Bruselas, 3.4.2023

COM(2023) 275 final

INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO

sobre la primera revisión del funcionamiento de la decisión de adecuación relativa a Japón

{SWD(2023) 75 final}


INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO

sobre la primera revisión del funcionamiento de la decisión de adecuación relativa a Japón

1.PRIMERA REVISIÓN: ANTECEDENTES, PREPARACIÓN Y PROCESO

El 23 de enero de 2019, la Comisión Europea adoptó una decisión de conformidad con lo establecido en el artículo 45 del Reglamento (UE) 2016/679 (Reglamento general de protección de datos o RGPD) 1 en la que concluía que Japón garantiza un nivel de protección adecuado para los datos personales transferidos desde la Unión Europea a actividades económicas que manejan información personal 2 situadas en Japón 3 . Como consecuencia, pueden realizarse transferencias de datos desde la UE a operadores privados de Japón sin requisitos adicionales 4 .

La decisión de adecuación de la Comisión abarca la Ley sobre la protección de la información personal (LPIP) de Japón, complementada por las Reglas complementarias que se establecieron para salvar determinadas diferencias importantes existentes entre la LPIP y el RGPD 5 . Estas salvaguardias adicionales refuerzan, por ejemplo, la protección de los datos sensibles (mediante la ampliación de las categorías de información personal que se consideran datos sensibles), el ejercicio de los derechos individuales (mediante la aclaración de que los derechos individuales también pueden ejercerse en el caso de los datos personales conservados durante un período inferior a seis meses, lo que en aquel momento no era el caso en virtud de la LPIP) 6 y las condiciones en las que es posible realizar una transferencia ulterior de datos de la UE desde Japón a otro tercer país 7 . Las Reglas complementarias son vinculantes para los operadores japoneses y son ejecutables por la autoridad independiente de protección de datos, es decir, la Comisión de Protección de la Información Personal (CPIP), o bien directamente por los particulares de la UE ante los tribunales japoneses 8 .

Además, el Gobierno japonés proporcionó declaraciones, garantías y compromisos oficiales a la Comisión respecto de las limitaciones y salvaguardias relativas al acceso a los datos personales y su uso por parte de las autoridades públicas japonesas a efectos coercitivos y de seguridad nacional, aclarando que todo tratamiento de este tipo se limita a lo necesario y proporcionado y está sujeto a una supervisión independiente y a mecanismos de recurso eficaces 9 . Los mecanismos de recurso en este ámbito incluyen un procedimiento de resolución de litigios específico gestionado y supervisado por la CPIP que se creó para las personas físicas de la UE cuyos datos personales se transfieran sobre la base de la decisión de adecuación 10 .

En el momento de la adopción de la decisión de adecuación de la Comisión, Japón adoptó una decisión equivalente para las transferencias de datos a la UE, de modo que se creó la mayor zona mundial de circulación libre de datos basada en un elevado nivel de protección de datos 11 . Estas decisiones de adecuación mutua complementan y amplían los beneficios del Acuerdo de Asociación Económica (AAE) UE-Japón, que entró en vigor en febrero de 2019 12 , y del Acuerdo de Asociación Estratégica 13 que se negoció junto con el AAE. Las empresas de ambas partes se benefician de la sinergia existente entre las decisiones de adecuación mutua y el AAE, ya que la posibilidad de que los datos circulen libremente entre la UE y Japón facilita aún más los intercambios comerciales y crea importantes oportunidades empresariales gracias a un acceso privilegiado al mercado de la otra parte. También sienta un precedente importante al mostrar claramente que, en la era digital, la promoción de normas estrictas de protección de la intimidad y la facilitación del comercio internacional pueden y deben ir de la mano.

