento de las competencias de ejecución forzosa de la CPIP, con arreglo a lo dispuesto en el artículo 43, apartado 2, de la LPIP (24).

(37)

Las categorías pertinentes para la exclusión sectorial prevista en el artículo 76 de la CPIP se definen utilizando un doble criterio basado en el tipo de OEMIP que trata la información personal y la finalidad del tratamiento. Más concretamente, la exclusión se aplica a: i) los organismos de radiodifusión, los editores de periódicos, las agencias de comunicación u otras organizaciones de prensa (incluidos los particulares que ejercen actividades de prensa), en la medida en que traten información personal para la prensa; ii) los escritores profesionales, en la medida en que manejen información personal; iii) las universidades y otras organizaciones o grupos relacionados con los estudios académicos, o cualquier persona adscrita a una organización de este tipo, en la medida en que traten información personal con fines académicos; iv) las instituciones religiosas en la medida en que traten información personal con fines religiosos (incluidas todas las actividades afines); y v) los organismos políticos en la medida en que traten información personal con fines políticos (incluidas todas las actividades afines). El tratamiento de información personal con uno de los fines enumerados en el artículo 76 por otros tipos de OEMIP, así como el tratamiento de información personal por uno de los OEMIP enumerados con otros fines, por ejemplo en el marco del empleo, siguen estando cubiertos por las disposiciones del capítulo IV.

(38)

Con el fin de garantizar un nivel de protección adecuado de los datos personales transferidos desde la Unión Europea a operadores económicos en Japón, solo debe estar cubierto por la presente Decisión el tratamiento de información personal que entre en el ámbito de aplicación del capítulo IV de la LPIP (es decir, el tratamiento realizado por un OEMIP en la medida en que no corresponda a ninguna de las exclusiones sectoriales). Por consiguiente, su ámbito de aplicación debe adaptarse al de la LPIP. Según la información recibida de la CPIP, cuando un OEMIP cubierto por la presente Decisión modifique ulteriormente la finalidad de la utilización (en la medida en que esté permitido), pasando así a estar cubierto por una de las exclusiones sectoriales previstas en el artículo 76 de la LPIP, se consideraría que se trata de una transferencia internacional (dado que, en tales casos, el tratamiento de la información personal dejaría de estar cubierto por el capítulo IV de la LPIP y quedaría por tanto fuera de su ámbito de aplicación). Lo mismo se aplicaría en caso de que un OEMIP facilitara información personal a una entidad cubierta por el artículo 76 de la LPIP para su utilización a efectos de una de las finalidades de tratamiento indicadas en dicha disposición. Por lo que respecta a los datos personales transferidos desde la Unión Europea, se trataría por tanto de una transferencia ulterior sujeta a las salvaguardas pertinentes (en particular, las especificadas en el artículo 24 de la LPIP y la Regla complementaria n.o 4). Cuando el OEMIP se base en el consentimiento del interesado (25), tendría que facilitarle toda la información necesaria, en particular que la información personal dejaría de estar protegida por la LPIP.

(39)

Los datos personales deben tratarse con una finalidad específica y, posteriormente, solo deben utilizarse en la medida en que ello no sea incompatible con la finalidad del tratamiento. Este principio de protección de datos está garantizado por los artículos 15 y 16 de la LPIP.

(40)

La LPIP se sustenta en el principio de que un operador económico tiene que especificar la finalidad de la utilización «de la forma más explícita posible» (artículo 15, apartado 1) y, por tanto, está vinculado por dicha finalidad al tratar los datos.

(41)

A este respecto, el artículo 15, apartado 2, de la LPIP dispone que el OEMIP no puede modificar la finalidad inicial «más allá de lo que sea razonablemente pertinente para la finalidad de la utilización con anterioridad a la modificación», lo que las Directrices de la CPIP interpretan como lo que puede ser objetivamente anticipado por el interesado sobre la base de «convenciones sociales normales» (26).

(42)

Por otra parte, el artículo 16, apartado 1, de la LPIP prohíbe a los OEMIP manejar información personal más allá de «lo que sea necesario para lograr una finalidad de utilización» especificada en el artículo 15 sin obtener previamente el consentimiento del interesado, salvo que se aplique una de las excepciones previstas en el artículo 16, apartado 3 (27).

(43)

Cuando se trata de información personal adquirida de otro operador económico, el OEMIP es, en principio, libre de fijar una nueva finalidad de utilización (28). Con el fin de garantizar que, en el caso de transferencia desde la Unión Europea, tal destinatario esté vinculado por la finalidad para la que se transfirieron los datos, la Regla complementaria n.o 3 exige que, «en aquellos casos en que un [OEMIP] reciba datos personales desde la UE sobre la base de una decisión de adecuación» o tal operador «reciba de otro [OEMIP] datos personales transferidos previamente desde la UE sobre la base de una decisión de adecuación (comunicación ulterior), el destinatario debe «especificar que dichos datos personales se utilizarán en la medida en que sea necesario para la finalidad de utilización para la cual los datos fueron recibidos inicialmente o posteriormente». Esta Regla garantiza pues que, en el contexto de una transferencia, la finalidad especificada con arreglo al Reglamento (UE) 2016/679 sigue determinando el tratamiento y que una modificación de dicha finalidad en cualquiera de las fases de la cadena de tratamiento en Japón requeriría el consentimiento del interesado de la UE. Aunque la obtención de dicho consentimiento requiere que el OEMIP se ponga en contacto con el interesado, cuando ello sea imposible, la única consecuencia es que debe mantenerse la finalidad original.

(44)

La protección adicional a que se hace referencia en el considerando 43 es tanto más pertinente cuanto que es gracias al principio de limitación de la finalidad que el sistema japonés garantiza igualmente un tratamiento lícito y equitativo de los datos personales.

(45)

En virtud de la LPIP, cuando un OEMIP recoge información personal, ha de especificar de manera detallada la finalidad de la utilización de la información personal (29) e informar rápidamente al interesado de esta finalidad (o hacerla pública) (30). Además, el artículo 17 de la LPIP dispone que un OEMIP no puede adquirir información personal de forma engañosa o por otros medios inapropiados. Por lo que se refiere a ciertas categorías de datos como la información personal que exige especial atención, su adquisición requiere el consentimiento del interesado (artículo 17, apartado 2, de la LPIP).

(46)

Posteriormente, como se ha explicado en los considerandos 41 y 42, el OEMIP no puede tratar la información personal para otras finalidades, a no ser que el interesado haya dado su consentimiento a dicho tratamiento o que se aplique una de las excepciones previstas en el artículo 16, apartado 3, de la LPIP.

(47)

Por último, en lo que respecta a la puesta a disposición ulterior de información personal a un tercero (31), el artículo 23, apartado 1, de la LPIP limita dicha comunicación a ciertos casos específicos, en general previo consentimiento del interesado (32). El artículo 23, apartados 2, 3 y 4, de la LPIP prevé una serie de excepciones al requisito de obtener el consentimiento. Sin embargo, estas excepciones solo son aplicables a los datos no sensibles y requieren que el operador económico informe de antemano a los particulares afectados de su intención de comunicar la información personal que le concierne a un tercero y de la posibilidad de oponerse a toda comunicación ulterior (33).

(48)

Por lo que respecta a las transferencias desde la Unión Europea, los datos personales tendrán que haber sido recogidos y tratados primero en la UE de conformidad con el Reglamento (UE) 2016/679. Esto implicará siempre, por una parte, la recogida y el tratamiento, en particular para la transferencia desde la Unión Europea a Japón, sobre la base de una de las condiciones que se mencionan en el artículo 6, apartado 1, del Reglamento y, por otra, la recogida con una finalidad específica, explícita y legítima, así como la prohibición de tratamiento ulterior, incluso por medio de una transferencia, en una forma que sea incompatible con dicha finalidad, tal como se establece en el artículo 5, apartado 1, letra b), y en el artículo 6, apartado 4, del Reglamento.

(49)

Con arreglo a la Regla complementaria n.o 3, tras la transferencia, el OEMIP que vaya a recibir los datos deberá «confirmar» la finalidad o finalidades específicas subyacentes a la transferencia [es decir, la finalidad especificada de conformidad con el Reglamento (UE) 2016/679] y tratar ulteriormente estos datos en consonancia con tal finalidad o finalidades (34). Esto significa que no solo el primer adquirente de tales datos personales en Japón, sino también cualquier futuro destinatario de los datos (incluido un mandatario), está vinculado por la finalidad o finalidades especificadas en virtud del Reglamento.

(50)

Por otra parte, en caso de que el OEMIP desee modificar la finalidad especificada previamente en virtud del Reglamento (UE) 2016/679, el artículo 16, apartado 1, de la LPIP dispone que tiene que obtener, en principio, el consentimiento del interesado. Sin tal consentimiento, cualquier tratamiento de datos que vaya más allá de lo necesario para alcanzar esa finalidad de utilización constituiría una infracción del artículo 16, apartado 1, que podría ser invocada por la CPIP y por los órganos jurisdiccionales competentes.

(51)

Por ende, puesto que, en virtud del Reglamento (UE) 2016/679, una transferencia requiere una base jurídica válida y una finalidad específica, que se reflejan en la finalidad de utilización «confirmada» en virtud de la LPIP, la combinación de las disposiciones aplicables de la LPIP y de la Regla complementaria n.o 3 garantiza que el tratamiento de los datos de la UE en Japón seguirá siendo lícito.

(52)

Los datos deben ser exactos y, en caso necesario, se han de mantener actualizados. También deben ser adecuados, pertinentes y no excesivos con respecto a las finalidades para las que se traten.

(53)

Estos principios están consagrados en la legislación japonesa en el artículo 16, apartado 1, de la LPIP, que prohíbe el manejo de información personal más allá de «lo necesario para alcanzar una finalidad de utilización». Como ha explicado la CPIP, esta prohibición no solo excluye una utilización de los datos que no sea adecuada y el uso excesivo de datos (más allá de lo que sea necesario para alcanzar la finalidad de utilización), sino que implica asimismo la prohibición de manejar datos no pertinentes para alcanzar la finalidad de utilización.

(54)

Por lo que se refiere a la obligación de mantener los datos exactos y actualizados, el artículo 19 de la LPIP exige que el OEMIP «vele por mantener los datos personales exactos y actualizados en la medida necesaria para alcanzar la finalidad de utilización». Esta disposición debe leerse en relación con el artículo 16, apartado 1, de la LPIP: según las explicaciones dadas por la CPIP, si un OEMIP no cumple los estándares de exactitud prescritos, no se considerará que el tratamiento de la información personal persigue la finalidad de utilización, por lo que su manejo será ilícito en virtud del artículo 16, apartado 1.

(55)

En principio, los datos no deben conservarse más tiempo del que sea necesario para las finalidades para las que se traten.

(56)

De conformidad con el artículo 19 de la LPIP, los OEMIP deben «velar […] por suprimir los datos personales sin demora cuando su utilización haya dejado de ser necesaria». Esta disposición debe leerse en relación con el artículo 16, apartado 1, de la LPIP, que prohíbe el manejo de información personal más allá de «lo necesario para alcanzar una finalidad de utilización». Una vez alcanzada la finalidad de utilización, el tratamiento de la información personal no puede considerarse necesario y, por tanto, no puede continuar (a menos que el OEMIP obtenga el consentimiento del interesado a tal fin).

(57)

Los datos personales deben ser tratados de modo que se garantice su seguridad, incluida la protección contra todo tratamiento no autorizado o ilícito y contra su pérdida, destrucción o deterioro de origen accidental. A tal fin, los operadores económicos deben adoptar las medidas técnicas u organizativas apropiadas para proteger los datos personales frente a posibles amenazas. Estas medidas deben evaluarse teniendo en cuenta los últimos avances y los costes conexos.

(58)

En el ordenamiento jurídico japonés, este principio está consagrado en el artículo 20 de la LPIP, que dispone que un OEMIP «deberá adoptar las medidas necesarias apropiadas para garantizar el control de la seguridad de los datos personales, en particular a fin de prevenir la fuga, la pérdida o el deterioro de los datos personales que maneje». Las Directrices de la CPIP explican las medidas que deben adoptarse, incluidos los métodos que se han de seguir para establecer las políticas de base, las normas relativas al manejo de los datos y una serie de «acciones de control» (relativas tanto a la seguridad organizativa como a la seguridad humana, física y tecnológica) (35). Además, las Directrices de la CPIP y una nota específica (apéndice 8 relativo al «Contenido de las medidas de gestión de la seguridad que han de tomarse») publicada por la CPIP ofrecen más detalles sobre las medidas relativas a los incidentes de seguridad que impliquen, por ejemplo, la fuga de información personal, en el marco de las medidas de gestión de la seguridad que debe adoptar el OEMIP (36).

(59)

Por otra parte, cada vez que manejen datos personales los empleados o subcontratistas, los artículos 20 y 21 de la LPIP disponen que debe garantizarse una «supervisión necesaria y apropiada» a efectos de control de la seguridad. Por último, el artículo 83 de la LPIP impone una pena de hasta un año de prisión en caso de fuga intencional o robo de información personal.

(60)

Los interesados deben ser informados de las principales características del tratamiento de sus datos personales.

(61)

El artículo 18, apartado 1, de la LPIP exige que el OEMIP ponga la información sobre la finalidad de la utilización de la información personal adquirida a disposición del interesado, excepto en «los casos en que una finalidad de utilización ya haya sido hecha pública previamente». La misma obligación se aplica en el caso de modificación lícita de la finalidad (artículo 18, apartado 3). Así se garantiza también que el interesado sea informado del hecho de que sus datos han sido recogidos. Aunque la LPIP no exige en general que el OEMIP informe al interesado sobre los destinatarios previstos de la información personal en la fase de recogida, tal información es una condición necesaria para cualquier comunicación ulterior de información a un tercero (destinatario) sobre la base del artículo 23, apartado 2, es decir, cuando esta transmisión se hace sin el consentimiento previo del interesado.

(62)

En lo que respecta a los «datos personales conservados», el artículo 27 de la LPIP establece que el OEMIP debe informar al interesado de su identidad (datos de contacto), de la finalidad de la utilización y de los procedimientos previstos para responder a cualquier solicitud relativa a los derechos individuales del interesado formulada en virtud de los artículos 28, 29 y 30 de la LPIP.

(63)

Habida cuenta de que, en virtud de las Reglas complementarias, los datos personales transferidos desde la Unión Europea se consideran (a menos que estén cubiertos por una exención) «datos personales conservados», con independencia de su período de conservación, siempre estarán sometidos a los requisitos de transparencia en virtud de las disposiciones antes mencionadas.

(64)

Tanto los requisitos del artículo 18 como la obligación de informar sobre la finalidad de la utilización prevista en el artículo 27 de la LPIP están sujetos al mismo conjunto de excepciones, en su mayoría basadas en consideraciones de interés público y la protección de los derechos e intereses del interesado, de los terceros y del responsable del tratamiento (37). Según la interpretación desarrollada en las Directrices de loa CPIP, esas excepciones se aplican en situaciones muy específicas, por ejemplo cuando la información sobre la finalidad de la utilización pueda socavar las medidas legítimas adoptadas por el operador económico para proteger ciertos intereses (p. ej. la lucha contra el fraude, el espionaje industrial o el sabotaje).

(65)

Deben preverse salvaguardas específicas cuando se estén tratando «categorías especiales» de datos.

(66)

El concepto de «información personal que requiere especial atención» se define en el artículo 2, apartado 3, de la LPIP. Esta disposición hace referencia a la «información personal que revele la raza, el credo, el estatus social, el historial médico, los antecedentes penales, el hecho de haber sufrido daños resultantes de un delito, u otras descripciones prescritas por la Orden del Gabinete, por ejemplo aquellas cuyo manejo requiera especial atención a fin de evitar que el interesado principal sufra discriminación injusta, prejuicio o cualquier otro daño». Estas categorías se corresponden en gran medida con la lista de datos sensibles recogida en los artículos 9 y 10 del Reglamento (UE) 2016/679. En concreto, «historial médico» corresponde a los datos relativos a la salud, mientras que «los antecedentes penales y el hecho de haber sufrido daños resultantes de un delito» son sustancialmente idénticos a las categorías a que se refiere el artículo 10 del Reglamento (UE) 2016/679. Las categorías contempladas en el artículo 2, apartado 3, de la LPIP se explican en más detalle en la Orden del Gabinete y en las Directrices de la CPIP. Con arreglo a la sección 2.3, punto 8, de las Directrices de la CPIP, las subcategorías de «historial médico» que se detallan en el artículo 2, incisos ii) y iii), de la Orden del Gabinete se interpretan en el sentido de que incluyen los datos genéticos y biométricos. Además, aunque la lista no incluye expresamente los términos «origen étnico» y «opiniones políticas», sí incorpora referencias a la «raza» y el «credo». Como se explica en la sección 2.3, puntos 1 y 2, de las Directrices de la CPIP, la referencia a la «raza» abarca «los vínculos étnicos o los vínculos con una determinada parte del mundo», mientras que por «credo» se entiende tanto las convicciones religiosas como las opiniones políticas.

(67)

Como se desprende claramente del tenor de la disposición, no se trata de una lista cerrada, ya que podrían añadirse otras categorías de datos en la medida en que su tratamiento entrañe un riesgo de «discriminación injusta, prejuicio o cualquier otro daño para el interesado principal».

(68)

Aunque el concepto de datos «sensibles» es, por su propia naturaleza, un constructo social en la medida en que se sustenta en tradiciones culturales y jurídicas, consideraciones de orden moral, opciones políticas, etc. de una sociedad dada, habida cuenta de la importancia de garantizar salvaguardas adecuadas para los datos sensibles cuando se transfieren a operadores económicos en Japón, la Comisión ha obtenido que las protecciones especiales previstas para la «información que requiere especial atención» en virtud del Derecho japonés se hagan extensivas a todas las categorías reconocidas como «datos sensibles» en el Reglamento (UE) 2016/679. A tal fin, la Regla complementaria n.o 1 establece que los datos transferidos desde la Unión Europea relativos a la vida sexual, la orientación sexual o la afiliación sindical serán tratados por los OEMIP «de la misma manera que la información personal que requiere especial atención en el sentido del artículo 2, apartado 3, de la LPIP».

(69)

En lo que respecta a las salvaguardas sustantivas adicionales aplicables a la información personal que requiere especial atención, el artículo 17, apartado 2, de la LPIP, prohíbe a los OEMIP adquirir este tipo de datos sin el consentimiento previo del particular de que se trate, con la única salvedad de algunas excepciones limitadas (38). Además, esta categoría de información personal está excluida de la posibilidad de una comunicación a terceros sobre la base del procedimiento previsto en el artículo 23, apartado 2, de la LPIP (que permite la transmisión de datos a terceros sin el consentimiento previo del particular de que se trate).

(70)

De conformidad con el principio de responsabilidad, las entidades que traten datos están obligadas a adoptar las medidas técnicas y organizativas apropiadas para cumplir efectivamente sus obligaciones en materia de protección de datos y deben demostrar el respeto de estas obligaciones, en particular ante la autoridad de control competente.

(71)

Como se indica en la nota 34 (considerando 49), los OEMIP están obligados, en virtud del artículo 26, apartado 1, de la LPIP, a verificar la identidad de un tercero que les facilita datos personales y las «circunstancias» en las que adquirió dichos datos (si se trata de datos personales cubiertos por la presente Decisión, de conformidad con la LPIP y la Regla complementaria n.o 3, esas circunstancias incluirán el hecho de que los datos proceden de la Unión Europea, así como la finalidad para la cual los datos fueron transferidos inicialmente). Entre otras cosas, esta medida tiene por objeto garantizar la legalidad del tratamiento de datos a lo largo de la cadena de manejo de datos personales por los OEMIP. Además, en virtud del artículo 26, apartado 3, de la LPIP, los OEMIP están obligados a llevar un registro de la fecha de recepción y de la información (obligatoria) facilitada por el tercero con arreglo al apartado 1, así como del nombre del particular (interesado) de que se trate, de las categorías de datos tratados y, en la medida en que sea pertinente, del hecho de que el interesado haya dado su consentimiento para intercambiar sus datos personales. Como se indica en el artículo 18 de las Normas de la CPIP, esos registros deben conservarse durante un período de al menos uno a tres años, en función de las circunstancias. En el ejercicio de sus funciones, la CPIP puede exigir la presentación de dichos registros (39).

(72)

Los OEMIP deben dar curso rápidamente y de forma adecuada a las reclamaciones de los particulares de que se trate relativas al tratamiento de la información personal que les concierna. A fin de facilitar la tramitación de las reclamaciones, deben establecer un «sistema necesario para alcanzar [esta] finalidad», lo que implica que deben poner en marcha los procedimientos apropiados en su organización (por ejemplo, asignar responsabilidades o establecer un punto de contacto).

(73)

Por último, la LPIP crea un marco para la participación de las organizaciones sectoriales en los esfuerzos desplegados al objeto de asegurar un alto nivel de conformidad (véase el capítulo IV, sección 4). El papel de tales organizaciones homologadas en el ámbito de la protección de la información personal (40) consiste en promover la protección de la información personal aportando a las empresas su pericia, pero también en contribuir a la implementación de las salvaguardas, en particular tramitando las reclamaciones de los particulares y ayudando a solucionar los conflictos relacionados. A tal fin, pueden instar a los OEMIP participantes a que adopten, si procede, las medidas que sean necesarias (41). Por otra parte, en caso de violación de datos o de otros incidentes de seguridad, los OEMIP deben, en principio, informar a la CPIP, así como al interesado (o el público) y emprender las acciones necesarias, incluidas medidas para reducir al mínimo los daños y evitar que se repitan incidentes similares (42). Aunque estos regímenes se establecen sobre una base voluntaria, el 10 de agosto de 2017 la CPIP tenía registradas 44 organizaciones, la más importante de las cuales, el Centro Japonés de Desarrollo y Tratamiento de Información (CJDTI), contaba con 15 436 operadores económicos (43). Entre estas organizaciones homologadas figuran asociaciones sectoriales como la Asociación Japonesa de Corredores de Valores, la Asociación Japonesa de Autoescuelas o la Asociación de Agencias Matrimoniales (44).

(74)

Las organizaciones de protección de información personal homologadas presentan informes anuales sobre sus actividades. Según el «Balance del estado de ejecución de la LPIP en el ejercicio financiero 2015», publicado por la CPIP, las organizaciones de protección de información personal homologadas han recibido un total de 442 reclamaciones, han dirigido a los operadores económicos bajo su jurisdicción 123 solicitudes de explicaciones, han solicitado a estos operadores documentación en 41 casos, han formulado 181 instrucciones y han emitido dos recomendaciones (45)

(75)

El nivel de protección de los datos personales transferidos desde la Unión Europea a operadores económicos en Japón no debe verse comprometido por la transferencia ulterior de dichos datos a destinatarios que se encuentran en un tercer país que no sea Japón. Estas «transferencias ulteriores», que constituyen, desde el punto de vista del operador económico japonés, transferencias internacionales desde Japón, solo deberían estar permitidas cuando el destinatario ulterior fuera de Japón, por su parte, esté sujeto a normas que aseguren un nivel de protección similar al garantizado en el ordenamiento jurídico japonés.

(76)

Una primera protección está consagrada en el artículo 24 de la LPIP, que prohíbe, de manera general, la transferencia de datos personales a un tercero fuera del territorio japonés sin el previo consentimiento del particular de que se trate. La Regla complementaria n.o 4 garantiza que, en el caso de transferencias de datos desde la Unión Europea, dicho consentimiento se dé con pleno conocimiento de causa, ya que exige que al particular de que se trate «se le facilite información sobre las circunstancias que rodean la transferencia necesaria para que el interesado principal tome una decisión en cuanto a su consentimiento». Sobre esta base, el interesado debe ser informado del hecho de que los datos van a transferirse al extranjero (fuera del ámbito de aplicación de la LPIP) y del país de destino específico, lo que le permitirá evaluar el riesgo para la vida privada que entraña la transferencia. Asimismo, como puede deducirse del artículo 23 de la LPIP (véase el considerando 47), la información facilitada al interesado principal debe comprender los elementos obligatorios en virtud de su apartado 2, a saber, las categorías de datos de carácter personal puestos a disposición de un tercero y el método de comunicación.

(77)

El artículo 24 de la LPIP, aplicado junto con el artículo 11-2 de las Normas de la CPIP, prevé una serie de excepciones a esta regla fundada en el consentimiento. Además, de conformidad con el artículo 24, las mismas excepciones aplicables en virtud del artículo 23, apartado 1, de la LPIP se aplican igualmente a las transferencias internacionales de datos (46).

(78)

A fin de garantizar la continuidad de la protección de los datos personales transferidos desde la Unión Europea a Japón en virtud de la presente Decisión, la Regla complementaria n.o 4 refuerza el nivel de protección aplicable a las transferencias ulteriores de tales datos efectuadas por el OEMIP hacia un destinatario de un tercer país. Para ello, fija limitaciones y establece un marco para las transferencias internacionales que el OEMIP puede utilizar como alternativa al consentimiento. Más en concreto, y sin perjuicio de las excepciones previstas en el artículo 23, apartado 1, de la LPIP, los datos personales transferidos en virtud de la presente Decisión solo pueden ser objeto de transferencias (ulteriores) sin consentimiento en dos casos: i) cuando los datos sean transferidos a un tercer país que haya sido reconocido por la CPIP, en virtud del artículo 24 de la LPIP, como uno de los países que garantizan un nivel de protección equivalente al garantizado en Japón (47); o ii) cuando el OEMIP y el tercero destinatario hayan adoptado conjuntamente medidas que garanticen un nivel de protección equivalente al de la LPIP, leída en relación con las Reglas complementarias, por medio de un contrato, de otros tipos de acuerdos vinculantes o de arreglos vinculantes dentro de un grupo empresarial. La segunda categoría corresponde a los instrumentos utilizados en virtud del Reglamento (UE) 2016/679 para asegurar salvaguardas apropiadas (en particular cláusulas contractuales y normas corporativas vinculantes). Además, como ha confirmado la CPIP, incluso en esos casos, la transferencia sigue estando sometida a las reglas generales aplicables a cualquier facilitación de datos personales en virtud de la LPIP (es decir, la obligación de obtener el consentimiento prevista en el artículo 23, apartado 1, o, alternativamente, la obligación de información con posibilidad de exclusión prevista en el artículo 23, apartado 2, de la LPIP). En caso de que no se pueda hacer llegar al interesado una solicitud de consentimiento o a fin de facilitar la información previa necesaria en virtud del artículo 23, apartado 2, de la LPIP, no se podrá proceder a la transferencia.

(79)

Por lo tanto, salvo en los casos en que la CPIP haya constatado que el tercer país en cuestión asegura un nivel de protección equivalente al garantizado por la LPIP (48), los requisitos contemplados en la Regla complementaria n.o 4 excluyen el recurso a instrumentos de transferencia que no conduzcan a la creación de una relación vinculante entre el exportador de datos japonés y el importador de datos del tercer país y que no garanticen el nivel de protección requerido. Este será el caso, por ejemplo, del Sistema de Normas de Privacidad Transfronteriza (NPT) de la APEC, de la que Japón es una economía participante (49), ya que en dicho sistema las protecciones no son el resultado de un arreglo vinculante entre el exportador y el importador en el contexto de su relación bilateral y su nivel es claramente inferior al garantizado por la combinación de la LPIP y las Reglas complementarias (50).