Desde la adopción de las decisiones de adecuación, la UE y Japón, en tanto que socios afines, han intensificado aún más su cooperación en materia de cuestiones digitales, en general, y de flujos de datos, en particular. A nivel bilateral, esto se refleja en concreto mediante la conclusión de la Asociación Digital en mayo de 2022 14 y el inicio, en octubre de 2022, de negociaciones para incluir en el AAE normas sobre los flujos transfronterizos de datos 15 , lo que reforzará aún más la sinergia con el acuerdo de adecuación mutuo. A nivel multilateral, la UE y Japón han aunado esfuerzos para promover, reforzar y llevar a la práctica el concepto de «libre circulación de datos con confianza», introducido por el difunto primer ministro Shinzo Abe, en particular por medio de una estrecha colaboración en el marco del G7, la Organización Mundial del Comercio (en el contexto de la Iniciativa Conjunta sobre el Comercio Electrónico) y la Organización de Cooperación y Desarrollo Económicos (OCDE). En la OCDE, la intensa cooperación entre la UE y Japón en lo relativo a estas cuestiones fue especialmente decisiva para la adopción, por primera vez a escala internacional, de principios comunes sobre el acceso por parte de los gobiernos a datos personales en poder del sector privado 16 . Todas estas diferentes líneas de trabajo se basaban, en mayor o menor medida, en los valores y requisitos comunes que sustentan el acuerdo de adecuación mutua entre la UE y Japón.

Con el objetivo de verificar regularmente que las conclusiones recogidas en la decisión de adecuación siguen estando justificadas desde el punto de vista fáctico y jurídico, la Comisión debe llevar a cabo revisiones periódicas e informar sobre los resultados al Parlamento Europeo y al Consejo 17 . Con el presente informe, que abarca todos los aspectos del funcionamiento de la decisión, se concluye la primera revisión periódica. Por la parte japonesa, en la revisión participaron representantes de la CPIP, el Ministerio del Interior y de Comunicación, el Ministerio de Justicia, el Ministerio de Defensa y la Agencia Nacional de Policía. La delegación de la UE estuvo compuesta por tres representantes designados por el Comité Europeo de Protección de Datos (CEPD) y por miembros de la Comisión Europea.

El 26 de octubre de 2021 se celebró una reunión de revisión entre las dos delegaciones, que estuvo precedida y seguida de numerosos intercambios. En concreto, para preparar la revisión, la Comisión recabó información de las autoridades japonesas sobre el funcionamiento de la decisión, especialmente sobre la aplicación de las Reglas complementarias. La Comisión también recopiló información de fuentes públicas y expertos locales sobre el funcionamiento de la decisión y los cambios pertinentes realizados en la legislación y la práctica japonesas, tanto en lo que se refiere a las normas de protección de datos aplicables a los operadores privados como en lo relativo al acceso por parte del Gobierno. Tras la reunión de revisión, la Comisión y la CPIP celebraron varios intercambios para dar seguimiento a los puntos que se debatieron en ella y, en particular, para abordar las cuestiones que planteaba la incorporación en la LPIP de normas sobre la información personal seudonimizada.

2.CONCLUSIONES PRINCIPALES

Las conclusiones detalladas sobre el funcionamiento de todos los aspectos de la decisión de adecuación se presentan en el documento de trabajo de los servicios de la Comisión que acompaña al presente informe [SWD(2023) 75].

En particular, la primera revisión ha demostrado que los marcos de protección de datos de la UE y Japón han seguido convergiendo desde la adopción de las decisiones de adecuación mutua. La LPIP se modificó en dos ocasiones: el 5 de junio de 2020, mediante la Ley de 2020 por la que se modifica la Ley sobre la protección de la información personal (modificación de la LPIP de 2020), que entró en vigor el 1 de abril de 2022 18 ; y el 12 de mayo de 2021, a través de la Ley sobre la reorganización de las leyes conexas para la creación de una sociedad digital (modificación de la LPIP de 2021) 19 . En consulta con la Comisión, se adaptaron las Reglas complementarias para reflejar estas modificaciones.

Estas modificaciones han conllevado un mayor acercamiento de los sistemas de la UE y de Japón, en particular mediante el refuerzo de las obligaciones en materia de seguridad de los datos (al introducir la obligación de notificar las violaciones de la seguridad de los datos), los derechos de los interesados (en concreto, el derecho de acceso y el derecho de oposición) y la protección concedida en caso de transferencia de datos (en forma de requisitos de información y seguimiento adicionales, especialmente información sobre los posibles riesgos relacionados con el acceso por parte del Gobierno en el país de destino). En este contexto, cabe destacar especialmente que se han incorporado a la LPIP algunas de las garantías adicionales recogidas en las Reglas complementarias para los datos personales procedentes de la UE, en concreto en lo que se refiere a la conservación de los datos y a las condiciones para el consentimiento informado para las transferencias transfronterizas, de modo que han pasado a ser aplicables de manera general a todos los datos personales, independientemente de su origen o lugar de recogida 20 .