(80)

Por último, los artículos 20 y 22 de la LPIP ofrecen una salvaguarda adicional en caso de transferencias (ulteriores). Con arreglo a estas disposiciones, cuando un operador de un tercer país (importador de datos) actúe por cuenta del OEMIP (exportador de datos), es decir, como un (sub)encargado del tratamiento, este último ha de garantizar el control del primero en lo que respecta a la seguridad del tratamiento de datos.

(81)

Al igual que la legislación de protección de datos de la UE, la LPIP confiere a los particulares una serie de derechos exigibles, entre ellos el derecho de acceso («comunicación»), el derecho de rectificación y el derecho de supresión, así como el derecho de objeción («cese de la utilización»).

(82)

En primer lugar, de conformidad con el artículo 28, apartados 1 y 2, de la LPIP, un interesado tiene derecho a solicitar a un OEMIP «que le comunique los datos personales conservados que puedan identificarle» y, tras la recepción de dicha solicitud, el OEMIP «[…] comunicará los datos personales conservados» al interesado. El artículo 29 (derecho de rectificación) y el artículo 30 (derecho al cese de la utilización) tienen la misma estructura que el artículo 28.

(83)

El artículo 9 de la Orden del Gabinete precisa que la comunicación de información personal tal como se contempla en el artículo 28, apartado 2, de la LPIP, debe realizarse por escrito, a menos que el OEMIP y el interesado hayan acordado otra cosa.

(84)

Estos derechos están sujetos a tres tipos de limitaciones, relativas a los derechos e intereses del propio particular o de terceros (51), a una interferencia grave en el ejercicio de las actividades económicas del OEMIP (52), y a los casos en que la comunicación vulneraría otras disposiciones legales o reglamentarias (53). Las situaciones en las que se aplicarían estas limitaciones son similares a algunas de las excepciones aplicables en virtud del artículo 23, apartado 1, del Reglamento (UE) 2016/679, que permite limitaciones de los derechos de las personas por motivos relacionados con la «protección del interesado o de los derechos y libertades de otros» u «otros objetivos importantes de interés público general». Aunque la categoría de casos en que la comunicación vulneraría «otras disposiciones legales o reglamentarias» puede parecer amplia, las disposiciones legales y reglamentarias que prevean limitaciones en este sentido deben respetar el derecho constitucional a la vida privada y solo pueden imponer limitaciones en la medida en que el ejercicio de este derecho «interfiera con el bienestar público» (54). A tal fin, conviene a encontrar un equilibrio entre los diferentes intereses en juego.

(85)

De conformidad con el artículo 28, apartado 3, de la LPIP, si los datos solicitados no existen, o si el OEMIP de que se trate decide no conceder el acceso a los datos conservados, este ha de informar sin demora al particular.

(86)

En segundo lugar, de conformidad con el artículo 29, apartados 1 y 2, de la LPIP, un interesado tiene derecho a solicitar la rectificación, adición o supresión de los datos personales conservados que le conciernan cuando estos datos sean inexactos. Cuando reciba una solicitud de este tipo, el OEMIP «[…] llevará a cabo una investigación necesaria» y, en función de los resultados de esta investigación «procederá a una rectificación […] del contenido de los datos conservados».

(87)

En tercer lugar, de conformidad con el artículo 30, apartados 1 y 2, de la LPIP, un interesado tiene derecho a solicitar a un OEMIP que deje de utilizar información personal o que suprima esta información, cuando esta sea manejada de forma contraria al artículo 16 (que trata de la limitación de la finalidad) o haya sido indebidamente adquirida en violación del artículo 17 de la LPIP (que trata de la adquisición de forma engañosa o por otros medios impropios o, en el caso de datos sensibles, sin consentimiento). Asimismo, de conformidad con el artículo 30, apartados 3 y 4, de la LPIP, el particular tiene derecho a solicitar del OEMIP que ponga fin a la puesta a disposición de la información a un tercero, cuando ello suponga una violación de las disposiciones del artículo 23, apartado 1, o del artículo 24 de la LPIP (en relación con la puesta a disposición de terceros, incluidas las transferencias internacionales).

(88)

Cuando la solicitud sea fundada, el OEMIP pondrá fin sin demora a la utilización de los datos o a la puesta a disposición de un tercero, en la medida en que sea necesario para poner remedio a la infracción o, en caso de que un asunto esté cubierto por una excepción (en particular si el cese de la utilización pudiera ocasionar unos gastos particularmente elevados) (55), adoptará las medidas alternativas necesarias para proteger los derechos e intereses del particular de que se trate.

(89)

Contrariamente al Derecho de la UE, la LPIP y las normas de menor rango pertinentes no contienen disposiciones legales que aborden específicamente la posibilidad de oponerse a un tratamiento con fines de mercadotecnia directa. Sin embargo, en virtud de la presente Decisión, dicho tratamiento se inscribirá en el marco de una transferencia de datos personales recogidos previamente en la Unión Europea. En virtud del artículo 21, apartado 2, del Reglamento (UE) 2016/679, el interesado tendrá siempre la posibilidad de oponerse a una transferencia de datos cuando el tratamiento tenga por finalidad la mercadotecnia directa. Además, tal como se explica en el considerando 43, en virtud de la Regla complementaria n.o 3, un OEMIP está obligado a tratar los datos recibidos sobre la base de la Decisión con la misma finalidad para la que hayan sido transferidos desde la Unión Europea, a menos que el interesado dé su consentimiento para modificar la finalidad de la utilización. Por consiguiente, si la transferencia se ha hecho con fines que no sean la mercadotecnia directa, un OEMIP en Japón no podrá proceder al tratamiento de los datos con fines de mercadotecnia directa sin el consentimiento del interesado de la UE.

(90)

En todos los casos mencionados en los artículos 28 y 29 de la LPIP, el OEMIP está obligado a comunicar sin demora al particular el curso dado a su solicitud y debe explicar además la eventual denegación (parcial) sobre la base de las excepciones previstas en los artículos 27 a 30 (artículo 31 de la LPIP).

(91)

Por lo que se refiere a las condiciones para presentar una solicitud, el artículo 32 de la LPIP (junto con la Orden del Gabinete) permite al OEMIP definir procedimientos razonables, en particular en lo que respecta a la información necesaria para identificar los datos personales conservados. Sin embargo, con arreglo al apartado 4 del presente artículo, los OEMIP no deben imponer una «carga excesiva al interesado principal». En determinados casos, el OEMIP puede imponer igualmente tasas, siempre que su importe sea «razonable teniendo en cuenta los costes efectivos» (artículo 33 de la LPIP).

(92)

Por último, el interesado puede formular objeciones a la puesta a disposición de un tercero de datos personales que le conciernan en virtud del artículo 23, apartado 2, de la LPIP, o denegar su consentimiento en virtud del artículo 23, apartado 1 (evitando así la comunicación de la información en caso de que no exista otra base legal disponible). Del mismo modo, el particular puede poner fin al tratamiento de datos efectuado para una finalidad diferente, negándose a prestar su consentimiento de conformidad con el artículo 16, apartado 1, de la LPIP.

(93)

Contrariamente al Derecho de la UE, la LPIP y las normas de menor rango pertinentes no contienen disposiciones generales que aborden la cuestión de las decisiones que afectan al interesado basadas únicamente en el tratamiento automatizado de datos personales. Sin embargo, esta cuestión se aborda en ciertas normas sectoriales aplicables en Japón que son particularmente pertinentes para este tipo de tratamiento. Se trata, entre otros, de los sectores en los que las empresas tienen más propensión a recurrir al tratamiento automatizado de datos personales para adoptar decisiones que afectan a los particulares (p. ej. el sector financiero). Así, por ejemplo, las «Directrices generales relativas a la supervisión de las grandes entidades bancarias», revisadas en junio de 2017, prevén que se debe dar al particular de que se trate explicaciones específicas sobre los motivos de la denegación de una solicitud de celebración de un contrato de préstamo. Estas normas ofrecen pues protecciones en el número probablemente limitado de casos en que las decisiones automatizadas serían adoptadas por el operador económico japonés «importador» (y no por los responsables del tratamiento de datos de la UE «exportadores»).

(94)

En cualquier caso, en lo que respecta a los datos personales que hayan sido recogidos en la Unión Europea, toda decisión basada en un tratamiento automatizado será adoptada normalmente por el responsable del tratamiento de los datos en la Unión (que tiene una relación directa con el interesado de que se trate) y está por tanto sujeta al Reglamento (UE) 2016/679 (56). Se trata, por ejemplo, de escenarios de transferencias en los que el tratamiento lo lleva a cabo un operador económico extranjero (p.ej. japonés) que actúa como agente (encargado) por cuenta del responsable de la UE (o como subencargado que actúa por cuenta del encargado de la UE, que haya recibido los datos del responsable de la UE que los recogió) que sobre esta base toma entonces la decisión. Por lo tanto, es poco probable que la ausencia en la LPIP de normas específicas sobre la toma de decisiones automatizadas incida en el nivel de protección de los datos personales transferidos en virtud de la presente Decisión.

(95)

Con el fin de garantizar un nivel adecuado de protección de los datos también en la práctica, debe existir una autoridad de control independiente encargada de supervisar las normas en materia de protección de datos y de hacerlas cumplir. Esta autoridad debe actuar con total independencia e imparcialidad en el desempeño de sus funciones y en el ejercicio de sus competencias.

(96)

En Japón, la autoridad encargada de supervisar la LPIP y de hacerla cumplir es la CPIP. Esta está compuesta por un presidente y ocho comisarios nombrados por el primer ministro con el acuerdo de las dos cámaras de la Dieta. La duración del mandato del presidente y de cada uno de los comisarios es de cinco años, con la posibilidad de renovación (artículo 64 de la LPIP). Los comisarios solo pueden ser destituidos por una causa justificada, en un conjunto limitado de circunstancias excepcionales (57), y no pueden ejercer activamente actividades políticas. Por otra parte, en virtud de la LPIP, los comisarios a tiempo completo deben abstenerse de ejercer cualesquiera otras actividades remuneradas, o actividades empresariales. Todos los comisarios están sujetos asimismo a normas internas que les impide participar en las deliberaciones en caso de un posible conflicto de intereses. La CPIP está asistida por una Secretaría, dirigida por un secretario general y creada con el fin de llevar a cabo las tareas asignadas a la CPIP (artículo 70 de la LPIP). Tanto los comisarios como el conjunto de los funcionarios de la Secretaría están sujetos a normas estrictas en materia de confidencialidad (artículos 72 y 82 de la LPIP).

(97)

Las competencias de la CPIP, que esta ejerce con total independencia (58), se prevén principalmente en los artículos 40, 41 y 42 de la LPIP. En virtud del artículo 40, la CPIP puede pedir a los OEMIP que informen o que presenten documentación sobre las operaciones de tratamiento y puede proceder a inspecciones in situ o a controles de libros u otros documentos. En la medida en que sea necesario para hacer cumplir la LPIP, la CPIP también puede prestar a los OEMIP orientación o asesoramiento sobre el manejo de información personal. La CPIP ya ha hecho uso de esta facultad en virtud del artículo 41 de la LPIP cuando prestó orientación a Facebook a raíz de las revelaciones en el caso Facebook/Cambridge Analytica.

(98)

Lo que es más importante, la CPIP tiene competencia —previa reclamación o por propia iniciativa— para formular recomendaciones y dictar órdenes con el fin de hacer cumplir la LPIP y otras normas vinculantes (incluidas las Reglas complementarias) en casos concretos. Estas competencias se establecen en el artículo 42 de la LPIP. Aunque sus apartados 1 y 2 prevén un mecanismo en dos fases por el que la CPIP puede dictar una orden (únicamente) a raíz de una recomendación previa, el apartado 3 permite la adopción directa de una orden en casos de urgencia.

(99)

Todas las disposiciones del capítulo IV, sección 1, de la LPIP no se recogen en el artículo 42, apartado 1, que delimita asimismo el ámbito de aplicación del artículo 42, apartado 2, lo que puede explicarse por el hecho de que algunas de estas disposiciones no atañen a las obligaciones del OEMIP (59) y de que todas las protecciones esenciales ya están garantizadas por otras disposiciones que figuran en esa lista. Por ejemplo, aunque no se menciona el artículo 15 (que exige al OEMIP que determine la finalidad de la utilización y trate la información personal pertinente exclusivamente dentro de su ámbito de aplicación), el incumplimiento de este requisito puede dar lugar a una recomendación basada en una infracción del artículo 16, apartado 1 (que prohíbe al OEMIP tratar información personal más allá de lo necesario para alcanzar la finalidad de la utilización, salvo que obtenga el consentimiento del interesado) (60). Otra disposición que no se recoge en el artículo 42, apartado 1, es el artículo 19 de la LPIP, relativo a la exactitud de los datos y a su conservación. El incumplimiento de esta disposición puede ejecutarse como infracción del artículo 16, apartado 1, o del artículo 29, apartado 2, si el particular de que se trate solicita la rectificación o la supresión de datos erróneos o excesivos y el OEMIP se niega a atender esta solicitud. Por lo que se refiere a los derechos del interesado con arreglo al artículo 28, apartado 1, el artículo 29, apartado 1, y el artículo 30, apartado 1, la supervisión por parte de la CPIP está garantizada por las competencias de ejecución conferidas a esta en lo que respecta a las obligaciones correspondientes del OEMIP enunciadas en dichos artículos.

(100)

De conformidad con el artículo 42, apartado 1, de la LPIP, la CPIP puede, si reconoce que es «necesario proteger los derechos e intereses de un particular en caso de que un [OEMIP] haya infringido» disposiciones específicas de la LPIP, emitir una recomendación con miras a la «suspensión del acto de infracción o a la adopción de otras medidas necesarias para poner remedio a la infracción». Tal recomendación no es vinculante, pero allana el camino a la adopción de una orden vinculante con arreglo al artículo 42, apartado 2, de la LPIP. Sobre la base de esta disposición, si no se sigue la recomendación «sin motivos legítimos» y la CPIP «reconoce el carácter inminente una violación grave de los derechos e intereses de un particular», puede ordenar al OEMIP que adopte medidas en consonancia con la recomendación.

(101)

La Reglas complementarias precisan y refuerzan las competencias de ejecución de la CPIP. Más en concreto, en caso de que se trate de datos importados desde la Unión Europea, la CPIP considerará siempre que el hecho de que un OEMIP no haya adoptado, sin motivo legítimo, medidas en consonancia con una recomendación emitida por la LPIP con arreglo al artículo 42, apartado 1, constituye una violación grave de carácter inminente de los derechos e intereses de un particular en el sentido del artículo 42, apartado 2, y, por lo tanto, una infracción que justifica la emisión de una orden vinculante. Por otra parte, la CPIP solo aceptará como «motivo legítimo» para no seguir una recomendación un «hecho de carácter excepcional [que impida el cumplimiento] que escape al control del [OEMIP] y que no pueda preverse razonablemente (por ejemplo, catástrofes naturales)» o los casos en que la necesidad de adoptar medidas en relación con una recomendación «haya desaparecido por haber adoptado el [OEMIP] medidas alternativas que remedien plenamente la violación».

(102)

El incumplimiento de una orden de la CPIP es considerado una infracción penal en virtud del artículo 84 de la LPIP, y un OEMIP declarado culpable puede ser condenado a una pena de prisión acompañada de trabajos de hasta seis meses o una multa máxima de 300 000 yenes japoneses (JPY). Por otra parte, con arreglo al artículo 85, letra i), de la LPIP, la falta de cooperación con la CPIP o una obstrucción a la investigación está castigada con una multa máxima de 300 000 JPY. Estas sanciones penales vienen a sumarse a las que pueden imponerse por infracciones sustantivas de la LPIP (véase el considerando 108).

(103)

A fin de garantizar una protección adecuada y, en particular, el respeto de los derechos individuales, el interesado debe disponer de la posibilidad de incoar recursos administrativos y acciones judiciales efectivos, incluida la indemnización por daños y perjuicios.

(104)

Antes o en lugar de interponer un recurso administrativo o una acción judicial, un particular puede decidir presentar una reclamación en relación con el tratamiento de sus datos personales ante el propio responsable del tratamiento. Sobre la base del artículo 35 de la LPIP, los OEMIP procurarán dar curso a dichas reclamaciones «rápidamente y de manera apropiada» e implantar sistemas internos de tramitación de las reclamaciones para alcanzar este objetivo. Además, en virtud del artículo 61, inciso ii), de la LPIP, la CPIP es responsable de la «mediación necesaria en relación con una reclamación presentada y la cooperación ofrecida a un operador económico que se ocupa de la reclamación», lo que incluye, en ambos casos, las reclamaciones presentadas por extranjeros. A tal efecto, el legislador japonés también ha confiado a la Administración central la misión de adoptar las «medidas necesarias» para permitir y facilitar la resolución de las reclamaciones por los OEMIP (artículo 9), mientras que los entes locales deben, en tales casos, asegurar la mediación (artículo 13). A este respecto, los particulares pueden presentar una reclamación ante uno de los más de 1 700 centros de consumidores creados por los entes locales sobre la base de la Ley de seguridad de los consumidores (61), además de la posibilidad de que disponen de presentar una reclamación ante el Centro Nacional de Consumidores de Japón. Tales reclamaciones también pueden interponerse con respecto a una infracción de la LPIP. En virtud del artículo 19 de la Ley fundamental de protección de los consumidores (62), los entes locales deben esforzarse por recurrir a la mediación con respecto a las reclamaciones y aportar a las partes la pericia necesaria. Estos mecanismos de resolución de litigios parecen bastante eficaces, con un índice de resolución del 91,2 %, es decir, más de 75 000 reclamaciones en 2015.

(105)

Las violaciones de las disposiciones de la LPIP por un OEMIP puede dar lugar a acciones civiles y a procedimientos y sanciones penales. En primer lugar, si un particular considera que se han vulnerado los derechos que le asisten en virtud de los artículos 28, 29 y 30 de la LPIP, puede solicitar medidas cautelares solicitando al órgano jurisdiccional que ordene a un OEMIP atender su solicitud en virtud de alguna de estas disposiciones, es decir, comunicando los datos personales conservados (artículo 28), rectificando los datos personales conservados que sean incorrectos (artículo 29) o poniendo fin al tratamiento ilícito o la puesta a disposición de los datos a un tercero (artículo 30). Tales acciones pueden emprenderse sin necesidad de invocar el artículo 709 del Código Civil (63) o, de otra forma, el Derecho de responsabilidad civil (64). En concreto, esto significa que el particular no tiene que demostrar la existencia de un perjuicio.

(106)

En segundo lugar, en caso de que la supuesta infracción no afecte a los derechos individuales conferidos por los artículos 28, 29 y 30, sino a principios u obligaciones generales en materia de protección de datos aplicables al OEMIP, el particular de que se trate puede interponer una acción civil contra el operador económico sobre la base de las disposiciones del Código Civil japonés en materia de responsabilidad extracontractual, en particular su artículo 709. Aunque una acción en justicia interpuesta en virtud del artículo 709 requiere, además de la existencia de culpa (intencional o por negligencia), la demostración de un perjuicio, tal perjuicio puede ser, de conformidad con el artículo 710 del Código Civil, tanto material como inmaterial. No se prevé ninguna limitación en cuanto a la cuantía de la indemnización.

(107)

Por lo que se refiere a las reparaciones disponibles, el artículo 709 del Código Civil japonés prevé una indemnización pecuniaria. Sin embargo, según la interpretación de la jurisprudencia japonesa este artículo confiere igualmente el derecho a obtener un requerimiento (65). Por lo tanto, si el interesado intenta una acción en virtud del artículo 709 del Código Civil y alega que sus derechos o intereses se han visto perjudicados por una infracción de una disposición de la LPIP por parte de la parte demandada, la demanda puede incluir, además de una indemnización por daños y perjuicios, una solicitud de medidas cautelares, tendente sobre todo al cese del tratamiento ilícito.

(108)

En tercer lugar, además de las acciones por responsabilidad civil, un interesado puede presentar una reclamación ante un fiscal o un agente de la policía judicial por las infracciones de la LPIP que pudieran dar lugar a sanciones penales. El capítulo VII de la LPIP contiene una serie de disposiciones penales. La más importante (artículo 84) se refiere al incumplimiento por parte del OEMIP de las órdenes dictadas por la CPIP de conformidad con el artículo 42, apartados 2 y 3. Si un operador económico no cumple una orden dictada por la CPIP, el presidente de esta (o cualquier otro funcionario gubernamental) (66) puede remitir el asunto al Ministerio Fiscal o a un agente de la policía judicial y, de este modo, desencadenar la apertura de un procedimiento penal. La sanción por el incumplimiento de una orden de la CPIP es pena de prisión acompañada de trabajos de una duración máxima de seis meses o una multa de hasta 300 000 JPY. Otras disposiciones de la LPIP prevén sanciones en caso de infracciones de la LPIP que afecten a los derechos e intereses de los interesados, entre ellas el artículo 83 de la LPIP (que trata de la «puesta a disposición o la utilización encubiertas» de una base de datos personales «con el fin de obtener […] beneficios ilícitos») y el artículo 88, letra i), de la LPIP (que se refiere al incumplimiento por parte de un tercero de la obligación de informar correctamente al OEMIP cuando este último reciba datos personales de conformidad con el artículo 26, apartado 1, de la LPIP, en particular sobre los datos del propio tercero, antes de su adquisición). Las sanciones aplicables a tales infracciones de la LPIP son, respectivamente, una pena de prisión acompañada de trabajos de una duración máxima de un año o una multa de hasta 500 000 JPY (en el caso del artículo 83) o una multa administrativa de hasta 100 000 JPY (en el caso del artículo 88, letra i). Aunque la amenaza de una sanción penal ya puede tener un importante efecto disuasorio sobre los directivos que dirigen las operaciones de tratamiento del OEMIP, así como sobre los particulares que manejan los datos, el artículo 87 de la LPIP aclara que cuando un representante, empleado u otro trabajador de una entidad corporativa ha cometido una infracción de conformidad con los artículos 83 a 85 de la LPIP, «el autor será castigado y se impondrá a dicha entidad corporativa una multa establecida en los artículos correspondientes». En este caso, se pueden imponer tanto al trabajador como a la empresa multas por la cuantía máxima prevista.

(109)

Por último, los particulares también pueden buscar reparación por las acciones u omisiones de la CPIP. A este respecto, la legislación japonesa prevé varias vías de recurso administrativo y judicial.

(110)

Cuando un particular no esté satisfecho con una línea de actuación seguida por la CPIP, puede interponer un recurso administrativo en virtud de la Ley de revisión de las reclamaciones administrativas (67). A la inversa, cuando un particular considera que la CPIP no ha actuado cuando debería haberlo hecho, puede solicitar a esta autoridad, con arreglo al artículo 36-3 de dicha Ley, que adopte una disposición o dé orientaciones administrativas si estima que «no se han adoptado disposiciones o directrices administrativas necesarias para la corrección de la infracción».

(111)

Por lo que se refiere a las vías de recurso judicial, con arreglo a la Ley de lo contencioso administrativo un particular que no esté satisfecho con una disposición administrativa adoptada por la CPIP puede solicitar un mandamiento judicial (68) por el que el órgano jurisdiccional conmine a la CPIP a tomar otras medidas (69). En ciertos casos, el órgano jurisdiccional puede dictar también un mandamiento judicial provisional a fin de evitar daños irreparables (70). Además, en virtud de la referida Ley, un particular puede solicitar la revocación de una decisión de la CPIP (71).

(112)

Por último, un particular también puede presentar ante el Estado una demanda de indemnización contra la CPIP en virtud del artículo 1, apartado 1, de la Ley de reparaciones a cargo del Estado si ha sufrido daños porque una orden dictada por la CPIPC y dirigida a un operador económico era ilícita o porque la CPIPC no ha ejercido sus competencias.

(113)

La Comisión ha evaluado asimismo las limitaciones y salvaguardas previstas, incluidos los mecanismos de supervisión y de recurso disponibles en el Derecho japonés en lo que respecta a la recogida y utilización ulterior de los datos personales transferidos a operadores económicos en Japón por las autoridades públicas en aras del interés público, en particular a efectos coercitivos y de seguridad nacional («acceso de los poderes públicos»). A este respecto, el Gobierno japonés ha facilitado a la Comisión declaraciones, garantías y compromisos oficiales firmados al más alto nivel ministerial y de servicios, que figuran en el anexo II de la presente Decisión.

(114)

En tanto que ejercicio de la autoridad pública, en Japón el acceso de los poderes públicos a los datos ha de hacerse en el pleno respeto de la ley (principio de legalidad). A este respecto, la Constitución japonesa contiene una serie de disposiciones que limitan y estructuran la recogida de datos personales por parte de las autoridades públicas. Como ya se ha indicado en relación con el tratamiento de los datos por los operadores económicos, sobre la base del artículo 13 de la Constitución, que consagra, entre otros, el derecho a la libertad, el Tribunal Supremo de Japón ha reconocido el derecho a la vida privada y a la protección de datos (72). Un aspecto importante de este derecho es que los particulares son libres de impedir la comunicación de su información personal a terceros sin autorización (73), lo que implica un derecho a la protección efectiva de los datos personales contra los abusos y, en particular, el acceso no autorizado. Una protección complementaria es asegurada por el artículo 35 de la Constitución, relativo al derecho a que no se viole la seguridad de domicilio ni se registren ni secuestren papeles y efectos personales, que exige a los poderes públicos que obtengan una orden judicial dictada con «causa suficiente» (74) siempre que se proceda a «registros e incautaciones». En su sentencia de 15 de marzo de 2017 (asunto GPS), el Tribunal Supremo ha precisado que esta exigencia de orden judicial se aplica siempre que el Gobierno invade (se inmiscuye en) la esfera privada de tal forma que anula la voluntad del particular por medio de una «investigación obligatoria». Un juez solo podrá expedir tal orden cuando exista una sospecha concreta de que se ha cometido un delito, es decir, cuando obren en su poder pruebas documentales que demuestren que la persona investigada ha cometido una infracción penal (75). Por consiguiente, las autoridades japonesas no tienen competencias para recoger información personal por medios coercitivos cuando aún no se ha producido una violación de la ley (76), por ejemplo a fin de prevenir un delito o cualquier otra amenaza para la seguridad (como es el caso de las investigaciones por motivos de seguridad nacional).

(115)

En virtud del principio de reserva de ley, toda recogida de datos llevada a cabo en el marco de una investigación coercitiva debe ser autorizada expresamente por la ley (como dispone, por ejemplo, el artículo 197, apartado 1, del Código de Enjuiciamiento Criminal [«CEC»] en lo que respecta a la recogida obligatoria de información a efectos de una investigación criminal). Esta exigencia se aplica igualmente al acceso a la información electrónica.

(116)

Cabe destacar que el artículo 21, apartado 2, de la Constitución garantiza el secreto de todos los medios de comunicación, únicamente con las limitaciones permitidas por la ley por razones de interés público. El artículo 4 de la Ley de telecomunicaciones, según el cual no se puede violar el secreto de las comunicaciones manejadas por una empresa de telecomunicaciones, implementa este requisito de confidencialidad a nivel de la ley. Se ha interpretado que esta norma prohíbe la comunicación de información a no ser que se cuente con el consentimiento de los usuarios o que la comunicación se base en una de las exenciones explícitas de responsabilidad penal recogidas en el Código Penal (77).