Otra novedad clave que la Comisión acoge con satisfacción es la transformación de la LPIP en un marco general de protección de datos que abarca tanto el sector privado como el público, sujeto a la supervisión exclusiva de la CPIP 21 . Este refuerzo adicional del marco de protección de datos de Japón y de las competencias de la CPIP podría allanar el camino para ampliar la decisión de adecuación más allá de los intercambios comerciales, a fin de cubrir transferencias actualmente no incluidas en su ámbito de aplicación, como por ejemplo en la esfera de la cooperación reglamentaria y la investigación.

La primera revisión también se centró en las nuevas normas sobre la creación y el uso de información personal seudonimizada introducidas mediante la modificación de la LPIP de 2020 22 . En esencia, el objetivo de estas nuevas normas es facilitar el uso (interno) de información personal por parte de actividades económicas que manejan información personal fundamentalmente con fines estadísticos (p. ej., para detectar tendencias y patrones con miras a beneficiar a otras actividades, como la investigación). La reunión de revisión y los intercambios celebrados posteriormente entre la Comisión y la CPIP permitieron aclarar la interpretación y aplicación de estas nuevas disposiciones. Como resultado de estos intercambios, y con el fin de reflejar más claramente la aplicación prevista de estas nuevas disposiciones y garantizar así la seguridad jurídica y la transparencia, el 15 de marzo de 2023 se realizaron dos modificaciones en las Reglas complementarias 23 . En primer lugar, las Reglas complementarias establecen que dicha información solo podrá utilizarse con fines estadísticos (definidos como el tratamiento para encuestas estadísticas o para la elaboración de resultados estadísticos) con el objetivo de producir datos agregados, así como que el resultado del tratamiento no se utilizará en apoyo de medidas o decisiones relativas a una persona concreta. En segundo lugar, dejan claro que la información personal seudonimizada recibida originalmente de la UE siempre se considerará información personal con arreglo a la LPIP, a fin de garantizar que la continuidad de la protección de los datos considerados datos personales en virtud del RGPD no se vea menoscabada cuando se transfieran con arreglo a la decisión de adecuación 24 .

Por lo que se refiere a la aplicación práctica de las salvaguardias de protección de datos, la Comisión acoge con satisfacción las diferentes medidas adoptadas por la CPIP. Esto incluye la adopción de directrices actualizadas, en particular sobre las transferencias internacionales de datos. La Comisión señala que podrían aclararse estas directrices con el fin de abordar también los requisitos específicos fijados en las Reglas complementarias para las transferencias ulteriores realizadas desde Japón de datos personales recibidos de la Unión, en concreto, tal como se desprende de la Regla complementaria n.º 4 y como se explica en la decisión de adecuación 25 , la exclusión de las transferencias ulteriores basadas en el sistema de certificación de las Normas de Privacidad Transfronteriza (NPT) de la APEC. Además, aunque la CPIP ha explicado que los OEMIP enmarcan sus transferencias ulteriores de datos recibidos originalmente de la UE mediante la celebración de un contrato que vincula al receptor con medidas que garantizan la continuidad de la protección, actualmente la CPIP no proporciona orientaciones sobre el contenido recomendado (en términos de salvaguardias) para las medidas equivalentes utilizadas para las transferencias internacionales de datos, ya sea en forma de directrices o de modelos de contratos de protección de datos. Estas aclaraciones adicionales, que podrían basarse en concreto en el intercambio de información y mejores prácticas entre la CPIP y la Comisión, podrían resultar especialmente útiles, ya que se refieren a aspectos que son particularmente pertinentes para las empresas que operan en ambas jurisdicciones.