(117)

Asimismo, la Constitución garantiza el derecho a la tutela judicial (artículo 32) y el derecho a demandar al Estado para obtener reparación en caso de que un particular haya sufrido daños motivados por actos ilícitos cometidos por un funcionario público (artículo 17).

(118)

En lo que respecta específicamente al derecho a la protección de los datos, el capítulo III, secciones 1, 2 y 3, de la LPIP establece una serie de principios generales comunes a todos los sectores, incluido el sector público. En concreto, el artículo 3 de la LPIP dispone que toda la información personal debe manejarse de conformidad con el principio de respeto de la personalidad de los particulares. Una vez que la información personal, incluida la que forma parte de ficheros electrónicos, haya sido recogida («obtenida») por las autoridades públicas (78), su manejo se rige por la Ley de protección de la información personal en poder de órganos administrativos («LPIPPOA») (79). En principio (80), esta disposición se aplica igualmente al tratamiento de información personal con fines de control del cumplimiento del Derecho penal o de seguridad nacional. Entre otras cosas, la LPIPPOA dispone que las autoridades públicas: i) solo pueden conservar información personal en la medida en que sea necesario para el ejercicio de sus funciones; ii) no pueden hacer uso de dicha información para alcanzar un objetivo «injusto» ni para comunicarla a un tercero sin justificación; iii) deben especificar la finalidad y no deben modificarla más allá de lo que pueda considerarse razonablemente pertinente para la finalidad original (limitación de la finalidad); iv) no pueden, en principio, utilizar ni poner a disposición de terceros la información personal conservada para otras finalidades y, si lo consideran necesario, deben imponer restricciones a la finalidad o al método de utilización por parte de terceros; v) deben tomar las medidas necesarias para asegurar la exactitud de la información (calidad de los datos); vi) deben adoptar las medidas necesarias para asegurar una gestión adecuada de la información y evitar fugas, pérdidas o daños (seguridad de los datos); y vii) deben velar por tramitar de manera adecuada y rápida cualquier reclamación relativa al tratamiento de la información (81).

(119)

La legislación japonesa prevé una serie de limitaciones al acceso a los datos personales y a su utilización a efectos coercitivos, así como mecanismos de supervisión y reparación que ofrecen salvaguardas suficientes para proteger efectivamente dichos datos contra las interferencias ilícitas y el riesgo de abuso.

(120)

En el marco jurídico japonés, se permite la recogida de información electrónica a efectos coercitivos sobre la base de una orden judicial (recogida obligatoria) o de una solicitud de comunicación voluntaria.

(121)

Como se ha indicado en el considerando 115, toda recogida de datos en el marco de una investigación coercitiva ha de ser autorizada específicamente por la ley y solo puede llevarse a cabo sobre la base de una orden judicial dictada con «causa suficiente» (artículo 35 de la Constitución). Por lo que se refiere a la investigación de infracciones penales, este exigencia se recoge en las disposiciones del Código de Enjuiciamiento Criminal («CEC»). De conformidad con el artículo 197, apartado 1, del CEC, no se aplicarán medidas obligatorias «a menos que existan disposiciones especiales previstas en el presente Código». Por lo que se refiere a la recogida de información electrónica, las únicas bases jurídicas pertinentes (82) a este respecto son los artículos 218 (registro e incautación) y 222-2 del CEC, en virtud de los cuales las medidas obligatorias de interceptación de comunicaciones electrónicas sin el consentimiento de las partes han de ejecutarse sobre la base de otros actos legislativos, a saber, la Ley de escuchas telefónicas a efectos de investigación criminal («Ley de escuchas telefónicas»). En ambos casos, se aplica el requisito de mandato.

(122)

Más en concreto, con arreglo al artículo 218, apartado 1, del CEC, un fiscal, un fiscal adjunto o un agente de la policía judicial puede, si es necesario para la investigación de un delito, proceder a un registro o incautación (incluso con levantamiento de acta) sobre la base de un mandato dictado previamente por un juez (83). Entre otras cosas, dicho mandato debe incluir el nombre del sospechoso o acusado, el delito que se le imputa (84), los archivos electromagnéticos que han de incautarse y «el lugar o los artículos» que se han de inspeccionar (artículo 219, apartado 1, del CEC).

(123)

Por lo que se refiere a la interceptación de las comunicaciones, el artículo 3 de la Ley de escuchas telefónicas solo autoriza tales medidas si se cumplen exigencias estrictas. En particular, las autoridades públicas tienen que obtener previamente una orden judicial, que solo puede dictarse para las investigaciones relativas a determinados delitos graves (enumerados en el anexo de la Ley) (85) y cuando sea «extremadamente difícil identificar al autor o aclarar las circunstancias y pormenores del delito cometido por cualquier otro medio» (86). En virtud del artículo 5 de la Ley de escuchas telefónicas, la orden se expide para un período limitado de tiempo y el juez puede imponer condiciones adicionales. Por otra parte, la Ley de escuchas telefónicas prevé otras garantías como, por ejemplo, la comparecencia obligatoria de testigos (artículos 12 y 20), la prohibición de escuchar las comunicaciones de determinados grupos privilegiados (por ejemplo, médicos o abogados) (artículo 15), la obligación de poner fin a las escuchas si estas dejan de estar justificadas aun cuando no haya concluido el período de validez de la orden (artículo 18), o la exigencia general de notificar al particular de que se trate y permitir el acceso a los registros durante los 30 días siguientes al cese de las escuchas (artículos 23 y 24).

(124)

En relación con todas las medidas obligatorias basadas en una orden, solo puede llevarse a cabo tal examen «cuando sea necesario para alcanzar su objetivo», es decir, cuando los objetivos perseguidos por la investigación no puedan alcanzarse de otro modo (artículo 197, apartado 1, del CEC). Aunque los criterios para determinar esta necesidad no se especifican en la ley, el Tribunal Supremo de Japón ha dictaminado que el órgano jurisdiccional que dicte una orden debe proceder a una apreciación global teniendo en cuenta, en particular, i) la gravedad de la infracción y la forma en que se cometió; ii) el valor y la importancia de los materiales que se van a incautar como pruebas; iii) la probabilidad (el riesgo) de que las pruebas puedan ocultarse o destruirse, y iv) la medida en que la incautación pueda causar un perjuicio al particular de que se trate (87).

(125)

Dentro de los límites de sus competencias, las autoridades públicas también pueden recoger información electrónica sobre la base de solicitudes de comunicación voluntaria. Se trata de una forma de cooperación no obligatoria en la que no se puede obligar al destinatario de la solicitud a atenderla (88), dispensando así a las autoridades públicas de la obligación de obtener una orden judicial.

(126)

En la medida en que dicha solicitud se dirija a un operador económico y se refiera a información personal, el operador debe ajustarse a las exigencias de la LPIP. De conformidad con el artículo 23, apartado 1, de la LPIP, los operadores económicos solo pueden comunicar información personal a terceros sin el consentimiento del particular afectado en ciertos casos, por ejemplo cuando la comunicación «se base en disposiciones legales y reglamentarias» (89). En el ámbito del control del cumplimiento del Derecho penal, la base jurídica para tales solicitudes es el artículo 197, apartado 2, del CEC, según el cual «se podrá pedir a las organizaciones privadas que informen sobre cuestiones necesarias relacionadas con la investigación.» Habida cuenta de que las «fichas de consulta» solo se autorizan en el marco de investigación criminal, presuponen siempre una sospecha concreta de un delito ya cometido (90). Por otra parte, dado que tales investigaciones son llevadas a cabo generalmente por la policía prefectural, son aplicables las limitaciones previstas en el artículo 2, apartado 2, de la Ley de Policía (91). Con arreglo a dicha disposición, las actividades de la Policía están «estrictamente limitadas» al ejercicio de sus responsabilidades y funciones (es decir, la prevención, represión e investigación de los delitos). Por otra parte, en el ejercicio de sus funciones, la Policía ha de actuar de manera imparcial, libre de perjuicio y equitativa y no debe abusar nunca de sus poderes «de modo que interfiera con los derechos y libertades de un particular garantizados por la Constitución de Japón» (lo que incluye, como se ha indicado más arriba, el derecho a la vida privada y a la protección de datos) (92).

(127)

Concretamente en lo que respecta al artículo 197, apartado 2, del CEC, la Agencia Nacional de Policía («ANP»), en su calidad de autoridad federal encargada, entre otras cosas, de todas las cuestiones relativas a la policía judicial, ha dado instrucciones a la policía prefectural (93) sobre el «buen uso de las consultas escritas en materia de investigación». Con arreglo a esta nota, las solicitudes deben presentarse utilizando un formulario preestablecido (el «formulario n.o 49» (94), también conocido como «ficha de consulta»), han de referirse a los archivos «relativos a una investigación específica» y la información solicitada debe ser «necesaria para [dicha] investigación». En cada caso, el responsable de la investigación ha de «examinar detenidamente la necesidad, el contenido […] de la consulta en cuestión» y debe recabar la aprobación interna de un funcionario de alto rango.

(128)

Por otra parte, en dos sentencias de 1969 y 2008 (95), el Tribunal Supremo de Japón estableció una serie de limitaciones con respecto a las medidas no obligatorias que interfieren con el derecho a la vida privada (96). En concreto, el Tribunal consideró que tales medidas deben ser «razonables» y no ir más allá de los «límites generalmente admisibles», es decir han de ser necesarias para la investigación de un sospechoso (recogida de pruebas) y han de ponerse en práctica «mediante métodos apropiados para alcanzar el objetivo de la investigación (97)». En virtud de ambas sentencias, esto implica un control de la proporcionalidad que tenga en cuenta todas las circunstancias del asunto (p. ej. el nivel de interferencia con el derecho a la vida privada, incluida la expectativa de privacidad, la gravedad del delito, la probabilidad de obtener pruebas útiles, la importancia de estas pruebas, los posibles medios alternativos de investigación, etc.) (98).

(129)

Además de estas limitaciones al ejercicio de la autoridad pública, se espera de los operadores económicos que verifiquen («confirmen») la necesidad y la «racionalidad» de la puesta a disposición de un tercero (99). Se trata sobre todo de saber si la ley les impide cooperar. Estas obligaciones jurídicas contradictorias pueden derivar, en particular, de obligaciones de confidencialidad como las previstas en el artículo 134 del Código Penal (sobre la relación entre un médico y su paciente, un abogado y su cliente, un sacerdote y su feligrés, etc.). Asimismo, «toda persona que ejerza una actividad de telecomunicaciones deberá guardar, mientras permanezca en el cargo, los secretos de otras personas que hayan llegado a su conocimiento en lo que respecta a las comunicaciones manejadas por la empresa de telecomunicaciones» (artículo 4, apartado 2, de la Ley del sector de las telecomunicaciones). Esta obligación está respaldada por la sanción prevista en el artículo 179 de la Ley del sector de las telecomunicaciones, en virtud del cual toda persona que haya violado el secreto de las comunicaciones manejadas por una empresa de telecomunicaciones será culpable de una infracción penal y castigada con una pena de prisión acompañada de trabajos de hasta dos años o una multa de hasta un millón JPY (100). Aunque este exigencia no es absoluta y permite, en particular, las medidas conculcadoras del secreto de las comunicaciones que constituyan «actos justificables» en el sentido del artículo 35 del Código Penal (101), esta excepción no cubre la respuesta a las solicitudes no obligatorias presentadas por las autoridades públicas relativas a la comunicación de información electrónica formuladas con arreglo a lo dispuesto en el artículo 197, apartado 2, del CEC.

(130)

En el momento en que es recogida por las autoridades públicas japonesas, la información personal pasa a entrar en el ámbito de aplicación de la LPIPHAO. Esta Ley regula el manejo (tratamiento) de la «información personal conservada» e impone al efecto una serie de limitaciones y salvaguardas (véase el considerando 118) (102). Por otra parte, el hecho de que un órgano administrativo solo pueda conservar información personal «cuando la conservación sea necesaria para ejercer las actividades bajo su jurisdicción en virtud de disposiciones legales y reglamentarias» (artículo 3, apartado 1, de la LPIPHAO) impone igualmente restricciones, al menos indirectamente, a la recogida inicial.

(131)

En Japón, la recogida de información electrónica en el ámbito del control del cumplimiento del Derecho penal (103) es en principio competencia de la policía prefectural (104), que está sujeta a este respecto a varios niveles de supervisión.

(132)

En primer lugar, en todos los casos en los que la información electrónica se recoge por medios obligatorios (registro e incautación), la policía tiene que obtener previamente una orden judicial (véase el considerando 121). Por consiguiente, la recogida en tales casos será controlada ex ante por un juez, sobre la base de un estándar estricto de «causa suficiente».

(133)

Aunque en el caso de las solicitudes de comunicación voluntaria no existe un control ex ante por parte de un juez, los operadores económicos a quienes se dirigen dichas solicitudes pueden oponerse a ellas sin exponerse a sufrir consecuencias negativas (y han de tener en cuenta el impacto en la vida privada de toda comunicación). Por otra parte, con arreglo al artículo 192, apartado 1, del CEC, los agentes de policía siempre deben cooperar y coordinar sus actuaciones con el Ministerio Fiscal (y la Comisión Prefectural de Seguridad Pública) (105). A su vez, el fiscal puede dar las instrucciones generales necesarias para establecer estándares con vistas a una investigación justa o dictar órdenes específicas en relación con una investigación particular (artículo 193 del CEC). En caso de que no se atiendan tales instrucciones y/u órdenes, el Ministerio Fiscal puede presentar cargos con vistas a la adopción de medidas disciplinarias (artículo 194 del CEC). Por consiguiente, la policía prefectural está bajo la supervisión del Ministerio Fiscal.