En cuanto a la supervisión y la ejecución, la Comisión señala que, en el período posterior a la adopción de la decisión de adecuación, la CPIP ha hecho un mayor uso de sus poderes no coercitivos de orientación y asesoramiento (artículo 147 de la LPIP) que de sus poderes coercitivos (p. ej., para imponer órdenes vinculantes; artículo 148 de la LPIP). La CPIP también informó de que hasta la fecha no se han recibido reclamaciones relativas al cumplimiento de las Reglas complementarias ni se han llevado a cabo investigaciones sobre tales cuestiones por propia iniciativa de la CPIP. Sin embargo, durante la reunión de revisión, la CPIP anunció que estaba estudiando la posibilidad de realizar controles aleatorios por propia iniciativa para garantizar el cumplimiento de las Reglas complementarias. La Comisión acoge con satisfacción este anuncio, ya que considera que estos controles aleatorios serían muy importantes para garantizar que se eviten, detecten y aborden las (posibles) infracciones de las Reglas complementarias, asegurándose así el cumplimiento efectivo de dichas normas. Dado que las modificaciones de la LPIP de 2020 y 2021 han reforzado las competencias de supervisión de la CPIP, estos controles aleatorios podrían formar parte de un esfuerzo general destinado a aumentar el uso de dichas competencias.

Por último, la Comisión acoge con gran satisfacción la creación de puntos de contacto específicos para las personas de la UE que tengan dudas o preocupaciones sobre el tratamiento de sus datos personales en Japón, tanto por parte de los operadores comerciales [Teléfono de Consulta (Inquiry Line)] como de las autoridades públicas [Teléfono de Mediación para Reclamaciones (Complaint Mediation Line)]. Asimismo, señala que en la página web sobre el Teléfono de Consulta se indica que solo está disponible en japonés, lo que probablemente disuada a los ciudadanos de la UE de hacer uso de este mecanismo, aunque la CPIP explicó que, en principio, hay disponible asistencia en inglés. La Comisión entiende que la CPIP estudiará formas de facilitar la accesibilidad de estos puntos de contacto para los europeos, en particular al aclarar este punto.

3.CONCLUSIÓN

Tomando como base las conclusiones generales formuladas en el marco de esta primera revisión, la Comisión concluye que Japón sigue garantizando un nivel adecuado de protección para los datos personales transferidos desde la Unión Europea a operadores económicos que manejan información personal de Japón con arreglo a la LPIP, complementada por las Reglas complementarias y por las declaraciones, garantías y compromisos oficiales que figuran en el anexo II de la decisión. En este contexto, los servicios de la Comisión reconocen y valoran enormemente la excelente cooperación observada durante la realización de la revisión con las autoridades japonesas, en particular con la CPIP.

A la luz del resultado arrojado por la revisión y de conformidad con el considerando 181 de la decisión de adecuación, la Comisión opina que no es necesario mantener el ciclo de dos años para futuras revisiones y, por tanto, considera adecuado pasar a un ciclo de cuatro años, de conformidad con lo previsto en el artículo 45, apartado 3, del RGPD. En consecuencia, consultará a este respecto al comité creado en virtud del artículo 93, apartado 1, del RGPD 26 .

Asimismo, el refuerzo de determinados aspectos del marco japonés podría contribuir a reforzar aún más las salvaguardias establecidas en la LPIP y en las Reglas complementarias. Para tal fin, la Comisión realiza las siguientes recomendaciones:

1.La Comisión acoge con satisfacción que la CPIP prevea realizar controles aleatorios para garantizar el cumplimiento de las Reglas complementarias y alienta esta iniciativa. Considera que estos controles aleatorios serían muy importantes para garantizar la detección y la gestión de las (posibles) infracciones de las Reglas complementarias, asegurándose así el cumplimiento efectivo de dichas normas.

2.La Comisión acoge con satisfacción el hecho de que la CPIP haya publicado directrices actualizadas sobre las transferencias internacionales, ya que aumentarán la accesibilidad de las normas de la LPIP sobre este tema y harán que sean más fáciles de aplicar. Estas directrices (o cualquier otro material orientativo) también deben explicar, cuando proceda, los requisitos específicos derivados de las Reglas complementarias, en particular en lo que se refiere a la exclusión del sistema de certificación de las NPT de la APEC para las transferencias ulteriores de datos personales recibidos originalmente de la UE.