(134)

En segundo lugar, con arreglo al artículo 62 de la Constitución, cualquiera de las cámaras del Parlamento japonés (la Dieta) puede abrir investigaciones en relación con el Gobierno, incluso en lo que respecta a la legalidad de la recogida de información por la Policía. A tal fin, puede exigir la presencia y la declaración de testigos, o la consulta de actas. Estas competencias de investigación se especifican en la Ley de la Dieta, en particular en su capítulo XII. En concreto, el artículo 104 de la Ley de la Dieta dispone que el Gabinete, las agencias públicas y otras instancias públicas «deben atender las solicitudes presentadas por una de las Cámaras o cualquiera de sus comisiones respecto de los informes y actas necesarios a efectos de investigación». La negativa a atender estas solicitudes solo está autorizada si los poderes públicos alegan un motivo plausible aceptable por la Dieta, o en caso de declaración oficial de que la presentación de informes y actas sería «gravemente perjudicial para el interés nacional» (106). Además, los miembros de la Dieta pueden plantear preguntas escritas al Gabinete (artículos 74 y 75 de la Ley de la Dieta) y, en el pasado, algunas de estas «consultas escritas» han abordado asimismo el manejo de información personal por parte de la Administración (107). El papel de la Dieta en la supervisión del ejecutivo se ve reforzado por las obligaciones impuestas en materia de presentación de informes, por ejemplo con arreglo al artículo 29 de la Ley de escuchas telefónicas.

(135)

En tercer lugar, también en el seno del poder ejecutivo, la policía prefectural está sujeta a una supervisión independiente. Esta supervisión es ejercida, en particular, por las comisiones prefecturales de seguridad pública, establecidas a nivel prefectural para garantizar una administración democrática y la neutralidad política de la policía (108). Estas comisiones están compuestas por miembros nombrados por el gobernador prefectural con el consentimiento de la asamblea prefectural (de entre ciudadanos que no han ocupado un cargo de funcionario de la policía en los cinco años anteriores) y su mandato está garantizado (en particular, los despidos solo son posibles por un motivo justificado) (109). Según la información recibida, no reciben instrucciones, por lo que pueden considerarse totalmente independientes (110). En lo que respecta a las funciones y competencias de las comisiones prefecturales de seguridad pública son responsables, con arreglo al artículo 38, apartado 3, leído en relación con el artículo 2 y el artículo 36, apartado 2, de la Ley de Policía, de «la protección de los derechos y libertades de un particular». A tal efecto, están facultadas para «supervisar» (111) todas las actividades de investigación de la policía prefectural, incluida la recogida de datos personales. En concreto, las comisiones «pueden, en caso necesario, instruir a esta en detalle o en un caso particular de inspección de una falta cometida por el personal de la policía» (112). Cuando el jefe de la policía prefectural (113) reciba tales instrucciones o descubra por sí mismo un posible caso de falta (incluida la violación de la normativa u otro tipo de comportamientos negligentes), debe proceder sin demora a la inspección del caso e informar del resultado de la inspección a la comisión prefectural de seguridad pública (artículo 56, apartado 3, de la Ley de Policía). Si esta lo considera necesario, también puede designar a uno de sus miembros para revisar el estado de implementación. Este proceso continúa hasta que la comisión prefectural de seguridad pública estima que el incidente se ha resuelto satisfactoriamente.

(136)

Además, en lo que respecta a la correcta aplicación de la LPIPHAO, el ministro o director de agencia competente (a saber, el comisario general de la ANP) tiene autoridad de ejecución, bajo la supervisión del ministerio del Interior y de Comunicaciones (MIC). Con arreglo al artículo 49 de la LPIPHAO, el MIC «podrá recabar informes sobre el estado de aplicación de la presente Ley» ante los jefes de los órganos administrativos (ministro). Esta función de supervisión está igualmente respaldada por los 51 «centros de información integrada» (uno en cada prefectura de Japón) adscritos al MIC, que tramitan cada año miles de consultas de particulares (114) (que pueden, a su vez, sacar a la luz posibles violaciones de la ley). Cuando lo considere necesario para garantizar el respeto de la ley, el MIC puede pedir que se le presenten explicaciones y materiales, y emitir dictámenes sobre el manejo de información personal por parte del órgano administrativo de que se trate (artículos 50 y 51 de la LPIPHAO).

(137)

Además de la supervisión de oficio, los particulares disponen asimismo de distintas posibilidades para obtener reparación a título individual, tanto a través de autoridades independientes (como las comisiones prefecturales de seguridad pública o la CPIP) como de los órganos jurisdiccionales japoneses

(138)

En primer lugar, en lo que respecta a la información personal recogida por órganos administrativos, estos tienen la obligación de «procurar tramitar las reclamaciones de manera apropiada y sin demora» teniendo en cuenta su tratamiento ulterior (artículo 48 de la LPIPHAO). Aunque el capítulo IV de la LPIPHAO, relativo a los derechos individuales, no es aplicable a la información personal que figure en «documentos relativos a los procesos y a los bienes incautados» (artículo 53-2, apartado 2, del CEC), que incluye la información personal recogida en el marco de investigaciones criminales, los particulares pueden presentar una reclamación invocando los principios generales de protección de datos como, por ejemplo, la obligación de conservar únicamente información personal «cuando ello sea necesario para el ejercicio de funciones coercitivas» (artículo 3, apartado 1, de la LPIPHAO).

(139)

Además, el artículo 79 de la Ley de Policía reconoce a los particulares que tengan dudas en cuanto al «desempeño de sus funciones» por parte del personal de policía, el derecho a presentar una reclamación ante la comisión prefectural de seguridad pública, que es un órgano independiente. La comisión tramitará tales reclamaciones «atentamente», de conformidad con las disposiciones legales y las ordenanzas locales, y comunicará por escrito los resultados al denunciante. Habida cuenta de la autoridad que detenta para supervisar A la policía prefectural y «darle instrucciones» en lo que respecta a las «faltas cometidas por el personal» (artículo 38, apartado 3, y artículo 43-2, apartado 1, de la Ley de policía), puede solicitar a la policía prefectural que investigue los hechos, adopte las medidas apropiadas sobre la base de las conclusiones de la investigación e informe sobre los resultados. Si estima que la investigación llevada a cabo por la policía no es satisfactoria, la comisión también puede dar instrucciones sobre la tramitación de la reclamación.

(140)

A fin de facilitar la tramitación de las reclamaciones, la ANP ha publicado una nota, dirigida a las comisiones de seguridad pública de la Policía y de las Prefecturas, sobre la forma de tramitar las reclamaciones relativas al desempeño de sus funciones por los agentes de policía. En dicho documento, la ANP establece estándares para la interpretación e implementación del artículo 79 de la Ley de Policía. Entre otras cosas, insta a la policía prefectural a que implante «un sistema de tramitación de reclamaciones» y a que tramite todas las reclamaciones e informe «de inmediato» a la comisión prefectural de seguridad pública competente. La nota define las reclamaciones como alegaciones en favor de la corrección de «cualquier desventaja específica ocasionada por un comportamiento ilícito o inadecuado» (115) o como «la inacción por parte de un agente de policía en el desempeño de sus cometidos» (116), así como «cualquier agravio o insatisfacción manifestado respecto de un modo inadecuado de ejecutar sus funciones por parte de un agente de policía». El ámbito de aplicación material de una reclamación se define así en sentido lato, comprendiendo cualquier solicitud ilícita de recogida de datos, y el denunciante no tendrá que demostrar la existencia de un daño sufrido como consecuencia de las actuaciones de un agente de policía. Cabe destacar que la nota establece que los extranjeros (entre otros) recibirán asistencia sobre cómo formular una reclamación. A raíz de una queja, las comisiones prefecturales de seguridad pública deben velar por que la policía prefectural examine los hechos, ponga en práctica medidas «en función de los resultados del examen» e informe sobre los resultados. Cuando la comisión considera que el examen es insuficiente, emite una instrucción sobre la tramitación de la reclamación que la policía prefectural está obligada a seguir. Sobre la base de los informes recibidos y de las medidas adoptadas, la comisión informa al particular, indicándole, entre otras cosas, las medidas adoptadas para atender la reclamación. La nota de la ANP subraya que las reclamaciones deben tramitarse «atentamente» y que el resultado debe comunicarse «en un plazo […] apropiado acorde a las normas sociales y al sentido común».

(141)

En segundo lugar, dado que normalmente la reparación ha de buscarse en un sistema y una lengua extranjeros, el Gobierno japonés ha hecho uso de sus competencias para crear un mecanismo específico, gestionado y supervisado por la CPIP, encargado de la tramitación y resolución de las reclamaciones en este ámbito, con el fin de facilitar vías de reparación a los particulares de la UE cuyos datos personales se transfieran a operadores económicos en Japón y a los que, posteriormente, tengan acceso las autoridades públicas. Este mecanismo se basa en la obligación de cooperación impuesta a las autoridades públicas japonesas por la LPIP y en el papel especial que desempeña la CPIP en lo que respecta a las transferencias internacionales de datos desde terceros países en virtud del artículo 6 de la LPIP y de la política de base (tal como fue establecida por orden del gabinete del Gobierno japonés). Este mecanismo se presenta en detalle en las declaraciones, garantías y compromisos recibidos del Gobierno japonés que se adjuntan a la presente Decisión como anexo II. El mecanismo no está sujeto a ningún requisito de legitimación y está abierto a cualquier particular, con independencia de si es sospechoso o está acusado de una infracción penal

(142)

En el marco de este mecanismo, un particular que sospeche que datos que le conciernan transferidos desde la Unión Europea han sido recogidos o utilizados por las autoridades públicas japonesas (incluidos los responsables de hacer cumplir el Derecho penal) en violación de las normas aplicables puede presentar una reclamación a la CPIP (a título individual o a través de la autoridad de protección de datos de su país en el sentido del artículo 51 del RGPD). La CPIP está obligada a tramitar la reclamación y, en una primera fase, debe informar a las autoridades públicas competentes, incluidos los órganos de supervisión pertinentes, del curso dado a la misma. Estas autoridades están obligadas a cooperar con la CPIP, «en particular facilitando la información necesaria y el material pertinente para permitir a la CPIP evaluar si la recogida o la utilización ulterior de la información personal ha tenido lugar de conformidad con las normas aplicables» (117). Esta obligación, derivada del artículo 80 de la APIP (que obliga a las autoridades públicas japonesas a cooperar con la CPIP), es de aplicación general y, por lo tanto, comprende la revisión de cualquier medida de investigación adoptada por dichas autoridades, que además se han comprometido a esta cooperación mediante garantías ofrecidas por escrito por los ministros y jefes de agencias competentes, como se indica en el anexo II.

(143)

Si de la evaluación se desprende que se ha infringido la normativa aplicable, «la cooperación entre las autoridades públicas afectadas y la CPIP incluye la obligación de subsanar la infracción», lo que, en caso de recogida ilícita de información personal, requiere la supresión de tales datos. Cabe destacar que el cumplimiento de esta obligación se hace bajo la supervisión de la CPIP que «confirmará, antes de concluir la evaluación, que la infracción ha sido totalmente subsanada.».

(144)

Una vez concluida la evaluación, la CPIP debe informar al particular, en un plazo razonable, de los resultados de la evaluación, incluidas, en su caso, las medidas correctoras adoptadas. Al mismo tiempo, la CPIP también debe informar al particular de la posibilidad de solicitar a la autoridad pública competente la confirmación de los resultados y la identidad de la autoridad a la que debe dirigir tal solicitud. La posibilidad de recibir dicha confirmación, incluidos los motivos en que se basa la decisión de la autoridad competente, podrá ser de utilidad al particular a la hora de adoptar nuevas medidas, en particular la incoación de una acción judicial. El acceso a la información detallada acerca de los resultados de la evaluación puede limitarse si existen motivos razonables para considerar que la comunicación de dicha información puede entrañar un riesgo para la investigación en curso.

(145)

En tercer lugar, una persona que no esté de acuerdo con una decisión (orden) de incautación (118) relativa a sus datos personales dictada por un juez, o con las medidas de ejecución de dicha decisión por parte de la Policía o el Ministerio Fiscal, puede solicitar la anulación o la modificación de dicha decisión o de dichas medidas (artículo 429, apartado 1, y artículo 430, apartados 1 y 2, del CEC y artículo 26 de la Ley de escuchas telefónicas) (119). En caso de que el tribunal que está reexaminando el asunto considere que la propia orden judicial o su ejecución («procedimiento de incautación») son ilegales, aceptará la solicitud y ordenará la restitución de los artículos incautados (120).

(146)

En cuarto lugar, todo particular que considere que la recogida de información personal que le concierna en el marco de una investigación criminal es ilícita puede optar por una forma más indirecta de control judicial e invocar este carácter ilícito en el proceso penal. Si el tribunal acepta esta alegación, las pruebas serán excluidas por inadmisibilidad.

(147)

Por último, en virtud del artículo 1, apartado 1, de la Ley de reparaciones a cargo del Estado a las víctimas de la actuación ilegítima del Estado, un tribunal puede conceder una indemnización cuando un funcionario que ejerza la autoridad pública del Estado, haya ocasionado daños, en el ejercicio sus funciones, de forma ilícita y culposa (con intencionalidad o por negligencia) al particular de que se trate. De conformidad con el artículo 4 de la Ley de reparaciones a cargo del Estado, la responsabilidad del Estado por daños y perjuicios se basa en las disposiciones del Código Civil. A este respecto, el artículo 710 del Código Civil dispone que esta responsabilidad cubre no solo los daños ocasionados a la propiedad, sino también los daños morales (por ejemplo, en forma de «sufrimiento psicológico»). Se incluyen aquí los casos en que se haya violado la privacidad de un particular mediante actividades de vigilancia ilícita o recogida de información personal que le concierna (p. ej. la ejecución ilegal de una orden judicial) (121).

(148)

Además de la indemnización pecuniaria, los particulares también pueden, en ciertas condiciones, beneficiarse de medidas cautelares (por ejemplo, la supresión de los datos personales recogidos por las autoridades públicas) invocando su derecho a la vida privada consagrado en el artículo 13 de la Constitución (122).

(149)

Con respecto a todas esas vías de reparación, el mecanismo de resolución de litigios creado por el Gobierno japonés permite a un particular que sigue insatisfecho con el resultado del procedimiento dirigirse a la CPIP, «la cual informará al particular de las distintas posibilidades y procedimientos detallados para obtener una reparación en virtud de las disposiciones legales y reglamentarias japonesas». Además, la CPIP «prestará apoyo al particular, en particular asesoramiento y asistencia para emprender nuevas acciones ante el órgano administrativo o judicial pertinente».

(150)

Esto incluye el uso de los derechos procedimentales previstos en el Código de Enjuiciamiento Criminal. Por ejemplo, «[c]uando de la evaluación se desprenda que un particular es sospechoso de haber cometido un delito, la CPIP le informará al respecto» (123), así como de la posibilidad, de conformidad con el artículo 259 del CEC, de solicitar al Ministerio Fiscal que le haga saber cuando este haya decidido no incoar un procedimiento penal. Además, si la evaluación pone de manifiesto que se ha utilizado información personal que concierne al particular en el marco de un asunto que ya ha sido cerrado, la CPIP informará al particular de que puede consultar el expediente con arreglo al artículo 53 del CEC (y el artículo 4 de la Ley sobre los expedientes de los asuntos penales cerrados). Es importante que un particular tenga acceso a su expediente porque ello le ayudará a comprender mejor la investigación de la que es objeto y, por tanto, a preparar una posible acción judicial (por ejemplo, una indemnización por daños y perjuicios) si estima que los datos que le conciernen han sido recogidos o utilizados de forma ilícita.

(151)

Según las autoridades japonesas, ninguna ley en Japón permite las solicitudes obligatorias de información o las «escuchas administrativas» fuera de las investigaciones criminales. Por consiguiente, por razones de seguridad nacional, la información solo puede obtenerse de una fuente a la que pueda acceder libremente cualquier persona o por comunicación voluntaria. Los operadores económicos que reciban una solicitud de cooperación voluntaria (en forma de comunicación de información electrónica) no tienen ninguna obligación legal de facilitar esta información (124).

(152)

Además, según la información recibida, solo cuatro entidades públicas están facultadas para recoger la información electrónica que obre en poder de los operadores económicos japoneses por motivos de seguridad nacional, a saber: i) la Oficina de Inteligencia e Investigación del Gabinete (OIIG); ii) el Ministerio de Defensa (MdD); iii) la Policía [la Agencia Nacional de Policía (ANP) (125) y la policía prefectural]; y iv) la Agencia de Inteligencia en materia de Seguridad Pública («AISP»). Sin embargo, la OIIG nunca recoge información directamente de los operadores económicos, ni siquiera mediante la interceptación de comunicaciones. Cuando reciba información de otras autoridades públicas a efecto de análisis dirigido al Gabinete, estas otras autoridades tienen que cumplir, a su vez, la legislación, incluidas la limitaciones y salvaguardas que se analizan en la presente Decisión. Sus actividades no son pertinentes pues en un contexto de transferencia.

(153)

Según la información recibida, el MdD recoge información (electrónica) sobre la base de la Ley por la que se crea el MdD. Conforme a su artículo 3, el MdD tiene por misión administrar y dirigir las fuerzas armadas y «realizar las acciones necesarias para asegurar la paz y la independencia nacional, y la seguridad de la nación». El artículo 4, apartado 4, dispone que es competencia del MdD «la defensa y la protección», las medidas que vayan a adoptar las fuerzas de autodefensa y el despliegue de las fuerzas armadas, incluida la recogida de la información necesaria a tales efectos. El MdD solo tiene autoridad para recoger información (electrónica) de los operadores económicos en el marco de una cooperación voluntaria.

(154)

La policía prefectural, por su parte, es la encargada de velar por «el mantenimiento del orden y la seguridad pública» (artículo 35, apartado 2, leído en relación con el artículo 2, apartado 1, de la Ley de Policía). En el marco de estas competencias, la policía puede recoger información, pero solo sobre una base voluntaria, sin valor jurídico. Por otra parte, las actividades de la policía deben «limitarse a lo estrictamente necesario» para el desempeño de sus funciones Además, la policía debe actuar de manera «imparcial, neutral, libre de prejuicios y justa» y nunca podrá abusar de sus poderes «de modo que pueda violar los derechos y libertades de un particular garantizados en la Constitución japonesa» (artículo 2 de la Ley de Policía).

(155)

Por último, la AISP puede realizar investigaciones en virtud de la Ley de prevención de actividades subversivas (LPAS) y la Ley sobre el control de las organizaciones que han cometidos masacres indiscriminadas (LCO) cuando tales investigaciones sean necesarias para preparar la adopción de medidas de control contra determinadas organizaciones (126). En virtud de ambas leyes, a solicitud del director general de la AISP la comisión de examen de la seguridad pública puede adoptar ciertas «disposiciones» (vigilancia y prohibiciones en el caso de la LCO (127), disolución y prohibiciones en el caso de la LPAS (128)), y, en este contexto, la AISP puede llevar a cabo investigaciones (129). Con arreglo a la información recibida, estas investigaciones se realizan siempre sobre una base voluntaria, en decir, la AISP no puede obligar a un propietario de información personal a facilitar dicha información (130). En cada caso, los controles y las investigaciones deben limitarse a lo estrictamente necesario para alcanzar el objetivo de control y en ningún caso pueden llevarse a cabo para restringir «irrazonablemente» los derechos y libertades garantizados en la Constitución japonesa (artículo 3, apartado 1, de la LPAS/LCO). Por otra parte, con arreglo al artículo 3, apartado 2, de la LPAS/LCO, la AISP no debe abusar en ningún caso de tales controles ni de las investigaciones preparatorias. Si un agente de la AISP abusa de la autoridad que le confiere la ley y obliga a una persona a hacer algo a lo que no está obligada o interfiere en el ejercicio de los derechos de una persona, pueden imponérsele sanciones penales de conformidad con el artículo 45 de la LPAS o el artículo 42 de la LCO. Por último, ambas leyes establecen expresamente que sus disposiciones, incluidas las competencias que confieren, no deben «en ningún caso ser objeto de una interpretación amplia» (artículo 2 de la LPAS/LCO).

(156)

En todos los casos de acceso a los datos de las autoridades públicas por motivos de seguridad nacional que se describen en la presente sección, son aplicables las limitaciones previstas por el Tribunal Supremo japonés para las investigaciones de carácter voluntario, lo que significa que la recogida de información (electrónica) debe atenerse a los principios de necesidad y proporcionalidad («método apropiado») (131). Como han confirmado explícitamente las autoridades japonesas, «la recogida y el tratamiento de información tiene lugar únicamente en la medida necesaria para el desempeño de las funciones específicas de la autoridad pública competente, así como sobre la base de amenazas específicas». Por lo tanto, «quedan excluidas la recogida o el acceso masivos e indiscriminados de información personal por motivos de seguridad nacional» (132).

(157)

Asimismo, una vez recogida, toda información personal conservada por las autoridades públicas por motivos de seguridad nacional estará sujeta y, por lo tanto, se beneficiarán de las medidas de protección previstas en la LPIPHAO que se aplicarán a su almacenamiento, utilización y comunicación ulteriores (véase el considerando 118).

(158)

La recogida de información personal por motivos de seguridad nacional está sujeta a varios niveles de supervisión por parte de los tres poderes del Estado.

(159)

En primer lugar, la Dieta japonesa, a través de sus comisiones especializadas, puede examinar la legalidad de las investigaciones basándose en sus competencias de control parlamentario (artículo 62 de la Constitución y artículo 104 de la Ley de la Dieta; véase el considerando 134). Esta función de supervisión está respaldada por la obligación específica de informar sobre las actividades realizadas en virtud de algunas de las bases jurídicas mencionadas (133).

(160)

En segundo lugar, en el seno del poder ejecutivo existen varios mecanismos de supervisión.

(161)

Por lo que se refiere al MdD, la supervisión es ejercida por la Oficina del Inspector General (OIG) encargado de la conformidad con la legislación (134), creada en virtud del artículo 29 de la Ley por la que se crea el MdD como oficina adscrita al Ministerio de Defensa (del cual depende) y bajo su supervisión, pero independiente de los departamentos operativos de este. La OIG es la encargada de asegurar la conformidad con las disposiciones legales y reglamentarias, así como la buena ejecución de las funciones que incumben a los funcionarios del MdD. Entre sus competencias, la autoridad lleva a cabo «inspecciones en el ámbito de la defensa», tanto a intervalos regulares («inspecciones de defensa regulares») como en circunstancias puntuales («inspecciones de defensa especiales»), que, en el pasado, han abordado igualmente el manejo adecuado de información personal (135). En el marco de dichas inspecciones, la OIG puede tener acceso a sitios (oficinas) y solicitar que se le presenten documentos o información, inclusive explicaciones del viceministro adjunto del MdD. Al término de la inspección, se remite al Ministro de Defensa un informe, en el que figuran las conclusiones y las medidas propuestas para mejorar la situación (cuya puesta en práctica puede ser objeto asimismo de nuevas inspecciones). Sobre la base de este informe, el ministro de Defensa formula instrucciones sobre la puesta en práctica de las medidas necesarias para poner remedio a la situación; el viceministro adjunto es el encargado de llevar a cabo estas medidas y debe informar sobre su seguimiento.

(162)

En lo que respecta a la policía prefectural, la supervisión está garantizada por las comisiones prefecturales de seguridad pública, que son órganos independientes, tal como se ha explicado en el considerando 135, con respecto al control del cumplimiento del Derecho penal.

(163)

Por último, como se ha indicado, la AISP solo puede llevar a cabo investigaciones en la medida en que sea necesario para la adopción de una prohibición, una disolución o una medida de vigilancia en virtud de la LAPS/LCO, y para estas disposiciones la comisión independiente de examen de la seguridad pública (136) ejerce una supervisión ex ante. Además, se organizan inspecciones regulares/periódicas (que en términos generales se ocupan de las operaciones de la AISP) (137) e inspecciones internas (138) sobre las actividades de los distintos servicios/oficinas, etc., llevadas a cabo por inspectores designados específicamente y que pueden ir aparejadas de instrucciones, entre otros, a los jefes de los departamentos afectados, encaminadas a la adopción de medidas correctoras o a la introducción de mejoras.

(164)

Estos mecanismos de supervisión, que se han visto reforzados al reconocerse la posibilidad de que los particulares soliciten la intervención de la CPIP como autoridad de control independiente (véase más adelante el considerando 168), ofrecen garantías adecuadas contra el riesgo de abuso por parte de las autoridades japonesas de sus competencias en el ámbito de la seguridad nacional, y contra cualquier recogida ilícita de información electrónica.

(165)

Si se trata de una reparación individual, en relación con la información personal recogida y, por tanto, «conservada» por los órganos administrativos, estos últimos tienen la obligación de «procurar tramitar las reclamaciones de manera apropiada y sin demora» en relación con dicho tratamiento (artículo 48 de la LPIPHAO).

(166)

Por otra parte, a diferencia de lo que ocurre con las investigaciones criminales, los particulares (incluidos los nacionales extranjeros que viven fuera de su país) tienen, en principio, derecho a comunicar (139), rectificar (inclusive suprimir) y suspender la utilización/puesta a disposición en virtud de la LPIPHAO. Sin embargo, el jefe del órgano administrativo puede denegar la comunicación de la información «respecto de la cual existan motivos razonables […] para considerar que su comunicación puede causar un perjuicio a la seguridad nacional» [artículo 14, inciso iv), de la LPIPHAO], incluso sin revelar la existencia de tal información (artículo 17 de la LPIPHAO). Del mismo modo, aunque un particular puede solicitar la suspensión de su utilización o la supresión con arreglo al artículo 36, apartado 1, letra i), de la LPIPHAO en caso de que el órgano administrativo haya obtenido la información de forma ilícita o la conserve/utilice más allá de lo que es necesario para alcanzar la finalidad especificada, la autoridad puede rechazar la solicitud si considera que la suspensión del uso «puede obstaculizar la buena ejecución de los asuntos relativos a las finalidades de utilización de la información personal conservada debido a la naturaleza de dichos asuntos» (artículo 38 de la LPIPHAO). Es más, cuando sea posible separar y excluir fácilmente porciones que estén sujetas a una excepción, los órganos administrativos están obligados a conceder al menos una comunicación parcial (véase, por ejemplo, el artículo 15, apartado 1, de la LPIPHAO) (140).