3.Durante la revisión se debatió cómo podrían hacerse más accesibles para los extranjeros el Teléfono de Consulta y el Teléfono de Mediación de la CPIP para la realización de preguntas y reclamaciones por parte de particulares. En este contexto, sería importante aclarar en el sitio web específico que, en principio, hay disponible asistencia lingüística en inglés.

La revisión también permitió encontrar ámbitos para una posible cooperación en el futuro. Tal como se ha indicado, actualmente la CPIP no proporciona orientaciones sobre el contenido recomendado (en términos de salvaguardias) para las medidas equivalentes utilizadas para las transferencias internacionales de datos, ya sea en forma de directrices o de modelos de contratos de protección de datos. En vista de la creciente importancia de las cláusulas modelo y de su potencial como herramienta global para las transferencias de datos, tal como reconocen, por ejemplo, el G7 27 y la OCDE 28 , la Comisión ha manifestado su interés por cooperar con Japón en un futuro con miras a diseñar cláusulas de este tipo. Otro ámbito que la Comisión tiene previsto explorar junto con la CPIP es la ampliación del alcance de la decisión de adecuación más allá de las transferencias entre operadores comerciales.

La Comisión seguirá efectuando un seguimiento detallado del marco de protección de datos de Japón y de las prácticas realmente empleadas. En este sentido, espera con interés los futuros intercambios con las autoridades japonesas sobre las novedades pertinentes para la decisión 29 , así como el refuerzo de la cooperación internacional en un momento en el que existe una demanda creciente de normas mundiales sobre privacidad y flujos de datos.

(1)      DO L 119 de 4.5.2016, p. 1.
(2)      En la versión de la Ley sobre la protección de la información personal (LPIP) que se encontraba en vigor en el momento en que se adoptó la decisión de adecuación, para este concepto se empleaba el término «operador económico que maneja información personal» (OEMIP). En el artículo 16, apartado 2, de la versión modificada de la LPIP se indica que por actividad económica que maneja información personal se entiende una persona que utiliza una base de datos de información personal o un equivalente para su uso en el marco de una actividad económica, con exclusión del Gobierno y de los organismos administrativos, tanto a nivel central como local. En la LPIP, el concepto de «actividad económica» es muy amplio e incluye tanto las actividades lucrativas como las que no tienen ánimo de lucro llevadas a cabo por todo tipo de organizaciones y particulares. Además, el uso en el marco de una actividad económica abarca asimismo la información personal que no se utiliza en las relaciones comerciales (externas) del operador, sino a nivel interno, como por ejemplo el tratamiento de los datos de los trabajadores. Véanse los considerandos 32 a 34 de la decisión.
(3)    Decisión de Ejecución (UE) 2019/419 de la Comisión, de 23 de enero de 2019, con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa a la adecuación de la protección de los datos personales por parte de Japón en virtud de la Ley sobre la protección de la información personal (DO L 76 de 19.3.2019, p. 1).
(4)      Véanse el artículo 45 del RGPD y el considerando 5 de la decisión.
(5)      Véase el anexo I de la decisión.
(6)

     Paralelamente, en la modificación de la LPIP de 2020 se revisó la definición del término «datos personales en poder de la actividad económica» de tal modo que ya no excluye los datos personales que deben eliminarse en un plazo de seis meses (artículo 16, apartado 4, de la LPIP en su versión modificada). En la versión de la LPIP que se encontraba en vigor en el momento en que se adoptó la decisión de adecuación, para este concepto se empleaba el término «datos personales conservados».