(167)

En cualquier caso, el órgano administrativo tiene que adoptar una decisión por escrito en un plazo determinado (30 días, que, en ciertas condiciones, puede prorrogarse por otros 30 días). Si la solicitud es rechazada, aceptada solo en parte, o si el particular considera que el comportamiento del órgano administrativo es «ilícito o injusto» por otros motivos, puede solicitar una revisión administrativas basada en la Ley de revisión de las reclamaciones administrativas (141). En tal caso, el jefe del órgano administrativo encargado de tomar una decisión sobre el recurso consultará al consejo de revisión en materia de protección de la información personal y de la comunicación de información (artículos 42 y 43 de la LPIPHAO), un consejo especializado e independiente, cuyos miembros son nombrados por el primer ministro con el consentimiento de las dos cámaras de la Dieta. Según la información recibida, el consejo de revisión puede proceder a un examen (142) y, en este sentido, solicitar al órgano administrativo que facilite la información personal conservada, incluido cualquier contenido clasificado, así como otra información y documentación. Aunque el informe final remitido al reclamante, así como al órgano administrativo, y hecho público no es jurídicamente vinculante, sus recomendaciones son seguidas en casi todos los casos (143). El particular tiene además la posibilidad de impugnar la decisión de apelación ante los tribunales sobre la base de la Ley de lo contencioso administrativo. Se abre así la vía al control judicial de la utilización de la excepción o excepciones de seguridad nacional, a fin de determinar, en particular, si esta excepción ha sido utilizada de manera abusiva o si sigue estando justificada.

(168)

A fin de facilitar el ejercicio de los derechos antes mencionados en virtud de la LPIPHAO, el MIC ha creado 51 «centros de información general» que facilitan información consolidada sobre estos derechos, los procedimientos aplicables para presentar una solicitud y las posibles vías de recurso (144). Los órganos administrativos, por su parte, están obligados a facilitar «la información que contribuya a especificar la información personal conservada» (145) y a adoptar «otras medidas adecuadas teniendo en cuenta la conveniencia de la persona que tiene la intención de presentar la solicitud» (artículo 47, apartado 1, de la LPIPHAO).

(169)

Como ocurre en el caso de las investigaciones en el ámbito del control del cumplimiento del Derecho penal, los particulares también pueden obtener reparación a título individual en el ámbito de la seguridad nacional poniéndose directamente en contacto con la CPIP. Así se pone en marcha el procedimiento específico de resolución de litigios creado por el Gobierno japonés para los ciudadanos de la Unión cuyos datos personales se transfieren en virtud de la presente Decisión (véanse las explicaciones detalladas en los considerandos 141 a 144 y en el considerando 149).

(170)

Además, los particulares pueden interponer un recurso en forma de acción de daños en virtud de la Ley de reparaciones a cargo del Estado, que cubre también los daños morales y, en ciertas condiciones, la supresión de los datos recogidos (véase el considerando 147).

(171)

La Comisión considera que la LPIP, complementada por las Reglas complementarias recogidas en el anexo I, junto con las declaraciones, las garantías y los compromisos oficiales que figuran en el anexo II, garantiza un nivel de protección de los datos personales transferidos desde la Unión Europea sustancialmente equivalente al que garantiza el Reglamento (UE) 2016/679.

(172)

Por otra parte, la Comisión estima que, en su conjunto, los mecanismos de supervisión y las vías de reparación previstos en el Derecho japonés permiten identificar y sancionar en la práctica las infracciones cometidas por los OEMIP destinatarios y ofrecen al interesado remedios legales para obtener acceso a los datos personales que le conciernen y, en su caso, su rectificación o supresión.

(173)

Por último, sobre la base de la información disponible acerca del ordenamiento jurídico de Japón, incluidas las declaraciones, garantías y compromisos del Gobierno japonés que figuran en el anexo II, la Comisión considera que toda vulneración de los derechos fundamentales de los particulares cuyos datos personales sean transferidos desde la Unión Europea a Japón por las autoridades públicas japonesas por motivos de interés público, en particular a efectos de control del cumplimiento del Derecho penal y de seguridad nacional, se limitará a lo estrictamente necesario para alcanzar el objetivo legítimo perseguido, y que existe una tutela judicial efectiva contra tales vulneraciones.

(174)

Por consiguiente, a la luz de las constataciones contenidas en la presente Decisión, la Comisión considera que Japón garantiza un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea a OEMIP en Japón que estén sujetos a la LPIP, excepto en los casos en que el destinatario pertenezca a una de las categorías enumeradas en el artículo 76, apartado 1, de la LPIP y que las finalidades del tratamiento corresponden en todo o en parte a uno de las finalidades definidas en esa disposición.

(175)

Habida cuenta de todo lo hasta aquí expuesto, la Comisión concluye que se cumple la norma en materia de adecuación prevista en el artículo 45 del Reglamento (UE) 2016/679, interpretada a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, en particular en la sentencia Schrems (146).

(176)

De conformidad con la jurisprudencia del Tribunal de Justicia (147), y tal y como se reconoce en el artículo 45, apartado 4, del Reglamento (UE) 2016/679, la Comisión debe supervisar de manera continuada los acontecimientos en el tercer país después de la adopción de una decisión de adecuación, para evaluar si Japón todavía garantiza un nivel de protección equivalente en lo esencial. Debe procederse obligatoriamente a tal control, en cualquier caso, cuando la Comisión sea informada de algún indicio que genere una duda razonable al respecto.

(177)

Por consiguiente, la Comisión debe supervisar de manera continuada la situación en lo que respecta al marco jurídico y la práctica real del tratamiento de los datos personales tal y como se evalúan en la presente Decisión, en particular el cumplimiento por las autoridades japonesas de las declaraciones, garantías y compromisos recogidos en el anexo II. Para facilitar este proceso, se espera de las autoridades japonesas que informen a la Comisión de toda novedad pertinente para la presente Decisión, tanto en lo que respecta al tratamiento de datos personales por parte de los operadores económicos como a las limitaciones y salvaguardas aplicables al acceso de las autoridades públicas a los datos personales. Esto debería incluir todas las decisiones adoptadas por la CPIP en virtud del artículo 24 de la LPIP por las que se reconozca que un tercer país ofrece un nivel de protección equivalente al garantizado en Japón.

(178)

Además, a fin de que la Comisión pueda desempeñar eficazmente su función de seguimiento, los Estados miembros deben informarle de cualquier medida relevante adoptada por las autoridades de protección de datos («APD») nacionales, en particular en lo que respecta a las consultas o las reclamaciones de los interesados de la UE en relación con la transferencia de datos personales desde la Unión Europea a los operadores económicos en Japón. La Comisión también debe ser informada de todo indicio de que las acciones de las autoridades públicas japonesas responsables de la prevención, la investigación, la detección o la persecución de infracciones penales, o de la seguridad nacional, incluidos los órganos de supervisión, no garantizan el nivel de protección necesario.

(179)

Los Estados miembros y sus órganos están obligados a adoptar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la Unión, ya que estos disfrutan de una presunción de legalidad, y producen por consiguiente efectos jurídicos en tanto no hayan sido revocados, anulados en el marco de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad Por lo tanto, toda decisión de adecuación adoptada por la Comisión en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679 vincula a todos los órganos de los Estados miembros destinatarios, incluidas las autoridades de control independientes. Al mismo tiempo, tal como explica el Tribunal de Justicia en la sentencia Schrems (148) y se reconoce en el artículo 58, apartado 5, del Reglamento, en el supuesto de que una APD cuestione, incluso a raíz de una reclamación, la compatibilidad de una decisión de adecuación adoptada por la Comisión con los derechos fundamentales del particular a la vida privada y a la protección de datos, el Derecho nacional debe ofrecer a dicha autoridad una vía de recurso que le permita exponer tales objeciones ante los órganos jurisdiccionales, los cuales, en caso de duda, están obligados a suspender el procedimiento y plantear una cuestión prejudicial al Tribunal de Justicia (149).

(180)

En aplicación del artículo 45, apartado 3, del Reglamento (UE) 2016/679 (150), y teniendo en cuenta el hecho de que el nivel de protección que ofrece el ordenamiento jurídico japonés puede ser objeto de modificación, la Comisión, tras la adopción de la presente Decisión, debe comprobar periódicamente si las constataciones relativas a la adecuación del nivel de protección garantizado por Japón siguen estando justificadas desde el punto de vista factual y legal.

(181)

A tal fin, la presente Decisión debe someterse a una primera revisión en un plazo de dos años después de su entrada en vigor. Tras la primera revisión y en función de sus resultados, la Comisión decidirá, en estrecha consulta con el comité establecido en virtud del artículo 93, apartado 1, de RGPD, si debe mantenerse el ciclo de dos años. En cualquier caso, las revisiones posteriores deben realizarse al menos cada cuatro años (151). La revisión debe comprender todos los aspectos relativos al funcionamiento de la presente Decisión, y en particular la aplicación de las Reglas complementarias (prestando especial atención a las protecciones ofrecidas en caso de transferencias ulteriores), la aplicación de las normas sobre consentimiento, en particular en caso de retirada, la eficacia del ejercicio de los derechos individuales, así como las limitaciones y salvaguardas con respecto al acceso de las autoridades públicas, incluido el mecanismo de reparación que se establece en el anexo II de la presente Decisión. También debe comprender la eficacia de la supervisión y la ejecución forzosa, con respecto a las normas aplicables tanto a los OEMIP como en el ámbito de la ejecución forzosa del Derecho penal y de la seguridad nacional.

(182)

Al proceder a la revisión, la Comisión debe reunirse con la CPIP, acompañada, en su caso, de otras autoridades japonesas responsables del acceso de las autoridades públicas, incluidos los correspondientes órganos de supervisión. La participación en esta reunión debe estar abierta a los representantes de los miembros del Comité Europeo de Protección de Datos (SEPD). En el marco de la revisión conjunta, la Comisión debe solicitar a la CPIP que facilite información completa sobre todos los aspectos pertinentes a efectos de la constatación de adecuación, en particular sobre las limitaciones y salvaguardas relativas al acceso por parte de las autoridades públicas (152). La Comisión también debe pedir explicaciones sobre cualquier información pertinente para la presente Decisión que haya recibido, incluidos los informes públicos elaborados por las autoridades japonesas u otras partes interesadas en Japón, el SEPD, las distintas APD, los grupos de la sociedad civil, los informes de los medios de comunicación o cualquier otra fuente de información disponible.

(183)

Sobre la base de la revisión conjunta, la Comisión debe elaborar un informe público que presentará al Parlamento Europeo y al Consejo.

(184)

Cuando, sobre la base de las comprobaciones periódicas y ad hoc o de cualquier otra información disponible, la Comisión llegue a la conclusión de que el nivel de protección que ofrece el ordenamiento jurídico de Japón ya no puede considerarse equivalente en lo esencial al de la Unión Europea, debe informar de ello a las autoridades japonesas competentes y pedir que se tomen las medidas pertinentes dentro de un plazo determinado razonable. Se incluyen aquí las normas aplicables tanto a los operadores económicos como a las autoridades públicas japonesas responsables de la ejecución forzosa del Derecho penal o de la seguridad nacional. Por ejemplo, se activaría un procedimiento de este tipo en los casos en que dejaran de realizarse transferencias ulteriores, en particular sobre la base de decisiones adoptadas por la CPIP en virtud del artículo 24 de la LPIP por las que se reconozca que un tercer país ofrece un nivel de protección equivalente al garantizado en Japón, en virtud de las salvaguardas para asegurar la continuidad de la protección a tenor del artículo 44 del RGPD.

(185)

Si, transcurrido el plazo especificado, las autoridades japonesas competentes no logran demostrar satisfactoriamente que la presente Decisión sigue basándose en un nivel de protección adecuado, la Comisión debe, en aplicación del artículo 45, apartado 5, del Reglamento (UE) 2016/679, iniciar el procedimiento conducente a la suspensión parcial o total o a la derogación de la presente Decisión. Alternativamente, la Comisión debe iniciar el procedimiento tendente a la modificación de la presente Decisión, en particular sometiendo las transferencias de datos a condiciones adicionales o limitando el alcance de la constatación de adecuación únicamente a las transferencias de datos para los cuales esté asegurada la continuidad de la protección a tenor del artículo 44 del RGPD.

(186)

En particular, la Comisión debe iniciar el procedimiento de suspensión o derogación en caso de que existan indicios de que las Reglas complementarias que figuran en el anexo I no son cumplidas por los operadores económicos que reciban datos personales en el marco de la presente Decisión y/o no son ejecutadas efectivamente, o de que las autoridades japonesas no cumplan las declaraciones, garantías y compromisos recogidos en el anexo II de la presente Decisión.

(187)

La Comisión ha de considerar asimismo la posibilidad de iniciar el procedimiento conducente a la modificación, suspensión o derogación de la presente Decisión si, en el contexto de la revisión conjunta o de otra forma, las autoridades japonesas competentes no facilitan la información o las aclaraciones necesarias para la evaluación del nivel de protección de los datos personales transferidos desde la Unión Europea a Japón o el cumplimiento de la presente Decisión. A este respecto, la Comisión debe tener en cuenta en qué medida puede obtenerse la información pertinente de otras fuentes.

(188)

Por razones de urgencia debidamente justificadas, tales como el riesgo de vulneración grave de los derechos de los interesados, la Comisión debe considerar adoptar una decisión para suspender o derogar la presente Decisión, que debe aplicarse de forma inmediata, con arreglo al artículo 93, apartado 3, del Reglamento (UE) 2016/679, leído en relación con el artículo 8 del Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (153).

(189)

El Comité Europeo de Protección de Datos publicó su dictamen (154), que se ha tomado en consideración en la elaboración de la presente Decisión.

(190)

El Parlamento Europeo ha adoptado una Resolución sobre una estrategia de comercio digital que insta a la Comisión a priorizar y acelerar la adopción de decisiones de adecuación con socios comerciales importantes con arreglo a las condiciones establecidas en el Reglamento (UE) 2016/679 como un importante mecanismo de salvaguarda de la transferencia de datos personales desde la Unión Europea (155). El Parlamento Europeo ha adoptado asimismo una resolución sobre la adecuación de la protección de los datos personales conferida por Japón (156).

(191)

Las medidas previstas en la presente Decisión se ajustan al dictamen del comité establecido en virtud del artículo 93, apartado 1, del RGPD.