(7)      Considerandos 26, 31, 43, 49 a 51, 63, 68, 71, 76 a 79 y 101 de la decisión.
(8)      Considerando 15 de la decisión.
(9)      Considerandos 113 a 170 y anexo II de la decisión.
(10)      Considerandos 141 a 144, 149 y 169 de la decisión.
(11) Véase el comunicado de prensa publicado tras la conclusión de estas conversaciones, disponible en: https://ec.europa.eu/commission/presscorner/detail/es/IP_18_4501
(12)      Decisión (UE) 2018/1907 del Consejo, de 20 de diciembre de 2018, relativa a la celebración del Acuerdo entre la Unión Europea y Japón relativo a una Asociación Económica (DO L 330 de 27.12.2018, p. 1). El AAE reduce las barreras comerciales a las que se enfrentan las empresas europeas a la hora de exportar a Japón y les ayuda a competir mejor en este mercado.
(13)      Acuerdo de Asociación Estratégica entre la Unión Europea y sus Estados miembros, por una parte, y Japón, por otra (DO L 216 de 24.8.2018, p. 4). El Acuerdo de Asociación Estratégica proporciona un marco jurídico para desarrollar aún más la ya dilatada y sólida cooperación entre la Unión, sus Estados miembros y Japón en una amplia variedad de ámbitos, en particular el diálogo político, la energía, el transporte, los derechos humanos, la educación, la ciencia y la tecnología, la justicia, el asilo y la migración.
(14)      Disponible en: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Mediante la Asociación Digital se crea un foro que proporcionará orientación política e impulso a trabajo conjunto en lo relativo a las tecnologías digitales en ámbitos como la 5G segura, las tecnologías «más allá de la 5G» y la 6G, las aplicaciones seguras y éticas de la inteligencia artificial o la resiliencia de las cadenas de suministro mundiales en el sector de los semiconductores. 
(15)      Véase, p. ej., https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .
(16)      OCDE, Declaration on Government Access to Personal Data Held by Private Sector Entities [«Declaración sobre el acceso de los Gobiernos a los datos personales en poder de entidades del sector privado», documento no disponible en español], 14 de diciembre de 2022.
(17)      Considerandos 180 a 183 y artículo 3, apartado 4, de la decisión.
(18)      Existe una traducción al inglés disponible en: https://www.ppc.go.jp/files/pdf/APPI_english.pdf  
(19)      Existe una traducción al inglés disponible en: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .
(20)      Artículo 16, apartado 4, y artículo 28, apartado 2, de la LPIP en su versión modificada.
(21)      En particular, la modificación de la LPIP de 2021 consolida la LPIP, la Ley sobre la protección de la información personal en poder de órganos administrativos, la Ley sobre la protección de la información personal en poder de agencias administrativas incorporadas, etc., en una única ley de protección de datos que se aplica tanto a las entidades privadas como a las autoridades públicas, ampliando al mismo tiempo las competencias de la CPIP como corresponde. Esta modificación entró en vigor el 1 de abril de 2023, si bien algunas de sus partes lo hicieron el 1 de septiembre de 2021 y el 1 de abril de 2022.
(22)      La información personal seudonimizada se define en la LPIP modificada como la información relativa a una persona que puede prepararse de tal manera que no sea posible identificar a la persona concreta, a menos que se coteje con otra información, a través de las medidas establecidas en la Ley y especificadas en las Reglas de ejecución. Véanse el artículo 16, apartado 5, y el artículo 41 de la versión modificada de la LPIP.
(23)

     Las Reglas complementarias revisadas fueron adoptadas por la CPIP el 15 de marzo de 2023 y entraron en vigor el 1 de abril de 2023.

(24)      Esto excluye la aplicación del artículo 42 de la LPIP modificada, que solo preserva un número limitado de salvaguardias para la información personal seudonimizada que no se considera información personal.
(25)

Véase el considerando 79 de la decisión.

(26)      Véase el considerando 181 de la decisión.
(27)      Véase la Declaración Ministerial de la reunión de los ministros de asuntos digitales del G7 celebrada el 11 de mayo de 2022, anexo 1 (G7 Action Plan Promoting Data Free Flow with Trust [«Plan de Acción del G7 para Promover la Libre Circulación de Datos con Confianza», documento no disponible en español]), que, en el apartado centrado en aprovechar los elementos comunes para promover la futura interoperabilidad, se refiere a las prácticas cada vez más comunes, como las cláusulas contractuales tipo.
(28)      Véase Interoperability of privacy and data protection framework [«Interoperabilidad de los marcos de privacidad y protección de datos», documento no disponible en español], OECD Going Digital Toolkit (disponible en: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), p. 18.
(29)      Véase el considerando 177 de la decisión, en el que se indica que se espera de las autoridades japonesas que informen a la Comisión de toda novedad pertinente para la presente Decisión, tanto en lo que respecta al tratamiento de datos personales por parte de los operadores económicos como a las limitaciones y salvaguardas aplicables al acceso de las autoridades públicas a los datos personales.